《网络安全》辅导资料8.docVIP

《网络安全》辅导资料八 主 题：第五章 网络安全策略与控制（第1节） 学习时间： 2014年11月17日－11月23日 内 容： 重点：身份验证和访问控制的原理及方法 难点：信息安全策略的整体创建 第五章 网络安全策略与控制 这周我们将学习第五章《网络安全策略与控制》第一节，这部分重点介绍身份认证的相关知识，下面整理出的知识点供同学们学习。 网络信息安全策略主要有三个方面的内容： 身份认证 存取控制 信息完整性 第一节 身份认（验）证 身份认证指的是用户身份的确认技术，它是网络信息安全访问的第一道防线，也是最重要的一道防线。 网络中的各种应用和计算机系统都需要通过身份认证来确认一个用户的合法性，然后确定这个用户的个人数据和特定权限。 1、常用的认证方式 在一般情况下，信息系统用户登录到计算机 系统实施一般使用以下几种认证方式： 账户/ 口令方式 IC卡认证方式 生物特征认证方式 1）账户/ 口令认证方式 这是最简单也是最常用的身份认证方法。它是基于“what you know”的认证手段。方法的内涵是：用户账号（也称用户标识UserID）+口令(Password) =某人的身份。用户标识又称系统用户标识与验证，是系统用以赋予存取权限和资源利用的根据。 一般只要能够正确输入标识和口令，计算机就认为操作者是合法用户。 目前的口令机制大体上可分成两种，一种是传统的明文式口令，另一种是计算式口令。 计算式口令 这种口令可以在一定程度上解决口令文件丢失或泄密问题。也就是说，所用的口令不是直接存放在信息系统中，而是经过了某种数学计算后才存放到系统中，而从存放的结果内容不可能推算出原始的口令。 比如口令为一个字符串组合X，存放的结果内容是Y，而Y=F(X)，这里的F是一个单向散列函数（也称Hash函数），想要从得到的Y计算出X非常困难。而从X却很容易计算得到Y，与事先存放在口令文件中的Y相比较，就可以确定登录的是否为合法用户。 常用的破解口令的办法有： 1．通过网络窃听 很多传统的网络服务在询问和验证远程用户口令的过程中，用户口令在网络中用明文传送，于是网络中的窃听者可以窃得用户口令； 2．通过用户主机窃听 现在各种各样的木马程序非常多，用户一不小心，就可能将来自各种渠道的某个木马程序激活，然后远程的黑客通过木马程序记录用户的一举一动，包括用户输入的口令； 3．通过简单猜测 很多用户在设置口令的时候，为了方便自己记忆而选择过于简单的口令，攻击者通过简单猜测就可以搞定； 4．通过系统漏洞 5．用户自己泄漏 系统要采用口令安全措施 1）建立足够安全的口令构造标准 口令字符集应该包括256个扩展ASCII字符，口令长度应达到7~14个字符，并且没有重复； 确立口令唯一性，新口令的选择不得与同一用户的前N次（N5）使用过的口令相同； 由于人为创立的口令容易被猜出，最好利用计算机自动生成口令，然后由用户挑选一个容易记住、又不好猜的口令使用。 2）加强口令的鉴别与管理 要定期强制更改口令，让口令具有使用寿命，即使口令被泄漏，它的寿命限制了口令的使用； 当有人调离时，要在第一时间更改系统口令，并删除调离者的用户标识和口令； 改进口令鉴别机制，比如系统能自动提示用户的最近一次的上机时间，以便于用户判别口令是否已被人窃用； 对连续一定次数登录失败的用户，系统将自动关闭其账号，等待管理员处理； 口令表只能被操作系统访问。 （3）在口令机制中采用加密技术 加密有很多方法，如DES、RSA等。 （4）养成正确和谨慎使用口令的良好习惯 口令至少有7位，最好加些特殊字符； 避免使用单词、有现实意义的字符、数字； 不要记录口令，当然更不要随便告诉别人； 不要当众输入口令； 及时报告身份变更情况及与口令有关的可疑迹象。 （5）采用一次性口令 由于传统的静态口令容易被嗅探或截获，而且难以抵御字典式攻击。动态口令(Dynamic Password)，又叫“一次性口令（OTP：One Time Password）”。 其主要思想是：在登录过程中加入不确定因素，使每次登录过程中传送的信息都不相同，以提高登录过程安全性。例如，登录密码=MD5（用户名＋密码＋时间），系统接收到登录口令后做一个验算即可验证用户的合法性。根据某种加密算法，产生的随某一个不断变化的参数(例如时间，事件等)不停地、没有重复变化的一种口令。 2）密码卡 智能卡的特点 用IC卡进行身份认证，其安全性要高于账户/ 口令认证方式。IC卡从硬件和软件等几个方面实施其安全策略，可以控制卡内不同区域的存取特性。加密IC卡本身具有安全密码。认证前还可要求用户输入PIN（个人身份