身份认证分析
合集下载
相关主题
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
2、口令维护的成本较高。为保证安全性,口令应当 经常更换。另外为避免对口令的字典攻击,口令应当 保证一定的长度,并且尽量采用随机的字符。但缺点 是难于记忆。
3、口令容易在输入的时候被攻击者偷窥,而且用户 无法及时发现。 简单和安全是互相矛盾的两个因素。
9
第七讲 认证
二、基于口令的身份认证
1、安全与不安全的口令
UNIX系统口令密码都是用 8位(新的是13位)DES算法 进行加密的,即有效密码只有前 8位,所以一味靠密 码的长度是不可以的。安全的口令要求: 1) 位数>6位。 2) 大小写字母混合。 3)字母与数字混合。 4) 口令有字母、数字以外的符号。
10
第七讲 认证
不安全的口令则有如下几种情况: (1)使用用户名(帐号)作为口令。
负责进行使用者身份认证的工作,服务器上存放使用 者的私有密钥、认证方式及其他使用者认证的信息。
认证系统用户端软件(Authentication Client Software) 认证系统用户端通常都是需要进行登陆(login)的设备 或系统,在这些设备及系统中必须具备可以与认证服 务器协同运作的认证协定。 认证设备(Authenticator) 认证设备是使用者用来产生或计算密码的软硬件设备。
(2)使用用户名(帐号)的变换形式作为口令。 将用户名颠倒或者加前后缀作为口令,比如说 著名的黑客软件John,如果你的用户名是fool, 那么它在尝试使用 fool 作为口令之后,还会试 着使用诸如fool123、loof、loof123、lofo等作为 口令,只要是你想得到的变换方法, John 也会 想得到。
(5)使用5位或5位以下的字符作为口令。
12
第七讲 认证
加强口令安全的措施: A、禁止使用缺省口令。
B、定期更换口令。
C、保持口令历史记录,使用户不能循环使用 旧口令。 D、用口令破解程序测试口令。
13
第七讲 认证
2、口令攻击的种类 计算资源依靠口令的方式来保护的脆弱性:
网络数据流窃听。由于认证信息要通过网络传 递,并且很多认证系统的口令是未经加密的明 文,攻击者通过窃听网络数据,就很容易分辨 出某种特定系统的认证数据,并提取出用户名 和口令。口令被盗也就是用户在这台机器上的 一切信息将全部丧失,并且危及他人信息安全, 计算机只认口令不认人。最常见的是电子邮件 被非法截获。
第七讲 认证
一、认证的基本原理
在现实生活中,我们个人的身份主要是通过各 种证件来确认的,比如:身份证、户口本等。
认证是对网络中的主体进行验证的过程,用户 必须提供他是谁的证明,他是某个雇员,某个 组织的代理、某个软件过程(如交易过程)。 认证( authentication )是证明一个对象的身份的 过程。与决定把什么特权附加给该身份的授权 ( authorization )不同。
4
第七讲 认证
2)数字证书 这是一种检验用户身份的电子文件,也是企业 现在可以使用的一种工具。这种证书可以授权 购买,提供更强的访问控制,并具有很高的安 全性和可靠性。 非对称体制身份识别的关键是将用户身份与密 钥绑定。 CA(Certificate Authority) 通过为用户 发放数字证书(Certificate)来证明用户公钥与用 户身份的对应关系。
11
第七讲 认证
(3) 使用自己或者亲友的生日作为口令。这种 口令很脆弱,因为这样往往可以得到一个6 位 或者 8 位的口令,但实际上可能的表达方式只 有100×12×31=37200种。
(4) 使用常用的英文单词作为口令。这种方法 比前几种方法要安全一些。一般用户选择的英 文单词几乎都落在黑客的字典库里。
1
第七讲 认证
一、认证的基本原理
通常有三种方法验证主体身份。
1 )是只有该主体了解的秘密,如口令、密钥; 2)是主体携带的物品,如智能卡和令牌卡; 3 )是只有该主体具有的独一无二的特征或能 力,如指纹、声音、视网膜图或签字等。
单独用一种方法进行认证不充分
2
第七讲 认证
身份认证系统架构包含三项主要组成元件: 认证服务器(Authentication Server)
3
பைடு நூலகம்
第七讲 认证
1)口令机制 用户名 / 口令认证技术:最简单、最普遍的身份识别 技术,如:各类系统的登录等。 口令具有共享秘密的属性,是相互约定的代码,只有 用户和系统知道。例如,用户把他的用户名和口令送 服务器,服务器操作系统鉴别该用户。 口令有时由用户选择,有时由系统分配。通常情况下, 用户先输入某种标志信息,比如用户名和 ID 号,然 后系统询问用户口令,若口令与用户文件中的相匹配, 用户即可进入访问。 口令有多种,如一次性口令;还有基于时间的口令
5
第七讲 认证
验证者向用户提供一随机数;用户以其私钥 KS 对随 机数进行签名,将签名和自己的证书提交给验证方; 验证者验证证书的有效性,从证书中获得用户公钥 KP,以KP验证用户签名的随机数。
6
第七讲 认证
3)智能卡 网络通过用户拥有什么东西来识别的方法,一般是用 智能卡或其它特殊形式的标志,这类标志可以从连接 到计算机上的读出器读出来。访问不但需要口令,也 需要使用物理智能卡。
智能卡技术将成为用户接入和用户身份认证等安全要 求的首选技术。用户将从持有认证执照的可信发行者 手里取得智能卡安全设备,也可从其他公共密钥密码 安全方案发行者那里获得。这样智能卡的读取器必将 成为用户接入和认证安全解决方案的一个关键部分。
7
第七讲 认证
4)主体特征认证 目前已有的设备包括:视网膜扫描仪、声音验 证设备、手型识别器等。安全性高。
例如:系统中存储了他的指纹,他接入网络时, 就必须在连接到网络的电子指纹机上提供他的 指纹(这就防止他以假的指纹或其它电子信息 欺骗系统),只有指纹相符才允许他访问系统。 更普通的是通过视网膜膜血管分布图来识别, 原理与指纹识别相同,声波纹识别也是商业系 统采用的一种识别方式。
8
第七讲 认证
用户名 / 口令具有实现简单的优点,但存在以下安全 缺点: 1、大多数系统的口令是明文传送到验证服务器的, 容易被截获。某些系统在建立一个加密链路后再进行 口令的传输以解决此问题,如配置链路加密机。