第四讲 身份认证技术 |
您所在的位置:网站首页 › 身份认证一般包含哪两个方面识别鉴别认证核查 › 第四讲 身份认证技术 |
主要内容 概念:身份认证定义(用户和主机,主机和主机),目的,作用,方式,分类 理解:口令身份认证的风险,提高安全性的技术或方法;基于密码学的身份认证原理,简单协议的基本构造流程 运用举例:能够依据具体的应用场景,选择恰当的身份认证技术,满足应用需求
一、概念: 身份认证是证实主体的真实身份与其所声称的身份是否相符的过程,可分为用户与主机间的认证和主机与主机之间的认证。 认证的目的:确保通信实体就是它所声称的那个实体 认证的作用:验证用户,对抗假冒;依据身份,实施控制;明确责任,便于审计 认证的方式:基于口令、基于密码学、基于生物特征 认证的分类:依据认证条件的数量分,有单因子认证、双因子认证、多因子认证 依据认证条件的状态分,有静态认证,动态认证
二、基于口令认证:通过用户ID和口令进行认证 1.优点:简单易用 缺点:安全性较低 2.风险 窃听(HTTP,SMTP,TELNET等应用层协议均采用明文方式传输口令) 重放(采用静态口令易受到重放攻击的威胁) 破解(穷举攻击、字典攻击、社交工程、窥探、垃圾搜素) 3.防范 3.1安全口令:对抗字典攻击和穷举攻击 位数>6;大小写字母混合;数字无序加在字母中;系统用户一定用8位口令,加入特殊字符 3.2强化口令安全策略 在创建口令时执行检查功能,强制使口令周期性过期,保持口令历史记录。 3.3基于单向函数的口令认证:防范口令窃取 工作原理:p是口令,id是身份,f是单向函数,用户提供p||id,计算机计算f(p),计算机将结果与存储的值f(p)||id比较 攻击:攻击者获得单向函数值得文件,能采用字典攻击 改进:摻杂口令(加盐) Salt是随机字符串,与p连在一起,再用单项函数运算,计算机存储f(p,Salt)||Salt||id 3.4SKEY序列:防范重放攻击 计算机存储Xn+1 三、基于密码学的身份认证 3.1基于对称密码的认证 3.1.1 技术-----ISO/IEC9798-2协议 3.1.2密钥协商协议 目标:身份认证并协商密钥 Needham-Schroeder协议(身份认证完成的同时建立会话密钥) 无法防范重放攻击 Denning-Sacco攻击:在步骤3中使用破解的会话密钥Kab假冒A Denning-Sacco协议:引入时间戳,保持会话密钥新鲜性,会话密钥与时间戳绑定 Kerberos协议 3.2基于公钥密码的认证 3.2.1 ISO/IEC9798-3协议 3.2.2Needham-Schroeder公钥协议 3.2.3PKI公钥基础措施 数字证书文件格式: .cer/.crt存放证书,以二进制,不含私钥 .pem以ASCII码存放证书 .pfx/p12存放个人证书/私钥,通常包含保护密码,二进制方式 3.2.4 X.509认证协议 习题 • 5-7 简述 Kerberos 认证协议的设计思想和实现方法。 • 参考答案: Keberos 引入票据准许服务器作为认证框架,实现了认证和服务访问许可的分离式管理,其基本目的 是避免口令在网络上的传递,并减少口令的使用次数 。具体实现方法简要描述如下:用户通过认证服务器验证身份,获取票据准许服务器的许可票据,票据准许服务器验证用户的许可票据,通过则获取服务许可票据,持服务许可票据就可以访问特定的服务。依据此过程,无论用户需要访问多少个服务,都是通过认证服务器认证和票据准许服务器的许可,无需与需要访问的服务间进行直接的认证,从而 避免重复出示用户名和口令的问题 。 • 5-9 X.509 认证协议的实现基础是什么? • 参考答案: X.509 认证协议采用的是公钥密码体制和数字签名技术,其实现基础是 数字证书以及为管理数字证书而建立的 PKI 体系。 • 5-23 设计一个基于公钥密码体制的密钥交换协议,并说明其安全性。 • 参考答案:主要的思路是通过公钥加密需要交换的秘密信息( 可以是密钥,也可以是用于密钥生成的参数 ),在交换过程中需要采用随机数或时间戳防范重放攻击,采用数字签名防范中间人攻击。
|
今日新闻 |
推荐新闻 |
CopyRight 2018-2019 办公设备维修网 版权所有 豫ICP备15022753号-3 |