1 / 34

标识与认证技术

标识与认证技术. 赵超 S310060128. 标识与认证技术. 3.4 公钥认证技术 3.5 其他认证技术 基于地址的认证 生物认证 结合口令和密钥的个人认证 3.6 PKI 技术. 公钥认证技术. 基本原理 服务器 → 声称者 声称者 → 验证者. 数字证书和私钥 数字证书包括:公钥、身份信息、服务器数字签名. 声称者数字证书 声称者公钥、声称者身份信息、服务器数字签名. 防止线路窃听 不能抵御重放攻击. X.509 双向认证协议. (1)A 向 B 发送

rashad-joyner
Download Presentation

标识与认证技术

An Image/Link below is provided (as is) to download presentation Download Policy: Content on the Website is provided to you AS IS for your information and personal use and may not be sold / licensed / shared on other websites without getting consent from its author. Content is provided to you AS IS for your information and personal use only. Download presentation by click this link. While downloading, if for some reason you are not able to download a presentation, the publisher may have deleted the file from their server. During download, if you can't get a presentation, the file might be deleted by the publisher.

E N D

Presentation Transcript

  1. 标识与认证技术 赵超 S310060128

  2. 标识与认证技术 • 3.4 公钥认证技术 • 3.5 其他认证技术 基于地址的认证 生物认证 结合口令和密钥的个人认证 • 3.6 PKI技术

  3. 公钥认证技术 • 基本原理 服务器 → 声称者 声称者 → 验证者 数字证书和私钥 数字证书包括:公钥、身份信息、服务器数字签名 声称者数字证书 声称者公钥、声称者身份信息、服务器数字签名 • 防止线路窃听 • 不能抵御重放攻击

  4. X.509双向认证协议 (1)A向B发送 {IDA, SA(tAB,nAB, IDB,[EB(KAB)])} • 国际电信联盟(ITU)1998年制定的标准 (2)B向A发送 SB(tBA,nBA, IDA, nAB,[EA(KBA)]) • X.509三向认证协议 • (3)A向B发送 • SA(IDB,nBA) 公钥证书发布 A B 第一次通信 第二次通信

  5. 标志与认证技术 • 3.4 公钥认证技术 • 3.5 其他认证技术 基于地址的认证 生物认证 结合口令和密钥的个人认证 • 3.6 PKI技术

  6. 基于地址的认证 • IP地址的认证 数字图书馆、文献数据库 • 网卡地址的认证 局域网内 • 发送者方位的认证 无线网络中

  7. 生物认证 • 利用人的生物特征对人的身份进行认证 • 包括:指纹、人脸、虹膜、语音、掌形、视网膜、DNA、气味、签名等 • 特征采集、数字化、身份绑定

  8. 生物认证的特点 • 普遍性(Universality) • 唯一性(Uniqueness) • 恒久性(Permanence) • 可采集性(Collectability) • 性能(Performance) • 防欺骗性 (User Acceptance) • 可接受性(Resistance to Circumvention)

  9. 生物特征识别技术比较

  10. 生物认证 • 优点生物特征只有本人能使用 • 缺点 需要特征采集和识别设备,不方便

  11. 指纹识别 • 1892年阿根廷的弗朗西斯卡事件

  12. DNA识别 • 因强奸11名妇女而被判处16年监禁的帕特里克·特雷穆是根据一名受害者指甲缝里留下强奸犯的一丁点皮肤破案的。 • 连美国总统克林顿性丑闻 • 根据电脑绘制的一个强奸犯的摹拟人像,马赛的一位无家可归者被逮捕,也是经过DNA检查证明无罪后重新获得自由的。

  13. 结合口令和密钥的认证 • 密钥记忆困难 • 移动存储不安全 • 口令

  14. 标志与认证技术 • 3.4 公钥认证技术 • 3.5 其他认证技术 基于地址的认证 生物认证 结合口令和密钥的个人认证 • 3.6 PKI技术

  15. PKI技术 • 信任 Entity “A” trusts entity “B” when “A” assumes that “B” will behave exactly as “A” expects. 当实体A假定实体B严格地按A所期望的那样行动,则A信任B。 • 信任关系 当两个认证机构中的一方给对方,或双方给对方的公钥颁发证书时,就建立了信任关系。

  16. PKI技术 • 信任域 一个组织内的个体在一组公共安全策略控制下所能信任的个体集合。 • 信任锚 信任的起点。 • 信任路径 一个实体需要确认另一个实体身份时,由信任锚找出一跳到达确认实体的各个证书。

  17. PKI技术 • Public Key Infrastructure 公开密钥基础设施(软件、硬件、人和策略) • 提供认证、数字签名、身份之别、加密等服务 • 支持几乎全部密码技术 • 基本元素是数字证书 • 完整性、机密性、非否认性 • 需要网络支持 • 长期目标是建立一个Internet上任意实体的全球化信任体系

  18. PKI系统的组成 • 认证和注册机构 认证机构(CA)和注册机构(RA)是PKI中负责和用户打交道的部分。 CA的功能是按照制定的安全策略验证用户提交资料的真实。若通过,则向用户颁发数字证书和用户私钥。 RA的主要功能是接受用户提交的资料,它的功能可以由CA代替,但是在概念上RA是独立的。

  19. PKI系统的组成 • 证书管理 PKI中证书管理部分负责发布公钥证书并及时撤销过期证书。在大型网络信息安全应用中,PKI系统一般设置证书库。证书管理部分还负责用户对证书状态的查询。

  20. PKI系统的组成 • 密钥管理 密钥更新 密钥备份与恢复 密钥历史档案管理

  21. PKI系统的组成 • 非否认服务 非否认的方法需要时间戳等数据,由于产生时间戳等数据的功能通用性较强,在由可信第三方产生的情况下能够获得更好的非否认证据,因此PKI系统一般有选择的将它们作为服务提供给用户。

  22. PKI系统的组成 • 系统间的认证 构建一个世界范围的PKI是困难的,现实情况是多个PKI独立运行。不同PKI下的用户可能存在安全通信的需求,因此产生了PKI之间认证的问题。 解决办法是信任模型。在模型下,不同的CA存在信任关系。

  23. PKI系统的组成 • 客户端软件 PKI用户需要一定的客户端软件实现私钥保护、公钥证书获取、证书状态的查询、对时间戳的请求等功能,因此,这部分客户端软件也是PKI的组成部分。

  24. 浏览器中的根CA公钥的应用 • 浏览器可能安装着一些CA的公钥证书 • 可以验证Web发来的公钥证书,确认是否安装发来的插件,或者在认证后进一步协商密钥并建立加密连接,保护传输数据的安全

  25. PKI信任模型 • 单级CA信任模型 • 严格层次结构模型 • 分布式信任结构模型 • Web模型 • 桥CA信任模型 • 以用户为中心的信任模型

  26. 单级CA信任模型 根CA 实体A 实体B 实体C 实体D • 容易实现,易于管理 • 不以扩展

  27. 严格层次结构模型Strict Hierarchy of Certification Authorities Medel • (1)根CA为直接在其下的CA创建和签署证书 • (2)中间节点代表的CA为其下的子节点CA创建和签署证书 • (3)倒数第二层节点代表的CA为其下的子节点用户创建和签署证书

  28. 严格层次结构模型 根CA CA2 CA1 CA3 CA4 CA5 CA6 CA7 CA7 • 容易扩展 • 单个根CA 实体A 实体B

  29. 分布式信任模型 交叉认证 CA1 CA2 CA3 CA4 CA5 CA6 CA7 CA8 CA9 CA10 CA11 实体A 实体B

  30. 分布式信任模型 • 优点 • 灵活性好 • 易恢复 • 增加新认证域容易 • 缺点 • 路径发现比较困难 • 扩展性差

  31. 其他信任模型 • Web模型 • 桥CA信任模型 • 以用户为中心的信任模型

  32. PKI技术的应用 • 安全电子邮件 S/MIME • Web安全(诈骗、泄露、篡改、攻击) • 电子商务的应用

  33. PKI的前景 • 属性证书 • 漫游证书 • 无线PKI(WPKI)

  34. 谢谢

More Related