身份認證技術(shù)-楊文虎

身份認證技術(shù)案例：國內(nèi)著名網(wǎng)站用戶密碼泄露事件2011年12月21日上午，中國最大的開發(fā)者技術(shù)社區(qū)CSDN網(wǎng)站遭到黑客攻擊，600余萬用戶資料遭泄露。案例：國內(nèi)著名網(wǎng)站用戶密碼泄露事件2014年12月25日，據(jù)國內(nèi)最大的漏洞報告平臺——烏云網(wǎng)（）顯示，中國鐵路客戶服務(wù)中心網(wǎng)站12306的大量用戶信息遭到泄露。被泄露的數(shù)據(jù)總共有131653條，文件大小為14M。泄露的用戶數(shù)據(jù)包括用戶帳號、明文密碼、身份證、郵箱等。案例思考1.在用戶對信息資源的訪問過程中，用戶口令的作用是什么？2.基于用戶口令的身份認證面臨哪些安全威脅？3.如何確保口令認證的安全性？4.除了口令，還可以采用哪些身份識別技術(shù)？本章主要內(nèi)容A身份認證的概念B基于口令的身份認證C持卡身份認證D生物識別身份認證E數(shù)字證書FPKI公鑰基礎(chǔ)設(shè)施身份認證的概念第一部分身份認證的概念1.用戶口令，是人們在信息資源訪問活動中的身份標識，并以此進行身份認證，防止非授權(quán)訪問。2.身份認證（Authentication）是證實實體（Entity）對象的數(shù)字身份與物理身份是否一致的過程。身份認證技術(shù)能夠有效防止信息資源被非授權(quán)使用，保障信息資源的安全。這里的實體可以是用戶，也可以是主機系統(tǒng)。身份認證的概念身份認證分為兩個過程：標識與鑒別。1.標識（Identification）就是系統(tǒng)要標識實體的身份，并為每個實體取一個系統(tǒng)可以識別的內(nèi)部名稱——標識符ID。2.識別主體真實身份的過程稱為鑒別（Authentication），也有稱作認證或驗證。3.用戶名或賬戶可以作為身份標識。為了對主體身份的正確性進行驗證，主體往往還需要提供進一步的憑證，例如密碼（口令）、令牌或是生物特征。身份認證的概念創(chuàng)建和發(fā)布的身份信息必須具有三個特性：1.唯一性。標識符必須是唯一的且不能被偽造，防止一個實體冒充另一個實體。不同的計算機系統(tǒng)、不同的應(yīng)用中，可以使用不同的方式來標識實體的身份：可以是一個唯一的字符串，可以是一張數(shù)字證書（類似于現(xiàn)實生活中的居民身份證），也可以是主機IP地址或MAC地址（MediaAccessControl，媒介訪問控制）。例如：Windows系統(tǒng)的登錄用戶名和口令標識了一個用戶的身份；打開Office文檔的口令標識了用戶的身份；登陸知網(wǎng)時要求輸入確認用戶的合法身份等。身份認證的概念創(chuàng)建和發(fā)布的身份信息必須具有三個特性：2.非描述性。任何身份的標識都不能表明賬戶的目的，例如Administrator這樣的身份標識對于攻擊者太具有誘惑力了。3.權(quán)威簽發(fā)。有的身份標識，如數(shù)字證書應(yīng)當由權(quán)威機構(gòu)頒發(fā)，以便對標識進行驗真，或在出現(xiàn)爭執(zhí)時提供仲裁。基于口令的身份認證第二部分基于口令的身份認證基于口令的身份認證是應(yīng)用最為廣泛的身份認證技術(shù)。口令長度：通常為長度為5~16的字符串。選擇原則：易記、難猜、抗分析能力強。12基于口令的身份認證來看看大家都用什么密碼吧：基于口令的身份認證使用最多的密碼長度是8位：竟然不要求長度如何提高口令質(zhì)量1.對于用戶增大口令空間選用無規(guī)律的口令多個口令用工具生成口令2.對于網(wǎng)站登錄時間限制限制登錄次數(shù)盡量減少會話透露的信息增加認證的信息量如何提高口令質(zhì)量某客戶端用戶登錄界面上設(shè)置了“驗證碼”輸入框，此驗證碼是隨機值。目前，得到廣泛應(yīng)用的驗證碼更多的是CAPTCHA(CompletelyAutomatedPublicTuringtesttotellComputersandHumansApart，全自動區(qū)分計算機和人類的圖靈測試)，是一種主要區(qū)分用戶是計算機和人的自動程序。這類驗證碼的隨機性不僅可以防止口令猜測攻擊，還可以有效防止攻擊者對某一個特定注冊用戶用特定程序進行不斷的登陸嘗試，例如防止刷票、惡意注冊、論壇灌水等。使用“驗證碼”實現(xiàn)一次性口令認證如何提高口令質(zhì)量綁定手機的動態(tài)口令實現(xiàn)一次性口令認證動態(tài)口令也可與手機號碼綁定，通過向手機發(fā)送驗證碼來認證用戶身份。很多手機應(yīng)用中，用戶申請了短信校驗服務(wù)后，修改賬戶信息、找回密碼、一定額度的賬戶資金變動都需要手機校驗碼確認。合法用戶可以通過接收手機短信，輸入動態(tài)口令，完成認證。當然，如果用戶手機丟失，其賬戶將面臨很大安全風險。如何提高口令質(zhì)量使用動態(tài)口令牌實現(xiàn)一次性口令認證動態(tài)口令牌是一種內(nèi)置電源、密碼生成芯片和顯示屏，并根據(jù)專門的算法定時自動更新口令的硬件設(shè)備。動態(tài)口令牌的使用簡單方便，動態(tài)口令定時更新，用戶只要根據(jù)系統(tǒng)的提示，輸入動態(tài)口令牌上當前顯示的口令即可。持證身份認證技術(shù)第三部分持證認證技術(shù)1.使用USBKey增強認證安全性USBKey是一種硬件設(shè)備，它內(nèi)置單片機或智能卡芯片，可以存儲用戶的密鑰或數(shù)字證書，利用USBKey內(nèi)置的密碼算法實現(xiàn)對用戶身份的認證。基于USBKey的應(yīng)用包括網(wǎng)上銀行的“U盾”等。2.使用智能卡增強認證安全性智能卡（SmartCard）是一種更為復雜的憑證。它是一種將具有加密、存儲、處理能力的集成電路芯片嵌裝于塑料基片上而制成的卡片。智能卡一般由微處理器、存儲器等部件構(gòu)成。為防止智能卡遺失或被竊，許多系統(tǒng)需要智能卡和個人識別碼PIN同時使用。3.條碼卡4.磁卡5.IC卡6.存儲卡生物識別認證技術(shù)第四部分生物識別認證技術(shù)1.簽名認證——不是能識別出被鑒別的簽名是什么字，而是要能識別出簽名的人。首先提供一定數(shù)量的簽名系統(tǒng)分析簽名，提取特征通過比較簽名，進行身份識別2.指紋識別——基于每個人指紋的唯一性和穩(wěn)定性。現(xiàn)代電子集成制造技術(shù)可靠的匹配算法生物識別認證技術(shù)3.語音識別——不是能識別出用戶說的是什么，而是要能識別出是誰說的。語音識別的要求：創(chuàng)造一個良好的環(huán)境規(guī)定用戶朗讀的單詞4.虹膜識別——基于眼睛虹膜的唯一性和穩(wěn)定性。虹膜識別的主要技術(shù)：虹膜圖像獲取虹膜識別算法數(shù)字證書第五部分數(shù)字證書1.主機系統(tǒng)如何向用戶證實自己的身份？2.如何鑒別網(wǎng)站的真假？我們每次上支付寶，用的是地址欄中保存的網(wǎng)址，不會有假我們可以查看網(wǎng)站的數(shù)字證書數(shù)字證書數(shù)字證書類似于現(xiàn)實生活中的由國家公安部門發(fā)放的居民身份證。數(shù)字證書是一段包含用戶身份信息、用戶公鑰信息以及身份驗證機構(gòu)數(shù)字簽名的數(shù)據(jù)。數(shù)字證書是各類實體(持卡人/個人、商戶/企業(yè)、網(wǎng)關(guān)/銀行等)在網(wǎng)上進行信息交流及商務(wù)活動的身份證明。通信各方通過驗證對方證書的有效性，從而解決相互間的信任問題。數(shù)字證書網(wǎng)絡(luò)用戶企業(yè)網(wǎng)站由權(quán)威的可信第三方（CertificationAuthorityCA）產(chǎn)生根證書。網(wǎng)絡(luò)實體的系統(tǒng)中通常會安裝根證書。CA可用根證書為其下級以及網(wǎng)絡(luò)實體簽發(fā)數(shù)字證書。系統(tǒng)對用根證書簽發(fā)的數(shù)字證書都表示信任，從技術(shù)上說就是建立起一個證書信任鏈。用戶驗證各網(wǎng)絡(luò)實體數(shù)字證書的有效性時，實際上只要驗證為其頒發(fā)數(shù)字證書CA的根證書。用戶信任可信第三方頒發(fā)的根證書，也就信任了網(wǎng)絡(luò)實體獲得的數(shù)字證書。利用數(shù)字證書鑒別身份的原理版本號序列號簽名算法標識符指該證書中的簽名算法簽發(fā)人名字有效時間起始和終止時間個體名字個體的公鑰信息算法參數(shù)密鑰簽發(fā)人唯一標識符個體唯一標識符擴展域簽名數(shù)字證書X.509證書格式利用數(shù)字證書鑒別身份的原理1.發(fā)布數(shù)字證書的權(quán)威機構(gòu)和申請數(shù)字證書的企業(yè)或組織應(yīng)具備的條件依法成立的合法組織具有與認證服務(wù)相適應(yīng)的專業(yè)技術(shù)人員和管理人員具有與提供認證服務(wù)相適應(yīng)的資金和經(jīng)營場所，具備為用戶提供認證服務(wù)和承擔風險、責任的能力具有符合國家安全標準的技術(shù)、設(shè)備國家法律法規(guī)規(guī)定的其他條件2.EVSSL數(shù)字證書（ExtendedValidationSSL），遵循全球統(tǒng)一的嚴格身份驗證標準頒發(fā)的數(shù)字證書，是目前業(yè)界最高安全級別的證書。/EVSSL/index.htm技術(shù)專業(yè)信譽度高PKI公鑰基礎(chǔ)設(shè)施第六部分公鑰基礎(chǔ)設(shè)施PKIPKI（PublicKeyInfrastructure）公鑰基礎(chǔ)設(shè)施，是一種按照既定標準的密鑰管理平臺，能夠為所有網(wǎng)絡(luò)應(yīng)用提供加密、數(shù)字簽名、識別和認證等密碼服務(wù)以及所必需的密鑰和證書管理體系。簡單來說，PKI就是利用公鑰理論和技術(shù)建立的提供安全服務(wù)的基礎(chǔ)設(shè)施。公鑰基礎(chǔ)設(shè)施PKI證書發(fā)布證書注銷證書生成申請與審核證書終止證書歸檔目錄服務(wù)CARA終端用戶PKI是一個簽發(fā)證書、傳播證書、管理證書、使用證書的環(huán)境PKI保證了公鑰的可獲得性、真實性、完整性終端實體：是PKI產(chǎn)品或服務(wù)的最終使用者，可以是個人、組織、設(shè)備或計算機中運行的進程。證書機構(gòu)CA：是PKI的信任基礎(chǔ)，用于簽發(fā)并管理證書的可信實體。注冊機構(gòu)RA：是CA的延伸，可以是CA的一部分，也可以獨立。RA功能包括個人身份審核、CRL管理、密鑰對產(chǎn)生和密鑰對備份等。PKI存儲庫：包括LDAP服務(wù)器和普通數(shù)據(jù)庫，用于對用戶申請、證書、密鑰、CRL和日志等信息進行存儲和管理，并提供查詢功能。PKI體系結(jié)構(gòu)PKI存儲庫KMC受理點受理點受理點RARARACACACACACA接受用戶的證書請求，簽發(fā)用戶證書，是PKI的核心RA接受、驗證用戶的申請，將驗證通過的申請?zhí)峤唤oCA，由CA簽發(fā)證書PKI工作過程PKI工作過程：（1）實體向RA提出證書申請。（2）RA核實實體身份。（3）RA將實體身份信息和公開密鑰以數(shù)字簽名的方式發(fā)送給CA。（3）CA驗證數(shù)字簽名，同意實體的申請，頒發(fā)證書。（4）RA接收CA返回的證書，發(fā)送