《大数据安全技术》课件-第4章.pptx
《《大数据安全技术》课件-第4章.pptx》由会员分享,可在线阅读,更多相关《《大数据安全技术》课件-第4章.pptx(37页珍藏版)》请在文库网上搜索。
1、第4章 身份认证技术主要内容主要内容身份认证技术概述基于Kerberos的身份认证技术方案Kerberos身份认证技术实践4.1 身份认证技术概述4.1.1 身份认证 1.身份认证的涵义 计算机网络世界中一切信息包括用户的身份信息都是用一组特定的数据来表示,计算机只能识别用户的数字身份,所有对用户的授权也是针对用户数字身份的授权。如何保证以数字身份进行操作的操作者就是这个数字身份合法拥有者,也就是说保证操作者的物理身份与数字身份相对应,正是身份认证技术需解决的问题。身份认证技术是在计算机网络中为确认操作者身份而产生的有效解决方案。4.1 身份认证技术概述4.1.1 身份认证 2.身份认证的目的
2、和作用 (1)身份认证的目的:确保通信实体就是它所声称的那个实体。通俗地讲,身份认证的目的是使通信双方建立信任关系,从而保证后续的各项活动正常进行。身份认证包括用户与主机间的认证、主机与主机之间的认证。(2)身份认证的作用:验证用户,对抗假冒;依据身份,实施控制;明确责任,便于审计等。4.1 身份认证技术概述4.1.1 身份认证 3.身份认证需要的信息 认证需要以下选项(或者组合选项)来证明用户的身份。(1)用户知道的东西,通常为用户名和口令的组合;(2)用户拥有的东西,如智能卡密钥、安全令牌、软件部分中定期变化的计算值等;(3)用户具有的特征,如指纹、声纹、视网膜、DNA、笔迹等。4.1 身
3、份认证技术概述4.1.1 身份认证 4.身份认证的方式和分类 (1)身份认证的方式:基于口令的身份认证、基于消息的身份认证、基于生物特征的身份认证等。(2)身份认证的分类:根据认证条件的数量可以分为单因子认证、双因子认证、多因子认证,依据认证条件的状态分为静态认证、动态认证。4.2 身份认证技术4.2.1 口令认证 1.口令认证涵义 用户登录系统时,按照系统要求输入用户名和口令,登录程序利用用户名去查找用户注册表或者口令文件,然后比较用户输入的口令与注册表或者口令文件中用户名对应的口令。如果一致,表示用户通过认证,可以正常访问系统中相关的资源。4.2 身份认证技术4.2.1 口令认证 2.静态
4、口令认证技术的涵义 用户使用固定口令的认证方式称为静态口令认证,其方式为“用户名+静态口令”。静态口令认证通常分为两个阶段:一是身份识别阶段,确认认证对象是谁;二是身份验证阶段,获取身份信息进行验证。4.2 身份认证技术4.2.1 口令认证 3.静态口令认证技术的特点 静态口令认证使用简单,方便记忆,但是不适合在安全性要求较高的场合使用。主要原因是以下几点:(1)口令生成不安全 (2)口令使用不安全 (3)口令传输不安全 (4)口令存储不安全4.2 身份认证技术4.2.1 口令认证 4.动态口令认证定义 动态口令(One-Time Password,OTP),又称一次性密码、动态密码、动态令牌
5、,有效期为只有一次登录会话或交易,是根据专门算法,引入不确定因素产生随机变化的口令,使得每次登陆都使用不同的口令,以提升登录过程的安全性。4.2 身份认证技术4.2.1 口令认证 5.动态口令认证原理 动态口令的基本认证原理是在认证双方共享密钥,也称种子密钥,并使用同一个种子密钥对某一个事件计数、时间值或异步挑战数进行加密计算,然后比较计算值是否一致来进行认证。其中使用的加密算法有对称加密算法、HASH、HMAC等。4.2 身份认证技术4.2.1 口令认证 6.动态令牌的三种技术形式 (1)时间同步 (2)事件同步 (3)挑战/应答的4.2 身份认证技术4.2.1 口令认证 7.常用的动态验证
6、方案 (1)短信密码 (2)硬件令牌 (3)手机令牌 (4)基于推送的身份验证令牌 (5)基于推送的身份验证令牌4.2 身份认证技术4.2.2 消息认证 1.消息认证的定义 消息认证(Message Authentication)就是验证消息的完整性,当接收方收到发送方的报文(发送者、报文的内容、发送时间、序列等)时,接收方能够验证收到的报文是真实的和未被篡改的。4.2 身份认证技术4.2.2 消息认证 2.基于MAC的消息认证技术 消息认证(Message Authentication)就是验证消息的完整性,当接收方收到发送方的报文(发送者、报文的内容、发送时间、序列等)时,接收方能够验证收
7、到的报文是真实的和未被篡改的。4.2 身份认证技术MAC=CK(M)这里,M是变长的消息,K是仅由收发双方共享的密钥,CK(M)是定长的认证码。假设A是发送方,B是接收方,两者共享密钥K。当A要向B发送消息M M,确信已知消息正确时,则计算MAC,然后将MAC附加到消息的后面发送给B;B使用同样的密钥K,对收到的M执行相同的计算并得到MAC;如果接收到的MAC和B计算出来的MAC相等,那么可以确信如下三种情形:(1)B确信消息未被篡改过;(2)B确信消息来自发送者A;(3)如果消息包含序列号,那么B可以确信该序列号的正确性。4.2 身份认证技术4.2.2 消息认证 3.基于Hash函数的消息认
8、证技术 不同的哈希值可以提供几种不同的消息认证方式,例举如下。(1)使用对称加密技术对附加哈希值的消息进行加密。(2)使用对称加密技术仅对哈希值进行加密。(3)使用公钥加密技术和发送方的私钥仅对哈希值进行加密。(4)同时提供保密性和数字签名。(5)通信各方共享一个公共的秘密值S的哈希值。4.2 身份认证技术4.2.2 消息认证 4.消息认证中常见的攻击和对策 (1)重放攻击:截获以前协议执行时传输的信息,然后在某个时候再次使用。对付这种攻击的一种措施是在认证消息中包含一个非重复值,如序列号、时戳、随机数或嵌入目标身份的标志符等。(2)冒充攻击:攻击者冒充合法用户发布虚假消息。为避免这种攻击可采
9、用身份认证技术。(3)重组攻击:把以前协议执行时一次或多次传输的信息重新组合进行攻击。为了避免这类攻击,把协议运行中的所有消息都连接在一起。(4)篡改攻击:修改、删除、添加或替换真实的消息。为避免这种攻击可采用消息认证码MAC或哈希函数等技术。4.2 身份认证技术4.2.3 基于生物特征的认证 1.定义 所谓生物特征识别(Biometrics)技术就是,通过计算机与光学、声学、生物传感器和生物统计学原理等高科技手段密切结合,利用人体固有的生理特性(如指纹、掌纹、面相、虹膜、DNA等)或行为特征(如笔迹、声音、步态、击键习惯等)来进行个人身份鉴定的技术。4.2 身份认证技术基本条件基本条件描描
10、述述普遍性每个人都具有该特征唯一性对于每个人来说,该特征都不相同,任何两个人都可以用该特征区分开来永久性该特征具备足够的稳定性可采集性 能够较为方便地对该特征进行采集、量化可接受性 用户可以普通接受基于该特征的认证系统性能要求 该特征可以获得足够的识别精度,且对资源、环境的要求比较合理安全性指该特征不容易被复制、伪造、模仿等,具备较高的安全性生物特征适合用于身份认证的基本条件4.2 身份认证技术4.2.3 基于生物特征的认证 2.常见的基于生物特征的认证技术 指纹识别(Fingerprint Identification)技术 人脸识别(Face Recognition)技术 声纹识别(Voi
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- 大数据安全技术 数据 安全技术 课件