丽步通大国因 智能络与络安全教育部重点实验室 XI'AN JIAOTONG UNIVERSITY Ministry of Education Key Lab For Intelligent Networks and Network Security 网络与信息安全 身份认证 沈超刘烃 自动化科学与技术系 西安交通大学电子与信息工程院 chaoshen@mail.XJtu.edu.cn tinglluamall. XJtu. edu. cn 2/7/2021
网络与信息安全 身份认证 沈超 刘烃 自动化科学与技术系 西安交通大学电子与信息工程院 chaoshen@mail.xjtu.edu.cn tingliu@mail.xjtu.edu.cn 2/7/2021 1
身份认证的必要性?重要性? 身份认证的作用是判别用户的身份: 由计算机的访问监视器根据用户的身份和授权决定用 户能够访问的资源 保障信息系统安全的第一道关卡 身份认证系统一旦被攻破: 系统的所有安全措施将形同虚设 黑客攻击的首要目标往往就是身份认证系统 2/7/2021
身份认证的必要性?重要性? • 身份认证的作用是判别用户的身份: – 由计算机的访问监视器根据用户的身份和授权决定用 户能够访问的资源 – 保障信息系统安全的第一道关卡 • 身份认证系统一旦被攻破: – 系统的所有安全措施将形同虚设 – 黑客攻击的首要目标往往就是身份认证系统 2/7/2021 2
提纲 身份认证技术概述 2.基于口令的身份认证 3. Kerberos身份认证协议 4.基于X.509的身份认证 5.基于生物特征的身份认证 6. Windows系统身份认证设计 2/7/2021
提纲 1. 身份认证技术概述 2. 基于口令的身份认证 3. Kerberos 身份认证协议 4. 基于X.509的身份认证 5. 基于生物特征的身份认证 6. Windows系统身份认证设计 2/7/2021 3
身份认证的概念 身份认证是计算机及网络系统识别操作者身份的 过程。 计算机只能识别用户的数字身份,所有对用户的授权 也是针对用户数字身份的授权 现实世界是一个真实的物理世界,每个人都拥有独 无二的物理身份 保证操作者的物理身份与数字身份相对应 2/7/2021
身份认证的概念 • 身份认证是计算机及网络系统识别操作者身份的 过程。 – 计算机只能识别用户的数字身份,所有对用户的授权 也是针对用户数字身份的授权 – 现实世界是一个真实的物理世界,每个人都拥有独一 无二的物理身份 保证操作者的物理身份与数字身份相对应 2/7/2021 4
身份认证的分类 用户与主机之间的认证一认证人的身份 单机/网络环境下的身份认证 计算机验证人的身份:你是否是你声称的那个人? ·主机与主机之间的认证一通信的初始认证握手 网络环境下的身份认证 计算机验证计算机 2/7/2021
身份认证的分类 • 用户与主机之间的认证 – 认证人的身份 – 单机/网络环境下的身份认证 – 计算机验证人的身份:你是否是你声称的那个人? • 主机与主机之间的认证 – 通信的初始认证握手 – 网络环境下的身份认证 – 计算机验证计算机 2/7/2021 5
当前计算环境中的什么场景会用到身份认证? 操作系统登录 网络接入服务 - Windows Internet Unix 校园网 Linux 企业内部网 ·远程服务登录 在线交易 -Telnet 网上银行 - FTP 电子证券 Email 电子商务 VPN 2/7/2021
当前计算环境中的什么场景会用到身份认证? • 操作系统登录 – Windows – Unix – Linux • 远程服务登录 – Telnet – FTP – Email – VPN • 网络接入服务 – Internet – 校园网 – 企业内部网 • 在线交易 – 网上银行 – 电子证券 – 电子商务 2/7/2021 6
身份认证的需求(1/2) 唯一的身份标识(|D) uid. ui d@doma in E.g.,EmaiI=dhx@cernet.edu.cn 抵抗被动的威胁(窃听),口令不在网上 明文传输 进行下列网络服务的身份认证时, 口令传输哪些是明文传输,哪些是 加密传输: Te Inet. FTP SMTP SSH 2/7/2021
身份认证的需求(1/2) • 唯一的身份标识(ID): – uid,uid@domain – E.g., Email = dhx@cernet.edu.cn • 抵抗被动的威胁(窃听),口令不在网上 明文传输 源 目的 进行下列网络服务的身份认证时, sniffer 口令传输哪些是明文传输,哪些是 加密传输: Telnet,FTP,SMTP,SSH 2/7/2021 7
Wireshark抓包验证 telnet明文传输密码 1173.172711192168.56.129 192.168.56.128TELNET Telnet Data 1223.872027192.168.56.128 192.. 129 TELNET Telnet data Fle Edit Vie 1243.872777192.168.56,128 192.168,56.129 TELNET Telnet data s Ethernet II, Src: Vmware cc: 30: 9a (00: 0c: 29: cc: 30: 9a), Dst: Vmware e8: f9 fe(00: 0c: 29 ter: ICe P Internet ProtocoL,src:192.16856129(192.16856,129),Dst:12.168.56.128(192.168 Timb Tran smission Control Protocol, Src Port: telnet(23), Dst Port: 45595 (45595),Seq: 20 410.0 V Telnet 450.0 Data: Password 480.055408 192.168.56.12 192.168.56.128 TELNETTeLnet Data 21223.872027192.16856128 192.168,56.129 TELNE 562.21243.87277192.168.56.128 192, 168.56.129 TELNETTelnet Data 572.2 66 2.4 Ethernet II, Src: Vmware_e8: f9: fe(00 e8: f9: fe), Dst: Vmware CC: 30: 9a(00: 0c: 25 682.4 s Internet protocol,src:192.168.56.128(192.168.56.128),Dst:192.168.56.129(192.161 D Tran smission Control Protocol, Src Port: 45595(45595), Dst Port: telnet(23),Seq D Ethernet v Telnet D Internet D Transmissin oronoco Lnet 23L TELNET Telnet elnet Dat 1354.120541192,168.56,128 Data 192. 168.56 129 TELNETTelnet Data D Ethernet II, Src: Vmware e8: f9: fe (00: 0c: 29: e8: f9: fe), Dst: Vmware cc: 30: 9a(00: 0c: 29 0600000c 0010003b f Internet protoco,src:192.168.56.128(192.168.56.128),Dst:192.168.56.129(192.168 0020 80 Tran smission Control Protocol, Src Port: 45595(45595), Dst Port: telnet (23), Seq: 10 0030 01 6av Telnet eth0. <live ca Data: e 2/7/2021
Wireshark抓包验证telnet明文传输密码 2/7/2021 8
身份认证的需求(2/2) 抵抗主动的威胁,比如阻断、伪造、重放 网络上传输的认证信息不可重用 passwd □加密 a&)*=~,{ 解密 ■■■■ 2/7/2021
身份认证的需求(2/2) • 抵抗主动的威胁,比如阻断、伪造、重放 ,网络上传输的认证信息不可重用 passwd 加密 $%@&)*=-~`^,{ 解密 2/7/2021 9
身份认证的方式1/2) 单向认证 只有通信的一方认证另一方的身份 ,而没有反向的认证过程 ·双向认证 用于通信双方的相互认证 认证的同时可以协商会话密钥 单点认证(Sing| e sign-0n) 用户只需要一次认证操作就可以访 问多种服务
身份认证的方式(1/2) • 单向认证 – 只有通信的一方认证另一方的身份 ,而没有反向的认证过程 • 双向认证 – 用于通信双方的相互认证 – 认证的同时可以协商会话密钥 • 单点认证(Single Sign-On) – 用户只需要一次认证操作就可以访 问多种服务