北京大学网络信息安全课件-身份鉴别

北京大学网络信息安全课件-身份鉴别

ID:40156660

大小:806.00 KB

页数:123页

时间:2019-07-23

北京大学网络信息安全课件-身份鉴别_第1页
北京大学网络信息安全课件-身份鉴别_第2页
北京大学网络信息安全课件-身份鉴别_第3页
北京大学网络信息安全课件-身份鉴别_第4页
北京大学网络信息安全课件-身份鉴别_第5页
资源描述:

《北京大学网络信息安全课件-身份鉴别》由会员上传分享,免费在线阅读,更多相关内容在教育资源-天天文库

1、网络与信息安全第七讲身份鉴别陈钟 北京大学计算机系信息安全研究室chen@cs.pku.edu.cn2003年春季北京大学硕士研究生课程课程体系密码学基础:经典密码、对称密码、非对称密码、密钥管理技术认证理论与技术:散列算法(Hash)、数字签名、身份鉴别和访问控制网络安全:电子邮件的安全、IP的安全、Web的安全、扫描、攻击与入侵检测系统安全:防火墙技术、操作系统的安全、病毒专题讲座:回顾-密码学基础对称密码两个基本运算:代替和置换两个基本分析方法:统计分析法&穷举法两个基本设计原则:混乱和扩散密码分析攻击的方式分组密码现代常规分组加密算法:3DES、RC

2、5、RC6、SES随机数的产生公钥密码算法:D-H/背包算法/RSA/ElGamal/ECC消息鉴别、散列函数、数字签名密钥管理讨论议题鉴别的基本概念鉴别机制鉴别与交换协议典型鉴别实例鉴别AuthenticationThepropertythatensuresthattheidentityofasubjectorresourceistheoneclaimed.Authenticityappliestoentitiessuchasusers,processes,systemsandinformation.鉴别就是确认实体是它所声明的。鉴别是最重要的安全服务之一

3、。鉴别服务提供了关于某个实体身份的保证。(所有其它的安全服务都依赖于该服务)鉴别可以对抗假冒攻击的危险鉴别的需求和目的问题的提出身份欺诈鉴别需求: 某一成员(声称者)提交一个主体的身份并声称它是那个主体。鉴别目的: 使别的成员(验证者)获得对声称者所声称的事实的信任。身份鉴别定义:证实客户的真实身份与其所声称的身份是否相符的过程。依据:Somethingtheuserknow(所知)密码、口令等Somethingtheuserpossesses(拥有)身份证、护照、密钥盘等Somethingtheuseris(orHowhebehaves)指纹、笔迹、声音、

4、虹膜、DNA等协议PAPCHAPKerberosX.509鉴别协议双方鉴别(mutualauthentication)单向鉴别(one-wayauthentication)双向鉴别协议最常用的协议。该协议使得通信各方互相认证鉴别各自的身份,然后交换会话密钥。基于鉴别的密钥交换核心问题有两个:保密性实效性为了防止伪装和防止暴露会话密钥,基本鉴别和会话密码信息必须以保密形式通信,这就要求预先存在保密或公开密钥供实现加密使用。第二个问题也很重要,因为涉及防止消息重放攻击。鉴别的两种情形鉴别用于一个特定的通信过程,即在此过程中需要提交实体的身份。实体鉴别(身份鉴别)

5、:某一实体确信与之打交道的实体正是所需要的实体。只是简单地鉴别实体本身的身份,不会和实体想要进行何种活动相联系。数据原发鉴别:鉴定某个指定的数据是否来源于某个特定的实体。不是孤立地鉴别一个实体,也不是为了允许实体执行下一步的操作而鉴别它的身份,而是为了确定被鉴别的实体与一些特定数据项有着静态的不可分割的联系。在实体鉴别中,身份由参与某次通信连接或会话的远程参与者提交。这种服务在连接建立或在数据传送阶段的某些时刻提供使用,使用这种服务可以确信(仅仅在使用时间内):一个实体此时没有试图冒充别的实体,或没有试图将先前的连接作非授权地重演。在数据原发鉴别中,身份和数

6、据项一起被提交,并且声称数据项来源于身份所代表的主体。这种服务对数据单元的重复或篡改不提供保护。数据原发鉴别数据原发鉴别为声称者的身份是特定数据项的来源提供了保障。 它不同于实体鉴别: 声称者未必涉及在当前的通信活动中; 数据项可能已经通过许多系统被重放,这些系统可能或没有被鉴别; 数据项可能在途中被存储相当的周期。 与完整性有关的数据原发鉴别必须确保自从数据项离开它的信源没有被修改。然而,数据原发鉴别未必能免遭数据项的复制、重排序或丢失。数据原发鉴别方法:1)加密:给数据项附加一个鉴别项,然后加密该结果2)封装或数字签名 3)实体鉴别扩展:通过完整性机制将

7、数据项和鉴别交换联系起来实体鉴别实现安全目标的方式作为访问控制服务的一种必要支持,访问控制服务的执行依赖于确知的身份(访问控制服务直接对达到机密性、完整性、可用性及合法使用目标提供支持);作为提供数据起源认证的一种可能方法(当它与数据完整性机制结合起来使用时);作为对责任原则的一种直接支持,例如,在审计追踪过程中做记录时,提供与某一活动相联系的确知身份。实体鉴别分类(1)实体鉴别可以分为本地和远程两类。实体在本地环境的初始化鉴别(就是说,作为实体个人,和设备物理接触,不和网络中的其他设备通信)。连接远程设备、实体和环境的实体鉴别。本地鉴别:需要用户的进行明确

8、的操作远程鉴别:通常将本地鉴别结果传送到远程。(1)

当前文档最多预览五页,下载文档查看全文

此文档下载收益归作者所有

当前文档最多预览五页,下载文档查看全文
温馨提示:
1. 部分包含数学公式或PPT动画的文件,查看预览时可能会显示错乱或异常,文件下载后无此问题,请放心下载。
2. 本文档由用户上传,版权归属用户,天天文库负责整理代发布。如果您对本文档版权有争议请及时联系客服。
3. 下载前请仔细阅读文档内容,确认文档内容符合您的需求后进行下载,若出现内容与标题不符可向本站投诉处理。
4. 下载文档时可能由于网络波动等原因无法下载或下载错误,付费完成后未能成功下载的用户请联系客服处理。