物理安全与身份认证

1、1回回 顾顾l在第2讲，主要介绍了密码学的基础知识、密码与密码学的分类、古典替换密码、对称密钥密码、公开密钥密码、数据加密标准DES、高级加密标准规范AES ，另外还介绍了消息认证、散列函数与数字签名等。2提提 问问数据的机密性、完整性、不可否认性以及身份识别等。物理层、链路层、网络层、传输层、会话层、表示层、应用层。对称密钥密码是指加密过程和解密过程使用同一个密钥来完成，而后者使用两个不同的密钥来完成。对两个文档分别进行散列函数的求值。第第3章章 物理安全技术物理安全技术本章学习目标：本章学习目标：了解物理安全的定义、目的和内容了解物理安全的定义、目的和内容 掌握计算机房场地环境的安全要求掌

2、握计算机房场地环境的安全要求 掌握电源安全技术的实现方法掌握电源安全技术的实现方法 掌握电磁防护的常用方掌握电磁防护的常用方法法 了解容错与容灾的相关知识了解容错与容灾的相关知识43.1 3.1 物理安全技术概述物理安全技术概述 物理安全又叫实体安全（物理安全又叫实体安全（Physical Security），是保护），是保护计算机设备、设施（网络及通信线路）免遭地震、水灾、计算机设备、设施（网络及通信线路）免遭地震、水灾、火灾、有害气体和其他环境事故（如电磁污染等）破坏的火灾、有害气体和其他环境事故（如电磁污染等）破坏的措施和过程。措施和过程。 3.1.1 3.1.1 引言引言 物理物理安全

3、技术主要是指对计算机及网络系统的环境、安全技术主要是指对计算机及网络系统的环境、场地、设备和通信线路等采取的安全技术措施。场地、设备和通信线路等采取的安全技术措施。 物理安全技术实施的目的是保护计算机及通信线路免物理安全技术实施的目的是保护计算机及通信线路免遭水、火、有害气体和其他不利因素遭水、火、有害气体和其他不利因素( (人为失误、犯罪行人为失误、犯罪行为为 ) )的损坏。的损坏。 53.1 3.1 物理安全技术概述物理安全技术概述 影响计算机网络实体安全的主要因素如下：影响计算机网络实体安全的主要因素如下： 1 1）计算机及其网络系统自身存在的脆弱性因素。）计算机及其网络系统自身存在的脆

4、弱性因素。 2 2）各种自然灾害导致的安全问题。）各种自然灾害导致的安全问题。 3 3）由于人为的错误操作及各种计算机犯罪导致的）由于人为的错误操作及各种计算机犯罪导致的安全问题。安全问题。 3.1.2 3.1.2 影响物理安全的因素影响物理安全的因素 物理安全包括：环境安全、电源系统安全、设备物理安全包括：环境安全、电源系统安全、设备安全和通信线路安全。安全和通信线路安全。 63.1 3.1 物理安全技术概述物理安全技术概述 3.1.3 3.1.3 物理安全的内容物理安全的内容 1) 1)环境安全：应具备消防报警、安全照明、不间断供环境安全：应具备消防报警、安全照明、不间断供电、温湿度控制系

5、统和防盗报警。电、温湿度控制系统和防盗报警。 2)2)电源系统安全：电源安全主要包括电力能源供应、电源系统安全：电源安全主要包括电力能源供应、输电线路安全、保持电源的稳定性等。输电线路安全、保持电源的稳定性等。 3)3)设备安全：要保证硬件设备随时处于良好的工作状设备安全：要保证硬件设备随时处于良好的工作状态，建立健全使用管理规章制度，建立设备运行日志。同态，建立健全使用管理规章制度，建立设备运行日志。同时要注意保护存储媒体的安全性，包括存储媒体自身和数时要注意保护存储媒体的安全性，包括存储媒体自身和数据的安全。据的安全。 4)4)通信线路安全：包括防止电磁信息的泄漏、线路截通信线路安全：包括

6、防止电磁信息的泄漏、线路截获，以及抗电磁干扰。获，以及抗电磁干扰。 7 物理安全包括以下主要内容物理安全包括以下主要内容: 1 1）计算机机房的场地、环境及各种因素对计算机设）计算机机房的场地、环境及各种因素对计算机设备的影响。备的影响。 2 2）计算机机房的安全技术要求。）计算机机房的安全技术要求。 3 3）计算机的实体访问控制。）计算机的实体访问控制。 4 4）计算机设备及场地的防火与防水。）计算机设备及场地的防火与防水。 5 5）计算机系统的静电防护。）计算机系统的静电防护。 6 6）计算机设备及软件、数据的防盗防破坏措施。）计算机设备及软件、数据的防盗防破坏措施。 7 7）计算机中重要

7、信息的磁介质的处理、存储和处理）计算机中重要信息的磁介质的处理、存储和处理手续的有关问题。手续的有关问题。 3.1 3.1 物理安全技术概述物理安全技术概述 3.1.3 3.1.3 物理安全的内容物理安全的内容( (续续) ) 83.1 3.1 物理安全技术概述物理安全技术概述 3.1.4 3.1.4 物理安全涉及的主要技术标准物理安全涉及的主要技术标准 （1 1）GB/T 2887-2000GB/T 2887-2000 电子计算机场地通用规范电子计算机场地通用规范 （2 2）GB/T 9361-1988GB/T 9361-1988 计算站场地安全要求计算站场地安全要求 （3 3）GB/T 1

8、4715-1993GB/T 14715-1993 信息技术设备用信息技术设备用UPSUPS通用技术条件通用技术条件 （4 4）GB 50174-GB 50174-19199393 电子计算机机房设计规范电子计算机机房设计规范 计算机机房建设至少应遵循国标计算机机房建设至少应遵循国标GB/T 2887-2000GB/T 2887-2000和和GB/T GB/T 9361-19889361-1988，满足防火、防磁、防水、防盗、防电击、防虫害，满足防火、防磁、防水、防盗、防电击、防虫害等要求，并配备相应的设备。等要求，并配备相应的设备。 93.2 3.2 环境安全技术环境安全技术 安全保卫技术安全

9、保卫技术是环境安全技术的重要一环，主要的安全技是环境安全技术的重要一环，主要的安全技术措施包括：防盗报警、实时监控、安全门禁等。术措施包括：防盗报警、实时监控、安全门禁等。 计算机机房的温度、湿度计算机机房的温度、湿度等环境条件保持技术可以通过加等环境条件保持技术可以通过加装通风设备、排烟设备、专业空调设备来实现。装通风设备、排烟设备、专业空调设备来实现。 计算机机房的用电安全技术计算机机房的用电安全技术主要包括不同用途电源分离技主要包括不同用途电源分离技术、电源和设备有效接地技术、电源过载保护技术和防雷击技术、电源和设备有效接地技术、电源过载保护技术和防雷击技术等。术等。 计算机机房安全管理

10、技术计算机机房安全管理技术是指制定严格的计算机机房工作是指制定严格的计算机机房工作管理制度，并要求所有进入机房的人员严格遵守管理制度，将管理制度，并要求所有进入机房的人员严格遵守管理制度，将制度落到实处。制度落到实处。 10表表3-1 3-1 计算机机房安全要求计算机机房安全要求( (十：要求，十：要求，：有要求或增加要求：有要求或增加要求) )3.2 3.2 环境安全技术环境安全技术 安全类别A类机房B类机房C类机房场地选择- - - 防火- - - -内部装修+ +- - 供配电系统+ +- - -空调系统+ +- - -火灾报警和消防设施+ +- - -防水+ +- - 防静电+ +-

11、- 防雷击+ +- - 防鼠害+ +- - 防电磁泄漏- - - 场地选择- - - 113.2 3.2 环境安全技术环境安全技术 3.2.1 3.2.1 机房安全要求机房安全要求 如何减少无关人员进入机房的机会是计算机机房设计如何减少无关人员进入机房的机会是计算机机房设计时首先要考虑的问题。时首先要考虑的问题。 计算机机房最好不要安排在底层或顶层，这是因为底计算机机房最好不要安排在底层或顶层，这是因为底层一般较潮湿，而顶层有漏雨、穿窗而入的危险。在较大层一般较潮湿，而顶层有漏雨、穿窗而入的危险。在较大的楼层内，计算机机房应靠近楼梯的一边。的楼层内，计算机机房应靠近楼梯的一边。 外来人员进入办

12、理相关手续。外来人员进入办理相关手续。 计算机机房所在建筑物的结构安全计算机机房所在建筑物的结构安全。 123.2 3.2 环境安全技术环境安全技术 3.2.2 3.2.2 机房防盗要求机房防盗要求 视频监视系统是一种更为可靠的防盗设备视频监视系统是一种更为可靠的防盗设备，能对计算机网能对计算机网络系统的外围环境、操作环境进行实时全程监控。对重要络系统的外围环境、操作环境进行实时全程监控。对重要的机房，还应采取特别的防盗措施，如值班守卫、出入口的机房，还应采取特别的防盗措施，如值班守卫、出入口安装金属探测装置等。安装金属探测装置等。 在需要保护的重要设备、存储媒体和硬件上贴上特殊标签在需要保护

13、的重要设备、存储媒体和硬件上贴上特殊标签（如磁性标签），当有人非法携带这些重要设备或物品外（如磁性标签），当有人非法携带这些重要设备或物品外出时，检测器就会发出报警信号。出时，检测器就会发出报警信号。 将每台重要的设备通过光纤电缆串接起来，并使光束沿光将每台重要的设备通过光纤电缆串接起来，并使光束沿光纤传输，如果光束传输受阻，则自动报警。纤传输，如果光束传输受阻，则自动报警。 133.2 3.2 环境安全技术环境安全技术 3.2.3 3.2.3 机房三度要求机房三度要求 温度、湿度和洁净度并称为三度，为保证计算机网络系温度、湿度和洁净度并称为三度，为保证计算机网络系统的正常运行，对机房内的三度

14、都有明确的要求。为使机房统的正常运行，对机房内的三度都有明确的要求。为使机房内的三度达到规定的要求，空调系统、去湿机、除尘器是必内的三度达到规定的要求，空调系统、去湿机、除尘器是必不可少的设备。重要的计算机系统安放处还应配备专用的空不可少的设备。重要的计算机系统安放处还应配备专用的空调系统，它比公用的空调系统在加湿、除尘等方面有更高的调系统，它比公用的空调系统在加湿、除尘等方面有更高的要求。要求。 温度：温度：机房温度一般应控制在机房温度一般应控制在18182828 湿度：湿度：相对湿度一般控制在相对湿度一般控制在40406565为宜为宜 洁净度：洁净度：尘埃颗粒直径尘埃颗粒直径 0.5m0.

15、5m，含尘量，含尘量 35003500颗颗/ /升升143.2 3.2 环境安全技术环境安全技术 3.2.4 3.2.4 防火与防水要求防火与防水要求 计算机机房的火灾一般是由电气原因、人为事故或外部计算机机房的火灾一般是由电气原因、人为事故或外部火灾蔓延引起的。火灾蔓延引起的。 计算机机房的水灾一般是由机房内有渗水、漏水等原因计算机机房的水灾一般是由机房内有渗水、漏水等原因引起的。引起的。 为避免火灾、水灾，应采取如下具体措施为避免火灾、水灾，应采取如下具体措施: : （1 1）隔离）隔离 （2 2）火灾报警系统）火灾报警系统 （3 3）灭火设施）灭火设施 (4(4）管理措施）管理措施 15

16、3.3 3.3 电源系统安全技术电源系统安全技术 3.3.1 3.3.1 供电系统安全供电系统安全 电源是计算机网络系统的命脉，电源系统的稳定可靠电源是计算机网络系统的命脉，电源系统的稳定可靠是计算机网络系统正常运行的先决条件。电源系统电压的是计算机网络系统正常运行的先决条件。电源系统电压的波动、浪涌电流和突然断电等意外情况的发生还可能引起波动、浪涌电流和突然断电等意外情况的发生还可能引起计算机系统存储信息的丢失、存储设备的损坏等情况的发计算机系统存储信息的丢失、存储设备的损坏等情况的发生，电源系统的安全是计算机系统物理安全的一个重要组生，电源系统的安全是计算机系统物理安全的一个重要组成部分。

17、成部分。 GB/T 2887-2000 GB/T 2887-2000将供电方式分为三类将供电方式分为三类: : 一类供电：需要建立不间断供电系统。一类供电：需要建立不间断供电系统。 二类供电：需要建立带备用的供电系统。二类供电：需要建立带备用的供电系统。 三类供电：按一般用户供电考虑。三类供电：按一般用户供电考虑。 163.3 3.3 电源系统安全技术电源系统安全技术 3.3.2 3.3.2 防静电措施防静电措施 不同物体间的相互摩擦、接触会产生能量不大但电压不同物体间的相互摩擦、接触会产生能量不大但电压非常高的静电。如果静电不能及时释放，就可能产生火花，非常高的静电。如果静电不能及时释放，就

18、可能产生火花，容易造成火灾或损坏芯片等意外事故。计算机系统的容易造成火灾或损坏芯片等意外事故。计算机系统的CPUCPU、ROMROM、RAMRAM等关键部件大都采用等关键部件大都采用MOSMOS工艺的大规模集成电路，工艺的大规模集成电路，对静电极为敏感，容易因静电而损坏。对静电极为敏感，容易因静电而损坏。 机房的内装修材料一般应避免使用挂毯、地毯等吸尘、机房的内装修材料一般应避免使用挂毯、地毯等吸尘、容易产生静电的材料，而应采用乙烯材料。为了防静电，容易产生静电的材料，而应采用乙烯材料。为了防静电，机房一般要安装防静电地板机房一般要安装防静电地板。 机房内应保持一定湿度，特别是在干燥季节应适当

19、增机房内应保持一定湿度，特别是在干燥季节应适当增加空气湿度，以免因干燥而产生静电。加空气湿度，以免因干燥而产生静电。 173.3 3.3 电源系统安全技术电源系统安全技术 3.3.3 3.3.3 接地与防雷要求接地与防雷要求 接地与防雷是保护计算机网络系统和工作场所安全的接地与防雷是保护计算机网络系统和工作场所安全的重要安全措施。接地是指整个计算机系统中各处电位均以重要安全措施。接地是指整个计算机系统中各处电位均以大地电位为零参考电位。接地可以为计算机系统的数字电大地电位为零参考电位。接地可以为计算机系统的数字电路提供一个稳定的路提供一个稳定的0V0V参考电位，从而可以保证设备和人身参考电位，

20、从而可以保证设备和人身的安全，同时也是防止电磁信息泄漏的有效手段。的安全，同时也是防止电磁信息泄漏的有效手段。 要求良好接地的设备有：各种计算机外围设备、多相要求良好接地的设备有：各种计算机外围设备、多相位变压器的中性线、电缆外套管、电子报警系统、隔离变位变压器的中性线、电缆外套管、电子报警系统、隔离变压器、电源和信号滤波器、通信设备等。压器、电源和信号滤波器、通信设备等。 计算机房的接地系统计算机房的接地系统要按要按计算机系统本身和场地的各计算机系统本身和场地的各种地线系统的设计种地线系统的设计要求进行要求进行具体实施。具体实施。 183.4 3.4 电磁防护与设备安全技术电磁防护与设备安全

21、技术 3.4.1 3.4.1 硬件设备的维护和管理硬件设备的维护和管理 1 1硬件设备的使用管理硬件设备的使用管理 1 1）要根据硬件设备的具体配置情况，制定切实可行的）要根据硬件设备的具体配置情况，制定切实可行的硬件设备的操作使用规程，并严格按操作规程进行操作。硬件设备的操作使用规程，并严格按操作规程进行操作。 2 2）建立设备使用情况日志，并严格登记使用过程的情）建立设备使用情况日志，并严格登记使用过程的情况。况。 3 3）建立硬件设备故障情况登记表，详细记录故障性质）建立硬件设备故障情况登记表，详细记录故障性质和修复情况。和修复情况。 4 4）坚持对设备进行例行维护和保养，并指定专人负责

22、。）坚持对设备进行例行维护和保养，并指定专人负责。 2 2常用硬件设备的维护和保养常用硬件设备的维护和保养 定期检查供电系统的各种保护装置及地线是否正常。定期检查供电系统的各种保护装置及地线是否正常。 对设备的物理访问权限限制在最小范围内。对设备的物理访问权限限制在最小范围内。193.4 3.4 电磁防护与设备安全技术电磁防护与设备安全技术 3.4.2 3.4.2 电磁兼容和电磁辐射的防护电磁兼容和电磁辐射的防护 计算机网络系统的各种设备都属于电子设备，在工作计算机网络系统的各种设备都属于电子设备，在工作时都不可避免地会向外辐射电磁波，同时也会受到其他电时都不可避免地会向外辐射电磁波，同时也会

23、受到其他电子设备的电磁波干扰，当电磁干扰达到一定的程度就会影子设备的电磁波干扰，当电磁干扰达到一定的程度就会影响设备的正常工作。这就是电磁辐射泄密的危险响设备的正常工作。这就是电磁辐射泄密的危险。 电磁辐射防护的措施电磁辐射防护的措施： (1)(1)一类是对传导发射的防护一类是对传导发射的防护，主要采取对电源线和信号线加装，主要采取对电源线和信号线加装性能良好的滤波器，减小传输阻抗和导线间的交叉耦合；性能良好的滤波器，减小传输阻抗和导线间的交叉耦合； (2)(2)对辐射的防护对辐射的防护可分为可分为：1)1)采用各种电磁屏蔽措施采用各种电磁屏蔽措施，如对设备，如对设备的金属屏蔽和各种接插件的屏

24、蔽，同时对机房的下水管、暖气管和金的金属屏蔽和各种接插件的屏蔽，同时对机房的下水管、暖气管和金属门窗进行屏蔽和隔离；属门窗进行屏蔽和隔离；2)2)干扰的防护措施干扰的防护措施，即在计算机系统工作的，即在计算机系统工作的同时，利用干扰装置产生一种与计算机系统辐射相关的伪噪声向空间同时，利用干扰装置产生一种与计算机系统辐射相关的伪噪声向空间辐射来掩盖计算机系统的工作频率和信息特征。辐射来掩盖计算机系统的工作频率和信息特征。 203.4 3.4 电磁防护与设备安全技术电磁防护与设备安全技术 3.4.3 3.4.3 信息存储媒体的安全管理信息存储媒体的安全管理 计算机网络系统的信息要存储在某种媒体上，

25、常用的计算机网络系统的信息要存储在某种媒体上，常用的存储媒体有：硬盘、磁盘、磁带、打印纸、光盘等。存储媒体有：硬盘、磁盘、磁带、打印纸、光盘等。 1 1）存放有业务数据或程序的磁盘、磁带或光盘，必须注意防磁、防潮、防）存放有业务数据或程序的磁盘、磁带或光盘，必须注意防磁、防潮、防火、防盗。火、防盗。 2 2）对硬盘上的数据，要建立有效的级别、权限，并严格管理，必要时要对）对硬盘上的数据，要建立有效的级别、权限，并严格管理，必要时要对数据进行加密，以确保硬盘数据的安全。数据进行加密，以确保硬盘数据的安全。 3 3）存放业务数据或程序的磁盘、磁带或光盘，管理必须落实到人，并分类）存放业务数据或程序

26、的磁盘、磁带或光盘，管理必须落实到人，并分类建立登记簿。建立登记簿。 4 4） 5 5）打印有业务数据或程序的打印纸，要视同档案进行管理，）打印有业务数据或程序的打印纸，要视同档案进行管理， 6 6）凡超过数据保存期的磁盘、磁带、光盘，必须经过特殊的数据清除处理）凡超过数据保存期的磁盘、磁带、光盘，必须经过特殊的数据清除处理，视同空白磁盘、磁带、光盘。，视同空白磁盘、磁带、光盘。 7 7）凡不能正常记录数据的磁盘、磁带、光盘，必须经过测试确认后销毁。）凡不能正常记录数据的磁盘、磁带、光盘，必须经过测试确认后销毁。 8 8）对需要长期保存的有效数据，应在磁盘、磁带、光盘的质量保证期内进）对需要长

27、期保存的有效数据，应在磁盘、磁带、光盘的质量保证期内进行转储，转储时应确保内容正确。行转储，转储时应确保内容正确。 213.5 3.5 容错与容灾容错与容灾 为了保证系统的可靠性，人们总结出了三条途径：避为了保证系统的可靠性，人们总结出了三条途径：避错、纠错、容错。容错是第三条途径，其基本思想是即使错、纠错、容错。容错是第三条途径，其基本思想是即使出现了错误，系统也可以执行一组规定的程序，让系统具出现了错误，系统也可以执行一组规定的程序，让系统具有抵抗错误带来的能力。有抵抗错误带来的能力。 容错系统可以分为五种类型：容错系统可以分为五种类型： 高可用度系统、长寿命系统、延迟维修系统、高性能高可

28、用度系统、长寿命系统、延迟维修系统、高性能系统、关键任务系统。系统、关键任务系统。 常用的数据容错技术主要有以下四种：常用的数据容错技术主要有以下四种：空闲设备：就是备份两套相同的部件。空闲设备：就是备份两套相同的部件。镜像：把一份工作交给两个相同的部件同时执行。镜像：把一份工作交给两个相同的部件同时执行。复现：延迟镜像。复现：延迟镜像。负载均衡：将一个任务分解成多个子任务分配给不同的服负载均衡：将一个任务分解成多个子任务分配给不同的服务器执行。务器执行。 3.5.1 3.5.1 容错容错 223.5 3.5 容错与容灾容错与容灾 容灾的真正含义是对偶然事故的预防和恢复。容灾的真正含义是对偶然

29、事故的预防和恢复。 对付灾难的解决方案有两类：一是对服务的维护和恢对付灾难的解决方案有两类：一是对服务的维护和恢复，二是保护或恢复丢失的、被破坏的或被删除的信息。复，二是保护或恢复丢失的、被破坏的或被删除的信息。 采用灾难恢复的策略主要包括以下的内容：采用灾难恢复的策略主要包括以下的内容： （1 1）做最坏的打算。）做最坏的打算。 （2 2）充分利用现有的资源。）充分利用现有的资源。 （3 3）既重视灾后恢复也注意灾前措施。）既重视灾后恢复也注意灾前措施。 3.5.2 3.5.2 容灾容灾 23232424 又称作识别(Identification)、实体认证(Entity Authentic

30、ation)、身份证实(Identity Verification)等。它在于：身份认证一般都是实时的，而消息认证本身不提供时间性；另一方面，身份认证通常证实身份本身，而消息认证除了认证消息的合法性和完整性外，还要知道消息的含义。 2525 1 1）身份证明系统组成）身份证明系统组成一方是出示证件的人，称作示证者P（Prover），提出某种要求；另一方为验证者V（Verifier），检验示证者提出的证件的正确性和合法性，决定是否满足其要求； 第三方是攻击者，可以窃听和伪装示证者，骗取验证者的信任。认证系统在必要时也会有第四方，即可信赖者参与调解纠纷。 此类技术为身份证明技术。 2626（1）验

31、证者正确识别合法示证者的概率极大化。（2）不具可传递性，验证者B不可能重用示证者A提供给他的信息来伪装示证者A，而成功地骗取其他人的验证，从而得到信任。（3）攻击者伪装示证者欺骗验证者成功的概率要小到可以忽略的程度，特别是要能抗击已知密文攻击，即能抗攻击者在截获到示证者和验证者多次（多次式表示）通信下伪装示证者欺骗验证者。2 2）对身份证明系统的要求）对身份证明系统的要求2727（4）计算有效性，为实现身份证明所需的计算量要小。（5）通信有效性，为实现身份证明所需通信次数和数据量要小。（6）秘密参数能安全存储。（7）交互识别，有些应用中要求双方能互相进行身份认证。（8）第三方的实时参与，如在线

32、公钥检索服务。（9）第三方的可信赖性。（10）可证明安全性。 28283 3）身份证明分两大类）身份证明分两大类（1）身份证实 即只对个人身份进行肯定或否定。一般方法是输入个人信息，经运算所得的结果与从卡上或库中存的信息经公式和算法运算所得结果进行比较，得出结论。（2）身份识别 一般方法是输入个人信息，经处理提取成模板信息、试着在存储数据库中搜索找出一个与之匹配的模板，而后给出结论。29294 4）实现身份证明的基本途径）实现身份证明的基本途径 所有所有（Possesses Possesses ）所知所知（KnowledgeKnowledge）个人特征个人特征（characteristicsc

33、haracteristics）q 所知。个人所知道的或所掌握的知识，如密码、口令等。q 所有。个人所具有的东西，如身份证、护照、信用卡、钥匙等。q 个人特征。身份证明的基本途径：指纹、笔迹、声纹、手型、脸型、血型、视网膜、虹膜、DNA以及个人一些动作方面的特征等。 根据安全水平、系统通过率、用户可接受性、成本等因素，可以选择适当的组合设计实现一个自动化身份证明系统。3030 最简单、最普遍的身份识别技术，如：各类系统的登录等口令具有共享秘密的属性，口令有时由用户选择，有时由系统分配。通常情况下，用户先输入某种标志信息，比如用户名和ID号，然后系统询问用户口令，若口令与用户文件中的相匹配，用户即

34、可进入访问。口令有多种，如一次性口令；还有基于时间的口令。 3131这种方法的缺点是：1、安全性仅仅基于用户口令的保密性安全性仅仅基于用户口令的保密性，而用户口令一般较短且容易猜测，因此这种方案不能抵御口令猜测攻击。2、大多数系统的口令是明文传送口令是明文传送到验证服务器的，容易被截获。3、口令维护的成本较高口令维护的成本较高。为保证安全性口令应当经常更换。为避免对口令的字典攻击，口令应当保证一定的长度，并且尽量采用随机的字符。但缺点是难于记忆。4、口令容易在输入时被攻击者偷窥输入时被攻击者偷窥，且用户无法及时发现。3232 网络通过用户拥有什么东西来识别的方法，一般是用智能卡或其它特殊形式的

35、标志，这类标志可以从连接到计算机上的读取器读出来。访问不但需要口令，也需要使用物理智能卡。 智能卡技术将成为用户接入和用户身份认证等安全要求的首选技术。用户将从持有认证执照的可信发行者手里取得智能卡安全设备，也可从其他公共密钥密码安全方案发行者那里获得。这样智能卡的读取器必将成为用户接入和认证安全解决方案的一个关键部分。3333ICIC卡基本原理卡基本原理3434ICIC卡操作系统的典型模块结构卡操作系统的典型模块结构 IC卡接口设备卡接口设备 3535 IC卡认证是IC卡和应用终端之间通过相应的认证过程来相互确认合法性，目的在于防止伪造应用终端及相应的IC卡。 它一般有三种认证方式：内部认证

36、内部认证(Internal Authentication)： 应用终端验证IC卡的合法性； 外部认证外部认证(External Authentication)： IC卡验证应用终端的合法性；相互认证相互认证(Mutual Authentication)： IC卡和应用终端相互验证合法性。 36363737 目前已有的设备包括：视网膜扫描仪、声音验证设备、手型识别器等。安全性高。例如：系统中存储了他的指纹，他接入网络时，就必须在连接到网络的电子指纹机上提供他的指纹（这就防止他以假的指纹或其它电子信息欺骗系统），只有指纹相符才允许他访问系统。更普通的是通过视网膜膜血管分布图来识别，原理与指纹识别相

37、同，声波纹识别也是商业系统采用的一种识别方式。 3838 在安全性要求较高的系统，由护字符和持证等所提供的安全保障不够完善。护字符可能被泄露，证件可能丢失或被伪造。更高级的身份验证是根据被授权用户的个人特征来进行的确证，它是一种可信度高而又难以伪造的验证方法，这种方法在刑事案件侦破中早就采用了。指纹验证 语音验证 视网膜图样验证 脸型验证 3939弓型纹箕型纹斗型纹伤残纹4040指纹图象指纹图象采集仪采集仪图象输入图象输入通道通道指纹细节指纹细节匹配匹配认证结果认证结果 指纹识别系统利用人类指纹的特性，通过特殊的光电扫描和计算机图像处理技术，对活体指纹进行采集、分析和比对，自动、迅速、准确地认

38、证出个人身份。自动指纹认证的过程是按照用户和姓名等信息将其存在指纹数据库中的模板指纹调出来，然后再用用户输入的指纹与该模板的指纹相匹配，以确定这两幅指纹是否出于同一幅指纹。4141 每个人的说话声音都各有其特点，人对于语音的识别能力是很强的，即使在强干扰下、也能分辨出某个熟人的话音。在军事和商业通信中常常靠听对方的语音实现个人身份认证。例如，可将由每个人讲的一个短语所分析出来的全部特征参数存储起来，如果每个人的参数都不完全相同就可实现身份认证。这种存储的语音称作为语音声纹(Voice-print)。 电话和计算机的盗用是相当严重的问题，语音声纹识别技术可用于防止黑客进入语音函件和电话服务系统。

39、4242 人的视网膜血管（即视网膜脉络）的图样具有良好的个人特征。这种识别系统已在研制中；其基本方法是利用光学和电子仪器将视网膜血管图样记录下来，一个视网膜血管的图样可压缩为小于35字节的数字信息。可根据对图样的节点和分支的检测结果进行分类识别。被识别人必须合作允许采样。研究表明，识别验证的效果相当好。如果注册人数小于200万时，错误率为0，所需时间为秒级，在要求可靠性高的场合可以发挥作用，已在军事和银行系统中采用，其成本比较高。4343利用图像识别、神经网络和红外扫描探测，对人脸的“热点”进行采样、处理和提取图样信息。通过脸型自动验证系统进行身份认证。将用于银行等的身份识别系统中。也可将面部

40、识别系统用于网络环境中其软件开发，与其它信息系统的软件集成，作为金融、接入控制、电话会议、安全监视、护照管理、社会福利发放等系统的应用软件。4444一、Kerberos 简介 Kerberos：希腊神话“三个头的狗地狱之门守护者” 有三个功能：身份认证、记账、审核。Kerberos针对分布式环境，一些工作站可能安装于不安全场所，而且用户也并非是完全可信的。 客户在登录时，需要认证。用户必须获得由认证服务器发行的许可证，才能使用目标服务器上的服务。许可证提供被认证的用户访问一个服务时所需的授权资格。所有客户和服务器间的会话都是暂时的。45451、Kerberos的产生背景用户需要从多台计算机得到

41、服务，控制访问的方法有三种： a) 认证工作由用户登录的计算机来管理，服务程序不负责认证，这对于封闭式网络是可行的方案。 b) 收到服务请求时，对发来请求的主机进行认证，对每台认证过的主机的用户不进行认证。每个服务选择自己信任的计算机，在认证时检查主机地址来实现认证。 c) 在开放式系统中，主机不能控制登录它的每一个用户，另外还有来自系统外部的假冒等情况发生，以上两种方法都不能保证用户身份的真实性，必须对每一个服务请求，都要认证用户的身份。4646开放式系统的认证的要求：1)安全性：没有攻击的薄弱环节。2)可靠性：认证服务是其他服务的基础，要可靠，不能瘫痪。3)透明性：用户觉察不到认证服务，只

42、是输入口令。4)可扩展性：支持加入更多的服务器。47472、什么是Kerberos Kerberos是网络通信提供可信第三方服务的面向开放系统的认证机制。每当用户C申请得到某服务程序S的服务时，用户和服务程序会首先向Kerberos要求认证对方的身份，认证建立在用户和服务程序对Kerberos信任基础上。 Kerberos Kerberos Client ClientServerServer认证双方与Kerberos的关系 4848在申请认证时，C和S都是Kerberos认证服务的用户，为了和其它服务的用户区别，Kerberos用户统称为当事人(principle)，principle可以是用

43、户或者某项服务，当用户登录到工作站时，Kerberos对用户进行初始认证，此后用户可以在整个登录时间得到相应的服务。Kerberos不依赖用户的终端或请求服务的安全机制，认证工作由认证服务器完成。4949 Kerberos保存当事人及其密钥的数据库。共享密钥只被当事人和Kerberos知道，当事人在登记时与Kerberos商定。使用共享密钥，Kerberos可以创建消息使一个当事人相信另一个当事人的真实性。Kerberos还产生一种临时密钥(对话密钥)，通信双方用在具体的通信中。 KerberosKerberos提供三种安全等级：提供三种安全等级：只在网络开始连接时进行认证，认为连接建立起来后

44、的通信是可靠的。 安全消息传递：对每次消息都进行认证工作，但是不保证每条消息不被泄露。 私有消息传递：不仅对每条消息进行认证，而且对每条消息进行加密。Kerberos在发送密码时就采用私有消息模式。5050 整个Kerberos的协议都严重地依赖于时钟，而实际证明，要求在分步式系统环境中实现良好的时钟同步，是一个很难的课题。 口令没有进行额外的特殊处理，以至于即使用强力攻击（即穷举法）的时间复杂度仅和口令的长度成比例，这将形成一个两难的局面：或是增加密钥长度换取更高的安全，但这会造成用户的使用困难和增加系统加/解密开销。5151 认证域之间的多级跳跃过程复杂且不明确，相互信任和协调不方便。若各

45、Kerberos区域形成复杂或不规则的网状结构，则要求方便的域间服务，将付出极大的代价，即系统的可扩充性不强。针对这种无序的状况，应有规划有目的地建立起全球一体化的分层（树状）结构，形成良好的信任链条。5252长票的生存期较长，容易被重放攻击；对短票而言，如果攻击者技术高明，也有机会重放攻击，况且攻击者可以着手破坏系统的时钟同步性。我们建议，在Kerberos引入序列号循环机制，即让传送的消息带上一定的序列号，这些序列号在由系统循环地赋予消息，再结合系统原有的生存期控制，将有效地保证一定的时间段里只能存在唯一的合法消息，从而消除了重放的可能性。当然，这必须付出一定的系统开销代价。5353 Kerberos认证中心要求保存大量的共享私钥，无论是管理还是更新都有很大的困难，需要特别细致的安全保护措施（甚至应采用硬件/物理方法），将付出极大的系统代价。 对Kerberos系统程序进行攻击，特别是恶意篡改登录程序，是有效的攻击方法。所以，必须花一定的系统代价去防范对认证系统本身的集中攻击。其中，建立高性能的防火墙和进行日志是必要的。54 PKI即公开密钥体系，是一种遵循既定标准的密钥管理平台，它能够为所有网络应用提供加密和数字签名等密码服务及所必需的密钥和证书管理体系，PKI技术是