網(wǎng)絡(luò)安全認(rèn)證技術(shù)介紹課件

網(wǎng)絡(luò)安全認(rèn)證技術(shù)網(wǎng)絡(luò)安全認(rèn)證技術(shù)1回顧消息鑒別的目的？消息鑒別的分類？HASH與MAC的比較？數(shù)字簽名的目的？直接數(shù)字簽名的弊端？仲裁數(shù)字簽名的分類？回顧消息鑒別的目的？2身份認(rèn)證的概念身份認(rèn)證是計算機及網(wǎng)絡(luò)系統(tǒng)識別操作者身份的過程計算機網(wǎng)絡(luò)是一個虛擬的數(shù)字世界，用戶的身份信息是用一組特定的數(shù)據(jù)來表示的，計算機只能識別用戶的數(shù)字身份，所有對用戶的授權(quán)也是針對用戶數(shù)字身份的授權(quán)現(xiàn)實世界是一個真實的物理世界，每個人都擁有獨一無二的物理身份身份認(rèn)證的概念身份認(rèn)證是計算機及網(wǎng)絡(luò)系統(tǒng)識別操作者身份的過程3身份認(rèn)證與消息鑒別是否是一個概念？區(qū)別1身份認(rèn)證：某一實體確信與之打交道的實體正是所需要的實體。只是簡單地鑒別實體本身的身份，不會和實體想要進行何種活動相聯(lián)系。消息鑒別：鑒定某個指定的數(shù)據(jù)是否來源于某個特定的實體。為了確定被認(rèn)證的實體與一些特定數(shù)據(jù)項有著靜態(tài)的不可分割的聯(lián)系。身份認(rèn)證與消息鑒別是否是一個概念？區(qū)別14身份認(rèn)證與消息鑒別是否是一個概念？區(qū)別2在身份認(rèn)證中，身份由參與某次通信連接或會話的遠程參與者提交。這種服務(wù)在連接建立或在數(shù)據(jù)傳送階段的某些時刻提供使用。在消息鑒別中，身份和數(shù)據(jù)項一起被提交，并且聲稱數(shù)據(jù)項來源于身份所代表的主體。聲稱者未必涉及在當(dāng)前的通信活動中。身份認(rèn)證與消息鑒別是否是一個概念？區(qū)別25身份認(rèn)證的功能信息安全體系的目的是保證系統(tǒng)中的數(shù)據(jù)只能被有權(quán)限的“人”訪問，未經(jīng)授權(quán)的“人”無法訪問身份認(rèn)證是整個信息安全體系的基礎(chǔ)用于解決訪問者的物理身份和數(shù)字身份的一致性問題，給其他安全技術(shù)提供權(quán)限管理的依據(jù)防火墻、入侵檢測、VPN、安全網(wǎng)關(guān)等安全技術(shù)建立在身份認(rèn)證之上身份認(rèn)證的功能信息安全體系的目的是保證系統(tǒng)中的數(shù)據(jù)只能被有權(quán)6身份認(rèn)證的分類計算機認(rèn)證人的身份用戶認(rèn)證單機狀態(tài)下的身份認(rèn)證計算機認(rèn)證計算機的身份認(rèn)證協(xié)議網(wǎng)絡(luò)環(huán)境下的身份認(rèn)證身份認(rèn)證的分類計算機認(rèn)證人的身份7認(rèn)證人的身份認(rèn)證人的身份8用戶認(rèn)證的依據(jù)所知(whatyouknow)密碼、口令所有(whatyouhave)身份證、護照、智能卡等所是(whoyouare)指紋、DNA等用戶認(rèn)證的依據(jù)所知(whatyouknow)9基于口令的認(rèn)證基于口令的認(rèn)證10靜態(tài)口令用戶設(shè)定靜態(tài)密碼，計算機驗證技術(shù)層面口令存儲密文方式存儲UNIX—DESWindows—HASH口令傳輸：一般采用CS模式，加密口令或散列函數(shù)運算后傳輸安全問題靜態(tài)傳輸過程容易被截獲系統(tǒng)中用戶口令以文件形式存儲，攻擊者易獲取文件信息無法抵御重放攻擊只能進行單向認(rèn)證靜態(tài)口令用戶設(shè)定靜態(tài)密碼，計算機驗證11動態(tài)口令1是一種讓用戶的密碼按照時間或使用次數(shù)不斷動態(tài)變化，每個密碼只使用一次的技術(shù)。用戶進行認(rèn)證時候，除輸入賬號和靜態(tài)密碼之外，必須要求輸入動態(tài)密碼，只有通過系統(tǒng)驗證，才可以正常登錄或者交易，從而有效保證用戶身份的合法性和唯一性。動態(tài)口令最大的優(yōu)點在于，用戶每次使用的口令都不相同，使得不法分子無法仿冒合法用戶的身份。動態(tài)口令1是一種讓用戶的密碼按照時間或使用次數(shù)不斷動態(tài)變化12動態(tài)口令1動態(tài)口令產(chǎn)生方式共享一次性口令表：口令集合，每個口令使用一次。口令序列：口令為一個單向的前后相關(guān)的序列，系統(tǒng)只用記錄第N個口令。用戶用第N－1個口令登錄時，系統(tǒng)用單向算法算出第N個口令與自己保存的第N個口令匹配，以判斷用戶的合法性。由于N是有限的，用戶登錄N次后必須重新初始化口令序列。挑戰(zhàn)/響應(yīng)：用戶要求登錄時，系統(tǒng)產(chǎn)生一個隨機數(shù)發(fā)送給用戶。用戶用某種單向算法將自己的秘密口令和隨機數(shù)混合起來發(fā)送給系統(tǒng)，系統(tǒng)用同樣的方法做驗算即可驗證用戶身份。時間/事件同步：以用戶登錄時間作為隨機因素。這種方式對雙方的時間準(zhǔn)確度要求較高，一般采取以分鐘為時間單位的折中辦法。動態(tài)口令1動態(tài)口令產(chǎn)生方式13動態(tài)口令1動態(tài)口令的生成設(shè)備TokenCard（令牌卡）用類似計算器的小卡片計算一次性口令。對于挑戰(zhàn)/回答方式，該卡片配備有數(shù)字按鍵，便于輸入挑戰(zhàn)值；對于時間/事件同步方式，該卡片每隔一段時間就會重新計算口令；有時還會將卡片作成鑰匙鏈?zhǔn)降男螤睿承┛ㄆ€帶有PIN保護裝置。SoftToken（軟件令牌）用軟件代替硬件，某些軟件還能夠限定用戶登錄的地點。動態(tài)口令1動態(tài)口令的生成設(shè)備14動態(tài)口令2優(yōu)點每次使用的密碼必須由動態(tài)令牌產(chǎn)生，只有合法用戶才持有該硬件一次一密，每次登錄過程中傳送的信息都不相同，以提高登錄過程安全性缺點動態(tài)令牌與服務(wù)器端程序的時間或次數(shù)必須保持良好的同步動態(tài)口令2優(yōu)點15USBKey認(rèn)證近幾年發(fā)展起來的一種方便、安全、經(jīng)濟的身份認(rèn)證技術(shù)軟硬件相結(jié)合一次一密

USBKey是一種USB接口的硬件設(shè)備，它內(nèi)置單片機或智能卡芯片，可以存儲用戶的密鑰或數(shù)字證書，利用USBKey內(nèi)置的密碼學(xué)算法實現(xiàn)對用戶身份的認(rèn)證工行叫U盾，農(nóng)行叫K寶，建行叫網(wǎng)銀盾，光大銀行叫陽光網(wǎng)盾USBKey認(rèn)證近幾年發(fā)展起來的一種方便、安全、經(jīng)濟的身份16生物特征認(rèn)證采用每個人獨一無二的生物特征來驗證用戶身份指紋識別、虹膜識別等生物特征認(rèn)證是最可靠的身份認(rèn)證方式，因為它直接使用人的物理特征來表示每一個人的數(shù)字身份生物特征認(rèn)證采用每個人獨一無二的生物特征來驗證用戶身份17特點比較特點應(yīng)用主要產(chǎn)品靜態(tài)口令簡單易行

保護非關(guān)鍵性的系統(tǒng)，不能保護敏感信息嵌入在各種應(yīng)用軟件中動態(tài)口令一次一密，較高安全性使用煩瑣，有可能造成新的安全漏洞動態(tài)令牌等USBKey認(rèn)證安全可靠，成本低廉依賴硬件的安全性USB接口的設(shè)備生物特征認(rèn)證安全性最高技術(shù)不成熟，準(zhǔn)確性和穩(wěn)定性有待提高指紋認(rèn)證系統(tǒng)等特點比較特點應(yīng)用主要產(chǎn)品靜態(tài)口令簡單易行保護非關(guān)鍵18認(rèn)證協(xié)議認(rèn)證協(xié)議19分類根據(jù)是否依賴第三方分為：基于可信第三方認(rèn)證協(xié)議和雙方認(rèn)證協(xié)議；根據(jù)認(rèn)證使用密碼體制分為基于對稱密鑰的認(rèn)證協(xié)議和基于公鑰密碼體制的認(rèn)證協(xié)議；根據(jù)認(rèn)證實體的個數(shù)分為：單向認(rèn)證協(xié)議和雙向認(rèn)證協(xié)議；分類根據(jù)是否依賴第三方分為：基于可信第三方認(rèn)證協(xié)議和雙方認(rèn)證20單向認(rèn)證只有通信的一方認(rèn)證另一方的身份，而沒有反向的認(rèn)證過程單向認(rèn)證的應(yīng)用不需要雙方同時在線電子郵件不要求發(fā)送方和接收方同時在線郵件接收方對發(fā)送方進行認(rèn)證單向認(rèn)證不是完善的安全措施，可以非常容易地冒充驗證方，以欺騙被驗證方單向認(rèn)證只有通信的一方認(rèn)證另一方的身份，而沒有反向的認(rèn)證過程21單向認(rèn)證類型原始單向認(rèn)證基于對稱加密的單向認(rèn)證無第三方有第三方（KDC）基于公鑰加密的單向認(rèn)證單向認(rèn)證類型原始單向認(rèn)證22原始的單向認(rèn)證技術(shù)發(fā)送方接收方用戶名/密碼1、發(fā)送方的用戶名和密碼通過明文方式傳送，易竊聽2、接收方檢驗用戶名和密碼，然后進行通信，通信中沒有保密原始的單向認(rèn)證技術(shù)發(fā)送方接收方用戶名/密碼1、發(fā)送方的用戶名23基于對稱加密的單向認(rèn)證技術(shù)(無第三方)1、偵聽者可以看到R和Ekab(R)

，但是不能計算出kab2、不要求E可逆，因此E可以是一個哈希函數(shù)3、偵聽者掌握R和Ekab(R)后，可以進行離線口令猜解4、攻取Bob的數(shù)據(jù)庫，則可以冒充Alice基于對稱加密的單向認(rèn)證技術(shù)(無第三方)1、偵聽者可以看到R24基于對稱加密的單向認(rèn)證技術(shù)(無第三方)1、偵聽者可以看到R和Ekab(R)，但是不能計算出kab2、要求E可逆3、偵聽者掌握R和Ekab(R)后，可以進行離線口令猜解4、攻取Bob的數(shù)據(jù)庫，則可以冒充Alice基于對稱加密的單向認(rèn)證技術(shù)(無第三方)1、偵聽者可以看到R25基于對稱加密的單向認(rèn)證技術(shù)(第三方)擁有一個可信的第三方：密鑰分發(fā)中心KDC，用戶Alice和Bob。KDC和所有用戶都擁有一個對稱密鑰（如和Alice的共享密鑰Ka），該協(xié)議使得通信各方互相認(rèn)證鑒別各自的身份，然后交換會話密鑰。基于對稱加密的單向認(rèn)證技術(shù)(第三方)擁有一個可信的第三方：26基于對稱加密的單向認(rèn)證技術(shù)(第三方)1、N1作為臨時交互號2、Bob通過KDC間接認(rèn)證Alice基于對稱加密的單向認(rèn)證技術(shù)(第三方)1、N1作為臨時交互號27基于公鑰體制的單向認(rèn)證技術(shù)-1AliceBobIDA挑戰(zhàn)RERA(R)1、Alice對數(shù)據(jù)R用自己的私鑰簽名，Bob用Alice的公鑰檢驗簽名2、偵聽者無法冒充Alice，即使他攻取了Bob的數(shù)據(jù)庫基于公鑰體制的單向認(rèn)證技術(shù)-1AliceBobIDA挑戰(zhàn)28基于公鑰體制的單向認(rèn)證技術(shù)-2AliceBob1、Bob用Alice的公鑰加密數(shù)據(jù)R，并要求Alice解密2、偵聽者無法冒充Alice，即使他攻取了Bob的數(shù)據(jù)庫RIDAEUA(R)基于公鑰體制的單向認(rèn)證技術(shù)-2AliceBob1、Bob29雙向認(rèn)證用于通信雙方的相互認(rèn)證認(rèn)證的同時可以協(xié)商會話密鑰類型基于對稱加密的雙向認(rèn)證無第三方有第三方（KDC）基于公鑰加密的雙向認(rèn)證雙向認(rèn)證用于通信雙方的相互認(rèn)證30基于對稱加密的雙向認(rèn)證（無第三方）AliceBobIDAR1EKAB(R1)1、基于“挑戰(zhàn)–響應(yīng)”方式2、雙方使用共享的秘密對數(shù)據(jù)進行密碼變換，實現(xiàn)對通信對方的認(rèn)證R2EKAB(R2)基于對稱加密的雙向認(rèn)證（無第三方）AliceBobIDAR131基于對稱加密的雙向認(rèn)證（第三方）第一次方案：Alice→KDC:IDa,IDbKDC→Alice:EKa[ks],EKb[ks]Alice→Bob:EKb[ks]Bob→Alice:Eks[M]說明：ks是KDC為Alice和Bob本次通話生成的一次性會話密鑰，EKa[ks]代表用Ka對數(shù)據(jù)ks進行加密。缺陷？基于對稱加密的雙向認(rèn)證（第三方）第一次方案：32基于對稱加密的雙向認(rèn)證（第三方）缺陷：消息沒有和用戶身份綁定（缺少對實體認(rèn)證的信息），如在第二步KDC→Alice:EKa[ks],EKb[ks]中，Alice收到消息后不能保證該消息就是KDC為她和Bob生成的。如下攻擊：在第一步，Malice截獲消息并修改為：Malice（Alice）→KDC:IDa,IDm

即Malice冒充Alice向KDC發(fā)送請求。那么第二步Alice收到的消息KDC→Alice:EKa[ks],EKm[ks]這樣，Malice就可以冒充Bob和Alice會話了。基于對稱加密的雙向認(rèn)證（第三方）缺陷：消息沒有和用戶身份綁定33基于對稱加密的雙向認(rèn)證（第三方）第二次方案：Alice→KDC:IDa,IDbKDC→Alice:EKa[IDb，ks],EKb[IDa，ks]Alice→Bob:EKb[IDa，ks]Bob→Alice:Eks[M]Malice無法再冒充Bob來欺騙Alice，說明在示證信息中，一定要包含示證者身份標(biāo)識信息來抵抗偽造攻擊！但是本方案還有重大缺陷?。。≡搮f(xié)議是著名的Needham-Schroeder協(xié)議，該協(xié)議在1978年發(fā)表，在1981年被發(fā)現(xiàn)存在重大的缺陷?；趯ΨQ加密的雙向認(rèn)證（第三方）第二次方案：該協(xié)議是著名的N34基于對稱加密的雙向認(rèn)證（第三方）缺陷：消息的數(shù)據(jù)源認(rèn)證中缺少了對消息新鮮性的認(rèn)證如在第二步KDC→Alice:EKa[IDb，ks],EKb[IDa，ks]中，Alice收到消息后不能保證該消息就是KDC為她和Bob本次通話生成的，如下攻擊：Malice(KDC)→Alice:EKa[IDb，ks’],EKb[IDa，ks’]

Ks’是以前某次KDC為Alice和Bob創(chuàng)建的會話密鑰，這樣會話密鑰的新鮮性不能保證！Malice這種行為是哪一種攻擊方式？基于對稱加密的雙向認(rèn)證（第三方）缺陷：消息的數(shù)據(jù)源認(rèn)證中缺少35基于對稱加密的雙向認(rèn)證（第三方）第三次方案：Alice→KDC:IDa,IDb,NaKDC→Alice:EKa[IDb,ks,Na,EKb[IDa,ks]]Alice→Bob:EKb[IDa,ks,Nb]Bob→Alice:Eks[Nb,Nc]Alice→Bob:Eks[f(Nc)]基于對稱加密的雙向認(rèn)證（第三方）第三次方案：36基于公鑰技術(shù)的雙向認(rèn)證AliceBobEUB(IDA,N1)EUA(N1,N2)EUB(N2)EUB(ERA(Ks))基于公鑰技術(shù)的雙向認(rèn)證AliceBobEUB(IDA,N1)3735、功與失每個人都有一不的理想，這種理想決定著他的努力判斷的方向。就在這個意義上，我從來不把安逸和享樂看做是生活目的的本身----這種基礎(chǔ)，我叫它豬欄的理想。照亮我的道路，并且不斷地給我新的勇氣去愉快地正視生活的理想，是善、美、真。---愛因斯坦（美國）無論何時，不管怎樣，我也絕不允許自己有一點灰心喪氣。---愛迪生（美國）

對我來說，信念意味著不擔(dān)心。---杜威（美國）

希望貫穿一切，臨死也不會拋棄我們。---波普（美國）

希望永遠在人的胸膛洶涌。人要經(jīng)常感覺不是現(xiàn)在幸福，而是就要幸福了。---波普（美國）

毫無理想而又優(yōu)柔寡斷是一種可悲的心理。---培根（英國敗的嶺，可以用這五個字來表達----我沒有時間。---富蘭克林（美國）

馬云語：今天很殘酷，明天更殘酷，后天會很美好，但絕大多數(shù)人都死在明天晚上。馬云語：今天很殘酷，明天更殘酷，后天會很美好，但絕大多數(shù)人都死在明天晚上。

想要有空余時間，就不要浪費時間。---富蘭克林（美國）

忽視當(dāng)前一剎那的人，等于虛擲了他所有的一切。---富蘭克林（美國）

時間不可空過，惟用之于有益的工作；一切無益的行動，應(yīng)該完全制止。---富蘭克林（美國）

如果說時間是最寶貴的東西，那么浪費時間就是最大的揮霍

你熱愛生命嗎？那么別浪費時間，也別和不值得交往的人來往.陳帥佛語

懶鬼起來吧！別再浪費時間，將來在墳?zāi)箖?nèi)有足夠的時間讓你睡的。---富蘭克林（美國）

人生太短暫了，事情是這樣的多，能不兼程而進嗎？---愛迪生（美國）真正的敏捷是一件很有價值的事。因為時間是衡量事業(yè)的標(biāo)準(zhǔn)，一如金錢是衡量貨物的標(biāo)準(zhǔn)；所在在做事我有兩個忠實的助手，企業(yè)在市場競爭中輸贏的關(guān)鍵在于其核心競爭力的強弱，而實現(xiàn)核心競爭力更新的惟一途徑就是創(chuàng)新。

一項權(quán)威的調(diào)查顯示：與缺乏創(chuàng)新的企業(yè)相比，成功創(chuàng)新的企業(yè)能獲得20％甚至更高的成長率；如果企業(yè)80％的收入來自新產(chǎn)品開發(fā)并堅持下去，五年內(nèi)市值就能增加一倍；全球83％的高級經(jīng)理人深信，自己企業(yè)今后的發(fā)展將更依賴創(chuàng)新。

23、不創(chuàng)新，就滅亡

——福特公司創(chuàng)始人亨利?福特

24、可持續(xù)競爭的惟一優(yōu)勢來自于超過競爭對手的創(chuàng)新能力

——著名管理顧問詹姆斯?莫爾斯

25、創(chuàng)新是做大公司的惟一之路

——管理大師杰弗里

26、顧客是重要的創(chuàng)新來源

——管理學(xué)家湯姆?彼得斯

27、創(chuàng)新是惟一的出路，淘汰自己，否則競爭將淘汰我們

——英特爾公司總裁安迪?格羅夫

28、創(chuàng)造性模仿不是人云亦云，而是超越和再創(chuàng)造

——哈佛大學(xué)教授西奧多?萊維特

29、創(chuàng)新就是創(chuàng)造一種資源

——管理大師彼得?杜拉克

第五章管理就是溝通、溝通再溝通P69

松下幸之助關(guān)于管理有句名言：“企業(yè)管理過去是溝通，現(xiàn)在是溝通，未來還是溝通?！惫芾黼x不開溝通，溝通已滲透于管理的各個方面。正如人體內(nèi)的血液循環(huán)一樣，如果沒有溝通的話，企業(yè)就會趨于死亡。

30、管理就是溝通、溝通再溝通

——通用電器公司總裁杰克?韋爾奇

31、溝通是管理的濃縮

——沃爾瑪公司總裁薩姆?沃爾頓

32、管理者的最基本能力：有效溝通

——英國管理學(xué)家L?威爾德

33、不善于傾聽不同的聲音，是管理者最大的疏忽

——美國女企業(yè)家瑪麗?凱

34、企業(yè)管理過去是溝通，現(xiàn)在是溝通，未來還是溝通

——日本經(jīng)營之神松下幸之助

第六章管理就是決策P81

美國著名管理學(xué)家赫伯特?西蒙指出：“決策是管理的心臟，管理是由一系列決策組成的，管理就是決策?！?/p>

35、管理就是決策

——美國著名管理學(xué)家赫伯特?西蒙

36、世界上每100家破產(chǎn)倒閉的大企業(yè)中，85%是因為企業(yè)管理者的決策不慎造成的

——世界著名的咨詢公司——美國蘭德公司

37、正確的決策來自眾人的智慧

——美國社會學(xué)家T?戴伊

38、一個成功的決策，等于90%的信息加上10%的直覺

——美國企業(yè)家S?M?沃爾森

39、猶豫不決固然可以免去一些做錯事的可能，但也失去了成功的機會

——美籍華裔企業(yè)家王安博士

40、在沒出現(xiàn)不同意見之前，不做出任何決策

——美國通用汽車公司總裁艾爾弗雷德?斯隆

41、不要把所有的雞蛋放在同一個籃子里

——美國經(jīng)濟學(xué)家托賓

42、一次良好的撤退，應(yīng)和一次偉大的勝利一樣受到獎賞

——瑞士軍事理論家菲米尼

43、抓住時機并快速決策是現(xiàn)代企業(yè)成功的關(guān)鍵

——美斯坦大學(xué)教授艾森哈特

44、決不能在沒有選擇的情況下，作出重大決策

——美國克萊斯勒汽車公司總裁李?艾柯卡

45、如果有一個項目，首先要考慮有沒有人來做。如果沒有人做，就要放棄，這是一個必要條件。

——聯(lián)想集團總裁柳傳志

第七章愛你的員工吧，他會百倍地愛你的企業(yè)P109

法國企業(yè)界有一句名言：“愛你的員工吧，他會百倍地愛你的企業(yè)?！边@一管理學(xué)的新觀念，已經(jīng)越來越深入人心，而且被越來越多的企業(yè)管理者所接受。實踐使他們懂得，沒有什么比關(guān)心員工、熱愛員工更能調(diào)動他們的積極性、提高工作效率了。

46、愛你的員工吧，他會百倍地愛你的企業(yè)

——法國企業(yè)界名言

47、管理是一種嚴(yán)肅的愛

——美國國際農(nóng)機商用公司董事長西洛斯?梅考克

48、以愛為凝聚力的公司比靠畏懼維系的公司要穩(wěn)固得多

——美國西南航空公司總裁赫伯?凱萊赫

49、感情投資是在所有投資中，花費最少，回報率最高的投資一個是我的耐心，另一個就是我的雙手?！猍法]蒙田

36、無論什么時候，不管遇到什么情況，我絕不允許自己有一點點灰心喪氣?！獝鄣仙?/p>

37、下苦功，三個字，一個叫下，一個叫苦，一個叫功，一定要振作精神，下苦功。——毛澤東

38、向著某一天終于要達到的那個終極目標(biāo)邁步還不夠，還要把每一步驟看成目標(biāo)，使它作為步驟而起作用?！璧?/p>

39、學(xué)而時習(xí)之，不亦說乎？——孔子《論語·學(xué)而》

40、要從容地著手去做一件事，但一旦開始，就要堅持到底?！劝⑺?/p>

41、要在這個世界上獲得成功，就必須堅持到底：至死都不能放手?！鼱柼?/p>

42、一個人只要強烈地堅持不懈地追求，他就能達到目的?！緶_

43、一個人做事，在動手之前，當(dāng)然要詳慎考慮；但是計劃或方針已定之后，就要認(rèn)定目標(biāo)前進，不可再有遲疑不決的態(tài)度，這就是堅毅的態(tài)度?！u韜奮

44、一日一錢，十日十錢。繩鋸木斷，水滴石穿?！喙?/p>

45、有罪是符合人性的，但長期堅持不改就是魔鬼——喬叟

46、欲速而不達?！浊稹墩撜Z》

47、只要持之以恒，知識豐富了，終能發(fā)現(xiàn)其奧秘?！獥钫駥?/p>

48、只要功夫深，鐵杵磨成針?！袊V語

49、只有毅力才會使我們成功，而毅力的來源又在于毫不動搖，堅決采取為達到成功所需要的手段。[俄]車爾尼雪夫斯基

35、功與失每個人都有一不的理想，這種理想決定著他的努力判斷38網(wǎng)絡(luò)安全認(rèn)證技術(shù)網(wǎng)絡(luò)安全認(rèn)證技術(shù)39回顧消息鑒別的目的？消息鑒別的分類？HASH與MAC的比較？數(shù)字簽名的目的？直接數(shù)字簽名的弊端？仲裁數(shù)字簽名的分類？回顧消息鑒別的目的？40身份認(rèn)證的概念身份認(rèn)證是計算機及網(wǎng)絡(luò)系統(tǒng)識別操作者身份的過程計算機網(wǎng)絡(luò)是一個虛擬的數(shù)字世界，用戶的身份信息是用一組特定的數(shù)據(jù)來表示的，計算機只能識別用戶的數(shù)字身份，所有對用戶的授權(quán)也是針對用戶數(shù)字身份的授權(quán)現(xiàn)實世界是一個真實的物理世界，每個人都擁有獨一無二的物理身份身份認(rèn)證的概念身份認(rèn)證是計算機及網(wǎng)絡(luò)系統(tǒng)識別操作者身份的過程41身份認(rèn)證與消息鑒別是否是一個概念？區(qū)別1身份認(rèn)證：某一實體確信與之打交道的實體正是所需要的實體。只是簡單地鑒別實體本身的身份，不會和實體想要進行何種活動相聯(lián)系。消息鑒別：鑒定某個指定的數(shù)據(jù)是否來源于某個特定的實體。為了確定被認(rèn)證的實體與一些特定數(shù)據(jù)項有著靜態(tài)的不可分割的聯(lián)系。身份認(rèn)證與消息鑒別是否是一個概念？區(qū)別142身份認(rèn)證與消息鑒別是否是一個概念？區(qū)別2在身份認(rèn)證中，身份由參與某次通信連接或會話的遠程參與者提交。這種服務(wù)在連接建立或在數(shù)據(jù)傳送階段的某些時刻提供使用。在消息鑒別中，身份和數(shù)據(jù)項一起被提交，并且聲稱數(shù)據(jù)項來源于身份所代表的主體。聲稱者未必涉及在當(dāng)前的通信活動中。身份認(rèn)證與消息鑒別是否是一個概念？區(qū)別243身份認(rèn)證的功能信息安全體系的目的是保證系統(tǒng)中的數(shù)據(jù)只能被有權(quán)限的“人”訪問，未經(jīng)授權(quán)的“人”無法訪問身份認(rèn)證是整個信息安全體系的基礎(chǔ)用于解決訪問者的物理身份和數(shù)字身份的一致性問題，給其他安全技術(shù)提供權(quán)限管理的依據(jù)防火墻、入侵檢測、VPN、安全網(wǎng)關(guān)等安全技術(shù)建立在身份認(rèn)證之上身份認(rèn)證的功能信息安全體系的目的是保證系統(tǒng)中的數(shù)據(jù)只能被有權(quán)44身份認(rèn)證的分類計算機認(rèn)證人的身份用戶認(rèn)證單機狀態(tài)下的身份認(rèn)證計算機認(rèn)證計算機的身份認(rèn)證協(xié)議網(wǎng)絡(luò)環(huán)境下的身份認(rèn)證身份認(rèn)證的分類計算機認(rèn)證人的身份45認(rèn)證人的身份認(rèn)證人的身份46用戶認(rèn)證的依據(jù)所知(whatyouknow)密碼、口令所有(whatyouhave)身份證、護照、智能卡等所是(whoyouare)指紋、DNA等用戶認(rèn)證的依據(jù)所知(whatyouknow)47基于口令的認(rèn)證基于口令的認(rèn)證48靜態(tài)口令用戶設(shè)定靜態(tài)密碼，計算機驗證技術(shù)層面口令存儲密文方式存儲UNIX—DESWindows—HASH口令傳輸：一般采用CS模式，加密口令或散列函數(shù)運算后傳輸安全問題靜態(tài)傳輸過程容易被截獲系統(tǒng)中用戶口令以文件形式存儲，攻擊者易獲取文件信息無法抵御重放攻擊只能進行單向認(rèn)證靜態(tài)口令用戶設(shè)定靜態(tài)密碼，計算機驗證49動態(tài)口令1是一種讓用戶的密碼按照時間或使用次數(shù)不斷動態(tài)變化，每個密碼只使用一次的技術(shù)。用戶進行認(rèn)證時候，除輸入賬號和靜態(tài)密碼之外，必須要求輸入動態(tài)密碼，只有通過系統(tǒng)驗證，才可以正常登錄或者交易，從而有效保證用戶身份的合法性和唯一性。動態(tài)口令最大的優(yōu)點在于，用戶每次使用的口令都不相同，使得不法分子無法仿冒合法用戶的身份。動態(tài)口令1是一種讓用戶的密碼按照時間或使用次數(shù)不斷動態(tài)變化50動態(tài)口令1動態(tài)口令產(chǎn)生方式共享一次性口令表：口令集合，每個口令使用一次?？诹钚蛄校嚎诹顬橐粋€單向的前后相關(guān)的序列，系統(tǒng)只用記錄第N個口令。用戶用第N－1個口令登錄時，系統(tǒng)用單向算法算出第N個口令與自己保存的第N個口令匹配，以判斷用戶的合法性。由于N是有限的，用戶登錄N次后必須重新初始化口令序列。挑戰(zhàn)/響應(yīng)：用戶要求登錄時，系統(tǒng)產(chǎn)生一個隨機數(shù)發(fā)送給用戶。用戶用某種單向算法將自己的秘密口令和隨機數(shù)混合起來發(fā)送給系統(tǒng)，系統(tǒng)用同樣的方法做驗算即可驗證用戶身份。時間/事件同步：以用戶登錄時間作為隨機因素。這種方式對雙方的時間準(zhǔn)確度要求較高，一般采取以分鐘為時間單位的折中辦法。動態(tài)口令1動態(tài)口令產(chǎn)生方式51動態(tài)口令1動態(tài)口令的生成設(shè)備TokenCard（令牌卡）用類似計算器的小卡片計算一次性口令。對于挑戰(zhàn)/回答方式，該卡片配備有數(shù)字按鍵，便于輸入挑戰(zhàn)值；對于時間/事件同步方式，該卡片每隔一段時間就會重新計算口令；有時還會將卡片作成鑰匙鏈?zhǔn)降男螤?，某些卡片還帶有PIN保護裝置。SoftToken（軟件令牌）用軟件代替硬件，某些軟件還能夠限定用戶登錄的地點。動態(tài)口令1動態(tài)口令的生成設(shè)備52動態(tài)口令2優(yōu)點每次使用的密碼必須由動態(tài)令牌產(chǎn)生，只有合法用戶才持有該硬件一次一密，每次登錄過程中傳送的信息都不相同，以提高登錄過程安全性缺點動態(tài)令牌與服務(wù)器端程序的時間或次數(shù)必須保持良好的同步動態(tài)口令2優(yōu)點53USBKey認(rèn)證近幾年發(fā)展起來的一種方便、安全、經(jīng)濟的身份認(rèn)證技術(shù)軟硬件相結(jié)合一次一密

USBKey是一種USB接口的硬件設(shè)備，它內(nèi)置單片機或智能卡芯片，可以存儲用戶的密鑰或數(shù)字證書，利用USBKey內(nèi)置的密碼學(xué)算法實現(xiàn)對用戶身份的認(rèn)證工行叫U盾，農(nóng)行叫K寶，建行叫網(wǎng)銀盾，光大銀行叫陽光網(wǎng)盾USBKey認(rèn)證近幾年發(fā)展起來的一種方便、安全、經(jīng)濟的身份54生物特征認(rèn)證采用每個人獨一無二的生物特征來驗證用戶身份指紋識別、虹膜識別等生物特征認(rèn)證是最可靠的身份認(rèn)證方式，因為它直接使用人的物理特征來表示每一個人的數(shù)字身份生物特征認(rèn)證采用每個人獨一無二的生物特征來驗證用戶身份55特點比較特點應(yīng)用主要產(chǎn)品靜態(tài)口令簡單易行

保護非關(guān)鍵性的系統(tǒng)，不能保護敏感信息嵌入在各種應(yīng)用軟件中動態(tài)口令一次一密，較高安全性使用煩瑣，有可能造成新的安全漏洞動態(tài)令牌等USBKey認(rèn)證安全可靠，成本低廉依賴硬件的安全性USB接口的設(shè)備生物特征認(rèn)證安全性最高技術(shù)不成熟，準(zhǔn)確性和穩(wěn)定性有待提高指紋認(rèn)證系統(tǒng)等特點比較特點應(yīng)用主要產(chǎn)品靜態(tài)口令簡單易行保護非關(guān)鍵56認(rèn)證協(xié)議認(rèn)證協(xié)議57分類根據(jù)是否依賴第三方分為：基于可信第三方認(rèn)證協(xié)議和雙方認(rèn)證協(xié)議；根據(jù)認(rèn)證使用密碼體制分為基于對稱密鑰的認(rèn)證協(xié)議和基于公鑰密碼體制的認(rèn)證協(xié)議；根據(jù)認(rèn)證實體的個數(shù)分為：單向認(rèn)證協(xié)議和雙向認(rèn)證協(xié)議；分類根據(jù)是否依賴第三方分為：基于可信第三方認(rèn)證協(xié)議和雙方認(rèn)證58單向認(rèn)證只有通信的一方認(rèn)證另一方的身份，而沒有反向的認(rèn)證過程單向認(rèn)證的應(yīng)用不需要雙方同時在線電子郵件不要求發(fā)送方和接收方同時在線郵件接收方對發(fā)送方進行認(rèn)證單向認(rèn)證不是完善的安全措施，可以非常容易地冒充驗證方，以欺騙被驗證方單向認(rèn)證只有通信的一方認(rèn)證另一方的身份，而沒有反向的認(rèn)證過程59單向認(rèn)證類型原始單向認(rèn)證基于對稱加密的單向認(rèn)證無第三方有第三方（KDC）基于公鑰加密的單向認(rèn)證單向認(rèn)證類型原始單向認(rèn)證60原始的單向認(rèn)證技術(shù)發(fā)送方接收方用戶名/密碼1、發(fā)送方的用戶名和密碼通過明文方式傳送，易竊聽2、接收方檢驗用戶名和密碼，然后進行通信，通信中沒有保密原始的單向認(rèn)證技術(shù)發(fā)送方接收方用戶名/密碼1、發(fā)送方的用戶名61基于對稱加密的單向認(rèn)證技術(shù)(無第三方)1、偵聽者可以看到R和Ekab(R)

，但是不能計算出kab2、不要求E可逆，因此E可以是一個哈希函數(shù)3、偵聽者掌握R和Ekab(R)后，可以進行離線口令猜解4、攻取Bob的數(shù)據(jù)庫，則可以冒充Alice基于對稱加密的單向認(rèn)證技術(shù)(無第三方)1、偵聽者可以看到R62基于對稱加密的單向認(rèn)證技術(shù)(無第三方)1、偵聽者可以看到R和Ekab(R)，但是不能計算出kab2、要求E可逆3、偵聽者掌握R和Ekab(R)后，可以進行離線口令猜解4、攻取Bob的數(shù)據(jù)庫，則可以冒充Alice基于對稱加密的單向認(rèn)證技術(shù)(無第三方)1、偵聽者可以看到R63基于對稱加密的單向認(rèn)證技術(shù)(第三方)擁有一個可信的第三方：密鑰分發(fā)中心KDC，用戶Alice和Bob。KDC和所有用戶都擁有一個對稱密鑰（如和Alice的共享密鑰Ka），該協(xié)議使得通信各方互相認(rèn)證鑒別各自的身份，然后交換會話密鑰?；趯ΨQ加密的單向認(rèn)證技術(shù)(第三方)擁有一個可信的第三方：64基于對稱加密的單向認(rèn)證技術(shù)(第三方)1、N1作為臨時交互號2、Bob通過KDC間接認(rèn)證Alice基于對稱加密的單向認(rèn)證技術(shù)(第三方)1、N1作為臨時交互號65基于公鑰體制的單向認(rèn)證技術(shù)-1AliceBobIDA挑戰(zhàn)RERA(R)1、Alice對數(shù)據(jù)R用自己的私鑰簽名，Bob用Alice的公鑰檢驗簽名2、偵聽者無法冒充Alice，即使他攻取了Bob的數(shù)據(jù)庫基于公鑰體制的單向認(rèn)證技術(shù)-1AliceBobIDA挑戰(zhàn)66基于公鑰體制的單向認(rèn)證技術(shù)-2AliceBob1、Bob用Alice的公鑰加密數(shù)據(jù)R，并要求Alice解密2、偵聽者無法冒充Alice，即使他攻取了Bob的數(shù)據(jù)庫RIDAEUA(R)基于公鑰體制的單向認(rèn)證技術(shù)-2AliceBob1、Bob67雙向認(rèn)證用于通信雙方的相互認(rèn)證認(rèn)證的同時可以協(xié)商會話密鑰類型基于對稱加密的雙向認(rèn)證無第三方有第三方（KDC）基于公鑰加密的雙向認(rèn)證雙向認(rèn)證用于通信雙方的相互認(rèn)證68基于對稱加密的雙向認(rèn)證（無第三方）AliceBobIDAR1EKAB(R1)1、基于“挑戰(zhàn)–響應(yīng)”方式2、雙方使用共享的秘密對數(shù)據(jù)進行密碼變換，實現(xiàn)對通信對方的認(rèn)證R2EKAB(R2)基于對稱加密的雙向認(rèn)證（無第三方）AliceBobIDAR169基于對稱加密的雙向認(rèn)證（第三方）第一次方案：Alice→KDC:IDa,IDbKDC→Alice:EKa[ks],EKb[ks]Alice→Bob:EKb[ks]Bob→Alice:Eks[M]說明：ks是KDC為Alice和Bob本次通話生成的一次性會話密鑰，EKa[ks]代表用Ka對數(shù)據(jù)ks進行加密。缺陷？基于對稱加密的雙向認(rèn)證（第三方）第一次方案：70基于對稱加密的雙向認(rèn)證（第三方）缺陷：消息沒有和用戶身份綁定（缺少對實體認(rèn)證的信息），如在第二步KDC→Alice:EKa[ks],EKb[ks]中，Alice收到消息后不能保證該消息就是KDC為她和Bob生成的。如下攻擊：在第一步，Malice截獲消息并修改為：Malice（Alice）→KDC:IDa,IDm

即Malice冒充Alice向KDC發(fā)送請求。那么第二步Alice收到的消息KDC→Alice:EKa[ks],EKm[ks]這樣，Malice就可以冒充Bob和Alice會話了?；趯ΨQ加密的雙向認(rèn)證（第三方）缺陷：消息沒有和用戶身份綁定71基于對稱加密的雙向認(rèn)證（第三方）第二次方案：Alice→KDC:IDa,IDbKDC→Alice:EKa[IDb，ks],EKb[IDa，ks]Alice→Bob:EKb[IDa，ks]Bob→Alice:Eks[M]Malice無法再冒充Bob來欺騙Alice，說明在示證信息中，一定要包含示證者身份標(biāo)識信息來抵抗偽造攻擊！但是本方案還有重大缺陷?。。≡搮f(xié)議是著名的Needham-Schroeder協(xié)議，該協(xié)議在1978年發(fā)表，在1981年被發(fā)現(xiàn)存在重大的缺陷。基于對稱加密的雙向認(rèn)證（第三方）第二次方案：該協(xié)議是著名的N72基于對稱加密的雙向認(rèn)證（第三方）缺陷：消息的數(shù)據(jù)源認(rèn)證中缺少了對消息新鮮性的認(rèn)證如在第二步KDC→Alice:EKa[IDb，ks],EKb[IDa，ks]中，Alice收到消息后不能保證該消息就是KDC為她和Bob本次通話生成的，如下攻擊：Malice(KDC)→Alice:EKa[IDb，ks’],EKb[IDa，ks’]

Ks’是以前某次KDC為Alice和Bob創(chuàng)建的會話密鑰，這樣會話密鑰的新鮮性不能保證！Malice這種行為是哪一種攻擊方式？基于對稱加密的雙向認(rèn)證（第三方）缺陷：消息的數(shù)據(jù)源認(rèn)證中缺少73基于對稱加密的雙向認(rèn)證（第三方）第三次方案：Alice→KDC:IDa,IDb,NaKDC→Alice:EKa[IDb,ks,Na,EKb[IDa,ks]]Alice→Bob:EKb[IDa,ks,Nb]Bob→Alice:Eks[Nb,Nc]Alice→Bob:Eks[f(Nc)]基于對稱加密的雙向認(rèn)證（第三方）第三次方案：74基于公鑰技術(shù)的雙向認(rèn)證AliceBobEUB(IDA,N1)EUA(N1,N2)EUB(N2)EUB(ERA(Ks))基于公鑰技術(shù)的雙向認(rèn)證AliceBobEUB(IDA,N1)7535、功與失每個人都有一不的理想，這種理想決定著他的努力判斷的方向。就在這個意義上，我從來不把安逸和享樂看做是生活目的的本身----這種基礎(chǔ)，我叫它豬欄的理想。照亮我的道路，并且不斷地給我新的勇氣去愉快地正視生活的理想，是善、美、真。---愛因斯坦（美國）無論何時，不管怎樣，我也絕不允許自己有一點灰心喪氣。---愛迪生（美國）

對我來說，信念意味著不擔(dān)心。---杜威（美國）

希望貫穿一切，臨死也不會拋棄我們。---波普（美國）

希望永遠在人的胸膛洶涌。人要經(jīng)常感覺不是現(xiàn)在幸福，而是就要幸福了。---波普（美國）

毫無理想而又優(yōu)柔寡斷是一種可悲的心理。---培根（英國敗的嶺，可以用這五個字來表達----我沒有時間。---富蘭克林（美國）

馬云語：今天很殘酷，明天更殘酷，后天會很美好，但絕大多數(shù)人都死在明天晚上。馬云語：今天很殘酷，明天更殘酷，后天會很美好，但絕大多數(shù)人都死在明天晚上。

想要有空余時間，就不要浪費時間。---富蘭克林（美國）

忽視當(dāng)前一剎那的人，等于虛擲了他所有的一切。---富蘭克林（美國）

時間不可空過，惟用之于有益的工作；一切無益的行動，應(yīng)該完全制止。---富蘭克林（美國）

如果說時間是最寶貴的東西，那么浪費時間就是最大的揮霍

你熱愛生命嗎？那么別浪費時間，也別和不值得交往的人來往.陳帥佛語

懶鬼起來吧！別再浪費時間，將來在墳?zāi)箖?nèi)有足夠的時間讓你睡的。---富蘭克林（美國）

人生太短暫了，事情是這樣的多，能不兼程而進嗎？---愛迪生（美國）真正的敏捷是一件很有價值的事。因為時間是衡量事業(yè)的標(biāo)準(zhǔn)，一如金錢是衡量貨物的標(biāo)準(zhǔn)；所在在做事我有兩個忠實的助手，企業(yè)在市場競爭中輸贏的關(guān)鍵在于其核心競爭力的強弱，而實現(xiàn)核心競爭力更新的惟一途徑就是創(chuàng)新。

一項權(quán)威的調(diào)查顯示：與缺乏創(chuàng)新的企業(yè)相比，成功創(chuàng)新的企業(yè)能獲得20％甚至更高的成長率；如果企業(yè)80％的收入來自新產(chǎn)品開發(fā)并堅持下去，五年內(nèi)市值就能增加一倍；全球83％的高級經(jīng)理人深信，自己企業(yè)今后的發(fā)展將更依賴創(chuàng)新。

23、不創(chuàng)新，就滅亡

——福特公司創(chuàng)始人亨利?福特

24、可持續(xù)競爭的惟一優(yōu)勢來自于超過競爭對手的創(chuàng)新能力

——著名管理顧問詹姆斯?莫爾斯

25、創(chuàng)新是做大公司的惟一之路

——管理大師杰弗里

26、顧客是重要的創(chuàng)新來源

——管理學(xué)家湯姆?彼得斯

27、創(chuàng)新是惟一的出路，淘汰自己，否則競爭將淘汰我們

——英特爾公司總裁安迪?格羅夫

28、創(chuàng)造性模仿不是人云亦云，而是超越和再創(chuàng)造

——哈佛大學(xué)教授西奧多?萊維特

29、創(chuàng)新就是創(chuàng)造一種資源

——管理大師彼得?杜拉克

第五章管理就是溝通、溝通再溝通P69

松下幸之助關(guān)于管理有句名言：“企業(yè)管理過去是溝通，現(xiàn)在是溝通，未來還是溝通?！惫芾黼x不開溝通，溝通已滲透于管理的各個方面。正如人體內(nèi)的血液循環(huán)一樣，如果沒有溝通的話，企業(yè)就會趨于