计算机网络安全技术与应用第五章

5.2 身份识别与鉴别
5.2.2 身份鉴别的过程
用户认证系统主要是通过数字认证技术确认用户的身份，从而 提供相应的服务。决定身份真实性的身份鉴别过程包括如下两个步 骤： （1）为实体赋予身份，并绑定身份，决定身份的表现方式 身份的赋予必须由具有更高优先权的实体进行。这些被充分信 任的实体可通过类似于驾照检查或指纹验证等办法，来确定实体的 真实性，随后赋予真实实体相应的身份信息。 （2）通信与鉴别 对实体的访问请求，必须鉴别其身份。认证的基本模式可分为 3类： ① 用户到主机。 ② 点对点认证。 ③ 第三方的认证：由充分信任的第三方提供认证信息。
第五章 PKI技术
本章学习要求
掌握身份识别与鉴别的概念及身份识别技术 掌握PKI的概念，了解网络中传输信息的安全要求 掌握PKI的服务功能和实体构成 掌握CA的相关概念、功能和组成 掌握数字证书的相关概念 了解CA数字证书的管理 了解PKI的相关标准及应用
第五章 PKI技术
主要内容
5.1 口令的安全
5.2 身份识别与鉴别
5.2.1 身份识别与鉴别的概念
身份识别是指用户向系统出示自己身份证明的过程；身
份鉴别是系统核查用户的身份证明的过程，实质上是查明用
户是否具有他所请求资源的存储和使用权。人们通常把这两 项工作统称为身份鉴别，也称为身份认证。信息技术领域的 身份鉴别通常是通过将一个证据与实体身份绑定来实现的。
几乎所有的计算机及网络系统、通信系统都需要 口令，以拥有易于实现的第一级别的访问安全。非法 用户通过一些手段获取口令的过程，称为口令的破解。
5.1 口令安全
1．口令安全面临的威胁
尽管目前许多计算机系统和网络的进入或登录都 是采用口令来防止非法用户的入侵，然而口令系统却 是非常脆弱的。其安全威胁主要来自于：
5.2 身份识别与鉴别
5.2.3 生物身份认证
生物特征身份鉴别技术是通过计算机收集人体所固有的
生理或行为特征并进行处理，由此进行个人身份鉴定的技术。 并非所有的生物特征都可用于个人的身份鉴别。身份鉴别可 利用的生物特征必须满足以下几个条件： 普遍性：即每个人都必须具备这种特征。 唯一性：即任何两个人的特征是不一样的。 可测量性：即特征可测量。 稳定性：即特征在一段时间内不改变。
5.2 身份识别与鉴别
1．基于生理特征的识别技术
（1）指纹识别 指纹是指手指末梢乳突纹凸起形成的纹线图案，其稳定性、唯 一性早已获得公认。目前指纹识别技术主要是利用指纹纹线所提供 的细节特征（即纹线的起、终点、中断处、分叉点、汇合点、转折 点）的位置、类型、数目和方向的比对来鉴别身份。 （2）虹膜识别 虹膜是指位于瞳孔和巩膜间的环状区域，每个人虹膜上的纹理、 血管、斑点等细微特征各不相同，且一生中几乎不发生变化。 （3）视网膜识别 人体的血管纹路也是具有独特性的。人的视网膜上血管的图样 可以利用光学方法透过人眼晶体来测定。
5.2 身份识别与鉴别
5.1 口令安全
5.1.2 脆弱性口令
口令是系统和个人信息安全的第一道防线。但是，口令 是较弱的安全机制。从责任的角度来看，用户和系统管理员 都对口令的失密负有责任，或者说系统管理员和用户两方面 都有可能造成口令失密。 脆弱性口令也就是常说的弱口令，易于被破解。弱口令 一般具有下列特征： （1）系统默认口令。 （2）口令与个人信息相关。 （3）口令为字典中的词语。 （4）过短的口令（口令长度小于或等于6位）。 （5）永久性口令。
5.2 身份识别与鉴别
1．身份鉴别的任务
计算机系统中的身份鉴别技术一般涉及两方面的内容，即识 别和验证。识别信息一般是非秘密的，而验证信息必须是秘密的。 所谓“识别”，就是要明确访问者是谁，即识别访问者的身份，且 必须对系统中的每个合法用户都有识别能力。所谓“验证”，是指 在访问者声明自己的身份（向系统输入它的标识符）后，系统必须 对它所声明的身份进行验证，以防假冒，实际上就是证实用户的身 份。
5.2 身份识ቤተ መጻሕፍቲ ባይዱ与鉴别 5.3 PKI概述 5.4 PKI应用举例
目前，被广泛采用的公钥基础设施（Public Key Infrastructure，PKI）技术采用证书管理公钥，通过 第三方的可信任机构——认证中心（Certificate Authority，CA）把用户的公钥和用户的其他标识信 息（例如名称、E-mail、身份证号等）捆绑在一起。 通过Internet的CA机构，较好地解决了密钥的分发和 管理问题，并通过数字证书，对传输的数据进行加密 和鉴别，保证了信息传输的机密性、真实性、完整性 和不可否认性。
口令是用于身份标识和身份认证的一种凭证，以密 码理论为基础的身份认证和鉴别是访问控制和审计 的前提，对网络环境下的信息安全尤其重要，而PKI 为此提供了全面的解决方案。
5.1 口令安全
5.1.1 口令的管理
口令机制是一种最简单、最常用的系统或应用程 序访问控制的方法。因为这种认证用户的方法简单、 实现容易而且消耗系统资源少，至今仍在广泛地使用 着。
5.1 口令安全
（2）口令安全的维护
① 应经常更换口令。 ② 用户不要将自己的口令告诉别人，也不要几个人或几 个系统共用一个口令; ③ 用户最好不要用电子邮件来传送口令。 ④ 当用户使用了难以记忆的口令，应该将记录口令的载
体放到远离计算机的地方，以减少被盗窃的机会。
⑤ 用户应增强保护口令的安全意识。
（1）非法用户利用缺少保护的口令进行攻击 （2）屏蔽口令 （3）窃取口令 （4）木马攻击
（5）安全意识淡薄
5.1 口令安全
2．创建安全口令和维护口令安全
一个好的口令应该是不容易被破解的，因此创建一个有效的口令 是保证其安全的第一步，维护口令安全是第二步。
（1）安全口令的创建
① 口令的长度应尽可能的长，口令字符集中包含的字符应尽可 能的多。 ② 不要选择使用一些有特征的字词作为口令。 ③ 不要选择特别难记的口令，以免遗忘而影响使用。 ④ 最好将创建的口令加密以后，以文件的形式保存在磁盘上， 当需要输入口令时，执行一次此文件，这样可以防止盗窃口令者用猜 测的方法窃取。