downland-人工智慧實驗室AILAB.ppt

黃明祥 使用者身份鑑別(User Authentication) 本章內容 3.1 前言 3.2 使用者身份鑑別方式 3.3 通行密碼的安全威脅 3.4 通行密碼管理 3.5 使用者身份鑑別處理過程 3.6 登入種類 3.7 各種通行密碼技術 3.8 Kerberos 身份鑑別系統 3.9 使用者終端設備之驗證 3.1 前言 使用者身份識別主要目的是要辨識某人是否為合法的系統使用者。 可分為二部分：使用者身份(Identity)及鑑別 (Authentication)。不但要能夠唯一識別使用者身份，而且必須要有方法來預防歹徒冒充別人身份的能力。 可說是電腦的守護神。 金融卡，汽車牌照。 3.2 使用者身份鑑別方式 生物特性驗證 生理結構唯一性 人的生理結構有些具有唯一性。 例如指紋 (Finger Print)、手形 (Hand Shape)、及眼紋 (Retina Print) 等均不相同。 行為差異性 主要是一些行為習慣之不同。 例如每個人因為音頻、音律、及音量等不盡相同，因此都有各自獨特的聲音(Voice)。 每個人寫字力道、字型、及字體等不盡相同，因此每個人都有獨特的筆跡 (Signature and Write)。 每個人打鍵盤的速度及力道有所差異，且使用滑鼠之習慣亦不盡相同。 通行密碼驗證 利用ID與Password進行比對 使用者輸入ID和Password後，系統就使用這兩個訊息到資料庫中搜尋通行密碼檔案進行比對，正確變允許使用者登入系統。 缺點: 密碼檔案需要保密與維護(完整性與保密性)。 傳輸過程洩露相關訊息(偽造登入訊息，保密性)。 使用單向赫序函數(One Way Hash Function) 使用者的惰性。(IC卡或智慧卡) 通行密碼之安全威脅 重送攻擊法(Replaying Attack) 攔截使用者的通行密碼，重新輸入到主機系統，以通過系統驗證。(時戳，重登入時間間隔) 行騙法(Spoofing) 類似金光黨的行騙手法。 駭客模擬主機系統之登入 (Login)畫面及其處理步驟，以騙取使用者密碼。 通行密碼選擇的原則 選擇一個不易被猜中且長度合理的通行密碼，通常至少要有8個字母以上長度，合理長度為8至12個字母。 避免使用字典中可以找到的單字當作通行密碼，並最好在通行密碼中摻雜一些數字及分辨大小寫。 勿將通行密碼寫在筆記本及其他任何地方。 避免選擇單字、與個人相關特性資料、以及鍵盤排列。 避免多台主機系統共用相同通行密碼。 3.5 使用者身份驗證處理過程 使用者身份識別系統 分成三個階段 1.註冊階段 先向系統管理員申請帳號。 將使用者身份鑑別碼及通行密碼分配給使用者個人保管，系統並儲存這些資訊在「系統資源單元」。 2.進入系統階段 出示身份，並由「讀取資料終端設備單元」輸入通行密碼。 3.驗證階段 系統在「身份鑑別處理單元」驗證使用者身份及通行密碼是否為合法使用者。 3.6 登入種類 依照「讀取資料終端設備單元」及「身份鑑別處理單元」之間距離及其連線媒介，分以下七種： 直接登入(Direct Logins)或本機登入(木馬程式) 本地登入(Local Logins)(直接連結，專線) 撥接登入(Dialup Logins) 遠端登入(Remote Logins) 網路芳鄰登入(Distributed Logins) 網路登入(Network Logins) (FTP) 代理登入(Proxy Logins)(代理伺服器 Proxy Server) 批次登入(Batch Logins) 子處理登入(Subprocess Logins)(駭客測試或癱瘓網路 常用的方法) 3.7 各種通行密碼技術 直接儲存法 時戳法 亂數法 3.8 Kerberos身份鑑別系統 Kerberos 其實是希臘神話中看守地獄大門的三頭猛犬的名字，這頭猛犬除了比一般狗狗多出兩個狗頭外，還有噴火與噴硫酸的特異功能。總之呢，除非是像海格力士這號超級肌肉男，否則一般尋常百姓絕非 Kerberos 的對手。由於 Kerberos 象徵著看門、守衛的意思，也因此當初 MIT 雅典娜小組便以此來命名他們所開發的認證協定。 簡而言之，Kerberos 是一套認證的協定，利用「對稱式加密法」(或稱為「傳統式加密法」、「秘鑰加密法」)的原理，提供用戶端與伺服端之間相互認證的功能。也就是說，伺服端可透過此協定來確認用戶端的身份，而用戶端也可藉此確認伺服端的身份。(DES) 3.8 Kerberos身份鑑別系統 更安全的Kerberos使用者身份驗證系統 其缺點為: 用戶端傳送給AS之通行密碼是以明文（未經加密處理）方式傳送，若遭截取其安全堪虞。 通行票僅能使用