《网络攻击与防范》课件_第13章-典型的网络防范技术.pptxVIP

第13章

典型的网络防范技术13

内容安排数字签名技术身份认证技术访问控制技术防火墙技术入侵检测技术网络防范新技术2

13.1数字签名技术数字签名技术3概念：附加在数据单元上的一些数据，或是对数据单元所作的密码变换，这种数据或变换允许数据单元的接收者用以确认数据单元来源和数据单元的完整性，并保护数据，防止被人（例如接收者）进行伪造。通俗解释：数字签名用于在数字社会中实现类似于手写签名或者印章的功能，即实现对数字文档进行签名。数字签名技术能够提供比手写签名或印章更多的安全保障

13.1数字签名技术数字签名功能4防冒充（伪造）。私有密钥只有签名者自己知道，所以其他人不可能构造出正确的签名结果数据。可鉴别身份。在数字签名中，客户的公钥是其身份的标志，当使用私钥签名时，如果接收方或验证方用其公钥进行验证并获通过，那么可以肯定，签名人就是拥有私钥的那个人，因为私钥只有签名人知道。防篡改（防破坏信息的完整性）。数字签名与原始文件或摘要一起发送给接收者，一旦信息被篡改，接收者可通过计算摘要和验证签名来判断该文件无效，从而保证了文件的完整性。

13.1数字签名技术数字签名功能5防重放。在数字签名中，如果采用了对签名报文添加流水号、时间戳等技术，可以有效地防止重放攻击。防抵赖。数字签名既可以作为身份认证的依据，又可以作为签名者签名操作的证据。要防止接收者抵赖，可以在数字签名系统中要求接收者返回一个自己签名的表示收到的142报文，给发送者或受信任第三方。如果接收者不返回任何消息，此次通信可终止或重新开始，签名方也没有任何损失，由此双方均不可抵赖。机密性（保密性）。数字签名可以加密要签名的消息，在网络传输中，可以将报文用接收方的公钥加密，以保证信息机密性。

13.1数字签名技术6RSA算法是目前计算机密码学中经典的算法之一，也是截至目前使用最为广泛的数字签名算法，在信息安全和认证领域都发挥了重要作用。RSA数字签名算法的密钥和RSA加密算法的密钥实现方式一样，因此，统称为RSA算法。该算法的安全性依赖于数论中的大数分解困难问题，即两个大素数相乘，非常容易得到一个大整数，但是将一个大整数分解为两个大素数却非常困难。RSA数字签名

13.1数字签名技术7DSA是专门用于签名的算法，除了使用密钥外，每次签名还使用一个不同的随机数，它的安全性基于素域上的离散对数问题。DSA（DigitalSignatureAlgorithm，数字签名算法）ECDSA（EllipticCurveDigitalSignatureAlgorithm，椭圆曲线数字签名算法）CDSA是椭圆曲线密码（EllipticCurveCryptography，ECC）和DSA签名算法的结合，该算法具有密钥存储空间小、安全性高的特点。

13.1数字签名技术8盲签名：盲签名主要用于需要匿名的电子投票或者电子支付系统中。该签名方案保证了签名方案的匿名性和不可追踪性。多签名：多签名机制允许多个签名人对消息进行签名且生成的签名比各个签名人独立签名生成的签名值集合更简短。门限签名：门限签名机制允许n个签名人中的任意k个签名人对消息生成签名，但少于k个签名人参与则无法生成有效签名。群签名：群签名机制允许多个签名人形成一个签名人群组，群组中的任意一个成员可代表整个群组匿名地生成某个消息的签名。

13.2身份认证技术9身份认证的任务可以概括成以下四个方面：会话参与方身份的认证：保证参与者不是经过伪装的潜在威胁者；会话内容的完整性：保证会话内容在传输过程中不被篡改；会话的机密性：保证会话内容（明文）不会被潜在威胁者所窃听；会话抗抵赖性：保证在会话后双方无法抵赖自己所发出过的信息。

13.2身份认证技术10基于口令的认证技术：通过口令来验证用户的合法有效性。静态口令：若口令生成后，在使用过程中固定不变，这样的口令称为静态口令，例如邮箱登录使用的就是静态口令。动态口令：动态口令解决了静态口令因重复使用带来的安全问题。动态口令是每次认证时使用随机数算法生成的新的不可预测的口令基于秘密信息的身份认证

13.2身份认证技术11基于密码的身份认证：包括基于对称密码的身份认证和基于非对称密码的身份认证Kerberos认证系统：基于对称密码实现的身份认证系统，实现了实体认证与密钥建立。公钥基础设施（PublicKeyInfrastructure，PKI）：的基于非对称密码的身份认证系统，它采用证书管理公钥，通过第三方将用户的公钥和用户的其他