返回
身份认证与数字签名

身份认证与数字签名

ID:16209157

大小:910.50 KB

页数:73页

时间:2018-08-08

身份认证与数字签名_第1页
身份认证与数字签名_第2页
身份认证与数字签名_第3页
身份认证与数字签名_第4页
身份认证与数字签名_第5页
资源描述:

《身份认证与数字签名》由会员上传分享,免费在线阅读,更多相关内容在教育资源-天天文库

1、第4讲身份认证与数字签名王庆先qxwang@uestc.edu.cn电子科技大学计算机学院1一、身份认证概述为了保护网络资源及落实安全政策。需要提供可追究责任的机制,这里涉及到三个概念:认证、授权及审计。用户对资源的访问过程访问控制用户身份认证资源授权数据库审计数据库2一、身份认证概述(续)认证与以下环境有关:某一成员(声称者)提交一个主体的身份并声称他是那个主体,认证能使别的成员(验证者)获得对声称者所声称的事实的信任。身份认证的作用对抗假冒攻击确保身份,明确责任3身份认证概述对身份认证过程中攻击:数据流窃听(Sniffer):由于认证信息要通过网络传递,并且很多认证系统

2、的口令是未经加密的明文,攻击者通过窃听网络数据,就很容易分辨出某种特定系统的认证数据,并提取出用户名和口令。拷贝/重传:非法用户截获信息,然后再传送给接收者。修改或伪造:非法用户截获信息,替换或修改信息后再传送给接收者,或者非法用户冒充合法用户发送信息。4二、认证方法的主要原理主体了解的秘密,如口令、密钥;主体携带的物品,如智能卡;只有该主体具有的独一无二的特征或能力,如指纹、声音、视网膜血管分布图或签字等。特定场所(也可能是特定时间)提供证据验证者认可某一已经通过认证的可信方51、基于口令的认证对口令的攻击窃听监听Login:UserAPassword:1234561、基

3、于口令的认证(续)对口令的攻击截取/重放拷贝认证信息然后重放认证信息(加密的口令)71、基于口令的认证(续)对口令的攻击字典攻击:根据调查结果可知,大部份的人为了方便记忆选用的密码都与自己周遭的事物有关,例如:身份证字号、生日、车牌号码、在办公桌上可以马上看到的标记或事物、其他有意义的单词或数字,某些攻击者会使用字典中的单词来尝试用户的密码。穷举攻击(BruteForce):也称蛮力破解。这是一种特殊的字典攻击,它使用字符串的全集作为字典。81、基于口令的认证(续)对口令的攻击窥探:攻击者利用与被攻击系统接近的机会,安装监视器或亲自窥探合法用户输入口令的过程,以得到口令。社

4、交工程:比如冒充是处长或局长骗取管理员信任得到口令等等。冒充合法用户发送邮件或打电话给管理人员,以骗取用户口令等。垃圾搜索:攻击者通过搜索被攻击者的废弃物,得到与攻击系统有关的信息,如用户将口令写在纸上又随便丢弃。91、基于口令的认证(续)安全口令(对抗字典攻击和穷举攻击)(1)位数>6位。(2)大小写字母混合。如果用一个大写字母,既不要放在开头,也不要放在结尾。(3)可以把数字无序的加在字母中。(4)系统用户一定用8位口令,而且包括~!@#$%^&*<>?:"{}等特殊符号。101、基于口令的认证(续)不安全口令(字典攻击和穷举攻击)(1)使用用户名(帐号)作为口令。(2

5、)用用户名(帐号)的变换形式作为口令。(3)使用自己或者亲友的生日作为口令。(4)使用常用的英文单词作为口令。111、基于口令的认证(续)为判断系统是否易受攻击,首先需要了解系统上都有哪些帐号。应进行以下操作:(1)审计系统上的帐号,建立一个使用者列表,同时检查路由,连接Internet的打印机、复印机和打印机控制器等系统的口令。(2)制定管理制度,规范增加帐号的操作,及时移走不再使用的帐号。(3)经常检查确认有没有增加新的帐号,不使用的帐号是否已被删除。(4)对所有的帐号运行口令破解工具,以寻找弱口令或没有口令的帐号。(5)当雇员或承包人离开公司时,或当帐号不再需要时,应

6、有严格的制度保证删除这些帐号。121、基于口令的认证(续)为了增强基于口令认证的安全,可以采用以下改进方案。(1)认证过程有一定的时延,增大穷举尝试的难度。(2)不可预测的口令。修改口令登记程序以便促使用户使用更加生僻的口令。这样就进一步削弱了字典攻击。(3)对无效用户名的回答应该与对有效用户名的回答相同。131、基于口令的认证(续)基于单向函数的口令认证f是单向函数,p是口令,id是身份Alice提供p

7、

8、id计算机计算f(p)计算机与存储的值f(p)

9、

10、id作比较由于计算机不再存储口令表,所以敌手侵入计算机偷取口令的威胁就减少了f(p1)id1f(p2)id2f(p3)

11、id3141、基于口令的认证(续)如果敌手获得了存储口令的单向函数值的文件,采用字典攻击是有效的。敌手计算猜测的口令的单向函数值,然后搜索文件,观察是否有匹配的。猜口令p1,p2,…,pn。计算f(p1),f(p2),…,f(pn)。搜索文件。151、基于口令的认证(续)掺杂口令(加盐)Salt是一随机字符串,它与口令连接在一起,再用单向函数对其运算。然后将Salt值和单向函数运算的结果存入主机中。计算机存储的是f(p,Salt)

12、

13、Salt

14、

15、idSalt只防止对整个口令文件采用的字典攻击,不能防止对单个口令的字

当前文档最多预览五页,下载文档查看全文

此文档下载收益归作者所有

当前文档最多预览五页,下载文档查看全文
温馨提示:
1. 部分包含数学公式或PPT动画的文件,查看预览时可能会显示错乱或异常,文件下载后无此问题,请放心下载。
2. 本文档由用户上传,版权归属用户,天天文库负责整理代发布。如果您对本文档版权有争议请及时联系客服。
3. 下载前请仔细阅读文档内容,确认文档内容符合您的需求后进行下载,若出现内容与标题不符可向本站投诉处理。
4. 下载文档时可能由于网络波动等原因无法下载或下载错误,付费完成后未能成功下载的用户请联系客服处理。