| 5/3/2020
3
© 广东省信息安全技术重点实验室
Sun Yat-sen University
身份认证简介
身份认证通常是通过某种复杂的身份认证协议来实现，身 份认证协议是一种特殊的通信协议，它定义参与认证服务 的所有通信方在身份认证过程中需要交换的所有消息的格 式、消息的次序以及消息的语义等。通常采用密码学技术 来实现认证信息的存储与传输的安全
典型的身份认证协议涉及 ✓示证者（Prover） ✓验证者（Verifier） ✓攻击者（Attacker） ✓在某些情况下，还涉及可信赖的第三方TTP
| 5/3/2020
4
© 广东省信息安全技术重点实验室
Sun Yat-sen University
身份认证简介
身份认证模型
✓A user can identify himself towards a system by
身份认证简介
身份认证协议的要求 ✓验证者正确识别合法的示证者的概率极大 ✓攻击者欺骗示证者(验证者)骗取信任的成功率极小 ✓计算有效性，为实现身份认证所需计算量尽可能小 ✓通信有效性，为实现身份认证所需通信次数和交互的数据量尽可能
小
✓秘密参数能安全地存储 ✓双向认证，通信双方能互相认证对方的身份 ✓通信双方(多方)发生争执时，可由TTP解决争执 ✓可证明安全性
为解决静态口令的诸多问题，安全专家提出了一 次性口令(One Time Password)技术。基本思想是 在网上传送的口令只使用一次。一次性口令系统主 要是为抵制重放攻击而设计的。
| 5/3/2020
11
© 广东省信息安全技术重点实验室
Sun Yat-sen University
基于口令的身份认证
Sun Yat-sen University
目录
身份认证技术概述 基于口令的身份认证
✓简单的口令认证 ✓一次性口令认证(OTP)
Kerberos身份认证协议 基于X.509的身份认证
| 5/3/2020
1
© 广东省信息安全技术重点实验室
Sun Yat-sen University
身份认证简介
身份认证是网络安全中最前沿的一道防线，是最 基本的安全服务，其他的安全服务都要依赖于它。 一旦身份认证系统被攻破，那么系统的所有安全措 施将形同虚设。
的身份认证
✓单纯的身份认证身份认证和密钥建立(Key establishment)的结合
[P1363工作组于2000年开始制定IEEE P1363.2标准，即基于口令的 公钥密码技术，重点讨论Password-authenticated Key Agreement Protocol ]
| 5/3/2020
| 5/3/2020
9
© 广东省信息安全技术重点实验室
Sun Yat-sen University
身份认证简介
随着信息安全技术的不断发展，身份认证技术也经历了从 简单到复杂的发展过程。 ✓单机环境下的身份认证网络环境下的身份认证 ✓静态口令的身份认证动态(一次性)口令的身份认证 ✓只有通信双方参与的身份认证引入可信第三方的身份认证 ✓基于对称密码体制的身份认证(Kerberos)基于公钥密码体制(PKI)
proving knowledge of authentication credentials
| 5/3/2020
5

© 广东省信息安全技术重点实验室
Sun Yat-sen University
身份认证简介
典型的身份认证机密(authentication credentials)
✓实体所知道的或掌握的知识(something you know，知识
10
© 广东省信息安全技术重点实验室
Sun Yat-sen University
基于口令的身份认证
最简单的身份认证方式是采用用户名/静态口令方 式，它是最基本也是最经济实用的认证方式
✓目前各类计算资源主要靠静态口令的方式来保护，客户
方直接把口令以明文的形式传给服务器，服务器直接保 存用户的口令或者保存口令的哈希值以进行验证，例如 大多数Unix系统和FTP，Telnet等协议采用在服务器上保 存口令的哈希值
| 5/3/2020
7
© 广东省信息安全技术重点实验室
Sun Yat-sen University
身份认证简介
事实上，每一个身份认证协议都具有自己的应用 范围，并非每个身份认证协议都必须满足以上要求。 在不同的应用环境，有不同的安全风险，我们可针 对具体环境设计不同特征的认证协议，以较小的代 价将安全风险的某一方面降低到可接受的范围
身份认证指的是对实体身份的证实，用以识别合 法或者非法的实体，阻止非法实体假冒合法实体窃 取或者访问网络资源
| 5/3/2020
2
© 广东省信息安全技术重点实验室
Sun Yat-sen University
身份认证与消息认证的差别
身份认证一般要求实时性，消息认证通常不提供 实时性；
身份认证只证实实体的身份，消息认证除了要证 实报文的合法性和完整性外，还需要知道消息的含 义。
| 5/3/2020
8
© 广东省信息安全技术重点实验室
Sun Yat-sen University
身份认证简介
在网络环境下，由于认证信息需通过在网上传输，攻击者 可能对身份认证系统发起以下的攻击 ✓窃听(Eavesdropping) ✓猜测攻击(Guessing) ✓中间人攻击(Man-in-the-Middle) ✓重放攻击(Replay) ✓攻击认证服务器(Compromised server) ✓密码分析攻击(Cryptanalysis) ✓社交工程(Social engineering) ✓… …
自从L. Lamport于1981年最早提出利用哈希函数设计OTP 以来，各种OTP协议纷纷被提出，如CHAP，EAP等
目前OTP的实现机制主要有 ✓挑战/应答(Challenge/Response)：用户要求登录时，系统产生一个
证明)，如口令
✓实体所持有的物件(something you have，持有证明)，
如令牌，智能卡
✓实体的生物特征(something you are，属性证明)，如指
纹、视网膜、DNA
双因素或多因素认证
| 5/3/2020
6
© 广东省信息安全技术重点实验室
Sun Yat-sen University