第三章信息安全技术验证技术、数字证书技术x.pptVIP

* * * 第三章 信息安全技术 -*- * 第一页，共二十四页。 本章学习内容： 加密技术 数字签名 密钥管理技术 验证技术 数字证书技术 * * 第二页，共二十四页。 3.5 验证技术 验证：消息验证、身份验证、时间验证。 目的： 完整性 身份鉴别、访问控制 不可否认 验证方法： 基于口令 基于令牌 基于生物特征 基于地址 基于数字时间戳 * * 第三页，共二十四页。 3.5 验证技术（Cont.） 图3-6 身份验证原理 授权数据库 访问控制器 资源 安全 管理员 用户 合法与不可信用户 身份及授权信息 身份验证 访问控制 访问管理 /监控器 * * 第四页，共二十四页。 3.5 验证技术（Cont.） 基于口令的验证 最常用、但较弱的访问控制技术。 通过用户身份标志+口令，进行身份验证。通常系统保存用户身份及口令，其中身份标志公开，但口令保密。因此基于口令的验证关键在于口令的机密性。 口令验证失效：通常是由于口令被泄露（窥测、获取口令记录）、猜测、通信窃听、重发、避开。 对策：讨论。 * * 第五页，共二十四页。 3.5 验证技术（Cont.） 口令选择的原则 容易记易 不易猜中 不易分析 定期更换 口令管理 不能保存口令明文。 保存口令经单向函数变换后的值。 使用一次性口令。 * * 第六页，共二十四页。 3.5 验证技术（Cont.） 验证协议 对被验证者（客户端）与系统（服务器）之间传输的验证信息通信的管理与决策的标准/机制。 目的：避免通信窃取及重放。 变换后的口令：用户在客户端输入的口令用单向函数变换。服务器同样对数据库中的口令变换。比较两个变换后的口令。 提问/答复：用户请求登录时，服务器向客户端提问一个随机值，用户用单向函数将个人信息与提问随机值计算变换，服务器用同样的方法验算。 时间同步（SecureID）：用户以登录时间作为变换随机值。要求客户端与服务器时间同步。 * * 第七页，共二十四页。 3.5 验证技术（Cont.） 口令系列（S/KEY）：口令为一个单向的前后相关的序列。服务器记录第N个口令。用户用N-1个口令第N-1次登录时，服务器用单向函数推算出第N个口令，与保存的口令比较。并保存第N-1个口令。登录N次后，服务器生成新的口令序列。 数字签名：服务随机提问+私钥形成数字签名。 X.509认证协议：CCITT建议。 Kerberos认证协议：MIT开发。 * * 第八页，共二十四页。 3.5 验证技术（Cont.） 零知识技术：用户通过证明自己知道自己的密钥来证明自己的身份。 基本思想：被认证者P掌握秘密信息(身份信息)I(P)，并在不让验证者V知道I(P)的前提下使V 确信P掌握I(P)。 方法：基于第三方的难题解法(如大数因数分解)。 * * 第九页，共二十四页。 3.5 验证技术（Cont.） 基于个人令牌的验证 令牌(Token)：储存、生成身份信息的可移动设备（硬件令牌）/软件（软件令牌）。 两因素验证：要求用户提供两种格式的标识。一个单一标识因素（例如口令）加另一个因素（格式为认证令牌）。简单的两因素方法（基于用户了解的内容加用户处理的内容）提供比可再用的密码更可靠级别的用户认证。 * * 第十页，共二十四页。 3.5 验证技术（Cont.） USB令牌/加密卡： USB接口，有处理和存储能力。内含安全文件系统，可以存储数字证书、密钥和其它机密信息。可应用于存储数字证书、个人机密资料、数字签名、电子商务身份认证、银行在线交易 、安全电子邮件、VPN 、安全通信系统集成、内部系统权限管理。 * * 第十一页，共二十四页。 3.5 验证技术（Cont.） 智能卡(SC卡)： 含处理器和存储器。类似的信用卡。除接口外（读卡器），功能与USB-Token类似。 * * 第十二页，共二十四页。 3.5 验证技术（Cont.） PCMCIA卡(PC卡)： 移动设备网络接入接口。可存储个人及移动设备地址信息，带有加解密功能。允许移动用户通过因特网安全地访问企业网络。 * * 第十三页，共二十四页。 3.5 验证技术（Cont.） 人机界面令牌： 手持式移动输入设备，带有输入界面、口令验证。 * * 第十四页，共二十四页。 3.5 验证技术（Cont.） 软件令牌： 在智能卡等硬件设备上安装的、在客户端上运行的，或作为 Web 浏览器插件运行的二进制程序。软件令牌运行时，显示一个用户可以输入个人识别号码（PIN）的窗口，软件令牌计算其通行代码。该用户可以通过将通行代码输入登录表单而得到认证 。 * * 第十五页，共二十四页。 3.5 验证技术（Cont.） 基于生物特征的验证 生理特征：手形、手纹、指纹、脸型、耳廓、视网膜、虹膜、脉搏。 行为特征：签字、声音、步态。