第三节 信息安全技术-验证技术、数字证书技术x.ppt

2004年12月1日 Technology of Electronic Business Security 2004年12月1日 第三章 信息安全技术 本章学习内容： 加密技术 数字签名 密钥管理技术 验证技术 数字证书技术 3.5 验证技术 验证：消息验证、身份验证、时间验证。 目的： 完整性 身份鉴别、访问控制 不可否认 验证方法： 基于口令 基于令牌 基于生物特征 基于地址 基于数字时间戳 3.5 验证技术（Cont.） 3.5 验证技术（Cont.） 基于口令的验证 最常用、但较弱的访问控制技术。 通过用户身份标志+口令，进行身份验证。通常系统保存用户身份及口令，其中身份标志公开，但口令必威体育官网网址。因此基于口令的验证关键在于口令的机密性。 口令验证失效：通常是由于口令被泄露（窥测、获取口令记录）、猜测、通信窃听、重发、避开。 对策：讨论。 3.5 验证技术（Cont.） 口令选择的原则 容易记易 不易猜中 不易分析 定期更换 口令管理 不能保存口令明文。 保存口令经单向函数变换后的值。 使用一次性口令。 3.5 验证技术（Cont.） 验证协议 对被验证者（客户端）与系统（服务器）之间传输的验证信息通信的管理与决策的标准/机制。 目的：避免通信窃取及重放。 变换后的口令：用户在客户端输入的口令用单向函数变换。服务器同样对数据库中的口令变换。比较两个变换后的口令。 提问/答复：用户请求登录时，服务器向客户端提问一个随机值，用户用单向函数将个人信息与提问随机值计算变换，服务器用同样的方法验算。 时间同步（SecureID）：用户以登录时间作为变换随机值。要求客户端与服务器时间同步。 3.5 验证技术（Cont.） 口令系列（S/KEY）：口令为一个单向的前后相关的序列。服务器记录第N个口令。用户用N-1个口令第N-1次登录时，服务器用单向函数推算出第N个口令，与保存的口令比较。并保存第N-1个口令。登录N次后，服务器生成新的口令序列。 数字签名：服务随机提问+私钥形成数字签名。 X.509认证协议：CCITT建议。 Kerberos认证协议：MIT开发。 3.5 验证技术（Cont.） 零知识技术：用户通过证明自己知道自己的密钥来证明自己的身份。 基本思想：被认证者P掌握秘密信息(身份信息)I(P)，并在不让验证者V知道I(P)的前提下使V 确信P掌握I(P)。 方法：基于第三方的难题解法(如大数因数分解)。 3.5 验证技术（Cont.） 基于个人令牌的验证 令牌(Token)：储存、生成身份信息的可移动设备（硬件令牌）/软件（软件令牌）。 两因素验证：要求用户提供两种格式的标识。一个单一标识因素（例如口令）加另一个因素（格式为认证令牌）。简单的两因素方法（基于用户了解的内容加用户处理的内容）提供比可再用的密码更可靠级别的用户认证。 3.5 验证技术（Cont.） USB令牌/加密卡： USB接口，有处理和存储能力。内含安全文件系统，可以存储数字证书、密钥和其它机密信息。可应用于存储数字证书、个人机密资料、数字签名、电子商务身份认证、银行在线交易 、安全电子邮件、VPN 、安全通信系统集成、内部系统权限管理。 3.5 验证技术（Cont.） 智能卡(SC卡)： 含处理器和存储器。类似的信用卡。除接口外（读卡器），功能与USB-Token类似。 3.5 验证技术（Cont.） PCMCIA卡(PC卡)： 移动设备网络接入接口。可存储个人及移动设备地址信息，带有加解密功能。允许移动用户通过因特网安全地访问企业网络。 3.5 验证技术（Cont.） 人机界面令牌： 手持式移动输入设备，带有输入界面、口令验证。 3.5 验证技术（Cont.） 软件令牌： 在智能卡等硬件设备上安装的、在客户端上运行的，或作为 Web 浏览器插件运行的二进制程序。软件令牌运行时，显示一个用户可以输入个人识别号码（PIN）的窗口，软件令牌计算其通行代码。该用户可以通过将通行代码输入登录表单而得到认证 。 3.5 验证技术（Cont.） 基于生物特征的验证 生理特征：手形、手纹、指纹、脸型、耳廓、视网膜、虹膜、脉搏。 行为特征：签字、声音、步态。 验证技术：手形识别、指纹识别、面容识别、耳形识别、视网膜识别、虹膜识别、语音识别…。统称模式识别。即生物识别系统对生物特征取样，并将其数字化，形成特征模板，保存在数据库中。身份验证时，识别系统提取用户特征，并将它与数据库中相应用户特征模板比较。 特点：方便、安全。 3.5 验证技术（Cont.） 基于地址的验证 依据呼叫/访问的发送地址对用户进行认证。 通过将呼叫/访问者的地址与合法用户的地址比较；或与合法地址用户进行应答，以验证用户身份的合法性。 基于数字时间戳(Digital Time