身份认证安全之本讲述.ppt

西安海星信息技术研究院院长 王以和 教授 身份认证安全之本 —— 动态口令系统 目录 身份认证 安全之本 身份认证技术简述 动态口令系统 新一代动态口令技术的优点 与文警系统、OKey安全锁、PKI数字证书的集成 一、身份认证 安全之本 1、信息安全简析 对许多网络用户而言，他们知道面临着一定的威胁。但这种威胁来自哪里、究竟有什么后果，他们并不十分清楚。就让我们先来了解一下您正在面临的威胁。 　　一般来说，对普通的网络用户来说，面临的安全性威胁主要有以下4大类：  破坏（disruption），即中断或阻挠系统的正常工作，或破坏系统中的数据资料 泄露（disclosure）,即泄露或窃取系统中的数据资料，或对信息的非授权访问 欺骗（deception），即接受了伪造的数据，或伪装、冒充合法用户的人 篡夺（usurpation），即对系统某个部分的非授权控制 2、威胁的主要来源 非法访问和入侵（黑客、攻击者、 入侵者） 计算机病毒 3、信息安全的要求和内容 安全涉及的范围很广，从广义来说，包括硬件可靠性、可用性，软件可靠性、可用性，系统、设计、运行、维护等各个方面。还涉及到安全策略、管理制度、电磁辐射、不间断供电、数据备份、灾难恢复、病毒防范、黑客入侵、系统漏洞或缺陷等。 信息安全的6项基本要求 机密性（Confidentiality） 身份认证（Authentication） 完整性（Integrity） 授权控制（Authorization） 抗抵赖性（Non Repudiation） 可用性（Availability） 数据安全 系 统 安 全 外 网 安 全 外 部 世 界 4、信息安全三环安全模型 边界——外网安全层 外网安全层主要是防御外部的非法入侵（包括病毒和攻击）造成对系统安全性的损害。 防火墙 入侵检测 防病毒 物理隔离，等 基础——系统安全层 身份认证与AAA； AAA是网络与信息安全的基础 Authentication 身份认证 Authorization 授权控制 Accountability 审计确认 （Auditing，Administration） 核心——数据安全层 数据存储安全： 数据保密——软件方法；硬件方法等 数据备份 数据传送安全：加密方法；各种安全协议；VPN等 二、身份认证技术简述 1、几则新闻报道： （1）“银广夏事件” 从2001年9月下旬到10月12日，北京各大报纸的头版头条多次报道股民股票账户被恶意操纵事件：在银广夏股票连续5个跌停日，全国9位股民的账户上股票被盗卖后再被盗买入银广夏股票，涉及到6家证券公司的7个营业部，9位股民的资金顷刻间化为乌有，股民累计损失达126.56万元。 （2）2001年11月，江西省上饶市公安局破获了一起电脑黑客袭击证券公司案件。犯罪嫌疑人邬子亮在不到两个月的时间里，破解了申银万国上饶营业部的78个股民账号交易密码，并加以修改，导致部分股民无法进入电脑交易系统，股民的账户被“黑客”任意操纵，共产生非法交易额530多万元。 （3）2001年6月，西安的王某等，乘储户填单或取款之机，假装打手机，将储户的账号、密码偷偷记在手机上，或乘储户丢弃取款凭条之机得到储户账号，用空白磁卡伪造出信用卡窃取储户资金，仅6月11日至20日10天时间，就从西安的多家银行柜台和ATM自动柜员机前窃得10余个信用卡账号、密码，然后以转账和取现金的方式将一储户4.5万元现金盗走，总计盗窃金额6.4万元。 （4）百万用户资料被盗 上海一公司30万元捉黑客 上海某网络公司的员工发现，他们辛苦经营的网络游戏上12月20日以前注册的用户资料被人在许多著名网站上公布。经过公司的紧急核实，尽管其中绝大多数信息为伪造数据，但在其中也确实发现了部分服务器组的一定日期前的用户帐户和密码。 在发现后该公司利用各种可能的媒体，正式发布公告提请涉及的用户(所有在2001年12月20日之前注册并且至今从未修改密码的用户)马上修改密码，宣布为所有用户免费补偿一周时间（约损失850万元）。同时立即向上海市公安部门报案。 （5） 美国Citibank于1994年被黑客闯入了现金管理系统，盗取了帐户经理们的密码，把大量现金转送到世界其他地方的银行帐户中去，总值达到1000万美元。后来采用了动态口令技术，给每个帐户经理以及其他有关人员都发放一个动态口令认证卡，就基本上解决了这个问题。 （6） 电子邮件假花旗集团之名欺骗用户帐户信息 ChinaByte8月19日消息 周一(18日)C