网络攻防原理与技术（第3版）课件：身份认证与口令攻击.pptx

;内容提纲;身份认证;身份认证;五种方式：

口令认证

信物认证

地址认证

用户特征认证

密码学认证

;;;;;;一、口令认证;用户在注册阶段生成用户名和初始口令，系统在其用户文件或数据库中保存用户的信息（用户名和口令）。当用户登录认证时，将自己的用户名和口令上传给服务器，服务器通过查询其保存的用户信息来验证用户上传的认证信息是否和保存的用户信息相匹配。如果匹配则认为用户是合法用户，否则拒绝服务，并将认证结果回传给客户端。用户定期改变口令，以保证安全性。这种口令因其实现简单、使用方便，得到了广泛的应用。;动态口令;动态口令按生成原理可分为非同步和同步两种认证技术。

非同步认证技术生成的动态口令主要是依据挑战－响应原理来实现。

同步认证技术包括与时间有关的时钟同步认证技术和与时间无关的事件同步认证技术。

;动态口令认证过程;;;;二、密码学认证;常用的密码学认证协议有一次性口令认证、基于共享密钥的认证、基于公钥证书的认证、零知识证明和标识认证等;（一）一次性口令认证;一次性口令（One-TimePassword,OTP），一般使用双运算因子来实现

固定因子，即用户的口令或口令散列值

动态因子，每次不一样的因子，如时间，事件序列，挑战/应答（challenge/response）。每种各有优缺点;动态口令认证过程;一次性口令认证协议S/KEY：1991年贝尔通信研究中心研制;基本原理

S/KEY中，服务器产生挑战（challenge）信息。挑战信息由迭代值（IterationCount,IC）和种子（seed）组成。迭代值，指定散列计算的迭代次数，为1~100之间的数，每执行一次挑战/响应过程，IC减1（当IC为1时，则必须重新进行初始化）。种子由两个字母和5个数字组成。例如，挑战信息“05xa13783”表示迭代值为05，种子为“xa13783”。客户端收到挑战后，要将秘密口令与种子“xa13783”拼接后，做5次散列运算。

;基本原理

S/KEY中支持三种散列函数，即MD4,MD5和SHA。OTP服务器将散列函数的固定输出折叠成64位（OTP的长度）。64位OTP可以被转换为一个由6个英文单词组成的短语，每个单词由1~4个字母组成，被编码成11位，6个单词共66位，其中最后2位（11*6-64=2）用于??储校验和。;基本原理;安全性分析

用户的秘密口令没有在网络上传输，传输的只是一次性口令，并且一次性口令即使在传输过程中被窃取，也不能再次使用；

客户端和服务器存储的是用户秘密口令的散列值，即使客户端和服务器被攻陷导致口令散列值被窃取，也需破解口令散列才能获得明文口令;安全性分析

用户登录一定次数后，客户和服务器必须重新初始化口令序列；

为了防止重放攻击，系统认证服务器具有唯一性，不适合分布式认证

单向认证（即服务器对客户端进行认证），不能保证认证服务器的真实性

S/KEY使用的种子和迭代值采用明文传输，攻击者可以利用小数攻击来获取一系列口令冒充合法用户;小数攻击原理;改进的S/KEY协议

核心思想：不在网络中传输一次性口令散列值。使用用户的口令散列对挑战进行散列，并将计算结果发送给服务器。服务器收到后，同样使用服务器保存的用户口令散列对挑战进行散列计算，并与客户端发来的应答进行比较，如果相同则认证通过，否则拒绝

Windows2000及其之后版本中的NTLM认证所实现的挑战/响应机制就使用了这个改进的S/KEY协议;;WindowsNTLM;WindowsNTLM;WindowsNTLM（另一张参考图）

;安全性分析：

用户很容易求出正确的一次性口令，采用一次性口令的匹配通过服务器的身份认证；

攻击者即使截获一次性口令，也不能破解出用户口令散列；

攻击者不能预测下一次一次性口令，也不能重放成功。

;安全性分析：

能够避免监听和重放，但不能防范拦截和修改数据包、会话劫持等攻击。

网络系统的安全仅等同于使用的最弱散列算法的安全强度。

没有完整性保护机制，也无法防范内部攻击。

不能对服务器的身份进行认证。;（二）其于共享密钥的认证;Needham-Schroeder双向鉴别协议;问题1：执行完上述三个步骤后，A和B已得到了由KDC分配的一次性会话密钥，可用于后续的保密通信，为什么还要增加后面两个步骤？

问题2：第(5)步中，为什么要问个题f(N2)，而不是直接用N2？;安全性分析及改进思路;内容提纲;从直觉到理论;口令有什么科学规律吗？

著名口令安全研究专家汪定教授所在团队的研究成果;文献[52]对8个知名的真实口令集（如表8-2所示）进行了全面系统的分析，总结出3类脆弱口令行为：口令构造的偏好性选择、口令重用、基于个人信息构造口令;口令构造的偏好性选择：国民口令;口令构造的偏好性选择：国民口令