信息安全技術-驗證技術、數字證書技術x第3章本章學習內容：加密技術數字簽名密鑰管理技術驗證技術數字證書技術23.5驗證技術驗證：消息驗證、身份驗證、時間驗證。目的：完整性身份鑒別、訪問控制不可否認驗證方法：基于口令基于令牌基于生物特征基于地址基于數字時間戳33.5驗證技術（Cont.）圖3-6身份驗證原理授權數據庫訪問控制器資源安全管理員用戶合法與不可信用戶身份及授權信息身份驗證訪問控制訪問管理/監控器43.5驗證技術（Cont.）基于口令的驗證最常用、但較弱的訪問控制技術。通過用戶身份標志+口令，進行身份驗證。通常系統保存用戶身份及口令，其中身份標志公開，但口令保密。因此基于口令的驗證關鍵在于口令的機密性。口令驗證失效：通常是由于口令被泄露（窺測、獲取口令記錄）、猜測、通信竊聽、重發、避開。對策：討論。53.5驗證技術（Cont.）口令選擇的原則容易記易不易猜中不易分析定期更換口令管理不能保存口令明文。保存口令經單向函數變換后的值。使用一次性口令。63.5驗證技術（Cont.）驗證協議對被驗證者（客戶端）與系統（服務器）之間傳輸的驗證信息通信的管理與決策的標準/機制。目的：避免通信竊取及重放。變換后的口令：用戶在客戶端輸入的口令用單向函數變換。服務器同樣對數據庫中的口令變換。比較兩個變換后的口令。提問/答復：用戶請求登錄時，服務器向客戶端提問一個隨機值，用戶用單向函數將個人信息與提問隨機值計算變換，服務器用同樣的方法驗算。時間同步（SecureID）：用戶以登錄時間作為變換隨機值。要求客戶端與服務器時間同步。73.5驗證技術（Cont.）口令系列（S/KEY）：口令為一個單向的前后相關的序列。服務器記錄第N個口令。用戶用N-1個口令第N-1次登錄時，服務器用單向函數推算出第N個口令，與保存的口令比較。并保存第N-1個口令。登錄N次后，服務器生成新的口令序列。數字簽名：服務隨機提問+私鑰形成數字簽名。X.509認證協議：CCITT建議。Kerberos認證協議：MIT開發。83.5驗證技術（Cont.）零知識技術：用戶通過證明自己知道自己的密鑰來證明自己的身份。基本思想：被認證者P掌握秘密信息(身份信息)I(P)，并在不讓驗證者V知道I(P)的前提下使V確信P掌握I(P)。方法：基于第三方的難題解法(如大數因數分解)。93.5驗證技術（Cont.）基于個人令牌的驗證令牌(Token)：儲存、生成身份信息的可移動設備（硬件令牌）/軟件（軟件令牌）。兩因素驗證：要求用戶提供兩種格式的標識。一個單一標識因素（例如口令）加另一個因素（格式為認證令牌）。簡單的兩因素方法（基于用戶了解的內容加用戶處理的內容）提供比可再用的密碼更可靠級別的用戶認證。103.5驗證技術（Cont.）USB令牌/加密卡：USB接口，有處理和存儲能力。內含安全文件系統，可以存儲數字證書、密鑰和其它機密信息。可應用于存儲數字證書、個人機密資料、數字簽名、電子商務身份認證、銀行在線交易、安全電子郵件、VPN、安全通信系統集成、內部系統權限管理。113.5驗證技術（Cont.）智能卡(SC卡)：含處理器和存儲器。類似的信用卡。除接口外（讀卡器），功能與USB-Token類似。123.5驗證技術（Cont.）PCMCIA卡(PC卡)：移動設備網絡接入接口。可存儲個人及移動設備地址信息，帶有加解密功能。允許移動用戶通過因特網安全地訪問企業網絡。133.5驗證技術（Cont.）人機界面令牌：

手持式移動輸入設備，帶有輸入界面、口令驗證。143.5驗證技術（Cont.）軟件令牌：在智能卡等硬件設備上安裝的、在客戶端上運行的，或作為Web瀏覽器插件運行的二進制程序。軟件令牌運行時，顯示一個用戶可以輸入個人識別號碼（PIN）的窗口，軟件令牌計算其通行代碼。該用戶可以通過將通行代碼輸入登錄表單而得到認證。153.5驗證技術（Cont.）基于生物特征的驗證生理特征：手形、手紋、指紋、臉型、耳廓、視網膜、虹膜、脈搏。行為特征：簽字、聲音、步態。驗證技術：手形識別、指紋識別、面容識別、耳形識別、視網膜識別、虹膜識別、語音識別…。統稱模式識別。即生物識別系統對生物特征取樣，并將其數字化，形成特征模板，保存在數據庫中。身份驗證時，識別系統提取用戶特征，并將它與數據庫中相應用戶特征模板比較。特點：方便、安全。163.5驗證技術（Cont.）基于地址的驗證依據呼叫/訪問的發送地址對用戶進行認證。通過將呼叫/訪問者的地址與合法用戶的地址比較；或與合法地址用戶進行應答，以驗證用戶身份的合法性。基于數字時間戳(DigitalTime-st)的驗證由受信任的第三方（數字時間戳服務機構）（DigitalTime-stService，DTS）提供的經加密后形成的憑證，是數字簽名的一種應用。目的：對交易信息的時間驗證。構成：交易信息的數字摘要；DTS機構收到信息的日期和時間；DTS機構的數字簽名。173.5驗證技術（Cont.）消息摘要摘要時間戳Internet私鑰時間戳發送方DTS機構（第三方）圖3-7數字時間戳服務過程加密時間摘要+時間Hash新摘要Hash183.6數字證書技術目的：提供身份認證。數字證書將某方的身份與其某個公開密鑰安全聯系在一起的數據結構。主要內容：證書序列號、所有者的名稱、公開密鑰、有效期、認證機構（發行者）的名稱與數字簽名。類型：個人證書：頒發給個人，用于身份驗證和安全電子郵件的數字證書。服務器證書：頒發給指定Web服務器，用于聲明特定的網站服務器是安全的及安全站點的身份。193.6數字證書技術（Cont.）服務器自動與客戶端用戶進行安全的交易信息通信。服務器自動對通信加密；持有數字證書的服務器為受信任的安全站點。客戶端可以直接從這里下載或運行文件，而不用擔心會危害計算機或數據。客戶端瀏覽器/郵件管理器訪問安全網站（地址以“s”打頭）時，服務器將自動向客戶端發送證書。開發者證書（代碼簽名、數字證書）：頒發給軟件開發者，并用作其軟件身份的數字標識。用IE下載程序(如ActiveX、dll、Java或其他客戶端運行的程序)時，IE將用MicrosoftAuthenticode技術核實該程序身份，即匹配發布者的身份與軟件身份證書。203.6數字證書技術（Cont.）認證機構提供互聯網認證服務：簽發和管理數字證書、時間戳。受信任的第三方機構或公司/網站。認證機構+數字證書：便于公鑰交換，提供比較集中統一的、權威的、可信任的身份認證。基于數字證書信息安全通信發送方產生信息的數字摘要。用私鑰對數字摘要進行非對稱加密，生成數字簽名。對“信息+數字簽名+數字證書”進行對稱加密。用對方數字證書中的公開密鑰對密鑰進行非對稱加密213.6數字證書技術（Cont.）發送加密后的信息及數字信封接收方用私有密鑰解密數字信封，得到對方的對稱密鑰。用對方的對稱密鑰解密信息。用對方數字證書中的公開密鑰解密簽名得到數字摘要。用Hash生成接受到的信息的數字摘要。比較兩