Noriu/CISP
1
0
Fork 0
Code Issues Pull Requests Actions Packages Projects Releases Wiki Activity
main
CISP/07_第七章 信息安全支撑技术/7.2 身份鉴别.md
Noriu ff5b19345f 2024年10月20日 23:29:21
2024-10-20 23:29:28 +08:00

306 lines
12 KiB
Markdown
Raw Permalink Blame History

This file contains ambiguous Unicode characters

This file contains Unicode characters that might be confused with other characters. If you think that this is intentional, you can safely ignore this warning. Use the Escape button to reveal them.

# 身份鉴别
> **一、身份鉴别的概念**<br>
> &nbsp;&nbsp;&nbsp;&nbsp;<span style="color:blue;">理解</span>标识与鉴别、鉴别类型、鉴别方式等基本概念。
>
> **二、基于实体所知的鉴别**<br>
> &nbsp;&nbsp;&nbsp;&nbsp;<span style="color:blue;">理解</span>基于实体所知的鉴别方式及特点;<br>
> &nbsp;&nbsp;&nbsp;&nbsp;<span style="color:green;">了解</span>口令破解、嗅探、重放攻击等针对实体所知鉴别方式的攻击方式;<br>
> &nbsp;&nbsp;&nbsp;&nbsp;<span style="color:red;">掌握</span>对抗口令破解的防御措施;<br>
> &nbsp;&nbsp;&nbsp;&nbsp;<span style="color:blue;">理解</span>对抗嗅探攻击、重放攻击的防御措施。
>
> **三、基于实体所有的鉴别**<br>
> &nbsp;&nbsp;&nbsp;&nbsp;<span style="color:blue;">理解</span>基于实体所有的鉴别方式及特点;<br>
> &nbsp;&nbsp;&nbsp;&nbsp;<span style="color:green;">了解</span>集成电路卡、内存卡、安全卡、CPU卡等常用鉴别物品。
>
> **四、基于实体特征的鉴别**<br>
> &nbsp;&nbsp;&nbsp;&nbsp;<span style="color:blue;">理解</span>基于实体特征的鉴别方式及特点;<br>
> &nbsp;&nbsp;&nbsp;&nbsp;<span style="color:green;">了解</span>指纹、虹膜、声纹等常用的生物识别技术;<br>
> &nbsp;&nbsp;&nbsp;&nbsp;<span style="color:blue;">理解</span>基于实体特征鉴别有效性判定的方法。
>
> **五、kerberos体系**<br>
> &nbsp;&nbsp;&nbsp;&nbsp;<span style="color:blue;">理解</span>单点登录概念及其特点;
> &nbsp;&nbsp;&nbsp;&nbsp;<span style="color:green;">了解</span>Kerberos体系架构及基本认证过程。
>
> **六、认证、授权和计费**<br>
> &nbsp;&nbsp;&nbsp;&nbsp;<span style="color:green;">了解</span>AAA的概念及RADIUS、TACACS+协议特点。
### 一、身份鉴别的概念
#### 1、标识与鉴别
- <span style="color:red;">标识</span>的概念:标识是<span style="color:red;">实体身份</span>的一种计算机表达,每个实体与计算机内部的一个身份表达绑定。
- <span style="color:red;">鉴别</span>:确认实体是它所声明的,提供了关于某个实体身份的保证,某一实体确信与之打交道的实体正是所需要的实体。
- <span style="color:red;">标识与鉴别的作用</span>
- 作为访问控制的一种必要支持,访问控制的执行依赖于确知的身份;
- 作为数据源认证的一种方法;
- 作为审计追踪的支持。
#### 2、鉴别的基本概念
- 鉴别系统的<span style="color:red;">构成</span>
- 验证者、被验证者、可信赖者
- 鉴别的<span style="color:red;">类型</span>
- 单向鉴别、双向鉴别、第三方鉴别
- <span style="background-color:yellow;">鉴别的方式(考点)</span>
- 基于实体<span style="color:red;">所知</span>【what you know】知识、密码、PIN码等
- 基于实体<span style="color:red;">所有</span>【what you have】身份证、钥匙、智能卡、令牌等
- 基于实体<span style="color:red;">特征</span>【what you are】指纹笔迹声音视网膜等
- <span style="color:red;">双因素</span><span style="color:red;">多因素</span>认证
### 二、基于实体所知的鉴别
#### 1、使用<span style="color:red;">最广泛</span>的身份鉴别方法
- 实现简单、成本低
- 提供弱鉴别
#### 2、<span style="color:red;">面临的威胁</span>
- 暴力破解
- 木马窃取
- 线路窃听
- 重放攻击
#### 3、密码暴力破解安全防护
- 使用安全的密码(自己容易记,别人不好猜)
- 系统、应用安全策略(帐号锁定策略)
- 随机验证码
- 变形
- 干扰
- 滑块
- 图像识别
#### 4、木马窃取密码安全防护
- <span style="color:red;">使用密码输入控件</span>
- 安全的输入框,避免从输入框中还原密码;
- 软键盘,对抗击键记录;
- 随机排列字符,对抗屏幕截图重现。
#### 5、密码嗅探攻击安全防护
- 加密:单单向函数
![image-20241002083614411](https://picgo-noriu.oss-cn-beijing.aliyuncs.com/Images/image-20241002083614411.png)
- 攻击者很容易构造一张a与p对应的表表中的p尽可能包含所期望的值
- 解决办法:在口令中使用随机数
- 密码嗅探攻击安全防护
- <span style="color:red;">一次性口令OTOP</span>:每次鉴别中所使用的密码不同
- 有效应对密码嗅探及重放攻击
- <span style="color:red;">实现机制</span>
- 两端共同拥有一串随机口令,在该串的某一位置保持同步
- 两端共同使用一个随机序列生成器,在该序列生成器的初态保持同步
- 使用时间戳,两端维持同步的时钟
- 密码嗅探及重放攻击防护
- <span style="color:red;">挑战机制</span>
- 客户端:请求登录
- 服务器:给出随机数作为挑战请求
- 将登录信息用户名、密码与随机数合并使用单向函数如MD5生产字符串作为应答返回服务器
- 服务认证后返还结果
![image-20241002084403101](https://picgo-noriu.oss-cn-beijing.aliyuncs.com/Images/image-20241002084403101.png)
### 三、基于实体所有的鉴别
#### 1、基于实体所有的鉴别方法
- 采用<span style="color:red;">较多的</span>鉴别方法
- 使用用户所持有的东西来验证用户的身份
- 用于鉴别的东西通常不容易复制
- <span style="color:red;">鉴别物体</span>
- IC卡Integrated Circuit Card是将一个微电
- 子芯片嵌入符合卡基,做成卡片形式的信息载体
- 内存卡
- 逻辑加密卡
- CPU卡
- <span style="color:red;">特点</span>
- 难以复制、安全性高
#### 2、基于实体所有的鉴别方法
- <span style="color:red;">安全威胁及防护</span>
- 损坏
- 封装应坚固耐用,承受日常使用中各种可能导致卡片损坏的行为。
- 复制
- 保证IC卡中存储和处理的各种信息不被非法访问复制、篡改或破坏PIN码甚至其他技术实现对数据的安全防护
- 确保逻辑安全措施得到落实。
### 四、基于实体特征的鉴别
#### 1、基于实体特征的鉴别方法
- 使用每个人所具有的唯一生理特征
![image-20241002094432522](https://picgo-noriu.oss-cn-beijing.aliyuncs.com/Images/image-20241002094432522.png)
- 鉴别的方式
- <span style="color:red;">指纹、掌纹、静脉</span>
1. 指纹:手指上一些曲线和分叉以及一些非常微小的特征;
2. 掌纹:
- 手掌有折痕,起皱,还有凹槽;
- 还包括每个手指的指纹;
- 人手的形状(手的长度,宽度和手指)表示了手的几何特征。
3. 静脉:个人静脉分布图(指静脉、掌静脉)。
![image-20241002101239147](https://picgo-noriu.oss-cn-beijing.aliyuncs.com/Images/image-20241002101239147.png)
- <span style="color:red;">虹膜、视网膜</span>
1. 虹膜
- 使用环绕在瞳孔四周有色彩的部分作为识别特征;
- 出生618个月成型后终生不变。
2. 视网膜
- 使用视网膜上面的血管分布作为识别特征。
- <span style="color:red;">语音</span>
- 使用语音、语速、语调等作为识别特征。
- <span style="color:red;">面部扫描</span>
- 人都有不同的骨骼结构,鼻梁,眼眶,额头和下颚形状;
- 特点
- 易于实现
- 安全性不高
#### 2、鉴别系统的有效性判断
- 错误拒绝率(FRR)
- 错误接受率(FAR)
- 交叉错判率CERFRR=FAR的交叉点CER用来反映系统的准确度
![image-20241002103043082](https://picgo-noriu.oss-cn-beijing.aliyuncs.com/Images/image-20241002103043082.png)
### 五、Kerberos体系
#### 1、单点登录基本概念
1. 单点登录概念
- 单一身份认证,身份信息集中管理,一次认证就可以访问其授权的所有网络资源;
- 单点登录实质是安全凭证在多个应用系统之间的传递或共享。
2. 单点登录的安全优势
- 减轻安全维护工作量,减少错误;
- 提高效率;
- 统一安全可靠的登录验证。
#### 2、Kerberos协议
1. 什么是Kerberos协议
- 1985年由美国麻省理工学院开发用于通信实体间的身份认证1994年V5版本作为Internet标准草案公布
- <span style="background-color:yellow;">基于对称密码算法为用户提供安全的单点登录服务</span>
- 包含可信第三方认证服务。
2. Kerberos协议的优点
- 避免本地保存密码及会话中传输密码;
- <span style="background-color:yellow;">客户端和服务器可实现互认</span>
#### 3、Kerberos体系构成
- 运行环境构成
- 密钥分发中心KDC
- 系统核心,负责维护所有用户的账户信息
- 由AS和TGS两个部分构成
1. 认证服务器ASAuthentication Server
2. 票据授权服务器TGSTicket Granting Server
- 应用服务器
- 客户端
- 其他概念
- 票据许可票据TGT
- 服务许可票据SGT
#### 4、Kerberos认证过程 - 三次通信
- 认证过程由三个阶段组成例如需要访问0A
1. 第一次获得票据许可票据TGT
2. 第二次获得服务许可票据SGT
3. 第三次:获得服务
![image-20241002104500708](https://picgo-noriu.oss-cn-beijing.aliyuncs.com/Images/image-20241002104500708.png)
#### 5、Kerberos工作过程
> ***<span style="color:red;">不考</span>***
1. **获得TGT**
- 客户机向AS发送访问TGS请求(明文)
- 请求信息用户名、IP地址、时间戳、随机数等
- AS验证用户只验证是否存在
- AS给予应答
- TGT包含TGS会话密钥使用KDC密码加密
- 其他信息包含TGS会话密钥使用用户密码加密。
![image-20241002104748054](https://picgo-noriu.oss-cn-beijing.aliyuncs.com/Images/image-20241002104748054.png)
2. **获得SGT**
- 客户机向TGS发送访问应用服务请求
- 请求信息使用TGS会话密钥加密包含认证信息
- 包含访问应用服务名称http
- TGS验证认证信息息包含用户名等给予应答
- SGT
- 客户机与应用服务器之间的会话密钥
![image-20241002105209653](https://picgo-noriu.oss-cn-beijing.aliyuncs.com/Images/image-20241002105209653.png)
3. **获得服务**
- 客户机向应用服务器请求服务
- SGT使用http服务器密码加密
- 认证信息
- 应用服务器(验证认证信息)
- 提供服务器验证信息(如果需要验证服务器)
![image-20241002105327180](https://picgo-noriu.oss-cn-beijing.aliyuncs.com/Images/image-20241002105327180.png)
### 六、认证、授权和计费
> 随着网络的兴起网络服务提供者多采用认证、授权和计费Authentication、Authorization、Accounting<span style="color:red;">AAA</span>)进行远程集中访问控制。
#### 1、RADIUS协议
- 最初为拨号用户进行认证和计费,现为通用的认证协议;
- 协议实现简单,传输简捷高效;
- 仅对传输过程中的密码本身进行加密。
#### 2、TACACS+协议
> 已经很少使用。TACACS+协议由<span style="color:red;">Cisco公司</span>提出主要应用于Cisco公司的产品中运行于<span style="color:red;">TCP协议</span>之上。
- 运行于TCP协议具有较高的可靠性
- 对包头外所有数据加密,安全性较高;
- 大型网络中实时性较差。
Reference in New Issue View Git Blame Copy Permalink