【网络信息安全】身份认证
身份认证
- 身份认证主要内容
- 8.1 单机状态下的身份认证
- 8.1.1 基于口令的认证方式
- 基于口令认证方式的安全性
- 8.1.2 基于智能卡的认证方式
- 8.1.3 基于生物特征的认证方式
- 基于生物特征认证方式的安全性
- 8.2 S/KEY认证协议
- 8.2.1 一次性口令技术
- 8.2.2 最初的S/KEY认证协议
- 8.2.3 改进的S/KEY认证协议
- 8.3 Kerberos认证协议
- 8.3.1 简单的认证会话
- 8.3.2 更加安全的认证会话
- 8.3.3 Kerberos v4认证会话
身份认证主要内容
身份认证的概念:用户要向系统证明他就是他所声称的那个人。
- 识别:明确访问者的身份(信息公开)
- 验证:对访问者声称的身份进行确认(信息保密)
身份认证的作用:
- 限制非法用户访问网络资源。
- 安全系统中的第一道关卡,是其他安全机制基础。
- 一旦被攻破,其他安全措施将形同虚设。
8.1 单机状态下的身份认证
验证用户身份的方法:
- 用户知道的东西:如口令、密码等。
- 拥有的东西:如智能卡、通行证、USB Key。
- 用户具有的生物特征:如指纹、脸型、声音、视网膜扫描、DNA等。
- 用户行为特征:如手写签字、打字韵律等。
8.1.1 基于口令的认证方式
对口令的攻击:
- 联机攻击:联机反复尝试口令进行登录
- 脱机攻击:截获口令密文后进行强力攻击
(1) 直接明文存储口令
- 风险大
任何人只要得到存储口令的数据库,就可得到全体人员(包括最高管理员)的口令。 - 多用于权限提升
(2) Hash散列存储口令
- 口令 x 的散列值 F(x) 又叫通行短语(Pass phrase)
- 散列函数为文件、报文或其他数据产生“数字指纹”
认证方法:
- 系统的口令文件中存储每个用户的账号和口令散列值对;
- 用户登录时输入口令 x,系统计算出 F(x);
- 系统将它与口令文件中相应的散列值比对,成功即允许登录。
(3) 加盐的Hash散列存储口令
加盐的作用:避免由于相同的明文口令对应相同的口令散列而造成多个用户的口令同时被破解。
盐(salt):散列口令前与口令相结合的长为 12bit 的随机常数 —— 即使两个用户口令相同,只要salt 值不同,口令散列将不同。
例如:lijie 和 wangfeng 口令都为 password
/etc/shadow 文件中的口令散列为:
lijie:qdUYgW6vvNB.
wangfeng:zs9RZQrI/0aH2
基于口令认证方式的安全性
(1)即使黑客或管理员得到口令文件,由散列值计算出明文口令很难,所以比口令明文的认证安全。
(2)基于口令明文或散列(静态口令)认证是单因素认证,而用户多选择易记忆、易被猜测的口令,同时窃取口令文件后也可进行字典式攻击。
(3)在计算机网络和分布式系统中使用更不安全。
8.1.2 基于智能卡的认证方式
双因素认证方式:所知道的东西(PIN)和所拥有的东西(智能卡)。
- 每个用户的智能卡存储用户秘密信息,身份认证服务器也存放该信息;
- 用户输入PIN,智能卡识别PIN是否正确;
- 若正确则读出智能卡中的秘密信息,并利用它与主机进行认证。
硬件加密的安全性高;即使PIN或智能卡被窃取,用户仍不会被冒充。
8.1.3 基于生物特征的认证方式
图像处理和模式识别:抓图/抽取特征/比较/匹配
- 生物统计学的生物特征
- 计算机强大计算功能
- 网络技术
(1) 生物识别系统捕捉生物特征的样品;
(2) 提取唯一特征数据并转化为数字符号(存储成该人的特征模板);
(3) 登录时人们同生物特征识别系统交互来进行身份认证,以确定匹配与否。
基于生物特征认证方式的安全性
- 特征因人而异和随身携带 —— 他人模仿难
- 识别速度相对慢
使用代价高
使用面窄
不适合在网络环境中使用
在网络上泄露也不好更新
有误报(False Positives)和漏报(False Negatives)
8.2 S/KEY认证协议
8.2.1 一次性口令技术
网络环境下身份认证的困难性:
- 明文口令:易被嗅探,也容易受到字典攻击。
- 口令散列:直接“重放” 就可以假冒合法用户登录,并不需要解密得到口令本身。
不能使用静态口令,而必须使用一次性口令。
一次性口令技术的发展:
- 1980年代首次提出利用散列函数产生一次性口令
- 1991年贝尔通信提出挑战/应答(Challenge /Response)式动态密码身份认证系统S/KEY
- 开发基于 MD5 散列算法的动态密码认证系统
- RSA 实验室提出基于时间同步的动态密码认证系统 RSA SecureID
一次性口令的两个因子:
- 固定因子:用户的口令散列(双方共享)
- 变动因子:产生变动的一次性口令
1)基于时间同步认证技术
2)基于事件同步认证技术
3)挑战/应答方式的变动因子:由认证服务器产生的随机序列 Challenge,不需要同步。
8.2.2 最初的S/KEY认证协议
最初的 S/KEY 的安全性分析:
- 合法用户容易通过身份认证,而攻击者即使截获一次性口令,也得不到用户口令散列。
- 服务器对同一用户每次发出的挑战中 seed 值相同。
- 而 seq 值递减,使攻击者不知用户口令散列时,不能预测出下一次的一次性口令,因而不能重放成功。
S/KEY 认证协议的优点:
- 并未传送用户口令明文和口令散列。
- 每次的一次性口令不同。
- 根据截获的一次性口令破解出口令散列/明文难。
- 实现原理简单,Hash函数还可用硬件实现。
- 服务器只需存储用户口令散列。
S/KEY 认证协议的缺点:
- 安全性依赖于Hash函数的不可逆性。
- seq 值递减使得挑战使用一定次数后必须初始化。
- 会话内容本身没有保密。
- 循环使用以前的一次性口令。
- 维护一个很大的一次性口令列表很麻烦。
8.2.3 改进的S/KEY认证协议
改进的 S/KEY 的安全性分析:
只有 seed、seq 和一次性口令在网上传播,seed 是不可预测的,而 seq 每次可相同可不同:
- 用户很容易求出正确的一次性口令,采用一次性口令的匹配通过服务器的身份认证;
- 攻击者即使截获一次性口令,也不能破解出用户口令散列;
- 攻击者不能预测下一次一次性口令,也不能重放成功。
S/KEY 协议的应用和安全性:
- Windows 2000之后的 NTLM 认证就使用了这个经过改进的 S/KEY 认证协议。
安全性:
- 能够避免监听和重放,但不能防范拦截和修改数据包、会话劫持等攻击。
- 网络系统的安全仅等同于使用的最弱散列算法的安全强度。
- 没有完整性保护机制,也无法防范内部攻击。
- 不能对服务器的身份进行认证。
8.3 Kerberos认证协议
网络层安全协议 IPSec —— 保证连接的客户端合法
服务器只能对合法用户提供服务 —— Kerberos
- Kerberos 基于可信第三方 KDC,提供不安全分布式环境下的双向用户实时认证。
- 它的认证和数据保密传输使用对称加密 DES,后来也可用其他算法的独立加密模块。
- Windows 2000 之后都默认 Kerberos 为其认证方法。
Kerberos的发展
以 N-S 密钥分配 和 双向鉴别协议 为基础发展起来,并引入时间戳。
- Kerberos v1 - v3 都只在麻省理工学院内部发行
- 1980年末发布的 Kerberos v4 主要是针对 Project Athena
- 1993年发布的 v5 克服了 v4 的局限性和安全问题
Kerberos 实现AAA:认证(Authentication)、授权(Authorization)、审计(Audit)。
认证(Authentication)、授权(Authorization)、审计(Audit)、机密性(confidentiality)、完整性(integrality)、不可否认性、可用性
Kerberos协议的基本思想 :
用户只需输入一次身份验证信息就可凭此信息获得票据(ticket)来访问多个服务,即 SSO(Single Sign On,单点登录)。
用户对应用服务器 V 访问前,必须先从 Kerberos 认证服务器上获取到 V 的票据。
Kerberos 系统应满足四项需求:安全性、可靠性、透明性、可伸缩性。
8.3.1 简单的认证会话
8.3.2 更加安全的认证会话
8.3.3 Kerberos v4认证会话
上述会话仍然存在两个问题:
1)票据许可票据的生存期:如果生存期太短则用户将总被要求输入口令;如果生存期太长则为攻击者提供了大量重放机会。
2)服务器必须向用户证实自己身份,否则假冒的服务器即可捕获用户请求而向用户提供虚假服务。
【网络信息安全】身份认证相关推荐
- 实验二:网络嗅探身份认证
实验二:网络嗅探&身份认证 申明:本篇文章是为了记录老师布置的任务,没有任何非法的行为,只是为了学习使用,文章中的操作并未对他人造成危害与损失,所有的敏感操作都是在虚拟机中完成.也希望所有学习 ...
- 破坏网络可信身份认证,黑灰产业链正在兴起
<2015网络可信身份发展年报> 阿里移动安全 第一章 2015年网络可信身份发展现状 1.1 网络可信身份发展的需求产生新的变化 2002年我国开始了网络实名制建设的探讨,其本质目的在 ...
- 信息安全--身份认证
1. 概述 身份认证:证实用户的真实身份与其所声称的身份是否相符的过程. 认证依据:应包含只有该用户所特有的.并可以验证的特定信息. 例如:基于口令的认证技术.基于密码学的认证技术.基于生物特征的认证 ...
- 干货 | 清华大学郑方:语音技术用于身份认证的理论与实践
本讲座选自清华大学语音和语言技术中心主任郑方教授近期于清华大数据"技术·前沿"系列讲座上所做的题为<语音技术用于身份认证的理论与实践>的演讲. 以下为演讲的主要内容: ...
- 分布式身份认证——未来信任生态的基石
一年前,微软在其官方博客中宣布,将在旗下微软身份验证(Microsoft Authenticator)应用程序内整合基于区块链的去中心化 ID 验证技术,标志着微软正式开始进入DID(分布式身份验证) ...
- 一种基于区块链的身份认证方法
摘 要: 零信任理念的提出和发展,提高了网络信息系统数据访问的可控性和可信性,有效增强了系统数据的安全性.但是,总不信任,永远验证的设计原则,也给用户进行数据访问带来了巨大的挑战,特别是在广域.异地身 ...
- 2015网络可信身份发展年报
2015网络可信身份发展年报 第一章 2015网络可信身份发展现状 1.1 网络可信身份发展的需求产生新的变化 2002年我国开始了网络实名制建设的探讨,其本质目的在于保障网络空间用户身份可信,避免谣 ...
- 网络信息安全课程:对于匿名身份认证协议的学习
有关匿名协议的基本概念整理 匿名身份认证的基本概念 匿名性 广泛存在于通信.认证等领域的安全需求,指系统中的某些信息对除了相关实体之外是不确定的或无关联性的. 过程 匿名性 发送方 发送者的匿名性 通 ...
- 网络与信息安全身份证认证技术分析
认证技术是信息安全中的一个重要内容,在"网络与信息安全"课程中我们学习了两种认证技术:消息认证与身份认证,消息认证用于保证信息的完整性与抗否认性,身份认证则用于鉴别用户身份.在网上 ...
最新文章
- NYOJ 30 Gone Fishing JAVA+解析
- 中国组合聚醚市场十四五发展规划与未来竞争趋势分析报告2022-2028年版
- 基于链表的快速排序C语言,双向链表的快速排序算法,编译通过,程序会崩溃,求助一下各位...
- windows2008文件服务器端口,windows server 2008 文件服务器不定期出现大量CLOSE_WAIT状态的连接,必须重启服务器,客户端才能访问共享。...
- java对象类型转换分为_java-如何将类对象转换为通用对象类型?
- 一个很好的机器学习普及网站
- 全新的 Fragment 通信方式
- C++|Java混合实验-java搭建get方法靶场,Qt发送请求获取数据
- python的socket模块简单_Python使用socket模块实现简单tcp通信
- oracle按月统计按季度统计,Oracle数据库按月统计(候,旬,月,季,年)
- 数字转为汉语中人民币的大写
- Centos7虚拟机网卡做bond(一)
- [leetcode]: 506. Relative Ranks
- Windows管理用户账号
- Windows 静态库函数名称问题
- ZJU PTA ds 6-1 Percolate Up and Down
- 【FPGA】Spartan®-7器件XC7S75-1FGGA484C、XC7S15-1FTGB196C现场可编程门阵列芯片
- 对已过去三年来大学生活的总结与建议
- 狗子的Android学习笔记(二)环境搭建以及配置问题
- eclipse护眼豆沙绿