网络攻防原理与技术课件最新版第8章身份认证与口令攻击.pptx

;内容提纲;身份认证;身份认证;五种方式：

口令认证

信物认证

地址认证

用户特征认证

密码学认证

;;;;;;一、口令认证;用户在注册阶段生成用户名和初始口令，系统在其用户文件或数据库中保存用户的信息（用户名和口令）。当用户登录认证时，将自己的用户名和口令上传给服务器，服务器通过查询其保存的用户信息来验证用户上传的认证信息是否和保存的用户信息相匹配。如果匹配则认为用户是合法用户，否则拒绝服务，并将认证结果回传给客户端。用户定期改变口令，以保证安全性。这种口令因其实现简单、使用方便，得到了广泛的应用。;动态口令;动态口令按生成原理可分为非同步和同步两种认证技术。

非同步认证技术生成的动态口令主要是依据挑战－响应原理来实现。

同步认证技术包括与时间有关的时钟同步认证技术和与时间无关的事件同步认证技术。

;动态口令认证过程;;;;二、密码学认证;常用的密码学认证协议有一次性口令认证、基于共享密钥的认证、基于公钥证书的认证、零知识证明和标识认证等;（一）一次性口令认证;一次性口令（One-TimePassword,OTP），一般使用双运算因子来实现

固定因子，即用户的口令或口令散列值

动态因子，每次不一样的因子，如时间，事件序列，挑战/应答（challenge/response）。每种各有优缺点;动态口令认证过程;一次性口令认证协议S/KEY：1991年贝尔通信研究中心研制;基本原理

S/KEY中，服务器产生挑战（challenge）信息。挑战信息由迭代值（IterationCount,IC）和种子（seed）组成。迭代值，指定散列计算的迭代次数，为1~100之间的数，每执行一次挑战/响应过程，IC减1（当IC为1时，则必须重新进行初始化）。种子由两个字母和5个数字组成。例如，挑战信息“05xa13783”表示迭代值为05，种子为“xa13783”。客户端收到挑战后，要将秘密口令与种子“xa13783”拼接后，做5次散列运算。

;基本原理

S/KEY中支持三种散列函数，即MD4,MD5和SHA。OTP服务器将散列函数的固定输出折叠成64位（OTP的长度）。64位OTP可以被转换为一个由6个英文单词组成的短语，每个单词由1~4个字母组成，被编码成11位，6个单词共66位，其中最后2位（11*6-64=2）用于存??校验和。;基本原理;安全性分析

用户的秘密口令没有在网络上传输，传输的只是一次性口令，并且一次性口令即使在传输过程中被窃取，也不能再次使用；

客户端和服务器存储的是用户秘密口令的散列值，即使客户端和服务器被攻陷导致口令散列值被窃取，也需破解口令散列才能获得明文口令;安全性分析

用户登录一定次数后，客户和服务器必须重新初始化口令序列；

为了防止重放攻击，系统认证服务器具有唯一性，不适合分布式认证

单向认证（即服务器对客户端进行认证），不能保证认证服务器的真实性

S/KEY使用的种子和迭代值采用明文传输，攻击者可以利用小数攻击来获取一系列口令冒充合法用户;改进的S/KEY协议

核心思想：不在网络中传输一次性口令散列值。使用用户的口令散列对挑战进行散列，并将计算结果发送给服务器。服务器收到后，同样使用服务器保存的用户口令散列对挑战进行散列计算，并与客户端发来的应答进行比较，如果相同则认证通过，否则拒绝

Windows2000及其之后版本中的NTLM认证所实现的挑战/响应机制就使用了这个改进的S/KEY协议;（二）其于共享密钥的认证;Needham-Schroeder双向鉴别协议;问题1：执行完上述三个步骤后，A和B已得到了由KDC分配的一次性会话密钥，可用于后续的保密通信，为什么还要增加后面两个步骤？

问题2：第(5)步中，为什么要问个题f(N2)，而不是直接用N2？;安全性分析及改进思路;Kerberos认证协议以N-S协议为基础，通过可信第三方进行客户和服务器间的相互认证，交换会话密钥，以建立客户和服务器间的信任和安全传输信道，由MIT首先提出并实现。

共有5个主要版本，V1~V3主要在校内使用，V4在MIT校外得到了广泛应用。V5于1993年成为IETFRFC（RFC1510），后经多次修订（RFC1964,4120,4121,4757），最新是2012年7月颁布的RFC6649。

Windows从Windows2000就开始支持基于Kerberos的认证协议。

;Kerberos认证协议;KerberosV5对V4做了多处改进，主要改进如下：

第1步：V5中将V4中的生命期（Lifetime，8位长，每单位表示5分钟，因此最长1280分钟）修改为精确的起止时间，允许许可证拥有任意长的生命期。

第2步：V4只使用IP地址，V5中用类型和长度标记网络地址，允许使用任何类型的网络地址

第