身份認(rèn)證技術(shù)-楊文虎

身份認(rèn)證技術(shù)案例：國(guó)內(nèi)著名網(wǎng)站用戶密碼泄露事件2011年12月21日上午，中國(guó)最大的開發(fā)者技術(shù)社區(qū)CSDN網(wǎng)站遭到黑客攻擊，600余萬(wàn)用戶資料遭泄露。案例：國(guó)內(nèi)著名網(wǎng)站用戶密碼泄露事件2014年12月25日，據(jù)國(guó)內(nèi)最大的漏洞報(bào)告平臺(tái)——烏云網(wǎng)（）顯示，中國(guó)鐵路客戶服務(wù)中心網(wǎng)站12306的大量用戶信息遭到泄露。被泄露的數(shù)據(jù)總共有131653條，文件大小為14M。泄露的用戶數(shù)據(jù)包括用戶帳號(hào)、明文密碼、身份證、郵箱等。案例思考1.在用戶對(duì)信息資源的訪問過(guò)程中，用戶口令的作用是什么？2.基于用戶口令的身份認(rèn)證面臨哪些安全威脅？3.如何確保口令認(rèn)證的安全性？4.除了口令，還可以采用哪些身份識(shí)別技術(shù)？本章主要內(nèi)容A身份認(rèn)證的概念B基于口令的身份認(rèn)證C持卡身份認(rèn)證D生物識(shí)別身份認(rèn)證E數(shù)字證書FPKI公鑰基礎(chǔ)設(shè)施身份認(rèn)證的概念第一部分身份認(rèn)證的概念1.用戶口令，是人們?cè)谛畔①Y源訪問活動(dòng)中的身份標(biāo)識(shí)，并以此進(jìn)行身份認(rèn)證，防止非授權(quán)訪問。2.身份認(rèn)證（Authentication）是證實(shí)實(shí)體（Entity）對(duì)象的數(shù)字身份與物理身份是否一致的過(guò)程。身份認(rèn)證技術(shù)能夠有效防止信息資源被非授權(quán)使用，保障信息資源的安全。這里的實(shí)體可以是用戶，也可以是主機(jī)系統(tǒng)。身份認(rèn)證的概念身份認(rèn)證分為兩個(gè)過(guò)程：標(biāo)識(shí)與鑒別。1.標(biāo)識(shí)（Identification）就是系統(tǒng)要標(biāo)識(shí)實(shí)體的身份，并為每個(gè)實(shí)體取一個(gè)系統(tǒng)可以識(shí)別的內(nèi)部名稱——標(biāo)識(shí)符ID。2.識(shí)別主體真實(shí)身份的過(guò)程稱為鑒別（Authentication），也有稱作認(rèn)證或驗(yàn)證。3.用戶名或賬戶可以作為身份標(biāo)識(shí)。為了對(duì)主體身份的正確性進(jìn)行驗(yàn)證，主體往往還需要提供進(jìn)一步的憑證，例如密碼（口令）、令牌或是生物特征。身份認(rèn)證的概念創(chuàng)建和發(fā)布的身份信息必須具有三個(gè)特性：1.唯一性。標(biāo)識(shí)符必須是唯一的且不能被偽造，防止一個(gè)實(shí)體冒充另一個(gè)實(shí)體。不同的計(jì)算機(jī)系統(tǒng)、不同的應(yīng)用中，可以使用不同的方式來(lái)標(biāo)識(shí)實(shí)體的身份：可以是一個(gè)唯一的字符串，可以是一張數(shù)字證書（類似于現(xiàn)實(shí)生活中的居民身份證），也可以是主機(jī)IP地址或MAC地址（MediaAccessControl，媒介訪問控制）。例如：Windows系統(tǒng)的登錄用戶名和口令標(biāo)識(shí)了一個(gè)用戶的身份；打開Office文檔的口令標(biāo)識(shí)了用戶的身份；登陸知網(wǎng)時(shí)要求輸入確認(rèn)用戶的合法身份等。身份認(rèn)證的概念創(chuàng)建和發(fā)布的身份信息必須具有三個(gè)特性：2.非描述性。任何身份的標(biāo)識(shí)都不能表明賬戶的目的，例如Administrator這樣的身份標(biāo)識(shí)對(duì)于攻擊者太具有誘惑力了。3.權(quán)威簽發(fā)。有的身份標(biāo)識(shí)，如數(shù)字證書應(yīng)當(dāng)由權(quán)威機(jī)構(gòu)頒發(fā)，以便對(duì)標(biāo)識(shí)進(jìn)行驗(yàn)真，或在出現(xiàn)爭(zhēng)執(zhí)時(shí)提供仲裁?；诳诹畹纳矸菡J(rèn)證第二部分基于口令的身份認(rèn)證基于口令的身份認(rèn)證是應(yīng)用最為廣泛的身份認(rèn)證技術(shù)?？诹铋L(zhǎng)度：通常為長(zhǎng)度為5~16的字符串。選擇原則：易記、難猜、抗分析能力強(qiáng)。12基于口令的身份認(rèn)證來(lái)看看大家都用什么密碼吧：基于口令的身份認(rèn)證使用最多的密碼長(zhǎng)度是8位：竟然不要求長(zhǎng)度如何提高口令質(zhì)量1.對(duì)于用戶增大口令空間選用無(wú)規(guī)律的口令多個(gè)口令用工具生成口令2.對(duì)于網(wǎng)站登錄時(shí)間限制限制登錄次數(shù)盡量減少會(huì)話透露的信息增加認(rèn)證的信息量如何提高口令質(zhì)量某客戶端用戶登錄界面上設(shè)置了“驗(yàn)證碼”輸入框，此驗(yàn)證碼是隨機(jī)值。目前，得到廣泛應(yīng)用的驗(yàn)證碼更多的是CAPTCHA(CompletelyAutomatedPublicTuringtesttotellComputersandHumansApart，全自動(dòng)區(qū)分計(jì)算機(jī)和人類的圖靈測(cè)試)，是一種主要區(qū)分用戶是計(jì)算機(jī)和人的自動(dòng)程序。這類驗(yàn)證碼的隨機(jī)性不僅可以防止口令猜測(cè)攻擊，還可以有效防止攻擊者對(duì)某一個(gè)特定注冊(cè)用戶用特定程序進(jìn)行不斷的登陸嘗試，例如防止刷票、惡意注冊(cè)、論壇灌水等。使用“驗(yàn)證碼”實(shí)現(xiàn)一次性口令認(rèn)證如何提高口令質(zhì)量綁定手機(jī)的動(dòng)態(tài)口令實(shí)現(xiàn)一次性口令認(rèn)證動(dòng)態(tài)口令也可與手機(jī)號(hào)碼綁定，通過(guò)向手機(jī)發(fā)送驗(yàn)證碼來(lái)認(rèn)證用戶身份。很多手機(jī)應(yīng)用中，用戶申請(qǐng)了短信校驗(yàn)服務(wù)后，修改賬戶信息、找回密碼、一定額度的賬戶資金變動(dòng)都需要手機(jī)校驗(yàn)碼確認(rèn)。合法用戶可以通過(guò)接收手機(jī)短信，輸入動(dòng)態(tài)口令，完成認(rèn)證。當(dāng)然，如果用戶手機(jī)丟失，其賬戶將面臨很大安全風(fēng)險(xiǎn)。如何提高口令質(zhì)量使用動(dòng)態(tài)口令牌實(shí)現(xiàn)一次性口令認(rèn)證動(dòng)態(tài)口令牌是一種內(nèi)置電源、密碼生成芯片和顯示屏，并根據(jù)專門的算法定時(shí)自動(dòng)更新口令的硬件設(shè)備。動(dòng)態(tài)口令牌的使用簡(jiǎn)單方便，動(dòng)態(tài)口令定時(shí)更新，用戶只要根據(jù)系統(tǒng)的提示，輸入動(dòng)態(tài)口令牌上當(dāng)前顯示的口令即可。持證身份認(rèn)證技術(shù)第三部分持證認(rèn)證技術(shù)1.使用USBKey增強(qiáng)認(rèn)證安全性USBKey是一種硬件設(shè)備，它內(nèi)置單片機(jī)或智能卡芯片，可以存儲(chǔ)用戶的密鑰或數(shù)字證書，利用USBKey內(nèi)置的密碼算法實(shí)現(xiàn)對(duì)用戶身份的認(rèn)證?；赨SBKey的應(yīng)用包括網(wǎng)上銀行的“U盾”等。2.使用智能卡增強(qiáng)認(rèn)證安全性智能卡（SmartCard）是一種更為復(fù)雜的憑證。它是一種將具有加密、存儲(chǔ)、處理能力的集成電路芯片嵌裝于塑料基片上而制成的卡片。智能卡一般由微處理器、存儲(chǔ)器等部件構(gòu)成。為防止智能卡遺失或被竊，許多系統(tǒng)需要智能卡和個(gè)人識(shí)別碼PIN同時(shí)使用。3.條碼卡4.磁卡5.IC卡6.存儲(chǔ)卡生物識(shí)別認(rèn)證技術(shù)第四部分生物識(shí)別認(rèn)證技術(shù)1.簽名認(rèn)證——不是能識(shí)別出被鑒別的簽名是什么字，而是要能識(shí)別出簽名的人。首先提供一定數(shù)量的簽名系統(tǒng)分析簽名，提取特征通過(guò)比較簽名，進(jìn)行身份識(shí)別2.指紋識(shí)別——基于每個(gè)人指紋的唯一性和穩(wěn)定性?，F(xiàn)代電子集成制造技術(shù)可靠的匹配算法生物識(shí)別認(rèn)證技術(shù)3.語(yǔ)音識(shí)別——不是能識(shí)別出用戶說(shuō)的是什么，而是要能識(shí)別出是誰(shuí)說(shuō)的。語(yǔ)音識(shí)別的要求：創(chuàng)造一個(gè)良好的環(huán)境規(guī)定用戶朗讀的單詞4.虹膜識(shí)別——基于眼睛虹膜的唯一性和穩(wěn)定性。虹膜識(shí)別的主要技術(shù)：虹膜圖像獲取虹膜識(shí)別算法數(shù)字證書第五部分?jǐn)?shù)字證書1.主機(jī)系統(tǒng)如何向用戶證實(shí)自己的身份？2.如何鑒別網(wǎng)站的真假？我們每次上支付寶，用的是地址欄中保存的網(wǎng)址，不會(huì)有假我們可以查看網(wǎng)站的數(shù)字證書數(shù)字證書數(shù)字證書類似于現(xiàn)實(shí)生活中的由國(guó)家公安部門發(fā)放的居民身份證。數(shù)字證書是一段包含用戶身份信息、用戶公鑰信息以及身份驗(yàn)證機(jī)構(gòu)數(shù)字簽名的數(shù)據(jù)。數(shù)字證書是各類實(shí)體(持卡人/個(gè)人、商戶/企業(yè)、網(wǎng)關(guān)/銀行等)在網(wǎng)上進(jìn)行信息交流及商務(wù)活動(dòng)的身份證明。通信各方通過(guò)驗(yàn)證對(duì)方證書的有效性，從而解決相互間的信任問題。數(shù)字證書網(wǎng)絡(luò)用戶企業(yè)網(wǎng)站由權(quán)威的可信第三方（CertificationAuthorityCA）產(chǎn)生根證書。網(wǎng)絡(luò)實(shí)體的系統(tǒng)中通常會(huì)安裝根證書。CA可用根證書為其下級(jí)以及網(wǎng)絡(luò)實(shí)體簽發(fā)數(shù)字證書。系統(tǒng)對(duì)用根證書簽發(fā)的數(shù)字證書都表示信任，從技術(shù)上說(shuō)就是建立起一個(gè)證書信任鏈。用戶驗(yàn)證各網(wǎng)絡(luò)實(shí)體數(shù)字證書的有效性時(shí)，實(shí)際上只要驗(yàn)證為其頒發(fā)數(shù)字證書CA的根證書。用戶信任可信第三方頒發(fā)的根證書，也就信任了網(wǎng)絡(luò)實(shí)體獲得的數(shù)字證書。利用數(shù)字證書鑒別身份的原理版本號(hào)序列號(hào)簽名算法標(biāo)識(shí)符指該證書中的簽名算法簽發(fā)人名字有效時(shí)間起始和終止時(shí)間個(gè)體名字個(gè)體的公鑰信息算法參數(shù)密鑰簽發(fā)人唯一標(biāo)識(shí)符個(gè)體唯一標(biāo)識(shí)符擴(kuò)展域簽名數(shù)字證書X.509證書格式利用數(shù)字證書鑒別身份的原理1.發(fā)布數(shù)字證書的權(quán)威機(jī)構(gòu)和申請(qǐng)數(shù)字證書的企業(yè)或組織應(yīng)具備的條件依法成立的合法組織具有與認(rèn)證服務(wù)相適應(yīng)的專業(yè)技術(shù)人員和管理人員具有與提供認(rèn)證服務(wù)相適應(yīng)的資金和經(jīng)營(yíng)場(chǎng)所，具備為用戶提供認(rèn)證服務(wù)和承擔(dān)風(fēng)險(xiǎn)、責(zé)任的能力具有符合國(guó)家安全標(biāo)準(zhǔn)的技術(shù)、設(shè)備國(guó)家法律法規(guī)規(guī)定的其他條件2.EVSSL數(shù)字證書（ExtendedValidationSSL），遵循全球統(tǒng)一的嚴(yán)格身份驗(yàn)證標(biāo)準(zhǔn)頒發(fā)的數(shù)字證書，是目前業(yè)界最高安全級(jí)別的證書。/EVSSL/index.htm技術(shù)專業(yè)信譽(yù)度高PKI公鑰基礎(chǔ)設(shè)施第六部分公鑰基礎(chǔ)設(shè)施PKIPKI（PublicKeyInfrastructure）公鑰基礎(chǔ)設(shè)施，是一種按照既定標(biāo)準(zhǔn)的密鑰管理平臺(tái)，能夠?yàn)樗芯W(wǎng)絡(luò)應(yīng)用提供加密、數(shù)字簽名、識(shí)別和認(rèn)證等密碼服務(wù)以及所必需的密鑰和證書管理體系。簡(jiǎn)單來(lái)說(shuō)，PKI就是利用公鑰理論和技術(shù)建立的提供安全服務(wù)的基礎(chǔ)設(shè)施。公鑰基礎(chǔ)設(shè)施PKI證書發(fā)布證書注銷證書生成申請(qǐng)與審核證書終止證書歸檔目錄服務(wù)CARA終端用戶PKI是一個(gè)簽發(fā)證書、傳播證書、管理證書、使用證書的環(huán)境PKI保證了公鑰的可獲得性、真實(shí)性、完整性終端實(shí)體：是PKI產(chǎn)品或服務(wù)的最終使用者，可以是個(gè)人、組織、設(shè)備或計(jì)算機(jī)中運(yùn)行的進(jìn)程。證書機(jī)構(gòu)CA：是PKI的信任基礎(chǔ)，用于簽發(fā)并管理證書的可信實(shí)體。注冊(cè)機(jī)構(gòu)RA：是CA的延伸，可以是CA的一部分，也可以獨(dú)立。RA功能包括個(gè)人身份審核、CRL管理、密鑰對(duì)產(chǎn)生和密鑰對(duì)備份等。PKI存儲(chǔ)庫(kù)：包括LDAP服務(wù)器和普通數(shù)據(jù)庫(kù)，用于對(duì)用戶申請(qǐng)、證書、密鑰、CRL和日志等信息進(jìn)行存儲(chǔ)和管理，并提供查詢功能。PKI體系結(jié)構(gòu)PKI存儲(chǔ)庫(kù)KMC受理點(diǎn)受理點(diǎn)受理點(diǎn)RARARACACACACACA接受用戶的證書請(qǐng)求，簽發(fā)用戶證書，是PKI的核心RA接受、驗(yàn)證用戶的申請(qǐng)，將驗(yàn)證通過(guò)的申請(qǐng)?zhí)峤唤oCA，由CA簽發(fā)證書PKI工作過(guò)程PKI工作過(guò)程：（1）實(shí)體向RA提出證書申請(qǐng)。（2）RA核實(shí)實(shí)體身份。（3）RA將實(shí)體身份信息和公開密鑰以數(shù)字簽名的方式發(fā)送給CA。（3）CA驗(yàn)證數(shù)字簽名，同意實(shí)體的申請(qǐng)，頒發(fā)證書。（4）RA接收CA返回的證書，發(fā)送