网络安全认证技术介绍课件

网络安全认证技术回顾消息鉴别的目的？消息鉴别的分类？HASH与MAC的比较？数字签名的目的？直接数字签名的弊端？仲裁数字签名的分类？身份认证的概念身份认证是计算机及网络系统识别操作者身份的过程计算机网络是一个虚拟的数字世界，用户的身份信息是用一组特定的数据来表示的，计算机只能识别用户的数字身份，所有对用户的授权也是针对用户数字身份的授权现实世界是一个真实的物理世界，每个人都拥有独一无二的物理身份身份认证与消息鉴别是否是一个概念？区别1身份认证：某一实体确信与之打交道的实体正是所需要的实体。只是简单地鉴别实体本身的身份，不会和实体想要进行何种活动相联系。消息鉴别：鉴定某个指定的数据是否来源于某个特定的实体。为了确定被认证的实体与一些特定数据项有着静态的不可分割的联系。身份认证与消息鉴别是否是一个概念？区别2在身份认证中，身份由参与某次通信连接或会话的远程参与者提交。这种服务在连接建立或在数据传送阶段的某些时刻提供使用。在消息鉴别中，身份和数据项一起被提交，并且声称数据项来源于身份所代表的主体。声称者未必涉及在当前的通信活动中。身份认证的功能信息安全体系的目的是保证系统中的数据只能被有权限的“人”访问，未经授权的“人”无法访问身份认证是整个信息安全体系的基础用于解决访问者的物理身份和数字身份的一致性问题，给其他安全技术提供权限管理的依据防火墙、入侵检测、VPN、安全网关等安全技术建立在身份认证之上身份认证的分类计算机认证人的身份用户认证单机状态下的身份认证计算机认证计算机的身份认证协议网络环境下的身份认证认证人的身份用户认证的依据所知(whatyouknow)密码、口令所有(whatyouhave)身份证、护照、智能卡等所是(whoyouare)指纹、DNA等基于口令的认证静态口令用户设定静态密码，计算机验证技术层面口令存储密文方式存储UNIX—DESWindows—HASH口令传输：一般采用CS模式，加密口令或散列函数运算后传输安全问题静态传输过程容易被截获系统中用户口令以文件形式存储，攻击者易获取文件信息无法抵御重放攻击只能进行单向认证动态口令1是一种让用户的密码按照时间或使用次数不断动态变化，每个密码只使用一次的技术。用户进行认证时候，除输入账号和静态密码之外，必须要求输入动态密码，只有通过系统验证，才可以正常登录或者交易，从而有效保证用户身份的合法性和唯一性。动态口令最大的优点在于，用户每次使用的口令都不相同，使得不法分子无法仿冒合法用户的身份。动态口令1动态口令产生方式共享一次性口令表：口令集合，每个口令使用一次。口令序列：口令为一个单向的前后相关的序列，系统只用记录第N个口令。用户用第N－1个口令登录时，系统用单向算法算出第N个口令与自己保存的第N个口令匹配，以判断用户的合法性。由于N是有限的，用户登录N次后必须重新初始化口令序列。挑战/响应：用户要求登录时，系统产生一个随机数发送给用户。用户用某种单向算法将自己的秘密口令和随机数混合起来发送给系统，系统用同样的方法做验算即可验证用户身份。时间/事件同步：以用户登录时间作为随机因素。这种方式对双方的时间准确度要求较高，一般采取以分钟为时间单位的折中办法。动态口令1动态口令的生成设备TokenCard（令牌卡）用类似计算器的小卡片计算一次性口令。对于挑战/回答方式，该卡片配备有数字按键，便于输入挑战值；对于时间/事件同步方式，该卡片每隔一段时间就会重新计算口令；有时还会将卡片作成钥匙链式的形状，某些卡片还带有PIN保护装置。SoftToken（软件令牌）用软件代替硬件，某些软件还能够限定用户登录的地点。动态口令2优点每次使用的密码必须由动态令牌产生，只有合法用户才持有该硬件一次一密，每次登录过程中传送的信息都不相同，以提高登录过程安全性缺点动态令牌与服务器端程序的时间或次数必须保持良好的同步USBKey认证近几年发展起来的一种方便、安全、经济的身份认证技术软硬件相结合一次一密

USBKey是一种USB接口的硬件设备，它内置单片机或智能卡芯片，可以存储用户的密钥或数字证书，利用USBKey内置的密码学算法实现对用户身份的认证工行叫U盾，农行叫K宝，建行叫网银盾，光大银行叫阳光网盾生物特征认证采用每个人独一无二的生物特征来验证用户身份指纹识别、虹膜识别等生物特征认证是最可靠的身份认证方式，因为它直接使用人的物理特征来表示每一个人的数字身份特点比较特点应用主要产品静态口令简单易行

保护非关键性的系统，不能保护敏感信息嵌入在各种应用软件中动态口令一次一密，较高安全性使用烦琐，有可能造成新的安全漏洞动态令牌等USBKey认证安全可靠，成本低廉依赖硬件的安全性USB接口的设备生物特征认证安全性最高技术不成熟，准确性和稳定性有待提高指纹认证系统等认证协议分类根据是否依赖第三方分为：基于可信第三方认证协议和双方认证协议；根据认证使用密码体制分为基于对称密钥的认证协议和基于公钥密码体制的认证协议；根据认证实体的个数分为：单向认证协议和双向认证协议；单向认证只有通信的一方认证另一方的身份，而没有反向的认证过程单向认证的应用不需要双方同时在线电子邮件不要求发送方和接收方同时在线邮件接收方对发送方进行认证单向认证不是完善的安全措施，可以非常容易地冒充验证方，以欺骗被验证方单向认证类型原始单向认证基于对称加密的单向认证无第三方有第三方（KDC）基于公钥加密的单向认证原始的单向认证技术发送方接收方用户名/密码1、发送方的用户名和密码通过明文方式传送，易窃听2、接收方检验用户名和密码，然后进行通信，通信中没有保密基于对称加密的单向认证技术(无第三方)1、侦听者可以看到R和Ekab(R)

，但是不能计算出kab2、不要求E可逆，因此E可以是一个哈希函数3、侦听者掌握R和Ekab(R)后，可以进行离线口令猜解4、攻取Bob的数据库，则可以冒充Alice基于对称加密的单向认证技术(无第三方)1、侦听者可以看到R和Ekab(R)，但是不能计算出kab2、要求E可逆3、侦听者掌握R和Ekab(R)后，可以进行离线口令猜解4、攻取Bob的数据库，则可以冒充Alice基于对称加密的单向认证技术(第三方)拥有一个可信的第三方：密钥分发中心KDC，用户Alice和Bob。KDC和所有用户都拥有一个对称密钥（如和Alice的共享密钥Ka），该协议使得通信各方互相认证鉴别各自的身份，然后交换会话密钥。基于对称加密的单向认证技术(第三方)1、N1作为临时交互号2、Bob通过KDC间接认证Alice基于公钥体制的单向认证技术-1AliceBobIDA挑战RERA(R)1、Alice对数据R用自己的私钥签名，Bob用Alice的公钥检验签名2、侦听者无法冒充Alice，即使他攻取了Bob的数据库基于公钥体制的单向认证技术-2AliceBob1、Bob用Alice的公钥加密数据R，并要求Alice解密2、侦听者无法冒充Alice，即使他攻取了Bob的数据库RIDAEUA(R)双向认证用于通信双方的相互认证认证的同时可以协商会话密钥类型基于对称加密的双向认证无第三方有第三方（KDC）基于公钥加密的双向认证基于对称加密的双向认证（无第三方）AliceBobIDAR1EKAB(R1)1、基于“挑战–响应”方式2、双方使用共享的秘密对数据进行密码变换，实现对通信对方的认证R2EKAB(R2)基于对称加密的双向认证（第三方）第一次方案：Alice→KDC:IDa,IDbKDC→Alice:EKa[ks],EKb[ks]Alice→Bob:EKb[ks]Bob→Alice:Eks[M]说明：ks是KDC为Alice和Bob本次通话生成的一次性会话密钥，EKa[ks]代表用Ka对数据ks进行加密。缺陷？基于对称加密的双向认证（第三方）缺陷：消息没有和用户身份绑定（缺少对实体认证的信息），如在第二步KDC→Alice:EKa[ks],EKb[ks]中，Alice收到消息后不能保证该消息就是KDC为她和Bob生成的。如下攻击：在第一步，Malice截获消息并修改为：Malice（Alice）→KDC:IDa,IDm

即Malice冒充Alice向KDC发送请求。那么第二步Alice收到的消息KDC→Alice:EKa[ks],EKm[ks]这样，Malice就可以冒充Bob和Alice会话了。基于对称加密的双向认证（第三方）第二次方案：Alice→KDC:IDa,IDbKDC→Alice:EKa[IDb，ks],EKb[IDa，ks]Alice→Bob:EKb[IDa，ks]Bob→Alice:Eks[M]Malice无法再冒充Bob来欺骗Alice，说明在示证信息中，一定要包含示证者身份标识信息来抵抗伪造攻击！但是本方案还有重大缺陷！！！该协议是著名的Needham-Schroeder协议，该协议在1978年发表，在1981年被发现存在重大的缺陷。基于对称加密的双向认证（第三方）缺陷：消息的数据源认证中缺少了对消息新鲜性的认证如在第二步KDC→Alice:EKa[IDb，ks],EKb[IDa，ks]中，Alice收到消息后不能保证该消息就是KDC为她和Bob本次通话生成的，如下攻击：Malice(KDC)→Alice:EKa[IDb，ks’],EKb[IDa，ks’]

Ks’是以前某次KDC为Alice和Bob创建的会话密钥，这样会话密钥的新鲜性不能保证！Malice这种行为是哪一种攻击方式？基于对称加密的双向认证（第三方）第三次方案：Alice→KDC:IDa,IDb,NaKDC→Alice:EKa[IDb,ks,Na,EKb[IDa,ks]]Alice→Bob:EKb[IDa,ks,Nb]Bob→Alice:Eks[Nb,Nc]Alice→Bob:Eks[f(Nc)]基于公钥技术的双向认证AliceBobEUB(IDA,N1)EUA(N1,N2)EUB(N2)EUB(ERA(Ks))35、功与失每个人都有一不的理想，这种理想决定着他的努力判断的方向。就在这个意义上，我从来不把安逸和享乐看做是生活目的的本身----这种基础，我叫它猪栏的理想。照亮我的道路，并且不断地给我新的勇气去愉快地正视生活的理想，是善、美、真。---爱因斯坦（美国）无论何时，不管怎样，我也绝不允许自己有一点灰心丧气。---爱迪生（美国）

对我来说，信念意味着不担心。---杜威（美国）

希望贯穿一切，临死也不会抛弃我们。---波普（美国）

希望永远在人的胸膛汹涌。人要经常感觉不是现在幸福，而是就要幸福了。---波普（美国）

毫无理想而又优柔寡断是一种可悲的心理。---培根（英国败的岭，可以用这五个字来表达----我没有时间。---富兰克林（美国）

马云语：今天很残酷，明天更残酷，后天会很美好，但绝大多数人都死在明天晚上。马云语：今天很残酷，明天更残酷，后天会很美好，但绝大多数人都死在明天晚上。

想要有空余时间，就不要浪费时间。---富兰克林（美国）

忽视当前一刹那的人，等于虚掷了他所有的一切。---富兰克林（美国）

时间不可空过，惟用之于有益的工作；一切无益的行动，应该完全制止。---富兰克林（美国）

如果说时间是最宝贵的东西，那么浪费时间就是最大的挥霍

你热爱生命吗？那么别浪费时间，也别和不值得交往的人来往.陈帅佛语

懒鬼起来吧！别再浪费时间，将来在坟墓内有足够的时间让你睡的。---富兰克林（美国）

人生太短暂了，事情是这样的多，能不兼程而进吗？---爱迪生（美国）真正的敏捷是一件很有价值的事。因为时间是衡量事业的标准，一如金钱是衡量货物的标准；所在在做事我有两个忠实的助手，企业在市场竞争中输赢的关键在于其核心竞争力的强弱，而实现核心竞争力更新的惟一途径就是创新。

一项权威的调查显示：与缺乏创新的企业相比，成功创新的企业能获得20％甚至更高的成长率；如果企业80％的收入来自新产品开发并坚持下去，五年內市值就能增加一倍；全球83％的高级经理人深信，自己企业今后的发展将更依赖创新。

23、不创新，就灭亡

——福特公司创始人亨利?福特

24、可持续竞争的惟一优势来自于超过竞争对手的创新能力

——著名管理顾问詹姆斯?莫尔斯

25、创新是做大公司的惟一之路

——管理大师杰弗里

26、顾客是重要的创新来源

——管理学家汤姆?彼得斯

27、创新是惟一的出路，淘汰自己，否则竞争将淘汰我们

——英特尔公司总裁安迪?格罗夫

28、创造性模仿不是人云亦云，而是超越和再创造

——哈佛大学教授西奥多?莱维特

29、创新就是创造一种资源

——管理大师彼得?杜拉克

第五章管理就是沟通、沟通再沟通P69

松下幸之助关于管理有句名言：“企业管理过去是沟通，现在是沟通，未来还是沟通。”管理离不开沟通，沟通已渗透于管理的各个方面。正如人体内的血液循环一样，如果没有沟通的话，企业就会趋于死亡。

30、管理就是沟通、沟通再沟通

——通用电器公司总裁杰克?韦尔奇

31、沟通是管理的浓缩

——沃尔玛公司总裁萨姆?沃尔顿

32、管理者的最基本能力：有效沟通

——英国管理学家L?威尔德

33、不善于倾听不同的声音，是管理者最大的疏忽

——美国女企业家玛丽?凯

34、企业管理过去是沟通，现在是沟通，未来还是沟通

——日本经营之神松下幸之助

第六章管理就是决策P81

美国著名管理学家赫伯特?西蒙指出：“决策是管理的心脏，管理是由一系列决策组成的，管理就是决策。”

35、管理就是决策

——美国著名管理学家赫伯特?西蒙

36、世界上每100家破产倒闭的大企业中，85%是因为企业管理者的决策不慎造成的

——世界著名的咨询公司——美国兰德公司

37、正确的决策来自众人的智慧

——美国社会学家T?戴伊

38、一个成功的决策，等于90%的信息加上10%的直觉

——美国企业家S?M?沃尔森

39、犹豫不决固然可以免去一些做错事的可能，但也失去了成功的机会

——美籍华裔企业家王安博士

40、在没出现不同意见之前，不做出任何决策

——美国通用汽车公司总裁艾尔弗雷德?斯隆

41、不要把所有的鸡蛋放在同一个篮子里

——美国经济学家托宾

42、一次良好的撤退，应和一次伟大的胜利一样受到奖赏

——瑞士军事理论家菲米尼

43、抓住时机并快速决策是现代企业成功的关键

——美斯坦大学教授艾森哈特

44、决不能在没有选择的情况下，作出重大决策

——美国克莱斯勒汽车公司总裁李?艾柯卡

45、如果有一个项目，首先要考虑有没有人来做。如果没有人做，就要放弃，这是一个必要条件。

——联想集团总裁柳传志

第七章爱你的员工吧，他会百倍地爱你的企业P109

法国企业界有一句名言：“爱你的员工吧，他会百倍地爱你的企业。”这一管理学的新观念，已经越来越深入人心，而且被越来越多的企业管理者所接受。实践使他们懂得，没有什么比关心员工、热爱员工更能调动他们的积极性、提高工作效率了。

46、爱你