- 1、本文档共170页,可阅读全部内容。
- 2、原创力文档(book118)网站文档一经付费(服务费),不意味着购买了该文档的版权,仅供个人/单位学习、研究之用,不得用于商业用途,未经授权,严禁复制、发行、汇编、翻译或者网络传播等,侵权必究。
- 3、本站所有内容均由合作方或网友上传,本站不对文档的完整性、权威性及其观点立场正确性做任何保证或承诺!文档内容仅供研究参考,付费前请自行鉴别。如您付费,意味着您自己接受本站规则且自行承担风险,本站不退款、不进行额外附加服务;查看《如何避免下载的几个坑》。如果您已付费下载过本站文档,您可以点击 这里二次下载。
- 4、如文档侵犯商业秘密、侵犯著作权、侵犯人身权等,请点击“版权申诉”(推荐),也可以打举报电话:400-050-0827(电话支持时间:9:00-18:30)。
- 5、该文档为VIP文档,如果想要下载,成为VIP会员后,下载免费。
- 6、成为VIP后,下载本文档将扣除1次下载权益。下载后,不支持退款、换文档。如有疑问请联系我们。
- 7、成为VIP后,您将拥有八大权益,权益包括:VIP文档下载权益、阅读免打扰、文档格式转换、高级专利检索、专属身份标志、高级客服、多端互通、版权登记。
- 8、VIP文档为合作方或网友上传,每下载1次, 网站将根据用户上传文档的质量评分、类型等,对文档贡献者给予高额补贴、流量扶持。如果你也想贡献VIP文档。上传文档
查看更多
第章用户身份可鉴别性机制
章节介绍 5.1 网络安全中用户身份可鉴别性概述 5.2 用户身份可鉴别性机制的评价标准 5.3 用的网络身份证——数字证书 5.4 网络安全中用户身份可鉴别性机制与评价 5.5 AAA服务 5.6 用户身份鉴别实例分析——U盾 鉴别过程中涉及的对象 提供身份信息的被验证者,称为用户,用户端通常需要有进行登录的设备或系统 检验身份信息正确性和合法性的一方被称为认证服务器,服务器上存放用户的鉴别方式及用户的鉴别信息 提供仲裁和调节的可信的第三方 企图进行窃听和伪装身份的攻击者 认证设备,是用户用来产生或计算密码的软硬件设备 身份鉴别的基本思路 通过与用户的交互获得相关的身份信息,然后提交给认证服务器,后者将身份信息与存储在数据库里的身份信息进行核对处理,根据比较结果确认用户身份是否真实可信 注意:在鉴别中,要求用户身份标识必须唯一 用户身份可鉴别性机制的评价标准 鉴别需做到 验证者正确识别合法用户身份的概率极大 攻击者伪装骗取验证者信任的成功率极小 通过重放鉴别信息进行欺骗和伪装的成功率极小 容易出现的鉴别漏洞 服务器存放用户鉴别信息的用户数据库,防止被攻破,导致信息泄露 鉴别信息在网络传输的安全,防止被截获或重放 用户自己对鉴别信息的妥善保管,防止被盗和丢失等 公开密钥基础设施PKI PKI提供了一个框架,可以再该框架下实施基于加密的安全服务,加标准化,普适灵活,方便可靠,互操作性强而且透明。 实际应用: PGP Microsoft Certificate Server …… PKI之动机 公钥技术 如何提供数字签名功能 如何实现不可否认服务 公钥和身份如何建立联系 为什么要相信这是某个人的公钥 公钥如何管理 方案:引入证书 通过证书把公钥和身份关联起来 密钥生命周期 PKI 定义:用公钥原理和技术实施和提供安全服务的具有普适性的安全基础设施 一个完整的PKI应该包括: 认证机构 证书库 证书注销 密钥备份和恢复 自动密钥更新 PKI中的证书 证书,有时称为cert PKI适用于异构环境中,所以证书的格式在所使用的范围内必须统一 证书是一个机构颁发给一个安全个体的证明,所以证书的权威性取决于该机构的权威性 最常用的证书格式X.509 v3 X.509 为了在开放网络上实现远程的网络用户身份认证,ITU与1988年制订了认证体系标准:“开放性系统互连——目录服务:认证体系X.509” X.509 X.509定义了X.500目录项用户提供认证业务的一个框架,目录的作用是存放用户的公钥证书 X.509还定义了基于公钥证书的认证协议 X.509的最初发布日期是1988年,1993年对初稿进行了修订,1995年发布了第三版本。 X.509的基础是公钥密码体制和数字签名,但其中未特别指明使用哪种密码体制(建议RSA) X.509 在X.509中提到的证书必须符合下列特点: 所有可取得认证中心公钥的用户,可以认证任何由该认证中心签发的证书。 除认证中心本身外,其它任何人修改证书的动作都会被察觉、检测出来。 5.3.2 数字证书的内容 最简单的证书包含一个公开密钥、用户名称以及证书授权中心的数字签名。 一般情况下证书中还包括序号、起始日期、终止日期、发证机关的名称等信息 数字证书的内容 主体 申请数字证书的人或组织 主要任务 产生公/私密钥对 提出申请 提供与申请者相关的证明材料 CA签名的过程 CA首先要对证书的所有字段计算消息摘要 CA用自己的私钥加密消息摘要,构成CA的数字签名 证书机构将计算的数字签名作为数字证书的最后一个字段插入,相当于护照上的盖章、印章和签名 CA签名的过程 常见的证书吊销协议 Certificate Revocation List(CRL,证书吊销表) Online Certificate Status Protocol(OCSP 联机证书状态协议) Simple Certificate Validation protocol(SCVP,简单证书验证协议) 算法评价 优点 简单易用,在安全性要求不高的情况下易于实现 缺点: 易泄漏信息 口令相对固定 算法改进 易泄漏信息 数据库存放明文口令—加密或者变换形式 传输明文信息—加密(密钥的发布问题)、传输信息摘要等 口令固定—动态变化 短信息—防止重放攻击 复习 生成数字证书的参与方有哪几方? 数字证书的生成步骤包括哪些? 对数字证书的信任是由____、______、_____解决的? 简述基于随机挑战的用户身份鉴别机制 基于鉴别令牌鉴别机制的分类 根据令牌的使用方法: 基于随机挑战的令牌用户鉴别机制 基于时间的令牌用户鉴别机制 基于随机挑战的令牌用户鉴别机制 步骤一:S生成令牌的随机种子,这个种子在令牌中存储,同时这个种子和用户名存储在服务器的用户数据库中
您可能关注的文档
- 第章按某些特定要求而开发的控制系统.ppt
- 第章控制系统的动态数学模型.ppt
- 第章控制器的设计.ppt
- 第章提高响应曲线性能指标的控制系统.ppt
- 第章支付结算业务.ppt
- 第章控制系统的状态空间描述.ppt
- 第章操作系统基础知识.ppt
- 第章支付结算业务的核算.ppt
- 第章收入费用利润.ppt
- 第章控制器的设计0000.ppt
- 2025年网络文学平台版权运营模式创新与版权保护体系构建.docx
- 数字藏品市场运营策略洞察:2025年市场风险与应对策略分析.docx
- 全球新能源汽车产业政策法规与市场前景白皮书.docx
- 工业互联网平台安全标准制定:安全防护与合规性监管策略.docx
- 剧本杀剧本创作审核标准2025年优化与行业自律.docx
- 2025年新能源电动巡逻车在城市安防中的应用对城市环境的影响分析.docx
- 全渠道零售案例精选:2025年行业创新实践报告.docx
- 2025年网约车司乘纠纷处理机制优化与行业可持续发展报告.docx
- 2025年宠物烘焙食品市场法规政策解读:合规经营与风险规避.docx
- 2025年宠物行业数据安全监管政策影响分析报告.docx
最近下载
- 《常考题》初中八年级数学上册第十三章《轴对称》习题(含答案解析).docx VIP
- 《事件相关电位入门》课件.ppt VIP
- 《儿童骨科疾病诊断》课件.ppt VIP
- 公司战略与风险管理 第3版 吕文栋 教学大纲+教案1--3.doc
- 12SG121-1 施工图结构设计总说明(混凝土结构) .docx VIP
- 一种实验室危化品试剂进出库智能化管控系统及管控方法.pdf VIP
- 专练08:读后续写-2020-2021学年高一英语下学期期末题型专项训练.docx VIP
- 动脉血标本采集技术操作考核及评分标准.docx
- AI驱动的知识图谱:混合式教学模式创新研究.docx VIP
- AI辅助混合式教学设计实践与效果评估.docx VIP
文档评论(0)