网络安全认证技术介绍.ppt

本资料来源 网络安全 认证技术 回顾 消息鉴别的目的？ 消息鉴别的分类？ HASH与MAC的比较？ 数字签名的目的？ 直接数字签名的弊端？ 仲裁数字签名的分类？ 身份认证的概念 身份认证是计算机及网络系统识别操作者身份的过程 计算机网络是一个虚拟的数字世界，用户的身份信息是用一组特定的数据来表示的，计算机只能识别用户的数字身份，所有对用户的授权也是针对用户数字身份的授权 现实世界是一个真实的物理世界，每个人都拥有独一无二的物理身份 身份认证与消息鉴别是否是一个概念？ 区别1 身份认证：某一实体确信与之打交道的实体正是所需要的实体。只是简单地鉴别实体本身的身份，不会和实体想要进行何种活动相联系。 消息鉴别：鉴定某个指定的数据是否来源于某个特定的实体。为了确定被认证的实体与一些特定数据项有着静态的不可分割的联系。 身份认证与消息鉴别是否是一个概念？ 区别2 在身份认证中，身份由参与某次通信连接或会话的远程参与者提交。这种服务在连接建立或在数据传送阶段的某些时刻提供使用。 在消息鉴别中，身份和数据项一起被提交，并且声称数据项来源于身份所代表的主体。声称者未必涉及在当前的通信活动中。 身份认证的功能 信息安全体系的目的是保证系统中的数据只能被有权限的“人”访问，未经授权的“人”无法访问 身份认证是整个信息安全体系的基础 用于解决访问者的物理身份和数字身份的一致性问题，给其他安全技术提供权限管理的依据 防火墙、入侵检测、VPN、安全网关等安全技术建立在身份认证之上 身份认证的分类 计算机认证人的身份 用户认证 单机状态下的身份认证 计算机认证计算机的身份 认证协议 网络环境下的身份认证 认证人的身份 用户认证的依据 所知 (what you know) 密码、口令 所有 (what you have) 身份证、护照、智能卡等 所是 (who you are) 指纹、DNA等 基于口令的认证 静态口令 用户设定静态密码，计算机验证 技术层面 口令存储 密文方式存储 UNIX—DES Windows—HASH 口令传输：一般采用CS模式，加密口令或散列函数运算后传输 安全问题 静态 传输过程容易被截获 系统中用户口令以文件形式存储，攻击者易获取文件信息 无法抵御重放攻击 只能进行单向认证 动态口令 1 是一种让用户的密码按照时间或使用次数不断动态变化，每个密码只使用一次的技术。 用户进行认证时候，除输入账号和静态密码之外，必须要求输入动态密码，只有通过系统验证，才可以正常登录或者交易，从而有效保证用户身份的合法性和唯一性。动态口令最大的优点在于，用户每次使用的口令都不相同，使得不法分子无法仿冒合法用户的身份。 动态口令1 动态口令产生方式 共享一次性口令表：口令集合，每个口令使用一次。 口令序列：口令为一个单向的前后相关的序列，系统只用记录第 N个口令。用户用第N－1个口令登录时，系统用单向算法算出第N个口令与自己保存的第N个口令匹配，以判断用户的合法性。由于N是有限的，用户登录N次后必须重新初始化口令序列。 挑战/响应：用户要求登录时，系统产生一个随机数发送给用户。用户用某种单向算法将自己的秘密口令和随机数混合起来发送给系统，系统用同样的方法做验算即可验证用户身份。 时间/事件同步：以用户登录时间作为随机因素。这种方式对双方的时间准确度要求较高，一般采取以分钟为时间单位的折中办法。 动态口令1 动态口令的生成设备 Token Card（令牌卡）用类似计算器的小卡片计算一次性口令。对于挑战/回答方式，该卡片配备有数字按键，便于输入挑战值；对于时间/事件同步方式，该卡片每隔一段时间就会重新计算口令；有时还会将卡片作成钥匙链式的形状，某些卡片还带有PIN保护装置。 Soft Token（软件令牌）用软件代替硬件，某些软件还能够限定用户登录的地点。 动态口令 2 优点 每次使用的密码必须由动态令牌产生，只有合法用户才持有该硬件 一次一密，每次登录过程中传送的信息都不相同，以提高登录过程安全性 缺点 动态令牌与服务器端程序的时间或次数必须保持良好的同步 USB Key认证 近几年发展起来的一种方便、安全、经济的身份认证技术 软硬件相结合 一次一密 USB Key是一种USB接口的硬件设备，它内置单片机或智能卡芯片，可以存储用户的密钥或数字证书，利用USB Key内置的密码学算法实现对用户身份的认证 工行叫U盾，农行叫K宝，建行叫网银盾，光大银行叫阳光网盾 生物特征认证 采用每个人独一无二的生物特征来验证用户身份 指纹识别、虹膜识别等 生物特征认证是最可靠的身份认证方式，因为它直接使用人的物理特征来表示每一个人的数字身份 特点比较 特点 应用 主要产品 静态口令 简单易行 保护非关键性的系统，不能保护敏感信息 嵌入在各种应用软