大家好，我是帥氣小伙。上一篇為大家講述了信息安全的理論基礎(chǔ)，今天我要為大家講解的是信息安全的應(yīng)用技術(shù)。

認(rèn)證技術(shù)

認(rèn)證技術(shù)知識(shí)框架

零知識(shí)舉例

零知識(shí)

A要向B證明自己擁有某個(gè)房間的鑰匙，假設(shè)該房間只能用鑰匙打開(kāi)鎖，而其他任何方法都打不開(kāi)

1.把鑰匙出示給B，B用這把鑰匙打開(kāi)該房間的鎖，從而證明A擁有該房間的正確的鑰匙

2.B確定該房間內(nèi)有某一物體，A用自己擁有的鑰匙打開(kāi)該房間的門(mén)，然后把物體拿出來(lái)出示給B，從而證明自己確實(shí)擁有該房間的鑰匙

第2種屬于零知識(shí)，因?yàn)榈谝环NB已經(jīng)向A展示了他是用鑰匙開(kāi)的門(mén)，A就知道了要打開(kāi)這門(mén)要用鑰匙。

口令認(rèn)證

口令易實(shí)現(xiàn)、成本低、使用方便等特點(diǎn)，成為當(dāng)前最常用的認(rèn)證方式，尤其在安全性要求不是很高的應(yīng)用場(chǎng)合

一般的口令認(rèn)證模型

重放攻擊：在公開(kāi)的網(wǎng)絡(luò)中，被黑客用抓包軟件得到了口令的哈希值，黑客通過(guò)對(duì)數(shù)據(jù)包分析得知服務(wù)器地址，然后重組數(shù)據(jù)包，把原IP地址換成黑客的IP地址（報(bào)頭和路由等信息以明文形式傳輸），最后服務(wù)器返回的數(shù)據(jù)就到了黑客的手上了。

口令認(rèn)證改進(jìn)方案

采用質(zhì)詢的方式保證了消息摘要的隨機(jī)性

個(gè)人認(rèn)為，驗(yàn)證碼可以作為質(zhì)詢

驗(yàn)證碼的作用

一般是防止有人利用程序自動(dòng)批量注冊(cè)，對(duì)特定的注冊(cè)用戶用特定的程序進(jìn)行暴力破解，如果攻擊方不斷地進(jìn)行登錄，將可能導(dǎo)致服務(wù)中斷或不能有效地提供服務(wù)。

基于對(duì)稱密鑰的認(rèn)證（雙方擁有共享密鑰）

利用隨機(jī)數(shù)實(shí)現(xiàn)單向方身份識(shí)別

利用隨機(jī)數(shù)實(shí)現(xiàn)雙向方身份識(shí)別

身份認(rèn)證協(xié)議（Kerberos）

Kerberos身份認(rèn)證知識(shí)結(jié)構(gòu)

認(rèn)證模型關(guān)系圖

認(rèn)證過(guò)程示意圖

基于公鑰證書(shū)的認(rèn)證（基于PKI環(huán)境）

利用簽名實(shí)現(xiàn)單方身份識(shí)別

利用簽名實(shí)現(xiàn)雙向方身份識(shí)別

應(yīng)用舉例（網(wǎng)銀U盾的身份認(rèn)證）

示意圖

(1)客戶端通過(guò)IE發(fā)出訪問(wèn)Web服務(wù)器的請(qǐng)求,代理根據(jù)參數(shù)設(shè)置判斷

是否為安全Web服務(wù)器的訪問(wèn)？

是：代理讀Usb Key（U盾）獲得用戶標(biāo)識(shí)。

? ? ?如果會(huì)話密鑰ks存在，進(jìn)入第(2)步

? ? ?否則按(a)(b)(c)建立會(huì)話密鑰后進(jìn)入(2) 步

否：請(qǐng)求訪問(wèn)直接發(fā)給相應(yīng)Web服務(wù)器，然后把返回的結(jié)果送給客戶端IE瀏覽器，這個(gè)訪問(wèn)請(qǐng)求結(jié)束。

(2)代理使用會(huì)話密鑰ks加密這個(gè)訪問(wèn)請(qǐng)求，加密結(jié)果發(fā)送給網(wǎng)關(guān)

(3)網(wǎng)關(guān)使用會(huì)話密鑰ks解密代理發(fā)送的密文，解密的結(jié)果（明文）發(fā)送給Web服務(wù)器。

(4)網(wǎng)關(guān)接收Web服務(wù)器返回的結(jié)果

(5)網(wǎng)關(guān)用會(huì)話密鑰ks加密這個(gè)返回結(jié)果并把它傳回代理

(6)代理使用會(huì)話密鑰ks解密網(wǎng)關(guān)發(fā)送的密文，并把解密的結(jié)果（明文）發(fā)送給IE瀏覽器

會(huì)話密鑰的獲取

(a)代理通過(guò)UsbKey（U盾）對(duì)用戶的認(rèn)證信息（用戶ID+當(dāng)前時(shí)間）進(jìn)行簽名，然后把認(rèn)證信息、其簽名值及用戶證書(shū)（來(lái)自Usb Key）發(fā)給網(wǎng)關(guān)。

(b)網(wǎng)關(guān)通過(guò)CA驗(yàn)證用戶證書(shū)的有效性，再利用用戶證書(shū)的公鑰驗(yàn)證認(rèn)證信息簽名的有效性，并通過(guò)數(shù)據(jù)庫(kù)查詢驗(yàn)證認(rèn)證信息的當(dāng)前時(shí)間是否最新時(shí)間，若都驗(yàn)證通過(guò)，此用戶身份認(rèn)證通過(guò)并確定一個(gè)新的連接。生成會(huì)話密鑰ks,并用用戶標(biāo)識(shí)和ks填寫(xiě)用戶會(huì)話密鑰表，用用戶的公鑰y加密ks，并把加密結(jié)果Ey(ks)發(fā)給代理。

(c)代理通過(guò)UsbKey 的用戶私鑰x解密Ey(ks), 保存會(huì)話密鑰ks。（U盾中有用戶的私鑰）

生物特征認(rèn)證

知識(shí)結(jié)構(gòu)圖

指紋識(shí)別一對(duì)多

指紋應(yīng)用舉例

網(wǎng)絡(luò)協(xié)議的安全性分析

TCP/IP的各層協(xié)議

TCP/IP的各層詳細(xì)協(xié)議

網(wǎng)絡(luò)協(xié)議安全性綜述

綜述

中間人攻擊

圖1

截取網(wǎng)關(guān)數(shù)據(jù)，欺騙路由器ARP表

? ? ? 通知路由器一系列錯(cuò)誤的內(nèi)網(wǎng)主機(jī)MAC地址并按照一定的頻率不斷進(jìn)行使真實(shí)的地址信息無(wú)法通過(guò)更新保存在路由器中，結(jié)果路由器的所有數(shù)據(jù)只能發(fā)送給錯(cuò)誤的MAC地址，造成正常的計(jì)算機(jī)無(wú)法收到信息

偽造網(wǎng)關(guān)

圖2

圖3

IPsec

IPsec知識(shí)框架

圖1

SA（安全聯(lián)盟）

安全聯(lián)盟知識(shí)框架

AH協(xié)議

知識(shí)結(jié)構(gòu)

ESP協(xié)議

Esp協(xié)議

IKE協(xié)議簡(jiǎn)介

簡(jiǎn)介

SSL協(xié)議

簡(jiǎn)介

通信流量分析

SET協(xié)議

簡(jiǎn)介

運(yùn)行模式

SET協(xié)議基本運(yùn)行流程示意圖

(1)在運(yùn)行SET協(xié)議之前，消費(fèi)者先向發(fā)卡銀行申請(qǐng)信用卡成為持卡人

(2)持卡人向商家發(fā)送訂購(gòu)信息和支付信息。利用雙重?cái)?shù)字簽名技術(shù)(接下來(lái)說(shuō))，使得商家獲得訂購(gòu)信息，無(wú)法得知支付信息，而收單銀行得到支付信息，不知訂購(gòu)信息，同時(shí)保證訂購(gòu)信息和支付信息的關(guān)聯(lián)性

(3)商家解密和認(rèn)證訂購(gòu)信息，收單銀行解密和認(rèn)證支付信息。收單銀行獲得的信息是由支付網(wǎng)關(guān)轉(zhuǎn)發(fā)的

(4)收單銀行向發(fā)卡銀行查詢，確信持卡人是否是該有效信用卡帳號(hào)的合法使用者

(5)發(fā)卡銀行經(jīng)確認(rèn)信用卡賬號(hào)與持卡人一致后，認(rèn)可并簽證該筆交易

(6)收單銀行驗(yàn)證商家并簽證此交易

(7)商家發(fā)送確認(rèn)訂購(gòu)信息給持卡人，隨后向持卡人傳送貨物和收據(jù)

?(8)交易成功后，商家向收單銀行請(qǐng)求支付貨款

(9)收單銀行依據(jù)支付信息將貨款從發(fā)卡銀行劃給商家

(10)發(fā)卡銀行定期向持卡人寄去信用卡消費(fèi)帳單

雙重?cái)?shù)字簽名（商家只知道訂購(gòu)信息，銀行只知道支付信息）

?持卡人實(shí)現(xiàn)

持卡人

(1)將訂單信息和支付信息，進(jìn)行Hash函數(shù)處理，各自形成消息摘要。

(2)將訂單信息和支付信息的消息摘要再用Hash函數(shù)處理,形成消息摘要

(3)持卡人用自己的私鑰對(duì)(2)中的消息摘要加密得DS

(4)把訂單信息的原文，DS，支付信息摘要，持卡人的公鑰，用商家的公鑰加密和會(huì)話密鑰加密后發(fā)給商家

(5)把支付信息的原文，DS，訂單信息摘要，持卡人的公鑰，用銀行的公鑰加密和會(huì)話密鑰加密后發(fā)給銀行

商家認(rèn)證過(guò)程

商家認(rèn)證過(guò)程

(1)商家用私鑰打開(kāi)DE(B)，得到會(huì)話密鑰加密的密文，再用會(huì)話密鑰解密，得到訂單信息，客戶的數(shù)字簽名，支付消息摘要，客戶的公鑰

(2)商家通過(guò)客戶的公鑰驗(yàn)證MD（BC）

銀行認(rèn)證過(guò)程

銀行認(rèn)證過(guò)程

感想

知識(shí)就像果實(shí)，每個(gè)人都有一顆自己的知識(shí)樹(shù)，如果你能從你的知識(shí)樹(shù)上隨時(shí)摘下一個(gè)與人分享，那就是你的智慧。歡迎大家的評(píng)論留言，給我更多寫(xiě)作建議。