信息安全概论第10讲
信息安全概论ppt课件
可编辑ppt
14
可编辑ppt
15
计算机入侵的特点(4)
攻击者必备的三点 • 方法(method):技巧、知识、工具或能实施攻
击的其他方法 • 机会(Opportunity):完成攻击的时间和入口 • 动机(Motive):攻击的原因。
可编辑ppt
16
防御方法(1)
计算机网络
可编辑ppt
1
信息安全基础
可编辑ppt
2
信息安全面临的挑战(1)
保护信息和保护钱财的差异
信息
钱财
规模和可移动 性
避免物理接触 的能力
资源价值
设备小,可移动 性强 简单
高低不同
庞息安全面临的挑战(2)--安全是什么?
➢ 与保护有价物品的系统进行对比 • 预防:警卫、警报系统;
查远程机器的安全体系,是出于改进的愿望,这种分 析过程是创造和提高的过程。) • 不断追求更深的知识,并公开他们的发现,与其他人 分享;从来没有破坏数据的企图。
可编辑ppt
22
黑客的定义( Hacker)
现在:
• 学会如何闯入计算机系统的人; • 试图入侵计算机系统或使这些系统不可用; • 是指怀着不良的企图,闯人甚至破坏远程机器系统完
29
采用的安全技术
• 防火墙
98%
• 反病毒软件
98%
• 反间谍软件
78%
• 基于服务器的访问控制列表
70%
• 入侵检测系统
68%
• 传输数据加密
65%
• 存储数据加密
48%
• 可重用帐户、登陆口令
45%
• 入侵防护系统
42%
信息安全概论 PPT
1.3 信息安全技术体系
14
1.3 信息安全技术体系
本书将在后面的章节中介绍这些技术,这里 先概述一下其基本内容。 1)信息安全保障技术框架 2)密码技术 3)标识与认证技术 4)授权与访问控制技术 5)信息隐藏技术 6)网络与系统攻击技术
15
1.3 信息安全技术体系
7)网络与系统安全防护及应急响应技术 8)安全审计与责任认定技术 9)主机系统安全技术 10)网络系统安全技术 11)恶意代码检测与防范技术 12)内容安全技术 13)信息安全测评技术 14)信息安全管理技术
18
1.4 信息安全模型
• Simmons面向认证系统提出了无仲裁认证 模型,它描述了认证和被认证方通过安全 信道获得密钥、通过可被窃听的线路传递 认证消息的场景;
19
1.4 信息安全模型
• Dolev和Yao针对一般信息安全系统提出了 Dolev-Yao威胁模型,它定义了攻击者在 网络和系统中的攻击能力,被密码协议的 设计者广泛采用。随着密码技术研究的深 入,有很多学者认为密码系统的设计者应 该将攻击者的能力估计得更高一些,如攻 击者可能有控制加密设备或在一定程度上 接近、欺骗加密操作人员的能力。
Байду номын сангаас
1.1 信息安全的概念
(6)可用性(usability):当突发事件(故障、 攻击等)发生时,用户依然能够得到或使 用信息系统的数据,信息系统的服务亦能 维持运行的属性。 (7)可控性(controllability):能够掌握和控 制信息及信息系统的情况,对信息和信息 系统的使用进行可靠的授权、审计、责任 认定、传播源与传播路径的跟踪和监管等 等。
信息安全概论
1
第一章 绪论
1.1 1.2 1.3 1.4 1.5 信息安全的概念 信息安全发展历程 信息安全技术体系 信息安全模型 信息安全保障技术框架
《信息安全概论》复习资料
《信息安全概论》课程期末复习资料《信息安全概论》课程讲稿章节目录:第1章信息安全概述1.1 信息安全的理解1.2 信息安全威胁1.3 互联网的安全性1.4 信息安全体系结构第2章密码学基础2.1 密码学基础知识2.2 古典替换密码2.3 对称密钥密码2.4 公开密钥密码2.5 消息认证第3章物理安全3.1 概述3.2 设备安全防护3.3 防信息泄露3.4 物理隔离3.5 容错与容灾第4章身份认证4.1 概述4.2 认证协议4.3 公钥基础设施PKI第5章访问控制5.1概述5.2 访问控制模型5.3 Windows系统的安全管理第6章网络威胁6.1概述6.2 计算机病毒6.3 网络入侵6.4 诱骗类攻击第7章网络防御7.1 概述7.2 防火墙7.3 入侵检测系统7.4 网络防御的新技术第8章内容安全8.1 概述8.2 版权保护8.2 内容监管第9章信息安全管理9.1 概述9.2 信息安全风险管理9.3 信息安全标准9.4 信息安全法律法规及道德规范一、客观部分:(一)、选择部分1、(D)A.通信安全B.信息安全C.信息保障D.物理安全★考核知识点: 信息安全的发展阶段,参见讲稿章节:1-1(教材P2)附1.1.1(考核知识点解释):目前,信息安全领域流行的观点是:信息安全的发展大致分为通信安全、信息安全和保息保障三个阶段,即保密、保护和保障发展阶段。
2、通过对系统进行长期监听,利用统计分析方法对诸如通信频度、通信流量等参数的变化进行研究,从中发现有价值的信息和规律,这种信息安全威胁称为(B)A.窃听B.业务流分析C.重放D.业务欺骗★考核知识点: 信息安全威胁,参见讲稿章节:1-2(教材P4)附1.1.2(考核知识点解释):窃听是指在信息传输中,利用各种可能的合法或非法手段窃取信息资源。
业务流分析是指通过对系统进行长期监听,利用统计分析方法对诸如通信频度、通信流量等参数的变化进行研究,从中发现有价值的信息和规律。
《信息安全概论》教学大纲
课程编号:课程名称:信息安全概论英文名称:Introduction of Information Security课程性质:学科教育(必修)总学时:41(授课学时32,实验学时9)学分:2适用专业:“信息安全概论”教学大纲一、教学目标“信息安全概论”是学科教育平台必修课,适用所有理工科专业。
本课程的教学目标是,通过本课程的学习学生应该能够认识到信息安全的重要性,了解信息安全的相关技术及知识体系,掌握加密、认证、访问控制、防火墙、入侵检测、虚拟专用网、网络攻击等信息安全技术的原理与应用;培养学生用信息安全的思维方式和方法分析问题、解决问题,使学生具有一定的信息安全保障能力,为毕业后从事信息化密码保障工作做准备。
二、教学说明本课程的教学内容主要包括信息安全概述、网络与系统攻击技术、密码与加密技术、认证技术、访问控制技术、防火墙技术、入侵检测技术、网络安全协议与虚拟专用网技术、信息安全管理等内容。
本课程的教学内容具有涉及知识面较广,与应用联系密切以及知识更新较快等特点,因此,在具体教学过程中,使用翻转课堂、慕课等学习方式扩充课堂教学内容,使用案例分析与讨论、项目研究等方式开拓学生思路,培养学生分析问题、解决问题的能力。
同时,结合信息安全领域的最新技术发展、研究成果和解决方案,对云计算、大数据、物联网等新应用下的信息安全问题进行专题研究和讨论。
本课程的教学重点是网络攻击技术以及常见信息安全技术的基本原理和实现方法。
本课程的先修课为“计算机网络”。
三、教学内容及要求第一章信息安全概述(一)教学内容1.信息安全基本概念;2.OSI安全体系结构;3.信息安全保障;4.信息安全领域的研究内容。
(二)教学要求了解信息技术与产业繁荣与信息安全威胁的挑战;了解产生信息安全问题的技术原因;掌握信息安全及信息系统安全的概念;掌握OSI安全体系结构;掌握信息安全保障思想;了解我国信息安全事业的发展概况;了解信息安全领域的研究内容。
信息安全概论
痕迹清除:清除系统日志中留下的痕迹。 种植后门:为了方便下次再进入目标系统,黑客会
留下一个后门,特洛伊木马就是后门的最好范例。
2020/12/11
12
9.1.2 黑客技术简介
加壳:就是利用特殊的算法,将EXE可执行程序或 者DLL动态连接库文件的编码进行改变(比如实现 压缩、加密),以达到缩小文件体积或者加密程序 编码,甚至是躲过杀毒软件查杀的目的。
2020/12/11
10
9.1.2 黑客技术简介
黑客攻击的准备阶段
确定攻击的目的:确定攻击要达到什么样的目的, 即给对方造成什么样的后果。常见的攻击目的有破 坏型和入侵型两种。破坏型攻击只是破坏攻击目标 ,使其不能正常工作。入侵型攻击通过获得一定的 权限来达到控制攻击目标的目的。
植入特定的程序,或者修改系统设置,留下秘密陷 门。通过该陷门,入侵者却可以轻易地与目标主机 建立连接,达到重新控制的目的。 SQL注入:通过把SQL命令插入到Web表单递交或 输入域名或页面请求的查询字符串,最终达到欺骗 服务器执行恶意的SQL命令。
2020/12/11
8
9.1.2 黑客技术简介
隐蔽性:人为恶意攻击的隐蔽性很强,不易引起怀 疑,作案的技术难度大。
多样性:随着互联网的迅速发展,恶意攻击的手段 和目标变得多样化。
2020/12/11
14
பைடு நூலகம்
9.1.4 网络攻击趋势
网络攻击的发展趋势
入侵者难以追踪 拒绝服务攻击频繁发生 攻击者需要的技术水平逐渐降低但危害增大 攻击手段更加灵活,联合攻击急剧增多 系统漏洞发现加快,攻击爆发时间变短 垃圾邮件问题严重 间谍软件、恶意软件威胁安全 无线网络、移动手机渐成安全重灾区
计算机网络信息安全理论与实践教程第10章
计算机网络信息安全理论与实践教程 第10章
•图10-5 Nessus的使用模式
计算机网络信息安全理论与实践教程 第10章
•10.4 常用网络漏洞扫描工具
•10.4.1 COPS • 典型的主机系统扫描器是COPS(Computer Oracle and Password System),它用来检查UNIX系统的常见安全配置问题 和系统缺陷。tiger也是一个基于shell语言脚本的漏洞检测程序, 主要用于UNIX系统的漏洞检查。图10-2是tiger检测IP地址为 192.168.0.92的主机漏洞过程。
• (2) 安全配置不当,如系统和应用的配置有误,或配置 参数、访问权限、策略安装位置有误。
• (3) 测试不充分,大型软件日益复杂,软件测试不完善, 甚至缺乏安全测试。
• (4) 安全意识薄弱,如选取简单口令。
• (5) 安全管理人员的疏忽,如没有良好的安全策略及执行 制度,重技术,轻管理,从而导致安全隐患。
计算机网络信息安全理论与实践教程 第10章
• 5.CCERT • CCERT是中国教育和科研计算机网紧急响应组的简称, 它对中国教育和科研计算机网及会员单位的网络安全事件提供 快速的响应或技术支持服务,也对社会其他网络用户提供与安 全事件响应相关的咨询服务。网络地址是。
信息安全概论课后答案解析
_四45五3六57十4十一34十二47没做“信息安全理论与技术”习题及答案教材:《信息安全概论》段云所,魏仕民,唐礼勇,陈钟,高等教育出版社第一章概述(习题一,p11)1.信息安全的目标是什么?答:信息安全的目标是保护信息的机密性、完整性、抗否认性和可用性;也有观点认为是机密性、完整性和可用性,即CIA(Confidentiality,Integrity,Availability)。
机密性(Confidentiality)是指保证信息不被非授权访问;即使非授权用户得到信息也无法知晓信息内容,因而不能使用完整性(Integrity)是指维护信息的一致性,即信息在生成、传输、存储和使用过程中不应发生人为或非人为的非授权簒改。
抗否认性(Non-repudiation)是指能保障用户无法在事后否认曾经对信息进行的生成、签发、接收等行为,是针对通信各方信息真实同一性的安全要求。
可用性(Availability)是指保障信息资源随时可提供服务的特性。
即授权用户根据需要可以随时访问所需信息。
2.简述信息安全的学科体系。
解:信息安全是一门交叉学科,涉及多方面的理论和应用知识。
除了数学、通信、计算机等自然科学外,还涉及法律、心理学等社会科学。
信息安全研究大致可以分为基础理论研究、应用技术研究、安全管理研究等。
信息安全研究包括密码研究、安全理论研究;应用技术研究包括安全实现技术、安全平台技术研究;安全管理研究包括安全标准、安全策略、安全测评等。
3. 信息安全的理论、技术和应用是什么关系?如何体现?答:信息安全理论为信息安全技术和应用提供理论依据。
信息安全技术是信息安全理论的体现,并为信息安全应用提供技术依据。
信息安全应用是信息安全理论和技术的具体实践。
它们之间的关系通过安全平台和安全管理来体现。
安全理论的研究成果为建设安全平台提供理论依据。
安全技术的研究成果直接为平台安全防护和检测提供技术依据。
平台安全不仅涉及物理安全、网络安全、系统安全、数据安全和边界安全,还包括用户行为的安全,安全管理包括安全标准、安全策略、安全测评等。
信息安全概论
信息安全概论第一篇:信息安全概论第一章1、信息安全的基本属性:(1)可用性(2)机密性(3)非否认性(4)可控性(5)真实性(6)完整性2、信息安全技术是指保障信息安全的技术,具体来说,它包括对信息的伪装、验证及对信息系统的保护等方面。
3、信息安全划分四个阶段:(1)通信安全发展时期(2)计算机安全发展时期(3)信息安全发展时期(4)信息安全保障发展时期。
4、信息安全威胁有:(1)信息泄露(2)篡改(3)重写(4)假冒(5)否认(6)非授权使用(7)网络与系统攻击(8)恶意代码(9)灾害、故障与人为破坏。
第二章1、密码技术提供:完整性、真实性、非否认性等属性。
2、密码学分为:密码编码学和密码分析学。
3、按密钥使用方法的不同,密码系统主要分为对称密码、公钥密码。
4、密码分析也可称为密码攻击。
5、密码分析分为4类:(1)唯密文攻击(2)已知明文攻击(3)选择明文攻击(4)选择密文攻击。
第三章1、系统实体标识:(1)系统资源标识(2)用户、组和角色标识(3)与数字证书相关的标识。
2、威胁与对策:(1)外部泄密(2)口令猜测(3)线路窃听(4)重放攻击(5)对验证方的攻击。
3、PKI:公开密钥基础设施。
(PKI中最基本的元素就是数字证书)4、PKI的组成:(1)认证和注册机构(2)证书管理(3)密钥管理(4)非否认服务(5)系统间的认证(6)客户端软件。
5、PKI支撑的主要安全功能:基于PKI提供的公钥证书和私钥,用户之间可以进行相互的实体认证,也可以进行数据起源的认证。
6、公钥认证的一般过程是怎样的?公钥来加密,只有拥有密钥的人才能解密。
通过公钥加密过的密文使用密钥可以轻松解密,但通过公钥来猜测密钥却十分困难。
7、简述PKI的构成和基本工作原理。
PKI的构成:(1)认证和注册机构(2)证书管理(3)密钥管理(4)非否认服务(5)系统间的认证(6)客户端软件基本原理:PKI就是一种基础设施,其目标就是要充分利用公钥密码学的理论基础,建立起一种普遍适用的基础设施,为各种网络应用提供全面的安全服务第四章1、访问控制策略:自主访问控制策略(DAC)、强制访问控制策略(MAC)、基于角色访问控制策略(RBAC)。
最新十章信息安全精品课件
言行,指导他们的思想的一整套道德规范。计算
目 录 机网络道德可涉及到计算机工作人员的思想意识、 上一页 服务态度、业务钻研、安全意识、待遇得失及其
下一页 结束
公共道德等方面。
08.04.2024
——大学IT——
11
2. 网络的发展对道德的影响
1)淡化了人们的道德意识 2)冲击了现实的道德规范 3)导致道德行为的失范
08.04.2024
——大学IT——
18
黑客行为特征表现形式
1)恶作剧型
2)隐蔽攻击型
3)定时炸弹型
4)制造矛盾型
目录
上一页
5)职业杀手型
下一页
6)窃密高手型
结束
7)业余爱好型
08.04.2024
——大学IT——
19
目录 上一页 下一页 结束
10.1.4 常见信息安全技术
目前信息安全技术主要有:密码技术、防火墙技术、 虚拟专用网(VPN)技术、病毒与反病毒技术以及其 他安全保密技术。 1.密码技术
目录 上一页 下一页 结束
08.04.2024
——大学IT——
12
3. 网络信息安全对网络道德提出新的要求
1)要求人们的道德意识更加强烈,道德行为 更加自主自觉
2)要求网络道德既要立足于本国,又要面向
世界
目录
上一页
3)要求网络道德既要着力于当前,又要面向
下一页
未来
结束
08.04.2024
——大学IT——
目录
目前,能够用于构建VPN的公共网络包括
上一页
Internet和服务提供商(ISP)所提供的DDN专 线(Digital Data Network Leased Line)、帧中
第10章信息安全-精选文档61页
9
信息安全意识
目录 上一页 下一页 结束
3)软件漏洞
由于软件程序的复杂性和编程的多样性,在网络信 息系统的软件中很容易有意或无意地留下一些不易被发 现的安全漏洞。软件漏洞同样会影响网络信息的安全。
下面介绍一些有代表性的软件安全漏洞。
(1)陷门:陷门是在程序开发时插入的一小段程序,目 的可能是测试这个模块,或是为了连接将来的更改和升 级程序,也可能是为了将来发生故障后,为程序员提供 方便。通常应在程序开发后期去掉这些陷门,但是由于 各种原因,陷门可能被保留,一旦被利用将会带来严重 的后果。
目录 上一页 下一页 结束
23.09.2019
——大学IT——
15
网络道德
3. 网络信息安全对网络道德提出了新的要求
1)要求人们的道德意识更加强烈,道德行为 更加自主自觉
2)要求网络道德既要立足于本国,又要面向 世界
目录
3)要求网络道德既要着力于当前,又要面向
上一页
未来
下一页
结束
23.09.2019
同时,信息安全的综合性又表现在,它是一门 以人为主,涉及技术、管理和法律的综合学科,同 时还与个人道德、意识等方面紧密相关。
23.09.2019
——大学IT——
3
10.1 某些方面信息安全概述
10.1.1 信息安全意识
10.1.2 网络道德
10.1.3 计算机犯罪
目录
10.1.3 信息安全技术
上一页
23.09.2019
计算机犯罪
黑客行为特征可有以下几种表现形式: 1)恶作剧型 2)隐蔽攻击型 3)定时炸弹型 4)制造矛盾型 5)职业杀手型 6)窃密高手型 7)业余爱好型
——大学IT——
《信息安全概论》课件—10虚拟专用网技术
10.1 虚拟专用网概述
10.1.1 VPN的需求
10.1 虚拟专用网概述
10.3 VPN的技术原理
10.3.1 VPN使用的安全协议 1.PPTP-Point to Point Tunnel Protocol(点对点隧 道协议) 通过Internet的数据通信,需要对数据流进行封装和加 密,PPTP就可以实现这两个功能,从而可以通过 Internet实现多功能通信。 2.L2TP-Layer2 Tunneling Protocol(第二层隧道协 议) PPTP和L2TP十分相似,因为L2TP有一部分就是采用 PPTP协议,两个协议都允许客户通过其间的网络建立 隧道,L2TP还支持信道认证。
10.3 VPN的技术原理
3.IP SEC—Internet Protocol Security(因特网协议 安全) 它用于确保网络层之间的安全通信。
4.SSL —Secure Socket Layer 它是Netscape公司所研发,用以保障在Internet上数 据传输之安全,利用数据加密技术,可确保数据在网络 上之传输过程中不会被截取及窃听。SSL协议位于 TCP/IP协议与各种应用层协议之间,为数据通讯提供 安全支持。
10.2 VPN的工作原理
VPN的工作流程如图10.4所示。通常情况下,VPN网 关采取双网卡结构,外网卡使用公网IP接入Internet。
10.2 VPN的工作原理
1.网络1(假定为公网internet)的终端A访问网络2(假 定为公司内网)的终端B,其发出的访问数据包的目标地 址为终端B的内部IP地址。
信息安全概论大纲(非师范类)(郭亚军)
《信息安全概论》教学大纲二、课程性质与教学目标:信息安全课程是为计算机科学与技术、通信工程和电信专业本科高年级学生开设的一门专业选修课程。
通过本课程的学习,使学生能熟练掌握信息安全的基本概念、框架和技术;本课程重点学习密码算法的基本原理;数字签名,认证协议;Kerberos;X.509认证服务;公钥基础设施;PGP;IP安全体系结构;安全套接层和传输层安全入侵检测原理;防火墙的设计原理等知识。
使学生在完成本课程学习后,能够独立进行信息安全方面的研究和工作。
三、教学内容及基本要求第一单元密码技术简介[知识点]1.信息安全概述2.安全服务模型以及信息安全模型;3.对称密码模型与分组密码原理;4.数据加密标准;5.公开密码体制的基本原理与RSA算法;6.密钥管理和数字签名;7.消息认证和hash函数;[教学内容]了解信息安全的基本概念以及基本模型,理解对称加密原理,公钥加密原理以及密钥管理。
理解hash函数原理以及数字签名原理。
[重点](1)数据加密标准;(2)高级加密标准;(3)RSA算法;(4)密钥管理;(5)hash函数;(6)数字签名。
[难点](1)数据加密标准;(2)高级加密标准;(3)hash函数.[教学要求]1、了解服务、机制与攻击意义,了解在安全服务模型和信息安全模型。
2、理解对称密码模型;理解密码攻击类型。
3、理解古典加密技术原理:代换技术、置换技术。
4、掌握信息安全的数学基础。
5、理解分组密码原理。
6、理解数据加密标准加密过程和分组密码设计原理。
7、理解高级加密标准以及RC6的加密过程。
8、理解流密码的工作原理,了解RC4的加密原理和过程。
9、理解分组密码的工作模式。
10、了解随机数产生方法。
11、掌握对称密码密钥分配方法。
12、理解公开密码体制的基本原理13、掌握RSA算法。
14、了解ElGamal密码和椭圆曲线密码15、掌握公钥分配方法16、理解Diffie-Hellman密钥交换过程。
信息安全概论第10讲
4.在Needham-Schroeder协议中随机数旳作用是什么?
• 一类是基于密码技术旳身份辨认技术,根据采用密码技术旳特点又能够 分为:基于口令、基于老式密码、基于公钥密码三种不同旳身份辨认技 术;
• 一类是基于生物特征旳身份辨认技术。
在UNIX中广泛使用旳实现机制为例,来分析口令系统旳弱点及改善措施。在 UNIX中,口令旳存储采用了图4.1a所示旳复杂机制。每个顾客都选择一种包括8 个可打印字符长度旳口令,该口令被转换为一种56位旳值(用7位ASCII编码) 作为加密程序旳密钥输入。加密程序以DES算法为基础,但为了使算法具有更强 旳安全性,在实现中对该算法进行了合适旳改动,这主要是经过引入一种12位 旳随机数实现旳。经典旳情形为:随机数旳取值是与口令分配给顾客旳时间有 关联旳。改善旳DES算法以包括64位0块旳数据作为输入,算法旳输出作为下一 次加密旳输入。将这一过程反复25次加密,最终旳64位输出转换为11个字符旳 序列。之后,密文形式旳口令和随机数旳明文形式旳副本一起存储到相应顾客 名旳口令文件中。
KDC B : EKRauth IDA KU A EKUB EKRauth RA KS IDA IDB
B A : EKUA EKRauth RA KS IDA IDB RB
A B : EKS RB
4.1.3基于公钥密码旳身份辨认技术
第(1)步,A发送自己和B旳身份信息给KDC,向KDC祈求B旳公钥;
4.1 身份辨认
身份辨认涉及顾客向系统出示自己旳身份证明和系统查核顾客旳身份证明两 个过程,它们是判明和拟定通信双方真实身份旳主要环节。
身份辨认旳主要根据有下列三种: • 顾客所懂得旳,如常用旳口令、密钥等; • 顾客所拥有旳,如身份证、存有密钥旳智能卡,钥匙等; • 顾客旳生理特征及特有旳行为成果,如指纹、DNA、声音、署名字样等。
信息安全概论第10讲
2021/5/23
15
(3)DNA
DNA(脱氧核糖核酸)存在于一切有核的动、植物中,生物的全部遗传信息都 储存在DNA分子里。DNA结构中的编码区,即遗传基因或基因序列部分占DNA 全长的3%~10%,这部分即所谓的遗传密码区。就人来讲,遗传基因约有十万 个,每个均由A、T、G、C四种核苷酸,按次序排列在两条互补的组成螺旋的 DNA长链上。核苷酸的总数达30亿左右,如随机查两个人的DNA图谱,其完全 相同的概率仅为三千亿分之一。随着生物技术的发展,尤其是人类基因研究的 重大突破,研究人员认为DNA识别技术将是未来生物特征识别技术发展的主流。
第(7)步,A用上一步从KDC的签名中得到的密钥加密随机数,并发送 给B;B收到后,解密并验证随机数,确信消息不是重放。
2021/5/23
11
4.1.4基于生物特征的身份识别技术
特征取样
授 权 阶 段
特征模板 数据库
特征采样
识 别 阶 段
比对
匹配
接受
不匹配
拒绝
图4.3 基于生物特征身份识别基本框图
(1) (2) (3)
AKD:ICD AID B
K A D : E K A K S I C B T D E K B K S IA T D
A B :E K BK SIA D T
(4) B A :E K SR B
(5) A B :E K SfR B
2021/5/23
8
4.1.3基于公钥密码的身份识别技术
B A :E K A E K U aR u R A t K h S IA I D B D R B
A B: E K SR B
2021/5/23
9
4.1.3基于公钥密码的身份识别技术
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
(1)指纹
指纹识别是最传统、最成熟的生物鉴定方式。目前,全球范围内都建立有指纹 鉴定机构以及罪犯指纹数据库,指纹鉴定已经被官方所接受,成为司法部门有 效的身份鉴定手段。 指纹识别处理包括对指纹图像采集、指纹图像处理与特征提取、特征值的比对 与匹配等过程。许多研究表明,指纹识别在所有生物特征识别技术中是对人体 最不构成侵犯的一种技术手段。其优点如下: •独特性:19世纪末,英国学者亨利提出了基于指纹特征进行识别的原理和方法。 按亨利的理论,一般人的指纹在出生后9个月得以成型并终生不变;每个指纹一 般都有70至150个基本特征点。从概率学的角度,在两枚指纹中只要有12、13 个特征点吻合,即可认定为同一指纹。按现有人口计算,上述概率120年才会出 现两枚完全相同的指纹。 •稳定性:指纹纹脊的样式终生不变。例如,指纹不会随着人年龄的增长、身体 健康程度的变化而变化,人的声音却有着较大的变化。 •方便性:目前已有标准的指纹样本库,方便识别系统的软件开发;另外,识别 系统中完成指纹采样功能的硬件部分(即指纹采集仪)也较易实现。
KDC A : EK A K S ID B T EK B K S ID A T
A B : EKB KS IDA T
B A : EKS RB
S
(4)
(5) A B : EK f RB
4.1.3基于公钥密码的身份识别技术
Woo-Lam协议为例来说明 (1) (2) (3) (4) (5) (6) (7)
B
(4’) (5’)
B C : EKS RB C B : EKS f RB
这样,C使得B相信正在与自己通信的是A。
4.1.2基于传统密码的身份识别技术
Denning结合时间戳的方法,对Needham-Schroeder协议进行了改进
A KDC : IDA IDB
(1) (2) (3)
(2)虹膜
人眼虹膜位于眼角膜之后,水晶体之前,是环形薄膜,其图样具有个人特征, 可以提供比指纹更为细致的信息,因此可以作为个人身份识别的重要依据。可 以使用一台摄像机在35~40cm的距离内采样,然后由软件对所得数据与存储的 模板进行比对。每个人的虹膜结构各不相同,并且这种独特的虹膜结构在人的 一生几乎不发生变化。
3. 列出基于口令的身份识别技术面临的安全威胁。 4.在Needham-Schroeder协议中随机数的作用是什么?
4.1 身份识别
身份识别包括用户向系统出示自己的身份证明和系统查核用户的身份证明两 个过程,它们是判明和确定通信双方真实身份的重要环节。
身份识别的主要依据有以下三种: • 用户所知道的,如常用的口令、密钥等; • 用户所拥有的,如身份证、存有密钥的智能卡,钥匙等; • 用户的生理特征及特有的行为结果,如指纹、DNA、声音、签名字样等。 在实际应用中,身份识别跟密钥分发紧密联系在一起。身份识别可以分为 双向鉴别和单向鉴别,双向鉴别即双方要互相向对方证明自己的身份,一 般适用于通信双方同时在线的情况;单向鉴别即只要一方向对方证明自己 的身份,如登录邮件服务器,只需用户向服务器证明自己是授权用户。
作业
1. 假如只允许使用26个字母来构造口令: 如果口令最多为n个字符,n=4,6,8,不区分大小写,可能有多少个不同的 口令? 如果口令最多为n个字符,n=4,6,8,区分大小写,可能有多少个不同的口 令?
2. 在UNIX的口令方案中,随机数的作用之一是使得口令的猜测难度提高了4096 倍。现在的问题是,随机数本身在口令文件中是以明文形式存放的,攻击者也可 以获得该值,为什么还说随机数的引入提高了安全性呢?
信息安全概论
第10讲 2006年4月4日
第4章 身份识别与消息鉴别
身份识别(identity authentication) 通信和数据系统的安全性常取决于能否 正确地验证通信或终端用户的个人身份,如机要重地的进入、自动提款机提 款、密钥分发以及各种资源系统的访问等都需要对用户的个人身份进行识别。 消息鉴别(message authentication) 信息来源的可靠性及完整性,需要有 效的消息鉴别来保证,如通过网络用户A 将消息M送给用户B, 这里的用户可 能是个人、机关团体、处理机等等,用户B 需要进行消息鉴别,确定收到的 消息是否来自A,而且还要确定消息的完整性。
B A : EKU A EKRauth RA K S ID A ID B RB
A B : EKS RB
4.1.3基于公钥密码的身份识别技术
Woo-Lam协议为例来说明 (1) (2) (3) (4) (5) (6) (7)
KDC B : EKRauth IDA KU A EKU B EKRauth RA K S IDA IDB
KDC A : E K A K S ID B R A E K B K S ID A
A B : EKB KS IDA
B A : EKS RB A B : EKS f RB
4.1.2基于传统密码的身份识别技术
Needham-Schroeder协议的主要漏洞是A和B以前使用过的密钥对攻击者 仍有利用的价值。当攻击者C掌握了A和B以前使用过的密钥后,C可以冒 充A通过B的鉴别。C在第(3)步将以前记录的信息重放,并截断A与B 之间的通信: C B : EK KS IDA (3’)
4.1.2基于传统密码的身份识别技术
典型的基于对称密码的双向鉴别协议是Needham-Schroeder协议,该协 议要求有可信第三方KDC(密钥分发中心)的参与,采用询问/应答的方 式使得通信双方A、B互相识别对方的身份。过程如下: (1) A KDC : ID ID
A B
(2) (3) (4) (5)
第(4)步,B向KDC请求A的公钥,并发送用KDC的公钥加密的随机数;
第(5)步,B得到A的公钥,以及KDC对随机数、密钥、A和B身份信 息的签名; 第(6)步,B将上一步得到的签名和随机数发给A, A在其中找到自己 的随机数,确信该消息不是重放; 第(7)步,A用上一步从KDC的签名中得到的密钥加密随机数,并发送 给B;B收到后,解密并验证随机数,确信消息不是重放。
4.1.1基于口令的身份识别技术
常用的身份识别技术可以分为两大类:
•
•
一类是基于密码技术的身份识别技术,根据采用密码技术的特点又可以 分为:基于口令、基于传统密码、基于公钥密码三种不同的身份识别技 术; 一类是基于生物特征的身份识别技术。
在UNIX中广泛使用的实现机制为例,来分析口令系统的弱点及改进方法。在 UNIX中,口令的存储采用了图4.1a所示的复杂机制。每个用户都选择一个包含8 个可打印字符长度的口令,该口令被转换为一个56位的值(用7位ASCII编码) 作为加密程序的密钥输入。加密程序以DES算法为基础,但为了使算法具有更强 的安全性,在实现中对该算法进行了适当的改动,这主要是通过引入一个12位 的随机数实现的。典型的情形为:随机数的取值是与口令分配给用户的时间相 关联的。改进的DES算法以包含64位0块的数据作为输入,算法的输出作为下一 次加密的输入。将这一过程重复25次加密,最终的64位输出转换为11个字符的 序列。之后,密文形式的口令和随机数的明文形式的副本一起存放到相应用户 名的口令文件中。
A B : EKS RB
4.1.3基于公钥密码的身份识别技术
第(1)步,A发送自己和B的身份信息给KDC,向KDC请求B的公钥;
第(2)步,KDC向A发送用自己私钥对B的公钥签名,A用已知的KDC 的公钥验证后可得B的公钥;
第(3)步,A向B发送用B的公钥加密的自己的身份信息和一个随机数;
(3)DNA
DNA(脱氧核糖核酸)存在于一切有核的动、植物中,生物的全部遗传信息都 储存在DNA分子里。DNA结构中的编码区,即遗传基因或基因序列部分占DNA 全长的3%~10%,这部分即所谓的遗传密码区。就人来讲,遗传基因约有十万 个,每个均由A、T、G、C四种核苷酸,按次序排列在两条互补的组成螺旋的 DNA长链上。核苷酸的总数达30亿左右,如随机查两个人的DNA图谱,其完全 相同的概率仅为三千亿分之一。随着生物技术的发展,尤其是人类基因研究的 重大突破,研究人员认为DNA识别技术将是未来生物特征识别技术发展的主流。
4.1.4基于生物特征的身份识别技术
特征取样 授 权 阶 段 特征模板 数据库 匹配 比对 不匹配 拒绝 接受 特征采样 识 别 阶 段
图4.3 基于生物特征身份识别基本框图
并不是所有的生物特征都可用来进行身份识别,只有满足以下条 件的生理或行为特征才可以用来作为身份识别的依据: • 普遍性:每个人都应该具有该特征; • 唯一性:每个人在该特征上有不同的表现; • 稳定性:该特征相对稳定,不会随着年龄等变化; • 易采集性:该特征应该容易测量; • 可接受性:人们是否接受以该特征作为身份识别。
KDC B : EKRauth IDA KU A EKU B EKRauth RA K S IDA IDB
A KDC : IDA IDB
KDC A : E KRauth IDB KU B
A B : EKU B RA IDA B KDC : IDB IDA EKUa u thRA
A KDC : IDA IDB
KDC A : E KRauth IDB KU B
A B : EKU B RA IDA B KDC : IDB IDA EKUa u thRA
B A : EKU A EKRauth RA K S ID A ID B RB