《大數(shù)據(jù)安全技術(shù)》課件-第4章

第4章身份認(rèn)證技術(shù)主要內(nèi)容身份認(rèn)證技術(shù)概述基于Kerberos的身份認(rèn)證技術(shù)方案Kerberos身份認(rèn)證技術(shù)實(shí)踐4.1身份認(rèn)證技術(shù)概述4.1.1身份認(rèn)證1.身份認(rèn)證的涵義計(jì)算機(jī)網(wǎng)絡(luò)世界中一切信息包括用戶的身份信息都是用一組特定的數(shù)據(jù)來(lái)表示，計(jì)算機(jī)只能識(shí)別用戶的數(shù)字身份，所有對(duì)用戶的授權(quán)也是針對(duì)用戶數(shù)字身份的授權(quán)。如何保證以數(shù)字身份進(jìn)行操作的操作者就是這個(gè)數(shù)字身份合法擁有者，也就是說(shuō)保證操作者的物理身份與數(shù)字身份相對(duì)應(yīng)，正是身份認(rèn)證技術(shù)需解決的問(wèn)題。

身份認(rèn)證技術(shù)是在計(jì)算機(jī)網(wǎng)絡(luò)中為確認(rèn)操作者身份而產(chǎn)生的有效解決方案。4.1身份認(rèn)證技術(shù)概述4.1.1身份認(rèn)證2.身份認(rèn)證的目的和作用

(1)身份認(rèn)證的目的：確保通信實(shí)體就是它所聲稱的那個(gè)實(shí)體。通俗地講，身份認(rèn)證的目的是使通信雙方建立信任關(guān)系，從而保證后續(xù)的各項(xiàng)活動(dòng)正常進(jìn)行。身份認(rèn)證包括用戶與主機(jī)間的認(rèn)證、主機(jī)與主機(jī)之間的認(rèn)證。(2)身份認(rèn)證的作用：驗(yàn)證用戶，對(duì)抗假冒；依據(jù)身份，實(shí)施控制；明確責(zé)任，便于審計(jì)等。4.1身份認(rèn)證技術(shù)概述4.1.1身份認(rèn)證

3.身份認(rèn)證需要的信息認(rèn)證需要以下選項(xiàng)（或者組合選項(xiàng)）來(lái)證明用戶的身份。（1）用戶知道的東西，通常為用戶名和口令的組合；（2）用戶擁有的東西，如智能卡密鑰、安全令牌、軟件部分中定期變化的計(jì)算值等；（3）用戶具有的特征，如指紋、聲紋、視網(wǎng)膜、DNA、筆跡等。4.1身份認(rèn)證技術(shù)概述4.1.1身份認(rèn)證

4.身份認(rèn)證的方式和分類

(1)身份認(rèn)證的方式：基于口令的身份認(rèn)證、基于消息的身份認(rèn)證、基于生物特征的身份認(rèn)證等。(2)身份認(rèn)證的分類：根據(jù)認(rèn)證條件的數(shù)量可以分為單因子認(rèn)證、雙因子認(rèn)證、多因子認(rèn)證，依據(jù)認(rèn)證條件的狀態(tài)分為靜態(tài)認(rèn)證、動(dòng)態(tài)認(rèn)證。4.2身份認(rèn)證技術(shù)4.2.1口令認(rèn)證1.口令認(rèn)證涵義用戶登錄系統(tǒng)時(shí)，按照系統(tǒng)要求輸入用戶名和口令，登錄程序利用用戶名去查找用戶注冊(cè)表或者口令文件，然后比較用戶輸入的口令與注冊(cè)表或者口令文件中用戶名對(duì)應(yīng)的口令。如果一致，表示用戶通過(guò)認(rèn)證，可以正常訪問(wèn)系統(tǒng)中相關(guān)的資源。4.2身份認(rèn)證技術(shù)4.2.1口令認(rèn)證2.靜態(tài)口令認(rèn)證技術(shù)的涵義用戶使用固定口令的認(rèn)證方式稱為靜態(tài)口令認(rèn)證，其方式為“用戶名+靜態(tài)口令”。靜態(tài)口令認(rèn)證通常分為兩個(gè)階段：一是身份識(shí)別階段，確認(rèn)認(rèn)證對(duì)象是誰(shuí)；二是身份驗(yàn)證階段，獲取身份信息進(jìn)行驗(yàn)證。4.2身份認(rèn)證技術(shù)4.2.1口令認(rèn)證3.靜態(tài)口令認(rèn)證技術(shù)的特點(diǎn)靜態(tài)口令認(rèn)證使用簡(jiǎn)單，方便記憶，但是不適合在安全性要求較高的場(chǎng)合使用。主要原因是以下幾點(diǎn)：（1）口令生成不安全（2）口令使用不安全（3）口令傳輸不安全（4）口令存儲(chǔ)不安全4.2身份認(rèn)證技術(shù)4.2.1口令認(rèn)證4.動(dòng)態(tài)口令認(rèn)證定義動(dòng)態(tài)口令（One-TimePassword，OTP），又稱一次性密碼、動(dòng)態(tài)密碼、動(dòng)態(tài)令牌，有效期為只有一次登錄會(huì)話或交易，是根據(jù)專門算法，引入不確定因素產(chǎn)生隨機(jī)變化的口令，使得每次登陸都使用不同的口令，以提升登錄過(guò)程的安全性。4.2身份認(rèn)證技術(shù)4.2.1口令認(rèn)證5.動(dòng)態(tài)口令認(rèn)證原理動(dòng)態(tài)口令的基本認(rèn)證原理是在認(rèn)證雙方共享密鑰，也稱種子密鑰，并使用同一個(gè)種子密鑰對(duì)某一個(gè)事件計(jì)數(shù)、時(shí)間值或異步挑戰(zhàn)數(shù)進(jìn)行加密計(jì)算，然后比較計(jì)算值是否一致來(lái)進(jìn)行認(rèn)證。其中使用的加密算法有對(duì)稱加密算法、HASH、HMAC等。4.2身份認(rèn)證技術(shù)4.2.1口令認(rèn)證6.動(dòng)態(tài)令牌的三種技術(shù)形式

（1）時(shí)間同步（2）事件同步（3）挑戰(zhàn)/應(yīng)答的4.2身份認(rèn)證技術(shù)4.2.1口令認(rèn)證7.常用的動(dòng)態(tài)驗(yàn)證方案

（1）短信密碼（2）硬件令牌（3）手機(jī)令牌（4）基于推送的身份驗(yàn)證令牌（5）基于推送的身份驗(yàn)證令牌4.2身份認(rèn)證技術(shù)4.2.2消息認(rèn)證1.消息認(rèn)證的定義消息認(rèn)證（MessageAuthentication）就是驗(yàn)證消息的完整性，當(dāng)接收方收到發(fā)送方的報(bào)文（發(fā)送者、報(bào)文的內(nèi)容、發(fā)送時(shí)間、序列等）時(shí)，接收方能夠驗(yàn)證收到的報(bào)文是真實(shí)的和未被篡改的。4.2身份認(rèn)證技術(shù)4.2.2消息認(rèn)證2.基于MAC的消息認(rèn)證技術(shù)消息認(rèn)證（MessageAuthentication）就是驗(yàn)證消息的完整性，當(dāng)接收方收到發(fā)送方的報(bào)文（發(fā)送者、報(bào)文的內(nèi)容、發(fā)送時(shí)間、序列等）時(shí)，接收方能夠驗(yàn)證收到的報(bào)文是真實(shí)的和未被篡改的。4.2身份認(rèn)證技術(shù)MAC=CK(M)這里，M是變長(zhǎng)的消息，K是僅由收發(fā)雙方共享的密鑰，CK(M)是定長(zhǎng)的認(rèn)證碼。假設(shè)A是發(fā)送方，B是接收方，兩者共享密鑰K。當(dāng)A要向B發(fā)送消息M，確信已知消息正確時(shí)，則計(jì)算MAC，然后將MAC附加到消息的后面發(fā)送給B；B使用同樣的密鑰K，對(duì)收到的M執(zhí)行相同的計(jì)算并得到MAC；如果接收到的MAC和B計(jì)算出來(lái)的MAC相等，那么可以確信如下三種情形:（1）B確信消息未被篡改過(guò)；（2）B確信消息來(lái)自發(fā)送者A；（3）如果消息包含序列號(hào)，那么B可以確信該序列號(hào)的正確性。4.2身份認(rèn)證技術(shù)4.2.2消息認(rèn)證3.基于Hash函數(shù)的消息認(rèn)證技術(shù)不同的哈希值可以提供幾種不同的消息認(rèn)證方式，例舉如下。（1）使用對(duì)稱加密技術(shù)對(duì)附加哈希值的消息進(jìn)行加密。（2）使用對(duì)稱加密技術(shù)僅對(duì)哈希值進(jìn)行加密。（3）使用公鑰加密技術(shù)和發(fā)送方的私鑰僅對(duì)哈希值進(jìn)行加密。（4）同時(shí)提供保密性和數(shù)字簽名。（5）通信各方共享一個(gè)公共的秘密值S的哈希值。4.2身份認(rèn)證技術(shù)4.2.2消息認(rèn)證4.消息認(rèn)證中常見(jiàn)的攻擊和對(duì)策（1）重放攻擊：截獲以前協(xié)議執(zhí)行時(shí)傳輸?shù)男畔?，然后在某個(gè)時(shí)候再次使用。對(duì)付這種攻擊的一種措施是在認(rèn)證消息中包含一個(gè)非重復(fù)值，如序列號(hào)、時(shí)戳、隨機(jī)數(shù)或嵌入目標(biāo)身份的標(biāo)志符等。（2）冒充攻擊：攻擊者冒充合法用戶發(fā)布虛假消息。為避免這種攻擊可采用身份認(rèn)證技術(shù)。（3）重組攻擊：把以前協(xié)議執(zhí)行時(shí)一次或多次傳輸?shù)男畔⒅匦陆M合進(jìn)行攻擊。為了避免這類攻擊，把協(xié)議運(yùn)行中的所有消息都連接在一起。（4）篡改攻擊：修改、刪除、添加或替換真實(shí)的消息。為避免這種攻擊可采用消息認(rèn)證碼MAC或哈希函數(shù)等技術(shù)。4.2身份認(rèn)證技術(shù)4.2.3基于生物特征的認(rèn)證1.定義所謂生物特征識(shí)別（Biometrics）技術(shù)就是，通過(guò)計(jì)算機(jī)與光學(xué)、聲學(xué)、生物傳感器和生物統(tǒng)計(jì)學(xué)原理等高科技手段密切結(jié)合，利用人體固有的生理特性（如指紋、掌紋、面相、虹膜、DNA等）或行為特征（如筆跡、聲音、步態(tài)、擊鍵習(xí)慣等）來(lái)進(jìn)行個(gè)人身份鑒定的技術(shù)。4.2身份認(rèn)證技術(shù)基本條件描述普遍性每個(gè)人都具有該特征唯一性對(duì)于每個(gè)人來(lái)說(shuō)，該特征都不相同，任何兩個(gè)人都可以用該特征區(qū)分開(kāi)來(lái)永久性該特征具備足夠的穩(wěn)定性可采集性能夠較為方便地對(duì)該特征進(jìn)行采集、量化可接受性用戶可以普通接受基于該特征的認(rèn)證系統(tǒng)性能要求該特征可以獲得足夠的識(shí)別精度，且對(duì)資源、環(huán)境的要求比較合理安全性指該特征不容易被復(fù)制、偽造、模仿等，具備較高的安全性生物特征適合用于身份認(rèn)證的基本條件4.2身份認(rèn)證技術(shù)4.2.3基于生物特征的認(rèn)證2.常見(jiàn)的基于生物特征的認(rèn)證技術(shù)指紋識(shí)別（FingerprintIdentification）技術(shù)人臉識(shí)別（FaceRecognition）技術(shù)聲紋識(shí)別（VoiceprintRecognition）技術(shù)虹膜識(shí)別（IrisRecognition）技術(shù)步態(tài)識(shí)別（GaitRecognition）技術(shù)基于指紋、聲紋和人臉識(shí)別技術(shù)相結(jié)合的技術(shù)4.2身份認(rèn)證技術(shù)4.2.4多因子認(rèn)證

多因子認(rèn)證（Multi-FactorAuthentication，MFA）是用兩種及兩種以上的條件對(duì)用戶進(jìn)行認(rèn)證的方法。通常將口令和實(shí)物（如U盾、密碼器、手機(jī)短消息、指紋等）結(jié)合起來(lái)，以有效提升安全性，常用于網(wǎng)上銀行等應(yīng)用領(lǐng)域中。多因子認(rèn)證是當(dāng)前應(yīng)對(duì)撞庫(kù)攻擊的重要方法之一，可以大大提高帳號(hào)的安全性。4.3基于Kerberos的身份認(rèn)證技術(shù)4.3.1Kerberos身份認(rèn)證方案

1.Kerberos概述

Kerberos是一種著名的基于票據(jù)的網(wǎng)絡(luò)身份認(rèn)證協(xié)議，用于在非安全的網(wǎng)絡(luò)環(huán)境下對(duì)用戶通信進(jìn)行加密認(rèn)證，即通過(guò)密鑰系統(tǒng)為客戶機(jī)/服務(wù)器應(yīng)用程序提供強(qiáng)大的認(rèn)證服務(wù)。該認(rèn)證過(guò)程的實(shí)現(xiàn)不依賴于主機(jī)操作系統(tǒng)的認(rèn)證，無(wú)需基于主機(jī)地址的信任，不要求網(wǎng)絡(luò)上所有主機(jī)的物理安全，并假定網(wǎng)絡(luò)上傳送的數(shù)據(jù)包可以被任意地讀取、修改和插入數(shù)據(jù)。4.3基于Kerberos的身份認(rèn)證技術(shù)4.3.1Kerberos身份認(rèn)證方案

2.Kerberos架構(gòu)

Kerberos架構(gòu)由客戶機(jī)、Kerberos服務(wù)器KDC和應(yīng)用服務(wù)器組成。Kerberos架構(gòu)主要包括以下幾個(gè)組件：

（1）KDC（KeyDistributionCenter）：Kerberos服務(wù)器，也叫認(rèn)證服務(wù)器或者密鑰分發(fā)中心，是參與用戶和服務(wù)認(rèn)證的基本對(duì)象，具備密鑰分配功能，且可以作為服務(wù)接入。KDC通常是一臺(tái)單獨(dú)的服務(wù)器，它包含認(rèn)證服務(wù)（AS，AuthenticationService）、票據(jù)授權(quán)服務(wù)（TGS，TicketGrantingService）和數(shù)據(jù)庫(kù)（Database）三部分。4.3基于Kerberos的身份認(rèn)證技術(shù)

（2）AS：認(rèn)證服務(wù)。AS是KDC中用于回復(fù)客戶端最初的認(rèn)證請(qǐng)求的部分。用戶如果沒(méi)有認(rèn)證過(guò)，則需輸入密碼。在回復(fù)認(rèn)證請(qǐng)求時(shí)，AS會(huì)授予一個(gè)TGT（TicketGrantingTicket，票據(jù)授權(quán)的票據(jù)）。如果用戶確實(shí)是他所聲稱的身份，他就可以使用TGS而無(wú)需再次輸入密碼來(lái)獲得其他服務(wù)器的票據(jù)。（3）TGS：票據(jù)授權(quán)服務(wù)。TGS可以看作KDC中一個(gè)提供服務(wù)票據(jù)功能的應(yīng)用服務(wù)器，它根據(jù)用戶提交的有效TGT來(lái)分配服務(wù)票據(jù)，與此同時(shí)，TGS保證向應(yīng)用服務(wù)器請(qǐng)求資源的身份的真實(shí)性。4.3基于Kerberos的身份認(rèn)證技術(shù)

（4）Database：數(shù)據(jù)庫(kù)用于存放用戶和服務(wù)的記錄，使用Principal來(lái)命名和引用一條記錄。（5）Client：客戶機(jī)。用戶使用安裝了Kerberos客戶端的客戶機(jī)來(lái)獲得應(yīng)用服務(wù)器上的各項(xiàng)服務(wù)。申請(qǐng)服務(wù)時(shí)，用戶要先向KDC進(jìn)行身份的認(rèn)證才能獲得相應(yīng)的服務(wù)。（6）ApplicationServer：安裝了Kerberos客戶端的應(yīng)用服務(wù)器。4.3基于Kerberos的身份認(rèn)證技術(shù)

（7）Ticket：票據(jù)。票據(jù)由認(rèn)證服務(wù)器頒發(fā)，并使用所需要的服務(wù)端密鑰加密，客戶端將其提交給應(yīng)用服務(wù)器用于證明其身份的真實(shí)性。一張票據(jù)包含了如下信息：請(qǐng)求用戶的Principal（通常是用戶名）；用戶所請(qǐng)求的服務(wù)Principal；票據(jù)的生效日期及時(shí)間（使用時(shí)間戳格式）；票據(jù)的有效時(shí)間；可以該票據(jù)的客戶端IP地址（可選）；會(huì)話密鑰（SessionKey）。4.3基于Kerberos的身份認(rèn)證技術(shù)

（8）ST（ServiceTicket）：服務(wù)票據(jù)，通常為一張數(shù)字加密的證書，由TGS頒發(fā)。任何一個(gè)應(yīng)用都需要一張有效的服務(wù)票據(jù)才能訪問(wèn)。如果能正確接收服務(wù)票據(jù)，說(shuō)明客戶機(jī)和服務(wù)器之間已經(jīng)建立信任關(guān)系。（9）TGT：票據(jù)授權(quán)票據(jù)，由AS頒發(fā)，具有一定的有效期，到期后需要更新來(lái)續(xù)約。當(dāng)獲得一張TGT后，再申請(qǐng)其他應(yīng)用的服務(wù)票據(jù)時(shí)，無(wú)需向KDC提交身份認(rèn)證信息。4.3基于Kerberos的身份認(rèn)證技術(shù)4.3.1Kerberos身份認(rèn)證方案

3.Kerberos認(rèn)證過(guò)程

Kerberos的認(rèn)證過(guò)程如下圖所示：4.3基于Kerberos的身份認(rèn)證技術(shù)（1）Client上的用戶要想獲得訪問(wèn)某一應(yīng)用服務(wù)器的票據(jù)時(shí)，先以明文方式向AS發(fā)起請(qǐng)求，要求獲得訪問(wèn)TGS的票據(jù)。（2）AS收到Client的請(qǐng)求之后，會(huì)在用戶數(shù)據(jù)庫(kù)中核驗(yàn)其身份。并隨機(jī)生成會(huì)話密鑰SessionKey。然后AS會(huì)構(gòu)建兩個(gè)TGT，分別記作TGT1和TGT2。其中，TGT1(SessionKey，TGS服務(wù)信息，票據(jù)結(jié)束時(shí)間)以用戶密鑰加密，TGT2(SessionKey，客戶信息，票據(jù)結(jié)束時(shí)間)以KDC密鑰加密。4.3基于Kerberos的身份認(rèn)證技術(shù)（3）Client收到TGT1和TGT2后，首先解密TGT1，獲得其中的(SessionKey，TGS服務(wù)信息，票據(jù)結(jié)束時(shí)間)信息。然后生成一個(gè)認(rèn)證符(客戶信息，當(dāng)前時(shí)間，……)，并用SessionKey對(duì)認(rèn)證符加密。最后將客戶端信息、服務(wù)端信息、認(rèn)證符與未解密的TGT2一同發(fā)送給TGS。4.3基于Kerberos的身份認(rèn)證技術(shù)（4）GS收到Client發(fā)來(lái)的數(shù)據(jù)后，首先使用KDC密鑰將TGT2解密，得到其中的(SessionKey，客戶信息，票據(jù)結(jié)束時(shí)間)信息；其次使用SessionKey解密認(rèn)證因子獲得其中的(客戶信息，當(dāng)前時(shí)間，……)信息；然后將前兩步解密出的客戶信息、時(shí)間戳信息等進(jìn)行比對(duì)和核驗(yàn)，確認(rèn)用戶身份合法與票據(jù)時(shí)間有效等；最后，TGS生成ServerSessionKey與TGT3、TGT4，并將其發(fā)送回Client。4.3基于Kerberos的身份認(rèn)證技術(shù)（5）Client收到TGS發(fā)來(lái)的數(shù)據(jù)之后，首先使用SessionKey解密TGT3獲取其中的(ServerSessionKey，服務(wù)端信息，票據(jù)結(jié)束時(shí)間)；然后生成認(rèn)證符(服務(wù)端信息，當(dāng)前時(shí)間，…...)，并使用ServerSessi