《安全协议》课件_4认证协议4.pptVIP

*AI:Password.BI:AB图4.57AugmentedDiffie-Hellman-basedEKEProtocol*是相应的签名公钥。和OriginalDiffie-Hellman-basedEKEProtocol的比较：1、用口令的镜像加密；2、多了最后一个消息。因为，如果没有这个消息，敌手只要知道了口令的镜像就可以冒充A和B进行通信，而不用知道口令本身。所以最后一条消息正是为了避免这一漏洞。存在的攻击敌手如果知道了历史会话密钥，可以通过最后一条消息猜测口令。解决方案是签名消息不用会话密钥，而为和ZAB相关的另一个值。几点说明：*双因子认证登录网络的用户需要通过用户名和密码来进行身份验证，像电子信箱大多是静态密码。但静态密码有很大的安全隐患，如盗号木马可以在用户登录时获取密码，利用黑客工具破解静态密码也较为简单。最常用的策略是双因子认证。*双因子认证双因子认证是密码学的一个概念，是在静态密码的基础上，使用了认证加强机制。认证机制中包含有两个认证因子即被称作双因子认证。一般常见的双因子认证一般结合密码以及用户手中的口令卡、IC卡、USBKey、动态口令牌等进一步验证用户的身份，从而抵御非法访问者，提高认证的可靠性。*基于令牌的认证认证可以基于客户持有的某物，这样的一个客体一般称为令牌。2008年初，中国银行开发了全国统一的新版网上银行系统。在安全保障上，新版网银首次大规模应用了国际流行的安全认证工具——动态口令牌(E-TOKEN)，客户在登录以及重要交易操作中均需输入动态口令进行验证。*动态口令牌该动态口令牌是一种内置电源、密码生成芯片和显示屏、根据专门的算法每隔一定时间（如60秒）自动更新动态口令的专用硬件。基于该动态密码技术的系统又称一次一密（OTP）系统。*动态口令牌该装置拥有内置芯片和一个可以显示多达6位数字的LCD窗口，但其体积很小，可以系在钥匙环上。在柜台发售这种装置时，与网银用户绑定建立一对一对应关系，使用唯一的128位种子将其初始化；其内部芯片每分钟都会使用一种算法，组合该种子与当前时间，生成一个随机的数字。而在网银认证服务器则采取和这个动态密码器同一种算法产生该随机数字，保证动态密码器和网银服务器的单一认证。*口令卡基于口令与口令卡:国内外的银行、民航等行业已经逐步完善地拓展了双因子认证技术。经常网上购物的人熟悉的口令卡与密码结合的银行认证方式就是一个例子*USBkeyU盾是用于网上银行电子签名和数字认证的工具，它内置微型智能卡处理器，采用1024位非对称密钥算法对网上数据进行加密、解密和数字签名*生物信息生物特征信息可用作认证的一个因子，通过计算机与各种传感器和生物统计学原理结合，利用人体固有的生理特性和行为特征，来进行个人身份识别。*手机短信手机短信可用作认证的的一个凭证，通过手机短信内容的验证码来验证身份*硬件信息通过计算机本身的唯一硬件特征来标识使用者的身份，结合PIN码的使用，可以实现一种高强度的双因子认证*双因子认证举例基于口令及手机短信(临时密钥)基于口令及智能卡提供双向认证提供前向安全抵抗内部攻击：系统内部的合法用户不能假冒系统中其他合法用户登录。抵抗外部攻击：在用户智能卡丢失的情况下，恶意用户不能推导出持卡用户的口令或者假冒原持卡用户。抵抗重放攻击抵抗字典攻击：字典攻击包括离线和在线两种方式。抵抗已知密钥攻击*扫码登录扫码登录无需输入用户名和口令，只需通过手机客户端扫一扫计算机上的网页便能完成登录。如微信、微博、淘宝等各种应用都已具有了扫码登录功能*扫码登录*开放授权OAuthAlice是Google的用户，Alice想使用“网易印像服务”将她的部分照片冲印出来，她怎么做呢？Alice可以将Google用户名和口令告诉网易印像服务，但存在这些问题：网易印像服务可能会缓存Alice的用户名和口令，造成口令泄露。网易印像服务可以访问Alice在Google上的所有资源，Alice无法对他们进行最小的权限控制，比如只允许访问某一张照片，1小时内访问有效。Alice无法撤消授权，除非Alice更新口令**开放授权OAuth**NA,NB作为建立密钥的共享秘密*发送验证邮件激活帐号*发送手机验证短信，局限性：一般只能使用国内手机注册*AI脱衣/a/297906906_361200/s?id=1634379895064350818wfr=spide