网络安全第八分析.pptVIP

8.5 公钥认证技术 X.509双向和三向认证协议 公钥证书发布 （可离线） A B {IDA,SA(tAB,nAB,IDB,[EB(KAB)]} SB(tBA,nBA,IDA, nAB,[EA(KBA)]} SA(IDB,nBA) 证书 证书 8.6 其他认证技术 基于地址的认证 网卡地址 IP地址 无线通信：方位 生物认证 指纹、虹膜… 结合口令和密钥的个人认证 私钥的保存：USB Key+PIN 多因子认证 Something you know Something you have/have Something you are(biometrics) 8.6 其他认证技术 补充：生物特征识别（ Biometrics，生物测定学） 指纹：可欺骗 视网膜：不舒服，非独一无二，可克服更易接受 手型：非独有 声音：重放，模仿 相貌：有难度 实施因素：代价、用户接受程度 隐私考虑 Unintended functional scope Unintended application scope Covert identification 8.7 PKI技术 PKI 公钥基础设施（Public Key Infrastructure） 基本元素：数字证书 PKI正在快速地演进中，从不同的角度出发，有不同的定义。 一种定义：以公钥加密为基础，创建、管理、存储、分发和撤销证书所需要的一组硬件、软件、人、策略和过程 通过网络进行交流和商业活动，面临的最大问题是如何建立相互之间的信任关系以及如何保证信息的真实性、完整性、机密性和不可否认性 PKI(Public Key Infrastructure，公钥基础设施)则是解决这一系列问题的技术基础，它是电子商务的关键和基础技术。 8.7 PKI技术 PKI组成 认证和注册机构 证书管理 密钥管理 非否认服务 系统间认证 客户端软件 8.7 PKI技术 证书授权CA 证书公布Repository 密钥管理(KMC) 密钥托管(EA) 证书登记 RA 证书使用者EE Policy Appl_key key Appl_cert Cer_reg Appr_cert query Crl, Cert,Status,... Pub. Crl. Cert_reg Key_mng Cross_cert. 其他CA USB支持 证书颁发过程 8.7 PKI技术 PKI信任模型 根CA 中间节点CA 非CA终端实体 CA1 CA2 B A 根CA 根CA 根CA 根CA认证 中间节点CA 非CA终端实体 * * 第八章 认证技术 计算机网络安全技术 NETWORK SECURITY 吴承荣 CWU@FUDAN.EDU.CN 研究生课程2014.9-2015.1 第八章 标识与身份认证 * 8.1 标识 概念 实体（entity）：抽象地指代一个程序、设备、系统或用户等 标识（Identity）：对实体的数字化指代。 识别（identification）：对标识进行鉴定、识别。 主体（Subject）：业务操作发起者 客体（Object）：业务操作对象 实体存在静态和动态两种形式 可执行文件和运行程序 用户和登录用户 实体还可以对应相关的算法、安全属性和管理策略等概念 8.1 标识 系统实体标识 系统资源标识 系统资源：电子文件、数据库、程序… 文件标识 文件名和存储路径 文件内部标识：UNIX系统的i节点，包含文件的访问控制和所有人等安全信息） 文件描述符或句柄 文件分配表项 数据库标识 库名、表名 DBMS维护内部标识 程序标识 静态：同文件标识 运行程序：内部标识，如进程号（PID） 8.1 标识 系统实体标识 用户、组和角色标识 用户：用户名、账号名； 用户的内部标识：UNIX用户号（UID），Windows Access Token 组：代表一组用户 UNIX系统用户和进程都有组标识 角色：特殊的分组，与授权关联 与数字证书相关的标识 所有者情况 公钥 8.1 标识 网络实体标识 主机标识 不同层次不同标识 链路层：物理地址，如MAC地址 网络层：网络地址，如IP地址 更高网络层次：域名地址 广播地址 网络标识 网络资源标识 统一资源定位URL Windows资源标识 8.1 标识 网络实体标识 连接机器状态标识 端口（Port） Tcp/IP五元组：S_IP,D_IP,S_Port,D_Port,Protocol SSL安全连接（关联）标识 HTTP Cookie * 8.2 身份认证（Authentication） 身份认证的目的是验证信息收发方是否持有合法的身份认证符（口令、密钥和实物证件等），进而确定发起方的标识。 当前身份认证主要的依据 Something yo