第九章系统安全性课件.ppt

第九章,系统安全性,2022/12/21,数学系,2,第九章 系统安全性,9.1 引言 9.2 数据加密技术 9.3 认证技术 9.4 访问控制技术 9.5 防火墙技术,2022/12/21,数学系,3,9.1 引 言,9.1.1 系统安全性的内容和性质,1. 系统安全性的内容：物理安全：是指系统设备及相关设施受到物理保护，使之免遭破坏或丢失；安全管理：包括各种安全管理的政策和机制；逻辑安全：是指系统中信息资源的安全，它又包括以下三个方面： (1) 保密性(Secrecy)：将机密数据置于保密状态，仅允许授权用户访问； (2) 完整性(Integrity)：未经授权用户不得擅自修改系统所保存的信息，且能保持系统数据的一致性； (3) 可用性(Availability)：授权用户的请求可得到及时、正确、安全的响应或服务。,2022/12/21,数学系,4,2. 系统安全的性质系统安全问题涉及面较广，它不仅与系统中所用的硬、软件设备的安全性能有关，而且与构造系统时所采用的方法有关，从而导致了系统安全问题的性质更为复杂，主要表现为如下几点： (1) 多面性：在较大的系统中，通常存在多个安全点，每个安全点都存在三方面的安全问题； (2) 动态性：因信息技术的不断发展及攻击手段层出不穷，无法找到一种解决安全问题的一劳永逸的方法； (3) 层次性：安全问题相当复杂，涉及面很广，常采用层次化方法解决； (4) 适度性：在实现系统安全性常遵循适度性准则，即根据需要， 提供适度的安全目标加以实现。,9.1.1 系统安全性的内容和性质,2022/12/21,数学系,5,9.1.2 对系统安全威胁的类型,攻击者采用的攻击方式层出不穷，归纳如下： 假冒(Masquerading)身份。(2) 数据截取(Data Interception)。 (3) 拒绝服务(Denial of Server)。 (4) 修改(Modification)信息。(5) 伪造(Fabrication)信息。 (6) 否认(Repudiation)操作（抵赖） 。(7) 中断(Interruption)传输。 (8) 通信量分析(Traffic Analysis)，通过窃取，了解数据性质。,2022/12/21,数学系,6,计算机或网络系统常见的四种威胁,2022/12/21,数学系,7,9.1.3 对各类资源的威胁,对硬件的威胁 电源掉电。 (2) 设备故障和丢失。,在Novell公司的Netware网络OS中，提供了三级容错技术，即SFT-、SFT-和SFT-；在Windows NT网络OS中所采用的是磁盘阵列技术。必须加强对计算机系统的管理和日常维护，以保证硬件正常运行，杜绝设备被窃事件。,2022/12/21,数学系,8,2. 对软件的威胁,删除软件。 (2) 拷贝软件。 (3) 恶意修改。,9.1.3 对各类资源的威胁,3. 对数据的威胁,窃取机密信息。 (2) 破坏数据的可用性。 (3) 破坏数据的完整性。,2022/12/21,数学系,9,4. 对远程通信的威胁,(1) 被动攻击方式。 对有线信道，攻击者可采用在通信线路上进行搭接的方法，截获在线路上传输的信息。该攻击方式，一般不会干扰信息在通信线中的正常传输，故也不易被检测出来。对付被动攻击的最有效方法，是对所传输的数据进行加密，这使得攻击者只能获得被加密过的密文，却无法了解密文的含义；对于无线信道，如微波信道、卫星信道，防范攻击的有效方法也同样是对数据进行加密处理。,9.1.3 对各类资源的威胁,2022/12/21,数学系,10,(2) 主动攻击方式。 主动攻击方式通常具有更大的破坏性。攻击者不仅要截获系统中的数据，而且还可能冒充合法用户，对网络中的数据进行删除、修改，或者制造虚假数据。主动攻击，主要是攻击者通过对网络中各类结点中的软件和数据加以修改来实现的，这些结点可以是主机、路由器或各种交换器。,9.1.3 对各类资源的威胁,2022/12/21,数学系,11,计算机系统资源面临的威胁),2022/12/21,数学系,12,主动和被动威胁,2022/12/21,数学系,13,9.1.4 信息技术安全评价公共准则,1. CC的由来对一个安全产品(系统)进行评估，是件十分复杂的事。它对公正性和一致性要求很严。因此，需要有一个能被广泛接受的评估标准。为此，美国国防部在80年代中期制订了一组计算机系统安全需求标准，共包括20多个文件，每个文件都使用了彼此不同颜色的封面，统称为“彩虹系列”。其中最核心的是具有橙色封皮的“可信任计算机系统评价标准(TCSEC)”，简称为“橙皮书”。,2022/12/21,数学系,14,标准中将计算机系统安全程度划为8个等级，有D1、C1、C2、B1、B2、B3、A1和A2。D1级为安全度最低级，称为安全保护欠缺级。常见的无密码保护的个人计算机系统属于D1级。C1级为自由安全保护级，通常具有密码保护的多用户工作站便属于C1级。C2级为受控存取控制级，当前广泛使用的软件，如UNIX、ORACLE等，都能达到C2级。,9.1.4 信息技术安全评价公共准则,2022/12/21,数学系,15,从B级开始，要求具有强制存取控制和形式化模型技术的应用。B3、A1级进一步要求对系统中的内核进行形式化的最高级描述和验证。一个网络所能达到的最高安全等级，不超过网络上其安全性能最低的设备(系统)的安全等级。,9.1.4 信息技术安全评价公共准则,2022/12/21,数学系,16,2. CC的组成信息技术产品的安全功能需求定义。面向用户。用户可以按照安全功能需求定义“产品的保护框架”(PP)，CC要求对PP进行评价以检查它是否能满足对安全的要求；安全保证需求定义。面向厂商。厂商应根据PP文件制定产品的“安全目标文件”(ST)，CC同样要求对ST进行评价，然后根据产品规格和ST去开发产品。,9.1.4 信息技术安全评价公共准则,2022/12/21,数学系,17,安全功能需求部分，包括一系列的安全功能定义，它们是按层次式结构组织起来的，其最高层为类(Class)。 CC将整个产品(系统)的安全问题分为11类，每一类侧重于一个安全主题。中间层为帧(Family)，在一类中的若干个簇都基于相同的安全目标，但每个簇各侧重于不同的方面。最低层为组件(Component)，这是最小可选择的安全功能需求。安全保证需求部分，同样是按层次式结构组织起来的。保障计算机和系统的安全性，将涉及到许多方面，其中有工程问题、经济问题、技术问题、管理问题、甚至涉及到国家的立法问题。我们仅限于介绍用来保障计算机和系统安全的基本技术，包括认证技术、访问控制技术、密码技术、数字签名技术、防火墙技术等等。,9.1.4 信息技术安全评价公共准则,2022/12/21,数学系,18,9.2 数据加密技术,9.2.1 数据加密的基本概念,几千年前，就有了信息保密思想，出现了易位法、置换法，但1944年香农证明了传统加密方法的密文都是可破译的；直至20世纪60年代，美国的数据加密标准DES和公开密钥密码体制推出，为密码学的广泛应用奠定了坚实的基础。90年代后，推出了安全电子交易规程、安全套接层规程。,1. 数据加密技术的发展,数据加密：是对系统中所有存储和传输的数据加密，使之成为密文,2022/12/21,数学系,19,2. 数据加密模型,图9-1数据加密模型,2022/12/21,数学系,20,(1) 明文(plain text)。被加密的文本, 称为明文P。(2) 密文(cipher text)。加密后的文本, 称为密文Y。(3) 加密(解密)算法E(D)。用于实现从明文(密文)到密文(明文)转换的公式、规则或程序。(4) 密钥K。是加密和解密算法中的关键参数。,9.2.1 数据加密的基本概念,2022/12/21,数学系,21,加密过程：在发送端利用加密算法E和加密密钥Ke对明文P进行加密，得到密文Y=EKe(P)。密文Y被传送到接收端后应进行解密。解密过程：接收端利用解密算法D和解密密钥Kd对密文Y进行解密，将密文恢复为明文P=DKd(Y)。密码编码：设计密码的技术密码分析：破译密码的技术称密码学：密码编码和密码分析的统称。在加密系统中，算法是相对稳定的。为了加密数据的安全性，应经常改变密钥。,9.2.1 数据加密的基本概念,2022/12/21,数学系,22,数据加密模型,2022/12/21,数学系,23,3. 加密算法的类型 1) 按其对称性分类对称加密算法（保密密钥算法）：在加密算法和解密算法之间，存在着一定的相依关系。加密和解密算法往往使用相同的密钥；或在知道了加密密钥Ke后，很容易推出解密密钥Kd。该算法中的安全性在于双方能否妥善地保护密钥。 因而把这种算法称为保密密钥算法。,9.2.1 数据加密的基本概念,2022/12/21,数学系,24,非对称加密算法（公开密钥算法）：加密密钥Ke和解密密钥Kd不同，而且难以从Ke推导出Kd来。可以将其中的一个密钥公开而成为公开密钥。用公开密钥加密后， 能用另一把专用密钥解密；反之亦然。,9.2.1 数据加密的基本概念,2022/12/21,数学系,25,2) 按所变换明文的单位分类序列加密算法。把明文P看作是连续的比特流或字符流P1, P2, P3 , 在一个密钥序列K=K1,K2,K3的控制下,逐个比特(或字符)地把明文转换成密文。可表达成： EK(P)=EK1(P1)EK2(P2)EK3(P3) 该算法可用于对明文进行实时加密。 分组加密算法。将明文P划分成多个固定长度的比特分组，在加密密钥的控制下，每次变换一个明文分组。著名的DES算法是以64位为一个分组进行加密的,9.2.1 数据加密的基本概念,2022/12/21,数学系,26,4. 基本加密方法,1) 易位法：按照一定的规则，重新安排明文中的比特或字符的顺序来形成密文，而字符本身保持不变。按易位单位的不同又可分成：比特易位:实现方法简单易行，并可用硬件实现，主要用于数字通信中；字符易位:利用密钥对明文进行易位后形成密文。例：假定有一密钥MEGABUCK，其长度为8，则其明文是以8个字符为一组写在密文的下面，如图 所示。,9.2.1 数据加密的基本概念,2022/12/21,数学系,27,图 9-2 按字符易位加密算法,2022/12/21,数学系,28,按密钥中字母在英文字母表中的顺序来确定明文排列后的列号。如密钥中的A所对应的列号为1，B为2，C为3，E为4等。再按照密钥所指示的列号，先读出第一列中的字符，再读出第2列中的字符， ，这样，即完成了将明文please transfer 转换为密文AFLLSKSOSELAWAIA 的加密过程。,9.2.1 数据加密的基本概念,2022/12/21,数学系,29,2) 置换法：按照一定的规则，用一个字符去置换(替代)另一个字符来形成密文。最早由朱叶斯凯撒(Julius caeser)提出的算法: 将字母a,b,c,x,y,z循环右移三位后,形成d,e, f,a,b,c字符序列利用移位后序列中的字母,分别置换未移位序列中对应位置的字母, 即用d置换a, 用e置换b等。凯撒算法的推广是移动K位。单纯移动K位的置换算法很容易被破译，较好的置换算法是进行映像。例将26个英文字母映像到另外26个特定字母中,见图。利用置换法可将attack加密,变为QZZQEA。,9.2.1 数据加密的基本概念,2022/12/21,数学系,30,图 26个字母的映像,Attack QZZQEA,2022/12/21,数学系,31,9.2.2 对称加密算法与非对称加密算法,1. 对称加密算法现代加密技术所用的基本手段，仍然是易位法和置换法，但它与古典方法的重点不同。古典法中通常采用的算法较简单，而密钥则较长；现代加密技术采用十分复杂的算法，将易位法和置换法交替使用多次而形成乘积密码。最有代表性的对称加密算法是数据加密标准DES(Data Eneryption Standard)。,2022/12/21,数学系,32,该算法原来是IBM公司于19711972年研制成功的，它旨在保护本公司的机密产品，后被美国国家标准局选为数据加密标准，并于1977年颁布使用。ISO现在已将DES作为数据加密标准。随着VLSI的发展，现在可利用VLSI芯片来实现DES算法，并用它做成数据加密处理器DEP。,9.2.2 对称加密算法与非对称加密算法,2022/12/21,数学系,33,DES中使用的密钥长度为64位，它由两部分组成：实际密钥，占56位；奇偶校验码，占8位。DES属于分组加密算法，它将明文按64位一组分成若干个明文组，每次利用56位密钥对64位的二进制明文数据进行加密，产生64位密文数据。DES算法的总框图如图(a)所示。整个加密处理过程可分为四个阶段(共19步)，图(b)所示。,9.2.2 对称加密算法与非对称加密算法,2022/12/21,数学系,34,图 DES加密标准,2022/12/21,数学系,35,第一阶段：将明文分出64位的明文段，然后对64位明文段做初始易位处理，得到X0，将其左移32位，记为L0，右移32位，记为R0。第二阶段：对初始易位结果X0进行16次迭代处理(相应于第217步)，每一次使用56位加密密钥Ki。第217步的迭代过程如图 9-4(b)所示。由图可看出，输出的左32位Li是输入右32位Ri-1的拷贝；输出的右32位Ri，是在密钥Ki的控制下，对输入右32位Ri-1做函数f的变换后的结果，再与输入左32位Li-1进行异或运算而形成的，即,9.2.2 对称加密算法与非对称加密算法,2022/12/21,数学系,36,第三阶段：把经过16次迭代处理的结果(64位)的左32位与右32位互易位置。第四阶段： 进行初始易位的逆变换。,9.2.2 对称加密算法与非对称加密算法,2022/12/21,数学系,37,2. 非对称加密算法DES加密算法属于对称加密算法。加密和解密所使用的密钥是相同的。DES的保密性主要取决于对密钥的保密程度。加密者必须用非常安全的方法(如通过个人信使)将密钥送给接收者(解密者)。如果通过计算机网络传送密钥，必须先对密钥本身予以加密后再传送，通常把这种算法称为对称保密密钥算法。,9.2.2 对称加密算法与非对称加密算法,2022/12/21,数学系,38,1976年美国的Diffie和Hallman提出了一个新的非对称密码体制。其最主要的特点是在对数据进行加密和解密时，使用不同的密钥。每个用户都保存着一对密钥，每个人的公开密钥都对外公开。假如某用户要与另一用户通信，他可用公开密钥对数据进行加密，而收信者则用自己的私用密钥进行解密。这样就可以保证信息不会外泄。,9.2.2 对称加密算法与非对称加密算法,2022/12/21,数学系,39,公开密钥算法的特点如下：设加密算法为E、加密密钥为Ke，可利用它们对明文P进行加密，得到EKe(P)密文。设解密算法为D、解密密钥为Kd，可利用它们将密文恢复为明文，即DKd(EKe(P)=P 要保证从Ke推出Kd是极为困难的，即从Ke推出Kd实际上是不可能的。在计算机上很容易产生成对的Ke和Kd。加密和解密运算可以对调，即利用DKd对明文进行加密形成密文，然后用EKe对密文进行解密，即,9.2.2 对称加密算法与非对称加密算法,2022/12/21,数学系,40,在此情况下，解密密钥或加密密钥公开也无妨。故该加密方法称为公开密钥法(Publie Key)。在公开密钥体制中，最著名的是RSA体制，它已被ISO推荐为公开密钥数据加密标准。由于对称加密算法和非对称加密算法各有优缺点（即非对称加密算法要比对称加密算法处理速度慢），但密钥管理简单，故在新推出的许多的安全协议中，都同时应用了这两种加密技术。一种常用的方法是利用公开密钥技术传递对称密码，而用对称密钥技术来对实际传输的数据进行加密和解密。,9.2.2 对称加密算法与非对称加密算法,2022/12/21,数学系,41,例如：由发送者先产生一个随机数，此即对称密钥，用它来对欲传送的数据进行加密；然后再由接收者的公开密钥对对称密钥进行加密。接收者收到数据后，先用私用密钥对对称密钥进行解密，然后再用对称密钥对所收到的数据进行解密。,9.2.2 对称加密算法与非对称加密算法,2022/12/21,数学系,42,9.2.3 数字签名和数字证明书,1. 数字签名在金融和商业等系统中，许多业务都要求在单据上加以签名或加盖印章，证实其真实性，以备日后查验。在利用计算机网络传送报文时，可将公开密钥法用于电子(数字)签名来代替传统的签名。为使数字签名能代替传统的签名，必须满足下述三个条件： (1) 接收者能够核实发送者对报文的签名。 (2) 发送者事后不能抵赖其对报文的签名。 (3) 接收者无法伪造对报文的签名。,2022/12/21,数学系,43,1) 简单数字签名发送者A可使用私用密钥Kda对明文P进行加密，形成DKda(P)后传送给接收者B。B可利用A的公开密钥Kea对DKda(P)进行解密，得到EKea(DKda(P)=P，如图(a)所示。,9.2.3 数字签名和数字证明书,2022/12/21,数学系,44,图 数字签名示意图,9.2.3 数字签名和数字证明书,2022/12/21,数学系,45,按照对数字签名的三点基本要求进行分析可知：接收者能利用A的公开密钥Kea对DKda(P)进行解密，这便证实了发送者对报文的签名。由于只有发送者A才能发送出DKda(P)密文，故不容A进行抵赖。由于B没有A所拥有的私用密钥，故B无法伪造对报文的签名。故图(a)所示的简单方法可以实现对传送的数据进行签名，但并不能达到保密的目的，因为任何人都能接收DKda(P)，且可用A的公开密钥Kea对DKda(P)进行解密。,9.2.3 数字签名和数字证明书,2022/12/21,数学系,46,为使A所传送的数据只能为B所接收，必须采用保密数字签名。 2) 保密数字签名为了实现在发送者A和接收者B之间的保密数字签名，要求A和B都具有密钥，再按照图(b)所示的方法进行加密和解密。发送者A可用自己的私用密钥Kda对明文P加密，得到密文DKda(P)。A再用B的公开密钥Keb对DKda(P)进行加密，得到EKeb(DKda(P)后送B。,9.2.3 数字签名和数字证明书,2022/12/21,数学系,47,B收到后，先用私用密钥Kdb进行解密，即DKdb(EKeb(DKda(P)=DKda(P)。B再用A的公开密钥Kea对DKda(P)进行解密，得到EKea(DKda(P)=P。,9.2.3 数字签名和数字证明书,2022/12/21,数学系,48,2. 数字证明书(Certificate),(1)用户A在使用数字证明书之前，应先向认证机构CA申请数字证明书，此时A应提供身份证明和希望使用的公开密钥A。(2)CA在收到用户A发来的申请报告后，若决定接受其申请， 便发给A一份数字证明书，在证明书中包括公开密钥A和CA发证者的签名等信息，并对所有这些信息利用CA的私用密钥进行加密(即CA进行数字签名)。(3)用户A在向用户B发送报文信息时，由A用私用密钥对报文加密(数字签名)，并连同已加密的数字证明书一起发送给B。,9.2.3 数字签名和数字证明书,2022/12/21,数学系,49,(4)为了能对收到的数字证明书解密,用户B须向CA机构申请获得CA的公开密钥B。CA收到用户B的申请后,可决定将公开密钥B发送给用户B。(5)用户B利用CA的公开密钥B对数字证明书加以解密,以确认该数字证明书确系原件,并从数字证明书中获得公开密钥A,并且也确认该公开密钥A确系用户A的。(6)用户B再利用公开密钥A对用户A发来的加密报文进行解密,得到用户A发来的报文的真实明文。,9.2.3 数字签名和数字证明书,2022/12/21,数学系,50,9.2.4 网络加密技术,1. 链路加密(Link Encryption) 链路加密，是对在网络相邻结点之间通信线路上传输的数据进行加密。链路加密常采用序列加密算法，它能有效地防止搭线窃听所造成的威胁。两个数据加密设备分别置于通信线路的两端，它们使用相同的数据加密密钥。 如果在网络中只采用了链路加密，而未使用端端加密，那么，报文从最高层(应用层)到数据链路层之间，都是以明文的形式出现的，只是从数据链路层进入物理层时，才对报文进行了加密，并把加密后的数据通过传输线路传送到对方结点上。为了防止攻击者对网络中的信息流进行分析， 在链路加密方式中，不仅对正文做了加密，而且对所有各层的控制信息也进行了加密。,2022/12/21,数学系,51,接收结点在收到加密报文后，为了能对报文进行转发，必须知道报文的目标地址。为此，接收结点上的数据加密设备应对所接收到的加密报文进行解密，从中找出目标地址并进行转发。当该报文从数据链路层送入物理层(转发)时，须再次对报文进行加密。由上所述得知，在链路加密方式中，在相邻结点间的物理信道上传输的报文是密文，而在所有中间结点中的报文则是明文，这给攻击者造成了可乘之机，使其可从中间结点上对传输中的信息进行攻击。这就要求能对所有各中间结点进行有效的保护。,9.2.4 网络加密技术,2022/12/21,数学系,52,在链路加密方式中，通常对每一条链路都分别采用不同的加密密钥。图示出了链路加密时的情况。在图中，结点2的DEE使用密钥Kd2将密文EKe1(P)解密为明文P后，又用密钥Ke2将P变换为密文EKe2(P)。可见，对于一个稍具规模的网络，将需要非常多的加密硬件，这是必要的。,图 9 6 链路加密方式,2022/12/21,数学系,53,2.端端加密(End-to-End Encryption)在单纯采用链路加密方式时，所传送的数据在中间结点将被恢复为明文，因此，链路加密方式尚不能保证通信的安全性；而端端加密方式是在源主机或前端机FEP中的高层(从传输层到应用层)对所传输的数据进行加密。 在整个网络的传输过程中，不论是在物理信道上，还是在中间结点，报文的正文始终是密文，直至信息到达目标主机后，才被译成明文，因而这样可以保证在中间结点不会出现明文。,9.2.4 网络加密技术,2022/12/21,数学系,54,图 端端加密方式,2022/12/21,数学系,55,在端端加密方式中，只要密钥没有泄漏， 数据在传输过程中就不怕被窃取，也无须对网络中间结点的操作人员提出特殊要求。但在这种加密方式中，不能对报头中的控制信息(如目标地址、路由信息等)进行加密，否则中间结点将无法得知目标地址和有关的控制信息。显然，报头不能加密， 也将会直接或间接地受到攻击，比如，攻击者可能根据报头中的源地址和目标地址，了解到某些部门的通信情况， 甚至还可以发起诸如篡改报文的目标地址和路由信息之类的主动攻击。,9.2.4 网络加密技术,2022/12/21,数学系,56,上述两种加密方式各有优缺点。 一种比较好的网络加密方式是，同时采用链路加密和端端加密，以取长补短。如利用端端加密方式来使用户数据以密文形式穿越各个中间结点，以保障用户数据的安全；而利用链路加密方式则可使报头中的控制信息以密文形式在通信信道中传输，使之不易受到攻击。,9.2.4 网络加密技术,2022/12/21,数学系,57,9.3 认 证 技 术,9.3.1 基于口令的身份认证技术,1. 口令利用口令来确认用户的身份，是当前最常用的认证技术。当用户上机时，系统的登录程序首先要求用户输入用户名，登录程序利用用户输入的名字查找一张用户注册表或口令文件。表中，每个已注册用户都有一个表目，其中记录有用户名和口令等。,2022/12/21,数学系,58,登录程序从中找到匹配的用户名后，再要求用户输入口令，如果用户输入的口令也与注册表中用户所设置的口令一致，系统便认为该用户是合法用户，于是允许该用户进入系统；否则将拒绝该用户登录。,9.3.1 基于口令的身份认证技术,2022/12/21,数学系,59,口令是由字母或数字、或字母和数字混合组成的，它可由系统产生，也可由用户自己选定。系统所产生的口令不便于用户记忆，而用户自己规定的口令则通常是很容易记忆的字母、数字例如生日、住址、电话号码， 以及某人或宠物的名字等等。这种口令虽便于记忆，但也很容易被攻击者猜中。,9.3.1 基于口令的身份认证技术,2022/12/21,数学系,60,2. 对口令机制的基本要求基于用户标识符和口令的用户认证技术，最主要的优点是简单易行。因此，在几乎所有需要对数据加以保密的系统中，都引入了基于口令的机制。但这种机制也很容易受到别有用心者的攻击，攻击者可能通过多种方式来获取用户标识符和口令，或者猜出用户所使用的口令。为了防止攻击者猜出口令，在这种机制中通常应满足以下几点要求：,9.3.1 基于口令的身份认证技术,2022/12/21,数学系,61,(1) 口令长度要适中。 通常的口令是由一串字母和数字组成。如果口令太短，则很容易被攻击者猜中。例如，一个由四位十进制数所组成的口令，其搜索空间仅为104，在利用一个专门的程序来破解时，平均只需5000次即可猜中口令。假如每猜一次口令需花费0.1 ms的时间，则平均每猜中一个口令仅需0.5 s。而如果采用较长的口令，假如口令由ASCII码组成，则可以显著地增加猜中一个口令的时间。例如，口令由7位ASCII码组成，其搜索空间变为957(95是可打印的ASCII码)，大约是71013，此时要猜中口令平均需要几十年。,9.3.1 基于口令的身份认证技术,2022/12/21,数学系,62,(2) 自动断开连接。 为给攻击者猜中口令增加难度，在口令机制中还应引入自动断开连接的功能，即只允许用户输入有限次数的不正确口令，通常规定35次。如果用户输入不正确口令的次数超过规定的次数时，系统便自动断开该用户所在终端的连接。此时用户还可能重新拨号请求登录，但若在重新输入指定次数的不正确口令后，仍未猜中，系统会再次断开连接。这种自动断开连接的功能，无疑又给攻击者增加了猜中口令的难度。,9.3.1 基于口令的身份认证技术,2022/12/21,数学系,63,(3) 不回送显示。 在用户输入口令时，登录程序不应将该口令回送到屏幕上显示，以防止被就近的人发现。 (4) 记录和报告。 该功能用于记录所有用户登录进入系统和退出系统的时间；也用来记录和报告攻击者非法猜测口令的企图及所发生的与安全性有关的其它不轨行为，这样便能及时发现有人在对系统的安全性进行攻击。,9.3.1 基于口令的身份认证技术,2022/12/21,数学系,64,3. 一次性口令(One time Passward)为把因口令泄露造成的损失减到最小，用户应经常改变口令。一种极端的情况是采用一次性口令机制。在利用该机制时，用户必须提供记录有一系列口令的一张表，并将该表保存在系统中。系统为该表设置一指针用于指示下次用户登录时所应使用的口令。,9.3.1 基于口令的身份认证技术,2022/12/21,数学系,65,用户在每次登录时，登录程序便将用户输入的口令与该指针所指示的口令相比较，若相同，便允许用户进入系统，并将指针指向表中的下一个口令。在采用一次性口令的机制时，即使攻击者获得了本次用户上机时所使用的口令，也无法进入系统。必须注意，用户所使用的口令表，必须妥善保存好。,9.3.1 基于口令的身份认证技术,2022/12/21,数学系,66,4. 口令文件通常在口令机制中，都配置有一份口令文件，用于保存合法用户的口令和与口令相联系的特权。该文件的安全性至关重要，一旦攻击者成功地访问了该文件，攻击者便可随心所欲地访问他感兴趣的所有资源，这对整个计算机系统的资源和网络，将无安全性可言。显然，如何保证口令文件的安全性，已成为系统安全性的头等重要问题。,9.3.1 基于口令的身份认证技术,2022/12/21,数学系,67,保证口令文件安全性的最有效的方法是，利用加密技术。选择一个函数来对口令进行加密，该函数f(x)具有如下特性：在给定了x值后，很容易算出f(x)；如果给定了f(x)的值，却不能算出x的值，利用f(x)函数去编码(即加密)所有的口令，再将加密后的口令存入口令文件中。,9.3.1 基于口令的身份认证技术,2022/12/21,数学系,68,当某用户输入一个口令时，系统利用函数f(x)对该口令进行编码，然后将编码(加密)后的口令与存储在口令文件中的已编码的口令进行比较，如果两者相匹配，便认为是合法用户。如此，即使攻击者能获取口令文件中的已编码口令，也无法对它们进行译码，因而不会影响到系统的安全性。,9.3.1 基于口令的身份认证技术,2022/12/21,数学系,69,图 对加密口令的验证方法,2022/12/21,数学系,70,尽管对口令进行加密是一个很好的方法，但它也不是绝对的安全可靠的。其主要威胁来自于两个方面： (1) 当攻击者已掌握了口令的解密密钥时，就可用它来破译口令。 (2) 利用加密程序来破译口令，如果运行加密程序的计算机速度足够快，则通常只要几个小时便可破译口令。故应该妥善保管好已加密的口令文件，来防止攻击者轻意地获取该文件。,9.3.1 基于口令的身份认证技术,2022/12/21,数学系,71,9.3.2 基于物理标志的认证技术,1. 基于磁卡的认证技术根据数据记录原理，可将当前使用的卡分为磁卡和IC卡两种。磁卡：是基于磁性原理来记录数据的，目前世界各国使用的信用卡和银行现金卡等，都普遍采用磁卡。这是一块其大小和名片大小相仿的塑料卡，在其上贴有含若干条磁道的磁条。一般在磁条上有三条磁道，每条磁道都可用来记录不同标准和不同数量的数据。,2022/12/21,数学系,72,磁道上可有两种记录密度，一种是每英寸含有15比特的低密度磁道；另一种是每英寸含有210比特的高密度磁道。如果在磁条上记录了用户名、账号和金额，这就是金融卡或银行卡；如果在磁条上记录的是有关用户的信息，则该卡便可作为识别用户身份的物理标志。,9.3.2 基于物理标志的认证技术,2022/12/21,数学系,73,磁卡上存储的信息，可利用磁卡读写器将之读出；用户识别程序利用读出的信息去查找一张用户信息表(该表中包含有若干个表目，每个用户占有一个表目，表目中记录了有关该用户的信息)，若找到匹配的表目，便认为该用户是合法用户；否则便认为是非法用户。为保证持卡者是该卡的主人，通常在基于磁卡认证技术的基础上，又增设了口令机制，每当进行用户身份认证时，都要求用户输入口令。,9.3.2 基于物理标志的认证技术,2022/12/21,数学系,74,2. 基于IC卡的认证技术IC卡：集成电路卡的英文缩写。外观上与磁卡无明显差别，但在IC卡中可装入CPU和存储器芯片，使该卡具有一定的智能，故又称为智能卡或灵巧卡。IC卡中的CPU用于对内部数据的访问和与外部数据进行交换，还可利用较复杂的加密算法，对数据进行处理这使IC卡比磁卡具有更强的防伪性和保密性，故IC卡会逐步取代磁卡。根据在磁卡中所装入芯片的不同可把IC卡分为以下三种类型：,9.3.2 基于物理标志的认证技术,2022/12/21,数学系,75,(1)存储器卡。在这种卡中只有一个E2 PROM(可电擦、可编程只读存储器)芯片，而没有微处理器芯片。它的智能主要依赖于终端，就像IC电话卡的功能是依赖于电话机一样。由于此智能卡不具有安全功能，故只能用来存储少量金额的现金与信息。常见的智能卡有电话卡、 健康卡，其只读存储器的容量一般为420 KB。(2)微处理器卡。它除具有E2PROM外，还增加了一个微处理器。只读存储器的容量一般是数千字节至数万字节；处理器的字长主要是8位的。在这种智能卡中已具有一定的加密设施， 增强了IC卡的安全性。,9.3.2 基于物理标志的认证技术,2022/12/21,数学系,76,(3) 密码卡。在这种卡中又增加了加密运算协处理器和RAM。之所以把这种卡称为密码卡，是由于它能支持非对称加密体制RSA；所支持的密钥长度可长达1024位，故极大地增强了IC卡的安全性。一种专门用于确保安全的智能卡，在卡中存储了一个很长的用户专门密钥和数字证明书，完全可以作为一个用户的数字身份证明。当前在Internet上所开展的电子交易中， 已有不少密码卡是使用了基于RSA的密码体制。,9.3.2 基于物理标志的认证技术,2022/12/21,数学系,77,IC卡用于身份识别的方法，明显优于使用磁卡。因磁卡是将数据存储在磁条上，较易用一般设备将其中的数据读出、修改和进行破坏；IC卡是将数据保存在存储器中，使用一般设备难于读出，这使IC卡具有更好的安全性。在IC卡中含有微处理器和存储器，可进行较复杂的加密处理IC卡具有非常好的防伪性和保密性；还因为IC卡所具有的存储容量比磁卡的大得多， 通常可大到100倍以上，故可在IC卡中存储更多的信息，从而做到“一卡多用”，换言之，一张IC卡，既可作为数字身份证，又可作为信用卡、电话卡及健康卡等等。,9.3.2 基于物理标志的认证技术,2022/12/21,数学系,78,3. 指纹识别技术 (1) 指纹。 指纹有着“物证之首”的美誉。全球绝对不可能找到两个完全相同的指纹。利用指纹进行身份认证万无一失，且非常方便。因为它不会像其它物理标志那样出现用户忘记携带或丢失等问题，故使用起来也特别方便利用指纹进行身份识别是有广阔前景的一种识别技术世界上愈来愈多的国家开展了对指纹识别技术的研究。,9.3.2 基于物理标志的认证技术,2022/12/21,数学系,79,(2) 指纹识别系统。 早在80年代，美国及其它发达国家便开始了对指纹识别技术的研究，并取得了一定的进展。在所构成的指纹识别系统中包括：指纹输入、指纹图像压缩、指纹自动比较等8个子系统。指纹识别系统是建立在大型计算机系统的基础上的，由于系统的庞大、价格的昂贵，始终使该技术难于普及；随着VLSI的迅速发展，才使指纹识别系统小型化， 使该技术进入了广泛应用的阶段。,9.3.2 基于物理标志的认证技术,2022/12/21,数学系,80,9.3.3 基于公开密钥的认证技术,1. 申请数字证书 由于SSL所提供的安全服务，是基于公开密钥证明书(数字证书)的身份认证，因此凡是要利用SSL的用户和服务器， 都必须先向认证机构(CA)申请公开密钥证明书。 (1) 服务器申请数字证书。 首先由服务管理器生成一密钥对和申请书服务器一方面将密钥和申请书的备份保存在安全之处，另一方面则向CA提交包括密钥对和签名证明书申请(即CSR)的加密文件，通常以电子邮件方式发送。CA接收并检查该申请的合法性后，将会把数字证书以电子邮件方式寄给服务器。,2022/12/21,数学系,81,(2) 客户申请数字证书。 首先由浏览器生成一密钥对，私有密钥被保存在客户的私有密钥数据库中，将公开密钥连同客户提供的其它信息，一起发往CA。如果该客户符合CA要求的条件， CA将会把数字证书以电子邮件方式寄给客户。,9.3.3 基于公开密钥的认证技术,2022/12/21,数学系,82,2. SSL握手协议,(1) 身份认证。 SSL协议要求通信的双方都利用自己的私用密钥对所要交换的数据进行数字签名，并连同数字证书一起发送给对方，以便双方相互检验。如上节所述，通过数字签名和数字证书的验证可以认证对方的身份是否真实。,9.3.3 基于公开密钥的认证技术,2022/12/21,数学系,83,(2) 协商加密算法。 为了增加加密系统的灵活性，SSL协议允许采用多种加密算法。客户和服务器在通信之前，应首先协商好所使用的某一种加密算法。通常先由客户提供自己能支持的所有加密算法清单，然后由服务器从中选择出一种最有效的加密算法， 并通知客户，此后，双方便可利用该算法对所传送的信息进行加密。 (3) 协商加密密钥。 先由客户机随机地产生一组密钥，再利用服务器的公开密钥对这组密钥进行加密后，送往服务器，由服务器从中选择4个密钥，并通知客户机，将之用于对所传输的信息进行加密。,9.3.3 基于公开密钥的认证技术,2022/12/21,数学系,84,3. 数据加密