第三章信息安全.ppt

《第三章信息安全.ppt》由会员分享，可在线阅读，更多相关《第三章信息安全.ppt（85页珍藏版）》请在三一文库上搜索。

1、1,第3章 网络认证及其基础设施,2,31 报文鉴别,3,一、报文鉴别概述,通信威胁 1. 泄露：消息内容被非授权用户窃取。 2. 流量分析：发现团体之间信息流的结构模式（如连接的 频率和持续时间长度等）。 3. 伪造：从一个假冒信息源向网络中插入消息。 4. 内容修改：消息内容被插入、增添、删除、变换。 5. 顺序修改：插入、删除或重组消息序列。 6. 时间修改：消息延迟或重放。,4,报文鉴别是防止前述通信威胁（伪造、 内容修改、 顺序修改、 时间修改）的重要技术。 报文鉴别是使预定的消息接收者能够检验收到的消息是否真实的方法和技术。,报文鉴别概念,5,报文鉴别类型： (1) 报文源的鉴别

2、(2) 报文宿的鉴别 (3) 报文的时间性鉴别：初始向量法、时间参数法、 随机数法 (4) 报文内容的鉴别： 报文鉴别码MAC、 报文摘要MD 数据加密,6,报文内容鉴别方法： 消息认证码MAC：用一个密钥控制的函数作用后产生的固定长度的数值作为认证符。 报文摘要（散列函数）：一个将任意长度的消息映射为定长的散列值，以散列值作为认证符 报文加密：将明文加密后以密文作为认证符。,7,报文鉴别码MAC 报文鉴别码MAC是在一个密钥的控制下将任意长的消息映射到一个简短的定长数据分组，并将它附加在消息后。设M是变长的消息，K是仅由收发双方共享的密钥，则M的MAC由如下的函数C生成。 发送者每次将MAC

3、附加到消息中，接收者通过重新计算MAC来对消息进行认证。,二、报文鉴别码MAC,8,9,接收方对MAC码的验证过程,10,MAC鉴别 如果收到的MAC与计算得出的MAC相同，则接收者可以认为： 首先、消息未被更改过。因为任意更改消息而没有更改MAC的行为都将导致收到的MAC与用户更改过的消息计算出的MAC不相同，而且由于使用的密钥只有收发双方知道，其它方无法更改MAC与更改后的消息对应。 第二、消息来自与他共享密钥的发送者。由于使用的密钥只有收发双方知道，其它方无法产生对应的MAC 。,11,报文摘要是报文鉴别码的一个变种，常用单向散列函数生成。用报文摘要进行报文鉴别的原理与报文鉴别法相同。

4、二者区别在于报文摘要方法将报文单向映射与加密分离，分别采用更加成熟的技术，安全性更高，效率更高。 报文摘要MD算法：最广泛使用的是MD5 。,三、报文摘要,12,接收方对报文摘要的验证过程,注：此处可用对称密码算法也可用公钥密码算法,13,1、对称密码体制加密认证 设想发送者A用只有他与接收者B知道的密钥K加密信息发送给接收者。因为A是除B以外惟一拥有密钥K的一方，而敌手不知道如何改变密文来产生明文中所期望的变化，因此B知道解密得到的明文是否被改变（是否乱码）。这样对称加密就提供了消息认证功能。,四、报文加密函数,14,2、公钥密码体制加密认证 为了提供认证，发送者A用私钥对信息的明文进行加密

5、，任意接收者都可以用A的公钥解密。 同样，敌手不知道如何改变密文来产生明文中所期望的变化，因此B知道解密得到的明文是否被改变（是否乱码）。这样公钥密码体制就提供了消息认证功能。,15,实际应用过程中，考虑到数据加密的代价较高，所以不直接使用这一方法实现报文鉴别功能。 在实践中，使用最多的报文鉴别方法是报文摘要技术。,16,32 散列函数,17,目前最主要的报文鉴别方法是采用报文摘要。而报文摘要生成的关键散列函数。,18,散列函数是对不定长的输入产生定长输出的一种特殊函数。 散列函数是公开的。 散列值在信源处被附加在消息上，接收方通过重新计算散列值来判断消息是否被改变。 散列函数的目的是为文件、

6、消息或其他的分组数据产生指纹。,一、基本概念,19,1、广泛适用性：函数H适用于任何大小的数据分组。 2、码长固定性：函数H能用于任何大小的数据分组，能产生定长的输出。 3、易计算性：对于任何给定的x，H(x)要相对易于计算。 4、单向不可逆：对任何给定的散列码h，寻找x使得H(x)=h在计算上不可行（单向性）。 5、弱单向性：对任何给定的分组x，寻找不等于x的y，使得H(x)=H(y)在计算上不可行（弱抗冲突）。 6、强单向性：寻找任何的(x,y)，使得H(x)=H(y)在计算上不可行（强抗冲突） 。,二、散列函数性质,20,三、散列函数一般结构,压缩函数f,21,33 数字签名体制,22,

7、331 数字签名概述,23,报文鉴别可以保护双方之间的数据交换不被第三方侵犯；但它并不保证双方自身的相互欺骗。 假定A发送一个认证的信息给B，双方之间的争议可能有多种形式： 1、B伪造一个不同的消息，但声称是从A收到的。 2、A可以否认已发过的消息，B无法证明A确实发过消息。,一、数字签名解决的问题,24,1、收方能确认或证实发方的签字，但不能伪造； 2、发方发出签名后的消息，就不能否认所签消息； 3、收方对已收到的消息不能否认； 4、如果引入第三者，则第三者可以确认收发双方之间的消息传送，但不能伪造这一过程。,二、数字签名作用,25,数字签名体制是以电子形式进行签名的方法。所签名的消息能够在

8、通信网中传送，并且能够存储所签名的消息。,三、数字签名概念,26,第一、签名：手写签名是被签文件的物理组成部分，而数字签名不是被签消息的物理部分，因而需要将签名连接到被签消息上。 第二、验证：手写签名是通过将它与其它真实的签名进行比较来验证，而数字签名是利用已经公开的验证算法来验证。 第三、签名数字消息的复制品与其本身是一样的，而手写签名纸质文件的复制品与原品是不同的。,四、数字签名与传统的手写签名的区别,27,第一、依赖性：数字签名必须是依赖于要签名报文的比特模式（类似于笔迹签名与被签文件的不可分离性）。 第二、唯一性：数字签名必须对签名者来说是唯一。 第三、可验证：数字签名必须是在算法上可

9、验证的。 第四、抗伪造：伪造一个数字签名在计算上不可行。无论是通过以后的数字签名来构造新报文，还是对给定的报文构造一个虚假的数字签名，类似笔迹签名不可模仿性。 第五、可用性：数字签名的产生识别和证实必须相对简单， 并且其备份在存储上是可实现的。显然签名不能太长。,五、数字签名特征,28,1、直接数字签名 直接数字签名仅涉及通信双方。 常用方法：使用公钥密码算法进行数字签名。假定收方知道发方的公开密钥。数字签名通过使用发方的私有密钥对整个消息进行加密或使用发方的私有密钥对消息的散列码进行加密。接收方能够用该公钥解密即可验证该密文肯定是拥有者所发，无法抵赖。 直接数字签名体制有一个缺点，即方案的有

10、效性依赖于发方私有密钥的安全性。如果发方随后想否认发送过某个签名消息，发方可以声称签名的私钥丢失或被盗用，并伪造了他的签名；如果A的私有密钥真的被盗，盗用者便能够发送带有A的签名的消息，并附加上盗用前的任何时刻作为时间戳。,六、两类数字签名体制,29,2、需仲裁的数字签名 需要仲裁的数字签名体制一般流程如下：发方A对发给收方B的消息签名后将附有签名的消息发给仲裁者C，C对其验证后连同一个通过验证的证明发送给收方B。 在这个方案中A无法对自己发出的消息予以否认，但仲裁者必须是得到所有用户信任的负责任者。,30,332 RSA数字签名体制,31,用RSA实现数字签名时，将要签名的报文作为一个散列函

11、数的输入产生一个定长的安全散列码。 使用签名者的私有密钥对这个散列码进行加密就形成签名。 将签名附在报文后，发送。 验证者根据报文产生一个散列码，同时使用签名者的公开密钥对签名进行解密，如果计算得出的散列码与解密后的签名匹配，那么签名就是有效的。 因为只有签名者知道私有密钥，因此只有签名者才能产生有效的签名。,一、基本概念,32,注：此处只可用公钥密码算法。为什么？,33,1. 密钥的生成（同加密系统） 公钥Pk=e,n;私钥Sk=d,n。 2. 签名过程 (用d,n) 设明文为M(Mn)，H(M)为明文的报文摘要，则报文摘要密文为：S=H(M)d(mod n). 3. 验证过程 (用e,n)

12、 给定M，S，当且仅当，H(M)=Se（mod n）,则签名有效。,二、RSA签名方案,34,333 ELGamal签名方案,35,该方案1985年提出，是特别为签名的目的而设计的。 该方案的改进已被美国NIST（国家标准和技术研究所）采纳作为数字签名标准。 该方案的安全性依赖于求离散对数的困难性。,一、 ELGamal概述,36,公钥：p为一素数， gp（p,g可由一组用户共 享） ，y=gx (mod p) 2. 私钥：选择xp 3. 签名： 随机选取k ，与p-1互素； 计算：r=g k mod p s = ( H(M)- xr)k-1 mod (p-1) 则签名结果为(r,s)。 4.

13、 验证： 如果 yr rs (mod p ) = gH(M) (mod p)，则签名有效。,二、 ELGamal签名方案,37,334 数字签名标准DSS,38,DSS（Digital Signature Standard）签名标准是1991年8月由美国NIST （国家标准和技术研究所）公布，并于1994年12月1日采纳为美国联邦信息处理标准。 DSS为ELGamal和Schnorr签名方案的改进，其使用的算法记为DSA（Digital Signature Algorithm)。此算法由D. W. Kravitz设计。DSS使用了安全散列函数SHA，安全性是基于求离散对数的困难性。,一、DSS

14、简介,39,1. 全局公钥（p，q，g） p为5121024bit的大素数， q是（p1）的素因子，为160比特的素数， g：g=h(p-1)/q mod p, 且1h(p-1) 2. 用户私钥x：x为0xq内的随机数 3. 用户公钥y：y=gx mod p 4. 秘密随机数k：0kq;,二、DSA算法描述,40,签名过程： 对报文M，签名为（r，s） r = (gk mod p) mod q s = (k-1(H(M) + xr) ) mod q /x为私钥,41,签名验证(已知r,s,M) w s-1 mod q u1 = ( H(M)w ) mod q u2 = rw modq v =

15、( ( gu1 yu2) mod p) mod q /y为公钥 若 v = r，则签名有效。,42,34 身份鉴别技术,43,身份鉴别是指通信双方在实质性数据传输之前进行审查和证实对方身份的操作。身份鉴别包括身份验证和身份认证两个过程。 身份验证是指用户向系统出示身份证明的过程。 身份认证是指系统审查核实用户身份证明的过程。,一、身份鉴别概念,44,1）使用只有该主体了解的秘密，如口令、密钥； 2）使用主体携带的物品，如智能卡和令牌卡； 3）使用只有该主体具有的独一无二的特征或能力，如指纹、声音、视网膜图或签字等。 注意：单独用一种方法进行认证不充分。,二、身份鉴别方法,45,1、认证服务器：

16、负责进行使用者身份认证的工作，服务器上存放使用者的私有密钥、认证方式及其他使用者认证的信息。 2、认证系统用户端软件：认证系统用户端通常都是需要进行登陆(login)的设备或系统，在这些设备及系统中必须具备可以与认证服务器协同运作的认证协定。 3、认证设备：认证设备是使用者用来产生或计算认证输入信息（如密码、口令等）的软硬件设备。,三、身份鉴别系统架构,46,口令鉴别 IC卡认证 生物特征认证 动态口令认证 USB Key认证,四、主要的身份鉴别技术,47,1、基本概念 最简单、最普遍的身份识别技术，如：各类系统的登录等。 口令具有共享秘密的属性，是相互约定的代码，只有用户和系统知道。例如，用

17、户把他的用户名和口令送服务器，服务器鉴别该用户。 口令有时由用户选择，有时由系统分配。通常情况下，用户先输入某种标志信息，比如用户名和ID号，然后系统询问用户口令，若口令与用户文件中的相匹配，用户即可进入访问。,五、口令核对,48,2、口令核对技术优点 实现简单 方便使用,49,3、 口令核对技术缺点 （1）、大多数系统的口令是明文传送到验证服务器的，容易被截获。某些系统在建立一个加密链路后再进行口令的传输以解决此问题，如配置链路加密机。 （2）、口令维护的成本较高。为保证安全性，口令应当经常更换。另外为避免对口令的字典攻击，口令应当保证一定的长度，并且尽量采用随机的字符。但缺点是难于记忆。

18、（3）、口令容易在输入的时候被攻击者偷窥，而且用户无法及时发现。,50,简单和安全是互相矛盾的两个因素。,51,4、口令攻击的种类 网络数据流窃听 认证信息截取/重放 字典攻击 穷举尝试 窥探 社交工程 垃圾搜索,52,1、基本概念 IC卡是英文Integrated Cirtuit（集成电路）卡的缩写。 这种集成电路卡是一种将具有加密、存储、处理能力的集成电路芯片嵌装于塑料基片上而制成的卡片，它的外型与普通的信用卡十分相似，具体尺寸为：长：85.6 mm 、 宽：54mm 、 厚： 0.8mm,六、IC卡认证,53,2、IC卡优点 1）存储容量大、体积小而轻； 2）数据可靠性高（IC卡防磁、防

19、静电、防潮、耐温、抗干扰能力强，一张IC卡片可重复读写十万次，卡中数据可保存几十年）； 3）IC卡读写操作通过电信号传输来完成，因而对计算机的实时性、敏感性要求降低、网络要求低。 4）内部数据保密性、可靠性好，读写稳定，易于安装维护。,54,1）使用了只有该主体了解的秘密，即密码； 2）使用了主体携带的物品，即IC卡； 二者俱备方可通过认证。,IC卡认证的安全性,55,1、基本概念 目前已有的设备包括：视网膜扫描仪、声音验证设备、手型识别器等。安全性高。 例如：系统中存储了某人的指纹，当他接入网络时，就必须在连接到网络的电子指纹机上提供他的指纹，只有指纹相符才允许他访问系统。更普通的是通过视网

20、膜膜血管分布图来识别，原理与指纹识别相同，声波纹识别也是商业系统采用的一种识别方式。,七、生物特征认证,56,2、生物特征认证优点 绝对无法仿冒 3、生物特征认证缺点 较昂贵 不够稳定(辩识失败率高),57,八、动态口令,原理：每次用户登录系统时口令互不相同。,58,九、USB KEY 认证,USB Key是一种USB接口的硬件设备。它内置单片机或智能卡芯片，有一定的存储空间，可以存储用户的私钥以及数字证书，利用USB Key内置的公钥算法实现对用户身份的认证。由于用户私钥保存在密码锁中，理论上使用任何方式都无法读取，因此保证了用户认证的安全性。,59,35 公钥基础设施PKI,60,理论上必

21、须解决两个问题：,如何确定一个用户的公钥确实属于这个用户，并保证用户和他的公钥之间的联系真实有效？ 如何保证用户的私钥在被破坏、丢失时或者在有关机构需要取得证据时能够解密数据，提供具有法律效力的证据？,如何发挥公钥密码算法的作用？,61,网络环境中各种应用系统之间进行数据通信，如何实现数据的保密性？如何实现报文完整性鉴别？如何实现数字签名？这些问题需要专门的程序来解决。如果将这些问题纳入各种应用系统的开发范畴，无疑会增加系统的难度，而且其安全性缺乏认证。,从应用的角度来看存在如下问题：,62,公钥基础设施PKI为这些问题的解决提供了坚实的基础。,63,一、 PKI的基本概念,1、PKI定义 P

22、KI全称是公钥基础设施，是一个用公钥密码算法原理和技术来实现并提供安全服务的具有通用性的安全基础设施。能够为所有网络应用提供采用加密和数字签名等密码服务所需要的密钥和证书管理。,64,2、PKI作用 满足电子政务、电子商务对信息传输的安全需求。 在收发双方建立信任关系，提供身份认证、数字签名、加密等安全服务。,65,3、PKI的特点 节省费用； 开放性； 一致的解决方案； 可验证性； 可选择性。,66,4、PKI中常用的密码技术 1）数字信封：信息的加密采用对称密码算法，其会话密钥的分发采用公钥密码算法，即采用收方的公钥对会话密钥进行加密，然后传送。 2）数字签名：数字签名在PKI中提供数据完

23、整性保护和提供不可否认性服务。 3）报文摘要：可以实现数据完整性服务。 4）双向签名：发送者寄出两个相关信息给接收者，对这两组相关信息，接收者只能解读其中一组，另一组只能转送给第三方接收者，不能打开看其内容。这时发送者就需分别加密两组密文，做两组数字签名，故称双向签名。应用场合：电子商务购物、付款。,67,1、 CA定义 认证机构CA是PKI核心实体，为各个实体颁发数字证书，对实体身份信息和相应公钥数据进行数字签名，用以捆绑该实体的公钥和身份，以证明各实体在网上身份的真实性；并负责在交易中检验和管理证书。,二、认证机构CA,68,2、CA系统功能 证书申请 证书审批 证书颁发 证书撤消 证书更

24、新 证书废止列表管理 证书的归档 CA的管理 CA自身密钥管理,69,3、认证中心CA组成 1) 注册服务器：通过Web Server建立的站点，可为客户提供每日24小时的服务。因此客户可在自己方便的时候在网上提出证书申请和填写相应的证书申请表，免去了排队等候等烦恼。 2）证书申请受理和审核机构：负责证书的申请和审核。它的主要功能是接受客户证书申请并进行审核。 3）认证中心服务器：是数字证书生成、发放的运行实体，同时提供发放证书的管理、证书废止列表（CRL）的生成和处理等服务。,70,4、认证中心服务器的基本组成 1、数字证书库：证书的集中存放地，提供公众查询，常用目录服务器提供服务，采用LD

25、AP目录访问协议。 2、密钥备份及恢复系统 3、证书作废处理系统：证书由于某种原因需要作废，终止使用，这将通过证书作废列表（CRL）来完成。 4、应用接口系统：是为各种各样的应用系统提供安全、一致、可信任的方式与认证中心交互，确保所建立起来的网络环境安全可信，并降低管理成本。,71,1、数字证书定义 数字证书是网络通讯中标志通讯各方身份信息的一系列数据，提供了一种在Internet上验证身份的方式，其作用类似于司机的驾驶执照或日常生活中的身份证。由权威机构CA机构发行的，人们可以在交往中用它来识别对方的身份。,三、数字证书,72,数字证书,数字证书是保证公钥和特定实体之间的联系的电子信任状。

26、通过将实体的名称、实体的公钥和其他一些个性化的识别信息放到一个小的电子文件中贮存在一个目录或其他数据库中建立数字证书。 用户可以象查电话簿一样查找别人的公钥。 认证中心签发数字证书，保证证书中的公钥确实属于持有该证书的人。,73,2、证书结构 最简单的证书包含一个主体身份信息、公开密钥、认证机构名称以及证书授权中心的数字签名。证书的结构如下图所示：,74,3、数字证书认证机理 我们以甲乙双方的认证为例： 甲首先要验证乙的证书的真伪。当乙在网上将证书传送给甲时，甲首先要用CA的公钥解开证书上CA的数字签名，如果签名通过验证，则证明乙持有的证书是真的； 接着甲还要验证乙身份的真伪。乙可以将自己的特

27、征信息用自己的私钥进行加密形成数字签名传送给甲，甲已经从乙的证书中查得了乙的公钥，甲就可以用乙的公钥来验证乙的数字签名。如果该签名通过验证，乙在网上的身份就确凿无疑。 以后甲就可以在与乙的通信中使用自己的密钥实现数据加密或报文鉴 别等功能了。,75,4、数字证书的作用 安全地发送电子邮件 访问安全站点 网上招投标 网上签约 网上订购 安全网上公文传送 网上办公 网上缴费 .,76,36 X.509认证协议,77,X.509最初是1988年发布，此后针对安全问题作了改进。1995年发布V3版本，它在原有版本基础上进行功能的扩充。 X.509是重要的标准，它定义的证书结构、身份验证协议已经用于S/

28、MIME、IPSEC、SSL/TLS、SET协议等。,一、简介,78,1、OSI参考模型安全体系结构定义 2、认证框架定义：认证过程描述。 3、目录模型定义：X.509通用证书格式，所有的证书都符合X.509标准。,二、X.509内容,79,假设通信双方都知道对方的公钥，或者双方都从目录服务器获得对方的公钥证书。X.509定义了三种认证过程。,三、X.509认证过程,80,1、单向身份认证 AB：IDA|ESA(TA|RA|IDB|EPB(KAB) 说明： IDA、IDB：A和B的身份标识。 ESA：用A的私钥加密 EPB：用B的公钥加密 TA：A产生消息的时戳，包括产生时间、截止时间 RA：

29、A产生的不会重复的随机数，防止重放、伪造；B在收到的消息截止时间内要一直保存RA。 KAB：双方欲建立的会话密钥 B可验证：A的数字签名；消息完整性；接收者是否为B；时戳是否是当前时间；RA有无重复,81,2、双向身份认证 AB：IDA|ESA(TA|RA|IDB|EPB(KAB) BA：ESB(TB|RB|RA|IDA|EPA(KBA),82,3、三向身份认证 在双向认证基础上，A再向B做出应答，即构成三向身份认证。 AB：IDA|ESA(TA|RA|IDB|EPB(KAB) BA：ESB(TB|RB|RA|IDA|EPA(KBA) AB：ESA(RB|IDB) 三向身份认证的目的是将收到的

30、对方发来的一次性随机数又返回给对方，因此双方不需要检查时戳只要检查对方的一次性随机数即可判断出重放攻击。在通信双方无法建立时钟同步时，就要用此方法。,83,证书版本号 证书序列号 签名算法标识 签发此证书的CA名称 证书有效期、用户主体名称 用户公钥信息（算法标识、用户主体标识） 可选唯一标识 主体证书拥有者唯一标识,四、X.509证书的内容,84,证书扩展部分 签发者CA的公钥标识 用户主体的公钥标识 CRL分布 证书中的公钥用途 用户的私钥有效期（起始日期、终止日期） CA承认的证书政策列表 策略映射 用户的代用名 CA的代用名 基本制约 用户主体目录属性 CA签名算法标识 CA签名,85,本章小结,