计算机网络安全技术第7章 身份鉴别技术
鉴别技术与方法
鉴别技术与方法
• 1.1 什么是鉴别 • 1.2 数据完整性鉴别
1.1 什么是鉴别
鉴别的目的是验明用户或信息的正身。对实体声称 的身份进行唯一识别,以便验证其访问请求、或保证信 息来自或到达指定的源和目的。鉴别技术可以验证消息 的完整性,有效地对抗冒充、非法访问、重演等威胁。
按照鉴别对象的不同,鉴别技术可以分为消息源鉴 别和通信双方相互鉴别;按照鉴别内的不同,鉴别技 术可以分为用户身份鉴别和消息内容鉴别。
放抵赖技术包括对源和目的地双方的证明,常用方法是数 字签名,数字签名采用一定的数据交换协议,使得通信双方能 够满足两个条件:接收方能够鉴别发送方所宣称的身份,发送 方以后不能否认他发送过数据这一事实。另外实现防抵赖的途 径还有:采用可信第三方的权标、使用时戳、采用一个在线的 第三方、数字签名与时戳相结合等。
目前最佳的鉴别方法是数字签名。利用单方数字签 名,可实现消息源鉴别,访问身份鉴别、消息完整性鉴 别。利用收发双方数字签名,可同时实现收发双方身份 鉴别、消息完整性鉴别。
1.1 什么是鉴别
鉴别是对网络中的主体进行验证的过程,常用有三种方 法验证主体身份: 1、口令机制
口令是相互约定的代码,假设只有用户和系统知道。口 令有时由用户选择,有时由系统分配。通常情况下,用户先 输入某种标志信息,比如用户名和ID号,然后系统询问用户 口令,若口令与用户文件中的相匹配,用户即可进入访问。 口令有多种,如一次性口令,系统生成一次性口令的清单, 第一次时必须使用X,第二次时必须使用Y,第三次时用Z,这 样一直下去;还有基于时间的口令,即访问使用的正确口令 随时间变化,变化基于时间和一个秘密的用户钥匙。这样口 令每分钟都在改变,使其更加难以猜测。
1.2 数据完整性鉴别
第七章网络安全
18
5、网络监听 网络监听,在网络安全上一直是一个比较敏感的话题,作为一种 发展比较成熟的技术,监听在协助网络管理员监测网络传输数据、 排除网络故障等方面具有不可替代的作用,因而一直备受网络管 理员的青睐。然而,在另一方面网络监听也给以太网的安全带来 了极大的隐患,许多的网络入侵往往都伴随着以太网内的网络监 听行为,从而造成口令失窃、敏感数据被截获等连锁性安全事件。 网络监听是主机的一种工作模式,在这种模式下,主机可以接收 到本网段在同一条物理通道上传输的所有信息,而不管这些信息 的发送方和接收方是谁。此时若两台主机进行通信的信息没有加 密,只要使用某些网络监听工具就可轻而易举地截取包括口令和 账号在内的信息资料。 Sniffer是一个著名的监听工具,它可以监听到网上传输的所有信 息。还有EtherPeek, WireShark
11
7.1.2黑客的攻击手段 黑客在世界各地四处出击,寻找机会袭击网络,几乎 到了无孔不入的地步.有不少黑客袭击网络时并不是 怀有恶意.他们多数情况下只是为了表现和证实自己 在计算机方面的天分与才华,但也有一些黑客的网络 袭击行为是有意地对网络进行破坏。 黑客(Hacker)指那些利用技术手段进入其权限以外计 算机系统的人。在虚拟的网络世界里,活跃着这批特 殊的人,他们是真正的程序员,有过人的才能和乐此 不疲的创造欲。技术的进步给了他们充分表现自我的 天地,同时也使汁算机网络世界多了一份灾难,一般 人们把他们称之为黑客(Hacker)或骇客(Cracker),前 者更多指的是具有反传统精神的程序员,后者更多指 的是利用工具攻击别人的攻击者,具有明显贬义。但 无论是黑客还是骇客,都是具备高超的计算机知识的 人。
计算机网络谢希仁第五版第六版第7版
7.1 网络安全问题概述
■ 7.1.1 计算机网络面临的安全性威胁 ■ 7.1.2 安全的计算机网络 ■ 7.1.3 数据加密模型
n
7.1.1 计算机网络面临的安全性威胁
■ 计算机网络上的通信面临以下两大类威胁:被 动攻击和主动攻击。
■ 密码编码学与密码分析学合起来即为密码学 (cryptology)。
n
一些重要概念
■ 如果不论截取者获得了多少密文,但在密文中 都没有足够的信息来唯一地确定出对应的明文, 则这一密码体制称为无条件安全的,或称为理 论上是不可破的。
■ 如果密码体制中的密码不能被可使用的计算资 源破译,则这一密码体制称为在计算上是安全 的。
解密算法是加密算法的逆运算。
DK(Y) DK(EK(X)) X
(7-2)
加密密钥和解密密钥可以一样,也可以不一样。 密钥通常是由密钥中心提供。 当密钥需要向远地传送时,一定要通过另一个安全信道。
e
一些重要概念
■ 密码编码学 (cryptography) 是密码体制的设计 学。
■ 密码分析学 (cryptanalysis) 则是在未知密钥的 情况下从密文推演出明文或密钥的技术。
B 的公钥 PKB
不同密钥
B 的私钥 SKB
A 加密
明文 X
E 运算 密文 Y
加密算法
互联网
密文 Y
解密
B
D运算
解密算法 明文 X
n
公开密钥与对称密钥的区别
■ 在使用对称密钥时,由于双方使用同样的密钥, 因此在通信信道上可以进行一对一的双向保密 通信,每一方既可用此密钥加密明文,并发送 给对方,也可接收密文,用同一密钥对密文解 密。这种保密通信仅限于持有此密钥的双方 (如再有第三方就不保密了)。
计算机网络安全技术概论
络
重要的作用。认证就是识别和证实。识别是辨别
安
一个对象的身份,证实是证明该对象的身份就是
全
其声明的身份。OSI环境可提供对等实体认证的
技
安全服务和信源认证的安全服务。
对等实体鉴别:这种服务当由(N)层提供时,将使(N+1)实体
术
确信与之打交道的对等实体正是它所需要的(N+1)实体。这种
服务在连接建立或在数据传送阶段的某些时刻提供使用,用以证
10尽管操作系统的缺陷可以通过版本的不断升级来克服但系统的某一个安全漏洞就会使系统的所有安全控制毫无价值
计
算
机
第一篇 安全技术基础
网
络
安
全 技
第1章 计算机网络安全技术概论
术
本章学习目标
计
算
机 计算机网络安全系统的脆弱性
网 P2DR安全模型和PDRR网络安全模型
络
Internet网络体系层次结构、网络安
络
个整体,包含了多
个特性。可以从安
安
全特性的安全问题、
全
系统单元的安全问 题以及开放系统互
技
连(ISO/OSI)参 考模型结构层次的
术
安全问题等三个主 要特性去理解一个
安全单元。所以安
全单元集合可以用
一个三维的安全空
间去描述它,如图
所示。
OSI 参考模型的结构层次
应用层
表示层
会话层
传输层
网络层
链路层 物理层
安 检测(Detection)、响应(Response)、
全 恢复(Recovery)4个英文单词的头一个
技
字符
术
成功
计算机网络安全知识点
第一章.绪论1.1.1、计算机网络面临的主要威胁:①计算机网络实体面临威胁(实体为网络中的关键设备)②计算机网络系统面临威胁(典型安全威胁)③恶意程序的威胁(如计算机病毒、网络蠕虫、间谍软件、木马程序)④计算机网络威胁的潜在对手和动机(恶意攻击/非恶意)2、典型的网络安全威胁:①窃听②重传③伪造④篡改⑤非授权访问⑥拒绝服务攻击⑦行为否认⑧旁路控制⑨电磁/射频截获⑩人员疏忽1.2.1计算机网络的不安全主要因素:(1)偶发因素:如电源故障、设备的功能失常及软件开发过程中留下的漏洞或逻辑错误等。
(2)自然灾害:各种自然灾害对计算机系统构成严重的威胁。
(3)人为因素:人为因素对计算机网络的破坏也称为人对计算机网络的攻击。
可分为几个方面:①被动攻击②主动攻击③邻近攻击④内部人员攻击⑤分发攻击1.2.2不安全的主要原因:①互联网具有不安全性②操作系统存在的安全问题③数据的安全问题④传输线路安全问题⑤网络安全管理的问题1.3计算机网络安全的基本概念:计算机网络安全是一门涉及计算机科学、网络技术、通信技术、密码技术、信息安全技术、应用数学、数论和信息论等多学科的综合性学科。
1.3.1计算机网络安全的定义:计算机网络安全是指利用管理控制和技术措施,保证在一个网络环境里,信息数据的机密性、完整性及可使用性受到保护。
网络的安全问题包括两方面内容:一是网络的系统安全;二是网络的信息安全(最终目的)。
1.3.2计算机网络安全的目标:①保密性②完整性③可用性④不可否认性⑤可控性1.3.3计算机网络安全的层次:①物理安全②逻辑安全③操作系统安全④联网安全1.3.4网络安全包括三个重要部分:①先进的技术②严格的管理③威严的法律1.4计算机网络安全体系结构1.4.1网络安全基本模型:(P27图)1.4.2OSI安全体系结构:①术语②安全服务③安全机制五大类安全服务,也称安全防护措施(P29):①鉴别服务②数据机密性服务③访问控制服务④数据完整性服务⑤抗抵赖性服务1.4.3PPDR模型(P30)包含四个主要部分:Policy(安全策略)、Protection(防护)、Detection(检测)和Response(响应)。
网络信息安全课后习题答案
第一章网络安全综述1.什么是网络安全答:国际标准化组织(ISO)对计算机系统安全的定义是:为数据处理系统建立和采用的技术和管理的安全保护,保护计算机硬件、软件和数据不因偶然和恶意的原因遭到破坏、更改和泄露。
由此可以将计算机网络的安全理解为:通过采用各种技术和管理措施,使网络系统正常运行,从而确保网络数据的可用性、完整性和保密性。
美国国家安全电信和信息系统安全委员会(NSTISSC)对网络安全作如下定义:网络安全是对信息、系统以及使用、存储和传输信息的硬件的保护。
2.网络安全包括哪些内容答:1)物理安全(1)防静电(2)防盗(3)防雷击(4)防火(5)防电磁泄漏2)逻辑安全(1)用户身份认证(2)访问控制(3)加密(4)安全管理3)操作系统安全4)联网安全3.网络安全面临的威胁主要来自哪几方面答:1)物理威胁(1)身份识别错误。
(2)偷窃。
(3)间谍行为。
(4)废物搜寻。
2)系统漏洞造成的威胁(1)不安全服务。
(2)乘虚而入。
(3)配置和初始化。
3)身份鉴别威胁(1)编辑口令。
(2)口令破解。
(3)口令圈套。
(4)算法考虑不周。
4)线缆连接威胁(1)拨号进入。
(2)窃听。
(3)冒名顶替。
5)有害程序(1)病毒。
(2)更新或下载。
(3)特洛伊木马。
(4)代码炸弹。
4.在网络安全中,什么是被动攻击什么是主动攻击答:被动攻击本质上是在传输中的窃听或监视,其目的是从传输中获得信息。
被动攻击分为两种,分别是析出消息内容和通信量分析。
被动攻击非常难以检测,因为它们并不会导致数据有任何改变。
然而,防止这些攻击是可能的。
因此,对付被动攻击的重点是防止而不是检测。
攻击的第二种主要类型是主动攻击,这些攻击涉及某些数据流的篡改或一个虚假信息流的产生。
这些攻击还能进一步划分为四类:伪装、重放、篡改消息和拒绝服务。
5.简述访问控制策略的内容。
答:访问控制是网络安全防范和保护的主要策略,它的主要任务是保证网络资源不被非法使用和非常访问。
计算机网络课后题答案第七章
第七章网络安全7-01 计算机网络都面临哪几种威胁?主动攻击和被动攻击的区别是什么?对于计算机网络的安全措施都有哪些?答:计算机网络面临以下的四种威胁:截获(interception),中断(interruption),篡改(modification),伪造(fabrication)。
网络安全的威胁可以分为两大类:即被动攻击和主动攻击。
主动攻击是指攻击者对某个连接中通过的PDU 进行各种处理。
如有选择地更改、删除、延迟这些PDU。
甚至还可将合成的或伪造的PDU 送入到一个连接中去。
主动攻击又可进一步划分为三种,即更改报文流;拒绝报文服务;伪造连接初始化。
被动攻击是指观察和分析某一个协议数据单元PDU 而不干扰信息流。
即使这些数据对攻击者来说是不易理解的,它也可通过观察PDU 的协议控制信息部分,了解正在通信的协议实体的地址和身份,研究PDU 的长度和传输的频度,以便了解所交换的数据的性质。
这种被动攻击又称为通信量分析。
还有一种特殊的主动攻击就是恶意程序的攻击。
恶意程序种类繁多,对网络安全威胁较大的主要有以下几种:计算机病毒;计算机蠕虫;特洛伊木马;逻辑炸弹。
对付被动攻击可采用各种数据加密动技术,而对付主动攻击,则需加密技术与适当的鉴别技术结合。
7-02 试解释以下名词:(1)重放攻击;(2)拒绝服务;(3)访问控制;(4)流量分析;(5)恶意程序。
答:(1)重放攻击:所谓重放攻击(replay attack)就是攻击者发送一个目的主机已接收过的包,来达到欺骗系统的目的,主要用于身份认证过程。
(2)拒绝服务:DoS(Denial of Service)指攻击者向因特网上的服务器不停地发送大量分组,使因特网或服务器无法提供正常服务。
(3)访问控制:(access control)也叫做存取控制或接入控制。
必须对接入网络的权限加以控制,并规定每个用户的接入权限。
(4)流量分析:通过观察PDU 的协议控制信息部分,了解正在通信的协议实体的地址和身份,研究PDU 的长度和传输的频度,以便了解所交换的数据的某种性质。
网络安全技术与实训-身份认证技术
《网络安全技术》
第 16 页
如何提高口令质量
绑定手机的动态口令实现一次性口令认证
动态口令也可与手机号码绑定,通过向手机发送验证码来认证用户身份。 很多手机应用中,用户申请了短信校验服务后,修改账户信息、找回密 码、一定额度的账户资金变动都需要手机校验码确认。 合法用户可以通过接收手机短信,输入动态口令,完成认证。 当然,如果用户手机丢失,其账户将面临很大安全风险。
《网络安全技术》
第 10 页
第二部分
基于口令的身份认证
基于口令的身份认证
基于口令的身份认证是应用最为广泛的身份认证技术。
口令长度:通常为长度为5~16的字符串。 选择原则:易记、难猜、抗分析能力强。
《网络安全技术》
12 第 12 页
基于口令的身份认证 来看看大家都用什么密码吧:
《网络安全技术》
智能卡(Smart Card)是一种更为复杂的凭证。它是一种将具有加密、存储、处理能力的 集成电路芯片嵌装于塑料基片上而制成的卡片。智能卡一般由微处理器、存储器等部件构 成。为防止智能卡遗失或被窃,许多系统需要智能卡和个人识别码PIN同时使用。
3. 条码卡 4. 磁卡 5. IC卡 6.存储卡
《网络安全技术》
第 13 页
基于口令的身份认证 使用最多的密码长度是8位:
《网络安全技术》
竟然不要求长度
第 14 页
如何提高口令质量
1. 对于用户
增大口令空间 选用无规律的口令 多个口令 用工具生成口令
2. 对于网站
登录时间限制 限制登录次数 尽量减少会话透露的信息 增加认证的信息量
网络安全课件(7)数字签名与身份认证
(5)收方B从M中计算出散列值h(M’); (6)收方B再用发方A的双钥密码体制的公钥
K2解密数字签名DS得消息摘要h(M) ; (7)将两个消息摘要h(M’)=h(M)进行比
较,验证原文是否被修改。如果二者相等, 说明数据没有被篡改,是保密传输的,签名 是真实的;否则拒绝该签名。
这样就作到了敏感信息在数字签名的传输 中不被篡改,未经认证和授权的人,看不见 原数据,起到了在数字签名传输中对敏感数 据的保密作用。
4.基于量子力学的计算机
量子计算机是以量子力学原理直接进行 计算的计算机,使用的是一种新的量子密 码的编码方法,即利用光子的相应特性编 码。由于量子力学的随机性非常特殊,无论 多么聪明的窃听者,在破译这种密码时都会 留下痕迹,甚至在密码被窃听的同时会自动 改变。
这将是世界上最安全的密码认证和签名 方法。但目前还停留在理论研究阶段。
注意 :
数字签名与消息的真实性认证是不同的。 消息认证是使接收方能验证消息发送者及所发 信息内容是否被篡改过。当收发者之间没有利 害冲突时,这对于防止第三者的破坏来说是足 够了。但当接收者和发送者之间相互有利害冲 突时,单纯用消息认证技术就无法解决他们之 间的纠纷,此是需借助数字签名技术。
二、数字签名的原理
对同一消息的签名也有对应的变化。即 一个明文可能有多个合法的数字签名。 判断:同一明文可能有多个合法化的数字签名?
四、数字签名的作用
数字签名可以证明:
(1)如果他人可以用公钥正确地解开 数字签名,则表示数字签名的确是由签 名者产生的。
(2)如果消息M是用散列函数h得到的 消息摘要h(M),和消息的接收方从 接收到的消息M/计算出散列值h(M/), 这两种信息摘要相同表示文件具有完整 性。
第7章认证技术与应用实验
远程用户A
远程用户B
PSTN
认证Server
DNS 路由器 NAS
文件Server
7.1 远程拨号访问系统
为了便于集中认证和管理拨入的用户,目 前大多采用AAA(Authentication、 Authorization和Accounting)安全体系。AAA 是基于协同网络安全技术的访问控制概念,其 目的是通过某种一致的办法来配置网络服务, 控制用户对路由器或网络接入服务器的访问。 目前AAA技术已经不限于对拨号用户的认证, 它广泛应用于任何需要认证服务的网络中。
(5)NAS根据认证参数进行动作,允许所选的服务 (6)访问许可和访问拒绝相应数据包还会带有其他信息。 Radius认证过程须在Radius授权过程之前完成。可被包 含在访问许可和访问拒绝数据包中的一些其他数据如下: 1)用户可以访问的服务,包括Telnet、rlogin和PPP 2)SLIP或EXEC服务 3)包括主机或客户端IP地址、访问控制列表和用户 超时值的一些连接参数 (7)Radius安全服务器可以向NAS周期性的发送访问挑战 数据包,提示用户重新输入用户名和口令,让NAS发送 起状态信息,或者执行有Radius服务器可开发上所决定 的其他动作。但Radius客户端不可以发送访问挑战数据 包。
要使用本地数据库进行认证,必须先在每台NAS上的本地 安全数据库中用AAA命令为想要登录网络的每个用户建立用 户名及其口令。 认证过程如下 (1)远程用户与NAS建立起一个PPP连接。 (2)NAS提示用户输入用户名和口令 (3)NAS通过本地数据库对收到的用户名和口令进行认证 (4)NAS根据其本地数据库中的认证值授权用户一定的网络服 务和可访问的目的地 (5)NAS记录用户的通信数据量并按本地数据库中指定的格式 编制审计记录
2020东北农业大学计算机安全与技术离线作业答案
东北农业大学网络教育学院计算机安全技术网上作业题第一章计算机系统安全概述一、选择题1、电子商务务安全要求的四个方面是(C)A)传输的高效性、数据的完整性、交易各方的身份认证和交易的不可抵赖性B) 存储的安全性、传输的高效性、数据的完整性和交易各方的身份认证C) 传输的安全性、数据的完整性、交易各方的身份认证和交易不可抵赖性D) 存储的安全性、传输的高效性、数据的完整性和交易的不可低赖性2、.链路加密的目的是:(A )A.保护网络节点之间链路信息安全B.对源端用户到目的端用户的数据提供保护C.对源节点到目的节点的传输链路提供保护D.对用户数据的传输提供保护3、信息安全的基本属性是(D)。
A、机密性B、可用性C、完整性D、上面3项都是4、机密性服务提供信息的保密,机密性服务包括( D )。
A、文件机密性B、信息传输机密性C、通信流的机密性D、以上3项都是5、按照可信计算机评估标准,安全等级满足C2级要求的操作系统是(D)A、DOSB、Windows XPC、Windows NTD、Unix6. ( A )是指有关管理、保护和发布敏感信息的法律、规定和实施细则。
A、安全策略B、安全模型C、安全框架D、安全原则7.下面不是计算机网络面临的主要威胁的是( C )A.恶意程序威胁B.计算机软件面临威胁C.计算机网络实体面临威胁D.计算机网络系统面临威胁8.计算机网络安全体系结构是指( A )A.网络安全基本问题应对措施的集合B.各种网络的协议的集合C.网络层次结构与各层协议的集合D.网络的层次结构的总称9.下面不是计算机信息系统安全管理的主要原则的是( B )A.多人负责原则B.追究责任原则C.任期有限原则D.职责分离原则10、关于盗版软件,下列说法正确的是( D )。
A:对于盗版软件,只要只使用,不做商业盈利,其使用并不违法B:拷贝、使用网上的应用软件都是违法的C:对防病毒软件,可以使用盗版软件D:不管何种情况,使用盗版软件都不合法11、计算机安全属性中的保密性是指( D )。
计算机网络安全基础(第5版)习题参考答案.doc
计算机网络安全基础(第5版)习题参考答案第1章习题:1.举出使用分层协议的两条理由?1.通过分层,允许各种类型网络硬件和软件相互通信,每一层就像是与另一台计算机对等层通信;2.各层之间的问题相对独立,而且容易分开解决,无需过多的依赖外部信息;同时防止对某一层所作的改动影响到其他的层;3.通过网络组件的标准化,允许多个提供商进行开发。
2.有两个网络,它们都提供可靠的面向连接的服务。
一个提供可靠的字节流,另一个提供可靠的比特流。
请问二者是否相同?为什么?不相同。
在报文流中,网络保持对报文边界的跟踪;而在字节流中,网络不做这样的跟踪。
例如,一个进程向一条连接写了1024字节,稍后又写了另外1024字节。
那么接收方共读了2048字节。
对于报文流,接收方将得到两个报文,、每个报文1024字节。
而对于字节流,报文边界不被识别。
接收方把全部的2048字节当作一个整体,在此已经体现不出原先有两个不同的报文的事实。
3.举出OSI参考模型和TCP/IP参考模型的两个相同的方面和两个不同的方面。
OSI模型(开放式系统互连参考模型):这个模型把网络通信工作分为7层,他们从低到高分别是物理层、数据链路层、网络层、传输层、会话层、表示层和应用层。
第一层到第三层属于低三层,负责创建网络通信链路;第四层到第七层为高四层,具体负责端到端的数据通信。
每层完成一定的功能,每层都直接为其上层提供服务,并且所有层次都互相支持。
TCP/IP模型只有四个层次:应用层、传输层、网络层、网络接口层。
与OSI功能相比,应用层对应的是OSI的应用层、表示层、会话层;网络接口层对应着OSI的数据链路层和物理层。
两种模型的不同之处主要有:(1) TCP/IP在实现上力求简单高效,如IP层并没有实现可靠的连接,而是把它交给了TCP层实现,这样保证了IP层实现的简练性。
OSI参考模型在各层次的实现上有所重复。
(2) TCP/IP结构经历了十多年的实践考验,而OSI参考模型只是人们作为一种标准设计的;再则TCP/IP有广泛的应用实例支持,而OSI参考模型并没有。
信息安全技术7-信息防御与对抗(二)
Classifiers
Negotiator Threshold
Biometrics Voice, signature acoustics, face, fingerprint, iris, hand geometry, etc
Feature Vectors
Scores
Decision: Match, Non-match, Inconclusive
(1)指纹识别技术
检测手段 Optical Capacitive Thermal Ultrasonic
Department of Cognitive Science, Xiamen University
–7
第一节 身份认证技术
2 生物特征认证与识别技术
(1)指纹识别技术
缺陷
总的说来,“鉴别”是建立在一种不信任关系上的服务,需要解决:
“我是谁”,“你是谁”,“我凭什么相信你的话”。
–3
Department of Cognitive Science, Xiamen University
第一节 身份认证技术
1 身份认证和鉴别
Identification It determines the identity of the person. No identity claim Many-to-one mapping. Cost of computation number of record of users. Captured biometric signatures come from a set of known biometric feature stored in the system. Authentication It determines whether the person is indeed who he claims to be. Identity claim from the user One-to-one mapping. The cost of computation is independent of the number of records of users. Captured biometric signatures may be unknown to the system.
网络安全综合习题及答案解析
第 1 章密码学基础一、选择题1. 计算机网络是地理上分散的多台(C)遵循约定的通信协议,通过软硬件互联的系统。
A. 计算机B. 主从计算机C. 自主计算机D. 数字设备2. 密码学的目的是(C)。
A. 研究数据加密B. 研究数据解密C. 研究数据保密D. 研究信息安全3. 假设使用一种加密算法,它的加密方法很简单:将每一个字母加5,即a加密成f。
这种算法的密钥就是5,那么它属于(A)。
A. 对称加密技术B. 分组密码技术C. 公钥加密技术D. 单向函数密码技术4. 网络安全最终是一个折衷的方案,即安全强度和安全操作代价的折衷,除增加安全设施投资外,还应考虑(D)。
A. 用户的方便性B. 管理的复杂性C. 对现有系统的影响及对不同平台的支持D. 上面3项都是5.A方有一对密钥(K A公开,K A秘密),B方有一对密钥(K B公开,K B秘密),A方向B方发送数字签名M,对信息M加密为:M’= K B公开(K A秘密(M))。
B方收到密文的解密方案是(C)。
A. K B公开(K A秘密(M’))B. K A公开(K A公开(M’))C. K A公开(K B秘密(M’))D. K B秘密(K A秘密(M’))6. “公开密钥密码体制”的含义是(C)。
A. 将所有密钥公开B. 将私有密钥公开,公开密钥保密C. 将公开密钥公开,私有密钥保密D. 两个密钥相同二、填空题1.密码系统包括以下4个方面:明文空间、密文空间、密钥空间和密码算法。
2.解密算法D是加密算法E的逆运算。
3.常规密钥密码体制又称为对称密钥密码体制,是在公开密钥密码体制以前使用的密码体制。
4.如果加密密钥和解密密钥相同,这种密码体制称为对称密码体制。
5.DES算法密钥是64位,其中密钥有效位是56位。
6.RSA算法的安全是基于分解两个大素数的积的困难。
7.公开密钥加密算法的用途主要包括两个方面:密钥分配、数字签名。
8.消息认证是验证信息的完整性,即验证数据在传送和存储过程中是否被篡改、重放或延迟等。
网络安全:身份认证技术
身份认证的方法
在真实世界,对用户的身份认证基本方法可以分为这三种:
1) 根据你所知道的信息来证明你的身份 (你知道什么);
2) 根据你所拥有的东西来证明你的身份 (你有什么); 3) 直接根据唯一的身体特征来证明你的身份 (你是谁), 比如指纹、面貌等。
常用的身份认证方式
短信密码
短信密码以手机短信形式请求包含6位随机数的 动态密码,身份认证系统以短信形式发送随机的 6位密码到客户的手机上。客户在登录或者交易 认证时候输入此动态密码,从而确保系统身份认 证的安全性。它利用“你有什么”方法。 具有以下优点: 1)安全性 2)普及性 3)易收费 4)易维护
USB Key认证
静态密码 动态口令 短信密码 USB Key认证 IC卡认证 生物识别技术
静态密码
静态密码,是最简单也是最常用的身份认证形式, 它是基于“你知道什么”的验证手段。 每个用户的密码是由这个用户自己设定的,只有 他自己才知道,因此只要能够正确输入密码,计 算机就认为他就是这个用户。
静态密码
然而实际上,由于许多用户为了防止忘记密码, 经常采用诸如自己或家人的生日、电话号码等容 易被他人猜测到的有意义的字符串作为密码,或 者把密码抄在一个自己认为安全的地方,这都术
身份认证技术
什么是身份认证技术 身份认证的方法 常见身份认证的形式与应用
什么是身份认证技术
身份认证(Authentication)是系统审查用户 身份的过程,从而确定该用户是否具有对某种 资源的访问和使用权限。身份认证通过标识和 鉴别用户的身份,提供一种判别和确认用户身 份的机制。 身份认证技术就是指计算机网络中确认操作者 身份的过程而产生的解决方法 。
网络安全认证技术
网络安全认证技术身份认证的概念O身份认证是计算机及网络系统识别操作者身份的过程计算机网络是一个虚拟的数字世界,用户的身份信息是用一组特定的数据来表示的,计算机只能识别用户的数字身份,所有对用户的授权也是针对用户数字身份的授权现实世界是一个真实的物理世界,每个人都拥有独一无二的物理身份保证操作者的物理身份与数字身份相对应身份认证的功能O信息安全体系的目的是保证系统中的数据只能被有权限的“人”访问,未经授权的“人” 无法访问O身份认证是整个信息安全体系的基础用于解决访问者的物理身份和数字身份的一致性问题,给其他安全技术提供权限管理的依据O防火墙、入侵检测、VPN、安全网关等安全技术建立在身份认证之上。
针对数字身份进行权限管理,解决数字身份能干什么的问题身份认证的分类O用户与主机之间的认证-认证人的身份•单机状态下的身份认证计算机验证人的身份:你是否是你声称的那个人?人的存储和计算能力有限o记忆高数量的密码密钥困难o执行密码运算能力有限O主机与主机之间的认证-通信的初始认证握手•网络环境下的身份认证计算机验证计算机计算机存储和计算能力强大o能存储高数量的密码和密钥O能够快速地进行密码运算认证人的身份认证人的身份o 所矢口(what you know)•密码、口令o 所有(what you have)•身份证、护照、智能卡等o 所是(who you are) 指纹、DNA等用户名/密码方式。
用户设定密码,计算机验证O易泄露用户经常用有意义的字符串作为密码用户经常把密码抄在一个自己认为安全的地方密码是静态的数据,每次验证过程使用的验证信息都是相同的,易被监听设备截获O用户名/密码方式一种是极不安全的身份认证方式可以说基本上没有任何安全性可言IC卡认证o IC卡是一种内置集成电路的卡片,卡片中存有与用户身份相关的数据,可以认为是不可复制的硬件o IC卡由合法用户随身携带,登录时必须将IC卡插入专用的读卡器读取其中的信息,以验证用户的身份o IC卡硬件的不可复制可以保证用户身份不会被仿冒o IC卡中读取的数据还是静态的通过内存扫描或网络监听等技术还是很容易截取到用户的身份验证信息动态口令1O是一种让用户的密码按照时间或使用次数不断动态变化,每个密码只使用一次的技术。
网络安全的技术研究和应用
网络安全的技术研究和应用网络安全是指保护计算机网络系统的硬件、软件和数据不受非法侵入、破坏、篡改或泄漏的技术和措施。
随着互联网和信息技术的快速发展,网络安全已经成为一个世界各国都非常重视的领域。
技术研究和应用是网络安全的核心,本文将对网络安全技术研究和应用进行探讨。
一、网络安全的技术研究1.身份鉴别技术:身份鉴别是网络安全的基础,有效的身份鉴别技术可以有效防止非法用户访问系统。
常见的身份鉴别技术有密码、指纹识别、虹膜识别等。
2.防火墙技术:防火墙主要用于保护内部局域网内的计算机资源,通过过滤网络数据流从而阻止非法入侵。
防火墙技术不断发展,从最早的包过滤技术到现在的应用层网关、代理服务器等技术。
3.加密技术:加密技术是保护网络传输数据安全的重要手段,可以通过加密算法将敏感数据转换成乱码,只有掌握解密密钥的人才能解密。
公开密钥加密技术和对称密钥加密技术是目前常用的加密技术。
4.入侵检测技术:入侵检测技术主要用于识别和阻止未经授权的访问和攻击者进入网络系统。
入侵检测技术可以分为主机入侵检测和网络入侵检测两种方式,常见技术有基于特征的检测和基于行为的检测。
5.恶意代码检测技术:恶意代码主要包括病毒、木马、蠕虫等,它们对计算机系统和网络资源造成很大的威胁。
恶意代码检测技术可以通过病毒库、行为分析等方式检测和阻止恶意代码的传播和执行。
二、网络安全的技术应用1.企业网络安全:企业组织对自身内部网络进行安全防范,包括建立防火墙、入侵检测系统、加密传输等措施,通过权限管理、流量监控、日志审计等方式保护公司重要数据的安全。
2.电子政务安全:政府机构对政务信息进行安全防护,建立门户网站和政务信息系统,通过安全认证、加密传输等技术保护政务信息的安全,防止黑客攻击、数据泄露等问题。
3.移动设备安全:随着智能手机和移动设备的普及,移动设备安全问题愈发突出。
企业和个人用户需要采取相应的措施来保护移动设备的安全,如设置密码锁屏、安装安全软件等。
身份鉴别与访问控制技术综述
身份鉴别与访问控制技术综述魏明欣1,何长龙2,李伟平3(1.吉林省政府发展研究中心 长春130015 2.北京大学电子政务研究院 北京 100018 3.长春吉大正元信息技术股份有限公司 长春130012)摘要:身份认证是网络安全的最基本元素,它们是用户登录网络时保证其使用和交易安全的首要因素。
本文首先介绍了常用的身份鉴别和访问控制的基本概念,对身份鉴别和访问控制技术的机制、实现方法等及相关知识进行简要介绍,以期对初次接触这两个领域的读者有所帮助。
一、概述身份鉴别与访问控制技术是信息安全理论与技术的一个重要方面。
其原理,如图1所示。
用户在访问网络信息时,必须首先进行身份鉴别,只有通过身份鉴别的用户请求,才能被转发到访问监控服务,访问监控服务根据访问请求中的身份和资源信息和取得对应的授权策略和资源的访问控制策略,以决定用户能否访问该资源。
身份库由身份(用户)管理员管理,授权策略和资源的访问控制策略由安全管理员按照需要进行配置和管理。
身份信息管理、授权策略和访问控制策略管理、用户在访问资源时所产生的身份鉴别信息、访问控制信息,以及入侵侦测系统实时或非实时地检测是否有入侵行为等系统运行期产生的安全审计信息均记录到安全审计系统,供审计人员审计。
图1 身份鉴别与访问控制技术保护信息资源安全示意图下面将我们将对身份鉴别与访问控制所涉及的身份鉴别模型、身份鉴别技术、访问控制模型与访问控制技术进行一般性质的讨论。
二、身份鉴别技术1.身份鉴别模型身份鉴别机制的一般模型如图2所示。
可信第三方声称者验证者图2 身份鉴别模型鉴别模型一般由可信第三方、声称者和验证者共三部分组成。
声称者向验证者声明自己的身份并出示用于验证其身份的凭证,验证者验证声称者的身份凭证,验证过程可由验证者独立完成也可委托可信第三方完成凭证的验证。
按照鉴别的方向分类,身份鉴别分为单向鉴别和双向鉴别。
单向鉴别时验证者鉴别声称者的身份,而双向鉴别时验证者和声称者相互验证对方向的身份。
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
实体鉴别与消息鉴别的差别
(1)实体鉴别一般都是实时的,消息鉴别一般不提供 时间性。
(2)实体鉴别只证实实体的身份,消息鉴别除了消息 的合法和完整外,还需要知道消息的含义。
(3)数字签字是实现身份识别的有效途径。但在身份 识别中消息的语义是基本固定的,一般不是“终 生”的,签字是长期有效的。
7.2 鉴别机制
鉴别机制主要有:非密码的鉴别机制、基于密码 算法的鉴别机制和零知识证明协议鉴别机制。
交换联系起来。
实体鉴别实现安全目标的方式
(1) 作为访问控制服务的一种必要支持,访问控制 服务的执行依赖于确知的身份,即访问控制服务 直接对达到机密性、完整性、可用性及合法使用 目标提供支持;
(2)当它与数据完整性机制结合起来使用时,作为提 供数据起源认证的一种可能方法;
(3) 作为对责任原则的一种直接支持,例如,在审 计追踪过程中做记录时,提供与某一活动相联系 的确知身份。
鉴别的目的是验明用户或信息的正身,就是验证 用户身份的合法性和用户间传输信息的完整性与 真实性。
鉴别服务提供了关于某个实体身份的保证,所有 其它的安全服务都依赖于该服务。
鉴别是最重要的安全服务之一。
基于不同的认证目的,鉴别还可分为实体鉴别和 数据源发鉴别两种情形。
7.1.1 实体鉴别和数据源发鉴别 7.1.2 单向散列函数
第7章 身份鉴别技术
本章要求
了解数据鉴别的服务类型 掌握数据鉴别的基本方法 了解Internet中常见的数据鉴别技术,包括
KERBEROS系统、GSSAPIv2
本章主要内容
7.1 鉴别概述 7.2 鉴别机制 7.3 KERBEROS系统 7.4 GSSAPIv2
7.1 鉴别概述
鉴别(Authentication),也叫验证,是防止主动 攻击的一种重要技术。
单向加密刚好相反,只对数据进行加密而不进行解密,即 在加密后,不能对加密后的数据进行解密,或也不用再加 密。单向加密算法用于不需要对信息解密或读取的场合, 比如,用来比较两个信息值是否一样而不需知道信息值是 什么内容。
Hash函数就是一类单向加密数据的函数,也叫单 向散列函数。
Hash函数提供了这样一种计算过程:输入一个长 度不固定的字符串,返回一串固定长度的字符串, 又称Hash值。
验证、授权和访问控制都与网络实体安全有关。虽然用户 身份只与验证有关,但很多情况下还要讨论授权和访问控 制。授权和访问控制都是在成功的验证之后进行的。
数据源发鉴别用于鉴定某个指定的数据是否来源 于某个特定的实体。不是孤立地鉴别一个实体, 也不是为了允许实体执行下一步的操作而鉴别它 的身份,而是为了确定被鉴别的实体与一些特定 数据项有着静态的不可分割的联系。
实体鉴别系统的组成
(1)一方是出示证件的人,称作示证者P(Prover), 又称声称者(Claimant)。
(2)另一方为验证者V(Verifier),检验声称者提出 的证件的正确性和合法性,决定是否满足要求。
(3)第三方是可信赖者TP(Trusted third party) , 参与调解纠纷。
ቤተ መጻሕፍቲ ባይዱ
7.1.1 实体鉴别和数据源发鉴别
实体鉴别,也称身份鉴别,使某一实体确信与之打交道的 实体正是所需要的实体。只是简单地鉴别实体本身的身份, 不会和实体想要进行何种活动相联系。
身份验证就是验证申请进入网络系统者是否是合法用户, 以防非法用户访问系统。
身份验证的方式一般有用户口令验证、摘要算法验证、基 于PKI(公钥基础设施)的验证等。
报文鉴别是为了确保数据的完整性和真实性,对 报文的来源、时间性及目的地进行验证。报文鉴 别过程通常涉及到加密和密钥交换。加密可使用 对称密钥加密、非对称密钥加密或两种加密方式 的混合。
数据原发鉴别的方法
(1)加密:给数据项附加一个鉴别项,然后加密该结 果;
(2)封装或数字签名; (3)实体鉴别扩展:通过完整性机制将数据项和鉴别
在开放式网络系统中使用的可靠的 Hash函数
①基于分组密码算法的Hash函数; ②系列Hash函数MD2、MD4和MD5等。这些函数
都产生128位的输出,MD5(信息摘要算法)就 是一种优秀的单向加密的算法;
③美国政府的安全Hash标准(SHA-1)。SHA-1 是MD4的一个变形,产生160位的输出,与DSA (数字签名算法)匹配使用。
对身份鉴别系统的要求
(1)不具有可传递性(Transferability) (2)攻击者伪装成申请者欺骗验证者成功的概率要小到可
以忽略的程度 (3)计算有效性 (4)通信有效性 (5)秘密参数能安全存储 (6)交互识别 (7)第三方的实时参与 (8)第三方的可信赖性 (9)可证明的安全性
7.1.2 单向散列函数
Hash函数的应用
在数字签名中用来提高数字签名的有效性和分离 保密与签名
用于认证、数据完整性测试和加密 产生信息摘要
Hash函数主要可以解决的两个问题
在某一特定的时间内,无法查找经Hash操作后生 成特定Hash值的原报文;
也无法查找两个经Hash操作后生成相同Hash值 的不同报文。这样,在数字签名中就可以解决签 名验证、用户身份验证和不可抵赖性的问题。
在现阶段,一般存在两个方向的加密方式:双向加密和单 向加密。
双向加密是加密算法中最常用的,它将我们可以理解的明 文数据加密成不可理解的密文数据;然后,在需要的时候, 可以使用一定的算法和工具(密钥)将这些密文解密为原 来的明文。双向加密适合于保密通信,比如,我们在网上 购物的时候,需要向网站提交信用卡密码。
实体鉴别分类
实体鉴别可以分为本地和远程两类。实体在本地 环境的初始化鉴别,就是说,作为实体个人,和 设备物理接触,不和网络中的其他设备通信。连 接远程设备、实体和环境的实体鉴别。本地鉴别 需要用户进行明确的操作,而远程鉴别通常将本 地鉴别结果传送到远程。
实体鉴别可以是单向的也可以是双向的。单向鉴 别是指通信双方中只有一方对另一方进行鉴别。 双向鉴别是指通信双方相互进行鉴别。