鉴别技术与方法
合集下载
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
计算机网络安全技术
鉴别技术与方法
• 1.1 什么是鉴别 • 1.2 数据完整性鉴别
1.1 什么是鉴别
鉴别的目的是验明用户或信息的正身。对实体声称 的身份进行唯一识别,以便验证其访问请求、或保证信 息来自或到达指定的源和目的。鉴别技术可以验证消息 的完整性,有效地对抗冒充、非法访问、重演等威胁。
按照鉴别对象的不同,鉴别技术可以分为消息源鉴 别和通信双方相互鉴别;按照鉴别内的不同,鉴别技 术可以分为用户身份鉴别和消息内容鉴别。
放抵赖技术包括对源和目的地双方的证明,常用方法是数 字签名,数字签名采用一定的数据交换协议,使得通信双方能 够满足两个条件:接收方能够鉴别发送方所宣称的身份,发送 方以后不能否认他发送过数据这一事实。另外实现防抵赖的途 径还有:采用可信第三方的权标、使用时戳、采用一个在线的 第三方、数字签名与时戳相结合等。
目前最佳的鉴别方法是数字签名。利用单方数字签 名,可实现消息源鉴别,访问身份鉴别、消息完整性鉴 别。利用收发双方数字签名,可同时实现收发双方身份 鉴别、消息完整性鉴别。
1.1 什么是鉴别
鉴别是对网络中的主体进行验证的过程,常用有三种方 法验证主体身份: 1、口令机制
口令是相互约定的代码,假设只有用户和系统知道。口 令有时由用户选择,有时由系统分配。通常情况下,用户先 输入某种标志信息,比如用户名和ID号,然后系统询问用户 口令,若口令与用户文件中的相匹配,用户即可进入访问。 口令有多种,如一次性口令,系统生成一次性口令的清单, 第一次时必须使用X,第二次时必须使用Y,第三次时用Z,这 样一直下去;还有基于时间的口令,即访问使用的正确口令 随时间变化,变化基于时间和一个秘密的用户钥匙。这样口 令每分钟都在改变,使其更加难以猜测。
1.2 数据完整性鉴别
2、校验和 一个最简单易行的完整性控制方法是使用校验和,计算
出该文件的校验和值并与上次计算出的值比较。若相等, 说明文件没有改变;若不等,则说明文件可能被未察觉的 行为改变了。校验和方式可以查错,但不能保护数据。 3、校验和加密
将文件分成小快,对每一块计算CRC校验值,然后再将 这些CRC值加起来作为校验和。只要运用恰当的算法,这种 完整性控制机制几乎无法攻破。但这种机制运算量大,并 且昂贵,只适用于那些完整性要求保护极高的情况。
1.1 什么是鉴别
2、智能卡
访问不但需要口令,也需要使用物理智能卡。在允 许其进入系统之前检查是否允许其接触系统。智能卡大 小形如信用卡,一般由微处理器、存储器及输入、输出 设施构成。微处理器可计算该卡的一个唯一数(ID)和 其它数据的加密形式。ID保证卡的真实性,持卡人就可 访问系统。为防止智能卡遗失或被窃,许多系统需要卡 和身份识别码(PIN)同时使用。若仅有卡而不知PIN码, 则不能进入系统。智能卡比传统的口令方法进行鉴别更 好,但其携带不方便,且开户费用较高。
与数据链路层的CRC控制类似,将报文名字段(或域) 使用一定的操作组成一个约束值,称为该报文的完整性检测 向量ICV(Integrated Check Vector)。然后将它与数据封 装在一起进行加密,传输过程中由于侵入者不能对报文解 密,所以也就不能同时修改数据并计算新的ICV,这样,接 收方收到数据后解密并计算ICV,若与明文中的ICV不同, 则认为此报文无效。
计算机网络安全技术
1.1 什么是鉴别
3、主体特征鉴别 利用个人特征进行鉴别的方式具有很高的安全性。
目前已有的设备包括:视网膜扫描仪、声音验证设备、 手型识别器。
1.2 数据完整性鉴别
数据完整性鉴别技术:对于动态传输的信息,许多协议 确保信息完整性的方法大多是收错重传、丢弃后续包的办 法, 但黑客的攻击可以改变信息包内部的内容,所以应采 取有效的措施来进行完整性控制。主要有: 1、报文鉴别
1.2 数据完整性鉴别
4、消息完整性编码MIC(Message Integrity Code) 使用简单单向散列函数计算消息的摘要,连同信息发送给
接收方,接收方重新计算摘要,并进行比较验证信息在传输过 程中的完整性。这种散列函数的特点是任何两个不同的输入不 可能产生两个相同的输出。因此,一个被修改的文件不可能有 同样的散列值。单向散列函数能够在不同的系统中高效实现。 5、放抵赖技术
鉴别技术与方法
• 1.1 什么是鉴别 • 1.2 数据完整性鉴别
1.1 什么是鉴别
鉴别的目的是验明用户或信息的正身。对实体声称 的身份进行唯一识别,以便验证其访问请求、或保证信 息来自或到达指定的源和目的。鉴别技术可以验证消息 的完整性,有效地对抗冒充、非法访问、重演等威胁。
按照鉴别对象的不同,鉴别技术可以分为消息源鉴 别和通信双方相互鉴别;按照鉴别内的不同,鉴别技 术可以分为用户身份鉴别和消息内容鉴别。
放抵赖技术包括对源和目的地双方的证明,常用方法是数 字签名,数字签名采用一定的数据交换协议,使得通信双方能 够满足两个条件:接收方能够鉴别发送方所宣称的身份,发送 方以后不能否认他发送过数据这一事实。另外实现防抵赖的途 径还有:采用可信第三方的权标、使用时戳、采用一个在线的 第三方、数字签名与时戳相结合等。
目前最佳的鉴别方法是数字签名。利用单方数字签 名,可实现消息源鉴别,访问身份鉴别、消息完整性鉴 别。利用收发双方数字签名,可同时实现收发双方身份 鉴别、消息完整性鉴别。
1.1 什么是鉴别
鉴别是对网络中的主体进行验证的过程,常用有三种方 法验证主体身份: 1、口令机制
口令是相互约定的代码,假设只有用户和系统知道。口 令有时由用户选择,有时由系统分配。通常情况下,用户先 输入某种标志信息,比如用户名和ID号,然后系统询问用户 口令,若口令与用户文件中的相匹配,用户即可进入访问。 口令有多种,如一次性口令,系统生成一次性口令的清单, 第一次时必须使用X,第二次时必须使用Y,第三次时用Z,这 样一直下去;还有基于时间的口令,即访问使用的正确口令 随时间变化,变化基于时间和一个秘密的用户钥匙。这样口 令每分钟都在改变,使其更加难以猜测。
1.2 数据完整性鉴别
2、校验和 一个最简单易行的完整性控制方法是使用校验和,计算
出该文件的校验和值并与上次计算出的值比较。若相等, 说明文件没有改变;若不等,则说明文件可能被未察觉的 行为改变了。校验和方式可以查错,但不能保护数据。 3、校验和加密
将文件分成小快,对每一块计算CRC校验值,然后再将 这些CRC值加起来作为校验和。只要运用恰当的算法,这种 完整性控制机制几乎无法攻破。但这种机制运算量大,并 且昂贵,只适用于那些完整性要求保护极高的情况。
1.1 什么是鉴别
2、智能卡
访问不但需要口令,也需要使用物理智能卡。在允 许其进入系统之前检查是否允许其接触系统。智能卡大 小形如信用卡,一般由微处理器、存储器及输入、输出 设施构成。微处理器可计算该卡的一个唯一数(ID)和 其它数据的加密形式。ID保证卡的真实性,持卡人就可 访问系统。为防止智能卡遗失或被窃,许多系统需要卡 和身份识别码(PIN)同时使用。若仅有卡而不知PIN码, 则不能进入系统。智能卡比传统的口令方法进行鉴别更 好,但其携带不方便,且开户费用较高。
与数据链路层的CRC控制类似,将报文名字段(或域) 使用一定的操作组成一个约束值,称为该报文的完整性检测 向量ICV(Integrated Check Vector)。然后将它与数据封 装在一起进行加密,传输过程中由于侵入者不能对报文解 密,所以也就不能同时修改数据并计算新的ICV,这样,接 收方收到数据后解密并计算ICV,若与明文中的ICV不同, 则认为此报文无效。
计算机网络安全技术
1.1 什么是鉴别
3、主体特征鉴别 利用个人特征进行鉴别的方式具有很高的安全性。
目前已有的设备包括:视网膜扫描仪、声音验证设备、 手型识别器。
1.2 数据完整性鉴别
数据完整性鉴别技术:对于动态传输的信息,许多协议 确保信息完整性的方法大多是收错重传、丢弃后续包的办 法, 但黑客的攻击可以改变信息包内部的内容,所以应采 取有效的措施来进行完整性控制。主要有: 1、报文鉴别
1.2 数据完整性鉴别
4、消息完整性编码MIC(Message Integrity Code) 使用简单单向散列函数计算消息的摘要,连同信息发送给
接收方,接收方重新计算摘要,并进行比较验证信息在传输过 程中的完整性。这种散列函数的特点是任何两个不同的输入不 可能产生两个相同的输出。因此,一个被修改的文件不可能有 同样的散列值。单向散列函数能够在不同的系统中高效实现。 5、放抵赖技术