【正文】 計(jì)算機(jī)的實(shí)體訪問控制 。對(duì)重要的機(jī)房，還應(yīng)采取特別的防盜措施，如值班守衛(wèi)、出入口安裝金屬探測(cè)裝置等。 機(jī)房的內(nèi)裝修材料一般應(yīng)避免使用掛毯、地毯等吸塵、容易產(chǎn)生靜電的材料，而應(yīng)采用乙烯材料。 電磁輻射防護(hù)的措施 ： (1)一類是對(duì)傳導(dǎo)發(fā)射的防護(hù) ，主要采取對(duì)電源線和信號(hào)線加裝性能良好的濾波器，減小傳輸阻抗和導(dǎo)線間的交叉耦合； (2)對(duì)輻射的防護(hù) 可分為 ： 1)采用各種電磁屏蔽措施 ，如對(duì)設(shè)備的金屬屏蔽和各種接插件的屏蔽，同時(shí)對(duì)機(jī)房的下水管、暖氣管和金屬門窗進(jìn)行屏蔽和隔離； 2)干擾的防護(hù)措施 ，即在計(jì)算機(jī)系統(tǒng)工作的同時(shí)，利用干擾裝置產(chǎn)生一種與計(jì)算機(jī)系統(tǒng)輻射相關(guān)的偽噪聲向空間輻射來掩蓋計(jì)算機(jī)系統(tǒng)的工作頻率和信息特征。 容錯(cuò) 22 第 3講 物理安全與身份認(rèn)證 容錯(cuò)與容災(zāi) 容災(zāi)的真正含義是對(duì)偶然事故的預(yù)防和恢復(fù)。 （ 7） 交互識(shí)別 ， 有些應(yīng)用中要求雙方能互相進(jìn)行身份認(rèn)證 ?？诹钣卸喾N，如一次性口令；還有基于時(shí)間的口令。安全性高。被識(shí)別人必須合作允許采樣。 c) 在開放式系統(tǒng)中 ， 主機(jī)不能控制登錄它的每一個(gè)用戶 ， 另外還有來自系統(tǒng)外部的假冒等情況發(fā)生 ， 以上兩種方法都不能保證用戶身份的真實(shí)性 ，必須對(duì)每一個(gè)服務(wù)請(qǐng)求 ， 都要認(rèn)證用戶的身份 。Kerberos在發(fā)送密碼時(shí)就采用私有消息模式 。 PKI可以完全提供以上四個(gè)方面的保障 ， 提供的服務(wù)主要包括下述三方面內(nèi)容 。 ③ 密鑰備份及恢復(fù)系統(tǒng) 。 Win2K的 Kerberos V5驗(yàn)證機(jī)制 第 3講 物理安全與身份認(rèn)證 60 2. 驗(yàn)證的分派 驗(yàn)證的分派管理員授予用戶或計(jì)算機(jī)帳戶的權(quán)限。 Win2K的 Kerberos V5驗(yàn)證機(jī)制 第 3講 物理安全與身份認(rèn)證 作 業(yè) ? P5 66名詞解釋與簡(jiǎn)答題請(qǐng)?jiān)跁蟿澇龃鸢?。 每個(gè)域控制器起著 KDC（密鑰分配中心）的作用。 ⑥ LDAP輕量級(jí)目錄訪問協(xié)議 。 其中 ， 建立高性能的防火墻和進(jìn)行日志是必要的 。Kerberos還產(chǎn)生一種臨時(shí)密鑰 (對(duì)話密鑰 )， 通信雙方用在具體的通信中 。 所有客戶和服務(wù)器間的會(huì)話都是暫時(shí)的 。 電話和計(jì)算機(jī)的盜用是相當(dāng)嚴(yán)重的問題，語(yǔ)音聲紋識(shí)別技術(shù)可用于防止黑客進(jìn)入語(yǔ)音函件和電話服務(wù)系統(tǒng)。這樣智能卡的讀取器必將成為用戶接入和認(rèn)證安全解決方案的一個(gè)關(guān)鍵部分。身份證明的基本途徑：指紋、筆跡、聲紋、手型、臉型、血型、視網(wǎng)膜、虹膜、 DNA以及個(gè)人一些動(dòng)作方面的特征等。 （ 3） 攻擊者偽裝示證者欺騙驗(yàn)證者成功的概率要小到可以忽略的程度 ， 特別是要能抗擊已知密文攻擊 ， 即能抗攻擊者在截獲到示證者和驗(yàn)證者多次 （ 多次式表示 ） 通信下偽裝示證者欺騙驗(yàn)證者 。 常用的數(shù)據(jù)容錯(cuò)技術(shù)主要有以下四種： ?空閑設(shè)備：就是備份兩套相同的部件。 2． 常用硬件設(shè)備的維護(hù)和保養(yǎng) 定期檢查供電系統(tǒng)的各種保護(hù)裝置及地線是否正常 。 三類供電：按一般用戶供電考慮。在較大的樓層內(nèi)，計(jì)算機(jī)機(jī)房應(yīng)靠近樓梯的一邊。 同時(shí)要注意保護(hù)存儲(chǔ)媒體的安全性 ， 包括存儲(chǔ)媒體自身和數(shù)據(jù)的安全 。1 第 3講 物理安全與身份認(rèn)證 回 顧 ? 在第 2講，主要介紹了密碼學(xué)的基礎(chǔ)知識(shí)、密碼與密碼學(xué)的分類、古典替換密碼、對(duì)稱密鑰密碼、公開密鑰密碼、數(shù)據(jù)加密標(biāo)準(zhǔn) DES、高級(jí)加密標(biāo)準(zhǔn)規(guī)范 AES ，另外還介紹了消息認(rèn)證、散列函數(shù)與數(shù)字簽名等。 4)通信線路安全：包括防止電磁信息的泄漏 、 線路截獲 ， 以及抗電磁干擾 。 外來人員進(jìn)入辦理相關(guān)手續(xù)。 16 第 3講 物理安全與身份認(rèn)證 電源系統(tǒng)安全技術(shù) 防靜電措施 不同物體間的相互摩擦、接觸會(huì)產(chǎn)生能量不大但電壓非常高的靜電。 對(duì)設(shè)備的物理訪問權(quán)限限制在最小范圍內(nèi) 。 ?鏡像：把一份工作交給兩個(gè)相同的部件同時(shí)執(zhí)行。 身份認(rèn)證概述 2）對(duì)身份證明系統(tǒng)的要求 第 3講 物理安全與身份認(rèn)證 27 （ 4） 計(jì)算有效性 ， 為實(shí)現(xiàn)身份證明所需的計(jì)算量要小 。 根據(jù)安全水平、系統(tǒng)通過率、用戶可接受性、成本等因素，可以 選擇適當(dāng)?shù)慕M合設(shè)計(jì)實(shí)現(xiàn)一個(gè)自動(dòng)化身份證明系統(tǒng)。 身份認(rèn)證 智能卡 第 3講 物理安全與身份認(rèn)證 33 IC卡基本原理 身份認(rèn)證 智能卡 第 3講 物理安全與身份認(rèn)證 34 IC卡操作系統(tǒng)的典型模塊結(jié)構(gòu) IC卡接口設(shè)備 身份認(rèn)證 智能卡 第 3講 物理安全與身份認(rèn)證 35 IC卡認(rèn)證是 IC卡和應(yīng)用終端之間通過相應(yīng)的認(rèn)證過程來相互確認(rèn)合法性，目的在于防止偽造應(yīng)用終端及相應(yīng)的 IC卡。 身份認(rèn)證 主體特征認(rèn)證 2）語(yǔ)音驗(yàn)證 第 3講 物理安全與身份認(rèn)證 42 人的視網(wǎng)膜血管（即視網(wǎng)膜脈絡(luò)）的圖樣具有良好的個(gè)人特征。 第 3講 物理安全與身份認(rèn)證 45 Kerberos的產(chǎn)生背景 用戶需要從多臺(tái)計(jì)算機(jī)得到服務(wù) ， 控制訪問的方法有三種： a) 認(rèn)證工作由用戶登錄的計(jì)算機(jī)來管理 ， 服務(wù)程序不負(fù)責(zé)認(rèn)證 ， 這對(duì)于封閉式網(wǎng)絡(luò)是可行的方案 。 Kerberos提供三種安全等級(jí)： 1） 只在網(wǎng)絡(luò)開始連接時(shí)進(jìn)行認(rèn)證 ， 認(rèn)為連接建立起來后的通信是可靠的 。 Kerberos認(rèn)證系統(tǒng) 局限性 第 3講 物理安全與身份認(rèn)證 PKI即公開密鑰體系 ， 是一種遵循既定標(biāo)準(zhǔn)的密鑰管理平臺(tái) ， 它能夠?yàn)樗芯W(wǎng)絡(luò)應(yīng)用提供加密和數(shù)字簽名等密碼服務(wù)及所必需的密鑰和證書管理體系 ， PKI技術(shù)是信息安全技術(shù)的核心 ， 也是電子商務(wù)的關(guān)鍵和基礎(chǔ)技術(shù) 。 公鑰基礎(chǔ)設(shè)施 PKI 55 第 3講 物理安全與身份認(rèn)證 （ 2） PKI的體系結(jié)構(gòu) 完整的 PKI系統(tǒng)必須具有權(quán)威認(rèn)證機(jī)構(gòu) 、 數(shù)字證書庫(kù) 、 密鑰備份及恢復(fù)系統(tǒng) 、證書作廢系統(tǒng) 、 應(yīng)用接口 （ API） 等基本構(gòu)成部分 ， 構(gòu)建 PKI也將圍繞著這五大系統(tǒng)來著手構(gòu)建 。Win2023 系統(tǒng)使用域名服務(wù) (DNS) 查詢定位最近的可用域控制器。 ? 上網(wǎng)了解 Windows 202 202 2023R2 Server版的相關(guān)知識(shí) 。如果首選 KDC 失效， Windows 2023 系統(tǒng)將確定一個(gè)替換 KDC 提供驗(yàn)證。 ② 證書和證書庫(kù) 。 （ 1） PKI技術(shù)的信任服務(wù) 在網(wǎng)絡(luò)通信和網(wǎng)絡(luò)交易中 ， 特別是在電子政務(wù)和電子商務(wù)業(yè)務(wù)中 ， 最需要的安全保證有四個(gè)方面：身份標(biāo)識(shí)和認(rèn)證 、 保密或隱私 、 數(shù)據(jù)完整性和不可否認(rèn)性 。 3) 私有消息傳遞：不僅對(duì)每條消息進(jìn)行認(rèn)證 ， 而且對(duì)每條消息進(jìn)行加密 。 每個(gè)服務(wù)選擇自己信任的計(jì)算機(jī) ， 在認(rèn)證時(shí)檢查主機(jī)地址來實(shí)現(xiàn)認(rèn)證 ?？筛鶕?jù)對(duì)圖樣的節(jié)點(diǎn)和分支的檢測(cè)結(jié)果進(jìn)行分類識(shí)別。 身份認(rèn)證 智能卡 第 3講 物理