最简单最常用的身份认证方法,身份认证技术有哪些类型

主要内容

概念:身份验证定义(用户和主机、主机和主机)、目标、角色、方式、分类

理解:密码认证的风险、提高安全性的技术或方法基于密码学的认证原理、简单协议的基本结构流程

运用实例:可以根据具体应用场景,选择合适的认证技术,满足应用需求

一、概念:

认证是证明主体真实身份与主张身份是否一致的过程,分为用户与主机之间的认证和主机与主机之间的认证。

认证目的:确保是通信实体宣称的实体

认证作用:明确用户认证、根据对抗假货的身份实施控制的责任,便于审计

认证方式:基于密码、基于密码学、基于生物特征

认证的分类:根据认证条件的数量,有单因素认证、双因素认证、多因素认证

根据认证条件的状态,有静态认证、动态认证

二、密码认证:用户ID和密码认证

1 .优点:简单易用的缺点:安全性低

2 .风险

窃听(所有APP应用层协议(如HTTP、SMTP和TELNET )都以明文传输口令) )。

重放(使用静态密码容易受到重放攻击的威胁)

破解(穷举攻击、词典攻击、社交工程、偷窥、垃圾搜索要素) ) ) ) ) ) ) ) ) ) )。

3 .防范

3.1安全密码:对抗词典攻击和穷举攻击

位数6; 大小写混合; 把数字添加到字母中; 系统用户必须使用8位密码,并输入特殊字符

3.2加强密码安全策略

创建密码时执行检查功能,强制设置密码的周期性过期日期,并保留密码历史记录。

3.3基于单向函数的密码认证:密码防盗

结构: p为密码,id为id,f为单向函数,用户提供p||id,计算机计算f|p (,计算机与存储结果的值f(p )|id进行比较

攻击:攻击者可以获得有单向函数价值的文件,并采用词典攻击

改进:密码(加盐) Salt是一个随机字符串,与p相连,由一元函数运算,计算机存储f(p,Salt )||Salt||id

3.4SKEY序列:防止重放攻击

计算机存储Xn 1

三.基于密码学的身份认证

3.1基于对称密码的认证

3.1.1技术—–ISO/IEC9798-2协议

3.1.2密钥协商协议

目标:认证和密钥协商

Needham-Schroeder协议(在认证完成的同时建立会话密钥) ) )。

无法防止重放攻击Denning-Sacco攻击:使用步骤3中解密的会话密钥Kab欺骗a

Denning-Sacco协议:引入时间戳,保持会话密钥的新鲜性,并将会话密钥绑定到时间戳

Kerberos协议

3.2基于公钥密码的认证

3.2.1 ISO/IEC9798-3协议

3.2.2Needham-Schroeder公钥协议

3.2.3PKI公钥基础措施

数字证书文件格式:

. cer/.crt以二进制形式存储证书,不包含私钥

. pem用ASCII码保存证书

. pfx/p12存储个人证书/私钥,通常包括保护密码、二进制格式

3.2.4 X.509认证协议

练习题

简述5-7Kerberos认证协议的设计思想和实现方法。 回答: Keberos部署了票证授权服务器作为认证框架,实现了认证和服务权限的分离管理。 其基本目的是避免在网络上传递密码,减少密码的使用次数。 具体实现方法如下:用户在认证服务器上验证身份,获取票务授权服务器的授权票据,票务授权服务器验证用户的授权票据,通过后获取服务授权票据,并携带服务授权票据访问特定服务通过该过程,无论用户需要访问多少服务,认证服务器的认证和票据都得到服务器的许可,不需要在需要访问的服务之间进行直接认证,可以避免用户名和密码的重复提示问题。

• 5-9 X.509认证协议的实现基础是什么? 回答: X.509认证协议采用公钥加密方案和数字签名技术,实现的基础是为管理数字证书和数字证书而建立的PKI体系。 设计一种基于• 5-23公钥密码体制的密钥交换协议,说明其安全性。 回答:主要思想是用公钥加密需要交换的秘密信息,并使用密钥或密钥生成的参数。 交换期间必须使用随机数或时间戳防止重放攻击,使用数字签名防止中间人攻击。

Published by

风君子

独自遨游何稽首 揭天掀地慰生平

发表回复

您的邮箱地址不会被公开。 必填项已用 * 标注