第七讲认证 2)数字证书 这是一种检验用户身份的电子文件,也是企业 现在可以使用的一种工具。这种证书可以授权 购买,提供更强的访问控制,并具有很高的安 全性和可靠性。 非对称体制身份识别的关键是将用户身份与密 钥绑定。CA( Certificate Authority)通过为用户 发放数字证书( Certificate)来证明用户公钥与用 户身份的对应关系
6 2)数字证书 这是一种检验用户身份的电子文件,也是企业 现在可以使用的一种工具。这种证书可以授权 购买,提供更强的访问控制,并具有很高的安 全性和可靠性。 非对称体制身份识别的关键是将用户身份与密 钥绑定。CA(Certificate Authority)通过为用户 发放数字证书(Certificate)来证明用户公钥与用 户身份的对应关系。 第七讲 认证
第七讲认证 验证者向用户提供一随机数;用户以其私钥KS对随 机数进行签名,将签名和自己的证书提交给验证方; 验证者验证证书的有效性,从证书中获得用户公钥 KP,以KP验证用户签名的随机数 用户 验证方 产生R 计算 Kpri( Random ) Cert Kyi( Random 验证Cert计算 oub《Kpi( Random) 弹与 Random比较
7 验证者向用户提供一随机数;用户以其私钥KS对随 机数进行签名,将签名和自己的证书提交给验证方; 验证者验证证书的有效性,从证书中获得用户公钥 KP,以KP验证用户签名的随机数。 第七讲 认证
第七讲认证 3)智能卡 网络通过用户拥有什么东西来识别的方法,一般是用 智能卡或其它特殊形式的标志,这类标志可以从连接 到计算机上的读出器读出来。访问不但需要口令,也 需要使用物理智能卡。 智能卡技术将成为用户接入和用户身份认证等安全要 求的首选技术。用户将从持有认证执照的可信发行者 手里取得智能卡安全设备,也可从其他公共密钥密码 安全方案发行者那里获得。这样智能卡的读取器必将 成为用户接入和认证安全解决方案的一个关键部分
8 3)智能卡 网络通过用户拥有什么东西来识别的方法,一般是用 智能卡或其它特殊形式的标志,这类标志可以从连接 到计算机上的读出器读出来。访问不但需要口令,也 需要使用物理智能卡。 智能卡技术将成为用户接入和用户身份认证等安全要 求的首选技术。用户将从持有认证执照的可信发行者 手里取得智能卡安全设备,也可从其他公共密钥密码 安全方案发行者那里获得。这样智能卡的读取器必将 成为用户接入和认证安全解决方案的一个关键部分。 第七讲 认证
第七讲认证 4)主体特征认证 目前已有的设备包括:视网膜扫描仪、声音验 证设备、手型识别器等。安全性高。 例如:系统中存储了他的指纹,他接入网络时, 就必须在连接到网络的电子指纹机上提供他的 指纹(这就防止他以假的指纹或其它电子信息 欺骗系统),只有指纹相符才允许他访问系统。 更普通的是通过视网膜膜血管分布图来识别, 原理与指纹识别相同,声波纹识别也是商业系 统采用的一种识别方式
9 4)主体特征认证 目前已有的设备包括:视网膜扫描仪、声音验 证设备、手型识别器等。安全性高。 例如:系统中存储了他的指纹,他接入网络时, 就必须在连接到网络的电子指纹机上提供他的 指纹(这就防止他以假的指纹或其它电子信息 欺骗系统),只有指纹相符才允许他访问系统。 更普通的是通过视网膜膜血管分布图来识别, 原理与指纹识别相同,声波纹识别也是商业系 统采用的一种识别方式。 第七讲 认证
第七讲认证 用户名/口令具有实现简单的优点,但存在以下安全 缺点: 1、大多数系统的口令是明文传送到验证服务器的 容易被截获。某些系统在建立一个加密链路后再进行 口令的传输以解决此问题,如配置链路加密机。 2、口令维护的成本较高。为保证安全性,口令应当 经常更换。另外为避免对口令的字典攻击,口令应当 保证一定的长度,并且尽量采用随机的字符。但缺点 是难于记忆 3、口令容易在输入的时候被攻击者偷窥,而且用户 无法及时发现 简单和安全是互相矛盾的两个因素
10 用户名/口令具有实现简单的优点,但存在以下安全 缺点: 1、大多数系统的口令是明文传送到验证服务器的, 容易被截获。某些系统在建立一个加密链路后再进行 口令的传输以解决此问题,如配置链路加密机。 2、口令维护的成本较高。为保证安全性,口令应当 经常更换。另外为避免对口令的字典攻击,口令应当 保证一定的长度,并且尽量采用随机的字符。但缺点 是难于记忆。 3、口令容易在输入的时候被攻击者偷窥,而且用户 无法及时发现。 简单和安全是互相矛盾的两个因素。 第七讲 认证