5.身份鉴别--wjf.pdfVIP

1身份鉴别和访问控制 2实体鉴别的目的和过程 • 实体鉴别（身份鉴别）：某一实体确信与之打交道的实 体正是所需要的实体。只是简单地鉴别实体本身的身 份，不会和实体想要进行何种活动相联系。 • 在实体鉴别中，身份由参与某次通信连接或会话的远程 参与者提交。这种服务在连接建立或在数据传送阶段的 某些时刻提供，使用这种服务可以确信(仅仅在使用时间 内): 一个实体此时没有试图冒充别的实体，或没有试图 将先前的连接作非授权地重演。 3实体鉴别分类 • 实体鉴别可以是单向的也可以是双向的。 单向鉴别是指通信双方中只有一方向另一方进行鉴 别。 双向鉴别是指通信双方相互进行鉴别。 4实现身份鉴别的途径 • 三种途径之一或他们的组合 （1）所知（Knowledge）:密码、口令 （2）所有（Possesses):身份证、护照、信用卡、钥匙 （3）个人特征：指纹、笔迹、声纹、手型、血型、视网膜、虹膜、 DNA以及个人动作方面的一些特征 设计依据： 安全水平、系统通过率、用户可接受性、成本等 5非密码的鉴别机制 A. 口令机制 B. 一次性口令机制 C. 询问—应答机制 D. 基于地址的机制 E. 基于个人特征的机制 F. 基于设备的鉴别 6A．口令机制 • 常规的口令方案涉及不随时间变化的口令，提供所谓的弱 鉴别(weak authentication)。 • 口令或通行字机制是最广泛研究和使用的身份鉴别法。通 常为长度为5~8的字符串。选择原则：易记、难猜、抗分 析能力强。 7• 禁止不必要的用户登录服务器。如邮件服务器不应该给用户使用 SHELL的权利; • 尽可能强制新添加的用户在第一次登录时修改密码; • 保护好系统中密码配置文件不被窃取; • 禁止Root远程登录;少用Telnet或安装SSL加密Telnet信息; • 保护用户名不要泄露。因为登录一台机器需要两个部分—用户名 和口令。 • 不要将多台计算机的用户密码设成一样的,防止黑客攻破一台机器 后就可攻击所有机器。 8对付口令猜测的措施 • 严格限制非法登录的次数； • 口令验证中插入实时延迟； • 限制最小长度，至少6~8字节以上 • 防止用户特征相关口令， • 口令定期改变； • 及时更改预设口令； • 使用机器产生的口令。 9口令带来的问题 • 窃听 • 口令数据文件被获取 • 口令猜测 • 重放 • 其他问题 10 p′ id id q 比较 是或不是 验证者 口令p′ 用户id 消息 g q ′ 保护口令：单向函数 11 SAM (Security Accounts Manager) • 在独立的Windows 2000计算机上，安全账户管理器负责保存用户账 户名和口令的信息。 • 口令通过散列并被加密，现有的技术不能将打乱的口令恢复(尽管如 此，散列的口令是可以被暴力猜解) 。 • SAM 组 成 了 注 册 表 的 5 个 配 置 单 元 之 一 ， 它 在 文 件 %systemroot%\system32\config\sam中实现。 • 在Windows 2000域控制器上，用户账户和散列的数据保存在活动目 录中(默认为%systemroot%\ntds\ntds.dit)。散列是以相同的格式保 存的，但是要访问它们必须通过不同的方法。 12 保护口令：防止窃听 q ′ f id id q 比较 是或不是 口令p ′ 用户id 验证者 消息 13 对付重放攻击的措施 • 抵抗对通信线路的主动攻击——重放攻击。 r ′ id nrv g f id q g 比较 是或不是 口令p′ 声称者 验证者 消息q ′ 用户id 时间戳nrv r′ r 14 例：窃取口令 • 例如某个UN IX公用系统,普通用户账号“PUBL IC”, 口令也是“PUBL IC”。该公用 • 远程登录,所以系统管理员也常使用。“PUBL IC” 进行登录后,使用SU命令切换到ROOT。 • 以利用的一个管理漏洞。 15 具体做法如下: • 1. 改变PUBL IC账号的PATH环境变量值。 • 2. 在/HOME /PUBL IC中放入一个小程序,名字就叫SU。 由它模拟真正的SU程序密码,并在此截获超级用户的口 令。 • 3. 发送超级用户的密码到某人的个人信箱。 • 4. 显示“SU: INCORRECT PASSWORD”。 • 5. 删除本程序,并恢复PUBL IC账号的PATH环境变量。 16 • 这个例子提醒我们,系统管理员应当尽 量分配给每一个用户以独立的账号,如果一定需要 公共账号,系统管理员应当避免使用该公共账号登 录,并且在执行命令时也最好加上绝对路径。 17 例：绕过口令机制 • 用户名和密码登录的页面中，其源文件可能类似 下面的内容： • tr td width=6