2024年10月2日 10:59:04

07_第七章 信息安全支撑技术/7.2 身份鉴别.md

@@ -1,47 +1,304 @@
 # 身份鉴别
 
-> 
+> **一、身份鉴别的概念**<br>
+> &nbsp;&nbsp;&nbsp;&nbsp;<span style="color:blue;">理解</span>标识与鉴别、鉴别类型、鉴别方式等基本概念。
+>
+> **二、基于实体所知的鉴别**<br>
+> &nbsp;&nbsp;&nbsp;&nbsp;<span style="color:blue;">理解</span>基于实体所知的鉴别方式及特点；<br>
+> &nbsp;&nbsp;&nbsp;&nbsp;<span style="color:green;">了解</span>口令破解、嗅探、重放攻击等针对实体所知鉴别方式的攻击方式；<br>
+> &nbsp;&nbsp;&nbsp;&nbsp;<span style="color:red;">掌握</span>对抗口令破解的防御措施；<br>
+> &nbsp;&nbsp;&nbsp;&nbsp;<span style="color:blue;">理解</span>对抗嗅探攻击、重放攻击的防御措施。
+>
+> **三、基于实体所有的鉴别**<br>
+> &nbsp;&nbsp;&nbsp;&nbsp;<span style="color:blue;">理解</span>基于实体所有的鉴别方式及特点；<br>
+> &nbsp;&nbsp;&nbsp;&nbsp;<span style="color:green;">了解</span>集成电路卡、内存卡、安全卡、CPU卡等常用鉴别物品。
+>
+> **四、基于实体特征的鉴别**<br>
+> &nbsp;&nbsp;&nbsp;&nbsp;<span style="color:blue;">理解</span>基于实体特征的鉴别方式及特点；<br>
+> &nbsp;&nbsp;&nbsp;&nbsp;<span style="color:green;">了解</span>指纹、虹膜、声纹等常用的生物识别技术；<br>
+> &nbsp;&nbsp;&nbsp;&nbsp;<span style="color:blue;">理解</span>基于实体特征鉴别有效性判定的方法。
+>
+> **五、kerberos体系**<br>
+> &nbsp;&nbsp;&nbsp;&nbsp;<span style="color:blue;">理解</span>单点登录概念及其特点；
+> &nbsp;&nbsp;&nbsp;&nbsp;<span style="color:green;">了解</span>Kerberos体系架构及基本认证过程。
+>
+> **六、认证、授权和计费**<br>
+> &nbsp;&nbsp;&nbsp;&nbsp;<span style="color:green;">了解</span>AAA的概念及RADIUS、TACACS+协议特点。
 
 ### 一、身份鉴别的概念
 
+#### 1、标识与鉴别
 
+- <span style="color:red;">标识</span>的概念：标识是<span style="color:red;">实体身份</span>的一种计算机表达，每个实体与计算机内部的一个身份表达绑定。
+- <span style="color:red;">鉴别</span>：确认实体是它所声明的，提供了关于某个实体身份的保证，某一实体确信与之打交道的实体正是所需要的实体。
+- <span style="color:red;">标识与鉴别的作用</span>
+  - 作为访问控制的一种必要支持，访问控制的执行依赖于确知的身份；
+  - 作为数据源认证的一种方法；
+  - 作为审计追踪的支持。
 
+#### 2、鉴别的基本概念
 
-
+- 鉴别系统的<span style="color:red;">构成</span>
-
+  - 验证者、被验证者、可信赖者
+- 鉴别的<span style="color:red;">类型</span>
+  - 单向鉴别、双向鉴别、第三方鉴别
+- <span style="background-color:yellow;">鉴别的方式（考点）</span>
+  - 基于实体<span style="color:red;">所知</span>【what you know】（知识、密码、PIN码等）
+  - 基于实体<span style="color:red;">所有</span>【what you have】（身份证、钥匙、智能卡、令牌等）
+  - 基于实体<span style="color:red;">特征</span>【what you are】（指纹，笔迹，声音，视网膜等）
+  - <span style="color:red;">双因素</span>、<span style="color:red;">多因素</span>认证
 
 ### 二、基于实体所知的鉴别
 
+#### 1、使用<span style="color:red;">最广泛</span>的身份鉴别方法
 
+- 实现简单、成本低
+- 提供弱鉴别
 
+#### 2、<span style="color:red;">面临的威胁</span>
 
+- 暴力破解
+- 木马窃取
+- 线路窃听
+- 重放攻击
 
+#### 3、密码暴力破解安全防护
 
+- 使用安全的密码（自己容易记，别人不好猜）
+- 系统、应用安全策略（帐号锁定策略）
+- 随机验证码
+  - 变形
+  - 干扰
+  - 滑块
+  - 图像识别
+
+#### 4、木马窃取密码安全防护
+
+- <span style="color:red;">使用密码输入控件</span>
+  - 安全的输入框，避免从输入框中还原密码；
+  - 软键盘，对抗击键记录；
+  - 随机排列字符，对抗屏幕截图重现。
+
+#### 5、密码嗅探攻击安全防护
+
+- 加密：单单向函数
+
+  ![image-20241002083614411](https://picgo-noriu.oss-cn-beijing.aliyuncs.com/Images/image-20241002083614411.png)
+
+- 攻击者很容易构造一张a与p对应的表，表中的p尽可能包含所期望的值
+
+  - 解决办法：在口令中使用随机数
+
+- 密码嗅探攻击安全防护
+
+  - <span style="color:red;">一次性口令（OTOP）</span>：每次鉴别中所使用的密码不同
+    - 有效应对密码嗅探及重放攻击
+  - <span style="color:red;">实现机制</span>
+    - 两端共同拥有一串随机口令，在该串的某一位置保持同步
+    - 两端共同使用一个随机序列生成器，在该序列生成器的初态保持同步
+    - 使用时间戳，两端维持同步的时钟
+
+- 密码嗅探及重放攻击防护
+
+  - <span style="color:red;">挑战机制</span>
+
+    - 客户端：请求登录
+    - 服务器：给出随机数作为挑战请求
+    - 将登录信息（用户名、密码）与随机数合并，使用单向函数（如MD5）生产字符串，作为应答返回服务器
+    - 服务认证后返还结果
+
+    ![image-20241002084403101](https://picgo-noriu.oss-cn-beijing.aliyuncs.com/Images/image-20241002084403101.png)
 
 ### 三、基于实体所有的鉴别
 
+#### 1、基于实体所有的鉴别方法
 
+- 采用<span style="color:red;">较多的</span>鉴别方法
 
+  - 使用用户所持有的东西来验证用户的身份
 
+  - 用于鉴别的东西通常不容易复制
 
+- <span style="color:red;">鉴别物体</span>
 
+  - IC卡（Integrated Circuit Card）是将一个微电
+
+  - 子芯片嵌入符合卡基，做成卡片形式的信息载体
+    - 内存卡
+    - 逻辑加密卡
+    - CPU卡
+
+- <span style="color:red;">特点</span>
+  - 难以复制、安全性高
+
+#### 2、基于实体所有的鉴别方法
+
+- <span style="color:red;">安全威胁及防护</span>
+  - 损坏
+    - 封装应坚固耐用，承受日常使用中各种可能导致卡片损坏的行为。
+  - 复制
+    - 保证IC卡中存储和处理的各种信息不被非法访问，复制、篡改或破坏PIN码，甚至其他技术实现对数据的安全防护；
+    - 确保逻辑安全措施得到落实。
 
 ### 四、基于实体特征的鉴别
 
+#### 1、基于实体特征的鉴别方法
 
+- 使用每个人所具有的唯一生理特征
 
+  ![image-20241002094432522](https://picgo-noriu.oss-cn-beijing.aliyuncs.com/Images/image-20241002094432522.png)
 
+- 鉴别的方式
 
+  - <span style="color:red;">指纹、掌纹、静脉</span>
 
+    1. 指纹：手指上一些曲线和分叉以及一些非常微小的特征；
 
-### 五、Kerbeross体系
+    2. 掌纹：
 
+       - 手掌有折痕，起皱，还有凹槽；
+       - 还包括每个手指的指纹；
+       - 人手的形状（手的长度，宽度和手指）表示了手的几何特征。
 
+    3. 静脉：个人静脉分布图（指静脉、掌静脉）。
 
+       ![image-20241002101239147](https://picgo-noriu.oss-cn-beijing.aliyuncs.com/Images/image-20241002101239147.png)
 
+  - <span style="color:red;">虹膜、视网膜</span>
 
+    1. 虹膜
+       - 使用环绕在瞳孔四周有色彩的部分作为识别特征；
+       - 出生6～18个月成型后终生不变。
+    2. 视网膜
+       - 使用视网膜上面的血管分布作为识别特征。
 
+  - <span style="color:red;">语音</span>
 
+    - 使用语音、语速、语调等作为识别特征。
 
+  - <span style="color:red;">面部扫描</span>
 
-### 六、认证、授权和计费
+    - 人都有不同的骨骼结构，鼻梁，眼眶，额头和下颚形状；
+
+- 特点
+
+  - 易于实现
+  - 安全性不高
+
+#### 2、鉴别系统的有效性判断
+
+- 错误拒绝率(FRR)
+
+- 错误接受率(FAR)
+
+- 交叉错判率（CER）：FRR=FAR的交叉点，CER用来反映系统的准确度
+
+  ![image-20241002103043082](https://picgo-noriu.oss-cn-beijing.aliyuncs.com/Images/image-20241002103043082.png)
+
+### 五、Kerberos体系
+
+#### 1、单点登录基本概念
+
+1. 单点登录概念
+   - 单一身份认证，身份信息集中管理，一次认证就可以访问其授权的所有网络资源；
+   - 单点登录实质是安全凭证在多个应用系统之间的传递或共享。
+2. 单点登录的安全优势
+   - 减轻安全维护工作量，减少错误；
+   - 提高效率；
+   - 统一安全可靠的登录验证。
+
+#### 2、Kerberos协议
+
+1. 什么是Kerberos协议
+   - 1985年由美国麻省理工学院开发，用于通信实体间的身份认证，1994年V5版本作为Internet标准草案公布；
+   - <span style="background-color:yellow;">基于对称密码算法为用户提供安全的单点登录服务</span>；
+   - 包含可信第三方认证服务。
+2. Kerberos协议的优点
+   - 避免本地保存密码及会话中传输密码；
+   - <span style="background-color:yellow;">客户端和服务器可实现互认</span>。
+
+#### 3、Kerberos体系构成
+
+- 运行环境构成
+
+  - 密钥分发中心（KDC）
+
+    - 系统核心，负责维护所有用户的账户信息
+
+    - 由AS和TGS两个部分构成
+      1. 认证服务器（AS：Authentication Server）
+      2. 票据授权服务器（TGS：Ticket Granting Server）
+
+  - 应用服务器
+
+  - 客户端
+
+- 其他概念
+
+  - 票据许可票据（TGT）
+  - 服务许可票据（SGT）
+
+#### 4、Kerberos认证过程 - 三次通信
+
+- 认证过程由三个阶段组成，例如需要访问0A
+
+  - 第一次：获得票据许可票据（TGT）
+  - 第二次：获得服务许可票据（SGT）
+  - 第三次：获得服务
+
+  ![image-20241002104500708](https://picgo-noriu.oss-cn-beijing.aliyuncs.com/Images/image-20241002104500708.png)
+
+#### 5、Kerberos工作过程
+
+> ***<span style="color:red;">不考</span>***
+
+1. **获得TGT**
+
+   - 客户机向AS发送访问TGS请求(明文)
+     - 请求信息：用户名、IP地址、时间戳、随机数等；
+     - AS验证用户（只验证是否存在）。
+   - AS给予应答
+     - TGT（包含TGS会话密钥），使用KDC密码加密；
+     - 其他信息（包含TGS会话密钥），使用用户密码加密。
+
+   ![image-20241002104748054](https://picgo-noriu.oss-cn-beijing.aliyuncs.com/Images/image-20241002104748054.png)
+
+2. **获得SGT**
+
+   - 客户机向TGS发送访问应用服务请求
+     - 请求信息使用TGS会话密钥加密（包含认证信息）
+     - 包含访问应用服务名称（http）
+
+   - TGS验证认证信息息（包含用户名等）后，给予应答
+     - SGT
+     - 客户机与应用服务器之间的会话密钥
+
+   ![image-20241002105209653](https://picgo-noriu.oss-cn-beijing.aliyuncs.com/Images/image-20241002105209653.png)
+
+3. **获得服务**
+
+   - 客户机向应用服务器请求服务
+     - SGT（使用http服务器密码加密）
+     - 认证信息
+   - 应用服务器（验证认证信息）
+     - 提供服务器验证信息（如果需要验证服务器）
+
+   ![image-20241002105327180](https://picgo-noriu.oss-cn-beijing.aliyuncs.com/Images/image-20241002105327180.png)
+
+### 六、认证、授权和计费
+
+> 随着网络的兴起，网络服务提供者多采用认证、授权和计费（Authentication、Authorization、Accounting，<span style="color:red;">AAA</span>）进行远程集中访问控制。
+
+#### 1、RADIUS协议
+
+- 最初为拨号用户进行认证和计费，现为通用的认证协议；
+- 协议实现简单，传输简捷高效；
+- 仅对传输过程中的密码本身进行加密。
+
+#### 2、TACACS+协议
+
+> 已经很少使用。TACACS+协议由<span style="color:red;">Cisco公司</span>提出，主要应用于Cisco公司的产品中，运行于<span style="color:red;">TCP协议</span>之上。
+
+- 运行于TCP协议，具有较高的可靠性；
+- 对包头外所有数据加密，安全性较高；
+- 大型网络中实时性较差。