网络安全认证技术课件.pptx

网络安全认证技术身份认证的概念身份认证是计算机及网络系统识别操作者身份的过程计算机网络是一个虚拟的数字世界，用户的身份信息是用一组特定的数据来表示的，计算机只能识别用户的数字身份，所有对用户的授权也是针对用户数字身份的授权现实世界是一个真实的物理世界，每个人都拥有独一无二的物理身份保证操作者的物理身份与数字身份相对应身份认证的功能信息安全体系的目的是保证系统中的数据只能被有权限的“人”访问，未经授权的“人”无法访问身份认证是整个信息安全体系的基础用于解决访问者的物理身份和数字身份的一致性问题，给其他安全技术提供权限管理的依据防火墙、入侵检测、VPN、安全网关等安全技术建立在身份认证之上针对数字身份进行权限管理，解决数字身份能干什么的问题身份认证的分类用户与主机之间的认证 – 认证人的身份单机状态下的身份认证计算机验证人的身份：你是否是你声称的那个人？人的存储和计算能力有限记忆高数量的密码密钥困难执行密码运算能力有限主机与主机之间的认证 – 通信的初始认证握手网络环境下的身份认证计算机验证计算机计算机存储和计算能力强大能存储高数量的密码和密钥能够快速地进行密码运算认证人的身份认证人的身份所知 (what you know)密码、口令所有 (what you have)身份证、护照、智能卡等所是 (who you are)指纹、DNA等用户名/密码方式用户设定密码，计算机验证易泄露用户经常用有意义的字符串作为密码用户经常把密码抄在一个自己认为安全的地方密码是静态的数据，每次验证过程使用的验证信息都是相同的，易被监听设备截获用户名/密码方式一种是极不安全的身份认证方式可以说基本上没有任何安全性可言IC卡认证IC卡是一种内置集成电路的卡片，卡片中存有与用户身份相关的数据，可以认为是不可复制的硬件IC卡由合法用户随身携带，登录时必须将IC卡插入专用的读卡器读取其中的信息，以验证用户的身份IC卡硬件的不可复制可以保证用户身份不会被仿冒IC卡中读取的数据还是静态的通过内存扫描或网络监听等技术还是很容易截取到用户的身份验证信息动态口令 1是一种让用户的密码按照时间或使用次数不断动态变化，每个密码只使用一次的技术。专用硬件：动态令牌内置电源、密码生成芯片和显示屏密码生成芯片运行专门的密码算法，根据当前时间或使用次数生成当前密码并显示在显示屏上认证服务器采用相同的算法计算当前的有效密码用户使用时只需要将动态令牌上显示的当前密码输入客户端计算机，即可实现身份的确认动态口令 2优点每次使用的密码必须由动态令牌来产生，只有合法用户才持有该硬件一次一密，每次登录过程中传送的信息都不相同，以提高登录过程安全性缺点动态令牌与服务器端程序的时间或次数必须保持良好的同步使用不便生物特征认证 采用每个人独一无二的生物特征来验证用户身份指纹识别、虹膜识别等生物特征认证是最可靠的身份认证方式，因为它直接使用人的物理特征来表示每一个人的数字身份受到现在的生物特征识别技术成熟度的影响USB Key认证近几年发展起来的一种方便、安全、经济的身份认证技术软硬件相结合一次一密 USB Key是一种USB接口的硬件设备，它内置单片机或智能卡芯片，可以存储用户的密钥或数字证书，利用USB Key内置的密码学算法实现对用户身份的认证可使用以上几种技术保护USB Key本身的安全特点比较 特点 应用 主要产品 用户名/密码方式 简单易行 保护非关键性的系统，不能保护敏感信息嵌入在各种应用软件中IC卡认证简单易行很容易被内存扫描或网络监听等黑客技术窃取 IC加密卡等 动态口令一次一密，较高安全性 使用烦琐，有可能造成新的安全漏洞 动态令牌等 生物特征认证安全性最高 技术不成熟，准确性和稳定性有待提高 指纹认证系统等 USB Key认证安全可靠，成本低廉 依赖硬件的安全性USB接口的设备安全握手协议的基本思想网络环境中的认证分布式的网络环境大量客户工作站和分布在网络中的服务器服务器向用户提供各种网络应用和服务用户需要访问分布在网络不同位置上的服务服务器的安全服务器需要通过授权来限制用户对资源的访问授权和访问控制是建立在用户身份认证基础上的通信安全都要求有初始认证握手的要求单向认证只有通信的一方认证另一方的身份，而没有反向的认证过程电子邮件不要求发送方和接收方同时在线邮件接收方对发送方进行认证单向认证不是完善的安全措施，可以非常容易地冒充验证方，以欺骗被验证方原始的单向认证技术用户名/密码发送方接收方1、发送方的用户名和密码通过明文方式传送，易窃听2、接收方检验用户名和密码，然后进行通信，通信中没有保密基于密码技术的单向认证不再发送明文的用户名和密码，而是基于“挑战 – 响应”方式符号f(KAlice-Bob, R)：使用Alice和Bob的共享秘密、按照某种规则对R做密码变换KAlice