网络与系统安全笔记------身份认证技术

最新推荐文章于 2024-05-06 13:46:39 发布
最新推荐文章于 2024-05-06 13:46:39 发布
阅读量2.2k 收藏 17
点赞数
分类专栏: 网络与系统安全笔记 文章标签: 安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/sinat_36945592/article/details/112688385
版权

网络与系统安全笔记------身份认证技术

信息安全系统基本结构

一个基本的信息安全系统至少应包括身份认证、访问控制和审计功能。其中身份认证是最基本的安全服务,访问控制和审计服务的实现都要依赖于身份认证系统所识别的用户身份。

身份认证

身份认证(Authentication)是证实实体(客户、代理、进程、设备等)与其所声称的身份是否相符的过程,即实体真实性证明。
身份认证可以对抗假冒攻击重放攻击的威胁。
身份认证系统通常由认证服务器认证系统客户端认证设备组成。

分类

根据采用的安全因素的性质不同:

  • 基于秘密知识的身份认证
  • 基于物品的身份认证
  • 基于生物特征的身份认证

根据使用的安全因素数量不同:

  • 单因素身份认证
  • 多因素身份认证

根据通信方不同:
单向认证:只认证服务器端
双向认证:服务器端和客户端都要认证

根据使用的密码体制不同:
基于对称密码的认证:Kerberos认证协议
基于公钥密码的认证:X.509认证协议

遭受的攻击形式
  • 窃听攻击
  • 重放攻击
  • 伪造攻击/假冒攻击
  • 口令猜测攻击
  • 中间人攻击
常见的认证方式
基于口令

使用二元组信息来表示某用户的身份:
<用户账号(用户 ID),口令(Password)>

窃听攻击

可以使用hash函数对口令进行加密。
但是无法避免重放攻击与口令的间接泄露。
由于hash函数可以进行反查,口令可能间接泄露。

间接泄露

在hash函数的基础上加入盐salt(随机序列),并且使用慢hash函数,可以防止口令间接泄露。
但是无法避免重放攻击。

重放攻击

验证者和声称者共有一个非重复值消息。

静态口令: 用户提交给系统的验证数据是固定不变的,由用户自己设置或者系统给定的一串静态数据作为口令。
一次性口令: 也称动态口令,在认证过程中加入不确定因素,使每次
认证的口令都不相同,提高认证过程的安全性。
根据不确定因子的不同,形成了不同的一次性口令认证技术:

口令序列认证

基于哈希链的认证,是基于MD4或MD5生成的单向的前后相关的序列。

服务器系统内始终只记录1个口令,初始时记录的是第N个口令。用户用第N-1个口令登录时,系统用单向哈希算法算出第N个口令,与自己保存的第N个口令匹配,以判断用户的合法性。

  • 服务器每次保存的口令值为n+1次hash的结果,客户段每次传输的口令为n次hash的结果,服务端只要计算一次就可以完成验证。
  • 每次登录后,服务器都进行口令的更新。
  • 客户端每次登录后,下一次需要hash计算的次数就会减少。
  • 该实现方便,但是其安全性依赖于单向的hash函数。
  • 由于N是有限的,在登录N次之后,必须要重新初始化口令序列。
挑战应答认证

由认证服务器产生的随机数字序列(挑战值)作为NRV。
用户需要持有相应的挑战/应答令牌,令牌内置种子密钥和加密算法。

基于挑战/握手认证协议(CHAP)

  • 用户向认证方发出认证请求
  • 认证方根据内置算法计算出一个挑战值并回传
  • 用户将接收到的挑战值输入挑战/应答令牌中
  • 令牌利用内置的种子密钥和加密算法计算出相应的应答值
  • 用户将产生的应答值并上送至认证方
  • 认证方根据该用户存储的种子密钥和加密算法计算出相应的应答值
  • 二者比对,进行认证
基于时间同步认证

把时间作为NRV,同步是指用户口令设备和认证服务器所产生的口令在时间上必须同步。时间是时间窗口,一般为30秒。

  • 用户与系统约定相同的口令生成算法
  • 用户需要访问系统时,用户端根据当前时间T和用户与系统的共享密钥K使用口令生成算法自动生成一次性动态口令,并传送给认证服务器。
  • 服务器基于当前时间使用同样的算法和参数计算出所期望的输出值,如果该值与用户所生成的口令相匹配,则认证通过。

操作简单,单向数据传输,用户端需要严格的时间同步电路。

基于事件同步认证

事件同步机制又名计数器同步机制,基于事件同步的认证技术是把变动的数字序列(事件序列)作为NRV。

  • 用户与系统约定相同的口令生成算法。
  • 用户需要访问系统时,用户端根据当前数字序列中的C和用户与系统的共享密钥K使用口令生成算法自动生成一次性动态口令,并传送给认证服务器。
  • 服务器基于同样的数字序列中的C、密钥和算法计算出所期望的输出值,如果该值与用户所生成的口令相匹配,则认证通过。

基于智能卡

是一种双因素的认证方式
IC卡:卡有唯一ID保证卡的真实性
PIN:个人身份识别码

基于生物特征

生物特征认证以人体具有的唯一的生理特征和(或)行为特征为依据,利用计算机图像处理和模式识别技术来实现身份认证。

生物特征认证一般都要经过图像采集、特征提取和特征匹配三个过程。

身份认证协议

Kerberos认证协议
  • 在分布式的C/S体系机构中采用集中的认证服务器(authentication server,AS)实现用户到应用服务器和应用服务器到用户的认证服务。
  • AS知道所有用户的口令并将它们存储在一个中央数据库中。
  • AS与每一个应用服务器共有一个唯一的保密密钥。这些密钥已经用物理方式或更安全的手段分发了。
  • Kerberos采用对称加密体制。
Kerberos模型

组成:

  • 客户机
  • 服务器
  • 认证服务器(AS)
  • 票据许可服务器(TGS)
  • 数据库:保存所有客户的口令以及AS与应用服务器共享的秘密密钥。
  • 票据(ticket):使用对称密钥加密的数据,用于客户秘密地向服务器发送自己的身份标识。

安全性问题

口令猜测攻击问题: 用户密钥Kc是采用Hash函数对用户口令进行单向运算后得到的,攻击者可以大量地向AS请求获取访问TGS的票据,通过计算和密钥分析来进行口令猜测。
时钟同步攻击问题: 由于变化的和不可预见的网络延迟的本性,不能期望分布式时钟保持精确的同步。
密钥管理问题: 使用对称密码体制作为协议的基础,带来了密钥交换、密钥存储以及密钥管理的困难。

X.509认证协议
  • X.509定义了公钥数字证书证书链证书撤销列表
最低0.47元/天 解锁文章
yzsorz
关注
  • 0
    点赞
  • 17
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
身份认证技术现状和发展趋势
04-13
身份认证技术指通过网络对对端通信 实体的身份进行确认的技术。在网路通信 的各个层次上都具有同层通信实体,都需 要身份确认。其中最为核心的是应用级的 用户身份确认。
linux-应用笔记.pdf
11-30
本文档旨在为读者提供一个Linux应用笔记,涵盖了Linux的基础知识、常用命令、文件系统管理、进程管理、网络管理、安全管理等方面的知识点。 一、Linux 基础知识 Linux 是一个由 Linus Torvalds 于 1991 年创建的...
安全】简单解析统一身份认证:介绍、原理和实现方法
A1_3_9_7的博客
03-22 1068
统一身份认证技术可以帮助用户在多个应用和平台上简化登录过程,提高用户体验。本文介绍了统一身份认证的概念、原理和实现方法,希望能帮助你更好地去理解和应用该技术。随着技术的不断发展,统一身份认证将在互联网应用中发挥越来越重要的作用,为用户提供更便捷和安全的登录体验。
2024年最新【安全】简单解析统一身份认证:介绍、原理和实现方法(1),2024年最新【原理+实战+视频+源码】
最新发布
2401_84281638的博客
05-06 1162
每一个令牌授权一个特定的网站(例如,视频编辑网站)在特定的时段(例如,接下来的2小时内)内访问特定的资源(例如仅仅是某一相册中的视频)。协议提供了不同的授权流程和令牌类型。最近遍览了各种网络安全类的文章,内容参差不齐,其中不伐有大佬倾力教学,也有各种不良机构浑水摸鱼,在收到几条私信,发现大家对一套完整的系统的网络安全从学习路线到学习资料,甚至是工具有着不小的需求。的实现:OpenID Connect是基于OAuth 2.0的一种认证协议,它添加了身份认证的功能,使得应用可以获取用户的身份信息。
jwt身份认证和session身份认证的区别_浅谈网络安全身份认证技术
weixin_39634022的博客
11-05 252
随着互联网的发展,通讯安全的要求也越发重要,互联网在电子商务、企业管理信息化,以及远程教育等实际应用中还缺乏相应的安全功能,进而导致其实际运营中经常会受到自然、人为等因素的威胁。因此,身份认证也愈发受到重视,本篇主要就是针对几种主流的认证技术给大家进行科普。一、概念:身份认证(即“身份验证”或“身份鉴别”)是证实用户的真实身份与其对外的身份是否相符的过程,从而确定用户信息是否可靠,防止非法用户假冒...
身份认证技术
Lassewang的成长历程
03-11 2867
身份认证技术是在计算机网络中确认操作者身份的过程而产生的解决方法。 计算机网络世界中一切信息包括用户的身份信息都是用一组特定的数据来表示的,计算机只能识别用户的数字身份,所有对用户的授权也是针对用户数字身份的授权。 如何保证以数字身份进行操作的操作者就是这个数字身份合法拥有者,也就是说保证操作者的物理身份与数字身份相对应,身份认证技术就是为了解决这个问题,作为防护网络资产的第一道关口,身份认证
行业文档-设计装置-笔记本电脑强制身份认证装置.zip
09-01
综上所述,"笔记本电脑强制身份认证装置"是一个综合性的IT安全解决方案,涵盖了多个技术层面,包括身份验证方法、多因素认证、硬件安全、生物识别、策略管理以及法规遵从性等。理解和掌握这些知识点对于保障个人和...
行业文档-设计装置-笔记本防盗结构.zip
08-21
3. **指纹识别**和**面部识别**:生物识别技术,如指纹识别器和红外摄像头支持的面部识别,为用户提供了一种便捷且安全的身份验证方式,防止未经授权的人使用设备。 4. **硬盘加密**:全磁盘加密(FDE)技术,如TPM...
CISP-DSG培训课件
05-31
培训将讲解如何构建适应组织需求的数据安全策略,包括防火墙、入侵检测系统、身份认证与授权机制等技术应用。 六、隐私保护与合规 随着个人隐私意识的提高,隐私保护成为数据安全治理的重要组成部分。课程会涉及...
常用身份认证技术 word文档
08-20
常用身份认证技术 6篇word文档,送给有需要的人
第2章-计算机网络的硬件基础ppt课件.ppt
11-15
无线上网卡主要分为PCMIA和USB两种类型,部分需要插入SIM卡进行身份验证。无线上网使得用户可以在无需物理连接线的情况下接入网络网络传输媒介是数据传输的物理路径,主要有有线介质和无线传输介质。有线介质...
网络安全技术第四章——身份认证技术身份认证及方式、身份认证三要素、身份认证协议、KERBEROS协议、SSL协议)
ZSWAries的博客
05-30 1万+
为了方便大家观看,我每章都不会很长,因为太长了容易看不下去,我本人耐性就比较差,对那些太长的文章就感觉不是很能看下去,学到的知识也很有限,所以我写的话很长的文章我会尽量避免一下。 身份认证技术身份认证及方式1.概述:2.身份认证的三要素(1)现实生活中:(2)网络中:二、身份认证协议典型的身份认证协议1.KERBEROS协议(1)Kerberos协议概述:(2)Kerberos协议2.SSL协议(1)SSL协议概述:(2)SSL协议主要提供3个方面的安全服务(3)SSL协议的特点: 身份认证及方式 1.概述
认证理论与技术——身份认证技术
weixin_52369224的博客
12-02 3329
概念: 身份认证的作用是对用户的身份进行鉴别,能保护网络信息系统中的数据和服务不被未授权的用户访问。 认证及认证模型:一方面保证信息的安全性,另外一方面保证信息的完整性,有效性,要搞清楚与之通信的对方身份是否真实。 认证是指核实真实身份的过程,是防止主动攻击的重要技术之一,认证技术的作用主要是弄清对象是谁,具有什么样的特征,用户必须提供他是谁的证明,它是某个个人,某个机构的代理等,事实上是“身份认证”。 认证协议: 认证协议就是进行认证的双方采取的一系列步骤,涉及两个实体:示证者P和验证者V,.
身份认证技术基础知识
iteye_15105的博客
11-27 1783
身份认证技术    身份认证技术是指计算机及网络系统确认操作者身份的过程所应用的技术手段。  计算机系统和计算机网络是一个虚拟的数字世界。在这个数字世界中,一切信息包括用户的身份信息都是用一组特定的数据来表示的,计算机只能识别用户的数字身份,所有对用户的授权也是针对用户数字身份的授权。而我们生活的现实世界是一个真实的物理世界,每个人都拥有独一无二的物理身份。如何保证以数字身份进行操作的操作...
【项目实战】数据安全技术之常见的身份验证技术身份认证技术)介绍
本本本添哥
04-02 1474
身份验证技术是指通过一定的手段和方法,对用户或系统的身份进行核实和确认的过程。
常见的身份认证技术
热门推荐
weixin_44996615的博客
11-14 2万+
(1) 口令认证技术(用户名/密码) 这是最简单也是最传统的身份认证方法,通过口令来验证用户的合法有效性。 通过用户名 ID 和用户密码 PW 来认证用户。只要能够正确验证密码,系统就判定操作者是合法用户。 口令认证主要适用于小型封闭型系统。 存在的问题:密码是静态的数据,每次验证使用的验证信息都是相同的,容易被驻留在计算机内存中的木马程序或网络中的监听设备截获。因此用户名/密码安全性低。 (2)双因素身份认证技术 双因素身份认证添加了额外的身份验证令牌,而不仅仅是静态口令。...
身份认证
weixin_41449564的博客
05-06 409
身份认证流程流程如下: 1、首先调用Subject.login(token)进行登录,其会自动委托给Security Manager,调用之前必 须通过SecurityUtils. setSecurityManager()设置; 2、SecurityManager负责真正的身份验证逻辑;它会委托给Authenticator进行身份验证; 3、Authenticator才是真正的身份验证者,Shir...
vmware-horizon-client-5.2.0-14570289.exe
09-21
vmware-horizon-client-5.2.0-14570289.exe是一款由VMware公司开发的桌面虚拟化客户端软件。该软件主要用于连接和访问VMware Horizon平台上的虚拟桌面和应用程序。 VMware Horizon是一种集中式虚拟化解决方案,它可以将用户的个人计算环境(包括操作系统、应用程序和数据)移动到数据中心中的虚拟机上。这样一来,用户可以通过任何设备(如PC、笔记本电脑、平板电脑和智能手机)远程访问其个人虚拟机,而不受硬件限制。通过使用vmware-horizon-client-5.2.0-14570289.exe,用户可以方便地连接到虚拟机并且享受流畅的桌面体验。 该客户端软件提供了一些特色功能。首先,它支持多种操作系统,包括Windows、Mac和Linux等。用户可以根据自己的需求选择适合自己设备的版本进行安装。其次,该客户端具有强大的图形性能,可以实现高质量的图像和视频呈现,确保用户在远程访问虚拟机时获得流畅的视觉体验。此外,该软件还提供了丰富的安全功能,包括SSL加密通信、双因素身份验证和数据保护等,确保用户的数据和隐私安全。 总之,vmware-horizon-client-5.2.0-14570289.exe是一款功能强大的桌面虚拟化客户端软件,它可以让用户通过任何设备远程访问和管理其个人虚拟机,并提供了出色的图形性能和安全功能。对于需要频繁访问虚拟机的用户来说,这是一款非常实用的软件。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值