返回
9、身份认证-1

9、身份认证-1

ID:20495763

大小:550.00 KB

页数:51页

时间:2018-10-13

9、身份认证-1_第1页
9、身份认证-1_第2页
9、身份认证-1_第3页
9、身份认证-1_第4页
9、身份认证-1_第5页
资源描述:

《9、身份认证-1》由会员上传分享,免费在线阅读,更多相关内容在教育资源-天天文库

1、身份认证技术与应用示例网络与信息安全2002.10涪陵师范学院主要内容概述用户认证主机认证Kerberos系统基于公开密钥的身份认证一、概述认证(Authentication)证实客户的真实身份与其所声称的身份是否相符的过程,是保证系统安全的重要措施之一。当服务器提供服务时,需要确认来访者的身份,访问者有时也需要确认服务提供者的身份。认证过程的三要素:(1)知识(Knowledge):你知道什么,如口令等。(2)物品(Possession):你拥有什么,如IC卡等(3)特征(Characteristic):你有什么生理特征,如指纹

2、等。在分布式系统中有两类主要认证:即用户认证和主机认证。身份认证技术不可避免地会用到加密技术,同样地也可分为基于对称密钥技术的身份认证(如Kerberos)和基于公开密钥的身份认证(如CA)两类。二、用户认证简单口令提问/应答(Challenge/Response)式认证操作系统口令处理机制一次性口令拨号用户认证协议更强的基于口令的认证机制2.1简单口令认证这是最简单的认证方式,当用户访问某项服务时,只需提供用户ID和口令对,服务器检查用户口令是否正确。虽说只简单口令认证就可以阻止不少威胁了,但由于在开放式系统中,窃听者很容易探听

3、到时明文方式传输的口令,也就很容易成功地伪装成该用户。这种方式不可能充分满足安全需求,但由于它简单、方便,在短时间内还不会完全消失。2.2提问/回答式认证用户、服务器约定一个计算函数和密钥基于口令的认证及其变体在实际应用中会遇到以下威胁1、强力攻击:有时,对challenge可能不作加密,在这种情况下,攻击者可以截取challenge和response,试验所有可能的口令。2、字典式攻击:攻击者根据字典,再加上一些简单变换规则,如口令在字典中,就可以被计算出来。3、冒名顶替:攻击者假冒客户或服务器4、反射攻击:攻击者将认证消息用于

4、其它地方如另一服务等5、客户/服务器认证数据库失窃6、修改客户/服务器之间传输的消息7、对认证机制的高级攻击2.3操作系统口令处理机制Unix操作系统在主机上对用户口令进行了一次单向运算,将运算结果保存在/etc/passwd或/etc/shadow中。DES加密迭代/MD5算法PAM:可插拔认证模块(PluggableAuthenticationModules),目前已在Sun的Solaris、Linux、FreeBSD、OpenBSD等操作系统中实现,它对以下几个方面提供支持:扩展的标准login(检查时间、登录地点等)

5、

6、.

7、rhosts、/etc/shells

8、

9、cracklib(用于检查口令)

10、

11、DES提问/回答

12、

13、Kerberos

14、

15、S/Key,OPIE

16、

17、RADIUS

18、

19、SecurIDWindowsNT2.4一次性口令(One-TimePassword)(1)动态安全ID(ACE)认证ACE是一种基于时间的认证方式,它使用了智能卡(SmartCard)技术,ACE卡每隔一段时间,根据用户身份标识(PIN)产生一个新的口令。当用户需要访问受保护资源时,输入PIN和ACE卡上产生的口令,服务器按下列步骤认证用户:①服务器检索PIN和种子值,该种子值

20、同赋给用户的安全ID卡相关。②服务器利用上次连接的数据,对当前的时钟“漂移”进行估计。③计算出正确的口令,并确定该口令可在多长时间内有效。ACE方式利用了前面提到过的两个因素:①用户输入PIN,表明他知道某种秘密②用户输入正确口令,表明他拥有ACE卡。(2)S/KeyS/Key是由Bellcore公司为通过纯软件实现来产生并认证一次性口令而制定的系统,它使用单向Hash函数产生一次性口令序列,其原理关键在于以生成口令的逆序方式使用口令,大致如下:①用户在与主机直接相连的设备(如控制台)或安全连接工具上输入加密口令;②S/Key主机

21、利用该口令和一个内部随机生成密钥来为口令表创建一个种子值x;③S/Key主机重复地对该种子值使用n次Hash函数,保存最后结果yn=Hn(x);④用户第一次登录到S/Key主机时会得到提示要求输入第n-1号口令x',接着S/Key计算H(x'),如H(x')=yn,则允许用户访问;⑤主机用刚使用过的口令代替保存的yn。2.5拨号用户认证协议(1)口令认证协议(PAP)最初设计口令认证协议时,是希望为主机向另一台使用PPP协议的主机认证自己提供一种简单方法,其详细描述见RFC1334,使用简单“用户ID-口令”对进行认证,认证信息以

22、明文方式传输,没有采取措施防止“重试攻击”或猜测口令攻击。(2)询问握手认证协议(CHAP)描述见RFC1994,它为认证PPP链路提供了一种更安全的机制,采用提问/应答方式进行认证,由于认证过程由服务器方控制,可以避免“重试攻击”。(3)远程认证

当前文档最多预览五页,下载文档查看全文

此文档下载收益归作者所有

当前文档最多预览五页,下载文档查看全文
温馨提示:
1. 部分包含数学公式或PPT动画的文件,查看预览时可能会显示错乱或异常,文件下载后无此问题,请放心下载。
2. 本文档由用户上传,版权归属用户,天天文库负责整理代发布。如果您对本文档版权有争议请及时联系客服。
3. 下载前请仔细阅读文档内容,确认文档内容符合您的需求后进行下载,若出现内容与标题不符可向本站投诉处理。
4. 下载文档时可能由于网络波动等原因无法下载或下载错误,付费完成后未能成功下载的用户请联系客服处理。