网络安全系统中的身份认证技术研究.pdfVIP

网络安全系统中的身份认证技术 张固庆赵锐周春红车长卿 军事交通学院基础部计算机教目f室．天津30016 ．iixuzg,q@126．com f摘要】 身份认证技术可以识别网络活动中的各种身份．它是网络安全系统的第一道防线．一旦身份认 证系统被攻破，那么系统的所有安生措旌将形同虚设．常用的身份认证技术包括有：单闲秉身份认证技术、 双堋崇静态身份认“E技术、顽因素动态身份认证技术．身份认证拉术的发展趋势足利用人体生物特征进行 身份认证的技术． 1 引言 身份认证技术可以识别网络活动中的各种身份。它是安全系统中的基础设施．也是最 基本的安全服务，其他的安全服务都依赖于它。它是网络安全系统的第一道防线．一旦身 份认证系统被攻破，那么系统的所有安全措施将形同虚设。常用的身份认证技术包括有： 单因素身份认证技术、双因素静态身份认证技术、双因素动态身份认证技术。 2单因素认证技术 目前广泛使用的身份验证方法采用秘密信息作为验证口令的验证方式。基于这种方法 的系统通常都采用“用户名+密码”的方式来识别用户。如图】所示。在通常情况下．用 户名是公开的。并且这种口令是可以重复使用的，因此攻击者有足够的时间来获取口令。 非法或未授权的用户可以通过以。FJL种方式获取合法用户的口令。 峋iiilI硼洲s2000 S电r坩 t于n}●％ 用户g蛐 密码∞， [噩：]塑l墅坐：：I 荫I Windows 2000的口令验证方式 字典攻击：这是最简单也是晟常见的攻击方式。攻击者首先收集合法用户的一些基本 信息，如：姓名、生日、爱好等，然后用这些信息的任意组合去猜测用户口令。 穷举攻击：这是一种特殊的字典攻击方式。攻击者通常首先了解用户口令的长度限制， 然后利用所有字符集构造出符合长度要求的字符串全集作为字典。这种攻击方式虽然速度 较慢，但是它对绝大多数的静态口令系统都很奏效。 网络数据包侦听：由于认证信息必须通过网络传输，而许多系统的验证信息是通过未 加密的明文进行传输。因此，攻击者可以通过侦听网络中的数据包，并且很容易从中提取 用户名和密码。 协议分析和口令重放：网络是一个开发的系统，因此网络之间交流的语言一一通信协 议也必须是开放共享的。攻击者可以利用协议的一些特性进行信息截驭与重放，与服务器 建立虚假连接，从而达到控制服务器和修改用户信息的目的。例如，攻击者首先侦听一个 合法用户与服务器建立连接及验证的全部过程，并将所有用户数据包保留。在合法用户退 出后，攻击者便修改数据包中与协议有关的信息而保留用户信息。并将所有截取的数据包 一一重发，从而冒充合法用户登录，修改用户信息，当然包括用户口令。因此，为了提高 系统的安全性，管理员通常制定相应的策略以限制口令的使用。使用密码口令的一般策略： (1)选用高质量的密码，最少要有8个字符。不要使用名字、电话号码、生日等容易 被猜出的或被破解的密码信息；不要连续使用同一个字符，不要全部使用数字或字母。 (2)定期更改密码，首次登陆时要更改临时密码；避免使用旧密码或循环使用旧密码。 (3)不要共享个人用户密码；避免在纸上记录密码。 (4)用户需要访问多项服务或多平台时，要采用多个密码。 在安全性要求较高的网络系统中。人们通常不采用单口令验证方法，取而代之的是双 因素认证方法。 3双因素认证技术 双因素认证是密码学的一个概念。从理论上说，身份认证具有3个要素。 (1)使用者记忆的内容，例如密码等； (2)使用者拥有的特殊认证加强机制，例如软盘、智能卡、令牌等； (3)使用者本身拥有的惟一特征．例如指纹、瞳孔、声音等。 把前两种要素结合起来的身份认证方法就是“双因素认证”。双因素认证技术由于需要 用户的双重认证，类似于自动柜员机提款。