第四章身份认证技术.ppt

第4章身份认证技术 如何验证一个人的身份呢 在现实生活中 验证一个人的身份主要通过以下方式 你所知道的信息 暗号你所拥有的东西 印章你的独一无二的身体特征 身份认证技术 身份认证方法基于以下几个因素 口令物理上的密钥或卡指纹或视网膜展示在特定场所或网络地址上的证据可以验证申请人身份的其他可信任方 身份认证方法与所表示的身份有关 实体认证身份以参与通信会话的某个人 系统或应用程序来代表数据源认证当事人的身份以某个信息来代表 表明信息是由该当事人发出的 口令和个人识别码 PIN 用户名 口令是最常用的身份认证方法 口令是静态数据 在验证过程中需要在计算机内存和网络中传输 而每次验证过程中使用的验证信息都是相同的 很容易被驻留在计算机内存中的木马程序或网络中的监听设备截获 U 明文传输用户密码 去年底爆发的互联网泄密风波正扩散至移动互联网领域 日前 一位自称初级黑客的网友在天涯网发布 有图有真相你还敢用UC上网吗 的帖子 声称UC浏览器使用明文的方式传输用户密码 导致第三方可以轻松窃取UC浏览器用户登录各个网站的用户名和密码 通过笔记本电脑在星巴克 麦当劳等人流密集地区伪造无密码的无线热点AP 在电脑上安装Wireshark软件进行抓包 在手机上打开UC浏览器 然后访问Gmail登录 同时在电脑上启用Wireshark进行抓包监听 如果测试登录的用户名为williamlong 密码为1234567890123 登录完成后停止抓包然后进行分析 抓包的截图显示该用户名和密码为明文传输 通讯协议为HTTP 连接的是广州的一台服务器 这证明了原有的HTTPS安全连接遭到了破坏 为什么HTTPS是安全的 HTTPS 超文本传输安全协议 HypertextTransferProtocolSecure 是一种常见的网络传输协议 提供客户端和服务器的加密通讯 HTTPS的主要思想是在不安全的网络上创建一安全信道 对监听和中间人攻击提供合理的保护 HTTP是不安全的 通过监听和中间人攻击等手段 可以获取网站帐户和敏感信息等 HTTPS被设计为可防止前述攻击 并被认为是安全的 比如上面这个案例 通过伪造WiFi热点进行抓包监听 如果手机使用原生浏览器的话 通常来说 是无法监听到HTTPS方式访问的内容 HTTPS通讯内容均为加密信息 很难被破解 但是所有的HTTP访问信息都会被获取 如果用户使用HTTP访问一些隐私信息 则存在隐私泄漏的风险 例如用户使用百度搜索 目前百度只有HTTP版本 那么搜素的关键词就会被第三方监听 从而带来泄密的风险 这也就是2010年5月Google在全球部署HTTPS加密搜索的原因了 有了HTTPS版本的Google搜索 手机用户即使在不安全的无线热点进行搜索 其搜索的内容也不会被人窃取 可见普通的HTTP浏览是不安全的 而HTTPS浏览相比比较安全 使用手机内置的浏览器 在不安全的WiFi下问HTTPS仍然是相对安全的 然而UC浏览是一种中转压缩的技术进行加速 实现快捷上网 节省用户流量 这样 所有的访问都通过UC的代理服务器整理后传送UC浏览器客户端 当用户通过UC浏览器登录Gmail的时候 UC浏览器会把用户访问的URL地址和提交的信息发送到附近的一台UC服务器 这里存在的漏洞是 UC浏览器手机端和UC服务器之间的通讯是采用HTTP协议 并且包括用户名和密码在内的所有信息均为明文传输 这使得UC浏览器和UC服务器之间的通讯可以被监听和抓包 第三方可以通过这种方法获取手机用户的帐户密码等敏感信息 用户通过登录的任何网站都会被监听 包括邮箱 网站后台 网银 网上支付等 UC浏览器的问题 以上就是针对基于口令的身份认证所存在的通信窃取问题 出此之外 基于口令的身份认证主要还面临着如下威胁 外部泄露猜测重放危及主机安全 身份认证协议 变换后的口令口令在客户端通过单向函数处理成为变换后的口令形式 再传送给服务器 提问 答复 时间戳 一次性口令 数字签名 身份认证协议 Kerberos简介 Kerberos麻省理工学院为Athena项目开发的一个认证服务系统目标是把UNIX认证 记帐 审计的功能扩展到网络环境 公共的工作站 只有简单的物理安全措施集中管理 受保护的服务器多种网络环境 假冒 窃听 篡改 重发等威胁基于Needham Schroeder认证协议 可信第三方基于对称密钥密码算法 实现集中的身份认证和密钥分配 通信保密性 完整性 Kerberos包含了 种信息交换顺序 认证服务 交换 标签承认服务 交换 客户机 服务器 认证交换 一个简单的认证对话 C和V都必须在AS中注册 共享密钥KC KV 1 C AS IDc Pc IDV 2 AS C Ticket 3 C V IDc TicketTicket EKv IDc ADc IDv AS V C 1 2 3 C ClientAS AuthenticationServerV ServerIDc identifierofUseronCIDv identifierofVPc passwordofuseronCADc networkaddressofCKv secretkeysharedbyeASandV concatention 个人令牌 个人令牌的运作方式 储存式令牌 同步一次性口令生成器 提问 答复 数字签名令牌 令牌的物理存在方式 人 机界面令牌 智能卡 卡 令牌 生理特征介绍 每个人所具有的唯一生理特征指纹 视网膜 声音 视网膜 虹膜 语音 面部 签名等指纹一些曲线和分叉以及一些非常微小的特征 提取指纹中的一些特征并且存储这些特征信息 节省资源 快速查询 手掌 手型手掌有折痕 起皱 还有凹槽 还包括每个手指的指纹 人手的形状 手的长度 宽度和手指 表示了手的几何特征 生理特征介绍 视网膜扫描扫描眼球后方的视网膜上面的血管的图案 虹膜扫描虹膜是眼睛中位于瞳孔周围的一圈彩色的部分 虹膜有其独有的图案 分叉 颜色 环状 光环以及皱褶 语音识别记录时说几个不同的单词 然后识别系统将这些单词混杂在一起 让他再次读出给出的一系列单词 面部扫描人都有不同的骨骼结构 鼻梁 眼眶 额头和下颚形状 动态签名通过签名产生的电信号来进行识别 动态键盘输入 漫游协议 携带存储有私人数据的智能卡或类似的个人令牌 在服务器上存储用户的私人数据副本 令牌由一个带有 控制功能的处理器和一个存储器组成 这个存储器具有足够的存贮相应的密钥的能力 1 iKey的优点 iKey采用与智能卡相同的 提供访问控制的文件系统 应用程序能使用它存储个人信息 私钥 密钥 许可协议 识别特征 数字证书或其它数据 可靠性 用户将个人信息存储在iKey上 可以保证即使发生系统故障仍然是安全的 便携性 iKey是连接在钥匙圈上的 用户永远不会忘记携带而且几乎不会丢失 iKey是插入USB接口的 所以对核查在远地区通过笔记本电脑拨入一个公司虚拟专有网络 VPN 或进入Intranet的用户来讲是理想的 安全性 用户逐渐意识并且担心病毒和其它恶意软件能够访问保存在硬盘上的记录 控件 密码和其它个人信息 使重要信息不必保存在硬盘上 实现了 机密随身带 不可仿制 用户不能复制iKey中的信息 这意味着你可以使用它保存获得Internet服务的接入授权 不用担心被人盗用 换句话说 iKey没有密码普遍存在的共用问题 2 硬件安全技术 iKey硬件电路中集成读 写功能 包含完成存储功能的资源和高速加密引擎 它使用通用串行总行接口 USB 提供电源并且与计算机通讯 内置的掉电保护随机访问存储器保存RAINBOW提供的出厂设置 以及用户提供的与应用程序有关的数据 下面列出了该产品的技术特性 12MHz微处理器8K存贮单元 可扩展到32K 符合X 509数字证书存储标准ikey1000内置有MD5算法芯片 iKey2000内置有RSA算法芯片软件控制状态指示灯 可方便观察和计算机的接通情况64位全球唯一系列号USB接口 支持带电插拔 即插即用随机数生成器ikey1000有两级口令设置 PIN和SOPIN 并且可重试次数可设定 输入PIN错误次数超过设定值则iKey锁死 iKey2000只有一级PIN 并且PIN错误次数超过设定值则iKey所存数据销毁三级文件操作权限管理 访客模式 Guest 用户模式 User 超级管理员模式 Administrator 内置两级目录文件结构 iKey身份认证原理 iKey内置有MD5算法芯片 以特有的挑战 响应式方法来实现网络身份认证 他的实现原理如下图 参与运算的数有两个 一个可以是随机数 另一个是事先预设的算法因子 分别存放在服务器的用户数据库和iKey硬件内部的存储器 MD5Hash算法可以保证两个运算数哪怕只发生一位数字的变化 运算结果也会变得完全不一样 因为每次验证运算的其中一个运算数是随机数 所以每次的运算结果也是随机变化的 由此保证运算结果在传输中不怕被截获 iKey身份认证原理 步骤 1 服务器或客户端取得随机数 并将之发给对方 2 取出各自存储的算法因子 3 对这两个数进行运算 4 看运算结果是否一致 如果一致 说明两端的算法因子是一致的 因为随机数是共用的 影响结果的只能是算法因子 进而推出客户端的算法因子是约定的数 客户是合法的用户 的应用领域 1 Windows2000的网络安全登录2 安全电子邮件3 用于数字证书的存储4 用于浏览器的安全 PKCS 11与MSCAPI5 在VPN和RADIUS上的应用 二十个你必须知道的SEO概念 如果你拥有一个网站或独立博客 或者你的工作多少和互联网有关 那你一定耳濡目染多多少少对SEO 搜索引擎优化 有一定了解 本文将列举其中20个SEO领域最常用的名词和概念 如果你打算熟悉和了解他们请继续阅读 当然 如果你已经无所不晓 那你可以权当补习功课 或可以直接忽略本文 1 搜索引擎营销 SEM 搜索引擎营销 SEM 英文全称为SearchEngineMarketing 意指通过搜索引擎进行服务和产品的营销 搜索引擎营销又主要分为两种 搜索引擎优化 SEO 和付费点击 PPC Pay Per Click 搜索引擎优化 SEO 指通过优化网站和页面并让它们在搜索结果的页面中展示 而付费点击 PPC 指通过购买搜索引擎的点击将用户带到自己的网站 通常 这些点击来自搜索结果页面中的 赞助商链接 译注 显然不适用于百度 2 反向链接 Backlink 反向链接 Backlink 又称为 回指链接 入链 和 简易链接 指从其他网站指向你的网站的一个超级链接 反向链接之所以对SEO异常重要 是因为它们直接影响一个网页的页面等级 PageRank 以及这个页面在搜索结果中的排名 3 页面等级 PageRank 页面等级 PageRank 是Goolgle用来评估一个页面相对于其他页面的重要性的一个算法规则 这个算法规则最基本的意思就是说 如果A页面有一个链接指向B页面 那就可以看作是A页面对B页面的一种信任或推荐 所以 如果一个页面的反向链接越多 再根据这些链接的价值加权越高 那搜索引擎就会判断这样的页面更为重要 页面等级 PageRank 也就越高 4 链接诱饵 饵链 Linkbait 链接诱饵 Linkbait 顾名思义这是一个网站或一个博客上为了尽可能多地吸引反向链接 目的是提高网站的PR值 而存在的一段内容 通常 这些做为诱饵的内容为文字内容 但也可以是一段视频 一张图片 一个测验或其他的热门的内容 最经典的诱饵内容的例子是 十大 Top10 因为这样的内容在一些社交网站很容易流行起来成为热门话题 译注 这个话题貌似已经臭街了 5 互链车间或互链作坊 Linkfarm 互链工厂或互链作坊 Linkfarm 是指很多网站 通常数量很大 为了提高组成一个类似车间或作坊式的团体 通过彼此的互相链接来提高团体每一个的网站的页面评级的手段 早期 这种方法很有用 但现在已经成为一种不耻的作弊手段 并可能会收到惩罚 6 锚文本 Anchortext 锚文本 Anchortext 在反向链接中是指一个页面中可点击的文本 而其中的关键词对搜索引擎优化 SEO 有很大的帮助 因为Google会将这些关键词和你的内容关联起来 7 链接属性 NoFollowNofollow是网站管理员使用的一个链接属性 其目的是告诉搜索引擎他们并不是为该链接所指向的网站投票 这种链接也可能是网站用户自己创造的内容 比如博客评论中的链接 或者是一个付费交易的链接 比如广告或赞助商的链接 当Google识别到这些反向链接的NoFollow属性后 基本就不会在页面评级和搜索结果排名的算法中将这些链接的贡献计算在内了 8 链接修饰 LinkSculpting 链接修饰 LinkSculpting 是指网站管理员对网站上其他网站的反向链接进行属性设置 比如 管理员给链接添加Nofollow属性 这可以让管理员决定利用自己的网站为具体某个网站提高页面评级 或者不帮助具体某个网站提高网页评级 不过 现在这种做法的作用已经微乎其微 因为Google已经决定要用自己的算法来决定怎么处理链接的Nofollow属性 9 页面标题 TitleTag 页面标题 TitleTag 顾名思义是指一个页面的标题中 这也是Google搜索算法中最重要的一个参考 理论上 你的页面标题要独一无二并尽可能多地包括页面内容中的关键词 你在浏览网页时可以从浏览器最上方看到一个网页的标题 10 元标签 MetaTags 元标签 MetaTags 和页面标题一般 主要用于为搜索引擎提供更多关于你页面内容的信息 元标签位于HTML代码的头部 还有就是对长眼睛的访客是不可见的 11 搜索算法 SearchAlgorithm Google的搜索算法是为了给每一次搜索请求找到最为相关的网站和页面而设定 这个算法考量的因素超过200种 谷歌自称 其中包括页面等级 标题 元标签 网站内容 以及域名的年龄等 12 搜索结果页面 SERP 搜索结果页面 SERP 的英文全称为SearchEngineResultsPage 基本上 这就是你平时在Google键入关键词回车后的页面了 你的网站从这个页面得到的流量取决于你的网站在搜索结果中的排名等级 13 沙盒 Sandbox Google除了所有网站的索引之外 还有一个单独的索引沙盒 那里面是新近发现和收录的网站 当你的网站存在这个沙盒之中时 它就不会在一般的搜索结果中出现 而只有当Google确认了你的网站是合法的 这才会将其从沙盒中移出进入所有网站的索引 14 关键词密度 KeywordDensity 如何判断一个特定页面的关键词密度 你只要将一个关键词使用的次数除以页面的总词数就可以了 关键词密度过去是搜索引擎优化中非常