信息安全技術(shù)-驗證技術(shù)、數(shù)字證書技術(shù)x第3章本章學(xué)習(xí)內(nèi)容：加密技術(shù)數(shù)字簽名密鑰管理技術(shù)驗證技術(shù)數(shù)字證書技術(shù)23.5驗證技術(shù)驗證：消息驗證、身份驗證、時間驗證。目的：完整性身份鑒別、訪問控制不可否認驗證方法：基于口令基于令牌基于生物特征基于地址基于數(shù)字時間戳33.5驗證技術(shù)（Cont.）圖3-6身份驗證原理授權(quán)數(shù)據(jù)庫訪問控制器資源安全管理員用戶合法與不可信用戶身份及授權(quán)信息身份驗證訪問控制訪問管理/監(jiān)控器43.5驗證技術(shù)（Cont.）基于口令的驗證最常用、但較弱的訪問控制技術(shù)。通過用戶身份標志+口令，進行身份驗證。通常系統(tǒng)保存用戶身份及口令，其中身份標志公開，但口令保密。因此基于口令的驗證關(guān)鍵在于口令的機密性?？诹铗炞C失效：通常是由于口令被泄露（窺測、獲取口令記錄）、猜測、通信竊聽、重發(fā)、避開。對策：討論。53.5驗證技術(shù)（Cont.）口令選擇的原則容易記易不易猜中不易分析定期更換口令管理不能保存口令明文。保存口令經(jīng)單向函數(shù)變換后的值。使用一次性口令。63.5驗證技術(shù)（Cont.）驗證協(xié)議對被驗證者（客戶端）與系統(tǒng)（服務(wù)器）之間傳輸?shù)尿炞C信息通信的管理與決策的標準/機制。目的：避免通信竊取及重放。變換后的口令：用戶在客戶端輸入的口令用單向函數(shù)變換。服務(wù)器同樣對數(shù)據(jù)庫中的口令變換。比較兩個變換后的口令。提問/答復(fù)：用戶請求登錄時，服務(wù)器向客戶端提問一個隨機值，用戶用單向函數(shù)將個人信息與提問隨機值計算變換，服務(wù)器用同樣的方法驗算。時間同步（SecureID）：用戶以登錄時間作為變換隨機值。要求客戶端與服務(wù)器時間同步。73.5驗證技術(shù)（Cont.）口令系列（S/KEY）：口令為一個單向的前后相關(guān)的序列。服務(wù)器記錄第N個口令。用戶用N-1個口令第N-1次登錄時，服務(wù)器用單向函數(shù)推算出第N個口令，與保存的口令比較。并保存第N-1個口令。登錄N次后，服務(wù)器生成新的口令序列。數(shù)字簽名：服務(wù)隨機提問+私鑰形成數(shù)字簽名。X.509認證協(xié)議：CCITT建議。Kerberos認證協(xié)議：MIT開發(fā)。83.5驗證技術(shù)（Cont.）零知識技術(shù)：用戶通過證明自己知道自己的密鑰來證明自己的身份?；舅枷耄罕徽J證者P掌握秘密信息(身份信息)I(P)，并在不讓驗證者V知道I(P)的前提下使V確信P掌握I(P)。方法：基于第三方的難題解法(如大數(shù)因數(shù)分解)。93.5驗證技術(shù)（Cont.）基于個人令牌的驗證令牌(Token)：儲存、生成身份信息的可移動設(shè)備（硬件令牌）/軟件（軟件令牌）。兩因素驗證：要求用戶提供兩種格式的標識。一個單一標識因素（例如口令）加另一個因素（格式為認證令牌）。簡單的兩因素方法（基于用戶了解的內(nèi)容加用戶處理的內(nèi)容）提供比可再用的密碼更可靠級別的用戶認證。103.5驗證技術(shù)（Cont.）USB令牌/加密卡：USB接口，有處理和存儲能力。內(nèi)含安全文件系統(tǒng)，可以存儲數(shù)字證書、密鑰和其它機密信息。可應(yīng)用于存儲數(shù)字證書、個人機密資料、數(shù)字簽名、電子商務(wù)身份認證、銀行在線交易、安全電子郵件、VPN、安全通信系統(tǒng)集成、內(nèi)部系統(tǒng)權(quán)限管理。113.5驗證技術(shù)（Cont.）智能卡(SC卡)：含處理器和存儲器。類似的信用卡。除接口外（讀卡器），功能與USB-Token類似。123.5驗證技術(shù)（Cont.）PCMCIA卡(PC卡)：移動設(shè)備網(wǎng)絡(luò)接入接口?？纱鎯€人及移動設(shè)備地址信息，帶有加解密功能。允許移動用戶通過因特網(wǎng)安全地訪問企業(yè)網(wǎng)絡(luò)。133.5驗證技術(shù)（Cont.）人機界面令牌：

手持式移動輸入設(shè)備，帶有輸入界面、口令驗證。143.5驗證技術(shù)（Cont.）軟件令牌：在智能卡等硬件設(shè)備上安裝的、在客戶端上運行的，或作為Web瀏覽器插件運行的二進制程序。軟件令牌運行時，顯示一個用戶可以輸入個人識別號碼（PIN）的窗口，軟件令牌計算其通行代碼。該用戶可以通過將通行代碼輸入登錄表單而得到認證。153.5驗證技術(shù)（Cont.）基于生物特征的驗證生理特征：手形、手紋、指紋、臉型、耳廓、視網(wǎng)膜、虹膜、脈搏。行為特征：簽字、聲音、步態(tài)。驗證技術(shù)：手形識別、指紋識別、面容識別、耳形識別、視網(wǎng)膜識別、虹膜識別、語音識別…。統(tǒng)稱模式識別。即生物識別系統(tǒng)對生物特征取樣，并將其數(shù)字化，形成特征模板，保存在數(shù)據(jù)庫中。身份驗證時，識別系統(tǒng)提取用戶特征，并將它與數(shù)據(jù)庫中相應(yīng)用戶特征模板比較。特點：方便、安全。163.5驗證技術(shù)（Cont.）基于地址的驗證依據(jù)呼叫/訪問的發(fā)送地址對用戶進行認證。通過將呼叫/訪問者的地址與合法用戶的地址比較；或與合法地址用戶進行應(yīng)答，以驗證用戶身份的合法性?；跀?shù)字時間戳(DigitalTime-st)的驗證由受信任的第三方（數(shù)字時間戳服務(wù)機構(gòu)）（DigitalTime-stService，DTS）提供的經(jīng)加密后形成的憑證，是數(shù)字簽名的一種應(yīng)用。目的：對交易信息的時間驗證。構(gòu)成：交易信息的數(shù)字摘要；DTS機構(gòu)收到信息的日期和時間；DTS機構(gòu)的數(shù)字簽名。173.5驗證技術(shù)（Cont.）消息摘要摘要時間戳Internet私鑰時間戳發(fā)送方DTS機構(gòu)（第三方）圖3-7數(shù)字時間戳服務(wù)過程加密時間摘要+時間Hash新摘要Hash183.6數(shù)字證書技術(shù)目的：提供身份認證。數(shù)字證書將某方的身份與其某個公開密鑰安全聯(lián)系在一起的數(shù)據(jù)結(jié)構(gòu)。主要內(nèi)容：證書序列號、所有者的名稱、公開密鑰、有效期、認證機構(gòu)（發(fā)行者）的名稱與數(shù)字簽名。類型：個人證書：頒發(fā)給個人，用于身份驗證和安全電子郵件的數(shù)字證書。服務(wù)器證書：頒發(fā)給指定Web服務(wù)器，用于聲明特定的網(wǎng)站服務(wù)器是安全的及安全站點的身份。193.6數(shù)字證書技術(shù)（Cont.）服務(wù)器自動與客戶端用戶進行安全的交易信息通信。服務(wù)器自動對通信加密；持有數(shù)字證書的服務(wù)器為受信任的安全站點?？蛻舳丝梢灾苯訌倪@里下載或運行文件，而不用擔(dān)心會危害計算機或數(shù)據(jù)?？蛻舳藶g覽器/郵件管理器訪問安全網(wǎng)站（地址以“s”打頭）時，服務(wù)器將自動向客戶端發(fā)送證書。開發(fā)者證書（代碼簽名、數(shù)字證書）：頒發(fā)給軟件開發(fā)者，并用作其軟件身份的數(shù)字標識。用IE下載程序(如ActiveX、dll、Java或其他客戶端運行的程序)時，IE將用MicrosoftAuthenticode技術(shù)核實該程序身份，即匹配發(fā)布者的身份與軟件身份證書。203.6數(shù)字證書技術(shù)（Cont.）認證機構(gòu)提供互聯(lián)網(wǎng)認證服務(wù)：簽發(fā)和管理數(shù)字證書、時間戳。受信任的第三方機構(gòu)或公司/網(wǎng)站。認證機構(gòu)+數(shù)字證書：便于公鑰交換，提供比較集中統(tǒng)一的、權(quán)威的、可信任的身份認證?；跀?shù)字證書信息安全通信發(fā)送方產(chǎn)生信息的數(shù)字摘要。用私鑰對數(shù)字摘要進行非對稱加密，生成數(shù)字簽名。對“信息+數(shù)字簽名+數(shù)字證書”進行對稱加密。用對方數(shù)字證書中的公開密鑰對密鑰進行非對稱加密213.6數(shù)字證書技術(shù)（Cont.）發(fā)送加密后的信息及數(shù)字信封接收方用私有密鑰解密數(shù)字信封，得到對方的對稱密鑰。用對方的對稱密鑰解密信息。用對方數(shù)字證書中的公開密鑰解密簽名得到數(shù)字摘要。用Hash生成接受到的信息的數(shù)字摘要。比較兩