《计算机网络安全技术与应用第五章》由会员分享,可在线阅读,更多相关《计算机网络安全技术与应用第五章(52页珍藏版)》请在金锄头文库上搜索。
1、计算机网络安全技术与应用,西安工业大学 计算机科学与工程学院,第五章 PKI技术,掌握身份识别与鉴别的概念及身份识别技术 掌握PKI的概念,了解网络中传输信息的安全要求 掌握PKI的服务功能和实体构成 掌握CA的相关概念、功能和组成 掌握数字证书的相关概念 了解CA数字证书的管理 了解PKI的相关标准及应用,本章学习要求,第五章 PKI技术,5.1 口令的安全 5.2 身份识别与鉴别 5.3 PKI概述 5.4 PKI应用举例,主要内容,目前,被广泛采用的公钥基础设施(Public Key Infrastructure,PKI)技术采用证书管理公钥,通过第三方的可信任机构认证中心(Certif
2、icate Authority,CA)把用户的公钥和用户的其他标识信息(例如名称、E-mail、身份证号等)捆绑在一起。通过Internet的CA机构,较好地解决了密钥的分发和管理问题,并通过数字证书,对传输的数据进行加密和鉴别,保证了信息传输的机密性、真实性、完整性和不可否认性。,口令是用于身份标识和身份认证的一种凭证,以密码理论为基础的身份认证和鉴别是访问控制和审计的前提,对网络环境下的信息安全尤其重要,而PKI为此提供了全面的解决方案。,5.1 口令安全,5.1.1 口令的管理 口令机制是一种最简单、最常用的系统或应用程序访问控制的方法。因为这种认证用户的方法简单、实现容易而且消耗系统资
3、源少,至今仍在广泛地使用着。 几乎所有的计算机及网络系统、通信系统都需要口令,以拥有易于实现的第一级别的访问安全。非法用户通过一些手段获取口令的过程,称为口令的破解。,5.1 口令安全,1口令安全面临的威胁 尽管目前许多计算机系统和网络的进入或登录都是采用口令来防止非法用户的入侵,然而口令系统却是非常脆弱的。其安全威胁主要来自于: (1)非法用户利用缺少保护的口令进行攻击 (2)屏蔽口令 (3)窃取口令 (4)木马攻击 (5)安全意识淡薄,5.1 口令安全,2创建安全口令和维护口令安全 一个好的口令应该是不容易被破解的,因此创建一个有效的口令是保证其安全的第一步,维护口令安全是第二步。 (1)
4、安全口令的创建 口令的长度应尽可能的长,口令字符集中包含的字符应尽可能的多。 不要选择使用一些有特征的字词作为口令。 不要选择特别难记的口令,以免遗忘而影响使用。 最好将创建的口令加密以后,以文件的形式保存在磁盘上,当需要输入口令时,执行一次此文件,这样可以防止盗窃口令者用猜测的方法窃取。,5.1 口令安全,(2)口令安全的维护 应经常更换口令。 用户不要将自己的口令告诉别人,也不要几个人或几个系统共用一个口令; 用户最好不要用电子邮件来传送口令。 当用户使用了难以记忆的口令,应该将记录口令的载体放到远离计算机的地方,以减少被盗窃的机会。 用户应增强保护口令的安全意识。,5.1 口令安全,5.
5、1.2 脆弱性口令 口令是系统和个人信息安全的第一道防线。但是,口令是较弱的安全机制。从责任的角度来看,用户和系统管理员都对口令的失密负有责任,或者说系统管理员和用户两方面都有可能造成口令失密。 脆弱性口令也就是常说的弱口令,易于被破解。弱口令一般具有下列特征: (1)系统默认口令。 (2)口令与个人信息相关。 (3)口令为字典中的词语。 (4)过短的口令(口令长度小于或等于6位)。 (5)永久性口令。,5.2 身份识别与鉴别,5.2.1 身份识别与鉴别的概念 身份识别是指用户向系统出示自己身份证明的过程;身份鉴别是系统核查用户的身份证明的过程,实质上是查明用户是否具有他所请求资源的存储和使用
6、权。人们通常把这两项工作统称为身份鉴别,也称为身份认证。信息技术领域的身份鉴别通常是通过将一个证据与实体身份绑定来实现的。,5.2 身份识别与鉴别,1身份鉴别的任务 计算机系统中的身份鉴别技术一般涉及两方面的内容,即识别和验证。识别信息一般是非秘密的,而验证信息必须是秘密的。所谓“识别”,就是要明确访问者是谁,即识别访问者的身份,且必须对系统中的每个合法用户都有识别能力。所谓“验证”,是指在访问者声明自己的身份(向系统输入它的标识符)后,系统必须对它所声明的身份进行验证,以防假冒,实际上就是证实用户的身份。,5.2 身份识别与鉴别,5.2.2 身份鉴别的过程 用户认证系统主要是通过数字认证技术
7、确认用户的身份,从而提供相应的服务。决定身份真实性的身份鉴别过程包括如下两个步骤: (1)为实体赋予身份,并绑定身份,决定身份的表现方式 身份的赋予必须由具有更高优先权的实体进行。这些被充分信任的实体可通过类似于驾照检查或指纹验证等办法,来确定实体的真实性,随后赋予真实实体相应的身份信息。 (2)通信与鉴别 对实体的访问请求,必须鉴别其身份。认证的基本模式可分为3类: 用户到主机。 点对点认证。 第三方的认证:由充分信任的第三方提供认证信息。,5.2 身份识别与鉴别,5.2.3 生物身份认证 生物特征身份鉴别技术是通过计算机收集人体所固有的生理或行为特征并进行处理,由此进行个人身份鉴定的技术。
8、 并非所有的生物特征都可用于个人的身份鉴别。身份鉴别可利用的生物特征必须满足以下几个条件: 普遍性:即每个人都必须具备这种特征。 唯一性:即任何两个人的特征是不一样的。 可测量性:即特征可测量。 稳定性:即特征在一段时间内不改变。,5.2 身份识别与鉴别,1基于生理特征的识别技术 (1)指纹识别 指纹是指手指末梢乳突纹凸起形成的纹线图案,其稳定性、唯一性早已获得公认。目前指纹识别技术主要是利用指纹纹线所提供的细节特征(即纹线的起、终点、中断处、分叉点、汇合点、转折点)的位置、类型、数目和方向的比对来鉴别身份。 (2)虹膜识别 虹膜是指位于瞳孔和巩膜间的环状区域,每个人虹膜上的纹理、血管、斑点等
9、细微特征各不相同,且一生中几乎不发生变化。 (3)视网膜识别 人体的血管纹路也是具有独特性的。人的视网膜上血管的图样可以利用光学方法透过人眼晶体来测定。,5.2 身份识别与鉴别,(4)面部识别 面部识别技术通过对面部特征和它们之间的关系(眼睛、鼻子和嘴的位置以及它们之间的相对位置)来进行识别。 (5)手形识别 手形识别技术主要是利用手掌、手指及手指各关节的长、宽、厚等三维尺寸和连接特征来进行身份鉴别。 (6)红外温谱图 人的身体各个部位都在向外散发热量,而每个人的生物特征都不同,从而导致其发热强度不同。 (7)语音识别 语音识别利用说话者发声频率和幅值的不同来辨识身份。 语音识别大体分两类:一
10、是依赖特定文字识别;另一种是不依赖特定文字识别,即说话者可随意说任何词语,由系统找出说话者发音中具有共性的特征进行识别。,5.2 身份识别与鉴别,(8)味纹识别 人的身体是一种味源,人类的气味虽然会受到饮食、情绪、环境、时间等因素的影响和干扰,其成分和含量会发生一定的变化,但作为由基因决定的那一部分气味味纹却始终存在,而且终生不变,可以作为识别任何一个人的标记。 (9)基因DNA识别 脱氧核糖核酸DNA存在于一切有核的动(植)物中,生物的全部遗传信息都储存在DNA分子里。 由于不同的人体细胞中具有不同的DNA分子结构,且在整个人类范围内具有唯一性和永久性,因此除了对双胞胎个体的鉴别可能失去它应
11、有的功能外,这种方法具有绝对的权威性和准确性。,5.3 PKI概述,公钥基础设施PKI,是基于公开密钥理论和技术建立起来的安全体系,是提供信息安全服务具有普遍性的安全基础设施。该体系在统一的安全认证标准和规范基础上提供了在线身份认证,是CA认证、数字证书、数字签名以及相关的安全应用组件的集合。PKI的核心是解决信息网络空间中的信任问题,确定信息网络、信息空间中各种经济、军事和管理行为的主体(包括组织和个人)身份的唯一性、真实性和合法性,为组织机构建立和维护一个可信赖的系统环境,透明地为应用系统提供身份认证、数据保密性和完整性、抗抵赖等各种必要的安全保障,满足各种应用系统的安全需求。,5.3 P
12、KI概述,5.3.1 PKI的概念、目的、实体构成和服务 1PKI的概念 (1)PKI的定义 PKI是一个用公钥概念与技术来实施和提供安全服务的普遍适用的安全基础设施。 PKI是一个为综合数字信息系统提供广泛需要的加密和数字签名服务的基础设施,其主要职责是管理密钥和证书,建立和维护一个值得信任的网络环境。PKI能够为跨越各种领域的广泛应用提供加密和数字签名服务。 PKI是由认证机构、策略和技术标准、必要的法律组成。,5.3 PKI概述,(2)PKI原理 其基本原理是:由一个密钥进行加密的信息内容,只能由与之配对的另一个密钥才能进行解密。公钥可以广泛地发给与自己有关的通信者,私钥则需要十分安全地
13、存放起来。使用中,甲方可以用乙方的公钥对数据进行加密并传送给乙方,乙方可以使用自己的私钥完成解密。公钥通过电子证书与其拥有者的姓名、工作单位、邮箱地址等捆绑在一起,由权威机构认证、发放和管理。,5.3 PKI概述,(3)PKI的安全服务功能 PKI的主要功能是提供身份认证、机密性、完整性和不可否认服务。 身份认证。信息的接收者应该能够确认信息的来源,使得交易双方的身份不能被入侵者假冒或伪装。 机密性。确保一个计算机系统中的信息和被传输的信息仅能被授权读取的各方得到。 信息的完整性。信息的完整性就是防止非法篡改信息,例如修改、复制、插入和删除等。 信息的不可否认性。不可否认用于从技术上保证实体对
14、他们行为的诚实,即参与交互的双方都不能事后否认自己曾经处理过的每笔业务。,5.3 PKI概述,(4)PKI的特点 节省费用。在一个大型的应用系统中,实现统一的安全解决方案,比实施多个有限的解决方案,费用要少得多。 互操作性。在PKI中,每个用户程序和设备都以相同的方式访问和使用安全服务功能。 开放性。任何先进技术的早期设计,都希望在将来能和其他系统间实现互操作。 一致的解决方案。一致解决方案在一个系统内更易于安装、管理和维护,并且开销小。 可验证性。PKI在所有应用系统和设备之间所采用的交互处理方式都是统一的,因此其操作和交互都可以被验证是否正确。 可选择性。PKI为管理员和用户提供了许多可选
15、择性。,5.3 PKI概述,2PKI的目的 从广义上讲,任何提供公钥加密和数字签名服务的系统,都可叫做PKI系统,PKI的主要目的是通过自动管理密钥和证书,能够为用户建立起一个安全的网络运行环境,使用户能够在多种应用环境下方便地使用加密和数字签名技术,从而确保网上数据的机密性、完整性、有效性。一个有效的PKI系统必须是安全的和透明的,用户在获得加密和数字签名服务时,无需周详地了解PKI是怎样管理证书和密钥的。,5.3 PKI概述,3PKI的实体构成 从广义上讲,PKI体系是一个集网络建设、软硬件开发、信息安全技术、策略管理和相关法律政策为一体的大型的、复杂的、分布式的综合系统。一个典型、完整、
16、有效的PKI系统至少应由以下部分组成:认证中心CA、证书库(Certificate Repository,CR)、应用程序接口(Application Programming Interface,API)、密钥备份及恢复系统和证书废除系统、客户端证书处理系统。除此之外,一个PKI系统的运行少不了证书的申请者和证书信任方的参与。,5.3 PKI概述,(1)认证中心CA PKI的核心是信任关系的建立和管理。直接信任和第三方信任是所有网络安全产品实现的基础。而认证中心CA就扮演着这样一个具有权威性的第三方角色,是PKI的主要组成部分之一。其核心职责就是认证用户的身份,为信息安全提供有效的、可靠的保护机制,包括机密性、身份验证特性、不可否认性(交易的各方不可否认它们的参与)。,CA是数字证书的签发机构,是PKI的核心,并且是PKI应用中权威的、可信任的、公正的第三方机构。RA系统是CA证书发放、管理的延伸,具体负责证书申请者的信息录入、审核以
