第三章 信息认证技术
第三章信息认证技术
第5讲 认证
加强口令安全的措施: A、禁止使用缺省口令。 B、定期更换口令。 C、保持口令历史记录,使用户不能循环使用 旧口令。 D、用口令破解程序测试口令。
第5讲 认证
2、口令攻击的种类
计算资源依靠口令的方式来保护的脆弱性:
网络数据流窃听。由于认证信息要通过网络传 递,并且很多认证系统的口令是未经加密的明 文,攻击者通过窃听网络数据,就很容易分辨 出某种特定系统的认证数据,并提取出用户名 和口令。口令被盗也就是用户在这台机器上的 一切信息将全部丧失,并且危及他人信息安全, 计算机只认口令不认人。最常见的是电子邮件 被非法截获。
认证服务器(Authentication Server)
负责进行使用者身份认证的工作,服务器上存放使用者 的私有密钥、认证方式及其他使用者认证的信息。
认证系统用户端软件(Authentication Client Software) 认证系统用户端通常都是需要进行登陆(login)的设备或 系统,在这些设备及系统中必须具备可以与认证服务器 协同运作的认证协定。
第5讲 认证
1.选择很难破译的加密算法
让硬件解密商品不能发挥作用。
2.控制用户口令的强度(长度、混合、大小写)
3.掺杂口令
先输入口令,然后口令程序取一个 12 位的随 机数(通过读取实时时钟)并把它并在用户输入 的口令后面。然后加密这个复合串。最后把 64 位的加密结果连同 12 位的随机数一起存入 口令文件。
信息安全概论
信息认证技术
信息认证技术
验证信息的发送者是否是合法的,即实体认证, 包括信源、信宿的认证与识别。
数字签名 身份识别技术
验证消息的完整性以及数据在传输和存储过程中 是否会被篡改、重放或延迟。
第3章 PKI认证技术及应用
③ EPKB[ IDA| |N1] A ⑥ EPKA [ N1 | | N2] ⑦ B
EPKB[ N2 ]
公钥管理机构分配公钥
PKI认证技术及应用 第三章 PKI认证技术及应用 步骤如下: 步骤如下: 用户A向公钥管理机构发送一个带有时戳的消息,消息中有获取用户B (1)用户A向公钥管理机构发送一个带有时戳的消息,消息中有获取用户B 当前公钥的请求。 当前公钥的请求。 Request | |Time1 公钥管理机构对A的请求作出应答,该消息由管理机构的秘钥 秘钥SK (2)公钥管理机构对A的请求作出应答,该消息由管理机构的秘钥SKAU来 加密,因此A能用管理机构的公开钥解密,并使A相信这个消息来自于公钥 加密,因此A能用管理机构的公开钥解密,并使A 管理机构。该消息由以下几部分组成: 管理机构。该消息由以下几部分组成: 可以用之将发往B的消息加密。 B的公钥PKB,A可以用之将发往B的消息加密。 的公钥PK 的请求,验证A A的请求,验证A的请求在发往管理机构使没有更改 最初的时戳,使A确信管理机构发来的不是旧消息。 最初的时戳, 确信管理机构发来的不是旧消息。 的公开钥将消息加密后发向B 这个消息中有两个数据项, (3)A用B的公开钥将消息加密后发向B,这个消息中有两个数据项,一个 的身份IDA 另一个是一次性随机数N1 用来唯一的标识本次通信。 IDA, N1, 是A的身份IDA,另一个是一次性随机数N1,用来唯一的标识本次通信。 E PKB [ ID A | |N1 ] )(5 以相同的方式从公钥管理机构获得A的公开钥。至此, (4)(5)B以相同的方式从公钥管理机构获得A的公开钥。至此,A和B都 已经得到了对方的公开钥,可以安全保密的通信。 已经得到了对方的公开钥,可以安全保密的通信。
PKI认证技术及应用 第三章 PKI认证技术及应用
计算机信息安全技术课后习题答案
专业资料第一章计算机信息安全技术概述1、计算机信息系统安全的威胁因素主要有哪些?(1)人为无意失误(2)人为恶意攻击(3)计算机软件的漏洞和后门2、从技术角度分析引起计算机信息系统安全问题的根本原因。
(1)计算机外部安全(2)信息在计算机系统存储介质上的安全(3)信息在传输过程中的安全3、信息安全的CIA 指的是什么 ?Confidenciality隐私性 , 也可称为机密性, 是指只有授权的用户才能获取信息 Integrity 完整性 , 是指信息在传输过程中 , 不被非法授权和破坏 , 保证数据的一致性Availability可用性 , 是指信息的可靠度4、简述 PPDR安全模型的构成要素及运作方式PPDR由安全策略 , 防护 , 检测和响应构成运作方式 :PPDR 模型在整体的安全策略的控制和指导下, 综合运用防护工具的同时, 利用检测工具了解和评估系统的安全状态 , 通过适当的安全响应将系统调整在一个相对安全的状态。
防护 , 检测和响应构成一个完整的、动态的安全循环。
5、计算机信息安全研究的主要内容有哪些?(1)计算机外部安全(2)信息在计算机系统存储介质上的安全(3)信息在传输过程中的安全6、计算机信息安全的定义是什么?计算机信息安全是研究在特定的应用环境下, 依据特定的安全策略 , 对信息及信息系统实施防护, 检测和恢复的科学7、信息安全系统中, 人、制度和技术之间的关系如何?在信息安全系统中, 人是核心。
任何安全系统的核心都是人。
而技术是信息安全系统发展的动力, 技术的发展推动着信息安全系统的不断完善。
信息安全系统不仅要靠人和技术, 还应该建立相应的制度以起到规范的作用。
只有三者的完美结合 , 才有安全的信息安全系统第二章密码技术一、选择题1.下列( RSA算法)算法属于公开密钥算法。
2. 下列(天书密码)算法属于置换密码。
3.DES 加密过程中,需要进行(16 )轮交换。
二、填空题1. 给定密钥K=10010011,若明文为P=11001100,则采用异或加密的方法得到的密文为01011111。
认证技术
认证技术认证技术在现代社会中扮演着重要的角色。
它是一种技术手段,用于验证某个实体的真实性或合法性。
认证技术广泛应用于各个领域,如金融、电子商务、网络安全等,为用户提供了可靠的保障。
本文将探讨认证技术的定义、分类以及其在不同领域中的应用。
首先,我们来谈谈认证技术的定义。
认证技术是指通过特定手段对某个实体进行真实性或合法性确认的技术。
它主要通过使用密码学、生物识别、数字签名等技术手段,对实体进行验证。
认证技术的目的是为了增强安全性,确保信息或实体的可信度。
它可以防止信息被篡改、被冒充或被伪造。
根据认证对象的不同,认证技术可以分为几个大类。
首先是身份认证技术。
身份认证技术用于验证用户的身份信息是否真实有效。
例如,银行在用户登录时要求输入用户名和密码,以确认用户的身份。
其次是物理物品认证技术。
这种技术用于验证物品的真实性和合法性。
例如,奢侈品品牌会在每个产品上标识独特的认证标志,以防止假冒产品的出现。
此外,还有数字证书技术。
数字证书技术是一种通过使用公钥密码学,为实体颁发数字证书,用于验证其身份和数据的完整性。
认证技术在金融领域扮演着重要的角色。
银行等金融机构使用认证技术来保护用户的账户安全。
例如,用户在登录网银时需要输入身份认证信息,以确保账户只能由合法用户访问。
此外,金融交易中的数字签名技术也起到了重要的作用。
数字签名技术可以确保交易的真实性和完整性,防止篡改和伪造。
通过应用认证技术,金融机构能够提供更安全和可靠的服务。
电子商务领域也广泛使用认证技术。
在网络购物中,用户通常需要进行身份认证和支付认证,以确保交易的安全性。
此外,电子商务平台也会使用信用认证技术,对商家的信用进行评估和认证,以提供更可信赖的交易环境。
认证技术为电子商务提供了用户和商家之间的互信基础,促进了电子商务的发展。
认证技术在网络安全领域也扮演着重要的角色。
随着互联网的普及,网络安全问题变得越来越重要。
认证技术可以有效地防止网络中的信息泄露和攻击。
第三章 身份认证技术
第三章身份认证机制学习目标:(方正大标宋简体四号)通过学习,要求了解在网络安全中的用户身份认证机制的几种常见形式:口令机制、数字证书的身份认证以及基于IC卡和生物特征的身份认证的原理和应用。
引例:(方正大标宋简体四号)用户身份认证是对计算机系统中的用户进行验证的过程,让验证者相信正在与之通信的另一方就是他所声称的那个实体。
用户必须提供他能够进入系统的证明。
身份认证往往是许多应用系统中安全保护的第一道防线,它的失败可能导致整个系统的崩溃,因此,身份认证是建立网络信任体系的基础。
3.1 口令机制(方正大标宋简体四号)3.1.1什么是口令机制(黑体五号)网络营销在计算机系统中口令机制是一种最常用、最简单的身份认证方法,一般由用户账号和口令(有的也称为密码)联合组成,如图3-1所示,口令用来验证对应用户账号的某人身份是否真的是计算机系统所允许的合法用户。
图3-1 QQ登陆时采用的口令认证机制例如,当系统要求输入用户账号和密码时,用户就可以根据要求在适当的位置进行输入,输入完毕确认后,系统就会将用户输入的账号名和密码与系统的口令文件里的用户名和口令进行比较,如果相符,就通过了认证。
否则拒绝登录或再次提供机会让用户进行认证。
基于口令的认证方式是最常用和最简单的一种技术,它的安全性仅依赖于口令,口令一旦泄露,用户就有可能被冒充,计算机系统的安全性也将不复存在。
在选用密码时,很多人习惯将特殊的日期、时间、或数字作为密码使用。
例如将节假日、自己或家人的出生日期、家庭电话或手机号码身份证等数字作为密码,认为选择这些数字便于记忆。
但是这些密码的安全性其实是很差的。
为什么这些口令不安全呢,我们还是先看看目前有哪些口令攻击的形式。
3.1.2什么是弱口令(黑体五号)网络营销目前绝大多数计算机资源还是通过固定口令的方式来保护。
而这种以固定口令为基础的认证方式存在很多问题,变得越来越脆弱。
现在对口令的攻击主要包括以下几种:1.字典攻击主要攻击者将有可能作为密码的放入字典中,例如,一般用户最喜欢的使用的数字、有意义的单词等,然后使用字典中的单词来尝试用户的密码。
第三章ISO9000与认证
中国合格评定国家认可委员会CNAS 认可年报
截至2012年12月31日,CNAS认可各类认证
产品检验的局限性
任何技术标准都不可能把全部质量要求反映在
规格上。
在三聚氰胺事件前,乳品行业不设定
三聚氰胺检测项,目前地沟油检测不出来
单靠各种试验,未必能揭隐患,而 这些隐患只能在产品使用过程中才能发现,所 有试验都有风险性,试验本身有局限性。
即使进行了产品的试验和检验,也无法了解产
机构、实验室及检查机构三大门类共计十四个 领域的5840家机构。
获CNAS认可的认证机构颁发的现行有效认证证书共682,245份 质量管理体系认证证书216,034份; 环境管理体系认证证书57,512份; 职业健康安全管理体系认证证书37,978份; 食品安全管理体系认证证书5,769份; 信息安全认证证书977份; 危害分析与关键控制点认证证书90份; 良好生产规范认证证书40份; 软件过程及能力成熟度评估证书21份; 自愿性产品认证证书21,830份(组织数:4,420家); 强制性产品认证证书334,161份(组织数:49,372家) 有机产品认证证书7,387份(组织数:4,453家); 良好农业规范认证证书380份(组织数:379家); 森林认证证书0份(组织数:0家); 服务认证证书66份(组织数:66家)。
动的成功经验 (三)理论基础:质量管理学的发展 (四)现实要求:国际贸易的激烈竞争
在国际市场竞争中,五个因素起作用
信息安全概论期末复习题
信息安全概论期末复习第一章:概述1、信息技术简单来说就是3C,那么3C是computer/计算机、communication/通信、control/控制2、信息安全属性中信息安全三原则(或三要素):完整性、机密性、可用性3、从整个网络信息处理角度来看,信息涉及哪几部分环节:信息处理的系统、通过网络线路(有线、无线)进行信息传输的路径第二章:信息保密技术1、密码学是研究编制密码和破译密码的。
2、早期密码学被称为古典密码/传统密码。
3、现代密码学里常用的有分组密码、公钥密码、流密码。
4、密码学是一门综合性的交叉学科。
(对)5、密码学的发展依次分为:古典、私钥、公钥三个阶段。
6、密码体制的基本要素有:密码算法、密钥两个。
7、密码算法分为两种:加密算法、解密算法。
8、如果X表示明文,K表示对称加密密钥,Y表示加密后的密文,那么加密公示可以写为:Y=Ek(X)。
如果密文为EK(X),那么得到的明文的解密公式为:X=Dk(Ek(X))。
说明:E代表加密,D代表解密。
9、密码学其他术语有:密码员、加密算法、解密算法、发送者、接收者、加解密密钥、截收者、密码分析、密码分析者、密码编码学、密码分析学、被动攻击、主动攻击。
10、分组密码的特点是:用固定长度的密钥对分组为等长长度的明文段进行加密。
11、现代密码学中,最早最著名的分组加密算法简称是:DESDES算法入口参数,除了密钥、明文之外,还有模式\mode参数,用于区分加密还是解密。
DES算法入口参数的初始密钥的位数是64位。
DES算法需要把明文分组,每个分组64位。
DES算法实际有效密钥位数为56位。
DES算法对每个明文分组的第一步处理要经过按换位表进行初始换位/初始换位的处理。
DES算法对明文分组进行处理的轮数是16轮。
DES算法每轮参与对明文分组进行处理的字密钥是48位。
12、根据密钥特点对密码体制进行分类为:对称/单钥/私钥、非对称/双钥/公钥两种密钥体制。
举例说明消息认证的三种方法
举例说明消息认证的三种方法消息认证是确保消息的完整性、真实性和不可否认性的重要手段。
下面就来举例说明消息认证的三种方法。
第一种方法是基于密码的消息认证码。
它的步骤呢,就是发送方和接收方共享一个密钥,发送方利用这个密钥和要发送的消息计算出一个认证码,然后将消息和认证码一起发送给接收方。
接收方收到后,用同样的密钥和收到的消息计算出认证码,与接收到的认证码进行比较。
这其中要注意密钥的安全性,可不能轻易泄露呀!在这个过程中,只要密钥不被破解,那安全性可是相当高的呀,稳定性也很不错呢。
这种方法适用于很多场景,比如网络通信中对数据的认证。
想想看,要是没有它,那网络上的信息还不知道会乱成啥样呢!比如说在网上银行转账时,利用这种方法就能保证交易信息的准确无误,不会被篡改。
第二种方法是数字签名。
这就好像是给消息盖上一个独一无二的印章!发送方用自己的私钥对消息进行处理,得到数字签名,接收方用发送方的公钥来验证签名的真实性。
这里面的关键就是保护好私钥哦!这过程的安全性那是杠杠的,稳定性也没得说。
它的应用场景也很多呀,比如电子合同的签署,这多靠谱呀!就好像你签了一份重要合同,别人想假冒可没那么容易。
第三种方法是哈希函数。
发送方对消息计算哈希值,然后把消息和哈希值一起发送,接收方收到后重新计算哈希值进行比较。
这个简单又好用呢!注意哈希函数的选择要合适哦。
它的安全性和稳定性也不错呢。
常用于文件完整性的验证,你想想,下载一个大文件,用它来验证一下是不是完整的,多放心呀!就拿我们平时用的手机支付来说吧,这里面肯定用到了消息认证的方法呀,不然我们怎么能放心地付钱呢?正是因为有了这些可靠的消息认证方法,我们的信息安全和交易安全才有了保障呀!所以说呀,消息认证真的是太重要啦!消息认证就是我们信息世界的守护神呀,保护着我们的信息不被侵犯,让我们能安心地在信息的海洋里遨游!。
信息认证技术技术介绍
详细描述
在教育领域,信息认证技术用于在线教育平 台、数字化校园等场景。通过学生身份验证、 课程资源版权保护等技术手段,确保学生个 人信息的安全和教学资源的完整性。同时, 信息认证技术还用于保障在线考试的安全性, 如防止作弊和数据篡改等。
04
信息认证技术的挑战与未来发展
信息认证技术的安全挑战
01
02
信息认证技术技术介绍
• 信息认证技术概述 • 信息认证技术的分类 • 信息认证技术的应用场景 • 信息认证技术的挑战与未来发展 • 信息认证技术的实践案例
01
信息认证技术概述
信息认证技术的定义
信息认证技术是一种用于验证信息的 来源和完整性的技术,通过信息认证 技术可以确保信息的真实性和可信度 。
03
保护数据完整性
确保信息在传输和存储过 程中不被篡改或损坏,保 持数据的完整性和真实性。
防范恶意攻击
增强系统对各种恶意攻击 的防御能力,如网络钓鱼、 中间人攻击等,保障用户 信息安全。
防止信息泄露
严格控制信息的访问权限, 防止敏感信息被未经授权 的第三方获取和使用。
信息认证技术的隐私挑战
保护个人隐私
密码学应用
常见的基于密码的信息认证技术实践案例包括对称加密算法 (如AES、DES)、非对称加密算法(如RSA)、哈希函数 (如SHA-256)等。
密码学优势
密码学具有较高的安全性,能够提供可靠的加密和解密机 制,适用于敏感信息的保护和传输。
密码学挑战
密码学面临的主要挑战包括密钥管理、复杂度、性能和安 全性等方面,需要不断改进和优化。
无密码认证技术的发展
推动无密码认证技术的应用,降低因密码泄露带来的安全风险。
跨平台和跨域认证
网络安全--认证技术
网络安全--认证技术认证技术是指通过一系列的验证步骤来确认用户的身份,从而保证用户可以访问系统或资源。
在网络安全中,认证技术可以有效防止非法用户进入系统或资源,保障系统和数据的安全。
常见的认证技术包括用户名和密码、指纹识别、身份证、智能卡等。
在网络安全中,认证技术的重要性不言而喻。
如果没有有效的认证技术,系统存在被未经授权的用户访问的风险,数据可能被盗取、篡改或破坏,整个网络安全受到威胁。
因此,认证技术是保障网络安全的重要一环。
随着网络攻击技术和手段的不断更新和演变,传统的认证技术也逐渐显露出一些弊端。
例如,用户名和密码容易被破解,指纹识别可能被模拟,身份证可以被盗用。
因此,为了进一步提升网络安全,应当不断改进和升级认证技术。
为了应对网络安全挑战,需要综合运用多种认证技术,建立起多层次的网络安全防护体系。
同时,还需要不断研究和开发新的认证技术,比如生物特征识别技术、动态密码技术等,来应对网络安全演进带来的新挑战。
总的来说,认证技术在网络安全中占据着至关重要的地位。
只有不断升级和完善认证技术,才能更好地保障网络安全,保护用户的信息和数据。
网络安全一直是全球各国关注的焦点,随着网络攻击手段的不断更新和演变,网络安全形势日益严峻。
在这样的背景下,认证技术的不断升级和完善显得尤为重要。
一方面,随着云计算、大数据、移动互联网等新技术的快速发展,用户对于网络资源的需求也在不断增长,这就需要更高效、更灵活的认证技术来满足用户的需求。
另一方面,网络攻击者的攻击手段也在不断升级,传统的认证技术已经不能满足对网络安全越来越严苛的要求,因此需要对认证技术进行创新和改进。
为了应对这一挑战,研究人员和企业已经在认证技术方面做出了不少努力。
生物特征识别技术是其中一个备受关注的领域,通过识别用户的生物特征如指纹、面部识别、虹膜扫描等,来进行身份认证。
相对于传统的用户名密码认证方式,生物特征识别技术具有更高的准确性和安全性,能够更好地保护用户的隐私和数据安全。
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
M=Se mod n
DSS
美国数字签名标准 DSA Elgamal算法
盲签名(数字信封)
对一个文件进行签名,而不想让签名者知道文件 的内容。
完全盲签名 盲签名 盲签名算法
数字信封的功能类似于普通信封。普通信封在法律的约束下保证只 有收信人才能阅读信的内容;数字信封则采用密码技术保证了只有 规定的接收人才能阅读信息的内容。盲签名如图3-10所示。
第5讲 认证 认证信息截取/重放(Record/Replay) 有的系统会将认证信息进 行简单加密后进行传输,如果攻击者无法用第一种方式推算 出密码,可以使用截取/重放方式。攻击者仍可以采用离线方 式对口令密文实施字典攻击; 对付重放的方法有: 1在认证交换中使用一个序数来给每一个消息报文编号 ,仅当 收到的消息序号合法时才接受之; 2使用时间戳 (A接受一个新消息仅当该消息包含一个 A认为是 足够接近 A所知道的时间戳 );
(2)使用用户名(帐号)的变换形式作为口令。 将用户名颠倒或者加前后缀作为口令,比如说 著名的黑客软件John,如果你的用户名是fool, 那么它在尝试使用fool作为口令之后,还会试 着使用诸如fool123、loof、loof123、lofo等作为 口令,只要是你想得到的变换方法,John也会 想得到。
第5讲 认证
(3)使用自己或者亲友的生日作为口令。这种 口令很脆弱,因为这样往往可以得到一个6位 或者8位的口令,但实际上可能的表达方式只 有100×12×31=37200种。
(4)使用常用的英文单词作为口令。这种方法 比前几种方法要安全一些。一般用户选择的英 文单词几乎都落在黑客的字典库里。
(5)使用5位或5位以下的字符作为口令。
第5讲 认证
1.选择很难破译的加密算法 让硬口令的强度(长度、混合、大小写)
3.掺杂口令 先输入口令,然后口令程序取一个 12 位的随 机数(通过读取实时时钟)并把它并在用户输入 的口令后面。然后加密这个复合串。最后把 64 位的加密结果连同 12 位的随机数一起存入 口令文件。
第5讲 认证
加强口令安全的措施: A、禁止使用缺省口令。
B、定期更换口令。
C、保持口令历史记录,使用户不能循环使用 旧口令。 D、用口令破解程序测试口令。
第5讲 认证
2、口令攻击的种类 计算资源依靠口令的方式来保护的脆弱性:
网络数据流窃听。由于认证信息要通过网络传 递,并且很多认证系统的口令是未经加密的明 文,攻击者通过窃听网络数据,就很容易分辨 出某种特定系统的认证数据,并提取出用户名 和口令。口令被盗也就是用户在这台机器上的 一切信息将全部丧失,并且危及他人信息安全, 计算机只认口令不认人。最常见的是电子邮件 被非法截获。
数字信封中采用了对称密码体制和公钥密码体制。信息发 送者首先利用随机产生的对称密码加密信息,再利用接收 方的公钥加密对称密码,被公钥加密后的对称密码被称之 为数字信封。 在传递信息时,信息接收方要解密信息时,必须先用自己 的私钥解密数字信封,得到对称密码,才能利用对称密码 解密所得到的信息。这样就保证了数据传输的真实性和完 整性。将数字签名和数字信封结合起来,完成一个完整的 数据加密和身份认证过程,如图3-11所示。
为降低猜中的概率:
1减少口令使用寿命 ,即提高口令更换的频率 ; 2降低进攻者单位时间内猜测尝试口令的次数 ; 3增加可能口令的数目 ,即提高口令的字符个数。
然而 ,口令的频繁更换增加了用户的负担 ,也为资深入侵者 提供了条件 (为了便于记忆 ,人们往往选择与其个人相关的 口令 ,如某重要的日期 ),口令字符个数的增加也会增加用 户的负担且不会对资深入侵者有更大影响 ,因此 ,手段 2应 是较为有效的防猜中手段。
这很可能是一个模仿登录信息的特洛伊木马程序, 他会记录口令,然后传给入侵者。 垃圾搜索: 攻击者通过搜索被攻击者的废弃物,得 到与攻击系统有关的信息,如果用户将口令写在纸 上又随便丢弃,则很容易成为垃圾搜索的攻击对象。
第5讲 认证 口令猜中概率公式: P=L•R/S L:口令生命周期 R:进攻者单位时间内猜测不同口令次数 S:所有可能口令的数目。
第5讲 认证
一、认证的基本原理
通常有三种方法验证主体身份。
1)是只有该主体了解的秘密,如口令、密钥; 2)是主体携带的物品,如智能卡和令牌卡; 3)是只有该主体具有的独一无二的特征或能 力,如指纹、声音、视网膜图或签字等。
单独用一种方法进行认证不充分
第5讲 认证
身份认证系统架构包含三项主要组成元件: 认证服务器(Authentication Server)
第5讲 认证
一、身份识别技术的基本原理(身份认证)
在现实生活中,我们个人的身份主要是通过各 种证件来确认的,比如:身份证、户口本等。
认证是对网络中的主体进行验证的过程,用户 必须提供他是谁的证明,他是某个雇员,某个 组织的代理、某个软件过程(如交易过程)。 认证( authentication )是证明一个对象的身份 的过程。与决定把什么特权附加给该身份的授 权( authorization )不同。
公钥体制
选择两个素数p和q,令n=p×q。 随即选择加密密钥e,使得e和(p-1)(q-1)互素, 则n,e作为公钥。 求出正数d使其满足: ed=1 mod Φ(n)=(p-1)(q-1) 即:d=e-1 mod((p-1)(q-1)) 则d作为密钥,p和q舍弃,但不可泄漏。
签名:
公钥签名技术
对称加密算法进行数字签名
Hash函数 单密钥 实现简单性能好 安全性低
公钥加密算法进行数字签名与验证
用单向函数对报文变换,得到数字签名。 利用私钥进行加密。 接收方公钥解密,得到数字签名的明文。 用单向函数对报文变换,得到数字签名。 比较签名验证身份。 加密强度高。 第三方认证。
第5讲 认证
1)口令机制 用户名/口令认证技术:最简单、最普遍的身份识别 技术,如:各类系统的登录等。 口令具有共享秘密的属性,是相互约定的代码,只 有用户和系统知道。例如,用户把他的用户名和口 令送服务器,服务器操作系统鉴别该用户。 口令有时由用户选择,有时由系统分配。通常情况 下,用户先输入某种标志信息,比如用户名和ID号, 然后系统询问用户口令,若口令与用户文件中的相 匹配,用户即可进入访问。 口令有多种,如一次性口令;还有基于时间的口令
数字签名的特性
签名是可信的 签名是不可复制的 签名的消息是不可改变的 签名是不可抵赖的
数字签名的功能
否认 伪造 篡改 冒充
数字签名实现方式
Hash签名
通过一个单向函数(Hash)对要传送的报文进行处理, 用以认证报文来源。 用户使用自己的私钥对原始数据的哈希摘要进行加密, 接受者使用公钥进行解密,与摘要进行匹配以确定消 息的来源。
2、口令维护的成本较高。为保证安全性,口令应当 经常更换。另外为避免对口令的字典攻击,口令应 当保证一定的长度,并且尽量采用随机的字符。但 缺点是难于记忆。
3、口令容易在输入的时候被攻击者偷窥,而且用户 无法及时发现。 简单和安全是互相矛盾的两个因素。
第5讲 认证
二、基于口令的身份认证
1、安全与不安全的口令
UNIX系统口令密码都是用8位(新的是13位)DES算法 进行加密的,即有效密码只有前8位,所以一味靠密 码的长度是不可以的。安全的口令要求: 1) 位数>6位。 2) 大小写字母混合。 3)字母与数字混合。 4) 口令有字母、数字以外的符号。
第5讲 认证
不安全的口令则有如下几种情况: (1)使用用户名(帐号)作为口令。
群签名
在群体密码中,有一个公用的公钥,群体外面的 人可以用他向群体发送加密消息,密文收到后要 由群体内部的子集共同进行解密。
只有群体的成员能代表群体签名 接收到签名的人可以用公钥验证签名,但是不能知道 由群体的那个成员所签。 发生争议的时候,可由群体的成员或可信赖的机构识 别群签名的签名者
负责进行使用者身份认证的工作,服务器上存放使用者 的私有密钥、认证方式及其他使用者认证的信息。
认证系统用户端软件(Authentication Client Software) 认证系统用户端通常都是需要进行登陆(login)的设备或 系统,在这些设备及系统中必须具备可以与认证服务器 协同运作的认证协定。 认证设备(Authenticator) 认证设备是使用者用来产生或计算密码的软硬件设备。
3询问 /应答方式 (A期望从 B获得一个新消息 ,则先发给 B一 个临时值 ,并要求后续从 B收到的消息包含正确的这个临时 值)
第5讲 认证
字典攻击:由于多数用户习惯使用有意义的单词或 数字作为密码,某些攻击者会使用字典中的单词来 尝试用户的密码。所以大多数系统都建议用户在口 令中加入特殊字符,以增加口令的安全性。 穷举尝试(Brute Force): 这是一种特殊的字典攻击, 它使用字符串的全集作为字典。如果用户的密码较 短,很容易被穷举出来,因而很多系统都建议用户 使用长口令。
智能卡技术将成为用户接入和用户身份认证等安全要求 的首选技术。用户将从持有认证执照的可信发行者手里 取得智能卡安全设备,也可从其他公共密钥密码安全方 案发行者那里获得。这样智能卡的读取器必将成为用户 接入和认证安全解决方案的一个关键部分。
第5讲 认证
4)主体特征认证 目前已有的设备包括:视网膜扫描仪、声音验 证设备、手型识别器等。安全性高。
第5讲 认证
2)数字证书 这是一种检验用户身份的电子文件,也是企业 现在可以使用的一种工具。这种证书可以授权 购买,提供更强的访问控制,并具有很高的安 全性和可靠性。 非对称体制身份识别的关键是将用户身份与密 钥绑定。CA(Certificate Authority)通过为用户 发放数字证书(Certificate)来证明用户公钥与 用户身份的对应关系。