信息安全技術(shù)-驗(yàn)證技術(shù)、數(shù)字證書(shū)技術(shù)x第3章

信息安全技術(shù)-驗(yàn)證技術(shù)、數(shù)字證書(shū)技術(shù)x第3章本章學(xué)習(xí)內(nèi)容：加密技術(shù)數(shù)字簽名密鑰管理技術(shù)驗(yàn)證技術(shù)數(shù)字證書(shū)技術(shù)23.5驗(yàn)證技術(shù)驗(yàn)證：消息驗(yàn)證、身份驗(yàn)證、時(shí)間驗(yàn)證。目的：完整性身份鑒別、訪問(wèn)控制不可否認(rèn)驗(yàn)證方法：基于口令基于令牌基于生物特征基于地址基于數(shù)字時(shí)間戳33.5驗(yàn)證技術(shù)（Cont.）圖3-6身份驗(yàn)證原理授權(quán)數(shù)據(jù)庫(kù)訪問(wèn)控制器資源安全管理員用戶(hù)合法與不可信用戶(hù)身份及授權(quán)信息身份驗(yàn)證訪問(wèn)控制訪問(wèn)管理/監(jiān)控器43.5驗(yàn)證技術(shù)（Cont.）基于口令的驗(yàn)證最常用、但較弱的訪問(wèn)控制技術(shù)。通過(guò)用戶(hù)身份標(biāo)志+口令，進(jìn)行身份驗(yàn)證。通常系統(tǒng)保存用戶(hù)身份及口令，其中身份標(biāo)志公開(kāi)，但口令保密。因此基于口令的驗(yàn)證關(guān)鍵在于口令的機(jī)密性?？诹铗?yàn)證失效：通常是由于口令被泄露（窺測(cè)、獲取口令記錄）、猜測(cè)、通信竊聽(tīng)、重發(fā)、避開(kāi)。對(duì)策：討論。53.5驗(yàn)證技術(shù)（Cont.）口令選擇的原則容易記易不易猜中不易分析定期更換口令管理不能保存口令明文。保存口令經(jīng)單向函數(shù)變換后的值。使用一次性口令。63.5驗(yàn)證技術(shù)（Cont.）驗(yàn)證協(xié)議對(duì)被驗(yàn)證者（客戶(hù)端）與系統(tǒng)（服務(wù)器）之間傳輸?shù)尿?yàn)證信息通信的管理與決策的標(biāo)準(zhǔn)/機(jī)制。目的：避免通信竊取及重放。變換后的口令：用戶(hù)在客戶(hù)端輸入的口令用單向函數(shù)變換。服務(wù)器同樣對(duì)數(shù)據(jù)庫(kù)中的口令變換。比較兩個(gè)變換后的口令。提問(wèn)/答復(fù)：用戶(hù)請(qǐng)求登錄時(shí)，服務(wù)器向客戶(hù)端提問(wèn)一個(gè)隨機(jī)值，用戶(hù)用單向函數(shù)將個(gè)人信息與提問(wèn)隨機(jī)值計(jì)算變換，服務(wù)器用同樣的方法驗(yàn)算。時(shí)間同步（SecureID）：用戶(hù)以登錄時(shí)間作為變換隨機(jī)值。要求客戶(hù)端與服務(wù)器時(shí)間同步。73.5驗(yàn)證技術(shù)（Cont.）口令系列（S/KEY）：口令為一個(gè)單向的前后相關(guān)的序列。服務(wù)器記錄第N個(gè)口令。用戶(hù)用N-1個(gè)口令第N-1次登錄時(shí)，服務(wù)器用單向函數(shù)推算出第N個(gè)口令，與保存的口令比較。并保存第N-1個(gè)口令。登錄N次后，服務(wù)器生成新的口令序列。數(shù)字簽名：服務(wù)隨機(jī)提問(wèn)+私鑰形成數(shù)字簽名。X.509認(rèn)證協(xié)議：CCITT建議。Kerberos認(rèn)證協(xié)議：MIT開(kāi)發(fā)。83.5驗(yàn)證技術(shù)（Cont.）零知識(shí)技術(shù)：用戶(hù)通過(guò)證明自己知道自己的密鑰來(lái)證明自己的身份。基本思想：被認(rèn)證者P掌握秘密信息(身份信息)I(P)，并在不讓驗(yàn)證者V知道I(P)的前提下使V確信P掌握I(P)。方法：基于第三方的難題解法(如大數(shù)因數(shù)分解)。93.5驗(yàn)證技術(shù)（Cont.）基于個(gè)人令牌的驗(yàn)證令牌(Token)：儲(chǔ)存、生成身份信息的可移動(dòng)設(shè)備（硬件令牌）/軟件（軟件令牌）。兩因素驗(yàn)證：要求用戶(hù)提供兩種格式的標(biāo)識(shí)。一個(gè)單一標(biāo)識(shí)因素（例如口令）加另一個(gè)因素（格式為認(rèn)證令牌）。簡(jiǎn)單的兩因素方法（基于用戶(hù)了解的內(nèi)容加用戶(hù)處理的內(nèi)容）提供比可再用的密碼更可靠級(jí)別的用戶(hù)認(rèn)證。103.5驗(yàn)證技術(shù)（Cont.）USB令牌/加密卡：USB接口，有處理和存儲(chǔ)能力。內(nèi)含安全文件系統(tǒng)，可以存儲(chǔ)數(shù)字證書(shū)、密鑰和其它機(jī)密信息?？蓱?yīng)用于存儲(chǔ)數(shù)字證書(shū)、個(gè)人機(jī)密資料、數(shù)字簽名、電子商務(wù)身份認(rèn)證、銀行在線交易、安全電子郵件、VPN、安全通信系統(tǒng)集成、內(nèi)部系統(tǒng)權(quán)限管理。113.5驗(yàn)證技術(shù)（Cont.）智能卡(SC卡)：含處理器和存儲(chǔ)器。類(lèi)似的信用卡。除接口外（讀卡器），功能與USB-Token類(lèi)似。123.5驗(yàn)證技術(shù)（Cont.）PCMCIA卡(PC卡)：移動(dòng)設(shè)備網(wǎng)絡(luò)接入接口?？纱鎯?chǔ)個(gè)人及移動(dòng)設(shè)備地址信息，帶有加解密功能。允許移動(dòng)用戶(hù)通過(guò)因特網(wǎng)安全地訪問(wèn)企業(yè)網(wǎng)絡(luò)。133.5驗(yàn)證技術(shù)（Cont.）人機(jī)界面令牌：

手持式移動(dòng)輸入設(shè)備，帶有輸入界面、口令驗(yàn)證。143.5驗(yàn)證技術(shù)（Cont.）軟件令牌：在智能卡等硬件設(shè)備上安裝的、在客戶(hù)端上運(yùn)行的，或作為Web瀏覽器插件運(yùn)行的二進(jìn)制程序。軟件令牌運(yùn)行時(shí)，顯示一個(gè)用戶(hù)可以輸入個(gè)人識(shí)別號(hào)碼（PIN）的窗口，軟件令牌計(jì)算其通行代碼。該用戶(hù)可以通過(guò)將通行代碼輸入登錄表單而得到認(rèn)證。153.5驗(yàn)證技術(shù)（Cont.）基于生物特征的驗(yàn)證生理特征：手形、手紋、指紋、臉型、耳廓、視網(wǎng)膜、虹膜、脈搏。行為特征：簽字、聲音、步態(tài)。驗(yàn)證技術(shù)：手形識(shí)別、指紋識(shí)別、面容識(shí)別、耳形識(shí)別、視網(wǎng)膜識(shí)別、虹膜識(shí)別、語(yǔ)音識(shí)別…。統(tǒng)稱(chēng)模式識(shí)別。即生物識(shí)別系統(tǒng)對(duì)生物特征取樣，并將其數(shù)字化，形成特征模板，保存在數(shù)據(jù)庫(kù)中。身份驗(yàn)證時(shí)，識(shí)別系統(tǒng)提取用戶(hù)特征，并將它與數(shù)據(jù)庫(kù)中相應(yīng)用戶(hù)特征模板比較。特點(diǎn)：方便、安全。163.5驗(yàn)證技術(shù)（Cont.）基于地址的驗(yàn)證依據(jù)呼叫/訪問(wèn)的發(fā)送地址對(duì)用戶(hù)進(jìn)行認(rèn)證。通過(guò)將呼叫/訪問(wèn)者的地址與合法用戶(hù)的地址比較；或與合法地址用戶(hù)進(jìn)行應(yīng)答，以驗(yàn)證用戶(hù)身份的合法性?；跀?shù)字時(shí)間戳(DigitalTime-st)的驗(yàn)證由受信任的第三方（數(shù)字時(shí)間戳服務(wù)機(jī)構(gòu)）（DigitalTime-stService，DTS）提供的經(jīng)加密后形成的憑證，是數(shù)字簽名的一種應(yīng)用。目的：對(duì)交易信息的時(shí)間驗(yàn)證。構(gòu)成：交易信息的數(shù)字摘要；DTS機(jī)構(gòu)收到信息的日期和時(shí)間；DTS機(jī)構(gòu)的數(shù)字簽名。173.5驗(yàn)證技術(shù)（Cont.）消息摘要摘要時(shí)間戳Internet私鑰時(shí)間戳發(fā)送方DTS機(jī)構(gòu)（第三方）圖3-7數(shù)字時(shí)間戳服務(wù)過(guò)程加密時(shí)間摘要+時(shí)間Hash新摘要Hash183.6數(shù)字證書(shū)技術(shù)目的：提供身份認(rèn)證。數(shù)字證書(shū)將某方的身份與其某個(gè)公開(kāi)密鑰安全聯(lián)系在一起的數(shù)據(jù)結(jié)構(gòu)。主要內(nèi)容：證書(shū)序列號(hào)、所有者的名稱(chēng)、公開(kāi)密鑰、有效期、認(rèn)證機(jī)構(gòu)（發(fā)行者）的名稱(chēng)與數(shù)字簽名。類(lèi)型：個(gè)人證書(shū)：頒發(fā)給個(gè)人，用于身份驗(yàn)證和安全電子郵件的數(shù)字證書(shū)。服務(wù)器證書(shū)：頒發(fā)給指定Web服務(wù)器，用于聲明特定的網(wǎng)站服務(wù)器是安全的及安全站點(diǎn)的身份。193.6數(shù)字證書(shū)技術(shù)（Cont.）服務(wù)器自動(dòng)與客戶(hù)端用戶(hù)進(jìn)行安全的交易信息通信。服務(wù)器自動(dòng)對(duì)通信加密；持有數(shù)字證書(shū)的服務(wù)器為受信任的安全站點(diǎn)?？蛻?hù)端可以直接從這里下載或運(yùn)行文件，而不用擔(dān)心會(huì)危害計(jì)算機(jī)或數(shù)據(jù)。客戶(hù)端瀏覽器/郵件管理器訪問(wèn)安全網(wǎng)站（地址以“s”打頭）時(shí)，服務(wù)器將自動(dòng)向客戶(hù)端發(fā)送證書(shū)。開(kāi)發(fā)者證書(shū)（代碼簽名、數(shù)字證書(shū)）：頒發(fā)給軟件開(kāi)發(fā)者，并用作其軟件身份的數(shù)字標(biāo)識(shí)。用IE下載程序(如ActiveX、dll、Java或其他客戶(hù)端運(yùn)行的程序)時(shí)，IE將用MicrosoftAuthenticode技術(shù)核實(shí)該程序身份，即匹配發(fā)布者的身份與軟件身份證書(shū)。203.6數(shù)字證書(shū)技術(shù)（Cont.）認(rèn)證機(jī)構(gòu)提供互聯(lián)網(wǎng)認(rèn)證服務(wù)：簽發(fā)和管理數(shù)字證書(shū)、時(shí)間戳。受信任的第三方機(jī)構(gòu)或公司/網(wǎng)站。認(rèn)證機(jī)構(gòu)+數(shù)字證書(shū)：便于公鑰交換，提供比較集中統(tǒng)一的、權(quán)威的、可信任的身份認(rèn)證。基于數(shù)字證書(shū)信息安全通信發(fā)送方產(chǎn)生信息的數(shù)字摘要。用私鑰對(duì)數(shù)字摘要進(jìn)行非對(duì)稱(chēng)加密，生成數(shù)字簽名。對(duì)“信息+數(shù)字簽名+數(shù)字證書(shū)”進(jìn)行對(duì)稱(chēng)加密。用對(duì)方數(shù)字證書(shū)中的公開(kāi)密鑰對(duì)密鑰進(jìn)行非對(duì)稱(chēng)加密213.6數(shù)字證書(shū)技術(shù)（Cont.）發(fā)送加密后的信息及數(shù)字信封接收方用私有密鑰解密數(shù)字信封，得到對(duì)方的對(duì)稱(chēng)密鑰。用對(duì)方的對(duì)稱(chēng)密鑰解密信息。用對(duì)方數(shù)字證書(shū)中的公開(kāi)密鑰解密簽名得到數(shù)字摘要。用Hash生成接受到的信息的數(shù)字摘要。比較兩