报文鉴别及身份验证.ppt

认证技术 认证（authentication,也叫验证）就是验证用户身份的合法性和用户间传递消息的完整性与真实性。即当接收方收到发送方的报文时，接收方能够验证收到的报文是真实的未被篡改的。 认证服务主要包括： 报文鉴别 身份验证 报文鉴别 报文鉴别是为了确保数据的完整性和真实性，对报文的来源、时间性及目的地进行验证。它也叫完整性校验，必须解决以下三个问题： （1）报文是由指定的发送方产生的； （2）报文内容没有被修改过； （3）报文是按已传送的相同顺序收到的。 这些问题可由数字签名、信息摘要或散列函数解决。 单向散列函数 单向散列函数：也叫Hash Function，哈希函数、杂凑函数 将任意长度的消息M映射成一个固定长度散列值h的函数：h=H(M)， 其中，h的长度为m。 “散列值” 的长度取决于所采用的算法，通常在128～256位之间。 单向散列函数 散列函数要具有单向性，则必须满足如下特性： 给定M，很容易计算h，便于软硬件实现。 给定h，根据H(M)=h反推M很难，即有单向性 给定M，找到另一M’满足H(M)=H(M’)很难。 常用的散列函数 MD5（Message Digest Algorithm 5）：是RSA数据安全公司开发的一种单向散列算法，MD5被广泛使用，可以用来把不同长度的数据块进行暗码运算成一个128位的数值； SHA（Secure Hash Algorithm）这是一种较新的散列算法，可以对任意长度的数据运算生成一个160位的数值； 散列函数的应用 数字签名，提高效率 消息的完整性验证 MD5应用举例 两个验证： 多个不同文档得出长度相同的数据。 文档只有改变一点，得出的散列值就不一样。 身份验证 身份验证即验证申请进入网络系统者是否是合法用户，以防非法用户访问系统。其方式一般有用户口令验证、摘要算法验证、基于PKI（公钥基础设施）的验证。身份验证一般涉及两个过程： 识别 验证。 身份验证 识别是指要明确访问者是谁，识别信息一般是非秘密的，如用户信用卡号、用户名、身份证号码等； 验证是指在访问者声明自己的身份后，系统对其身份进行验证，以防止假冒，验证信息一般是秘密的，如用户信用卡的密码。 身份验证 身份验证的方法有口令验证、个人持证验证、个人特征验证三种： 口令法：最简单，系统开销也小，应该相当广泛，但安全性也最差。 口令机制 弱口令： 对弱口令的攻击形式 穷举攻击 字典攻击 网络数据流的窃听 LC5的应用 LOphtCrack(简称LC5)是一款网络管理员常用的工具，可以用来检测Windows或UNIX系统用户是否使用了不安全的密码，同样也是一款Win NT/2000/XP/UNIX 管理员帐号密码破解工具。 启动LC5向导 个人持证 持证为个人持有物，如钥匙、磁卡、智能卡等，比口令法安全性好，但验证系统比较复杂，磁卡常和PIN一起使用。 个人特征 个人特征验证法指指纹识别、声音识别、血型识别、视网膜识别等，其安全性最好，但验证系统也最复杂。 数字证书 什么是数字证书 数字证书（Digital ID），又叫“数字身份证”、“网络身份证”，是由认证中心发放并经认证中心数字签名的，包含公开密钥拥有者以及公开密钥相关信息的一种电子文件，可以用来证明数字证书持有者的真实身份。 数字证书采用公钥体制 。 数字证书的格式一般采用X.509国际标准。 用于电子邮件、电子商务等方面 数字证书的存储 数字证书可以存放在计算机硬盘、软盘、IC卡或CPU卡中。 数字证书在计算机硬盘中存放时，使用方便，但存放证书的计算机必须受到安全保护 软盘保存证书，被窃取的可能性有所降低，但软盘容易损坏，易于导致用户数字证书的不可用。 数字证书生命周期 证书申请 证书生成 证书存储 证书发布 证书废止 CA安全认证中心（Certificate Authority） CA是公开密钥的管理机构 CA通过签发证书来分发公钥 验证并标识证书申请者的身份。 确定并检查证书的有效期限。 发布并维护作废证书表。 对整个证书签发过程做日志记录。 证书库 证书库是一种网上公共信息库，用于证书的集中存放，用户可以从此处获得其他用户的证书和公钥。 安全套接层协议（SSL） Internet上对应的七层网络模型的每一层都已经提出了相应的加密协议。SSL是工作于网络会话层（Socket Layer）的网络安全协议。 SSL为服务器与客户机之间提供安全通道，这个安全通道具有3个特征： （1）私密性 （2）确认性 （3）可靠性 SSL协议的基本安全服务 （1）提供认证服务 （2