网络安全概述_05认证技术基础介绍.ppt

生物标识和认证 所谓生物识别技术，就是通过计算机与光学、声学、生物传感器和生物统计学原理等高科技手段密切结合，利用人体固有的生理特征和行为特征来进行个人身份的坚定。 本质：模式识别 用于鉴别的生物特征 基于特征的生物认证方法需要遵守的几个标准 普遍性—意味着这一特征每一个人必须拥有特征 唯一性—这一特征与他人没有任何的共性 稳定性—这一特征不随时间、外界环境等发生变 化 可接受性—这一特征可被人们接受和认可 防伪性—这一特征不易仿造、窃取 可收集性—这一特征必须能够容易地由提供的技 术设备测量 可执行性—这一特征必须准确、快速、健壮，并 且不要求过多的资源 生物认证的一个主要问题是扫描的结果或多或少都会与模板不同 系统接受冒名顶替者的概率称作错误匹配率FAR（错误接受率） 系统拒绝授权个人的概率称作错误不匹配率FRR（错误拒绝率） FAR与FRR相互制约 一、认证基本概念 1、问题的提出 2、认证的分类 3、消息认证 4、身份认证 5、认证协议 1、问题的提出 认证就是确认实体是它所声明的。 认证是最重要的安全服务之一。认证服务提供了关于某个实体身份的保证。（所有其它的安全服务都依赖于该服务） 认证可以对抗假冒攻击的危险 2、认证的种类 数字签名：手写签名的电子化 消息认证：消息来源和内容的合法性 HASH函数：消息的完整性 身份认证：实体所宣称与实体本身的相符性 认证协议：身份认证、密钥交换 3、消息认证（1） 需求：在网络通信中，有一些针对消息内容的攻击方法 伪造消息 窜改消息内容 改变消息顺序 消息重放或者延迟 定义描述：对收到的消息进行验证，证明确实是来自声称的发送方，并且没有被修改过。 如果在消息中加入时间及顺序信息，则可以完成对时间和顺序的认证 3、消息认证（2） 实现消息认证的基本方法： Message encryption：用整个消息的密文作为认证标识（接收方必须能够识别错误） MAC：一个公开函数，加上一个密钥产生一个固定长度的值作为认证标识 Hash function：一个公开函数将任意长度的消息映射到一个固定长度的散列值，作为认证标识 4、身份认证（1） 定义：证实客户的真实身份与其所声称的身份是否相符的过程。 依据： Something the user know (所知） 密码、口令等 Something the user possesses （拥有） 身份证、护照、密钥盘等 Something the user is (or How he behaves) （即个人特征识别或说生物特征识别） 指纹、笔迹、声音、虹膜、DNA等 4、身份认证（2） 消息认证与身份认证的差别： 身份认证（实体鉴别）一般都是实时的，消息鉴别一般不提供实时性。 实体鉴别只证实实体的身份，消息鉴别除了要证实报文的合法性和完整性外，还需要知道消息的含义。 数字签字是实现身份识别的有效途径。但在身份识别中消息的语义是基本固定的，一般不是“终生”的，签字是长期有效的。 5、认证协议（1） 双方认证 (mutual authentication) 通信双方相互进行认证 单向认证 (one-way authentication) 通信双方只有一方向另一方进行鉴别 5、认证协议（2） 最常用的协议。该协议使得通信各方互相认证鉴别各自的身份，然后交换会话密钥。 基于鉴别的密钥交换核心问题有两个： 保密性 实效性 为了防止伪装和防止暴露会话密钥，基本鉴别和会话密码信息必须以保密形式通信，这就要求预先存在保密或公开密钥供实现加密使用。第二个问题也很重要，因为涉及防止消息重放攻击。 二、身份认证基本情况 1、身份认证的作用 2、身份认证的分类 3、身份认证的模型和组成 4、身份认证的要求 5、身份认证的实现途径 6、身份认证的机制 1、身份认证的作用 身份认证需求： 某一成员（声称者）提交一 个主体的身份并声称它是那个主体。 身份认证目的： 使别的成员（验证者）获得对声称者所声称的事实的信任 2、身份认证的分类（1） 实体鉴别可以分为本地和远程两类。 实体在本地环境的初始化鉴别（就是说，作为实体个人，和设备物理接触，不和网络中的其他设备通信）。 连接远程设备、实体和环境的实体鉴别。 本地鉴别：需要用户进行明确的操作 远程鉴别：通常将本地鉴别结果传送到远程。 （1）安全 （2）易用 2、身份认证的分类（2） 实体鉴别可以是单向的也可以是双向的。 单向鉴别是指通信双方中只有一方向另一方进行鉴别。 双向鉴别是指通信双方相互进行鉴别。 3、身份认证的组成（1）