【网络安全】第4讲 身份认证技术(笔记)

一、身份认证技术概述

1、身份认证

  • 是网络安全的第一道防线。
  • 是最基本的安全服务,其他的安全服务都依赖于它。
  • 在物联网应用系统中,身份认证也是整个物联网应用层信息安全体系的基础。

2、基本身份认证技术

(1)双方认证

是一种双方相互认证的方式。

(2)可信第三方认证

认证过程必须借助于一个双方都能信任的可信第三方(如:Kerberos 认证协议)。


3、基于 PKI/WPKI 轻量级认证技术

(1)PKI(公钥基础设施)

是一个用公钥技术来实施和提供安全服务的、具有普适性的安全基础设施。

(2)WPKI

  • Wireless PKI
  • 是为了满足无线通信的安全需求而发展起来的公钥基础设施。

4、新型身份认证技术 —— 零知识身份认证技术

不需要提供私密信息也能够识别用户身份

技术思想:有两方,认证方 V 和被认证方 P,P 掌握了某些私密信息,P 想设法让 V 相信它确实掌握了那些信息,但又不想让 V 知道他掌握的那些信息具体内容是什么。


5、非对称密钥认证

  • 通过请求认证者和认证者之间对一个随机数作为数字签名与验证数字签名的方法来实现。
  • 要求(用于实现数字签名和验证数字签名的密钥对必须与进行认证的一方唯一对应

二、Kerberos 网络用户身份认证系统

1、Kerberos 简介


2、Kerberos 系统要解决的问题

  • 在一个开放的分布环境中,工作站的用户想获得分布在网络中的服务器上的服务;服务器应能够限制授权用户的访问,并能鉴别服务请求的种类。
  • 但在这种环境下,存在以下三种威胁:
  1. 攻击者可能假装成其他用户操作工作站。
  2. 攻击者可以变更工作站的网络地址,从而冒充另一台工作站发送请求。
  3. 攻击者可以监听信息交换并使用重播攻击,以获得服务或破坏正常操作。

3、Kerberos 系统的功能

  • 提供一个集中的认证服务器,其功能上实现服务器与用户之间的相互认证。
  • 采用可信任的第3方密钥分配中心(KDC)保存与所有密钥持有者通信的主密钥(秘密密钥)
  • 安全机制(首先对发出请求的用户进行身份验证,确认是否是合法的用户,如果是,再审核该用户是否有权对他所请求的服务或主机进行访问)。

4、Kerberos 系统的目的

  • 安全:非法用户不能伪装成合法用户来窃听有关信息。
  • 可靠:用户依靠Kerberos提供的服务来取得进行访问控制所需的服务。
  • 透明:整个系统对用户来说应该是透明的。除了需要输入一个口令外,用户感觉不到认证服务的发生。
  • 可扩缩:系统应采用模块化、分布式结构,能支持大量客户和服务器。

5、Kerberos 系统的角色

(1)认证服务器 AS

作为第三方对用户进行身份认证。

(2)票据许可服务器 TGS

向已通过 AS 认证的用户发送用户获取业务服务器 V 所提供的服务的票据。


6、Kerberos 系统的缩写


7、Kerberos 系统的凭证

(1)票据(Ticket)

(2)鉴别码(Authentication)


8、Kerberos 系统的认证过程


9、Kerberos 系统的优缺点

(1)优点

  • 较高的安全性
  • 用户透明性好
  • 扩展性好

(2)缺点

  • 服务器在回应用户的口令时,不验证用户的真实性。
  • 随着用户数的增加,密钥管理较复杂。
  • AS 和 TGS 是集中式管理,容易形成瓶颈,系统的性能和安全也严重依赖于 AS 和 TGS 的性能和安全。

10、Kerberos 系统的安全性

(1)旧的鉴别码很有可能被存储和重用

票据的有效期可能很长,典型的为八小时

(2)鉴别码基于这样一个事实,即网络中的所有时钟基本上是同步的

如果能够欺骗主机,使它的正确时间发生错误,那么旧鉴别码就能被重放。

(3)Kerberos 对猜测口令攻击很脆弱

若能收集足够多的票据,则有很大机会找到口令。

(4)恶意软件的攻击


11、小结


三、公钥基础设施 PKI

1、PKI

  • Public Key Infrastructure
  • 是一个包括硬件、软件、人员、策略和规程的集合,能够为所有网络应用提供基于公钥密码体制的加密和数字签名等密码服务,以及所必须的密钥和证书的产生、管理、存储、分发和撤销等功能。
  • PKI技术是电子商务的关键和基础。
  • PKI 技术是信息安全技术的核心。

2、PKI 的动机

(1)在开放的环境中为开放性业务提供加密和数字签名服务

(2)公钥技术

  • 如何提供数字签名功能?
  • 如何实现不可否认服务?
  • 公钥和身份如何建立联系(为什么要相信这是某个人的公钥)?
  • 公钥如何管理?

(3)方案

  • 引入证书(certificate)

3、PKI 的基本组成

(1)公钥证书

  • 由可信实体签名的电子记录,记录将公钥和密钥所有者的身份捆绑在一起。
  • 是 PKI 的基本部件

(2)认证机构(CA,Certificate Authority)

  • PKI 的核心,主要任务是颁发和作废公钥证书。

(3)注册机构(RA,Registration Authority)

  • 多数用于在证书请求过程中核实证书申请者的身份。

(4)证书管理机构(CMA,Certificate Management Authority)

  • 将 CA 和 RA 合起来

(5)PKI 管理标准

  • 用于定义证书颁发、吊销、更新和续订等证书管理的细节

(6)数字证书库

  • 用于存储已签发的数字证书及公钥

(7)密钥备份及恢复系统

  • 提供备份与恢复密钥的机制(由可信的机构来完成)
  • 只能备份解密密钥,不能备份签名私钥

(8)证书注销系统


4、PKI 的基本体系结构图


5、PIK 的信任模型

(1)分级模型


(2)对等模型



6、PKI 中的证书(Certificate,简称 cert)

  • PKI 适用于异构环境中,所以证书的格式在所使用的范围内必须统一。
  • 证书是一个机构颁发给一个安全个体的证明,所以证书的权威性取决于该机构的权威性。
  • 一个证书中,最重要的信息是
  1. 个体名字、个体的公钥
  2. 机构的签名、算法和用途
  • 签名证书和加密证书分开
  • 最常用的证书格式为 X.509 v3


7、小结


四、密钥的管理

1、密钥的分配

  • 公开发布
  • 公开可访问目录
  • 公钥授权
  • 公钥证书

2、公钥的分配

(1)分开发布


(2)公开可访问目录


(3)公钥授权


(4)公钥证书


(5)利用公钥分配对称密钥

A. 简单的秘密钥分配


B. 具有保密性和真实性的秘密钥分配


3、Diffie-Hellman 密钥交换

(1)目的

使两个用户能安全地交换密钥。

(2)只限于进行密钥交换

(3)有效性建立在计算离散对树困难性的基础之上


(4)三方或多方 Diffie-Hellman 密钥交换

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:http://www.mzph.cn/diannao/41504.shtml

如若内容造成侵权/违法违规/事实不符,请联系多彩编程网进行投诉反馈email:809451989@qq.com,一经查实,立即删除!

相关文章

人员定位系统在监狱中的应用也同样重要!

监狱管理应用人员定位系统怎么样?新锐科创告诉你,人员定位系统在监狱中的应用也是很重要的,运用这种新型的定位系统,来起到管理监狱人员的作用。 人员定位系统 在监狱中,关押着大量的犯人,所以&#xff0c…

拓扑Transformer模型TopoFormer:革新药物研发的智能钥匙

在药物研发的浩瀚征途中,每一步都充满了挑战与未知。从发现潜在的治疗靶点,到筛选出有效的药物分子,再到通过临床试验验证其安全性和有效性,这一过程往往耗时漫长且成本高昂。然而,随着人工智能技术的飞速发展&#xf…

昇思25天学习打卡营第15天|ResNet50图像分类

学AI还能赢奖品?每天30分钟,25天打通AI任督二脉 (qq.com) ResNet50图像分类 图像分类是最基础的计算机视觉应用,属于有监督学习类别,如给定一张图像(猫、狗、飞机、汽车等等),判断图像所属的类别。本章将介绍使用ResN…

【JAVA入门】Day13 - 代码块

【JAVA入门】Day13 - 代码块 文章目录 【JAVA入门】Day13 - 代码块一、局部代码块二、构造代码块三、静态代码块 在 Java 中,两个大括号 { } 中间的部分叫一个代码块,代码块又分为:局部代码块、构造代码块、静态代码块三种。 一、局部代码块…

c++11新特性-3-自动类型推导

文章目录 自动类型推导1.auto1.1 const修饰1.2 auto不能使用的场景1.3 auto应用场景 2.decltype1.1 基本语法 自动类型推导 1.auto 注意,auto必须进行初始化 auto i 10; //int类型auto k 3.14; //double类型auto db; //错误1.1 const修饰 当const修改指针或者…

C++:构造函数是什么东西

一、构造函数是什么 在C中,构造函数是一种特殊成员函数,它有一下几个明显的特征: 1、它自动在创建新对象时被调用。 2、其名称与类名相同, 3、没有返回类型, 4、通常没有参数(除了默认情况下的隐式thi…

跟《经济学人》学英文:2024年06月01日这期 The side-effects of the TikTok tussle

The side-effects of the TikTok tussle tussle:美 [ˈtəsəl] 激烈扭打;争夺 注意发音 side-effects:副作用;(side-effect的复数) As the app’s future hangs in the balance, the ramifications of …

MySQL的并发控制、事务、日志

目录 一.并发控制 1.锁机制 2.加锁与释放锁 二.事务(transactions) 1.事物的概念 2.ACID特性 3.事务隔离级别 三.日志 1.事务日志 2.错误日志 3.通用日志 4.慢查询日志 5.二进制日志 备份 一.并发控制 在 MySQL 中,并发控制是确…

都有哪些离线翻译器软件?没网就用这4个

经历完痛苦的期末考,可算是千盼万盼等来了日思夜想的暑假!趁着这大好时光,怎么能不来一场出国游呢~ 不知道有多少小伙伴和我一样,出国玩最怕的就是语言不通,不管是吃饭还是游玩体验感都会大受影响~好在多出国玩了几趟…

ES6模块化学习

1. 回顾:node.js 中如何实现模块化 node.js 遵循了 CommonJS 的模块化规范。其中: 导入其它模块使用 require() 方法 模块对外共享成员使用 module.exports 对象 模块化的好处: 大家都遵守同样的模块化规范写代码&#xff…

Linux 时区文件格式【man 5 tzfile】

时区文件格式标准:https://datatracker.ietf.org/doc/html/rfc8536 1. NAME(名) tzfile - 时区文件。(非文本文件) 2. DESCRIPTION(描述) 本页介绍被 tzset(3) 函数使用的时区文件的结构。这…

006 线程安全

文章目录 临界资源线程安全基本概念*何谓竞态条件**何谓线程安全* 对象的安全局部基本类型变量局部的对象引用对象成员(成员变量) 不可变性 临界资源 临界资源是一次仅允许一个进程使用的共享资源。各进程采取互斥的方式,实现共享的资源称作临界资源。属于临界资源…

如何使用GPT进行科研:详细指令指南

如何使用GPT进行科研:详细指令指南 随着GPT模型的流行,越来越多的科研人员开始利用这项技术来辅助科学研究,特别是在文本处理任务如论文翻译、文本润色和降低抄袭率方面。本文将提供详细的指令,帮助科研人员有效地使用GPT进行科研…

计算机相关专业入门,高考假期预习指南

一:学习资源推荐 跟着b站的“黑马程序员”学c,黑马程序员匠心之作|C教程从0到1入门编程,学习编程不再难_哔哩哔哩_bilibili,把这个编程语言基础打好,然后看“蓝桥杯算法”,到了大一直接就能打蓝桥杯比赛了 看完上面的 …

TRILL简介

介绍TRILL的定义及目的。 定义 TRILL(Transparent Interconnection of Lots of Links)是一种把三层链路状态路由技术应用于二层网络的协议。TRILL通过扩展IS-IS路由协议实现二层路由,可以很好地满足数据中心大二层组网需求,为数据中心业务提供解决方案…

用数组手搓一个小顶堆

堆默认从数组下标为1开始存储。 const int N201000; int heap[N]; int len; 插入操作: 将元素插入到堆的末尾位置向上调整。 void up(int k){while(k>1&&heap[k/2]>heap[k]){swap(heap[k],heap[k/2]);k/2;} } //len为当前存在元素长度 void Inser…

水利水库大坝结构安全自动化监测主要测哪些内容?

在大坝安全自动化监测系统建设中,应根据坝型、坝体结构和地质条件等因素选定监测项目;主要监测对象包括坝体、坝基及有关的各种主要水工建筑物、大坝附近的不稳定岸坡和大坝周边的气象环境。深圳安锐科技建议参考下列表格适当调整。 (一&am…

计算机网络(2

计算机网络续 一. 网络编程 网络编程, 指网络上的主机, 通过不同的进程, 以编程的方式实现网络通信(或网络数据传输). 即便是同一个主机, 只要不同进程, 基于网络来传输数据, 也属于网络编程. 二. 网络编程套接字(socket) socket: 操作系统提供的网络编程的 API 称作 “soc…

(0)2024年基于财务的数据科学项目Python编程基础(Jupyter Notebooks)

目录 前言学习目标:学习内容:大纲 前言 随着数据科学的迅猛发展,其在财务领域的应用也日益广泛。财务数据的分析和预测对于企业的决策过程至关重要。 本专栏旨在通过Jupyter Notebooks这一强大的交互式计算工具,介绍基于财务的数…

【车载开发系列】常见单片机调试接口的区别

【车载开发系列】常见单片机调试接口的区别 【车载开发系列】常见单片机调试接口的区别 【车载开发系列】常见单片机调试接口的区别一. JTAG协议二. SWD接口三. RDI接口四. 仿真器1)J-Link仿真器2)ULink仿真器3)ST-LINK仿真器 五. SWD / JTAG…