网络安全(第五章).pptVIP

第五章 身份认证技术 身份认证技术 身份认证概述 基于密码的身份认证 基于地址的身份认证 生物特征身份认证 零知识证明身份认证 身份认证协议 实验操作1 基于IEEE802.1x协议的RADUIS服务器的配置和应用 身份认证概述 身份认证的概念 身份认证（Authentication）是系统审查用户身份的过程，从而确定该用户是否具有对某种资源的访问和使用权限。身份认证通过标识和鉴别用户的身份，提供一种判别和确认用户身份的机制。 计算机网络中的身份认证是通过将一个证据与实体身份绑定来实现的。实体可能是用户、主机、应用程序甚至是进程。 身份认证技术在信息安全中处于非常重要的地位，是其他安全机制的基础。只有实现了有效的身份认证，才能保证访问控制、安全审计、入侵防范等安全机制的有效实施。 在真实世界中，验证一个用户的身份主要通过以下三种方式： · 所知道的。根据用户所知道的信息（what you know）来证明用户的身份。 · 所拥有的。根据用户所拥有的东西（what you have）来证明用户的身份。 · 本身的特征。直接根据用户独一无二的体态特征（who you are）来证明用户的身份，例如人的指纹、笔迹、DNA、视网膜及身体的特殊标志等。 认证、授权与审计 在计算机网络安全领域，将认证、授权与审计统称为AAA或3A，即英文Authentication（认证）、Authorization（授权）和Accounting（审计）。 1． 认证 认证是一个解决确定某一个用户或其他实体是否被允许访问特定的系统或资源的问题。 2． 授权 授权是指当用户或实体的身份被确定为合法后，赋予该用户的系统访问或资源使用权限。只有通过认证的用户才允许访问系统资源，然而在许多情况下当一个用户通过认证后通常不可能赋予访问所有系统资源的权限。 3． 审计 审计也称为记帐（Accounting）或审核，出于安全考虑，所有用户的行为都要留下记录，以便进行核查。所采集的数据应该包括登录和注销的用户名、主机名及时间。用户对资源的访问过程如图4-1所示。 基于密码的身份认证 密码认证的特点 密码是用户与计算机之间以及计算机与计算机之间共享的一个秘密，在通信过程中其中一方向另一方提交密码，表示自己知道该秘密，从而通过另一方的认证。密码通常由一组字符串来组成，为便于用户记忆，一般用户使用的密码都有长度的限制。但出于安全考虑，在使用密码时需要注意以下几点： （1） 不使用默认密码、（2）设置足够长的密码、（3）不要使用结构简单的词或数字组合、（4）增加密码的组合复杂度、（5） 使用加密、（6）避免共享密码 、（7）定期更换密码 就密码的安全使用来说，计算机系统应该具备下列安全性： （1）入侵者即使取得储存在系统中的密码也无法达到登录的目的。这需要在密码认证的基础上再增加其他的认证方式，如地址认证。 （2）通过监听网络上传送的信息而获得的密码是不能用的。最有效的方式是数据加密。 （3）计算机系统必须能够发现并防止各类密码尝试攻击。可使用密码安全策略。 密码认证的安全性 早在1974年，Purdy就提到为了保护密码的安全，绝对不能以明文的方式储存密码，提出将密码以单向函数y=f(x)转换后，以加密的方式将密码与账户资料存放在一个验证表中，单向函数应具有下列特性： · 知道x可以很容易计算出y。 · 知道y要算出x，在计算上是不可行的。 使用一次性密码（即“一次一密”）技术可以防止重放攻击的发生，这相当于用户随身携带一个密码本，按照与目标主机约定好的次序使用这些密码，并且每一个密钥只使用一次，当密码全部用完后再向系统管理员申请新的密码本。S/Key认证系统就是基于这种思想的一次性密码认证系统。 在S/Key认证系统中，用户每一次登录系统所用的密码都是不一样的，攻击者通过窃听得到的密码无法用于下一次认证，这样S/Key认证系统很好地防止了密码重放攻击。相对于可重放的密码认证系统，S/Key认证系统具有很好的安全性，而且符合安全领域的发展趋势。 密码认证中的其他问题 1． 社会工程学 社会工程学（Social Engineering）是一种通过对受害者心理弱点、本能反应、好奇心、信任、贪婪等心理陷阱进行的诸如欺骗、伤害等危害手段，取得自身利益的手法，近年来已成迅速上升甚至滥用的趋势。 2． 按键记录软件 按键记录软件是一种间谍软件，它以木马方式值