1、“十二五十二五”职业教育国家规划教材(经全国职业教育教材审定委员会审定)职业教育国家规划教材(经全国职业教育教材审定委员会审定)高等职业教育精品示范教材(信息安全系列)高等职业教育精品示范教材(信息安全系列)数字身份认证技术 第一章第一章PKI概述本章学习目标本章学习目标了解信息安全以及公钥基础设施PKI的基本概念了解PKI的组成部份以及每部份的基本功能网络上的信息安全问题越来越突出,网络攻击事件逐年增长,越来越受到人们的重视。CNNIC2012年中国网民信息安全状况研究报告显示,84.8%的网民遇到过信息安全事件,总人数为 4.56 亿。安全事件中,垃圾短信和手机骚扰电话发生比例最高,分别有
2、 68.3%和 56.5%的网民遇到过,其它事件比例分别为:欺诈诱骗信息(38.2%)、中病毒或木马(23.1%)、假冒网站(17.6%)、账号或密码被盗(13.8%)、手机恶意软件(10.6%)、个人信息泄露(7.1%)。1.1网络攻击与防范网络攻击与防范常见的网络攻击方式常见的网络攻击方式网络信息安全的概念网络信息安全的概念1、可靠性(Reliability):指信息系统能够在规定条件下和规定的时间内完成规定的功能的特性。2、可用性(Availability):指信息可被授权实体访问并按需求使用的特性,是系统面向用户的安全性能。3.保密性(Confidentiality):指信息不被泄露给
3、非授权的用户、实体或过程,或供其利用的特性。4、完整性(Integrity):指网络信息未经授权不能进行改变的特性,既信息在存储或传输过程中保持不被偶然或蓄意地删除、修改、伪造、乱序、重放、插入等破坏和丢失的特性。5、不可抵赖性(Non-repudiation):指在信息交互过程中,确信参与者的真实同一性,既所有参与者都不可能否认或抵赖曾经完成的操作和承诺的特性。6、可控性(Controllability):指对信息传播及内容具有控制能力的特性。安全机制安全机制1)密码机制(Encipherment2)数字签名机制(Digital Signature Mechanisms3)访问控制机制(Ac
4、cess Control Mechanisms4)数据完整性机制(Data Integrity Mechanisms此外还有验证交换机制、业务流填充机制、仲裁机制、可信功能等等。1.2 PKI的基本概念的基本概念一般基础设施的概念1、交通2、电力3、给水和污水处理设施4、通讯5、垃圾处理6、煤气供应及管道设施7、石油运输设施8、公共建筑设施9、休闲设施1.2 PKI的基本概念的基本概念基础设施的一些共同点1、可信机构(政府)兴建和管理。2、有统一的标准3、便捷的使用(接入4、根据环境的不同,实现方式可以略有不同5、不同实现方式之间具有互操作性6、支持新的应用扩展公钥基础设施公钥基础设施PKI的
5、概念的概念公钥基础设施(PKI,Public Key Infrastructure),是利用公钥理论和技术建立的提供信息安全服务的基础设施,是生成、管理、存储、分发和吊销基于公钥密码学的公钥证书所需要的硬件、软件、人员、策略和规程的总和,提供身份鉴别和信息加密,保证消息的数据完整性和不可否认性。主要组成部分主要组成部分权威认证机构CA(如政府部门)证书库密钥备份及恢复系统证书作废管理系统PKI应用系统接口等公钥基础设施公钥基础设施PKI的特点的特点PKI作为一种信息安全基础设施,其目标就是要充分利用公钥密码学的理论基础,建立起一种普遍适用的基础设施,为各种网络应用提供全面的安全服务。PKI作为
6、基础设施,提供的服务必须简单易用,便于实现。PKI与应用的分离也是PKI作为基础设施的重要特点。CA认证系统要在满足安全性、易用性、扩展性等需求的同时,从物理安全、环境安全、网络安全、CA产品安全以及密钥管理和操作运营管理等方面按严格标准制定相应的安全策略;要有专业化的技术支持力量和完善的服务系统,保证系统724小时高效、稳定运行。1.3 PKI的功能的功能1、身份认证2、数据完整性3、数据机密性4、不可否认性5、时间戳服务1.4 PKI的发展概况的发展概况1996年,美国成立了联邦PKI指导委员会,以推进PKI的开发、应用。1996年,以Visa、MastCard、IBM、Netscape、
7、MS、数家银行推出SET协议,推出CA和证书概念。1999年,PKI论坛成立,制定了X.500系列标准。2000年4月,美国国防部宣布要采用PKI安全倡议方案。2001年6月13日,在亚洲和大洋洲推动PKI进程的国际组织宣告成立1997年1月,科技部下达任务,中国国际电子商务中心(外经贸委)开始对认证系统进行研究开发。1999年,上海CA中心开始试运行。1999年10月7日,商用密码管理条例颁布。1999年-2001年,中国电子口岸执法系统完成。2000年6月29日,中国金融认证中心CFCA挂牌成立 1.5 典型应用案例典型应用案例网上银行应用1.5 典型应用案例典型应用案例国税CA本章结束第
8、二章第二章PKI密码学基础本章学习目标本章学习目标学会分析密码学基本概念、特点、分类熟练操作古典密码、现代密码和公钥密码的典型密码算法能够分析数字签名的实现和意义能够分析密钥管理的概念和内涵2.1 密码学的相关概念密码学的相关概念密码学密码学(cryptology)作为数学的一个分支,是密码编码学和密码分析学的统称。使消息保密的技术和科学叫做密密码编码学码编码学(cryptography)。密码编码学是密码体制的设计学,即怎样编码,采用什么样的密码体制以保证信息被安全地加密。从事此行业的人员叫做密码编码者密码编码者(cryptographer)。与之相对应,密码分析学密码分析学(cryptan
9、alysis)就是破译密文的科学和技术。密码分析学是在未知密钥的情况下从密文推演出明文或密钥的技术。密码分析者密码分析者(cryptanalyst)是从事密码分析的专业人员。保密通信的过程保密通信的过程相关术语相关术语明文:明文:是作为加密输入的原始信息,即消息的原始形式,通常用m或p表示。所有可能明文的有限集称为明文空间,通常用M或P来表示。密文:密文:是明文经加密变换后的结果,即消息被加密处理后的形式,通常用c表示。所有可能密文的有限集称为密文空间,通常用C来表示。密钥:密钥:是参与密码变换的参数,通常用k表示。一切可能的密钥构成的有限集称为密钥空间,通常用K表示。加密算法:加密算法:是将
10、明文变换为密文的变换函数,相应的变换过程称为加密,即编码的过程(通常用E表示,即c=Ek(p))。解密算法:解密算法:是将密文恢复为明文的变换函数,相应的变换过程称为解密,即解码的过程(通常用D表示,即p=Dk(c))。密码分析密码分析的的五种五种方式方式1、惟密文攻击(Ciphertext only)2、已知明文攻击(Known plaintext)3、选择明文攻击(Chosen plaintext)4、选择密文攻击(Chosen ciphertext)5、选择文本攻击(Chosen text)2.2古典密码古典密码密码学的发展大致经历了古典密码、现代密码和公钥密码三个阶段。1949年Sha
11、nnon发表的“保密系统的通信理论”(The Communication Theory of Secrecy Systems),将密码学纳入通信理论的研究范畴,奠定了密码学的数学基础,1976年W.Diffie和M.Hellman发表的“密码学的新方向”(New Directions in Cryptography),提出公钥密码思想,开辟了密码学的新领域,也为数字签名奠定了基础。隐写术隐写术公元前440年在古希腊战争中出现过隐写术。当时为了安全传送军事情报,奴隶主剃光奴隶的头发,将情报写在奴隶的光头上,待头发长长后将奴隶送到另一个部落,再次剃光头发,原有的信息复现出来,从而实现这两个部落之间
12、的秘密通信。隐写术隐写术芦花丛中一扁舟,芦花丛中一扁舟,俊杰俄从此地游,俊杰俄从此地游,义士若能知此理,义士若能知此理,反躬难逃可无忧。反躬难逃可无忧。隐写术隐写术千古奇文的“璇玑图”隐写术隐写术灯下,他郑重地打开纸包,按照那封信里指明的记号,把右角上用墨笔点了两点的一张毛边纸捡出来。那是一张空白毛边纸。鲁迅先生用洗脸盆盛满水,滴入一点碘酒,把纸平放到水面,纸上立刻现出了淡淡的字迹。这是方志敏同志生前从狱中用米汤写给鲁迅先生的一封信。换位密码换位密码换位密码换位密码换位密码换位密码例1 假设换位密码是如下置换,每五位为一组进行置换:加密明文:Who is undercover,得密文:OIWS
13、H DEURN VECRO。换位密码换位密码例2 假设密钥以单词形式给出:china,根据各字母在26个英文字符中的顺序,可以确定置换为:23451,加密明文:Kill Baylor,得到密文:ILLBK YLORA。例3 假设换位密码的密钥为如下图所示的映射:则加密明文:Six dollars per ton,得到密文:DLALSXIO ETNORPSR。换位密码换位密码例4 假设换位密码的加密方式如图所示加密明文:David is a Russian spy,得到的密文是:DDRIP AIUAY VSSN IASS。空格的部分一般按照约定以特定字符如A补足,或者直接留空。代换密码代换密码代
14、换,也称“代替”、“替换”,就是将字符用其他字符或图形代替,以隐藏消息。在公元前2世纪,在古希腊出现了Polybius校验表,这个表实际是将字符转换为数字对(两个数字)。代换密码代换密码“凯撒挪移码”古罗马恺撒大帝用来保护重要军情的加密系统,也称凯撒古罗马恺撒大帝用来保护重要军情的加密系统,也称凯撒移位。通过将字母按顺序推后起移位。通过将字母按顺序推后起3位起到加密作用,如将位起到加密作用,如将字母字母A换作字母换作字母D,将字母,将字母B换作字母换作字母E。pigpen cipher用一个符号来代替一个字母,把用一个符号来代替一个字母,把26个字母写进如图个字母写进如图2-5所所示的四个表格
15、中,然后加密时用这个字母所挨着表格的那示的四个表格中,然后加密时用这个字母所挨着表格的那部分来代替部分来代替。代换密码代换密码代换密码代换密码跳舞的小人福尔摩斯探案集代换密码代换密码代换密码代换密码多表代换如代换密钥字为:six,各字母对应的数字编号为:18、8、23,这相当于三个移位变换:加密明文:Cryptography is not complicated。得到密文:UZVHBLYZXHPVAAKGBZGUMDQZSBBV。对称密码体制对称密码体制对称密码体制也称为秘密密钥密码体制、单密钥密码体制或常规密码体制,对称密码体制的基本特征是加密密钥与解密密钥相同。对称密码算法的优缺点(1)优
16、点:加密、解密处理速度快、保密度高等。(2)缺点:密钥分发困难 多人通信时密钥组合的数量会出现爆炸性膨胀,使密钥分发更加复杂化 通信双方必须统一密钥,才能发送保密的信息。数字签名困难分组密码分组密码分组密码和序列密码是现代密码学加密方法,都是先将明文消息编码为数字序列,然后再使用特定方式加密的密码体制。分组密码是将明文消息编码表示后的数字(简称明文数字)序列,划分成长度为n的组(可看成长度为n的矢量),每组分别在密钥的控制下变换成等长的输出数字(简称密文数字)序列。扩散和混乱扩散和混乱扩散(diffusion)和混乱(confusion)是影响密码安全的主要因素。在各种密码算法中都在想方设法增
17、加扩散和混乱的程度,以增强密码强度。扩散的是让明文中的单个数字影响密文中的多个数字,从而使明文的统计特征在密文中消失,相当于明文的统计结构被扩散。混乱是指让密钥与密文的统计信息之间的关系变得复杂,从而增加通过统计方法进行攻击的难度。分组密码的结构分组密码的结构轮函数F,有时也称“圈函数”,是经过精心设计的,是分组密码的核心。F函数一般基于代换-置换网络,代换可以起到混乱作用,而置换可以提供扩散作用。这样经过多轮变换,不断进行代换-置换-代换-置换,最终实现高强度的加密结果。DESDES算法全称为Data Encryption Standard,即数据加密标准,它是IBM公司于1975年研究成功
18、的,1977年被美国政府正式采纳作为数据加密标准。DES使用一个56位的密钥作为初始秘钥(如果初始秘钥输入64位,则将其中8位作为奇偶校验位),加密的数据分组是64位,输出密文也是64位。DES流程图流程图DES算法轮函数算法轮函数DES算法密钥生成算法密钥生成轮函数中的轮函数中的代换代换S盒盒其他典型的分组密码其他典型的分组密码AES算法算法Camellia算法算法IDEA国际数据加密算法国际数据加密算法RC系列密码算法系列密码算法序列密码序列密码序列密码也称为流密码(Stream Cipher),它是对称密码算法的一种。序列密码具有实现简单、便于硬件实施、加解密处理速度快、没有或只有有限的
19、错误传播等特点,因此在实际应用中,特别是专用或机密机构中保持着优势,典型的应用领域包括网络通信、无线通信、外交通信等。如果序列密码所使用的是真正随机方式的、与消息流长度相同的密钥流,则此时的序列密码就是一次一密的密码体制。序列密码结构序列密码结构序列密码分为同步序列密码和自同步序列密码序列密码与分组密码的对比序列密码与分组密码的对比分组密码以一定长度的分组作为每次处理的基本单元,而序列密码则是以一个元素(一个字母或一个比特)作为基本的处理单元。序列密码是一个随时间变化的加密变换,具有转换速度快、低错误传播的优点,硬件实现电路更简单;其缺点是:低扩散(意味着混乱不够)、插入及修改的不敏感性。分组
20、密码使用的是一个不随时间变化的固定变换,具有扩散性好、插入敏感等优点;其缺点是:加解密处理速度慢、存在错误传播。2.4 非对称密码体制非对称密码体制非对称密码体制也叫公开密钥密码体制、双密钥密码体制。其原理是加密密钥与解密密钥不同,形成一个密钥对,用其中一个密钥加密的结果,可以用另一个密钥来解密。公开密钥密码体制的产生主要基于以下两个原因:一是为了解决常规密钥密码体制的密钥管理与分配的问题;二是为了满足对数字签名的需求。因此,公钥密码体制在消息的保密性、密钥分配和认证领域有着重要的意义。两种密码体制比较两种密码体制比较RSA公钥密码体制公钥密码体制RSA公钥加密算法是1977年由Ron Riv
21、est、Adi Shamirh和LenAdleman在(美国麻省理工学院)开发的。RSA取名来自开发他们三者的名字。RSA算法描述算法描述:RSA算法的简单例子算法的简单例子RSA算法特点算法特点RSA的安全性依赖于大数的因子分解,但并没有从理论上证明破译RSA的难度与大数分解难度等价。RSA的缺点主要有:产生密钥很麻烦,受到素数产生技术的限制,因而难以做到一次一密。分组长度太大,为保证安全性,n 至少也要 600bits以上,使运算代价很高,尤其是速度较慢,较对称密码算法慢几个数量级;且随着大数分解技术的发展,这个长度还在增加,不利于数据格式的标准化。ELGamal公钥密码体制公钥密码体制2
22、.5 hash算法算法Hash,一般翻译做“散列”,也有直接音译为“哈希”的,就是把任意长度的输入(又叫做预映射,pre-image),通过散列算法,变换成固定长度的输出,该输出就是散列值。对一个散列算法来说,一般要求不同的消息的到不同的散列值,即每个散列值可以唯一的代表一个消息。原始消息的微小改变要求能带来散列值的巨大改变。Hash算法的应用算法的应用1、文件校验2、数字签名3、鉴权协议常见的常见的hash算法算法1、MD42、MD53、SHA-1及其他2.6 数字签名数字签名所谓数字签名就是附加在数据单元上的一些数据,或是对数据单元所作的密码变换。这种数据或变换允许数据单元的接收者用以确认
23、数据单元的来源和数据单元的完整性并保护数据,防止被人(例如接收者)进行伪造。它是对电子形式的消息进行签名的一种方法,一个签名消息能在一个通信网络中传输。数字签名的特点数字签名的特点1、真实性2、完整性3、不可否认性PGP数字签名数字签名PGPPretty Good Privacy,是1991年由Philip Zimmermann开发的数字签名软件,提供可用于电子邮件和文件存储应用的保密与鉴别服务,openpgp已提交IETF标准化。主要特点有:免费;可用于多平台如DOS/Windows、Unix、Macintosh等;选用算法的生命力和安全性公众认可;具有广泛的可用性;不由政府或标准化组织控制
24、。PGP的的加密功能加密功能1、在任何软件中进行加密/签名以及解密/效验2、创建以及管理密钥3、创建自解密压缩文档(self-decrypting archives,SDA)4、创建PGPdisk加密文件5、永久的粉碎销毁文件、文件夹,并释放出磁盘空间6、完整磁盘加密,也称全盘加密7、即时消息工具加密8、PGP zip,PGP压缩包9、网络共享10、创建可移动加密介质(闪存盘/CD/DVD)产品PGP Portable2.7 密钥管理密钥管理 密钥管理包括从密钥的产生到密钥的销毁的各个方面,贯穿整个密钥的生存期。主要表现为管理体制、管理协议和密钥的产生、分配、更换、注入、注销、销毁等。1、密钥
25、生成2、密钥分发3、验证密钥4、更新密钥5、密钥存储6、备份密钥7、密钥有效期8、密钥的注销和销毁密钥分配密钥分配对称算法的密钥分配密钥分配密钥分配非对称算法的密钥分配PKI公开密钥管理/数字证书。贸易伙伴间可以使用数字证书(公开密钥证书)来交换公开密钥。国际电信联盟(ITU)制定的标准X.509,对数字证书进行了定义该标准等同于国际标准化组织(ISO)与国际电工委员会(IEC)联合发布的ISO/IEC 9594-8:195标准。数字证书通常包含有唯一标识证书所有者(即贸易方)的名称、唯一标识证书发布者的名称、证书所有者的公开密钥、证书发布者的数字签名、证书的有效期及证书的序列号等。证书发布者
26、一般称为证书管理机构(CA),它是贸易各方都信赖的机构。数字证书能够起到标识贸易方的作用,是目前电子商务广泛采用的技术之一。本章结束第三章第三章PKI体系结构与功能本章学习目标本章学习目标学会分析公钥基础设施PKI的组成及体系结构熟练操作PKI的主要功能操作,学会分析常用的PKI标准熟悉PKI的应用领域3.1 PKI的系统组成和各实体的功能的系统组成和各实体的功能一个PKI体系必须保证如下相关服务功能的实现:用户身份的可信认证;制定完整的证书管理政策;建立高可信度的认证CA中心;用户实体属性的管理;用户身份的隐私保护;证书作废列表处理;认证机构CA为用户提供证书库及CRL服务的管理;安全及相应
27、的法律法规的制定、责任的划分和完善相关政策。典型的典型的PKI系统系统3.2 认证机构认证机构CACA的分层体系结构CA的组成要件的组成要件3.3注册机构注册机构RA3.4 PKI的功能操作的功能操作PKI要进行一系列的功能操作,总体而言可以归结为四个部分:证书管理与撤销、密钥管理、LDAP目录服务、审计1 证书分类和管理证书分类和管理2 证书签发证书签发3 证书发行证书发行4 证书归档证书归档5 CRL的签发与更新的签发与更新6 CRL的下载和验证的下载和验证7 证书状态查询证书状态查询密钥管理密钥管理1、密钥的产生、验证和分发2、密钥备份、销毁和恢复3、密钥的更新和注销LDAP目录服务目录
28、服务1、LDAP数据仓库的读取2、LDAP数据仓库的查询3、LDAP数据仓库的修改审计审计CA保存所有与安全有关的审计信息。如:产生密钥对;证书的请求;密钥泄露的报告;证书中包括的某种关系的终止等;证书的使用过程。3.5 PKI互操作性和标准化互操作性和标准化PKI体系在全球互通有两种可行的实现途径:交叉认证和统一根证书。PKI标准可以分为第一代和第二代标准。X.509为证书及其CRL格式提供了一个标准。但X.509本身不是Internet标准,而是国际电联ITU标准,它定义了一个开放的框架,并在一定的范围内可以进行扩展。X.509的三个版本的三个版本3.6 PKI服务与应用服务与应用PKI提
29、供的核心服务包括身份认证、数据完整性、机密性、不可否认性。1、身份认证服务2、数据完整性服务3、数据机密性服务4、不可否认性服务 PKI应用应用1、信息安全传输2、安全电子邮件3、安全终端保护4、可信电子印迹 5、可信网站服务 6、代码签名保护 7、授权身份管理 8、行为责任认定 本章结束第四章第四章PKI数字认证常用数字身份认证技术与应用常用数字身份认证技术与应用学会分析常见身份认证技术特点、用途学会分析常见身份认证技术的优点、缺点熟练操作从因特网上申请数字证书的要求与步骤学会分析PKI数字证书的工作原理熟练操作安全套接子层SSL、电子印章技术、安全电子邮件技术在数字证书中的应用本章学习目标
30、本章学习目标常用数字身份认证技术与应用常用数字身份认证技术与应用身份认证是系统审查用户身份的进程,从而确定该用户是否具有对某种资源的访问和使用权限。身份认证通过标识和鉴别用户的身份,提供一种判别和确认用户身份的机制身份认证技术在信息安全中处于非常重要的地位,是其他安全机制的基础。常用数字身份认证技术与应用常用数字身份认证技术与应用4.1.1 静态口令认证静态口令认证是最简单也是最常用的身份认证方法,它是基于“你知道什么”的验证手段。每个用户的密码是由这个用户自己设定的,也只有用户自己才知道,因此只要能够正确输入密码,计算机就确认用户的合法性。常用数字身份认证技术与应用常用数字身份认证技术与应用
31、静态品令认证的优点:一般的系统(如UNIX,Windows NT,NetWare等)都提供了对口令认证的支持,对于封闭的小型系统来说不失为一种简单可行的方法。基于静态口令的认证方法存在下列不足:静态口令认证的缺点:1用户每次访问系统时都要以明文方式输入口令,容易泄密。2口令在传输过程中可能被截获。3用户访问多个不同安全级别的系统时,都要求用户提供口令,用户为了记忆方便,往往采用相同的口令。常用数字身份认证技术与应用常用数字身份认证技术与应用4.1.2 短信密码认证短信密码以手机短信形式请求包含6位随机数的动态密码,身份认证系统以短信形式发送随机的6位密码到客户的手机上。常用数字身份认证技术与应
32、用常用数字身份认证技术与应用短信密码认证的优点:1安全性:由于手机与客户绑定比较紧密,短信密码生成与使用场景是物理隔绝的,因此密码在通路上被截取几率降至最低。2普及性:只要会接收短信即可使用,大大降低短信密码技术的使用门槛,学习成本几乎为0,所以在市场接受度上面不会存在阻力。3易收费:对于运营商来说,这和PC时代互联网截然不同的理念,而且收费通道非常的发达,如果是网银、第三方支付、电子商务可将短信密码作为一项增值业务,每月通过手机终端收费不会有阻力,因此也可增加收益。4易维护:由于短信网关技术非常成熟,大大降低短信密码系统上的复杂度和风险,短信密码业务后期客服成本低,稳定的系统在提升安全同时也
33、营造良好的口碑效应,这也是目前银行也大量采纳这项技术很重要的原因。常用数字身份认证技术与应用常用数字身份认证技术与应用短信密码认证的缺点:1移动信号正常覆盖必须要求在移动信号覆盖的地区,如果在一个封闭的环境,比如电梯,地下室,隧道、偏僻的山区等就无法正常收到移动信号,也就不能正常获取知信密码。2存在延迟通过手机获取短信密码,由于空间区域的复杂性,获取短信密码存在延迟,因此当在急于登录系统时,而短信密码迟迟无法接收形成矛盾。常用数字身份认证技术与应用常用数字身份认证技术与应用4.1.3 智能卡认证 智能卡身份验证方式时,需要将智能卡插入智能卡读卡器中,然后输入一个 PIN 码(相于用户的口令,通
34、常为四到八位)。这种类型的身份验证既验证用户持有的凭证,又验证用户知晓的信息,以此确认用户的身份。常用数字身份认证技术与应用常用数字身份认证技术与应用基于智能卡的身份认证系统中采用共享密钥的身份认证协议。其身份认证流程如下:1被认证方向认证方发起认证请求,并提供自己的身份IDi;2认证方首先查找合法用户列表中是否存在身份IDi,如果不存在则停止下面的操作,返回被认证方一个错误信息。如果存在身份IDi,则认证方随机产生一个128 bit的随机数N,将N传给被认证方;3被认证方接收到128 bit的随机数N后,将此随机数N送入智能卡输入数据寄存器中,发出身份信息加密命令,智能卡利用存储在硬件中的共
35、享密钥K采用Rijndael算法对随机数N进行加密,加密后的结果存放在输出数据寄存器中;4被认证方从智能卡输出数据寄存器中取得加密后的数据,传给认证方。认证方同样通过智能卡完成共享密钥K对随机数N的加密,如果加密结果和被认证方传来的数据一致则认可被认证方的身份,否则不认可被认证方的身份。常用数字身份认证技术与应用常用数字身份认证技术与应用智能卡认证优点:1安全性安全性2方便性方便性3经济利益经济利益4用户化用户化5其他优点其他优点现金仍然是当今社会中非常重要的一种支付手段。因此,有必要寻找一种更为安全方便,也更为经济的替代手段来实现现金收付的功能。当前有80%左右的款项收付是通过现金来实现的。
36、智能卡相对于支票、信用卡来说有以下二个长处:(1)降低了操作成本,提高了使用的简便性,降低了基础设施的支持成本,例如银行系统和电话网的维护费用。(2)在一个平台上集中了信用卡、卡和货币存储卡的多种功能,实现了一卡多能,例如职工医保卡。常用数字身份认证技术与应用常用数字身份认证技术与应用智能卡认证的缺点:目前智能卡存放信息一般包括两类:1.采用非接触射频识别技术,将信息存在半导体芯片中;2.采用磁性记录技术,把用户信息存在嵌有磁条的塑料卡中,磁条上记录有用于机器识别的个人信息。这类卡易于制造,而且磁条上的记录数据也易于转录,因此要设法防止仿制。另外采用磁性记录技术的智能卡不能与磁体接触,容易导致
37、消磁。常用数字身份认证技术与应用常用数字身份认证技术与应用4.1.4 生物认证生物识别技术是指通过计算机与光学、声学、生物传感器和生物统计学原理等高科技手段密切结合,利用人体固有的生理特性,(如指纹、脸象、红膜等)和行为特征(如笔迹、声音、步态等)来进行个人身份的鉴定技术。常见的有指纹识别、足迹识别、视网膜识别等。常用数字身份认证技术与应用常用数字身份认证技术与应用指纹识别技术:指纹识别技术是以数字图像处理技术为基础,而逐步发展起来的。相对于密码、各种证件等传统身份认证技术而言,指纹识别是一种更为理想的身份认证技术。实现指纹识别有多种方法。其中有些是仿效传统的公安部门使用的方法,比较指纹的局部
38、细节;有些直接通过全部特征进行识别;还有一些使用更独特的方法,如指纹的波纹边缘模式和超声波。常用数字身份认证技术与应用常用数字身份认证技术与应用指纹识别优点:1.不容易复制;2.指纹比较固定,不会随着年龄的增长或健康程度的变化而变化;3.指纹图像便于获取,易于开发识别系统,具有很高的实用性和可行性。常用数字身份认证技术与应用常用数字身份认证技术与应用指纹识别缺点:1.准确性和稳定性还有待提高,特别是当用户身体受到伤病或污渍的影响,往往导致无法正常识别。2.指纹识别容易被盗取,因此目前只适合于一些安全性要求低的场合,对于一些安全性要求较高的场合如银行、部队等而是改用其它方式的身份识别。常用数字身
39、份认证技术与应用常用数字身份认证技术与应用足迹识别技术足迹识别是通过对人在站立和行走运动中,赤足或穿鞋袜的足与地面等承痕表面接触形成的痕迹来验证用户身份,主要应用于刑侦案件的侦破。常用数字身份认证技术与应用常用数字身份认证技术与应用足迹识别的优点:1.足迹在现场的出现率非常高,提取率也非常高。2.足迹不易伪装。即使嫌疑人作案不戴手套,为避免留下指纹会对很多动作特别注意,但嫌疑人只要作案就必然在现场行走,只要行走就会反映出正常的行走特征,所以相比其他痕迹,足迹痕迹更难进行伪装。3.现场勘察的一个重要工作就是从技术角度确定侦查方向,准确判断案件性质,判断现场来去路线,判断作案过程及人数等。4.能通
40、过对足迹大小压力情况等的初步检验来判断穿鞋人年龄、身高、体态、职业等特点,为侦查破案提供更多的线索。常用数字身份认证技术与应用常用数字身份认证技术与应用视网膜识别技术视网膜扫描技术是最古老的生物识别技术,通过使用光学设备发出的低强度光源扫描视网膜上独特的图案,进而确定身份。常用数字身份认证技术与应用常用数字身份认证技术与应用视网膜识别的优点:(1)视网膜是一种极其固定的生物特征,因为它是隐藏的,故而不可能磨损,老化或是为疾病影响;(2)使用者不需要和设备进行直接的接触;(3)是一个最难欺骗的系统因为视网膜是不可见的,故而不会被伪造。常用数字身份认证技术与应用常用数字身份认证技术与应用视网膜识别
41、的缺点:(1)视网膜技术未经过任何测试。(2)视网膜技术激光照射眼球的背面可能会影响使用者健康可能会给使用者带来健康的损坏,这需要进一步的研究;(3)对于消费者,视网膜设备相当的昂贵,很难进一步降低成本,因此视网膜技术没有吸引力。常用数字身份认证技术与应用常用数字身份认证技术与应用虹膜识别技术虹膜的形成由遗传基因决定,人体基因表达决定了虹膜的形态、生理、颜色和总的外观。人发育到八个月左右,虹膜就基本上发育到了足够尺寸,进入了相对稳定的时期。除非极少见的反常状况、身体或精神上大的创伤才可能造成虹膜外观上的改变外,虹膜形貌可以保持数十年没有多少变化。常用数字身份认证技术与应用常用数字身份认证技术与
42、应用虹膜技术的优点:(1)快捷方便(2)授权灵活:本系统根据管理的需要,可任意调整用户权限,随时了解用户动态,包括客户身份、操作地点、功能及时间次序等,实现实时智能管理;(3)无法复制(4)配置灵活多样(5)投入少、免维护:装配本系统可以保留原来的锁,但其机械运动件减少,且运动幅度小,门栓的寿命更长;系统免维护,并可随时扩充、升级,无须重新购置设备。长远来看,效益显著,并可使管理档次大大的提高常用数字身份认证技术与应用常用数字身份认证技术与应用虹膜技术的缺点:(1)它没有进行过任何的测试,当前的虹膜识别系统只是用统计学原理进行小规模的试验,而没有进行过现实世界的唯一性认证的试验;(2)很难将图
43、像获取设备的尺寸小型化;(3)需要昂贵的摄像头聚焦,一个这样的摄像头的最低价为7000美元;(4)镜头可能产生图像畸变而使可靠性降低;(5)黑眼睛极难读取;(6)需要较好光源.常用数字身份认证技术与应用常用数字身份认证技术与应用4.2 数字身份认证4.2.1 PKI数字证书的特点数字证书的特点1数字证书是数字证书是PKI的核心工具的核心工具2PKI数字证书具备权威性数字证书具备权威性3PKI数字证书数字证书网上身份证网上身份证4PKI数字证书担保公钥的真实性数字证书担保公钥的真实性5PKI数字证书是符合标准的电子证书数字证书是符合标准的电子证书常用数字身份认证技术与应用常用数字身份认证技术与应
44、用4.2.2 PKI数字证书分类数字证书分类PKI数字证书按其应用角度、应用安全等级和证书持有者实体角色可分为不同种类。1应用角度证书应用角度证书(1)服务器证书(2)电子邮件证书(3)企业高级证书2安全等级证书安全等级证书(1)企业高级证书(2)企业级一般证书(3)普通个人证书常用数字身份认证技术与应用常用数字身份认证技术与应用3证书持有者实体角色证书证书持有者实体角色证书(1)CA根证书(2)运行CA证书(3)CA管理者证书(4)RA管理员证书常用数字身份认证技术与应用常用数字身份认证技术与应用4.2.3 数字身份认证工作原理数字身份认证工作原理1公开密钥完成对称加密系统的密钥交换,完成保
45、密通信公开密钥完成对称加密系统的密钥交换,完成保密通信常用数字身份认证技术与应用常用数字身份认证技术与应用2私钥加密,公钥解密完成双方的身份验证常用数字身份认证技术与应用常用数字身份认证技术与应用3私钥加密,公钥解密实现数字签名,完成发送方身份确认常用数字身份认证技术与应用常用数字身份认证技术与应用4.3.4 PKI数字认证生命周期数字认证生命周期1证书申请与审核证书申请与审核2证书生成证书生成3证书发布与使用证书发布与使用4证书与证书密钥更新证书与证书密钥更新5证书撒销证书撒销6证书终止证书终止常用数字身份认证技术与应用常用数字身份认证技术与应用1证书申请与审核常用数字身份认证技术与应用常用
46、数字身份认证技术与应用2证书生成3证书发布与使用(1)电子签发服务机构对证书的发布(2)密钥对和证书的使用(3)依赖方对公钥和证书的使用用签发机构的证书验证证书中的签名,确认该证书是签发机构签发的,并且证书的内容没有被篡改。检验证书的有效期,确认该证书在有效期之内。查询证书状态,确认该证书没有被注销。常用数字身份认证技术与应用常用数字身份认证技术与应用4证书与证书密钥更新证书与证书密钥更新(1)证书更新方式证书的有效期将要到期;密钥对的使用期将要到期;因私钥泄漏而吊销证书后,就需要进行证书更新;其他。(2)证书更新请求的处理常用数字身份认证技术与应用常用数字身份认证技术与应用5证书撒销证书撒销
47、(1)发生下列情形之一的,订户应当申请撒销数字证书:数字证书私钥泄露;数字证书中的信息发生重大变更;认为本人不能实际履行数字证书认业务规则。(2)发生下列情形之一的,签发机构可以撒销其签发的数字证书:申请实体申请撒销数字证书;申请实体提供的信息不真实;申请实体没有履行双方合同规定的义务;数字证书的安全性得不到保证;法律、行政法规规定的其他情形。常用数字身份认证技术与应用常用数字身份认证技术与应用(3)撒销请求的流程常用数字身份认证技术与应用常用数字身份认证技术与应用6证书终止证书有效期满,申请实体不再延长证书使用期或者不再重新申请证书时,申请实体可以终止证书订购;在证书有效期内,证书被撒销后,
48、即证书订购结束。常用数字身份认证技术与应用常用数字身份认证技术与应用4.3 数字身份认证关键技术4.3.1 安全套接字层安全套接字层SSL 超文本传输协议(HTTP)以明文传输信息,这样很容易造成信息泄漏或遭受攻击,特别是在电子商务领域,使用HTTP更是危险。为安全个人或金融信息的传输,NETSCAPE开发了安全套接字层(SSL)协议来管理信息的加密.用以保障在Internet上数据传输之安全.常用数字身份认证技术与应用常用数字身份认证技术与应用1B/S架构系统安全原理(1)身份认证和访问控制实现原理(2)信息机密性实现原理(3)信息抗抵赖性实现原理常用数字身份认证技术与应用常用数字身份认证技
49、术与应用2SSL完整应用流程常用数字身份认证技术与应用常用数字身份认证技术与应用4.3.2 电子签章技术电子签章技术能够在电子文件中识别双方交易的真实身份,保证交易的安全性和真实性以及不可抵赖性,起到与手写签名或盖章同等作用的签名的电子技术手段,称之为电子签章。常用数字身份认证技术与应用常用数字身份认证技术与应用1电子签章系统通用框架结构常用数字身份认证技术与应用常用数字身份认证技术与应用2电子签章工作原理常用数字身份认证技术与应用常用数字身份认证技术与应用4.3.3 S/MIME安全电子邮件技术安全电子邮件技术应用于邮件加密中的是发展很快的安全电子邮件协议是S/MIME(The Secure
50、 Multipurpose Internet Mail Extension),其系统大部分都是基于PKI开发的,依据该标准设计的电子邮件系统基本上满足了身份验证、数据保密性、数据完整性和不可否认性等安全要求。它是一个允许发送加密和有签名邮件的协议,由RSA公司提出,是电子邮件的安全传输标准,可用于发送安全报史的IETF标准。目前大多数电子邮件产品都包含对S/MIME的内部支持。常用数字身份认证技术与应用常用数字身份认证技术与应用2S/MIME工作原理(1)发送方通过客户端如专业收发邮件软件:OUTLOOK EXPRESS、FOXMAIL等,编写电子邮件;(2)提交电子邮件时,根据指定的公钥和私