【精编】信息安全概论课件.ppt

* 零知识身份认证 原理：在A不告诉B秘密的情况下，A可以向B证明她确实知道这个秘密。 使用技术：分割选择 构成： 1、A用其消息与随机数将原有难题转变为新的难题，并且新旧同构。 2、A用她的信息和随机数解新的难题，并且提交新难题的解法。 3、A向B透露新难题，并且B不可能由新难题推至原难题相关信息。 * * 零知识身份认证 4、B要求A求解新难题并证明新旧同构。 5、A同意B的请求，重复相关步骤。 * * 身份认证的实现与应用 RADIUS 远程身份验证拨入用户服务协议（Remote Authentication Dial-In User Service）的简称，它是一种分布式的客户机/服务器系统。 初衷：为拨号用户提供认证与计费服务； 现在：形成了一项通用的认证、计费、授权协议，目前已经广泛实施在各种各样的高安全级别的网络环境中。 * * 身份认证的实现与应用 RADIUS能够提供三种服务，即AAA服务： 1、身份验证（ Authentication ），用于判定用户是否可以获得访问权，限制非法用户； 2、授权（ Authorization ），授权用户可以使用哪些服务，控制合法用户的权限； 3、记账（ Accounting ），记录用户使用网络资源的情况；为收费提供依据。 RADIUS的特征： 1、客户/服务器（C/S）模型：一般NAS为Radius客户端； * * 身份认证的实现与应用 2、网络安全性： Radius服务器与NAS之间使用共享密钥对敏感信息进行加密，该密钥不会在网上传输； 3、灵活的鉴别机制：支持不同的鉴别协议，如PAP、CHAP、EAP等等。 RADIUS的认证步骤： 终端用户（客户端系统）向NAS发出网络连接请求。 NAS收集用户输入用户名和口令，并转发给AAA服务器。 AAA服务器按照一定算法和自身数据库信息匹配，然后将结果返回给NAS，可能是接受、拒绝或其他（如challenge). * * 身份认证的实现与应用 NAS根据返回的结果决定接通或者断开终端用户。 如果认证通过继续以下步骤： 服务器对用户进行授权，NAS根据授权结果对用户上网环境进行配置。 如需计费，NAS将在用户上下线及上网期间内收集用户网络资源使用情况，数据送交记帐服务器。 第四步中RADIUS服务器返回的应答报文，可以分为以下三种类型： 1、Access-Accept：结果匹配； 2、Access-Reject：结果不匹配； * * 身份认证的实现与应用 3、 Access-Challenge：用以核实用户身份。此数据包可定期发送核对信息到网络接入服务器，从而让用户再次提交用户名和密码，以避免一次登录忘记关闭会话页面所导致的问题。 RADIUS还可以提供代理（转发）和漫游（类似于手机漫游）功能。 * * 身份认证的实现与应用 Kerberos 由MIT设计，目的是允许客户以一种安全的方式来访问网络资源，俗称“多头狗”。 其基础是NS协议，但与NS不同的是，其认为所有的时钟都已经同步好了。目前大多数应用基于第四个版本。 拥有四个通信主体：通信主体客户A；服务器B；认证服务器AS；票据服务器TGS。 具体应用过程可以形式化表示为图5-9. * * 访问控制概述 安全性已经成为网络建设的第一要素。 基于访问认证和数据对象的一种可以选择性的允许或禁止某种资源访问的安全技术，即对不同的信息和用户设定不同的权限，保证只允许授权的用户访问授权的资源——访问控制。 访问控制 其是网络安全防范和保护的主要核心策略； 主要任务是保证网络资源不被非法使用和访问； 其决定了谁能够访问系统，能访问系统的何种资源以及如何使用这些资源。 * * 访问控制概述 信息安全的风险被广泛地归结为CIA： C——信息机密性； I——信息完整性； A——信息可用性。 访问控制主要为信息机密性和信息完整性提供保障。 访问控制是ISO安全体系结构中提供的五种安全服务之一。 * * 访问控制概述 安全服务：安全系统提供的各项服务，用以保证系统或数据传输足够的安全性。 ISO7498-2提供了以下五种安全服务： 实体鉴别（Entity Authentication） 数据保密性（Data Confidentiality） 数据完整性（Data Integrity） 防抵赖（Non-repudiation） 访问控制（Access Control） * * 访问控制概述 访问控制可简单概括为针对越权使用资源的防御措施。 访问控制的实质：对资源使用的限制，决定主体是否被授权对客体执行某种操作； 访问控制的目的：为了限制访问主体对访问客体的访问权限，从而使计算机系统在合法的范围内使用。 基本要素：发起访问的主体；接受访问的客体；访问授权机制。 访问控制的有效