主要内容
概念:身份验证定义(用户和主机、主机和主机)、目标、角色、方式、分类
理解:密码认证的风险、提高安全性的技术或方法基于密码学的认证原理、简单协议的基本结构流程
运用实例:可以根据具体应用场景,选择合适的认证技术,满足应用需求
一、概念:
认证是证明主体真实身份与主张身份是否一致的过程,分为用户与主机之间的认证和主机与主机之间的认证。
认证目的:确保是通信实体宣称的实体
认证作用:明确用户认证、根据对抗假货的身份实施控制的责任,便于审计
认证方式:基于密码、基于密码学、基于生物特征
认证的分类:根据认证条件的数量,有单因素认证、双因素认证、多因素认证
根据认证条件的状态,有静态认证、动态认证
二、密码认证:用户ID和密码认证
1 .优点:简单易用的缺点:安全性低
2 .风险
窃听(所有APP应用层协议(如HTTP、SMTP和TELNET )都以明文传输口令) )。
重放(使用静态密码容易受到重放攻击的威胁)
破解(穷举攻击、词典攻击、社交工程、偷窥、垃圾搜索要素) ) ) ) ) ) ) ) ) ) )。
3 .防范
3.1安全密码:对抗词典攻击和穷举攻击
位数6; 大小写混合; 把数字添加到字母中; 系统用户必须使用8位密码,并输入特殊字符
3.2加强密码安全策略
创建密码时执行检查功能,强制设置密码的周期性过期日期,并保留密码历史记录。
3.3基于单向函数的密码认证:密码防盗
结构: p为密码,id为id,f为单向函数,用户提供p||id,计算机计算f|p (,计算机与存储结果的值f(p )|id进行比较
攻击:攻击者可以获得有单向函数价值的文件,并采用词典攻击
改进:密码(加盐) Salt是一个随机字符串,与p相连,由一元函数运算,计算机存储f(p,Salt )||Salt||id
3.4SKEY序列:防止重放攻击
计算机存储Xn 1
三.基于密码学的身份认证
3.1基于对称密码的认证
3.1.1技术—–ISO/IEC9798-2协议
3.1.2密钥协商协议
目标:认证和密钥协商
Needham-Schroeder协议(在认证完成的同时建立会话密钥) ) )。
无法防止重放攻击Denning-Sacco攻击:使用步骤3中解密的会话密钥Kab欺骗a
Denning-Sacco协议:引入时间戳,保持会话密钥的新鲜性,并将会话密钥绑定到时间戳
Kerberos协议
3.2基于公钥密码的认证
3.2.1 ISO/IEC9798-3协议
3.2.2Needham-Schroeder公钥协议
3.2.3PKI公钥基础措施
数字证书文件格式:
. cer/.crt以二进制形式存储证书,不包含私钥
. pem用ASCII码保存证书
. pfx/p12存储个人证书/私钥,通常包括保护密码、二进制格式
3.2.4 X.509认证协议
练习题
简述5-7Kerberos认证协议的设计思想和实现方法。 回答: Keberos部署了票证授权服务器作为认证框架,实现了认证和服务权限的分离管理。 其基本目的是避免在网络上传递密码,减少密码的使用次数。 具体实现方法如下:用户在认证服务器上验证身份,获取票务授权服务器的授权票据,票务授权服务器验证用户的授权票据,通过后获取服务授权票据,并携带服务授权票据访问特定服务通过该过程,无论用户需要访问多少服务,认证服务器的认证和票据都得到服务器的许可,不需要在需要访问的服务之间进行直接认证,可以避免用户名和密码的重复提示问题。
• 5-9 X.509认证协议的实现基础是什么? 回答: X.509认证协议采用公钥加密方案和数字签名技术,实现的基础是为管理数字证书和数字证书而建立的PKI体系。 设计一种基于• 5-23公钥密码体制的密钥交换协议,说明其安全性。 回答:主要思想是用公钥加密需要交换的秘密信息,并使用密钥或密钥生成的参数。 交换期间必须使用随机数或时间戳防止重放攻击,使用数字签名防止中间人攻击。