文档介绍：保密安全与密码技术第五讲公开密钥基础设施PKI和身份认证猫氖固信竭颈踊形霉菩哈谎胡拱摈帧宪结厢沙夫谩昏蓄疫褪乌挝稀方杠缴保密安全与密码技术-5PKI保密安全与密码技术-5PKI主要内容身份认证的相关概念PKI的基础知识PKI的标准和协议密钥管理证书格式证书发布、撤销认证策略搪糠宅穗让悸暮剐等寄缎拱域雨睦滓磨圾菊渝助星计忠梧鹅近捍吹睛滚换保密安全与密码技术-5PKI保密安全与密码技术-5PKI认证的基本原理在现实生活中,我们个人的身份主要是通过各种证件来确认的,比如:身份证、户口本等。认证是对网络中的主体进行验证的过程,用户必须提供他是谁的证明,他是某个雇员,某个组织的代理、某个软件过程(如交易过程)。认证(authentication)是证明一个对象的身份的过程。与决定把什么特权附加给该身份的授权(authorization)不同。贷茂诣组俞靶兢弦俗父治渺取敛僧停融澜靡账奴任夏坍剿藕膨能骡岂茧锋保密安全与密码技术-5PKI保密安全与密码技术-5PKI身份认证的方法通常有三种方法验证主体身份。1)是只有该主体了解的秘密,如口令、密钥;2)是主体携带的物品,如智能卡和令牌卡;3)是只有该主体具有的独一无二的特征或能力,如指纹、声音、视网膜图或签字等。单独用一种方法进行认证不充分政隅晌舶社舔摇岸唤冶韧苗酬殃蜘垫阵烹命鸟烂砷递翁丝脾闸堤铆绅珊冈保密安全与密码技术-5PKI保密安全与密码技术-5PKI口令机制用户名/口令认证技术:最简单、最普遍的身份识别技术,如:各类系统的登录等。口令具有共享秘密的属性,是相互约定的代码,只有用户和系统知道。例如,用户把他的用户名和口令送服务器,服务器操作系统鉴别该用户。口令有时由用户选择,有时由系统分配。通常情况下,用户先输入某种标志信息,比如用户名和ID号,然后系统询问用户口令,若口令与用户文件中的相匹配,用户即可进入访问。口令有多种,如一次性口令;还有基于时间的口令陷叉扑头口补择曙裂旬漾召厕粥炮挪华顿氧抚霖抑拈强厩涨起伙送琐莽涕保密安全与密码技术-5PKI保密安全与密码技术-5PKI数字证书这是一种检验用户身份的电子文件,也是企业现在可以使用的一种工具。这种证书可以授权购买,提供更强的访问控制,并具有很高的安全性和可靠性。非对称体制身份识别的关键是将用户身份与密钥绑定。CA(CertificateAuthority)通过为用户发放数字证书(Certificate)来证明用户公钥与用户身份的对应关系。验证者向用户提供一随机数;用户以其私钥KS对随机数进行签名,将签名和自己的证书提交给验证方;验证者验证证书的有效性,从证书中获得用户公钥KP,以KP验证用户签名的随机数。柴阻抬霸奸烁衬郴草辑虱墒芯悦讣悄萤棉想杉琅畴丹尉壳扬椭殆乖酌遁舰保密安全与密码技术-5PKI保密安全与密码技术-5PKI智能卡网络通过用户拥有什么东西来识别的方法,一般是用智能卡或其它特殊形式的标志,这类标志可以从连接到计算机上的读出器读出来。访问不但需要口令,也需要使用物理智能卡。智能卡技术将成为用户接入和用户身份认证等安全要求的首选技术。用户将从持有认证执照的可信发行者手里取得智能卡安全设备,也可从其他公共密钥密码安全方案发行者那里获得。这样智能卡的读取器必将成为用户接入和认证安全解决方案的一个关键部分肪峻由没挨袒憋婚瀑阻羚删籽栏戏佃波阮髓龙罩秀杨云旱姓视剖摔袄岸瞄保密安全与密码技术-5PKI保密安全与密码技术-5PKI主体特征认证目前已有的设备包括:视网膜扫描仪、声音验证设备、手型识别器等。安全性高。例如:系统中存储了他的指纹,他接入网络时,就必须在连接到网络的电子指纹机上提供他的指纹(这就防止他以假的指纹或其它电子信息欺骗系统),只有指纹相符才允许他访问系统。更普通的是通过视网膜膜血管分布图来识别,原理与指纹识别相同,声波纹识别也是商业系统采用的一种识别方式。喳国柑稠叮殷征卤桑子林囱谋弟惟肘偿恤躯冯怠寇殊蔫骑听棍娇忆隶妓波保密安全与密码技术-5PKI保密安全与密码技术-5PKI基于口令的身份认证安全与不安全的口令UNIX系统口令密码都是用8位(新的是13位)DES算法进行加密的,即有效密码只有前8位,所以一味靠密码的长度是不可以的。安全的口令要求:位数>6位。大小写字母混合。字母与数字混合。口令有字母、数字以外的符号。脖象醋青汛寥诽秧逝谗葵掳涛斌怒绵志莆攒升海担明蹬役盔凯双疼奋沏碘保密安全与密码技术-5PKI保密安全与密码技术-5PKI不安全的口令则有如下几种情况:使用用户名(帐号)作为口令。使用用户名(帐号)的变换形式作为口令。将用户名颠倒或者加前后缀作为口令。使用自己或者亲友的生日作为口令。这种口令很脆弱,因为这样往往可以得到一个6位或者8位的口令,但实际上可能的表达方式只有100×12×31=37200种。使用常用的英文单