计算机网络信息安全理论与实践教程 第6章
合集下载
精选计算机网络信息安全理论与实践教程
入侵检测的概念入侵是未经授权蓄意尝试访问新,篡改信息、使系统不可用的行为入侵是指违背访问目标的安全策略的行为入侵检测是通过收集操作系统、系统程序、应用程序、网络包等信息,发现系统中违背安全策略或危机系统安全的行为。具有入侵检测功能的系统称为入侵检测系统——IDS
11.1.2 入侵检测系统模型
主体
安全监控器
防火墙性能指标
最大吞吐量传输速率最大规则数并发连接数
第九章 VPN技术的原理和应用
9.1VPN 虚拟专用网(Virtual Private Networks,VPN)提供了一种在公共网络上实现网络安全保密通信的方法。
9.2VPN安全服务功能
保密性服务完整性服务认证性服务
第十章 漏洞扫描技术的原理与应用
7.5.2访问控制规则
基于用户身份的访问控制规则基于角色的访问控制规则基于地址的访问控制规则基于时间的访问控制规则基于异常事件的访问控制规则基于服务数量的访问控制规则
7.6访问控制管理过程和内容
访问控制管理过程明确访问控制的管理的资产分析管理资产的安全要求制定访问控制策略实现访问控制策略,建立用户访问身份认证系统,并根据用户的类型,授权用户访问资产运行和文虎访问控制系统,及时调整访问策略最小特权管理用户访问管理口令管理
4.பைடு நூலகம்安全协议
SSL(Secure Socket Layer)是介于应用层和TCP层之间的安全通信协议。主要目的是当两个应用层之间相互通信时,使被传送信息具有保密性和可靠性。SSL由两层协议组成1、SSL纪录协议(用途是将各种不同的较高层次的协议封装后再传送)2、SSL握手协议(为两个应用程序开始传送或接收数据前,提供服务器和客户端间的相互认证,并相互协商决定双方通信使用的加密算法及加密密钥)提供三种服务1、保密性通信2、点对点之间的身份认证3、可靠性通信
11.1.2 入侵检测系统模型
主体
安全监控器
防火墙性能指标
最大吞吐量传输速率最大规则数并发连接数
第九章 VPN技术的原理和应用
9.1VPN 虚拟专用网(Virtual Private Networks,VPN)提供了一种在公共网络上实现网络安全保密通信的方法。
9.2VPN安全服务功能
保密性服务完整性服务认证性服务
第十章 漏洞扫描技术的原理与应用
7.5.2访问控制规则
基于用户身份的访问控制规则基于角色的访问控制规则基于地址的访问控制规则基于时间的访问控制规则基于异常事件的访问控制规则基于服务数量的访问控制规则
7.6访问控制管理过程和内容
访问控制管理过程明确访问控制的管理的资产分析管理资产的安全要求制定访问控制策略实现访问控制策略,建立用户访问身份认证系统,并根据用户的类型,授权用户访问资产运行和文虎访问控制系统,及时调整访问策略最小特权管理用户访问管理口令管理
4.பைடு நூலகம்安全协议
SSL(Secure Socket Layer)是介于应用层和TCP层之间的安全通信协议。主要目的是当两个应用层之间相互通信时,使被传送信息具有保密性和可靠性。SSL由两层协议组成1、SSL纪录协议(用途是将各种不同的较高层次的协议封装后再传送)2、SSL握手协议(为两个应用程序开始传送或接收数据前,提供服务器和客户端间的相互认证,并相互协商决定双方通信使用的加密算法及加密密钥)提供三种服务1、保密性通信2、点对点之间的身份认证3、可靠性通信
计算机等级考试三级网络教程第6章 网络安全技术论
最后按行读出明文
第6章 计算机网络概论
接收端从密文解出明文
收到的密文:abacnuaiotettgfksr
密钥 CIPHER 顺序 145326 attack 明文 begins atfour
最后按行读出明文
得出明文:attackbegi密文序列结构分:
序列密码与分组密码
序列密码是将明文 X 看成是连续的比特流(或字
符流)x1x2…,并且用密钥序列
K k1k2…中的第 i 个元素 ki 对明文中的 xi 进行 加密,即:E (X) E (x )E (x )
K k1 1 k2 2
分组密码它将明文划分成固定的 n 比特的数据组,
然后以组为单位,在密钥的控制下进行一系列的线 性或非线性的变化而得到密文。
第6章 计算机网络概论
密文的得出
密钥 CIPHER 顺序 145326 attack 明文 begins atfour
先读顺序为 1 的明文列,即 aba
第6章 计算机网络概论
密文的得出
密钥 CIPHER 顺序 145326 attack 明文 begins atfour
再读顺序为 2 的明文列,即 cnu
再写下第 3 列密文 aio
第6章 计算机网络概论
接收端收到密文后按列写下
收到的密文:abacnuaiotettgfksr
密钥 CIPHER 顺序 145326 attack 明文 begins atfour
再写下第 4 列密文 tet
第6章 计算机网络概论
接收端收到密文后按列写下
收到的密文:abacnuaiotettgfksr
第6章 计算机网络概论
接收端从密文解出明文
收到的密文:abacnuaiotettgfksr
计算机网络安全技术与实训第6章
第6章防火墙技术[学习目标]1. 理解防火墙基本概念和防火墙工作原理2. 掌握防火墙的体系结构和基于防火墙的安全网络结构3. 学会防火墙产品的购买方案选择4. 学会配置防火墙本章要点●防火墙的概念、类型、目的与作用●防火墙的设计与创建●基于防火墙的安全网络结构●硬件防火墙配置与管理●个人防火墙的配置6.1 防火墙的基本概念6.1.1 网络防火墙基本概念什么是防火墙?建筑在山林中的房子大部分是土木结构,防火性能较差。
为了防止林中的山火把房子烧毁,每座房子在其周围用石头砌一座墙作为隔离带,这就是本意上的防火墙。
防火墙的原意是指在容易发生火灾的区域与拟保护的区域之间设置的一堵墙,将火灾隔离在保护区之外,保证拟保护区内的安全。
网络防火墙是指在两个网络之间加强访问控制的一整套装置,即防火墙是构造在一个可信网络(一般指内部网)和不可信网络(一般指外部网)之间的保护装置,强制所有的访问和连接都必须经过这个保护层,并在此进行连接和安全检查。
只有合法的数据包才能通过此保护层,从而保护内部网资源免遭非法入侵。
下面说明与防火墙有关的概念。
(1) 主机:与网络系统相连的计算机系统。
(2) 堡垒主机:指一个计算机系统,它对外部网络暴露,同时又是内部网络用户的主要连接点,所以很容易被侵入,因此必须严密保护保垒主机。
(3) 双宿主主机:又称双宿主机或双穴主机,是具有两个网络接口的计算机系统。
(4) 包:在互联网上进行通信的基本数据单位。
(5) 包过滤:设备对进出网络的数据流(包)进行有选择的控制与操作。
通常是对从外部网络到内部网络的包进行过滤。
用户可设定一系列的规则,指定允许(或拒绝)哪些类型的数据包流入(或流出)内部网络。
(6) 参数网络:为了增加一层安全控制,在内部网与外部网之间增加的一个网络,有时也称为中立区(非军事区),即DMZ(Demilitarized Zone)。
(7) 代理服务器:代表内部网络用户与外部服务器进行数据交换的计算机(软件)系统,它将已认可的内部用户的请求送达外部服务器,同时将外部网络服务器的响应再回送给用户。
计算机网络信息安全理论与实践教程 第6章
第6章 认证技术的原理与应用 (4) 用户将数字发送给系统。 (5) 系统用收到的数字对ID进行确认。如果ID有效,系统 会生成一个数字并将其显示给用户,这称为挑战。 (6) 用户将上面的挑战输入智能卡中。 (7) 智能卡利用这个输入的值并根据一定的算法计算出一 个新的数字,然后显示这个结果,该数字称为应答。 (8) 用户将应答输入系统。 (9) 系统验证应答是否正确。如果正确的话,用户通过验证 并登录进入系统。
ห้องสมุดไป่ตู้
第6章 认证技术的原理与应用 一个Kerberos系统涉及到四个基本实体: * Kerberos客户机:用户用来访问服务器的设备。 * AS(Authentication Server):为用户分发TGT(Ticket Granting Ticket)的服务器。用户使用TGT(Ticket Granting Ticket)向TGS(Ticket Granting Server)证明自己的身份。 * TGS(Ticket Granting Server):为用户分发到最终目 的票据的服务器,用户使用这个票据向自己要求提供服务的服 务器证明自己的身份。 * 应用服务器(Application Server):为用户提供特定服务。
第6章 认证技术的原理与应用
6.2 认证信息类型
常用的鉴别信息主要有四种: (1) 所 知 道 的 秘 密 , 如 用 户 口 令 、 PIN (Personal Identification Number)。 (2) 所拥有的实物,一般是不可伪造的设备,如智能卡、 磁卡等。 (3) 生物特征信息,如指纹、声音、视网膜等。 (4) 上下文信息,就是认证实体所处的环境信息、地理位置、 时间等,例如IP地址等。
第6章 认证技术的原理与应用 (2) 鉴别。鉴别是指对实体身份的真实性进行识别。鉴别 的依据是用户所拥有的特殊信息或实物,这些信息是秘密的, 其他用户都不能拥有。系统根据识别和鉴别的结果,来决定 用户访问资源的能力。例如,通过IP地址的识别,网络管理员 可以确定Web访问是内部用户访问还是外部用户访问。
计算机网络教程 课件 (第二版) 谢希仁 第6章
Page ‹#› 单击此处结束放映
互联网
局域网
结点交换机 局域网
广域网 路由器
图6-1
Page ‹#›
由局域网和广域网组成互联网
单击此处结束放映
广域网与互联网
相距较远的局域网通过路由器与广域网相连,组成了 相距较远的局域网通过路由器与广域网相连, 一个覆盖范围很广的互联网。这样, 一个覆盖范围很广的互联网。这样,局域网就可通过 广域网与另一个相隔较远的局域网进行通信。 广域网与另一个相隔较远的局域网进行通信。 互联网的主要特征是不同网络的“互连”,它使用路 互联网的主要特征是不同网络的“互连” 由器来连接多个网络,并在网络间进行分组转发; 由器来连接多个网络,并在网络间进行分组转发;广 域网指的是单个网络,它使用结点交换机连接各主机, 域网指的是单个网络,它使用结点交换机连接各主机, 在单个网络中进行分组转发。 在单个网络中进行分组转发。 广域网和局域网都是互联网的重要组成构件, 广域网和局域网都是互联网的重要组成构件,从互联 网的角度来看,它们都是平等的。 网的角度来看,它们都是平等的。无论是局域网还是 广域网,网内主机进行通信时, 广域网,网内主机进行通信时,只需要使用网络的物 理地址即可。 理地址即可。
Page ‹#›
单击此处结束放映
图6-2
Page ‹#›
数据报服务和虚电路服务
单击此处结束放映
虚电路服务与数据报服务的主要区别
表 6-1 对比的方面 思路 连接的建立 目的站地址 路由选择 当结点出故障时 分组的顺序 端到端的差错处 理和流量控制 虚 电 路 服 务 与 数据 报 服 务的 对 比 虚电路服务 可靠通信应当由网络 来保证 必须有 仅在连接建立 阶段使 用, 每 个分组使用短的虚电 路号 在虚电路建立 时进行 ,所 有 分组均按同一路由 所有通过出故 障的结 点的 虚 电路均不能工作 总是按发送顺序到达 目的站 由分组交换网负责 数据报服务 可靠通信应当由用户 主机来保证 不要 每个分组都有目的站 的全地址 每个分组独立选择路 由 出故障 的结 点可 能会 丢失 分组 , 一些路由可能会发生 变化 到达目的站时不一定 按发送顺序 由用户主机负责
互联网
局域网
结点交换机 局域网
广域网 路由器
图6-1
Page ‹#›
由局域网和广域网组成互联网
单击此处结束放映
广域网与互联网
相距较远的局域网通过路由器与广域网相连,组成了 相距较远的局域网通过路由器与广域网相连, 一个覆盖范围很广的互联网。这样, 一个覆盖范围很广的互联网。这样,局域网就可通过 广域网与另一个相隔较远的局域网进行通信。 广域网与另一个相隔较远的局域网进行通信。 互联网的主要特征是不同网络的“互连”,它使用路 互联网的主要特征是不同网络的“互连” 由器来连接多个网络,并在网络间进行分组转发; 由器来连接多个网络,并在网络间进行分组转发;广 域网指的是单个网络,它使用结点交换机连接各主机, 域网指的是单个网络,它使用结点交换机连接各主机, 在单个网络中进行分组转发。 在单个网络中进行分组转发。 广域网和局域网都是互联网的重要组成构件, 广域网和局域网都是互联网的重要组成构件,从互联 网的角度来看,它们都是平等的。 网的角度来看,它们都是平等的。无论是局域网还是 广域网,网内主机进行通信时, 广域网,网内主机进行通信时,只需要使用网络的物 理地址即可。 理地址即可。
Page ‹#›
单击此处结束放映
图6-2
Page ‹#›
数据报服务和虚电路服务
单击此处结束放映
虚电路服务与数据报服务的主要区别
表 6-1 对比的方面 思路 连接的建立 目的站地址 路由选择 当结点出故障时 分组的顺序 端到端的差错处 理和流量控制 虚 电 路 服 务 与 数据 报 服 务的 对 比 虚电路服务 可靠通信应当由网络 来保证 必须有 仅在连接建立 阶段使 用, 每 个分组使用短的虚电 路号 在虚电路建立 时进行 ,所 有 分组均按同一路由 所有通过出故 障的结 点的 虚 电路均不能工作 总是按发送顺序到达 目的站 由分组交换网负责 数据报服务 可靠通信应当由用户 主机来保证 不要 每个分组都有目的站 的全地址 每个分组独立选择路 由 出故障 的结 点可 能会 丢失 分组 , 一些路由可能会发生 变化 到达目的站时不一定 按发送顺序 由用户主机负责
第06章-局域网组网-计算机网络应用技术教程(第5版)-吴功宜-清华大学出版社
计算机网络应用技术教程(第五版)
6.2 局域网组网设备
• 网卡 • 无线网卡 • 集线器 • 交换机 • 无线AP • 其他设备
计算机网络应用技术教程(第五版)
6.2.1 网卡
• 网卡(network interface card,NIC)是构成 网络的基本部件
处理器芯片
传输介 质接口
扩展总线
计算机网络应用技术教程(第五版)
• 无线网卡的传输距离会受环境影响,例如墙 壁、无线信号干扰等因素
计算机网络应用技术教程(第五版)
6.2.3 集线器
• 集线器(hub)是Ethernet的中心连接设备, 所有结点通过非屏蔽双绞线与它连接
• 这种Ethernet物理结构是星型,在逻辑上仍 是总线型结构,MAC层仍采用CSMA/CD方法
计算机网络应用技术教程(第五版)
6.1.2 IEEE 802.3物理层标准
• IEEE 802.3是传统Ethernet标准 –10BASE-T标准:3类或5类非屏蔽双绞线 –10BASE-5标准:粗同轴电缆 –10BASE-2标准:细同轴电缆 –10BASE-FP、10BASE-FB与10BASE-FL标准: 无源或有源光纤
• 交换机根据端口收到的数据帧的目的MAC地 址,通过“端口号-MAC地址转换”表,决定 该帧通过哪个端口转发
网卡的分类
• 根据支持的网络技术不同,网卡可以分为: Ethernet网卡、Token Ring网卡与ATM网卡
• 根据主要的使用对象不同,网卡可以分为:工 作站网卡与服务器网卡
• 根据支持的数据总线不同,网卡可以分为: ISA网卡、PCI网卡与USB网卡
• 根据支持的传输速率不同,网卡可以分为: 10Mbps网卡、100Mbps网卡、1Gbps网卡与 10Gbps网卡
6.2 局域网组网设备
• 网卡 • 无线网卡 • 集线器 • 交换机 • 无线AP • 其他设备
计算机网络应用技术教程(第五版)
6.2.1 网卡
• 网卡(network interface card,NIC)是构成 网络的基本部件
处理器芯片
传输介 质接口
扩展总线
计算机网络应用技术教程(第五版)
• 无线网卡的传输距离会受环境影响,例如墙 壁、无线信号干扰等因素
计算机网络应用技术教程(第五版)
6.2.3 集线器
• 集线器(hub)是Ethernet的中心连接设备, 所有结点通过非屏蔽双绞线与它连接
• 这种Ethernet物理结构是星型,在逻辑上仍 是总线型结构,MAC层仍采用CSMA/CD方法
计算机网络应用技术教程(第五版)
6.1.2 IEEE 802.3物理层标准
• IEEE 802.3是传统Ethernet标准 –10BASE-T标准:3类或5类非屏蔽双绞线 –10BASE-5标准:粗同轴电缆 –10BASE-2标准:细同轴电缆 –10BASE-FP、10BASE-FB与10BASE-FL标准: 无源或有源光纤
• 交换机根据端口收到的数据帧的目的MAC地 址,通过“端口号-MAC地址转换”表,决定 该帧通过哪个端口转发
网卡的分类
• 根据支持的网络技术不同,网卡可以分为: Ethernet网卡、Token Ring网卡与ATM网卡
• 根据主要的使用对象不同,网卡可以分为:工 作站网卡与服务器网卡
• 根据支持的数据总线不同,网卡可以分为: ISA网卡、PCI网卡与USB网卡
• 根据支持的传输速率不同,网卡可以分为: 10Mbps网卡、100Mbps网卡、1Gbps网卡与 10Gbps网卡
计算机一级题题库,第六章第七章网络知识与网络安全
计算机一级题题库,第六章第七章网络知识与网络安全一、单选题**1. 计算机网络是按照()相互通信的。
A.网络协议B. 信息交换方式C. 传输装置D. 分类标准答案A*2.建立计算机网络的最主要的目的是()。
A. 提高内存容量B. 提高计算精度C. 提高运算速度D. 共享资源答案D*3.要浏览Internet网页,需要知道()。
A. 网页制作的过程B. 网页设计的风格C. 网页的作者D. 网页的URL地址答案D**4.OSI参考模型是国际标准化组织制定的模型,把计算机之间的通信分成()个互相连接的协议层A. 6B. 7C. 5D. 8答案B**5. 电子邮件地址有两部分组成。
即:用户名@()。
A. 邮件服务器名B. 设备名C. 匿名D. 文件名答案A***6.以下为互联网中正确IP地址的是()。
A. 128.128.1B. 0.0.1.259C. 255.255.258.359D. 128.127.0.1答案D**7.所谓加密是指将一个信息经过()及加密函数转换,变成无意义的密文,而接受方则将此密文经过解密函数,()还原成明文。
A. 解密钥匙、解密钥匙B. 解密钥匙、加密钥匙C. 加密钥匙、解密钥匙D. 加密钥匙、加密钥匙答案C**8.下列对Internet说法错误的是()。
A. 客户机上运行的是WWW浏览器B. 服务器上运行的是Web文件C. 客户机上运行的是Web服务程序D. 服务器上运行的是Web服务程序答案C*9.Internet采用的通信协议是()。
A. TCP/IPB. FTPC. WWWD. SPX/IP答案A**10.下面关于Internet网上的计算机地址的叙述,错误的是()。
A. Internet网上的域名是唯一的,不能同时分配给两台计算机B. Internet网上的IP地址是唯一的,不能同时分配给两台计算机C. Internet网上的计算机地址用域名或IP地址表示D. Internet网上的所有计算机的域名的长度是固定相同的答案D*11.接入Internet的主要方式有()。
信息安全技术教程第6章
企业的信息技术基础设施的风险分析应该建立在对下面元素 的估价之上:即威胁、脆弱性、减轻脆弱性的对策和敏感数据被泄 漏所产生的影响。风险分析的目标是:在建立防火墙安全策略之前 理解和评估这些元素。
风险分析的结果将决定防火墙系统处理网络应用程序通信的 方式。
创建一个防火墙策略的步骤如下: 第一步:识别确实必要的网络应用程序; 第二步:识别与应用程序相关的脆弱性; 第三步:对应用程序的保护方式进行成本—效益分析; 第四步:创建表示保护方式的应用程序通信矩阵,并在应用 程序通信矩阵的基础上建立防火墙规则集。
(二)入侵防御系统
1.入侵防御系统的产生 入侵防御系统是一种智能化的网络安全产品,它不但 能检测入侵行为的发生,而且能通过一定的响应方式,实时地 中止入侵行为的发生和发展,实时地保护信息系统不受实质性 的攻击。入侵防御系统使得入侵检测系统和防火墙走向了统一 。
2.入侵防御系统的作用 入侵防御系统提供一种主动的、实时的防护,其设计 旨在对常规网络通信中的恶意数据包进行检测,阻止入侵活动 ,预先对攻击性的数据包进行自动拦截,使它们无法造成损失 ,而不是简单地在检测到网络入侵的同时或之后进行报警。入 侵防御系统是通过直接串联到网络链路中而实现这一功能的, 即入侵防御系统接收到数据流量时,如果检测到攻击企图,就 会自动地将攻击包丢弃或采取措施将攻击源阻断。
第一,在功能方面,防火墙的发展趋势是融合越来越多的安全技术 。
第二,防火墙的另一个发展趋势是与多个安全产品实现集成化管理 和联动。
第三,在防火墙体系结构方面,对分布式防火墙将会有一定的需求 。
第四,在防火墙的硬件化方面,防火墙逐步由通用x86平台防火墙 向基于网络处理器的防火墙和ASIC芯片防火墙方向发展。
(四)测试防火墙策略
风险分析的结果将决定防火墙系统处理网络应用程序通信的 方式。
创建一个防火墙策略的步骤如下: 第一步:识别确实必要的网络应用程序; 第二步:识别与应用程序相关的脆弱性; 第三步:对应用程序的保护方式进行成本—效益分析; 第四步:创建表示保护方式的应用程序通信矩阵,并在应用 程序通信矩阵的基础上建立防火墙规则集。
(二)入侵防御系统
1.入侵防御系统的产生 入侵防御系统是一种智能化的网络安全产品,它不但 能检测入侵行为的发生,而且能通过一定的响应方式,实时地 中止入侵行为的发生和发展,实时地保护信息系统不受实质性 的攻击。入侵防御系统使得入侵检测系统和防火墙走向了统一 。
2.入侵防御系统的作用 入侵防御系统提供一种主动的、实时的防护,其设计 旨在对常规网络通信中的恶意数据包进行检测,阻止入侵活动 ,预先对攻击性的数据包进行自动拦截,使它们无法造成损失 ,而不是简单地在检测到网络入侵的同时或之后进行报警。入 侵防御系统是通过直接串联到网络链路中而实现这一功能的, 即入侵防御系统接收到数据流量时,如果检测到攻击企图,就 会自动地将攻击包丢弃或采取措施将攻击源阻断。
第一,在功能方面,防火墙的发展趋势是融合越来越多的安全技术 。
第二,防火墙的另一个发展趋势是与多个安全产品实现集成化管理 和联动。
第三,在防火墙体系结构方面,对分布式防火墙将会有一定的需求 。
第四,在防火墙的硬件化方面,防火墙逐步由通用x86平台防火墙 向基于网络处理器的防火墙和ASIC芯片防火墙方向发展。
(四)测试防火墙策略
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
第6章 认证技术的原理与应用 一个Kerberos系统涉及到四个基本实体: * Kerberos客户机:用户用来访问服务器的设备。 * AS(Authentication Server):为用户分发TGT(Ticket Granting Ticket)的服务器。用户使用TGT(Ticket Granting Ticket)向TGS(Ticket Granting Server)证明自己的身份。 * TGS(Ticket Granting Server):为用户分发到最终目 的票据的服务器,用户使用这个票据向自己要求提供服务的服 务器证明自己的身份。 * 应用服务器(Application Server):为用户提供特定服务。
第6章 认证技术的原理与应用
1. 向AS申用TGT用据 2. 证发TGT发客客 Kerberos客客 AS目目应 3. 证发TGT和应用目目用据申申 4. 证发应用用据发客客 TGS目目应 KDC 5.证发包包用据发目目应 6. 应用目目应应认申用
应用目目应
图6-5 Kerberos工作流程示意图
图6-1 单向认证过程示意图
第6章 认证技术的原理与应用 6.4.2 双向认证 双向认证是指在网络服务认证过程中,不仅服务方对客户 方要进行鉴别,而且客户方也要鉴别服务方的身份。双向认证 增加了客户方对服务方的认证,这样就可以解决服务器的真假 识别安全问题。双向认证过程如图6-2所示,认证过程由九步 构成: 第一步,客户方向服务器发出访问请求; 第二步,服务器要求客户方输入ID; 第三步,客户方向服务器输入ID;
第6章 认证技术的原理与应用 第二步,服务器要求客户方输入ID; 第三步,客户方向服务器输入ID; 第四步,服务器要求客户方输入密码; 第五步,客户方向服务器输入密码; 第六步,服务器验证ID和密码,如果匹配则允许客户进 入系统访问。
第6章 认证技术的原理与应用
1. 访访申用 2. 提提客客提提ID 3. 客客提提ID 4. 提提客客提提包用 客客 5. 客客提提包用 6. 客客客提目目 目目应
第6章 认证技术的原理与应用
6.5 认证实现技术
6.5.1 口令认证技术
口令认证是根据用户所知道的信息进行的身份鉴别,它不 仅应用在网络系统中,而且也广泛应用在日常生活中。口令俗 称“密码”,在计算机网络中,当需要访问网络设备、操作系 统和网络服务时,系统常常要求用户输入“用户名”和“密 码”。口令认证的优点就是简单,易于实现。例如,当使用者 以超级管理员身份访问Solaris操作系统时,系统要求用户输入 “root”用户名和root的口令信息,如图6-3所示。
2. 提提客客提提ID
3. 客客提提ID
4. 提提客客提提包用
5. 客客提提包用 目目应 客客 6. 客客客提目目
7. 提提目目应提提包用
8. 目目应提提
9. 客客申证目目应
图6-2 双向认证过程示意图
第6章 认证技术的原理与应用
在实际的应用问题中,双向认证的代价要比单向认证高。 例如,一个拥有50个用户的网络,每个用户都可以和其他任 何用户通信,所以每个用户都必须有能力对其他任一用户进 行认证。另外,出于保密角度考虑,我们希望每个用户都有 自己的个人密码。在这种情况下,每个用户必须存储所有其 他用户的密码,也就是说每个工作站需要存储49个密码。如 果新添加了一个用户,或者有用户被删除了,于是每个人都 要修改自己的密码表。由此可见,双向认证需要的代价高。
第6章 认证技术的原理与应用 6.5.2 智能卡技术 智能卡是一种带有存储器和微处理器的集成电路卡,能够 安全存储认证信息,并具有一定的计算能力。智能卡认证是根 据用户所拥有的实物进行的。智能卡认证技术广泛应用在现今 社会的各个方面。图6-4所示是通过智能卡来实现挑战/响应认 证的过程。在挑战/响应认证中,用户会提供一张智能卡,智能 卡会一直显示一个随时间而变化的数字。假如用户试图登录目 标系统,则系统首先将对用户进行认证,步骤如下: (1) 用户将自己的ID发送到目标系统。 (2) 系统提示用户输入数字。 (3) 用户从智能卡上读取数字。
第6章 认证技术的原理与应用 (4) 用户将数字发送给系统。 (5) 系统用收到的数字对ID进行确认。如果ID有效,系统 会生成一个数字并将其显示给用户,这称为挑战。 (6) 用户将上面的挑战输入智能卡中。 (7) 智能卡利用这个输入的值并根据一定的算法计算出一 个新的数字,然后显示这个结果,该数字称为应答。 (8) 用户将应答输入系统。 (9) 系统验证应答是否正确。如果正确的话,用户通过验证 并登录进入系统。
第6章 认证技术的原理与应用 (2) 鉴别。鉴别是指对实体身份的真实性进行识别。鉴别 的依据是用户所拥有的特殊信息或实物,这些信息是秘密的, 其他用户都不能拥有。系统根据识别和鉴别的结果,来决定 用户访问资源的能力。例如,通过IP地址的识别,网络管理员 可以确定Web访问是内部用户访问还是外部用户访问。
6.4.1 单向认证
单向认证是指在网络服务认证过程中,服务方对客户方进 行单方面的鉴别,而客户方不需要识别服务方的身份。例如, 假设一个客户需要访问某台服务器,单向认证只是由客户向服 务器发送自己的ID和密码,然后服务器根据收到的密码和ID, 进行比对检验,鉴别客户方的身份真实性。单向认证过程如图 6-1所示,认证过程由六步构成: 第一步,客户方向服务器发出访问请求;
第6章 认证技术的原理与应用
目目目目 3. 读读读读 6. 生生 智智智 7. 应应 用客 4. 证发读读 5. 证发生生 证证生生 8. 证发应应 1. 证发ID 2. 提提提提读读
9. 用客登目
检检应应, 如如如应如 登目证登
图6-4 挑战/响应认证示ห้องสมุดไป่ตู้图
第6章 认证技术的原理与应用 6.5.3 基于生物特征认证 利用口令进行认证的缺陷是口令信息容易泄露,而智能卡 又可能丢失或被伪造。在安全性要求高的环境中,这两种技术 都难以满足安全需求。基于生物特征认证就是指利用人类的生 物特征来进行验证。目前,指纹、视网膜、语音等生物信息都 可以被用来进行认证。人的指纹与生俱来,而且一生不变。视 网膜认证是根据人眼视网膜中的血管分布模式的不同来进行身 份鉴别的。语音认证则是依靠人的声音的频率来判断不同人的 身份。
第6章 认证技术的原理与应用 6.5.4 Kerberos
Kerberos的基本原理是利用对称密码技术,使用可信的第三 方来认证服务器的用户身份,并在用户和服务器之间建立安全信 道。例如,Alice和Bob分别都与可信第三方共享密钥,如果用户 Alice想要获取Bob提供的服务,那么Alice首先向可信第三方申请 一个用于获取Bob服务的票据TGT(Ticket Granting Ticket),然后可 信第三方给Alice提供一个Bob的服务票据TGS(Ticket Granting Server)及用于Alice和Bob之间安全会话的密钥,最后Alice利用可 信第三方提供的服务票据和会话密钥,访问Bob服务并进行安全 通信。Kerberos由美国麻省理工学院(MIT)研制实现,已经历了五 个版本的发展。Kerberos协议实现的源程序可以从网站 /kerberos/下载。Kerberos认证系统可以用来对网 络上通信的实体进行相互身份认证,并且能够阻止旁听和重放等 攻击。
第6章 认证技术的原理与应用
6.2 认证信息类型
常用的鉴别信息主要有四种: (1) 所 知 道 的 秘 密 , 如 用 户 口 令 、 PIN (Personal Identification Number)。 (2) 所拥有的实物,一般是不可伪造的设备,如智能卡、 磁卡等。 (3) 生物特征信息,如指纹、声音、视网膜等。 (4) 上下文信息,就是认证实体所处的环境信息、地理位置、 时间等,例如IP地址等。
第6章 认证技术的原理与应用
6.3 认证的作用和意义
认证的主要用途有三方面: (1) 验证网络资源访问者的身份,给网络系统访问授权提 供支持服务。 (2) 验证网络信息的发送者和接收者的真实性,防止假冒。 (3) 验证网络信息的完整性,防止篡改、重放或延迟。
第6章 认证技术的原理与应用
6.4 认证方法分类
第6章 认证技术的原理与应用 在Kerberos系统中,票据(Ticket)是用于安全传递用户身份 所需要的信息的集合。它不仅包含该用户的身份,而且还包含 其他一些相关的信息。一般来说,它主要包括客户方Principal、 目的服务方Principal、客户方IP地址、时间戳(分发该Ticket的时 间)、Ticket的生存期以及会话密钥等内容。通常将AS和TGS统 称为KDC(Key Distribution Center)。Kerberos的工作流程主要由 六步构成,如图6-5所示。
第6章 认证技术的原理与应用 6.4.3 第三方认证 第三方认证是指在网络服务认证过程中,服务方和客户方 的身份鉴别通过第三方来实现。第三方不仅负责维护认证信息, 而且还负责验证双方的身份。每个用户都把自己的ID和密码发 送给可信第三方,由第三方负责认证过程。此方法兼顾了安全 性和密码存储的简单易行性。
第6章 认证技术的原理与应用
第6章认证技术的原理与应用
6.1 认证相关概念 6.2 认证信息类型 6.3 认证的作用和意义 6.4 认证方法分类 6.5 认证实现技术 6.6 认证技术应用案例 6.7 本章小结 本章思考与练习
第6章 认证技术的原理与应用
6.1 认证相关概念
认证就是一个实体向另外一个实体证明其所具有的某种特 性的过程。在认证过程中,要用到两种基本安全技术,即标识 技术(identification)和鉴别技术(authentication)。下面分 别叙述。 (1) 标识。标识用来代表实体的身份,确保实体在系统中的 惟一性和可辨认性,一般用名称和标识符(ID)来表示。通过惟 一标识符,系统可以识别出访问系统的每个用户。例如,在网 络环境中,网络管理员常用IP地址、网卡地址作为计算机用户 的标识。