3身份认证.ppt

身份认证
Identification & Authentication
1
身份认证概述
为了保护网络资源及落实安全政策。需要提供可追究责任的机制,这里涉及到三个概念:认证、授权及审计。
用户对资源的访问过程
访问控制
用户
身份认证
资源
授权数据库
审计数据库
2
身份认证概述
认证与以下环境有关:某一成员(声称者)提交一个主体的身份并声称他是那个主体,认证能使别的成员(验证者)获得对声称者所声称的事实的信任。
身份认证的作用
对抗假冒攻击
确保身份,明确责任
3
身份认证概述
对身份认证过程中攻击:
数据流窃听(Sniffer):由于认证信息要通过网络传递,并且很多认证系统的口令是未经加密的明文,攻击者通过窃听网络数据,就很容易分辨出某种特定系统的认证数据,并提取出用户名和口令。
拷贝/重传:非法用户截获信息,然后再传送给接收者。
修改或伪造:非法用户截获信息,替换或修改信息后再传送给接收者,或者非法用户冒充合法用户发送信息。
4
认证方法基于的主要原理
主体了解的秘密,如口令、密钥;
主体携带的物品,如智能卡;
只有该主体具有的独一无二的特征或能力,如指纹、声音、视网膜血管分布图或签字等。
特定场所(也可能是特定时间)提供证据
验证者认可某一已经通过认证的可信方
5
基于口令的认证
对口令的攻击
窃听
监听
Login:UserA Password:12345
6
基于口令的认证
对口令的攻击
截取/重放
拷贝认证信息然后重放
认证信息(加密的口令)
7
基于口令的认证
对口令的攻击
字典攻击:根据调查结果可知,大部份的人为了方便记忆选用的密码都与自己周遭的事物有关,例如:身份证字号、生日、车牌号码、在办公桌上可以马上看到的标记或事物、其他有意义的单词或数字,某些攻击者会使用字典中的单词来尝试用户的密码。
穷举攻击(Brute Force):也称蛮力破解。这是一种特殊的字典攻击,它使用字符串的全集作为字典。
8
基于口令的认证
对口令的攻击
窥探:攻击者利用与被攻击系统接近的机会,安装监视器或亲自窥探合法用户输入口令的过程,以得到口令。
社交工程:比如冒充是处长或局长骗取管理员信任得到口令等等。冒充合法用户发送邮件或打电话给管理人员,以骗取用户口令等。
垃圾搜索:攻击者通过搜索被攻击者的废弃物,得到与攻击系统有关的信息,如用户将口令写在纸上又随便丢弃。
9
基于口令的认证
安全口令(对抗字典攻击和穷举攻击)
(1)位数>6位。
(2)大小写字母混合。如果用一个大写字母,既不要放在开头,也不要放在结尾。
(3)可以把数字无序的加在字母中。
(4)系统用户一定用8位口令,而且包括~!@#$%^&*<>?:"{}等特殊符号。
10