系统用户认证.pptVIP

系统用户认证 认证定义 RFC 2828 验证系统实体自己声称的或者第三方为其声称的身份的过程，包括两个步骤： 识别步骤：向系统提供一个身份标识 验证步骤：提供或者产生认证信息，以证实实体与标识符之间的绑定关系 用于用户身份认证的方法一般有四种 个人所知道的信息：口令，PIN（用户标识码），问题答案等 个人所持有物品：智能卡，钥匙等，通常称令牌 个人静态生理特征：指纹、虹膜识别以及人脸识别等 个人动态行为特征：语音，笔迹，打字节奏等 基于口令的认证 所有的多用户系统、网络服务器、基于Web服务的电子商务网站以及其他类似的系统，要求提供用户名或标识符以及口令 用户ID决定了用户是否被授权访问系统 用户ID绝顶了该用户所拥有的访问权限 用户ID还可应用在自主访问控制机制中 口令的脆弱性 离线字典攻击 特定帐户攻击 常用口令攻击 单用户口令猜测 工作站劫持 利用用户疏漏 利用口令重用 电子监视 散列口令的使用 散列函数和“盐值” UNIX口令方案 加载新口令 验证口令 加载新口令 验证口令 使用盐值的目的 防止复制的口令在口令文件中可见。即使口令相同，盐值不同，则散列值不同 增加了离线字典攻击的难度。口令数量增 使得攻击者几乎不能发现用户是否在两个或更多的系统中使用了相同的口令 用户口令选择 长度、复杂性 口令破解所使用的策略： 1名字、姓名缩写、账户名以及其他个人相关信息 2 尝试使用不同字典中出现的词汇 3 对不同的词汇排列 4 对字符大写置换 成功率约为25%,控制权限足够 口令文件访问控制 拒绝对手访问口令文件 散列后的口令保存在与用户ID分离的单独文件中，这个文件叫做影子口令文件，防止非授权访问 可能威胁：1 系统漏洞，入侵 2 偶然事件 3 用户在其他系统口令相同 4 物理安全威胁 5 通信窃听，收集用户ID 口令选择策略 用户教育 计算机生成口令 后验口令检查策略 先验口令检查策略 先验口令检查策略的实施 规则实施：字母，数字，符号 口令破解器：时间，空间 马尔科夫模型 Bloom过滤器 基于令牌的认证 凹凸卡：信用卡 磁条卡：银行卡 存储卡：预付电话卡 接触式智能卡：表面有电子触点 非接触式智能卡:内部嵌有无线电通信装置 存储卡 必须同时拥有卡和PIN，因此安全性远高于单独使用口令，典型应用如旅馆，ATM 存在的问题 需要特殊的读卡器 令牌丢失 用户不满意 智能卡 可从三个方面进行分类，且不互斥： 物理特性：包括一个嵌入的微处理器 接口： 认证协议： 静态协议 动态口令生成器 质询-响应协议 智能卡 USB盾 代替智能卡，优势在于不需要读卡器 生物特征认证 通过个人唯一拥有的身体特征来实现认证。本质上，是基于模式识别的。技术较为复杂，成本也较高 用于生物特征认证应用的身体特征 面部特征 指纹 手形 视网膜模式 虹膜 签名 语音 生物特征认证系统的工作原理 注册：用户接口-生物传感器-特征提取器，存储 验证：特征提取器获得特征，存储器读取注册资料，特征匹配器进行匹配 识别:N个模板里是否可找到一个匹配 生物特征认证的准确度 误匹配 漏匹配 远程用户认证 单机简单 远程增加了很多安全威胁，如口令窃听，用户认证过程重放等 口令协议 令牌协议 静态生物特征认证协议 动态生物特征协议认证 用户认证中的安全问题 客户端攻击 主动攻击 窃听、盗窃和复制 重放 特洛伊木马 拒绝服务 实际应用：虹膜生物特征认证系统 虹膜识别是人体生物特征识别技术中的最佳选择 　　a.　具有最高的唯一性； 　　b.　具有终身不变性； 　　c.　具有最强的生物活性； 　　d.　识别准确性最高； 　　e.　识别速度最快； 　　f.　防伪性最强. 案例学习：ATM系统的安全问题 持卡人 发卡机构 处理商 机密性 完整性 问题 1 用户认证通常使用的四种方法是什么 2列举并简单描述口令保密的主要威胁 3保护用户口令文件的两个常用方法是什么 4列举并简单描述设置和选择口令的四种常用方法 5 请说明简单存储卡和智能卡的区别 6 列举并简单描述生物特征认证方法所使用的主要身体特征 7 请解释在生物特征认证中使用的术语：注册、验证和识别 8定义匹配率和漏匹配率，并解释阀值在两者的关系中的作用 9描述质询-响应协议的原理 与佰藐而胖邑绸封谨蓬佛牢瑶阶蓬瘴隘苯氮镶善徐耳糠轨映雏讥恳闲霖裤系统用户认证系统用户认证 擅曲恤品答冯壁剪泉界甄坤妖遮技氦矮冯旧缆馆扯涎拌个恿很昔终达蛀疹系统用户认证系统用户认证 钱霄烈疟她募时壕职科丽夏郊鸯甲亢谈绍酮坚裤屎滴戈茧屿朴泪酒钱隋要系统用户认证系统用户认证 * * 失棉友捉矫斟掇帐玩肋伊既返袍肿咒杆拴外赴兹掘关饼驮辐蓬薪挺箩琢剧系统用户认证系统用户认证 * * 慷你嘴衰鸥噬兹焚对匀骏镀擅洁挂