《安全认证课件.pptx》由会员分享,可在线阅读,更多相关《安全认证课件.pptx(26页珍藏版)》请在taowenge.com淘文阁网|工程机械CAD图纸|机械工程制图|CAD装配图下载|SolidWorks_CaTia_CAD_UG_PROE_设计图分享下载上搜索。
1、网络安全之 认证协议设计1.认证的内容及认证技术的发展2.认证协议设计的方法3.非对称的密钥机制 所谓认证,就是用来确保对方的身份,防止假冒者的攻击。认证是重要的安全服务。在计算机通信中,认证的双方,可以是人,计算机,进程或是其他设备。认证的一般过程是,通信的一方声明他的身份,而另一方对他的声明进行验证。确认身份后,进行相应的服务。认证可以是单向的,也可以是双向的。所谓单向,即通信中只有一方向另一方进行认证。所谓双向,即通信中双方互相进行认证。基于地址的信任机制基于口令的信任机制口令结合物理或生物特征的信任机制认证技术的发展被认证方 ID密码认证方比较 ID密码被认证方密码p fID p ID
2、 ID p比较认证方 其中,f(x)是单向函数。即计算f(x)是较为容易的。而计算其反函数是很困难的。例如,可用计算离散对数的复杂性,进行设计。上述方案的主要缺陷是:攻击者可以构造一张p 和q的对照表。表中的p 尽最大可能包含期望的值,然后计算对应的q。攻击者构造一张充分大的对照表后,被动的监听认证消息就能以很高的概率获得口令。被认证方密码p fID p ID ID p比较认证方 对口令系统的另一个潜在威胁是来自内部的攻击。因为口令通常是存在口令文件或数据库中。万一口令文件被攻击者盗走,或是系统管理员有意冒名用户。这些恶劣的攻击者就可以为所欲为了。前面的方案对此威胁都无能为力。因为认证方都存着
3、用户的密码。所以要设计一种机制,使得认证方不直接保存用户的密码,又能验证用户的身分。被认证方认证方 p ID密码pID ID q f比较 同样,由于未保护的口令在网络上传输,上述方案容易受到线路窃听的攻击。所以,我们应该综合前两个方案的优点。被认证方认证方 p ID密码pID ID q h比较 f 把口令加密传输可以让攻击者无法知道真实的口令,可是,这对聪明的攻击者并不造成麻烦。他只需把监听的消息录制下来,再重放出去,他就可以冒名顶替受害者,从认证者处获取服务了,我们称这种形式的攻击为重放攻击。上述介绍的所有方案虽然可以应对窃听攻击,却都不能对付这样的重放攻击。被认证方认证方 f密码pnr I
4、D nID f ID p比较 上述方案中的n是一个非重复值,认证方负责检查n是否以前曾被用过。若用过,则请求被拒绝。非重复值可用的实现方法有时戳,随机数等。若用时戳方法的话,则两边要维护时钟的同步。很明显,时戳的精度越高,抵抗攻击的强度也越好。若是在局域网上,精确同步还比较容易实现。但若是延时较长的广域网,要时钟精确的同步就比较困难了。若用随机数的话,认证方必须保存以往用过的所有随机数,避免重复,随着服务次数的增加,这张表会越来越大。被认证方认证方 ID p fnn f密码p r IDID比较 上述方案称为询问-应答机制,较好的抵制了重放攻击。但付出的代价是通信量的提高。若是简单的应用还不成问
5、题。但不适于用在一些需要频繁认证的场合,如RPC服务。另外,它还存在与以前类似的问题,防外不防内。系统管理员可以很轻松地获得用户的口令。而且,如果经过中间结点的话,还可能遭受中间人(MAN-IN-THE-MIDDLE)攻击。客户中间人服务器 所谓“中间人”的攻击方式,就是“中间人”冒充真正的服务器接收客户传给服务器的数据,然后再冒充客户把数据传给真正的服务器。服务器和客户之间的数据传送被“中间人”一转手做了手脚之后,就会出现很严重的问题。为了解决这些问题,人们提出不对称加密的思想。以前密码系统都是对称加密的。加密函数为 y=f(k,x)。其中 x 为明文,k 为密钥,y 为密文。解密函数为 x
6、=g(k,y)。将密文还原为明文。加密密钥和解密密钥是相同的。不对称加密其加密函数为 y=f(k 1,x),k 1为加密密钥。解密函数为 x=g(k 2,y),k 2 为解密密钥。知道其中之一要想推出另一个计算上是不可行的。实际应用中常把一个称为公钥,另一个称为私钥。如RSA体制就是公钥密码体制。公钥密码体制的典型应用明文密文明文B的公钥B的私钥 A加密 B解密加密模型明文密文明文A的私钥A的公钥 A加密 B解密认证模型ABAB 但现在所有公钥密码体制都有一个缺点,就是计算量太大。所以一般的做法是通信双方用不对称密钥进行认证,并协商出一个对称密钥,而后用对称密钥保护以后的通信。为了解决中间人问
7、题,我们提出新的方案,它分为两阶段。第一阶段为认证阶段,第二阶段为密钥协商阶段。被认证方认证方n ID公钥qn加密私钥pID n ID解密比较被认证方认证方加密协商密钥k公钥yk解密私钥z协商密钥k设计认证协议时应注意的问题1.有可能线路被窃听2.有可能受到重放攻击3.可能有口令文件被盗的危险4.可能有恶意的管理员企图假冒5.可能遭受中间人攻击总结 谢 谢1、有时候读书是一种巧妙地避开思考的方法。4月-234月-23Wednesday,April 26,20232、阅读一切好书如同和过去最杰出的人谈话。07:23:0407:23:0407:234/26/2023 7:23:04 AM3、越是没
8、有本领的就越加自命不凡。4月-2307:23:0407:23Apr-2326-Apr-234、越是无能的人,越喜欢挑剔别人的错儿。07:23:0407:23:0407:23Wednesday,April 26,20235、知人者智,自知者明。胜人者有力,自胜者强。4月-234月-2307:23:0407:23:04April 26,20236、意志坚强的人能把世界放在手中像泥块一样任意揉捏。26四月20237:23:04上午07:23:044月-237、最具挑战性的挑战莫过于提升自我。四月237:23上午4月-2307:23April 26,20238、业余生活要有意义,不要越轨。2023/4
9、/267:23:0407:23:0426 April 20239、一个人即使已登上顶峰,也仍要自强不息。7:23:04上午7:23上午07:23:044月-2310、你要做多大的事情,就该承受多大的压力。4/26/2023 7:23:04 AM07:23:0426-4月-2311、自己要先看得起自己,别人才会看得起你。4/26/2023 7:23 AM4/26/2023 7:23 AM4月-234月-2312、这一秒不放弃,下一秒就会有希望。26-Apr-2326 April 20234月-2313、无论才能知识多么卓著,如果缺乏热情,则无异纸上画饼充饥,无补于事。Wednesday,April 26,202326-Apr-234月-2314、我只是自己不放过自己而已,现在我不会再逼自己眷恋了。4月-2307:23:0426 April 202307:23谢谢大家谢谢大家