第七章-身份认证.pptxVIP

第七章 身份认证;认证( authentication ) ： 证实主体的真实身份与其所声称的身份是否相符的过程。 现实生活中，主要通过各种证件来验证身份，比如：身份证、户口本等。 ;获得系统服务所必须的第一道关卡。 访问控制和审计的前提。;数据流窃听(Sniffer)： 攻击者窃听网络数据，辨析认证数据，提取用户名和口令。 拷贝/重传： 非法用户截获信息，然后再传送给接收者。 修改或伪造： 非法用户截获信息，替换或修改信息后再传送给接收者， 非法用户冒充合法用户发送信息。 ;根据地域 本地：本地环境的初始化认证 远程：连接远程设备、实体和环境的实体认证。 根据方向 单向认证：指通信双方中只有一方向另一方进行鉴别。 双向认证：指通信双方相互进行鉴别。 ;身份认证系统组成： 认证服务器 认证系统用户端软件 认证设备 认证协议 ;用户所知Something the user know 密码、口令等 简单，开销小，容易泄密，最不安全； 用户所有Something the user possesses 身份证、护照、密钥盘等 泄密可能性较小，安全性高于第一类，系统相对复杂； 用户特征Something the user is (or How he behaves) 指纹、笔迹、声音、虹膜、DNA等 第 安全性最高，如窃取指纹很困难，涉及更复杂算法和实现技术。;非密码 口令等 基于密码算法 对称密码算法 公开密码算法 密码校验函数 零知识证明协议 ;7.1 非密码认证机制;口令机制 基于地址的认证机制 基于生物特征的认证机制 个人令牌认证机制 ;字典攻击： 为方便记忆，口令与自己周遭事物有关，如：身份证号、生日、车牌、电话等； 形成字典罗列所有可能做口令中的字符串。 穷举攻击： 特殊字典攻击，使用字符串全集作为字典。 窥探： 接近被攻击系统，安装监视器或亲自窥探用户输入口令。 社交工程： 冒充是处长或局长骗取管理员信任得到口令等等。冒充合法用户发送邮件或打电话给管理人员，以骗取用户口令等。 垃圾搜索： 搜索被攻击者的废弃物，得到与攻击系统有关的信息，如用户将口令写在纸上又随便丢弃。;采用较长的长度 口令破解的难度随口令长度指数增长，如至少包含8个字符 采用多种字??的组合 如大小写、数字和各种符号的组合 避免使用单词、术语及用户相关信息 如单词、术语以及用户名、姓名、电话、生日、车牌等用户相关信息;(1) 限制猜测次数。 (2) 降低猜测口令的速度。 (3) 增加攻击者搜索的空间，使必须搜索的口令数目非常大。 (4) 要求用户选择自己的口令，安全的口令。 (5)定期更换口令。;2019/6/23; 监听解析口令 重放攻击 获取口令文件 ;2019/6/23;17;2019/6/23;计算潜在口令(口令字典)的哈希，形成表； 彩虹表：庞大的、针对各种可能的字母组合预先计算好的哈希值的集合，主流的彩虹表都是100G以上。 用获取（嗅探窃取）的口令哈希查表;2019/6/23;用户所知Something the user know 密码、口令等 简单，开销小，容易泄密，最不安全； 用户所有Something the user possesses 身份证、护照、密钥盘等 泄密可能性较小，安全性高于第一类，系统相对复杂； 用户特征Something the user is (or How he behaves) 指纹、笔迹、声音、虹膜、DNA等 第 安全性最高，如窃取指纹很困难，涉及更复杂算法和实现技术。;非密码 口令等 基于密码算法 对称密码算法 公开密码算法 密码校验函数 零知识证明协议 ;23;在登录过程中加入不确定因素，使每次登录过程中传送的信息都不相同 确定口令的方法： 口令序列 挑战/回答 时间戳;口令序列S/KEY;26;Completely Automated Public Turing Test to Tell Computers and Humans Apart (全自动区分计算机和人类的图灵测试);以用户登录时间作为随机因素，如： 用户计算，登录口令=hash(用户名＋口令 ＋时间） 系统验证， hash(用户名＋口令 ＋时间） 要求双方较高时间同步准确度，一般采取以分钟为时间单位的折中办法。　 ;以声称者地址作为认证基础 验证者对每一个主体都保持一份合法呼叫地址文件。 自身不能被作为鉴别机制，但可作为其它机制的有用补充。 Eg. wifi路由器MAC绑定;特征： 指纹、声音、手迹、视网膜、手形。 优点： 绝对无法仿冒的使用者认证技术。 缺点： 较昂贵。 不够稳定(辩识失败率高)。;通常要与一个口令或PIN结合使用 令牌要求具有存储功能， 通常有键盘、显示器等界面部件，更复杂的能支持一次性口令，甚至可嵌入处理器