数字签名与身份认证技术分解.pptVIP

使用手机内置的浏览器，在不安全的WiFi下问HTTPS仍然是相对安全的，然而UC浏览是一种中转压缩的技术进行加速，实现快捷上网，节省用户流量，这样，所有的访问都通过UC的代理服务器整理后传送UC浏览器客户端。 当用户通过UC浏览器登录Gmail的时候，UC浏览器会把用户访问的URL地址和提交的信息发送到附近的一台UC服务器，这里存在的漏洞是，UC浏览器手机端和UC服务器之间的通讯是采用HTTP协议，并且包括用户名和密码在内的所有信息均为明文传输，这使得UC浏览器和UC服务器之间的通讯可以被监听和抓包 UC浏览器的问题  第三方可以通过这种方法获取手机用户的帐户密码等敏感信息，用户通过登录的任何网站都会被监听，包括邮箱、网站后台、网银、网上支付等。 UC浏览器的问题  以上就是针对基于口令的身份认证所存在的通信窃取问题。 出此之外，基于口令的身份认证主要还面临着如下威胁： 　外部泄露 　猜测　 　重放 　危及主机安全 身份认证协议 １．变换后的口令 口令在客户端通过单向函数处理成为变换后的口令形式，再传送给服务器 ２．提问－答复 ３．时间戳 ４．一次性口令 ５．数字签名 一次性口令 一次性口令是变化的密码，其变化的来源产生于密码的运算因子是变化的。 一次性口令的产生因子一般都采用双运算因子（Two Factor）:其一是用户的私有密钥。它代表用户身份的识别码，是固定不变的。其二是变动因子。正是因为变动因子的不断变化，才产生了不断变动的一次性口令。 采用不同的变动因子，形成了不同的一次性口令认证技术：基于时间同步的认证技术、基于事件同步的认证技术、挑战/应答方式的非同步认证技术。 S/Key一次性口令系统 S/KEY的优点： 用户通过网络传给服务器的口令是利用秘密口令和seed经过MD4或者MD5散列算法生成的密文，用户本身的秘密口令并没有在网络上传播。 在服务器端，因为每一次成功的身份认证之后，seq就自动减1。这样，下一次用户连接时生成的口令同上一次生成的口令是不一样的，从而有效地保证了用户口令的安全； 实现原理简单。Hash函数的实现可以用硬件实现 S/KEY的缺点： 会给使用带来一点麻烦（如口令使用一定次数后就需要重新初始化，因为每次seq都要减1） S/KEY依赖于某种算法（MD4或者MD5）的不可逆性，当有关这种算法可逆计算研究有了新进展时，系统将被迫重新选用其它更安全的算法。 系统不使用任何形式的会话加密，因此没有保密性 双因素认证 把前两种要素结合起来的身份认证方法称为“双因素认证”，是目前具有较高安全性的认证方法。 双因素静态身份认证：每次登录时用户提供的口令和物理设备都是不变的； 双因素动态认证：在静态口令的基础上，增加一个令牌访问设备，令牌设备提供动态口令，从而构成一个他人无法复制和识破的安全密码。 USB Key是一种USB接口的硬件设备。 内置单片机或智能卡芯片 有一定的存储空间，可以存储用户的私钥以及数字证书 利用USB Key内置的公钥算法实现对用户身份的认证。 注意 由于用户私钥保存在密码锁中，理论上使用任何方式都无法读取，因此保证了用户认证的安全性。 基于智能卡的身份验证-USB Key USBkey原理 USB Key存放代表用户唯一身份数字证书和用户私钥。 基于PKI体系的整体解决方案中，用户的私钥是在高安全度的USB Key内产生，并且终身不可导出到USB Key外部。 在网上银行应用中，对交易数据的数字签名都是在USB Key内部完成的，并受到USB Key的PIN码保护。 USBkey身份认证 采用冲击响应的认证方式，主要过程如下： 1、USB Key内置单向散列算法（MD5），预先在USB Key和服务器中存储一个证明用户身份的密钥，当需要在网络上验证用户身份时，先由客户端向服务器发出一个验证请求。 2、服务器接到此请求后生成一个随机数回传给客户端PC上插着的USB Key，此为“冲击”。 3、USB Key使用该随机数与存储在USB Key中的密钥进行MD5运算得到一个运算结果作为认证证据传送给服务器，此为“响应”。 USBkey身份认证 与此同时，服务器使用该随机数与存储在服务器数据库中的该客户密钥进行MD5运算，如果服务器的运算结果与客户端传回的响应结果相同，则认为客户端是一个合法用户。 USBkey的优点 USBkey安全性 （1）用户必须在超级用户状态下（SO PIN 验证通过)，通过自己设定的不 超过 51 字节的种子生成 PID，以后打开和关闭 usbkey 都需要通过 PID 来完成。 PID 的生成算法是在 usbkey 内部完成的，而且是不可逆的