[IT认证]网络安全4.ppt

Web认证 Basic Authentication [RFC 2617] 口令直接明文传输 隐患：sniffer、中间代理、假冒的服务器 Digest Access Authentication [RFC 2617] Challenge-Response, 传输加密的口令 重放攻击、中间人攻击 服务器端的口令管理策略 TLS，基于PKI的认证 单向或者双向的身份认证 要求服务器提供证书，客户端证书可选 同时也可以提供保密性服务 一种双向认证模式 单向TLS认证+客户提供名字/口令 认证协议实例分析：HTTP认证协议 Web应用的认证机制 HTTP本身支持的认证协议 SSL协议 HTTP/1.1规范 Basic Authentication Digest Access Authentication 认证框架 基本思想：challenge-response机制，服务器询问客户，客户提供认证信息 指明authentication scheme 基本过程 当客户请求一个被保护的资源的时候，服务器返回401(Unauthorized)应答消息应答头中包含一个WWW-Authenticate域 然后开始认证过程 最后，如果服务器不能接受客户的credential，则应该返回一个401消息，继续下一轮的认证 Basic Authentication 多数浏览器和Web 服务器都支持HTTP 基本认证方式。认证信息中的用户名和口令经过64 位编码后放在HTTP 信头中递交给Web 服务器,但是口令和用户名是以明文的方式传输,很容易被截获,任何获得用户名和口令的人都可以访问这些受保护的资源。所以基础认证是一种功能很弱的方式,不适合需要较强认证机制的TCP/ IP 应用。 Basic Authentication 过程： 服务器发出challenge，例如WWW-Authenticate: Basic realm=“xxx(URI) 客户收到之后，发送应答basic-credentials = base64-user-passbase64-user-pass = base64 [4] encoding of user-pass, except not limited to 76 char/lineuser-pass = userid : passworduserid = *TEXT excluding :password = *TEXT Digest Access Authentication 针对基础认证的弱点,HTTP/ 1. 1 提出了改进的用户认证和鉴权方案,称为摘要认证。与基础认证类似,摘要认证也是校验双方都知道的一个密码,但是密码的传输不是明文传输,而是加密传输。 Web 服务器用一个随机当前值询问浏览器,浏览器给Web 服务器一个返回值。 摘要认证的优点在于口令加密传输,而且在服务器上也是以密文的方式存储,避免被有访问服务器权限的人窃取。 Digest Access Authentication 仍然基于一个简单的challenge-response结构 但是它用一个nonce值作为challenge 应答是一个hash值(缺省MD5算法)，包括 用户名、口令、nonce值、HTTP方法、以及被请求的URI 好处 口令不在网上明文传输 Digest Access Authentication例子 客户请求一个文档，没有包含Authorization头，则服务器响应 HTTP/1.1 401 Unauthorized WWW-Authenticate: Digest realm=testrealm@, qop=auth,auth-int, nonce=dcd98b7102dd2f0e8b11d0f600bfb0c093, 然后客户提示用户输入用户名和口令，并生成一个新的请求，其中包含Authorization头 Authorization: Digest username=Mufasa, realm=testrealm@, nonce=dcd98b7102dd2f0e8b11d0f600bfb0c093, uri=/dir/index.html, qop=auth, nc cnonce=0a4f113b, response=6629fae49393a05397450978507c4ef1, ASIC（Application Specific Intergrated Circuits）即专用集成电路