报文鉴别与身份验证.ppt

1,数字签名与认证技术,第3单元,2,认证技术,认证（authentication,也叫验证）就是验证用户身份的合法性和用户间传递消息的完整性与真实性。即当接收方收到发送方的报文时，接收方能够验证收到的报文是真实的未被篡改的。认证服务主要包括：报文鉴别身份验证,3,报文鉴别,报文鉴别是为了确保数据的完整性和真实性，对报文的来源、时间性及目的地进行验证。它也叫完整性校验，必须解决以下三个问题：（1）报文是由指定的发送方产生的；（2）报文内容没有被修改过；（3）报文是按已传送的相同顺序收到的。这些问题可由数字签名、信息摘要或散列函数解决。,4,单向散列函数,单向散列函数：也叫HashFunction，哈希函数、杂凑函数将任意长度的消息M映射成一个固定长度散列值h的函数：h=H(M)，其中，h的长度为m。“散列值”的长度取决于所采用的算法，通常在128256位之间。,5,单向散列函数,散列函数要具有单向性，则必须满足如下特性：给定M，很容易计算h，便于软硬件实现。给定h，根据H(M)=h反推M很难，即有单向性给定M，找到另一M满足H(M)=H(M)很难。,6,常用的散列函数,MD5（MessageDigestAlgorithm5）：是RSA数据安全公司开发的一种单向散列算法，MD5被广泛使用，可以用来把不同长度的数据块进行暗码运算成一个128位的数值；SHA（SecureHashAlgorithm）这是一种较新的散列算法，可以对任意长度的数据运算生成一个160位的数值；,7,散列函数的应用,数字签名，提高效率消息的完整性验证,8,MD5应用举例,两个验证：多个不同文档得出长度相同的数据。文档只有改变一点，得出的散列值就不一样。,9,身份验证,身份验证即验证申请进入网络系统者是否是合法用户，以防非法用户访问系统。其方式一般有用户口令验证、摘要算法验证、基于PKI（公钥基础设施）的验证。身份验证一般涉及两个过程：识别验证。,10,身份验证,识别是指要明确访问者是谁，识别信息一般是非秘密的，如用户信用卡号、用户名、身份证号码等；验证是指在访问者声明自己的身份后，系统对其身份进行验证，以防止假冒，验证信息一般是秘密的，如用户信用卡的密码。,11,身份验证,身份验证的方法有口令验证、个人持证验证、个人特征验证三种：口令法：最简单，系统开销也小，应该相当广泛，但安全性也最差。,12,口令机制,弱口令：对弱口令的攻击形式穷举攻击字典攻击网络数据流的窃听,13,LC5的应用,LOphtCrack(简称LC5)是一款网络管理员常用的工具，可以用来检测Windows或UNIX系统用户是否使用了不安全的密码，同样也是一款WinNT/2000/XP/UNIX管理员帐号密码破解工具。启动LC5向导,14,个人持证,持证为个人持有物，如钥匙、磁卡、智能卡等，比口令法安全性好，但验证系统比较复杂，磁卡常和PIN一起使用。,15,个人特征,个人特征验证法指指纹识别、声音识别、血型识别、视网膜识别等，其安全性最好，但验证系统也最复杂。,环型弓型螺旋型指纹的基本纹型,16,数字证书,17,什么是数字证书,数字证书（DigitalID），又叫“数字身份证”、“网络身份证”，是由认证中心发放并经认证中心数字签名的，包含公开密钥拥有者以及公开密钥相关信息的一种电子文件，可以用来证明数字证书持有者的真实身份。数字证书采用公钥体制。数字证书的格式一般采用X.509国际标准。用于电子邮件、电子商务等方面,18,X.509证书,CA的签名保证证书的真实性,证书以一种可信方式将密钥“捆绑”到唯一命名,持有人:ZhangMin,公开密钥:9f0a34.,序列号:123465,有效期:2/9/1997-1/9/1998,发布人:CA-名,签名:CA数字签名,证书可能存放到文件、软盘、智能卡、数据库?,19,数字证书的存储,数字证书可以存放在计算机硬盘、软盘、IC卡或CPU卡中。数字证书在计算机硬盘中存放时，使用方便，但存放证书的计算机必须受到安全保护软盘保存证书，被窃取的可能性有所降低，但软盘容易损坏，易于导致用户数字证书的不可用。,20,数字证书生命周期,证书申请证书生成证书存储证书发布证书废止,21,CA安全认证中心（CertificateAuthority）,CA是公开密钥的管理机构CA通过签发证书来分发公钥验证并标识证书申请者的身份。确定并检查证书的有效期限。发布并维护作废证书表。对整个证书签发过程做日志记录。,22,证书库,证书库是一种网上公共信息库，用于证书的集中存放，用户可以从此处获得其他用户的证书和公钥。,23,安全套接层协议（SSL）,Internet上对应的七层网络模型的每一层都已经提出了相应的加密协议。SSL是工作于网络会话层（SocketLayer）的网络安全协议。SSL为服务器与客户机之间提供安全通道，这个安全通道具有3个特征：（1）私密性（2）确认性（3）可靠性,24,SSL协议的基本安全服务,（1）提供认证服务（2）提供加密服务（3）保证数据的完整性,25,安全套接层协议（SSL）,SSL协议在整个网络协议中的位置,26,安全套接层协议（SSL）,SSL提供的安全通道会将双方传输的数据全部加密，这样就保证了数据在传输的过程中不能被恶意的窃取和更改。SSL协议是由SSL握手协议（SSLHANDSHAKEPROTOCOL）和SSL记录协议（SSLRECORDPROTOCOL）两个子协议构成的,27,SSL协议的应用,利用IIS申请服务器证书的时候，IIS本身先产生公私密钥对，并产生相应的证书申请信息，最后把这个信息交给CA（该CA只能为Windows2000企业CA或其他商业CA，Windows2000独立CA不能签发服务器证书），由CA签发以后形成证书。其具体步骤如下：1）首先在操作系统2000中找到有关设置，方法有两种。第一种，从控制面板中找到“管理工具”，从这个文件夹中找到“Internet服务管理”并执行。第二种，从“开始”菜单的“程序”菜单中执行“管理工具”“Internet管理工具”。这样就可以将IIS的管理界面打开,28,SSL协议的应用,2）选取本机下的“默认Web站点”，并用鼠标右击。在弹出的菜单中选择“属性”命令。选择“目录安全性”标签,29,SSL协议的应用,3）单击该标签上“安全通信”栏目中的“服务器证书”按钮。这时会弹出“Web服务器证书向导对话框”4）单击“下一步”按钮，会进入到IIS证书安装向导界面，并且要求你选择对证书动作的方式5）选择“创建一个新证书”，并单击“下一步”按钮,30,SSL协议的应用,31,SSL协议的应用,6）选择好发送方式后单击“下一步”按钮，会进入到“密钥”对话框。这里要求用户输入申请证书的名称和密钥的长度,32,SSL协议的应用,7）弹出的界面要求输入申请该证书的机构或组织的有关信息，包括组织的名称和组织部门等8）单击“下一步”按钮，在弹出的对话框中输入拥有这个证书的Web站点的公用名称9）输入相应的信息后单击“下一步”按钮。进入的下一个界