图说信息安全（下）

作者: 帅气小伙 | 来源:发表于2016-06-15 18:57 被阅读275次

大家好，我是帅气小伙。上一篇为大家讲述了信息安全的理论基础，今天我要为大家讲解的是信息安全的应用技术。

认证技术

认证技术知识框架

零知识举例

零知识

A要向B证明自己拥有某个房间的钥匙，假设该房间只能用钥匙打开锁，而其他任何方法都打不开

1.把钥匙出示给B，B用这把钥匙打开该房间的锁，从而证明A拥有该房间的正确的钥匙

2.B确定该房间内有某一物体，A用自己拥有的钥匙打开该房间的门，然后把物体拿出来出示给B，从而证明自己确实拥有该房间的钥匙

第2种属于零知识，因为第一种B已经向A展示了他是用钥匙开的门，A就知道了要打开这门要用钥匙。

口令认证

口令易实现、成本低、使用方便等特点，成为当前最常用的认证方式，尤其在安全性要求不是很高的应用场合

一般的口令认证模型

重放攻击：在公开的网络中，被黑客用抓包软件得到了口令的哈希值，黑客通过对数据包分析得知服务器地址，然后重组数据包，把原IP地址换成黑客的IP地址（报头和路由等信息以明文形式传输），最后服务器返回的数据就到了黑客的手上了。

口令认证改进方案

采用质询的方式保证了消息摘要的随机性

个人认为，验证码可以作为质询

验证码的作用

一般是防止有人利用程序自动批量注册，对特定的注册用户用特定的程序进行暴力破解，如果攻击方不断地进行登录，将可能导致服务中断或不能有效地提供服务。

基于对称密钥的认证（双方拥有共享密钥）

利用随机数实现单向方身份识别

利用随机数实现双向方身份识别

身份认证协议（Kerberos）

Kerberos身份认证知识结构

认证模型关系图

认证过程示意图

基于公钥证书的认证（基于PKI环境）

利用签名实现单方身份识别

利用签名实现双向方身份识别

应用举例（网银U盾的身份认证）

示意图

(1)客户端通过IE发出访问Web服务器的请求,代理根据参数设置判断

是否为安全Web服务器的访问？

是：代理读Usb Key（U盾）获得用户标识。

如果会话密钥ks存在，进入第(2)步

否则按(a)(b)(c)建立会话密钥后进入(2) 步

否：请求访问直接发给相应Web服务器，然后把返回的结果送给客户端IE浏览器，这个访问请求结束。

(2)代理使用会话密钥ks加密这个访问请求，加密结果发送给网关

(3)网关使用会话密钥ks解密代理发送的密文，解密的结果（明文）发送给Web服务器。

(4)网关接收Web服务器返回的结果

(5)网关用会话密钥ks加密这个返回结果并把它传回代理

(6)代理使用会话密钥ks解密网关发送的密文，并把解密的结果（明文）发送给IE浏览器

会话密钥的获取

(a)代理通过UsbKey（U盾）对用户的认证信息（用户ID+当前时间）进行签名，然后把认证信息、其签名值及用户证书（来自Usb Key）发给网关。

(b)网关通过CA验证用户证书的有效性，再利用用户证书的公钥验证认证信息签名的有效性，并通过数据库查询验证认证信息的当前时间是否最新时间，若都验证通过，此用户身份认证通过并确定一个新的连接。生成会话密钥ks,并用用户标识和ks填写用户会话密钥表，用用户的公钥y加密ks，并把加密结果Ey(ks)发给代理。

(c)代理通过UsbKey 的用户私钥x解密Ey(ks), 保存会话密钥ks。（U盾中有用户的私钥）