《通信网安全与保密》课件第4章.ppt

1、第4章 网络安全服务第第4章章 网络安全服务网络安全服务4.1 安全服务的基本概念4.2 认证4.3 访问控制4.4 机密性4.5 完整性4.6 不可否认性4.7 小结习题 第4章 网络安全服务4.1 安全服务的基本概念安全服务的基本概念安全服务的概念主要由一系列安全框架和安全标准进行定义，这些安全框架是安全服务、安全机制、安全策略以及安全协议的基础，是通信网络安全的理论基础。这些标准定义了进程之间交换信息时所涉及的安全体系结构、安全术语、安全过程以及安全区域。第4章 网络安全服务4.1.1 安全区域安全区域属于某个组织的处于一定范围的资源处理和通信的集合叫做一个安全区域。该定义涉及两部分内容

2、，第一个内容是它限制了一个特定的范围，该范围可以是空间上的(比如大学校园)，也可以是时间上的(比如从2004年到2006年的有效期)。第二个内容是它包含了信息资源以及这些资源的处理或者交换过程，它实际上是安全所保护的对象。安全区域的定义具有相对性，它会随着保护措施的变化而变化。第4章 网络安全服务比如，我们通过口令机制和访问控制机制来保护校园内的某一个局域网，这时的安全区域就是所保护的这个局域网。如果这个网络要与另外一个具有相同安全保护机制的局域网络互联，我们除了增加必要的网络互联设备外，还要增加安全防护设备(比如防火墙)，提供两个局域网络之间的安全保护，这时的安全区域就扩大了，囊括了这两个局

3、域网络。第4章 网络安全服务安全保护、安全措施、安全服务等概念，都是针对一定的安全区域而言的，不能抛开安全区域而谈安全保护和措施。从理论上讲，我们可以高度抽象和高度概括安全服务等概念，但是，在具体实施的时候，一定要与某一个安全区域相联系，要对具体安全区域采取针对性的措施，提供与安全区域相适应的安全服务。某些安全服务对一个特定的安全区域可能很有效，而对另外一个安全区域可能效果很差。因此我们说，没有绝对的安全，只有相对的安全。第4章 网络安全服务4.1.2 安全粒度安全粒度对某一个对象的安全保护细节，称为安全粒度。比如，我们要对一台计算机上的文件进行安全保护，根据需要，可以保护整体文件，也可以保护

4、文件中的记录，还可以保护记录中的数据字段，这些不同的保护细节就形成从粗到细的安全保护粒度。安全粒度直接影响安全系统的费用。安全粒度越粗，费用越低；安全粒度越细，费用越高。比如，如果我们只保护计算机系统中的某一个用户，则可以采取口令机制，费用很低；如果还要保护用户的数据文件，则可能就要采取数据加密的保护机制，相对费用较高。因此，在设计实际的安全系统时，充分考虑安全粒度这个因素，对降低费用是非常有效的。第4章 网络安全服务访问控制可以在不同的级别上定义保护的目标。每个粒度级别可以有自己的逻辑分离策略，还可以对不同的访问控制实施功能和访问决策功能的使用进行细化。例如，可能将对数据库服务器的访问控制作

5、为整体进行控制，也就是说，要么完全拒绝发起者访问，要么允许它访问服务器上的任何东西。另一种可能是对数据库目录信息树的保护，它的访问控制可以控制在整个树一级的粒度，也可以控制在树内的树干一级，还可能是树的条目一级，甚至是条目的属性一级。第4章 网络安全服务4.1.3 安全策略安全策略通常把一套安全规则的集合称为安全策略。每一条安全策略都与一个数据特征、一个实体特征以及允许的数据操作规则(典型的有创建、修改和删除)等联系起来。在有些策略中，这些规则没有明显地陈述出来，但是可以从策略表述中推断出来。安全策略决定了系统的安全要素，这些要素的共同特征是具有可用性和有效性，此外还需在适当的时候对系统安全要

6、素进行选择。第4章 网络安全服务安全策略通常是一些概要形式的规则，而不是具体的规定，它只指明相应的安全保护重点，而不具体说明如何达到所希望的安全保护。因此，安全策略属于安全技术规范的最高一级。由于安全策略具有抽象性和普遍性，因此，在实现安全策略时，要与具体的应用紧密结合。其具体实现与结合是一个不断细化的过程，这个过程首先是让此安全策略经受一个不断精确化的改进过程，在改进的过程中要在每个阶段增加更多的细节，这些细节是根据实际应用的具体实施而不断提出的。然后，需要在总安全策略的指导下对相应的应用领域进行细致的考查和研究。最后，基于精确化过程，可以得到从应用中抽取来的总安全策略，这是采用确切语言重新

7、表述的，总安全策略的建立可以使具体的执行细节更容易确定。第4章 网络安全服务安全策略的一个基本组成部分是授权。授权是指赋予主体(用户、终端、程序)对客体(数据、设备、程序)的支配权力，它规定了谁可以对什么做些什么。它可以明确说明“未经适当授权的实体，信息不可以给予、不被访问、不允许引用、任何资源也不得为其所用”。基于身份和基于规则的安全策略都建立在授权行为这一概念之上，这是因为所有的安全威胁都与授权行为或非授权行为有关。第4章 网络安全服务基于身份的安全策略通常是一组针对一般属性或敏感实体的规则，它的基本思想是过滤对数据或资源的访问。有两种执行基于身份策略的基本方法，一种方法是访问权为访问者所

8、有，典型的做法为特权标识或特殊授权，即仅为用户及相应活动进程进行授权。另一种方法是对访问数据采用访问控制列表进行控制。这两种情况中，数据项的大小可以有很大的变化，从完整的文档到数据元素，这些数据项可以按权限命名。第4章 网络安全服务基于规则的安全策略是指建立在特定的、个体化属性之上的授权准则，授权通常依赖于敏感性。在一个安全系统中，数据或资源应该标注安全标记，而且用户活动进程可以得到与其原发者相应的安全标记。在通信网络安全的整个领域中，安全策略应该把注意力集中到安全问题非常敏感的那些方面，它应该表明在安全区域内哪些是允许的，哪些是不允许的。第4章 网络安全服务4.1.4 安全机制安全机制提供安

9、全服务的具体方法称为安全机制。例如，认证是系统提供的一种安全服务，那么这种服务如何实现呢？我们可以通过口令机制、基于生物特征机制、密码机制等具体方法来提供认证服务。安全策略和安全机制之间的区别在于，前者规定了一个安全区域的安全规则，它从总体上规定了该安全区域应该遵循的安全要求，但是，它没有制定具体采取哪些安全措施(即安全服务)。而安全机制说明了某个安全区域内某一条具体的安全方法，它是可由主体直接实现的，在安全区域内，只有实现了所有的安全机制，才能认为实现了该安全区域的安全策略。第4章 网络安全服务同一个安全机制可以提供多种安全服务。例如，密码机制就是通过加密/解密的方法提供安全服务，它既可以提

10、供机密性服务，也可以提供访问控制服务，还可以提供认证服务。而同一种安全服务当中可以包含多种安全机制。第4章 网络安全服务4.1.5 可信第三方可信第三方所谓可信第三方，就是通信双方都信赖的一方，他可以作为中介、担保或者仲裁者。有些安全服务，必须依赖于可信第三方的参与。可信第三方在通信双方发生争执时进行调解，做出决策，有些情况下，可信第三方直接参与通信双方的通信过程，起到中继的作用，而这时通信双方可能不会直接进行会话，而由可信第三方传递。可信第三方一般能提供以下几种功能:第4章 网络安全服务(1)密钥证明：可信第三方通过发出公钥证书来证明特定公钥是否符合只有某特定方知道的私钥。可信第三方还必须负

11、责在有危险的情况下撤销证书。(2)身份证明：可信第三方通过代表发起者签署的数据项来担保该数据项发起者的身份。(3)时间戳：可信第三方证明数据项的签名是否带有一个特定时间。(4)证据储存：可信第三方承担安全储存证据的责任，用于解决纠纷。(5)传递代理：可信第三方充当发起者和接收者之间的媒介，确保发起者已经或者将要传递一个特定的数据项给接收者。(6)仲裁：可信第三方充当一个独立的裁决争执的仲裁者。第4章 网络安全服务对可信第三方的基本要求是：第一，他要保持中立，不偏袒任何一方；第二，他是可信赖的、诚实的；第三，他的角色要被通信双方所接受。通常情况下，要成为可信第三方，需要在合作或契约中协定，或者在

12、规则或法律上使其具体化。第4章 网络安全服务4.1.6 安全业务安全业务安全业务是指实现安全服务所需要的与利用、组合安全机制有关的操作和管理事务。安全框架阐明了信息系统环境中安全业务的应用，对系统内部及系统间的操作行为和信息管理提供安全保护方法。对数据元素和操作程序进行描述，形成特定的安全业务。这些安全业务不仅可以用于系统间的数据交换以及系统的数据管理，还可以用于系统的通信实体。第4章 网络安全服务安全业务之间以及安全业务内部各部分是相互联系的，它们之间相互依赖，相互依存。我们不能孤立地看待某一个安全业务，要想把其中的一部分与其它部分独立地分离开是很困难的。每个安全框架分离出一个不同的安全业务

13、，每一部分的描述用来提供该安全业务的机制范围。因此，一个安全业务对另一个安全业务的依赖关系是安全框架描述的主要内容。安全业务需要抽象业务接口，为安全操作提供一致的术语和定义，为进一步标准化提供基础。第4章 网络安全服务4.2 认认 证证认证就是提供关于某个实体身份的保证。认证是一种重要的、常用的安全服务。在ISO/IEC 1081-2中的认证框架部分对认证框架进行了描述，通过密码学技术的应用实现安全目标。有些认证机制可能依赖于专用的算法(如非对称算法)，有些认证机制则不依赖于任何特定的密码技术或者算法。可被认证的主体可以是用户、进程、实时开放系统、OSI层实体、组织机构(如企业)等。第4章 网

14、络安全服务4.2.1 认证对抗的安全威胁认证对抗的安全威胁认证对抗的主要安全威胁是“冒充”攻击和“重放”攻击。认证的基本目的是防止其它实体占用被认证实体的身份。冒充是指某一实体伪称为另一个实体。冒充通常与其它攻击方式(如修改)一起使用，可以用认证服务来对抗“冒充”。重放是指重复某信息的全部或部分内容，以产生未经许可的效果。重放一般与其它攻击(如数据修改)结合使用，可用认证服务来对抗重放。第4章 网络安全服务4.2.2 认证的基本原理认证的基本原理1申请者与验证者申请者与验证者认证提供了实体声称其身份的保证。认证涉及两类实体和一个操作过程。一类实体代表被认证者，称为“申请者”。另一类实体代表认证

15、者，称为“验证者”。认证操作过程包括通信、比较、计算、鉴别等一系列过程。第4章 网络安全服务申请者用于描述被认证的主体。它包括代表主体参与认证交换所必需的功能。验证者用于描述代表要求认证身份的实体。验证者包括参与认证交换所必需的功能。两类实体可以统属于一个通信系统，也可能分属于不同的通信系统。同一个实体，可以既充当申请者，又充当验证者，主要根据它在认证过程中的作用而定。比如在双向认证过程中，通信双方任何一个实体都同时充当申请者和验证者的角色。在认证过程中，有时需要可信第三方的参与。可信第三方用于描述安全权威机构或它的代理。在安全相关的活动中，它被其它实体所信任。在认证操作过程中，可信第三方受到

16、申请者和验证者的信任。第4章 网络安全服务2身份身份在通信网络系统中，实体的身份是用标识符来描述的。比如，表示用户身份的个人识别码就是一串数字，表示用户身份的指纹也是一串特征字。标识符与某一主体联系起来，与其它主体相区别。在某些情况下，一个主体可以拥有一个或多个将自身与其它主体区别开来的辨别标识符。第4章 网络安全服务在给定的安全区域中，要求可辨别标识符必须是唯一的，不能含糊不清。可辨别标识符在同一安全区域内将一个主体与其它主体通过两种方式区别开来。一种方式是在粗粒度等级上，从认证目的来看，实体组中的成员被认为是等效的。这种情况下，整个组被视为一个主体，拥有一个可辨别标识符。另一种方式是在细粒

17、度等级上，识别某个唯一的实体。在不同的安全区域之间进行认证时，由于不同的安全区域权威机构可能使用同一个可辨别标识符，因此可辨别标识符并不足以明确地识别实体。这种情况下，可辨别标识符须与安全区域标识符连接使用(如结合目录名、网络地址、对象标识符、人名和身份证件等)，达到为实体提供明确标识符的目的。第4章 网络安全服务身份的属性可以有已知的属性(如PIN)、所拥有的属性(如IC卡)、不可改变的属性(如生物特征指纹、面部特征)、可信第三方建立的认证属性(如速推)以及环境属性(如主机地址)。实际上，通过“拥有的”某物进行认证，一般是认证拥有的东西，而不是认证拥有者。但是，在这种认证中，往往把认证结果与

18、拥有者相联系。拥有的某物是否由一个特定主体唯一拥有，是此方法的关键所在。第4章 网络安全服务3主体主体身份所代表的实体称为主体(比如一个PIN身份可能就代表一个人，一个密码身份可能就代表一个通信进程)。主体是一个具有实际属性的东西，例如，它可能具有指纹、视网膜等被动特性，也可能具有信息交换和处理能力，具有信息存储能力，具有唯一固定的位置等。主体可能符合多种类型，不同的情况应用不同的认证方法。比如可以采取对被动特征的测度、对复杂质询和响应的评估、存储秘密以及确定其位置的认证方法。在实际认证中，最终认证的主体必然是人类用户，而不是认证代表人类用户行为的进程。以人类用户为主体的认证方法必须是人类可接

19、受的方法，并且是经济和安全的。令人无法接受的认证方法会导致用户寻找其它方法规避程序要求，导致潜在的入侵威胁增加。第4章 网络安全服务4.2.3 认证过程认证过程认证过程是经过不同阶段实现的。这些阶段在时间上并不一定都是分离的，也可能是交错的。在一个特定的认证过程中，并不要求经历所有这些阶段。在某些情况下，各阶段的顺序也不是相同的。认证分为以下几个阶段。1安装安装在安装阶段，定义申请认证信息和验证认证信息。2修改认证信息修改认证信息在修改认证信息阶段，主体或管理者导致申请认证信息和验证认证信息的变更(如修改PIN)。第4章 网络安全服务3分发分发在分发阶段，为了验证交换认证信息，验证认证信息分发

20、到各实体(如申请者或验证者)以供使用。例如，在脱机认证中，实体可以获得认证证书、证书撤销清单和权威机构撤销清单。分发阶段可发生在传送阶段之前、期间和之后。4获取获取在获取阶段，申请者或验证者可得到为认证实例生成特定交换认证信息所需的信息。通过与可信第三方进行交互或认证实体间的信息交换，不同的过程可得到交换认证信息。例如，当使用联机密钥分配中心时，申请者或验证者可从密钥分配中心得到一些信息，如认证证书，以实现与其它实体的认证。第4章 网络安全服务5传送传送在传送阶段，交换认证信息在申请者与验证者之间传送。6验证验证在验证阶段，验证认证信息核对交换认证信息。在这个阶段，本身不能验证交换认证信息的实

21、体可与可信第三方联系，第三方将完成对交换认证信息的验证任务。在此情况下，可信第三方将送回肯定或否定的响应。7停活停活在停活阶段，将建立一种状态，使得以前能被认证的主体暂时不能被认证。8重新激活重新激活在重新激活阶段，在停活阶段建立的状态被终止。9取消安装取消安装在取消安装阶段，主体从主体集合中被拆除。第4章 网络安全服务4.2.4 认证类型认证类型1实体认证与数据起源认证实体认证与数据起源认证根据认证的范围分类，认证分为两种类型，一种类型是实体认证，另一种类型是数据起源认证。实体认证主体由申请者来代表，申请者与验证者之间存在着特定的通信关系，在这种关系背景下，实体认证提供对主体身份的确认，主体

22、的已认证身份仅在服务被请求时才被保证，实体认证只对认证时刻的身份提供确认保证。数据起源认证是主体为验证者提供数据项来源，它将认证服务与数据完整性服务结合起来，使得认证具有持续性的保证。第4章 网络安全服务2可信第三方参与的认证可信第三方参与的认证认证形式可按是否有可信第三方的参与分为无须可信第三方参与的认证和有可信第三方参与的认证。在无须可信第三方参与的认证中，在最简单的情况下，无论申请者还是验证者，在生成和验证交换认证信息时都无须得到其它实体的支持。在这种情况下，为该主体使用的验证认证信息必须安装在验证者上。这一方通常在大规模通信环境中使用，一般要求验证者拥有安全区域中所有主体的验证认证信息

23、。在有可信第三方参与的认证中，验证认证信息可以通过与可信第三方的交互操作得到，在这一过程中必须保证信息的完整性。维持可信第三方的申请认证信息的机密性，而且要确保申请认证信息可以从验证认证信息里推演出来。第4章 网络安全服务认证过程可以包括一个或多个可信第三方。附加的可信第三方的引入担负着在大实体群之间的认证任务，每个实体群只能维护各自有限数量实体(而非所有实体)的信息。有可信第三方参与的认证又分为在线认证、联机认证、脱机认证三种认证形式。在在线认证情况下，可信第三方直接参与申请者与验证者之间的认证交换。主体接受仲裁者的认证，仲裁者在随后的在线认证中证明主体的身份。在线认证要求验证者信任仲裁者对

24、主体的认证，同时验证者通过认证确信仲裁者的身份。第4章 网络安全服务在联机认证的情况下，一个或多个可信第三方主动地介入每个认证交换的实例。不同于在线认证，联机认证的可信第三方并不直接处于申请者与验证者认证交换的路径上。联机的可信第三方可被申请者请求生成交换认证信息，并且在对交换认证信息进行验证的过程中协助验证者。联机的可信第三方可生成联机认证证书。在验证者与可信第三方之间，联机认证需要一系列的可信第三方参与，生成交换认证信息，可信第三方将证实主体的申请认证信息。在最简单的情况下，仅有一个可信第三方直接与申请者或验证者进行交互。第4章 网络安全服务在脱机认证情况下，要求使用被撤销证书的证明清单、

25、证书清单、证书时限等信息。在这种认证中，一个或多个可信第三方在无须参与每个认证实例的情况下支持认证。脱机可信第三方首先生成和分发脱机认证证书，然后验证者利用脱机认证证书证实认证交换。因此，认证交换在无权威机构的干预下自动进行。由于在认证发生时，可信第三方不需直接与申请者或验证者交互，因此，这个方法交互次数相对较少，效率较高。第4章 网络安全服务4.2.5 认证信息认证信息认证操作过程中申请者和验证者需要交换的信息称为认证信息，它是从申请者要求认证至认证过程结束所生成、使用和交换的信息。认证信息的类型有申请认证信息、交换认证信息、验证认证信息等。认证操作过程实际上形成了这三种认证信息的信息流。1

26、申请认证信息申请认证信息申请认证信息是指申请者声称需要认证的信息，它是申请者身份的具体描述。比如，它可能是一个代表身份的口令或者是某一类生物特征。申请认证信息用来生成交换认证信息，以认证一个主体。申请认证信息的实例有通行字、用于对称算法认证机制的密钥以及用于非对称算法认证机制的私钥。第4章 网络安全服务2交换认证信息交换认证信息交换认证信息是申请者与验证者之间在认证一个主体期间所交换的信息。交换认证信息的实例有声称的可辨别标识符、通行字、质询、对质询的响应、唯一数码、验证者辨别标识符、适用于使用申请者和其它数据(例如时间戳、随机号、计数器、质询、验证者身份、数字指纹和申请者身份)的转换函数(转

27、换函数有单向函数、非对称密码函数和对称密码函数)、联机证书、脱机证书等。第4章 网络安全服务3验证认证信息验证认证信息验证认证信息是验证者拥有的申请者的合法身份信息，比如在验证者一方保存的受保护的口令。验证认证信息是极其敏感的信息，因此，它一般都经过加密保护，或者由可信第三方持有。验证认证信息是通过交换验证所声称的身份信息。验证认证信息的实例有：通行字，与主体身份相关；秘密密钥，与主体或权威机构相关，用于非对称算法的认证机制；公共密钥，与主体或权威机构相关，用于对称算法的认证机制。第4章 网络安全服务验证认证信息可用认证的形式提供。认证表是一系列验证者可以直接访问的条目。对认证表的访问路径要有

28、完整性保护，对于对称认证机制还要有机密性保护。在认证表条目中可以包含的元素有主体的身份、验证认证信息(如通行字、秘密密钥或公共密钥)、条目的有效期、适用于条目的安全策略以及对条目负责的权威机构。第4章 网络安全服务4.2.6 认证证书认证证书认证证书是一种可用于认证的特殊形式的由可信任权威机构颁发的安全证书。它是认证信息的一种通用形式。认证证书的类型有联机认证证书、脱机认证证书、认证撤销证书、认证撤销证书清单等。第4章 网络安全服务认证证书中包含的元素有：已经用于生成密码校验值的方法和密钥标识；认证权威机构身份和已经颁发认证证书的代理身份(当一个权威机构由几个代理所代表时，各个代理一定要使用各

29、自的密钥)；认证证书的生成时间(用于审计处理或认证证书有效期不存在的时候，在安全策略有效期之后，过于陈旧的认证证书可能被拒绝)；认证证书的有效期，这一时间期限可认为是接受者的安全策略允许的时限；可用于认证证书的安全策略；该证书相对于同一权威机构代理的其它所有认证证书唯一的证书参考号码；证书类型；认证证书所希望的验证者的身份或属性，当其存在时，实体可以检查它，并且拒绝不正确的值，身份或属性可以是人类用户的名字、应用程序或物理机器身份。第4章 网络安全服务1联机认证证书联机认证证书联机认证证书是由可信第三方应申请者的要求直接生成的。联机认证证书通常作为交换认证信息的一部分传递给验证者。在联机认证证

30、书中可以包含的附加选项有：主体的可辨别标识符；使用数据源认证时数据的数字指纹；分配给主体用于认证的对称密钥；用于获得该认证证书的认证方法；使用该认证证书的认证方法；在过渡时必须用来保护认证证书的方法标识，以及获得这一保护的必要相关参数。第4章 网络安全服务2脱机认证证书脱机认证证书脱机认证证书将身份绑定到密钥上。它在申请者或验证者无须直接与权威机构交互的情况下，由权威机构生成。脱机认证证书通常用于非对称算法的认证机制中，作为交换认证信息的一部分传递给验证者。在脱机证书中可包含的附加元素有主体的可辨别标识符和由认证权威机构分配给主体的公钥，该公钥与算法标识一起使用。脱机认证证书可在有效期结束前，

31、通过使用认证撤销证书或认证撤销证书清单予以撤销。脱机认证证书主要应用于与公钥相关的验证认证信息中。第4章 网络安全服务3认证撤销证书认证撤销证书认证撤销证书是由安全权威机构颁发的、表明某一特定的脱机认证证书已被撤销的安全证书，这一信息被存储，在某个证书被提交时，用于确定所提交的认证证书是否仍然有效。在撤销证书中可包含的附加元素有主体身份、主体组或权威机构、脱机认证证书被撤销的日期和时间以及被撤销证书的参考号码。第4章 网络安全服务4认证撤销证书清单认证撤销证书清单认证撤销证书清单是所有被某给定权威机构撤销的认证证书的证明清单。这个清单带有该清单发布的时间和日期。这一信息被储存起来，在某个证书被

32、提交时用于确定所提交的认证证书是否仍然有效。撤销证书清单可以包含的元素有认证撤销证书、认证撤销证书的参考标识符、被撤销的认证证书、被撤销的认证证书的参考标识符、发布清单的日期以及发布下一个清单的日期。第4章 网络安全服务5证书链证书链为了提供来自可信第三方的数据源认证，认证证书总是受到保护。如果验证者没有持有验证认证信息而检测证书的来源，那么就要使用证书链。证书链是由来自不同权威机构的证书构成的，用来验证最初证书来源的真实性。证书链可以被递归使用，每一次验证认证信息，都要利用前一个证书的真实性。这个链提供了从申请者到验证者之间的权威机构的认证路径。验证者可以独立地确定链中每个证书是否可信，这一

33、决定以它持有的来自可信第三方的信息为依据。第4章 网络安全服务4.2.7 双向认证双向认证在有些通信网络系统中，通信双方需要互相认证，即A对B认证的同时，B对A也需要认证，这种认证方式叫做双向认证。在这种认证过程中，通信的某一方既是申请者，也是验证者，既要被验证，也要验证对方。通常情况下，双向认证中的认证信息流是不对称的，也就是说，A对B进行认证时，所产生和使用的申请认证信息、交换认证信息、验证认证信息与B对A进行认证时的认证信息可能不相同。第4章 网络安全服务比如，在一个安全性很高的安全区域中，一台工作站要与服务器进行数据通信，首先服务器要对工作站进行认证，它所认证的身份通常是操作用户的PI

34、N和工作站的标识，以便确认访问它的工作站是安全区域内合法的用户；工作站对服务器也要进行认证，它所认证的身份通常是服务器的标识，以便确认它是安全区内合法的服务器。在这个双向认证中，所认证的主体的身份是不相同的，因此，双方所产生和使用的认证信息也是不相同的。当然，也存在认证信息相同的双向认证，比如，通信网络中对等实体间的认证，由于认证双方具有相同的性质和属性，因此，它们在进行双向认证时，使用的身份是相同的，因而双方所产生和使用的认证信息也是相同的。双向认证在智能IC卡与手持读卡器之间的交互操作中使用得最普遍。第4章 网络安全服务4.2.8 认证机制认证机制1口令机制口令机制口令机制是一种非密码认证

35、机制。在某种程度上，口令或个人识别码PIN机制是最实用、最容易实现的认证机制。在这种认证机制中，申请者以一串只有自己知道的数据作为口令，提交给验证者，验证者将接收到的口令与它所保存的口令进行比较，若二者一致，则认为认证通过，否则认证失败。虽然在通信网络系统中，口令认证机制是经常使用的，但是这种认证机制存在许多弱点，其主要弱点有外部泄露、口令猜测、线路窃听、重放攻击等。第4章 网络安全服务1)外部泄露口令外部泄露是指未授权的人借助外边的普通网络或系统操作获取口令。有许多方法可导致这种情况发生，例如：用户为了防止忘掉口令而将口令写到一个不安全的地方(如身份证或者墙上)；用户在一个未受保护的管理文件

36、中存储口令；作为系统中合法用户的攻击者可以通过打电话从系统管理者那里获得别人的口令。为了防止口令外部泄露，需要采取一些必要的防护措施，比如定期修改口令、保证每个口令只与一个人有关、确保口令从来不被再现在终端上、使用易记的口令等。第4章 网络安全服务2)口令猜测口令猜测是指在未授权的情况下通过试探获取口令。它是口令机制最严重的脆弱性。比如，如果使用特定的字符串(例如名称字母缩写)作为口令，那么攻击者首先通过试探常用的字符串就可能猜出口令。用户为了容易记忆和方便使用，往往选择长度较短的口令，而短口令系统也是很脆弱的，因为短口令的搜索范围较小。在口令机制中，特别严重的安全问题是在系统安全安装时为标准

37、用户所设置的预设口令，因为如果系统管理者或者用户没有及时修改这种口令，就为口令猜测留下一个入口通道。另一种容易进行口令猜测的情况是使用与用户的名字、账户名、生日、家人的名字等与用户特征密切相关的口令。第4章 网络安全服务为了防止口令猜测攻击，需要采取一些必要的防护措施。比如严格限制口令认证的次数，在口令验证过程中插入实时延迟，防止用户选择太短的口令，防止使用与用户名、账号名、生日等与用户特征相关的口令，防止从一个固定的地方选取口令(如从一份固定的文档中选择口令)，确保定期修改口令，及时修改安装系统时所设置的预设口令，尽可能使用自动产生的而不是用户选择的口令。第4章 网络安全服务3)线路窃听攻击

38、者通过监视一个合法用户的登录过程而获取口令，这种攻击叫做线路窃听。线路窃听是口令机制中另一个严重的脆弱性。如果读过程包含了一个未经保护的口令或可推导出未保护的口令数据，那么攻击者就可以冒充合法用户进行假冒攻击。使用称做保护口令机制的机制可以对付这种类型的攻击。图4.1表示一个基本的保护口令方案。假定身份id的正确口令是p，申请者输入身份id和口令 p，由系统计算q=f(p)，并将q和id发送给验证者。验证系统中拥有id和q=f(p)。验证者比较q和q，如果二者一致，则认为输入的口令是正确的，身份得到认证。该方案的保护能力表现在，即使攻击者窃听到q，他也很难确定出p。第4章 网络安全服务图4.1

39、 保护口令方案第4章 网络安全服务4)重放攻击如果攻击者把观察到的交换认证信息录制下来，并且假冒申请者向验证者不断发送这些认证信息，以达到冒充的目的，这种攻击叫做重放攻击。重放攻击是通信线路的一种主动攻击形式。采用一次口令机制可以对抗重放攻击。在一次口令机制中每次认证所使用的口令不同。由于从验证者的角度看，每次它接收的交换认证信息都是不相同的，因此，当它收到与以前相同的交换认证信息时，它会认为存在重放攻击的可能，因而会终止认证过程。第4章 网络安全服务在一次口令机制中，申请者和验证者口令的同步是一个关键问题，二者必须在协商的基础上，制定口令同步机制，这种机制如同对称密钥一样，只有通信双方掌握，

40、有时甚至只由双方的认证系统决定。一次口令的同步可以采取以下几种方法：(1)双方共同拥有一串随机口令，在该随机串的某一位置保持同步，主要用于人工控制的环境之中。(2)双方共同使用一个随机序列生成器，在该序列生成器的初始状态保持同步，主要用于现代通信环境中。(3)双方使用时间戳，维持同步的时钟，主要用于现代通信环境中。第4章 网络安全服务需要强调的是，在一次口令机制中，并不是需要通信双方各拥有若干个口令。就申请者而言，他所需要记忆的可能只是一个口令同步机制，或者可能只是一个口令，而每次通信过程中使用的口令是根据口令同步机制生成的，也可能是由验证者用一个口令经过计算生成的。在传输信道上，每次传输的口

41、令各不相同，形成一次口令机制。第4章 网络安全服务图4.2给出了一个可能的一次口令机制。每个用户有一个带有输入字母的键盘和显示屏的个人认证器件。一个秘密的特定器件值dsv被存储在器件之中。这里假定该器件是一个物理防窜扰器件，不容易泄露dsv。该器件和使用该器件的一个或多个验证系统保持时钟同步。当申请者希望进行认证时，他将口令p输入到认证器件中。器件显示值r，它是通过将单向函数f和g应用于值p、dsv和ts(当前的时间戳)而计算出来的。将值 r和用户的身份 id一起发送给验证系统。验证系统拥有id、值 dsv和值q=f(p,dsv)。一旦认证请求被接收，验证者计算 r=g(q,dsv,ts)。通

42、过比较 r和r是否一致来确定认证是否被接收。第4章 网络安全服务图4.2 一次口令认证机制方案第4章 网络安全服务在有些一次口令认证机制中，通常使用一个随机数，用nrv表示，意思是从不重复的数值。nrv有时称做一个时参变量。验证者将检查nrv是否以前被使用过，如果验证者确信nrv以前已被使用过，则认证请求作为重放将被拒绝。非重复值nrv可用多种方法实现，例如时间戳、随机数等。第4章 网络安全服务2询问询问-应答机制应答机制询问-应答机制是指申请者和验证者经过多次请求和响应实现认证的目的。通过询问-应答原理，可以扩张基于口令的认证方案。询问-应答能大大提高抵抗重放攻击的能力，但是其代价是提高了通

43、信量。在通常的一次口令认证机制中，存在两个重要的问题。一个问题是为了使两端都知道nrv值，需要维待它们的同步；另一个问题是验证者要能够知道nrv值是否被重复使用过，实际上这是比较困难的。询问-应答机制克服了这些问题。第4章 网络安全服务因为在询问-应答机制中，认证过程由验证者发起，而不是由申请者发起。验证者向申请者发送一个确定的nrv值，该值作为询问消息。验证者和申请者同时按照预定的规则对这个nrv值进行计算，申请者将计算结果返回给验证者，这就是应答消息。验证者把自己计算的结果与从申请者处收到的结果进行比较，如果二者一致，则通过认证，否则认证失败。询问-应答机制可由图4.3所示的结构实现，它可

44、以在个人认证器件中实现。在这种机制中，产生非重复值nrv的能力完全掌握在验证者手中，因此具有很强的对抗重放攻击的能力。第4章 网络安全服务图4.3 询问-应答机制的实现结构第4章 网络安全服务3基于地址的机制基于地址的机制基于地址的认证机制是指申请者的身份以其所处的地址为代表。它的可认证性是以呼叫源地址为基础的。需要强调的是，基于地址的机制一般情况下不能被作为认证机制，但可作为其它机制的有用补充，起到一种辅助作用。在这种机制中，申请者在向验证者提交的交换认证信息中包含申请者的地址，验证者除了验证它的验证认证信息外，还要根据具体情况对申请者的地址进行验证。在一次认证中，验证者可能对申请者的地址做

45、合法性检查，也可能向验证者回呼一个合法地址。第4章 网络安全服务在大多数的数据通信网络中，呼叫地址的辨别都是可行的，并且在电话网络上也正以自动识别号码属性的形式变得实际可行。在不能可靠地辨别地址的情况下，可以用一个呼叫-回应设备来获得呼叫的源地址。一个验证者对每一个主体都保持一份合法呼叫地址的文件。这种机制有些潜在的问题，最大的困难是在一个临时的环境里维持一个连续的主机(例如一个人或一套设备)和通信地址的联系。地址的转换可能非常频繁，使得地址转换系统代价昂贵，并且存在诸多不安全因素。呼叫-转发或重定向引起了关于呼叫-回应的主要问题，给攻击者提供了各种机会。第4章 网络安全服务4基于生物特征的机

46、制基于生物特征的机制生物特征主要是指那些每个人都拥有而且唯一拥有的特征。这些生物特征包括指纹、声音、手迹、视网膜、脸谱以及手形等。基于生物特征的机制主要是针对以人类为主体的认证。目前，指纹密码箱、指纹门禁系统都有相应的应用产品，这些产品中所涉及的认证是典型的基于生物特征的认证机制。在基于生物特征的认证机制中，申请者出示其生物特征，比如指纹，验证者将这个特征与它所收集的特征进行比较，根据它们是否一致来决定是否通过认证。当然，生物特征的采集、特征提取、信息处理以及特征存储都是一些非常复杂的过程，使用这种认证机制显然需要构架结构复杂、资源庞大的认证系统。第4章 网络安全服务在通信环境中应用这些技术中

47、的任何一种，都可以认为是应用了一个特殊的口令，但是它与传统的口令有所区别，它不能由其它人使用，它对口令泄露、口令猜测、线路监听等攻击有较好的对抗能力，但是对重放攻击的对抗能力却较弱，需要结合其它认证机制使用。第4章 网络安全服务5基于密码的机制基于密码的机制基于密码的认证机制是通过使用加密/解密的方法实现认证目的的。在这种机制中，由申请者对身份进行加密操作，由验证者进行解密操作，因为只有申请者拥有某一秘密密钥，所以，经过加密的身份密文只有申请者才能产生。在这种机制中，既可以使用对称密码技术，也可以使用非对称密码技术。基于对称密码技术的最简单的方法是申请者和验证者共享一个对称密钥。申请者使用该密

48、钥加密或封装某一个消息。如果验证者能成功地解密消息或验证封装的消息是正确的，则验证者相信消息来自申请者。第4章 网络安全服务加密或封装的消息内容通常包括一个非重复值nrv以对抗重放攻击。也可以使用一个询问-应答机制，在这种情况下，验证者首先给申请者发送一个包含非重复值nrv的口令消息，该非重复值也包含在返回给验证者的加密或封装消息之中，验证者通过解密和比较操作确定是否通过认证。在实际应用中，对称密码技术要求每个验证者(即一台主机、服务器等)和访问它的每一个主体都必须保持一个对称密钥，这样会导致密钥爆炸。这个密钥爆炸问题可通过引进一个可信的在线认证服务器来避免，此时，在线认证服务器和每一个验证者

49、共享一个密钥。第4章 网络安全服务引入在线认证服务器后，申请者用他的密钥加密或封装一个消息，然后发送给验证者。因为验证者没有共享申请者本人的密钥，所以验证者不能直接完成验证过程。然而，验证者通过和认证服务器交换信息，便能完成验证。验证者和认证服务器可进行安全通信，因为二者拥有共享密钥。基于非对称密码技术的基本方法是，申请者使用他的秘密密钥签署某一消息，验证者使用申请者的公钥检查签名。如果签名能被正确地检查，则认证通过。同样，消息中也可以包含一个非重复值nrv，使用一个询问-应答机制，以对抗重放攻击。第4章 网络安全服务在使用非对称密码的认证机制中，不需在线认证服务器，因为公钥密码的特征自然地避

50、免了密钥操作问题。然而，验证者仍需要获得主体的合格公钥和证书撤销列表。通常，这些证书和撤销列表也从一台服务器获得。这样的服务器有时称做离线认证服务器，因为在认证过程中，不需要它是一个在线的参与者。这样一台服务器的功能可以通过一个不可信的目录服务来实现。图4.4给出了一个基于对称密码技术的认证机制。第4章 网络安全服务图4.4 基于对称密码技术的认证机制第4章 网络安全服务6双向认证机制双向认证机制双向认证在通信双方进行安全性较高的通信会话过程中通常是非常必要的。一般而言，双向认证可以通过组合两个单向认证实现。但是，这种组合需要被仔细地考察，因为这样的组合易受窃听重放攻击。双向认证的信息交换次数