网络安全与网络管理课程(PPT 47页).ppt

身份认证技术 身份认证是指计算机及网络系统确认用户身份的过程，从而确定该用户是否具有对某种资源的访问和使用权限。 身份认证通过标识和鉴别用户的身份，提供一种判别和确认用户身份的机制。 身份认证技术在信息安全中处于非常重要的地位，是其他安全机制的基础。只有实现了有效的身份认证，才能保证访问控制、安全审计、入侵防范等安全机制的有效实施。 * 身份认证概述 在真实世界中，验证一个用户的身份主要通过以下三种方式：所知。、所有、本身特征。 在计算机网络安全领域，将认证（Authentication）、授权（Authorization）与审计（Accounting）统称为AAA或3A。 * 基于密码的身份认证 密码通常由一组字符串来组成，为便于用户记忆，一般用户使用的密码都有长度的限制。但出于安全考虑，在使用密码时需要注意以下几点： （1）不使用默认密码； （2）设置足够长的密码； （3）不要使用结构简单的词或数字组合； （4）增加密码的组合复杂度； （5）使用加密； （6）避免共享密码； （7）定期更换密码。 * 1.一次性密码技术 使用一次性密码技术可以防止重放攻击的发生，这相当于用户随身携带一个密码本，按照与目标主机约定好的次序使用这些密码。用户每一次登录系统所用的密码都是不一样的，攻击者通过窃听得到的密码无法用于下一次认证。当密码全部用完后再向系统管理员申请新的密码本。 一次性密码技术有其安全的地方，但实际使用过程中很不方便。如密码更改问题，初始化问题，本次密码全部使用完后，必须向管理员重新申请新的密码。 * 2.动态口令技术 动态口令技术是一种让用户密码按照时间或使用次数不断变化、每个密码只能使用一次的技术。它采用一种叫做动态令牌的专用硬件，内置电源、密码生成芯片和显示屏。密码生成芯片运行专门的密码算法，根据当前时间或使用次数生成当前密码并显示在显示屏上。认证服务器采用相同的算法计算当前的有效密码。用户使用时只需要将动态令牌上显示的当前密码输入客户端计算机，即可实现身份认证。 由于每次使用的密码必须由动态令牌来产生，只有合法用户才持有该硬件，所以只要通过密码验证就可以认为该用户的身份是可靠的。而用户每次使用的密码都不相同，即使黑客截获了一次密码，也无法利用这个密码来仿冒合法用户的身份。 * 基于地址的身份认证 1．地址认证 基于地址的身份认证主要有IP地址认证和MAC地址认证。 2．智能卡认证 智能卡也称IC卡，是由一个或多个集成电路芯片（包括固化在芯片中的软件）组成的设备，可以安全地存储密钥、证书和用户数据等敏感信息，防止硬件级别的窜改。智能卡芯片在很多应用中可以独立完成加密、解密、身份认证、数字签名等对安全较为敏感的计算任务，从而能够提高应用系统抗病毒攻击以及防止敏感信息的泄漏。 * 生物特征身份认证 生物特征认证又称为“生物特征识别”，是指通过计算机利用人体固有的物理特征或行为特征鉴别个人身份。 1．指纹认证 指纹是人的生物特征的一种重要的表现形式，具有“人人不同”和“终身不变”的特征，以及附属于人的身体的便利性和不可伪造的安全性。 2．虹膜认证 虹膜（眼睛中的彩色部分）是眼球中包围瞳孔的部分，上面布满极其复杂的锯齿网络状花纹，而每个人虹膜的花纹都是不同的。虹膜识别技术就是应用计算机对虹膜花纹特征进行量化数据分析，用以确认被识别者的真实身份。 * 数字签名 数字签名（Digital Signature）又称公钥数字签名或电子签章，是以电子形式存储于信息中或逻辑上与之有联系的数据，用于辨识数据签署人的身份，并表明签署人对数据中所包信息的认可。 基于公钥密码体制和私钥密码体制都可获得数字签名，目前主要是基于公钥密码体制的数字签名。 数字签名的主要功能是保证信息传输的完整性、发送者的身份认证、防止交易中的抵赖行为发生。 * 数字签名工作原理 数字签名经常采用一种称为摘要的技术，摘要技术主要是采用HASH（哈希）函数。HASH函数提供了一种计算过程：输入一个长度不固定的字符串，返回一串定长度的字符串（称为HASH值），将一段长的报文通过函数变换，转换为一段定长的报文，即摘要。 * 7.4 防火墙技术 * 防火墙的概念 防火墙是位于两个信任程度不同的网络之间的软件或硬件设备的组合，目的是保护网络不被他人侵扰。本质上，它遵循的是一种允许或阻止业务来往的网络通信安全机制，也就是提供可控的过滤网络通信，只允许授权的通信。 防火墙位于外部网络和内部网络之间。外部网络位于防火墙的外面，内部网络位于防火墙的里面。一般都把防火墙里面的网络称为“可信任网络”，而把防火墙外面的网络称为“不可信任的网络”。 * 防火墙的位置与作用 * 防火墙的功能 （1）防火墙是网络安全的屏障 一个防火墙能极大地提高一个内部网络的