网络安全技术及应用 第5版 课件 Ch6 身份认证与访问控制.pptx

“十三五”国家重点出版规划 项目,上海市高校优秀教材奖;目 录;教 学 目 标;6.1 身份认证基础;6.1 身份认证基础;6.1 身份认证基础;6.1 身份认证基础;6.1 身份认证基础;6.1 身份认证基础;6.1 身份认证技术概述 ;?讨论思考： 1）认证从参与认证过程的角色及所依赖的外部条件主要有哪些类型？ 2）什么是身份认证？身份认证的作用是什么？ 3）常用的身份认证方式有哪些？并举例说明。;在网络系统中，身份认证机制定义了参与认证的通信方在身份认证过程中所需要交换的消息的格式、消息发生的次序以及消息的语义，为网络中的各种资源提供安全保护。 认证机制与授权机制常结合一起，通过认证的用户才可获得使用权限。常用的认证机制有：固定口令方式、一次性口令认证、双因素安全令牌、单点登入等。;1 . 固定口令方式 也叫静态密码认证。是一种以检验用户设定的固定字符串进行系统认证的方式。当通过网络访问网站资源时，系统要求输入用户名和密码。在账户和密码被确认后，用户便可访问授权的资源。 固定口令认证方式简单，易受攻击： 1）网络数据流窃听（Sniffer）。 2）认证信息截取/重放。 3）字典攻击。 4）穷举尝试（Brute Force）。 5）窥探密码。 6）社会工程攻击(冒充)。 7）垃圾搜索。;2.动态口令(一次性)认证 一次性口令（One Time Password，OTP）认证体制，主要在登入过程中加入不确定因素，使每次登入过程中传送的信息都不相同，从而提高系统安全性。是目前应用最广的一种身份识别方式，主要有动态短信密码和动态口令牌（卡）两种方式，口令一次一密。 一次性口令认证系统组成： （1）生成不确定因子 口令序列方式 挑战/回答方式 时间同步方式 （2）生成一次性口令。 硬件卡（Token Card） 软件（Soft Token）; ;智能卡（Smart Card）是一种将具有加密、存储、处理能力的集成电路芯片嵌在塑料基片上而制成的卡片，是一种带有存储器和微处理器的集成电路卡，能够安全存储认证信息，并具有一定的计算能力。 智能卡认证根据用户所拥有的实物进行，发行时要经过个人化(Personalization)或初始化(Initialization)阶段，其具体内容因卡的种类和应用模式而不同。发卡机构根据系统设计要求将应用信息(如发行代码等)和持卡人的个人信息写入卡中，使该智能卡成为持卡人的专有物，并用于特定的应用模式。;6.2 身份认证技术与数字签名; ; ;6.2 身份认证技术与数字签名;6.2 身份认证技术与数字签名; 数字签名（Digital Signature）又称公钥数字签名或电子签章,是以电子形式存储嵌入于文件/信息中/以附件或逻辑关联数据, 用于辨识数据签署人身份,表明签署人对数据中所包含信息的认可。 基于公钥或私钥密码体制都可获得数字签名，目前主要是基于公钥密码体制数字签名。包括普通数字签名和特殊数字签名两种。; ; ;6.2.6 数字签名的种类; 3. 密码、密码代号或个人识别码 主要指用一种传统的对称密钥加/解密的身份识别和签名方法。甲方需要乙方签名一份电子文件，甲方可产生一个随机码传送给乙方，乙方用事先双方约定好的对称密钥加密该随机码和电子文件回送给甲方，甲方用同样的对称密钥解密后得到电文并核对随机码，如随机码核对正确，甲方即可认为该电文来自乙方。 4．基于量子力学的计算机(文件) 基于量子力学的计算机被称作量子计算机，是以量子力学原理直接进行计算的计算机。比传统的图灵计算机具有更强大的功能，计算速度要比现代的计算机快几亿倍。 5．基于PKI 的电子签名 基于PKI 的电子签名被称作数字签名。有人称“电子签名”就是“数字签名”，其实这是一般性说法，数字签名只是电子签名的一种特定形式。; ;网上通信双方互相认证身份后,即可发送签名的数据电文。数字签名全过程分两部分:签名与验证.数字签名与验证过程和技术实现的原理。 发方将原文用哈希算法求得数字摘要，用签名私钥对数字摘要加密求得数字签名，然后将原文与数字签名一起发送给收方；收方验证签名，即用发方的公钥解密数字签名，得出数字摘要；收方将原文采用同样哈希算法又得一新的数字摘要，将两个数字摘要进行比较，如果两者匹配，说明经数字签名的电子文件传输成功。; ; ;3. 数字签名过程及实现;6.3 访问控制技术 ;6.3 访问控制技术 ; 2. 访问控制的功能和内容 访问控制的主