保障与安全身份认证.pptxVIP

信息保障与安全11

身份认证及其应用

1引言从对计算机系统或网络的一般访问过程来看，身份认证是用户获得访问权限的第一步。如果用户身份得不到系统的认可，即授权，他就无法进入该系统并进而访问系统资源。从这个意义来讲，身份认证是安全防御的第一道防线，它是防止非授权用户或进程进入计算机系统的有效安全保障措施。认证机制是网络安全的基本机制，网络设备之间应互相认证对方身份，以保证赋予正确的操作权力和数据的存取控制。网络也必须认证用户的身份，以保证正确的用户进行正确的操作并进行正确的审计。

1引言在现实生活中，我们个人的身份主要是通过各种证件来确认的，比如：身份证、户口本等。认证(authentication)是证明一个对象的身份的过程。与决定把什么特权附加给该身份的授权(authorization)不同。在网络中认证是对网络中的主体进行验证的过程，用户必须提供他是谁的证明，他是某个雇员，某个组织的代理、某个软件过程（如交易过程）。

2身份认证的方法识别是用户向系统提供声明身份的方法；验证则是建立这种声明有效性的手段。计算机系统识别用户依赖的是系统接收到的验证数据。这样验证就面临着这些考验：收集验证数据问题、安全地传输数据问题以及怎样知道使用计算机系统的用户就是当初验证通过的用户问题。目前用来验证用户身份的方法有：

231用户知道什么(SomethingtheUserKnows)(秘密，如口令、个人身份号码(PIN)、密钥等)用户拥有什么(SomethingtheUserPossesses)(令牌，如ATM卡或智能卡等)用户是谁(SomethingtheUseris)(生物特征，如声音识别、手写识别或指纹识别等)

2.1基于用户知道什么的身份认证最普通的身份认证形式是用户标识(ID)和口令(Password)的组合，如图1所示。这种技术仅仅依赖于用户知道什么的事实。通常采用的是基于知识的传统口令技术，但也有其它技术，如密钥。

图1基于用户名和口令的身份认证

通常，口令系统的运作需要用户输入用户标识和口令(或PIN码)。系统对输入的口令与此前为该用户标识存储的口令进行比较。如果匹配，该用户就可得到授权并获得访问权。口令的优点：口令作为安全措施已经很长时间并成功地为计算机系统提供了安全保护。它已经集成到很多操作系统中，用户和系统管理员对它非常熟悉。在可控环境下管理适当的话，口令系统可提供有效的安全保护。

口令存在的问题：口令系统的安全依赖于口令的保密性，而用户为了方便记忆而在设置口令时常使用姓名拼音、生日、电话号码等，这样口令就会很容易地被猜出。另外只要用户访问一个新的服务器，都必须提供新口令。

单击此处添加大标题内容第七讲认证安全与不安全的口令UNIX系统口令密码都是用8位(新的是13位)DES算法进行加密的，即有效密码只有前8位，所以一味靠密码的长度是不可以的。安全的口令要求：位数6位。大小写字母混合。字母与数字混合。口令有字母、数字以外的符号。

第七讲认证不安全的口令则有如下几种情况：使用用户名（帐号）作为口令。使用用户名（帐号）的变换形式作为口令。将用户名颠倒或者加前后缀作为口令，比如说著名的黑客软件John，如果你的用户名是fool，那么它在尝试使用fool作为口令之后，还会试着使用诸如fool123、loof、loof123、lofo等作为口令，只要是你想得到的变换方法，John也会想得到。

(3)使用自己或者亲友的生日作为口令。这种口令很脆弱，因为这样往往可以得到一个6位或者8位的口令，但实际上可能的表达方式只有100×12×31=37200种。(4)使用常用的英文单词作为口令。这种方法比前几种方法要安全一些。一般用户选择的英文单词几乎都落在黑客的字典库里。(5)使用5位或5位以下的字符作为口令。加强口令安全的措施：A、禁止使用缺省口令。B、定期更换口令。C、保持口令历史记录，使用户不能循环使用旧口令。D、用口令破解程序测试口令。第七讲认证

第七讲认证口令攻击的种类计算资源依靠口令的方式来保护的脆弱性：网络数据流窃听。由于认证信息要通过网络传递，并且很多认证系统的口令是未经加密的明文，攻击者通过窃听网络数据，就很容易分辨出某种特定系统的认证数据，并提取出用户名和口令。口令被盗也就是用户在这台机器上的一切信息将全部丧失，并且危及他人信息安全，计算机只认口令不认人。最常见的是电子邮件被非法截获。

第七讲认证认证信息截取/重放(Record/Replay)有的系统会将认证信息进行简单加密后进行传输，如果攻击者无法用第一种方式推算出密码，可以使用截取/重放方式。攻击者仍可以采用离线方式对口令密文实施字典攻击；对付重放的方法有：1在认证交换中使