版權(quán)說明:本文檔由用戶提供并上傳,收益歸屬內(nèi)容提供方,若內(nèi)容存在侵權(quán),請進(jìn)行舉報或認(rèn)領(lǐng)
文檔簡介
第3章數(shù)字簽名與認(rèn)證3.1數(shù)字簽名概述3.2單向散列函數(shù)3.3Kerberos身份驗證3.4公開密鑰基礎(chǔ)設(shè)施PKI3.5用戶ID與口令機制3.6生物特征識別技術(shù)3.7智能卡
3.1數(shù)字簽名概述在網(wǎng)絡(luò)通信和電子商務(wù)中很容易發(fā)生如下問題。1.否認(rèn),發(fā)送信息的一方不承認(rèn)自己發(fā)送過某一信息。2.偽造,接收方偽造一份文件,并聲稱它來自某發(fā)送方的。3.冒充,網(wǎng)絡(luò)上的某個用戶冒充另一個用戶接收或發(fā)送信息。4.篡改,信息在網(wǎng)絡(luò)傳輸過程中已被篡改,或接收方對收到的信息進(jìn)行篡改。用數(shù)字簽名(DigitalSignature)可以有效地解決這些問題。數(shù)字簽名就是主要用于對數(shù)字信息進(jìn)行的簽名,以防止信息被偽造或篡改等。
3.1.1數(shù)字簽名原理公開密鑰體制可以用來設(shè)計數(shù)字簽名方案。設(shè)用戶Alice發(fā)送一個簽了名的明文M給用戶Bob的數(shù)字簽名一般過程如下:1.Alice用信息摘要函數(shù)hash從M抽取信息摘要M’;2.Alice用自己的私人密鑰對M’加密,得到簽名文本S,即Alice在M上簽了名;3.Alice用Bob的公開密鑰對S加密得到S’;4.Alice將S’和M發(fā)送給Bob;5.Bob收到S’和M后,用自己的私人密鑰對S’解密,還原出S;6.Bob用Alice的公開密鑰對S解密,還原出信息摘要M’;7.Bob用相同信息摘要函數(shù)從M抽取信息摘要M”
;8.Bob比較M’與M”,當(dāng)M’與M”相同時,可以斷定Alice在M上簽名。由于Bob使用Alice的公開密鑰才能解密M’,可以肯定Alice使用了自己的私人密鑰對M進(jìn)行了加密,所以Bob確信收到的M是Alice發(fā)送的,并且M是發(fā)送給Bob的。有關(guān)hash函數(shù)的作用將在下一節(jié)介紹。
3.1.3PGP電子郵件加密
PGP混合使用RSA、IDEA、MD5、PKZIP、和PEM等算法。PGP能夠提供數(shù)據(jù)加密、數(shù)字簽名和密鑰管理等服務(wù)。
用戶Alice使用PGP方法向用戶Bob發(fā)送電子信息M過程大概如下:
1.Alice用hash函數(shù)(如MD5算法)從明文M中抽取信息文摘D;2.Alice用RSA算法和自己的私人密鑰對信息文摘D進(jìn)行加密得到簽名C;
3.Alice對信息M進(jìn)行壓縮得到ZM;4.Alice用IDEA算法和隨機密鑰K對ZM進(jìn)行加密得到密文M’;5.Alice使用Bob的公開密鑰對K進(jìn)行加密,得到K’;
6.Alice將K’、M’、C發(fā)送給Bob;7.Bob用自己的私人密鑰解密K’
還原出K;
8.Bob使用K對加密信息M’進(jìn)行解密,還原出ZM;9.Bob對ZM解壓縮得到M10.Bob用Alice的公開密鑰對C進(jìn)行解密得到D;11.Bob用相同的hash函數(shù)從明文M中抽取信息文摘D’;12.Bob比較D和D’,如D與D’相同,就可以判定是Alice的簽名,并且M在傳輸過程中沒有被篡改。
3.2單向散列函數(shù)單向散列函數(shù),也稱hash函數(shù),它可以提供判斷電子信息完整性的依據(jù),是防止信息被篡改的一種有效方法。單向散列函數(shù)在數(shù)據(jù)加密、數(shù)據(jù)簽名和軟件保護(hù)等領(lǐng)域中有著廣泛的應(yīng)用。3.2.1單向散列函數(shù)特點
hash函數(shù)的作用是當(dāng)向hash函數(shù)輸入一任意長度的的信息M時,hash函數(shù)將輸出一固定長度為m的散列值h。即:
h=h(M)
安全的hash函數(shù)的特點是:1.hash函數(shù)能從任意長度的M中產(chǎn)生固定長度的散列值h。2.已知M時,利用h(M)很容易計算出h。3.已知M時,要想通過控制同一個h(M),計算出不同的h是很困難的。4.已知h時,要想從h(M)中計算出M是很困難的。5.已知M時,要找出另一信息M',使h(M)=h(M')是很困難的。最常用的hash算法有MD5、SHA算法等。下面介紹一個利用hash函數(shù)實現(xiàn)報文鑒別(證實)實例。
如果Alice發(fā)送了信息給Bob,Bob收到信息后需要證實:1.Bob收到的明文是否肯定由Alice發(fā)送的。2.Bob收到的明文是否被篡改。鑒別過程:1.Alice用單向散列函數(shù)h從明文M中抽取信息文摘X,并利用RSA算法和Alice的私人密鑰sk對X加密,得到密文E(X)。
這個過程相當(dāng)于數(shù)字簽名。2.Alice將M、E(X)發(fā)送給Bob3.Bob收到M、E(X)后,用Alice的公開密鑰pk對E(X)解密,即:
D(E(X))→X,還原出X4.Bob用相同的單向散列函數(shù)h從收到的明文M中抽取信息文摘X15.Bob比較X1和X,如果X1=X時,則證實:M是Alice發(fā)送的,并且明文在傳輸過程中沒有被篡改;否則,證實:M不是Alice發(fā)送的,或者明文在傳輸過程中已經(jīng)被篡改。
3.2.2MD5算法在對輸入的明文初始化之后,MD5是按每組512位為一組來處理輸入的信息,每一分組又被劃分為16個32位子分組,經(jīng)過了一系列的處理后,算法的輸出由四個32位分組組成,把這四個32位分組串聯(lián)(級聯(lián))后將生成一個128位散列值。
MD5的算法步驟如下:
1.?dāng)?shù)據(jù)填充與分組
(1)將輸入信息M按順序每512位長度為一組進(jìn)行分組,即:
M=M1,M2,…,Mn-1,Mn
(2)將信息M的Mn長度填充為448位。當(dāng)Mn長度L(bit為單位)<448時,在信息Mn后加一個“1”,然后再填充447-L個“0”,使最后的信息Mn長度為448位。當(dāng)Mn長度L>448時,在信息Mn后加一個“1”,然后再填充512-L+447個“0”,使最后的信息Mn長度為512位,Mn+1長度為448位2.初始化散列值在MD5算法中要用到4個變量,分別為A、B、C、D,均為32位長。初始化值為:
A=0x01234567B=0x89abcdefC=0xfedcba98D=0x76543210
在MD5算法過程中,這四個32位變量被稱為鏈接變量(chainingvariable),它們始終參與運算并形成最終的散列值。3.計算散列值(1)將填充后的信息按每512位分為一塊(Block),每塊按32位為一組劃分成16個分組,即Mi=Mi0,Mi2,…,Mi15,i=1~n。(2)分別對每一塊信息進(jìn)行4輪計算(即主循環(huán)),每輪計算基本相同。每一輪定義一個非線性函數(shù),它們分別是:
F(X,Y,Z)=(X&Y)|((~X)&Z)G(X,Y,Z)=(X&Z)|(Z&(~Z))H(X,Y,Z)=X^Y^ZI(X,Y,Z)=Y^(X|(~Z))
其中:函數(shù)中的X、Y、Z均為32位二進(jìn)制數(shù),按C++語言習(xí)慣,用&表示按位與,|表示按位或,~表示按位取反,^表示按位異或。
(3)將A、B、C、D這四個變量分別復(fù)制到變量a、b、c、d中。(4)每一輪又進(jìn)行16次操作,每次操作對a、b、c、d中的三個變量作一次非線性函數(shù)運算,然后將所得的結(jié)果與第四個變量、信息的一個分組Mj和一個常數(shù)ti相加。再將所得的結(jié)果循環(huán)左移一個不定數(shù)s,并加上a、b、c、d中的一個變量。
設(shè)Mj表示每塊信息的第j個分組(j=0~15,i=1~64),<<<表示循環(huán)左移s位,則4輪運算中的一個具體運算函數(shù)可表示如下:
FF(a,b,c,d,Mj,s,ti
)
表示
a=b+((a+F(b,c,d)+Mj+ti
)<<<s)
GG(a,b,c,d,Mj,s,ti
)表示
a=b+((a+G(b,c,d)+Mj+ti
)<<<s)HH(a,b,c,d,Mj,s,ti
)表示
a=b+((a+H(b,c,d)+Mj+ti
)<<<s)II(a,b,c,d,Mj,s,ti
)
表示
a=b+((a+I(b,c,d)+Mj+ti
)<<<s)
在第i步中,常數(shù)ti
取值為232×abs(sin(i))的整數(shù)部分,i的單位為弧度。這樣就可以得到4輪共64步操作見教材。
(5)進(jìn)行上述64步操作后,將A,B,C,D,分別加上a,b,c,d,就完成了MD5一次運算,如圖3.1所示。然后再對下一塊信息繼續(xù)進(jìn)行MD5算法,直到所有信息塊都進(jìn)行MD5算法為止。
(6)最后的輸出就是A、B、C、D的級聯(lián),即A作為低位,D作為高位,共128位輸出。MD5被廣泛用于加密和解密技術(shù)中,可以用來保護(hù)密碼、生成軟件注冊碼等。3.2.3SHA算法
SHA-1散列算法過程如下:1.SHA-1對輸入明文的預(yù)處理過程和MD5相同,但SHA輸出為160位,并分別存儲于五個32位變量中,這五個變量初始值為:
A=0x67452301B=0xefedab89
C=0x98badefeD=0x10325476E=0xc3d2elf0
和MD5算法一樣,SHA-1一次處理512位信息,主循環(huán)的次數(shù)就是信息中512位分組的數(shù)目。2.先將A、B、C、D和E五個變量復(fù)制到變量a、b、c、d和e中。3.SHA-1也有四輪循環(huán),但每輪有20次操作(MD5共有四輪,每輪有16次操作),共有80次操作。每次操作對a、b、c、d和e中三個變量進(jìn)行一次非線性運算。
SHA每一輪的非線性函數(shù)F為:
5.將輸入的512位明文分為16組,每組32位,表示為M0,M1,…,M15。再將該512位明文變換成80組,每組32位的W0,W1,…,W79信息。
Wt定義如下:
Wt=Mt0≤t≤15Wt=(Wt-3^Wt-8^Wt-14^Wt-16)<<<1
16≤t≤796.這樣SHA算法四輪共80次循環(huán)可以描述為:
FORt=0TO79DOTEMP=(a<<<5)+Ft(b,c,d)+e+Wt+Kte=dd=cc=b<<<30b=aa=TEMP
7.SHA循環(huán)結(jié)束后將進(jìn)行:
A=A+aB=B+b
C=C+c
D=D+d
E=E+e8.然后再用相同的方法進(jìn)行下一個分組運算,直到所有分組都處理完為止。最后將A,B,C,D,E輸出,就得到SHA的散列值。
3.3Kerberos身份驗證3.3.1什么是KerberosKerberos是一種網(wǎng)絡(luò)身份驗證協(xié)議,Kerberos要解決的問題是:在一個開放的分布式網(wǎng)絡(luò)環(huán)境中,如果工作站上的用戶希望訪問分布在網(wǎng)絡(luò)中服務(wù)器上的服務(wù)和數(shù)據(jù)時,我們希望服務(wù)器能對服務(wù)請求進(jìn)行鑒別,并限制非授權(quán)用戶的訪問。在分布式網(wǎng)絡(luò)環(huán)境下,可能存在以下三種威脅:1.用戶可能訪問某個特定工作站,并偽裝成該工作站的用戶;
2.用戶可能會更改工作站的網(wǎng)絡(luò)地址,偽裝成其他工作站;3.用戶可能竊聽報文交換過程,并使用重放攻擊來獲得進(jìn)入服務(wù)器或中斷進(jìn)行的操作。針對分布式網(wǎng)絡(luò)環(huán)境下的安全威脅,kerberos提供認(rèn)證身份服務(wù)不依賴主機操作系統(tǒng)的認(rèn)證、不信任主機地址、不要求網(wǎng)絡(luò)中的主機保持物理上的安全。
Kerberos服務(wù)起到可信仲裁者的作用,它提供了安全的網(wǎng)絡(luò)鑒別,實現(xiàn)服務(wù)器與用戶間的相互鑒別。
3.3.2Kerberos工作原理整個Kerberos系統(tǒng)由認(rèn)證服務(wù)器AS、票據(jù)許可服務(wù)器TGS、客戶機和應(yīng)用服務(wù)器四部分組成。
Kerberos第5版協(xié)議如圖3.2所示。
1.憑證
Kerberos使用兩類憑證:票據(jù)和鑒別碼。票據(jù)是用來在認(rèn)證服務(wù)器和用戶請求的服務(wù)之間傳遞用戶的身份,同時也傳遞附加信息用來保證使用票據(jù)的用戶必須是票據(jù)中指定的用戶。對單個的服務(wù)器和客戶而言,票據(jù)包括了客戶名、服務(wù)器名、網(wǎng)絡(luò)地址、時間標(biāo)記(又稱時間戳)和會話密鑰等,這些信息用服務(wù)器的密鑰加密??蛻粢坏┇@得該票據(jù),便可多次使用它來訪問服務(wù)器,直到票據(jù)過期為止。
鑒別碼則是另外一個憑證,與票據(jù)一起發(fā)送。將鑒別碼提供信息與票據(jù)中的信息進(jìn)行比較,一起保證發(fā)出票據(jù)的用戶就是票據(jù)中指定的用戶。鑒別碼包括用戶名、時間標(biāo)記和一個可選的附加會話密鑰key等,它們用Kerberos服務(wù)器與客戶共享的會話密鑰加密。
Kerberos鑒別碼的格式如下:
與票據(jù)不同的是,鑒別碼只能使用一次。
2.客戶票據(jù)獲取
客戶給Kerberos鑒別服務(wù)器發(fā)送一個信息,該信息包括客戶名及其TGS服務(wù)器名。Kerberos鑒別服務(wù)器在其數(shù)據(jù)庫中查找該客戶,如果客戶在數(shù)據(jù)庫中,Kerberos便產(chǎn)生了一個會話密鑰。Kerberos利用客戶的密鑰加密會話密鑰,然后為客戶產(chǎn)生一個許可票據(jù)TGT(TicketGrantingTicket)向TGS證實他的身份,并用TGS的密鑰加密。鑒別服務(wù)器將這兩種加密的信息,即會話密鑰和許可票據(jù)TGT發(fā)送給客戶。
3.服務(wù)器票據(jù)獲取
當(dāng)客戶需要一個他從未擁有的票據(jù)時,他可以向TGS發(fā)送一個請求。TGS在接收到請求后,用自己的密鑰解密此TGT,然后再用TGT中的會話密鑰解密鑒別碼。最后,TGS比較鑒別碼中的信息與票據(jù)中的信息、客戶的網(wǎng)絡(luò)地址與發(fā)送的請求地址,以及時間標(biāo)記與當(dāng)前時間。如果每一項都吻合,便允許處理該請求。
4.服務(wù)請求
當(dāng)客戶向服務(wù)器鑒別自己的身份時,客戶產(chǎn)生一個鑒別碼。并由TGS為客戶和服務(wù)器產(chǎn)生的會話密鑰對鑒別碼加密。請求由從Kerberos接收到的票據(jù)和加密的鑒別碼組成。服務(wù)器解密并檢查票據(jù)和鑒別碼,以及客戶地址和時間標(biāo)記。當(dāng)一切檢查無誤后,根據(jù)Kerberos,服務(wù)器就可以知道該客戶是不是他所宣稱的那個人。
3.4公開密鑰基礎(chǔ)設(shè)施PKI
PKI就是通過使用公開密鑰技術(shù)和數(shù)字證書來提供網(wǎng)絡(luò)信息安全服務(wù)的基礎(chǔ)設(shè)施,是在統(tǒng)一的安全認(rèn)證標(biāo)準(zhǔn)和規(guī)范基礎(chǔ)上提供在線身份認(rèn)證、證書認(rèn)證CA(CertificateAuthority)、數(shù)字證書、數(shù)字簽名等服務(wù)。3.4.1數(shù)字證書數(shù)字證書(DigitalCertificate)是由權(quán)威機構(gòu)CA發(fā)行的一種權(quán)威性的電子文檔,是網(wǎng)絡(luò)環(huán)境中的一種身份證,用于證明某一用戶的身份以及其公開密鑰的合法性。數(shù)字證書原理是基于公開密鑰體制。從最終使用者來看,數(shù)字證書可分為系統(tǒng)證書和用戶證書。從證書的用途來看,數(shù)字證書可分為簽名證書和加密證書。1.系統(tǒng)證書系統(tǒng)證書指CA系統(tǒng)自身的證書,包括CA中心的證書、業(yè)務(wù)受理點的證書以及
CA系統(tǒng)操作員的證書。2.用戶證書用戶證書包括:(1)個人數(shù)字證書:證書中包含個人身份信息和個人的公開密鑰,用于標(biāo)識證書持有人的個人身份。
(2)機構(gòu)數(shù)字證書:證書中包含企業(yè)信息和企業(yè)的公開密鑰,用于標(biāo)識證書持有企業(yè)的身份。(3)個人簽名證書:證書中包含個人身份信息和個人的簽名私鑰,即私人密鑰,用于標(biāo)識證書持有人的個人身份。
(4)機構(gòu)簽名證書:證書中包含企業(yè)信息和企業(yè)的簽名私鑰,用于標(biāo)識證書持有企業(yè)的身份。
(5)設(shè)備數(shù)字證書:證書中包含服務(wù)器信息和服務(wù)器的公開密鑰,用于標(biāo)識證書持有服務(wù)器的身份。
3.簽名與加密證書簽名證書用于對用戶信息進(jìn)行簽名,以保證信息的不可否認(rèn)性。加密證書用于對用戶傳送信息進(jìn)行加密以保證信息的真實性和完整性。在使用中必須為用戶配置兩對密鑰,即簽名密鑰對、加密密鑰對,及兩張證書。簽名密鑰對由簽名私人密鑰和驗證公開密鑰組成。
加密密鑰對由加密公開密鑰和解密私人密鑰組成。
4.X.509數(shù)字證書一個標(biāo)準(zhǔn)的X.509數(shù)字證書包含內(nèi)容有:版本、序列號、簽名算法標(biāo)識、簽發(fā)者、有效期、主體、主體公開密鑰信息、CA的數(shù)字簽名、可選項等。(1)證書版本號:指出該證書使用了哪種版本的X.509標(biāo)準(zhǔn);
(2)證書序列號:CA會給每一個證書分配唯一的證書序列號;
(3)證書簽名算法標(biāo)識符:用來指定CA簽發(fā)證書時所使用的公開密鑰算法和hash算法;
(4)證書認(rèn)證機構(gòu):證書的發(fā)行機構(gòu)名稱,命名規(guī)則一般采用X.500格式;(5)證書有效期:證書起始時間以及終止時間,指明證書在這兩個時間段內(nèi)有效;(6)證書所有人的名稱:命名規(guī)則一般采用X.500格式;(7)證書所有人的公開密鑰信息:包括證書持有人的公鑰、算法的標(biāo)識符和其他相關(guān)的密鑰參數(shù)。(8)CA的數(shù)字簽名:這是使用發(fā)布者私鑰生成的簽名,以確保這個證書在發(fā)放之后沒有被篡改過;
(9)可選項:包括簽發(fā)者唯一標(biāo)識、證書持有人唯一標(biāo)識符等都是可選項,可根據(jù)需要進(jìn)行選擇。智能卡(IC卡)和電子鑰匙UKey具備便于攜帶、抗復(fù)制、低成本及不易損壞等特征,是目前較為理想的數(shù)字證書存儲介質(zhì)。
3.4.2PKI基本組成
PKI至少具有認(rèn)證機構(gòu)(CA)、數(shù)字證書庫、密鑰備份及恢復(fù)系統(tǒng)、證書作廢處理系統(tǒng)、PKI應(yīng)用接口系統(tǒng)五個基本系統(tǒng),構(gòu)建PKI也將圍繞這五大系統(tǒng)來構(gòu)建。
1.認(rèn)證機構(gòu)CA
CA的主要功能就是簽發(fā)證書和管理證書,其主要職責(zé)包含下面幾個方面:
(1)驗證并標(biāo)識證書申請者的身份;(2)確保CA用于簽名證書的非對稱密鑰的質(zhì)量和安全性;
(3)確保整個簽證過程的安全性,確保簽名私人密鑰的安全性;(4)管理證書信息資料,包括公開密鑰證書序列號、CA標(biāo)識等的管理;(5)確定并檢查證書的有效期限;(6)確保證書用戶標(biāo)識的唯一性;(7)發(fā)布并維護(hù)作廢證書表;(8)向申請人發(fā)通知。
2.數(shù)字證書庫
數(shù)字證書庫是證書集中存放的地方,是網(wǎng)上的一種公共信息庫,用戶可以從證書庫中獲得其他用戶的證書和公開密鑰。
3.密鑰備份及恢復(fù)如果用戶丟失了用于解密數(shù)據(jù)的密鑰,則密文數(shù)據(jù)將無法被解密,造成數(shù)據(jù)丟失。為避免這種情況的出現(xiàn),PKI應(yīng)該提供備份與恢復(fù)解密密鑰的機制。4.證書作廢處理系統(tǒng)
同日常生活中的各種證件一樣,數(shù)字證書在CA為其簽署的有效期以內(nèi)也可能需要作廢。作廢證書一般通過將證書列入作廢證書表CRL(CertificateRevocationLists)來完成。證書的作廢處理必須在安全及可驗證的情況下進(jìn)行,系統(tǒng)還必須保證CRL的完整性。5.密鑰和證書的更新
為了保證安全,證書和密鑰必須有一定的更換頻度。因此,PKI對已發(fā)的證書必須有一個更換措施,這個過程稱為密鑰更新或證書更新。
6.證書歷史檔案
在密鑰更新后,每一個用戶都會形成多個舊證書和至少一個當(dāng)前新證書。這一系列舊證書和相應(yīng)的私人密鑰就組成了用戶密鑰和證書的歷史檔案。
與私人密鑰不同的是,為了防止其他人使用舊的簽名密鑰,當(dāng)簽名密鑰被更新時,必須完全銷毀舊的簽名密鑰。
7.PKI應(yīng)用接口
PKI應(yīng)用接口系統(tǒng)需要實現(xiàn)如下的功能:(1)為所有用戶以一致、可信的方式使用公開密鑰證書提供支持;
(2)為用戶提供安全、統(tǒng)一的密鑰備份與恢復(fù)支持;
(3)確保用戶的簽名私人密鑰始終只在用戶本人的控制之下,阻止備份簽名私人密鑰的行為;
(4)根據(jù)安全策略自動為用戶更換密鑰,實現(xiàn)密鑰更換的自動、透明與一致;
(5)為方便用戶訪問加密的歷史數(shù)據(jù),向用戶提供歷史密鑰的安全管理服務(wù);
(6)為所有用戶訪問統(tǒng)一的公用證書庫提供支持;
(7)向所有用戶提供統(tǒng)一的證書作廢處理服務(wù);
(8)完成交叉證書的驗證工作,為所有用戶提供統(tǒng)一模式的交叉驗證支持;
(9)支持多種密鑰存放介質(zhì),包括IC卡、PC卡、安全文件等。
3.4.3對PKI的性能要求
作為網(wǎng)絡(luò)安全環(huán)境的一種基礎(chǔ)設(shè)施,PKI必須具有良好的性能。(1)透明性和易用性。(2)可擴展性。(3)互操作性。
(4)
支持多應(yīng)用
(5)支持多平臺。3.4.4PKI的標(biāo)準(zhǔn)
與PKI相關(guān)的標(biāo)準(zhǔn)主要包括以下一些:
1.ASN.1(AbstractSyntaxNotationOne)是描述在網(wǎng)絡(luò)上傳輸信息格式的標(biāo)準(zhǔn)方法。2.X.500是一個將局部目錄服務(wù)連接起來,構(gòu)成全球分布式目錄服務(wù)系統(tǒng)的協(xié)議,它定義了一個機構(gòu)如何在全局范圍內(nèi)共享其名字和與之相關(guān)的對象。3.X.509為X.500用戶名稱提供了通信實體的鑒別機制,并規(guī)定了實體鑒別過程中廣泛適用的證書語法和數(shù)據(jù)接口。
4.PKCS系列標(biāo)準(zhǔn)由RSA實驗室針對PKI體系的加解密、簽名、密鑰交換、分發(fā)格式及行為等制訂的PKCS系列標(biāo)準(zhǔn)(PKCS#1~PKCS#15)。
5.OCSP在線證書狀態(tài)協(xié)議是因特網(wǎng)工程技術(shù)小組IETF頒布的用于檢查數(shù)字證書在某一交易時刻是否仍然有效的標(biāo)準(zhǔn)。
6.輕量級目錄訪問協(xié)議LDAP是X.500目錄訪問協(xié)議的一個子集,它簡化了X.500目錄訪問協(xié)議,并且在功能、數(shù)據(jù)表示、編碼和傳輸方面都進(jìn)行了相應(yīng)的修改。
7.PKIX系列協(xié)議定義了X.509證書在Internet上的使用,包括證書的生成、發(fā)布和獲取,各種產(chǎn)生和分發(fā)密鑰的機制,以及怎樣實現(xiàn)這些協(xié)議的輪廓結(jié)構(gòu)等。
3.5用戶ID與口令機制
3.5.1用戶認(rèn)證
用戶認(rèn)證是對計算機系統(tǒng)中的用戶進(jìn)行驗證的過程,用戶必須提供他能夠進(jìn)入系統(tǒng)的證明。用戶認(rèn)證往往是許多應(yīng)用系統(tǒng)中安全保護(hù)的第一道防線,它的失敗可能導(dǎo)致整個系統(tǒng)的崩潰。目前最常用的用戶身份認(rèn)證機制是口令。
基于口令的認(rèn)證方式是最常用的和最簡單一種技術(shù),但它存在嚴(yán)重的安全問題。3.5.2不安全口令例如將節(jié)假日、自己或家人的出身年月日、家庭電話或手機號碼、身份證等作為密碼使用,認(rèn)為選擇這些數(shù)字便于記憶。要知道,你認(rèn)為最容易記憶的密碼也是最不安全的密碼?,F(xiàn)在有各種各樣的破譯密碼軟件,如L0phitCrack、getpassword等,它們的基本原理就是使用所謂的“密碼字典”。
3.5.3安全口令為增加破譯密碼的難度,在選用密碼時,一定要注意如下幾點:1.要隨機選擇密碼數(shù)字。2.在選擇密碼時,最好能同時使用字母(包括字母的大小寫)、數(shù)字、特殊符號。如A9d$42,使用這種類型的密碼是最為安全的。3.使用密碼位數(shù)要盡可能地長,如10位密碼。4.應(yīng)該定期更換密碼。
5.將使用的密碼記錄在其它比較安全的地方,便于找回密碼。
3.5.4口令攻擊現(xiàn)在對口令的攻擊包括以下幾種:1.網(wǎng)絡(luò)數(shù)據(jù)流竊聽。2.字典攻擊。3.窮舉攻擊。4.窺探。5.詐騙。6.垃圾搜索。3.5.5改進(jìn)方案1.修改口令登記程序,限制用戶使用弱口令,拒絕任何不符合安全策略的口令。這樣就可以增加字典攻擊的難度。2.強制口令使用周期性,也就是要求定期更換口令。3.保持口令歷史記錄,使用戶不能循環(huán)使用舊口令。
4.限制用戶輸入錯誤口令次數(shù)(如3次)。5.使用一次性口令或動態(tài)口令。6.完善帳號管理制度。7.加密口令文件。3.6生物特征識別技術(shù)生物特征識別技術(shù)(Biometrics)是根據(jù)人體本身所固有的生理特征、行為特征的唯一性,利用圖像處理技術(shù)和模式識別等方法來達(dá)到身份鑒別或驗證目的的一門科學(xué)。人體的生理特征包括面像、指紋、掌紋、視網(wǎng)膜、虹膜和基因等。人體的行為特征包括簽名、語音和走路姿態(tài)等。生物特征識別主要有面像識別、指紋識別、掌紋識別、虹膜識別、視網(wǎng)膜、話音識別和簽名識別等。
3.6.1生物特征識別系統(tǒng)組成一個典型的生物特征識別系統(tǒng)如圖3.3所示。
現(xiàn)在有人稱集光學(xué)、傳感技術(shù)、超聲波掃描和計算機技術(shù)于一身的生物特征識別技術(shù)為第三代身份驗證技術(shù)。生物特征識別技術(shù)已經(jīng)成為一種公認(rèn)的、最安全和最有效的身份認(rèn)證技術(shù),將成為IT產(chǎn)業(yè)最為重要的技術(shù)革命。人們可以免除忘記密碼的苦惱,也不必?fù)?dān)心自己證件被偽造以及密碼被破解等威脅。
3.6.2指紋識別指紋是人的手指的圖案、斷點和交叉點上各種不相同的紋路。幾乎所有指紋識別算法都是先建立指紋庫,識別指紋時,在指紋庫中查找,并匹配指紋的特征。為了提高指紋的對比速度,先將指紋的特征分為全局特征和局部特征。指紋的全局特征是指用人眼直接就可以觀察到的特征,包括指紋的紋型、模式區(qū)、核心點、三角點、紋數(shù)等。
局部特征是指指紋上節(jié)點的特征。在進(jìn)行指紋匹配時,先匹配指紋的全局特征,再匹配指紋的局部特征。1指紋的全局特征(1)紋型。
(2)模式區(qū)。
(3)核心點。(4)三角點。(5)紋數(shù)。
2指紋局部特征指紋的斷點、分叉點和轉(zhuǎn)折點就稱為“節(jié)點”。局部特征是指指紋上的節(jié)點的特征,節(jié)點特征提供了指紋唯一性的確認(rèn)信息。指紋上的節(jié)點特征包括節(jié)點的分類、節(jié)點的方向、節(jié)點的位置、節(jié)點的曲率(即節(jié)點紋路方向改變的速度)四種屬性。指紋的節(jié)點有以下幾種類型:
3.特征模板在某一特定指紋圖像上提取的各類特征點的集合稱該指紋的特征模板。4.指紋采集技術(shù)
指紋采集模式主要分為接
溫馨提示
- 1. 本站所有資源如無特殊說明,都需要本地電腦安裝OFFICE2007和PDF閱讀器。圖紙軟件為CAD,CAXA,PROE,UG,SolidWorks等.壓縮文件請下載最新的WinRAR軟件解壓。
- 2. 本站的文檔不包含任何第三方提供的附件圖紙等,如果需要附件,請聯(lián)系上傳者。文件的所有權(quán)益歸上傳用戶所有。
- 3. 本站RAR壓縮包中若帶圖紙,網(wǎng)頁內(nèi)容里面會有圖紙預(yù)覽,若沒有圖紙預(yù)覽就沒有圖紙。
- 4. 未經(jīng)權(quán)益所有人同意不得將文件中的內(nèi)容挪作商業(yè)或盈利用途。
- 5. 人人文庫網(wǎng)僅提供信息存儲空間,僅對用戶上傳內(nèi)容的表現(xiàn)方式做保護(hù)處理,對用戶上傳分享的文檔內(nèi)容本身不做任何修改或編輯,并不能對任何下載內(nèi)容負(fù)責(zé)。
- 6. 下載文件中如有侵權(quán)或不適當(dāng)內(nèi)容,請與我們聯(lián)系,我們立即糾正。
- 7. 本站不保證下載資源的準(zhǔn)確性、安全性和完整性, 同時也不承擔(dān)用戶因使用這些下載資源對自己和他人造成任何形式的傷害或損失。
最新文檔
- 齊齊哈爾大學(xué)《法律職業(yè)倫理》2023-2024學(xué)年期末試卷
- 2024專業(yè)空調(diào)冰箱設(shè)備采購協(xié)議模板
- 2024不動產(chǎn)權(quán)利確認(rèn)及轉(zhuǎn)讓協(xié)議
- 2024年連鎖店營業(yè)員全職勞動協(xié)議
- 齊齊哈爾大學(xué)《產(chǎn)品展示設(shè)計》2022-2023學(xué)年第一學(xué)期期末試卷
- 2024年再生膠市場分析:再生膠市場復(fù)合年增長率約為6%
- 贈與合同范本手寫
- 三人合伙開鞋廠的合同范本
- 安裝小合同范本
- 地下室車位服務(wù)合同范本
- -常規(guī)化驗單解讀
- BYK-潤濕分散劑介紹
- 家長進(jìn)課堂小學(xué)生建筑知識課件
- 2023年口腔醫(yī)學(xué)期末復(fù)習(xí)-牙周病學(xué)(口腔醫(yī)學(xué))考試歷年真題集錦帶答案
- 函數(shù)的概念 省賽獲獎
- 網(wǎng)絡(luò)安全培訓(xùn)-
- 地下車位轉(zhuǎn)讓協(xié)議
- 2018年蜀都杯《辛亥革命》終稿z
- 斷絕關(guān)系的協(xié)議書兄妹
- 工程變更現(xiàn)場簽證經(jīng)濟臺帳
- 結(jié)婚函調(diào)報告表
評論
0/150
提交評論