电子科技大学：《网络安全理论与技术 Theory and technology of network security》课程教学资源（课件讲稿）第六章 身份认证

电马特监女学 University of Electronic Science and Technology of China 第六章身份认证 信息与软件工程学院

第六章 身份认证 1

电子科技女学 网络安全曜备易散木 6.1身份认证概述 信息与软件工程学院 1

理论与技术 6.1 身份认证概述 2

物电占科放大学 网络安全曜格5散术 身份认证定义 ◆身份认证(authentication): >证实主体的真实身份与其所声称的身份是否相符的过程。 ◆现实生活中，主要通过各种证件（或口令）来验证身份，比如：身 份证、户口本、暗号等。 信息与软件工程学院 3

理论与技术 身份认证定义 ◆身份认证( authentication ) ： ➢证实主体的真实身份与其所声称的身份是否相符的过程。 ◆现实生活中，主要通过各种证件（或口令）来验证身份，比如：身 份证、户口本、暗号等。 3

物电马科技大 网路安全潭备多教术 温故而知新 一数字证书的应用 ◆证书实现公钥和持有者身份的可验证绑定 ◆证书主要用于发布和传输公钥 ◆身份认证 >服务端认证客户端、SSL/TLs( https,客户端认证服务端) >1)验证证书：真实、有效、完整 >2）)验证证书持有：出示证书者是否是证书持有者 ·证书公钥加密，持有者私钥解密 ◆代码签名：保障代码来源真实、代码完整 >发布：sw+sig(hash(sw)) ◆数字信封： >会话密码加密信息，接收方公钥解密会话密钥，一并传输给接收方 信息与软件工程学院

理论与技术 温故而知新——数字证书的应用 ◆证书实现公钥和持有者身份的可验证绑定 ◆证书主要用于发布和传输公钥 ◆身份认证 ➢服务端认证客户端、SSL/TLS（https，客户端认证服务端） ➢1）验证证书：真实、有效、完整 ➢2）验证证书持有：出示证书者是否是证书持有者 ⚫证书公钥加密，持有者私钥解密 ◆代码签名：保障代码来源真实、代码完整 ➢发布：sw+sig(hash(sw)) ◆数字信封： ➢会话密码加密信息，接收方公钥解密会话密钥，一并传输给接收方

物电马科技大学 网络安全 限各易我不 温故而知新— 证书、代码发布实质是消息认证问题 T data sig 证书 Hash Hash 用户 代码 签名 验证 公开信道 签名验证真实性 Hash比对验证完整性 信息与软件工程学院

理论与技术 温故而知新——证书、代码发布实质是消息认证问题 证书 Hash 签名 Hash 验证 公开信道 用户 T V 代码 data sig 签名验证真实性 Hash比对验证完整性

电子科技女学 网络安全曜备易散木 温故而知新一PK的逻辑结构 PK应用 数字证书 注册机构RA 证书机构CA 证书发布系统 PKI策略 软硬件系统 信息与软件工程学院

理论与技术 温故而知新—— PKI的逻辑结构 PKI应用 注册机构RA 证书机构CA 证书发布系统 PKI策略 软硬件系统 数字证书

电子科技女学 网络安全曜备易散木 温故而知新一 证书链 ◆由一系列CA 签发的证书序列，最终以根 CA i 证书结束。 ◆从端实体证书开始，必须验证证书链上每个证书是否由可信CA签 发，直到到达一个可信的根。验证证书的真实性1完整性有效性 可用性 自签证书( 根证书)】 子证书 子证书 端实体证书 颁发者名称 颁发者名称 颁发者名称 颁发者名称 主体名称 主体名称 主体名称 主体名称 公钥信息 公钥信息 公钥信息 公钥信息 其他信息 其他信息 其他信息 其他信息 证书链示意 信息与软件工程学院

理论与技术 温故而知新——证书链 ◆由一系列 CA 签发的证书序列，最终以根 CA 证书结束。 ◆从端实体证书开始，必须验证证书链上每个证书是否由可信CA签 发，直到到达一个可信的根。验证证书的真实性\完整性\有效性\ 可用性 颁发者名称 主体名称 公钥信息 其他信息 颁发者名称 主体名称 公钥信息 其他信息 颁发者名称 主体名称 公钥信息 其他信息 颁发者名称 主体名称 公钥信息 其他信息 … 自签证书( 根证书 ) 子证书 子证书 端实体证书 证书链示意

电子科技女学 网络安全曜格5散术 用户对资源的访问过程 ◆获得系统服务所必须的第一道关卡。 ◆访问控制和审计的前提。 审计数据库 用户 身份认证 访问控制 资源 授权数据库 信息与软件工程学院 8

理论与技术 用户对资源的访问过程 ◆获得系统服务所必须的第一道关卡。 ◆访问控制和审计的前提。 8 用户 访问控制 身 份 认 证 资源 授权数据库 审计数据库

电子科技女学 网络安全曜备5散术 针对身份认证的攻击 ◆数据流窃听(Sniffer): >攻击者窃听网络数据，辨析认证数据，提取用户名和口令。 ◆拷贝/重传： >非法用户截获信息，然后再传送给接收者，产生授权效果。 ◆修改或伪造： >非法用户截获信息，替换或修改信息后再传送给接收者， >非法用户冒充合法用户发送信息。 信息与软件工程学院 9

理论与技术 针对身份认证的攻击 ◆数据流窃听(Sniffer)： ➢攻击者窃听网络数据，辨析认证数据，提取用户名和口令。 ◆拷贝/重传： ➢非法用户截获信息，然后再传送给接收者，产生授权效果。 ◆修改或伪造： ➢非法用户截获信息，替换或修改信息后再传送给接收者， ➢非法用户冒充合法用户发送信息。 9

电子科技女学 网络安全曜备易散木 身份认证分类 ◆根据地域 >本地：本地环境的初始化认证 >远程：连接远程设备、实体和环境的实体认证。 ◆根据方向 >单向认证：指通信双方中只有一方向另一方进行鉴别。 >双向认证：指通信双方相互进行鉴别。 信息与软件工程学院 202276720

理论与技术 身份认证分类 ◆根据地域 ➢本地：本地环境的初始化认证 ➢远程：连接远程设备、实体和环境的实体认证。 ◆根据方向 ➢单向认证：指通信双方中只有一方向另一方进行鉴别。 ➢双向认证：指通信双方相互进行鉴别。 2022/6/20