3.1 身份鉴别

已于 2022-08-05 14:01:58 修改
阅读量1.4k 收藏 4
点赞数
分类专栏: NISP-2之信息安全技术 文章标签: 网络 安全
于 2022-07-09 22:37:01 首次发布
by draper-crypto
本文链接:https://blog.csdn.net/Suprman88/article/details/125699944
版权

文章目录

1.标识与鉴别

(1)标识的概念: 标识是实体身份的一种计算机表达,每个实体与计算机内部的一个身份表达绑定
(2)鉴别: 确认实体是它所声明的,提供了关于某个实体身份的保证,某一实体确信与之打交道的实体正是所需要的实体
(3)标识与鉴别的作用
①作为访问控制的一种必要支持,访问控制的执行依赖于确知的身份
②作为数据源认证的一种方法
③作为审计追踪的支持

2.鉴别的基本概念

(1)鉴别系统的构成: 验证者、被验证者、可信赖者
(2)鉴别的类型: 单向鉴别、双向鉴别、第三方鉴别
(3)鉴别的方式
①基于实体所知(知识、密码、PIN码等)
②基于实体所有(身份证、钥匙、智能卡、令牌等)
③基于实体特征(指纹,笔迹,声音,视网膜等)
④双因素、多因素认证

3.基于实体所知的鉴别

(1)使用最广泛的身份鉴别方法
实现简单、成本低;提供弱鉴别
(2)面临的威胁
暴力破解、木马窃取、线路窃听、重放攻击

4.密码暴力破解安全防护

(1)暴力破解防护
①使用安全的密码(自己容易记,别人不好猜)
②系统、应用安全策略(帐号锁定策略)
③随机验证码:变形;干扰;滑块;图像识别

5.木马窃取密码安全防护

(1)使用密码输入控件
①安全的输入框,避免从输入框中还原密码
②软键盘,对抗击键记录
③随机排列字符,对抗屏幕截图重现

6.密码嗅探攻击安全防护

(1)加密:单向函数
(2)攻击者很容易构造一张q与p对应的表,表中的p尽可能包含所期望的值
解决办法:在口令中使用随机数
(3)一次性口令: 每次鉴别中所使用的密码不同, 有效应对密码嗅探及重放攻击
(4)实现机制
①两端共同拥有一串随机口令,在该串的某一位置保持同步
②两端共同使用一一个随机序列生成器,在该序列生成器的初态保持同步
③使用时间戳,两端维持同步的时钟

7.密码嗅探及重放攻击防护

(1)挑战机制
①客户端:请求登录
②服务器:给出随机数作为挑战请求
③将登录信息 (用户名、密码)与随机数合并,使用单向函数(如MD5)生产字符串,作为应答返回服务器
④服务认证后返还结果

8.基于实体所有的鉴别方法

(1)采用较多的鉴别方法
①使用用户所持有的东西来验证用户的身份
②用于鉴别的东西通常不容易复制
(2)鉴别物体
①IC卡(Integrated Circuit Card) 是将一个做电子芯片嵌入复合卡基,做成卡片形式的信息载体
②内存卡
③逻辑加密卡
④CPU卡
(3)特点: 难以复制、安全性高
(4)安全威胁及防护
①损坏 ,封装应坚固耐用,承受日常使用中各种可能导致卡片损坏的行为
②复制 ,保证IC卡中存储和处理的各种信息不被非法访问、复制、篡改或破坏PIN码甚至其他技术实现对数据的安全防护,确保逻辑安全措施得到落实
(5)使用每个人所具有的唯一生理特征
鉴别的方式:指纹、掌纹、静脉;虹膜、视网膜;语音;面部扫描

9.Kerberos协议

(1)什么是Kerberost协议
①1985年由美国麻省理工学院开发,用于通信实体间的身份证,1994年V5版本作为Internet标准草案公布
②基于对称密码算法为用户提供安全的单点登录服务
③包含可信第三方认证服务
(2)Kerberos协议的优点
①避免本地保存密码及会话中传输密码
②客户端和服务器可实现互认
(3)体系构成
①运行环境构成

  • 密钥分发中心(KDC)
    • 系统核心,负责维护所有用户的账户信息
    • 由AS和TGS两个部分构成
      • 认证服务器(AS:Authentication Server)
      • 票据授权服务器(TGS:Ticket Granting Server)
  • 应用服务器
  • 客户端

②其他概念

  • 票据许可票据(TGT)
  • 服务许可票据(SGT)

(4)认证过程
认证过程由三个阶段组成,例如需要访问OA
第一次:获得票据许可票据(TGT)
第二次:获得服务许可票据(SGT)
第三次:获得服务
(5)工作过程
A.获得TGT
①客户机向AS发送访问TGS请求(明文)

  • 请求信息:用户名、IP地址、时间戳、随机数等
  • AS验证用户(只验证是否存在)

②AS给予应答

  • TGT(包含TGS会话密钥),使用KDC密码加密
  • 其他信息(包含TGS会话密钥),使用用户密码加密

B.获得SGT
①客户机向TGS发送访问应用服务请求

  • 请求信息使用TGS会话密钥加密(包含认证信息)
  • 包含访问应用服务名称(http)

②TGS验证认证信息(包含用户名等)后,给予应答

  • SGT
  • 客户机与应用服务器之间的会话密钥

C.获得服务
①客户机向应用服务器请求服务

  • SGT(使用http服务器密码加密)
  • 认证信息

②应用服务器(验证认证信息)
提供服务器验证信息(如果需要验证服务器)

10.AAA协议

(1)什么是AAA协议
认证、授权和计费(Authentication、Authorization、Accounting,AAA)
(2)常见AAA协议
①RADIUS协议
②TACACS+协议
③Diameter协议

John Tao
关注
  • 0
    点赞
  • 4
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
iVX中的用户鉴别与用户信息获取
deadlinefighter的博客
09-28 785
任何应用,只要不是纯展示类的,我们都需要鉴别当前访问的用户。比如,用户的登录之后,可以获取到他个人的订单信息,可以查看自己收藏的商品,或限制他的投票或抽奖次数等等。 1、用户登录与获取用户信息的基本原理 在iVX中,我们提供多种用户登录的方法,比如,手机+密码登录,邮箱+密码登录,微信登录等等。无论是何种方式登录,用户登录的基本流程和原理都是一样的,如下图所示: 用户登录成功之后,服务端除了返回用户信息,也会同时向客户端设置一个cookie(http only的cookie),用来存储当前用户的登录令牌
身份鉴别
CZLwlaq的博客
07-07 8897
1.身份验证 1)实体所知 身份鉴别最广泛的方法是实体所知,因为其成本低,实现简单:密码、验证码,但是这些方法面临的危险也必将大,如:暴力破解木马等。 2)实体所有 它是一种安全性能较高,但成本也较高的方法:IC卡、门禁卡,实体所有因为存在固体,因此会面临损坏和被复制的风险 3)实体特性 是安全性最高的一种方式,通常采用生物识别方法进行验证。如:指纹,虹膜,声波等。 2.数字认证 数字认证是身份鉴别的一种方式,数字认证是指在互联网通讯中标志通讯各方身份信息的一个数字认证,人们可以网上用它来识
网络安全】在网络中如何对报文和发送实体进行鉴别
最新发布
swadian2008的博客
04-23 1220
鉴别(authentication)是网络安全中一个很重要的问题。一是要鉴别发信者,即验证通信的对方的确是自己所要通信的对象,而不是其他的冒充者。这就是实体鉴别。实体可以是发信的人,也可以是一个进程(客户端或服务器)。因此这也常称为端点鉴别。二是要鉴别报文的完整性,即对方所传送的报文没有被他人篡改过。
对用户标识与鉴别的认识
CSDN_LYY的专栏
12-02 1671
一:保护口令的措施 不回显。 出错的次数不能超过规定的次数。 二:在传送的过程中保护口令的措施 简单的加密。 询问-应答系统。 公钥系统。 以上就是我对于用户标识与鉴别的认识。
11.1 用户识别机制
用不完的好奇心
10-26 1022
HTTP 最初是一个匿名、无状态的请求/响应协议,服务器无法判断用户,也无法记录来访用户的请求序列。 现代的 Web 站点希望能够提供个性化的接触。它们希望对连接另一端的用户有更多的了解,并且能在用户浏览页面时对其进行跟踪。比如亚马逊的实现方式有: 个性化的问候 专门为用户生成的欢迎词和页面内容,使购物体验更加个性化。 有的放矢的推荐 通过了解客户的兴趣,商店可以推荐一些它们认为客户会感兴
软件等保二级基本要求内容
10-18
1.1.3.1 身份鉴别 应对登录操作系统和数据库系统的用户进行身份标识和鉴别;操作系统和数据库系统管理用户身份标识应具有不易被冒用的特点,口令应有复杂度要求并定期更换;应启用登录失败处理功能,可采取结束会话...
信息系统等保安全方案.docx
07-12
3.1 身份鉴别 身份鉴别是确保只有授权用户可以访问系统的关键环节,包括用户名/密码验证、多因素认证等,以防止非法用户的入侵。 3.2 授权管理 授权管理规定了用户对资源的访问权限,通过角色分配和权限设置,确保...
RFC1113_Internet电子邮件秘密增强第一部分- 信息加密和身份验证步骤 .doc
08-23
4.6.3.1 X-Issuer-Certificate域 16 4.6.4 每个接收者被封装的头域 16 4.6.4.1 X-Recipient-ID域 16 4.6.4.2 X-Key-Info域 17 4.6.4.2.1 对称密钥管理 17 4.6.4.2.2 非对称密钥管理 17 5. 密钥管理 17 5.1 数据加密...
comp_discoverer_analysis:用于分析从软件Compound Discoverer获得的数据的脚本集
03-04
8. **结果验证**:可能包括与外部数据库比对,验证化合物的身份,或者与文献结果的对比,确认分析的可靠性。 这些脚本的使用,对于提高分析效率,减少人为误差,以及深入理解实验结果都具有重要意义。用户可以根据...
05、应用安全管理规范V1.01
08-08
XXX单位应用安全管理规范V1.020XX年XX月XX日目录 1 目的 1 2 适用范围 1 3 应用管理 1 3.1 身份鉴别 1 3.2 访问控制
身份认证与访问控制
热门推荐
weixin_41924879的博客
10-23 1万+
身份认证与访问控制 身份认证技术概述 身份认证的概念和种类 多数银行的网银服务,除了向客户提供U盾证书保护模式外,还推出了动态口令方式,可免除携带U盾的不便,这是一种动态密码技术,在使用网银过程中,输入用户名后,即可通过绑定的手机一次性收到本次操作的密码,非常安全快捷方便。 1. 身份认证的概念 通常,身份认证基本方法有三种:用户物件认证;有关信息确认或体貌特征识别。 认证(Authentic...
网站的几种识别用户身份的方法(Cookie 机制)
Passkou
05-18 5425
在网站应用中,由于 HTTP 协议是无状态的,识别不同用户的主要方法是通过 Cookie,即用户在认证后发送它让浏览器存储,之后每一次请求中再附带这个请求头信息发回服务器,这样服务器便知道是哪位用户发出的请求。 具体实现方法有哪些呢?下面我将为大家介绍几种常见的通过 Cookie 来识别不同用户的方法。 第一类:信息存用户侧 第一类的方法是将用户的部分信息存在浏览器的 Cookie 中(如用户 ID)。那么首要问题就是要防止被人为修改,因此实现方法有两种。 方法一:Base64 数据 + HMAC 首先,我
2.2身份鉴别与访问控制
lyc111601的博客
10-13 3040
2.2身份鉴别
计算机用户鉴定标识方法是,数据库第八章_西华师范大学:数据库系统概论(三套)_ppt_大学课件预览_高等教育资讯网...
weixin_42350940的博客
06-29 360
第八章 数据库保护数据保护主要包括:数据的安全性、完整性、并发控制和数据库恢复。8.1 安 全 性数据库的安全性是指保护数据库以防止不合法的使用所造成的数据泄露、更改或破坏。系统安全保护措施是否有效是数据库系统的主要性能指标之一。用户 DBMS OS DB用户标识和鉴定8.1.1 安全性控制的一般方法存取控制 操作系统安全保护 密码存储图 8-1一, 用户标识和鉴定1,用一个户用名或者用户标识符号...
涉密计算机终端安全防护,终端安全登录与文件保护系统保密认证设备
weixin_35564436的博客
07-20 2258
终端安全登录与文件保护系统1、操作系统安全登录系统具有USB KEY用户账号管理功能将系统已有账号绑定到USB KEY的功能只有采用本系统注册的USBKEY智能密钥才能登录系统采用16字节复杂动态口令技术来来鉴别用户的身份,支持登录本机和登录域可选用“证书+动态口令”技术来鉴别用户的身份,登录本机和登录域,证书符合X.509标准,签名认证符合PKCS#7的规范要求采用16字节复杂动态口令技术,满足...
等保-安全计算环境-身份鉴别-windows
weixin_44477223的博客
10-21 5236
1. 测评项目 a) 内容 应对登录的用户进行身份标识和鉴别身份标识具有唯一性,身份鉴别信息具有复杂度要求并定期更换; 1.1 应核查用户在登录时是否采用了身份鉴别措施 身份标识功能(用户名)属于windows自带功能。用户进行鉴别就是登录时需要你输入用户名、口令的行为,不是强制开启的,可以在某种程度上取消掉。 针对本地登录,使用Win+R打开运行框,在里面内输入netplwiz,则会出现用户账户页面 如果不勾选红框内容,则表示下次开机时会跳过验证直接登录Admin账号。但是并不是任何情况都会跳过登
2.2 身份鉴别与访问控制
weixin_43263566的博客
08-02 2037
为用户对系统资源提供最大限度共享的基础上,对用户的访问权进行管理,防止对信息的非授权篡改和滥用主体和客体都有一个固定的安全属性,系统用该安全属性来决定一个主体是否可以访问某个客体。
kerberos详解
SkyChaserYu的博客
03-16 3387
kerberos介绍 1、重要术语 1. KDC 全称:key distributed center 作用:整个安全认证过程的票据生成管理服务,其中包含两个服务,AS和TGS 2. AS 全称:authentication service 作用:为client生成TGT的服务 3.TGS 全称:ticket granting service 作用:为client生成某个服务的...
CISCO ISE 3.1 中文版
06-02
"CISCO ISE 3.1 中文版 - 思科身份服务引擎管理员指南" 思科身份服务引擎(Cisco Identity Services Engine, ISE)是一款强大的网络访问控制解决方案,它提供了统一的策略管理、身份验证、授权和审计功能。在版本...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

John Tao

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值