工业互联网安全技术 课件 第5、6章 认证机制、安全路由.pptx

工业互联网安全技术

第5章认证机制5.1认证机制的安全目标及分类5.2基于对称密码体制的认证协议5.3基于非对称密码体制的认证协议5.4μTESL广播认证协议5.5基于傅里叶级数的双向广播认证协议

第5章认证机制学习要求知识要点能力要求认证机制的安全目标及分类（1）了解认证机制在网络安全方面需要实现的目标（2）掌握认证机制的分类及其定义基于对称密码体制的认证协议（1）理解对称密码体制的基本含义和消息认证码的作用（2）了解Hash函数的定义并掌握基于Hash函数的消息认证码的原理（3）理解并掌握基于分组密码的密码分组链接（CBC）模式构造的消息认证码运行原理（4）理解并掌握基于Hash运算的双向认证协议（5）理解并掌握基于分组密码算法的双向认证协议基于非对称密码体制的认证协议（1）了解基于非对称密码体制认证的基本原理（2）理解并掌握基于公钥密码体制的双向认证协议（3）理解并掌握基于RSA公钥算法的双向认证协议（4）理解并掌握基于ECC公钥算法的双向认证协议μTESL广播认证协议（1）了解μTESLA协议的原理及其三个运行过程（2）理解多级μTESL广播认证协议的原理（3）掌握二级μTESL广播认证协议的具体过程基于傅里叶级数的双向广播认证协议（1）了解并建立基于傅里叶级数的双向广播认证协议的假设（2）了解傅里叶级数的三角函数正交性和傅里叶系数的特性（3）掌握基于傅里叶级数的双向广播认证协议的认证原理（4）在认证完后能够对基于傅里叶级数的双向广播认证协议进行安全性分析

5.1.1认证机制的安全目标认证机制的安全目标随着工业互联网技术在人们的日常生活中越来越深入地应用，它对社会经济发展已产生了越来越大的影响，也面临着越来越多的安全威胁，如隐私威胁、身份冒充、信令拥塞、恶意程序、僵尸网络等，这些都威胁着工业互联网的安全运行，如何提高网络安全，已经成为工业互联网行业目前面临的关键问题。因此，针对物联网中存在的安全威胁，工业互联网提供了认证机制，认证机制需要实现的安全目标如下：真实性数据完整性不可抵赖性新鲜性访问控制

5.1.2认证机制的分类身份认证一般情况下，用户在访问系统前需要经过身份认证系统来识别身份，然后访问监视器，根据用户的身份和授权数据库来决定用户是否有权访问资源，审计系统记录用户的请求和行为，同时入侵检测系统实时或非实时地检测是否有入侵行为。

5.1.2认证机制的分类身份认证由上述可知，身份认证是网络安全体系中的第一步，其它安全服务都要依赖于它。身份认证也叫实体认证、身份识别或身份鉴别，是指在通信过程中接收方验证发送方的身份是否真实，以此建立两个实体间的真实通信。对消息发送方的实体认证通常称为消息源认证，对消息接收方的实体认证通常称为消息宿认证。

5.1.2认证机制的分类身份认证身份认证主要的目的是防止伪造和欺骗，确保通信双方的身份，明确双方的责任。在工业互联网领域内的身份认证机制同样适用，它主要有以下两个方面：工业互联网对新加入节点的认证。为了让具有合法身份的节点加入到安全网络体系中并有效地阻止非法用户的加入，必须要采取实体认证机制来保障网络的安全可靠。工业互联网内部节点之间的认证。内部节点之间认证的基础是密码算法，具有共享密钥的节点之间能够实现相互认证，从而建立一种真实通信。

5.1.2认证机制的分类身份认证在身份认证的过程中常常会遭受到以下攻击：数据流窃听：由于认证协议要通过网络传递，并且很多认证系统的口令是未经加密的明文，攻击者通过窃听网络数据，分辨某种特定系统的认证数据，并提取出用户名和口令。拷贝/重传：非法用户截获数据信息，然后发送给接受者。修改或伪造：非法用户截获数据信息，然后替换或修改数据信息再发送给接受者；或者非法用户冒充合法用户发送消息。

5.1.2认证机制的分类身份认证针对以上攻击，目前常见的身份认证方法有以下几种：主体特征认证口令机制一次性口令智能卡身份认证协议

5.1.2认证机制的分类消息认证实现消息认证有3种方式：消息认证码（MAC）：它利用密钥生成一个固定长度的数块，并将该数据块附加在消息之后，消息认证码可以用于消息源认证和完整性认证。消息加密，将整个消息的密文作为认证标识。Hash函数，利用公开函数将任意长度的消息映射到一个固定长度的Hash值作为认证标识。

5.1.2认证机制的分类消息认证消息认证中常见的攻击和对策包括：重放攻击：截获以前协议执行时传输的信息，然后在某个时候再次使用。对付这种攻击的一种措施是在认证消息中包含一个非重复值，如序列号、时戳、随机数或嵌入目标身份的标志符等。冒充攻击：攻击者冒充合法用户发布虚假消息。为避免这种攻击可采用身份认证技术。重组攻击：把以前协议执行时一次或多次传输的信息重新组合进行攻击。为了避免这类攻击，把协议运行中的所有消息