《网络安全技术》第2版,第3章 身份认证机制,3.1 口令机制 3.2 采用数字证书进行身份认证 3.3 其他身份认证技术,主要内容,主要内容,※本章的教学要求,《网络安全技术》第2版,,引例:用户身份认证是对计算机系统中的用户进行验证的过程,身份认证往往是许多应用系统中安全保护的第一道防线.,-On the Internet, nobody knows you’re a dog.-Rearly?Do you know boss’password?,《网络安全技术》第2版,3.1 口令机制,《网络安全技术》第2版,3.1 口令机制,3.1.1什么是口令机制 口令机制是一种最常用、最简单的身份认证方法,一般由用户账号和口令(有的也称为密码)联合组成,,《网络安全技术》第2版,3.1 口令机制,3.1.2什么是弱口令 对口令的攻击主要包括以下几种: 1.字典攻击 主要攻击者将有可能作为密码的放入字典中,例如,一般用户最喜欢的使用的数字、有意义的单词等,然后使用字典中的单词来尝试用户的密码口令字典中用户喜欢的使用的数字,《网络安全技术》第2版,,口令字典中字母组合,《网络安全技术》第2版,3.1 口令机制,3.1.2什么是弱口令 2.穷举攻击 也称蛮力攻击,这是一种广义的字典攻击,它使用字符串的全集作为字典,通过穷举的方式来尝试用户可能使用的密码。
因此,如果用户的密码很短,就很容易被穷举出来《网络安全技术》第2版,3.1 口令机制,3.1.2什么是弱口令,3.网络数据流窃听 攻击者通过窃听网络数据,获取用户帐号和口令,如采用Sniffer软件的嗅探功能截获明文传送的用户帐号和口令Sniffer捕获数据包得到的口令,《网络安全技术》第2版,3.1 口令机制,3.1.3 改进方案 1.选择安全口令 为了增加破译密码的强度,更有效地保护自己的密码,在使用密码时应该使注意以下几点:(1)要随机选择密码数字,切不可使用便于有规律的便于记忆的数字、单词等,这些密码用字典攻击是十分容易的2)在选择密码时,最好能同时使用字母(包括字母的大小写)、数字、特殊符号如A9d&31,使用这样的密码是相对比较安全的3)在计算机允许的情况下,使用密码位数要尽可能长,至少要多于6位4)应该定期更换密码,很多人长时间地使用一个密码,这是很不好的习惯对于一般计算机用户来说,至少每隔三个月更换一次密码5) 将使用的密码记录在其他比较安全的地方,但不要放在计算机中这样便于忘记密码后重新找回密码《网络安全技术》第2版,3.1 口令机制,3.1.3 改进方案 2.动态口令固定密码有监听的可能和破译的可能,并且用户记忆密码的也是一个不小的负担,动态口令(有的也叫一次性口令)的方法是每次登录使用不同的口令,每个口令只能使用一次。
《网络安全技术》第2版,3.1 口令机制,3.1.3 改进方案 2.动态口令,《网络安全技术》第2版,3.1 口令机制,3.1.4 采用LC5测试口令强度 LOphtCrack(简称LC5)是一款网络管理员常用的工具,可以用来检测Windows或UNIX系统用户是否使用了不安全的密码,同样也是一款WinNT/2000/XP/UNIX 管理员帐号密码破解工具《网络安全技术》第2版,3.1 口令机制,3.1.4 采用LC5测试口令强度,LC5向导界面,《网络安全技术》第2版,,《网络安全技术》第2版,3.1 口令机制,3.1.4 采用LC5测试口令强度 由上述测试的结果可知,系统口令的复杂程度越高,则安全强度越高,非法用户破解口令所需要的时间就越长,系统也就越安全《网络安全技术》第2版,SAM文件,Win2000中对用户账户的安全管理使用了安全账号管理器SAM(security account manager)的机制, � 安全账号管理器的具体表现就是%SystemRoot%\system32\config\sam这个文件sam文件是windows 2000的用户账户数据库,所有用户的登录名及口令等相关信息都会保存在这个文件中。
SAM文件可以认为类似于unix系统中的passwd文件,,《网络安全技术》第2版,《网络安全技术》第2版,3.2采用数字证书进行身份认证,3.2.1什么是数字证书 数字证书类似于现实生活中的身份证,以银行业务为例,目前很多的业务都可以通过“网上银行”完成,在网上银行操作时,验证用户的身份就是采用的数字证书,,,工商银行的网上银行登录界面,《网络安全技术》第2版,数字身份证的形式,一个标准的X.509数字证书包含以下一些内容,如图3-11所示1)证书的版本信息2)证书的序列号,每个用户都有一个惟一的证书序列号3)证书所使用的数字签名算法4)证书的发行机构名称 5)证书的有效期6)证书所有人的名称 7)证书所有人的公开密钥8)证书发行者即CA机构对证书的数字签名(CA机构的数字签名使得第三者不能伪造和篡改证书)《网络安全技术》第2版,,Windows中的数字证书,《网络安全技术》第2版,,一份数字证书,《网络安全技术》第2版,,证书的公钥信息,《网络安全技术》第2版,3.2采用数字证书进行身份认证,3.2.2数字证书的颁发机构-CA 现实生活中身份证是有公安机关的专门机构来颁发,那网络中的身份证是由谁颁发呢?这样的机构叫证书授权中心(Certificate Authority),也叫 CA机构,它负责产生、分配并管理所有参与网上信息交换各方所需的数字证书,CA机构的数字签名使得攻击者不能伪造和篡改证书。
《网络安全技术》第2版,,对于一个大型的应用环境,认证中心往往采用一种多层次的分组结构,各级的认证中心类似于各级行政机关,上级认证中心负责签发和管理下级认证中心的证书,最下一级的认证中心直接面向最终用户处在最高层的是根CA(Root CA),它是公认的权威,如金融系统中的人民银行总行的CA目前每个省也都有各自的CA,下图是山东省CA的主页《网络安全技术》第2版,,CA的功能具体如下(1)证书的颁发 (2)证书的更新(3)证书的查询 (4)证书的作废 (5)证书的归档,证书吊销列表,《网络安全技术》第2版,3.2采用数字证书进行身份认证,3.2.3 网上银行中的数字证书 在网上银行系统中,用户的身份认证依靠基于公钥密码体制、数字签名机制和用户登录密码的多重保证银行对用户的数字签名和登录密码进行检验,全部通过后才能确认该用户的身份用户的唯一身份标识就是银行签发的“数字证书”U盾,《网络安全技术》第2版,3.3采用IC卡与数字指纹认证身份,3.3.1 采用IC卡进行身份认证 智能卡的名称来源于英文“Smart Card”,又称集成电路卡,或IC卡(Integrated Circuitcard),可提供存储、计算和安全性,智能卡提供了一个防损害、可靠的存储账号、口令、私钥和其他一些个人信息的场所,因此被用于身份认证。
《网络安全技术》第2版,,接触式IC卡,非接触式IC卡,《网络安全技术》第2版,3.3采用IC卡与数字指纹认证身份,3.3.3 采用指纹识别身份 生物特征识别技术(Biometrics)是根据人体本身所固有的生理特征、行为特征的唯一性,利用图像处理技术和模式识别等方法来达到身份鉴别或验证目的的一门科学人体的生理特征包括面像、指纹、掌纹、视网膜、虹膜和基因等人体的行为特征包括签名、语音和走路姿态等《网络安全技术》第2版,3.3采用IC卡与数字指纹认证身份,3.3.3 采用指纹识别身份 什么是指纹识别 指纹是指人的手指末端正面皮肤上凸凹不平产生的纹线每个人的指纹都与众不同,是独一无二的指纹识别技术通过分析指纹的全局特征和局部特征从指纹中收取特征值,并以此来确定一个人的身份《网络安全技术》第2版,,指纹的基本纹型,《网络安全技术》第2版,,仔细观察你会发现指纹纹路并不是连续或平滑笔直的,而是经常出现中断、分叉、打折这些断点、分叉点和转折点就称为“节点”,,《网络安全技术》第2版,,指纹传感器是实现指纹自动采集的关键器件,目前常用的指纹传感器有:光学式传感器、电容/电感式传感器、超声波扫描、射频RF传感器等。
指纹传感器,《网络安全技术》第2版,,指纹识别应用实例,,《网络安全技术》第2版,本章教学要求,1、,要求了解如何设置安全的口令,掌握采用LC5测试口令安全强度的方法2、了解数字证书的基本原理,了解网上银行中的数字证书的原理3、了解基于IC卡和生物特征的身份认证的原理和应用。