0
点赞
收藏
分享

微信扫一扫

CISP——身份鉴别

孟祥忠诗歌 2022-02-23 阅读 67
网络安全

身份鉴别——实现访问控制的先决条件

所面临威胁的防护

威胁

防护

图例

密码暴力破解

暴力破解防护

  • 使用安全的密码(自己容易记,别人不好猜)
  • 系统、应用安全策略(帐号锁定策略)
  • 随机验证码
    • 变形
    • 干扰
    • 滑块
    • 图像识别
    • 。。。

木马窃取密码

木马窃取密码防护

  • 使用密码输入控件
    • 安全的输入框,避免从输入框中还原密码
    • 软键盘,对抗击键记录
    • 随机排列字符,对抗屏幕截图重现

密码嗅探

密码嗅探防护

  • 加密:单向函数

  • 一次性口令:每次鉴别中所使用的密码不同有效应对密码嗅探及重放攻击
  • 实现机制:
    • 两端共同拥有一串随机口令,在该串的某一位置保持同步
    • 两端共同使用一个随机序列生成器,在该序列生成器的初态保持同步
    • 使用时间戳两端维持同步的时钟

单向函数:

  • 攻击者很容易构造一张q与p对应的表,表中的p尽可能包含所期望的值
  • 解决办法:在口令中使用随机数

密码嗅探及重放

密码嗅探及重放攻击防护

  • 挑战机制
    • 客户端:请求登录
    • 服务器:给出随机数作为挑战请求
    • 将登录信息(用户名、密码)与随机数合并,使用单向函数(如MD5)生产字符串,作为应答返回服务器
    • 服务认证后返还结果

身份鉴别:

Kerberos协议

  • 什么是Kerberos协议
    • 1985年由美国麻省理工学院开发,用于通信实体间的身份认证,1994年V5版本作为Internet标准草案公布
    • 基于对称密码算法为用户提供安全的单点登录服务
    • 包含可信第三方认证服务
  • Kerberos协议的优点
    • 避免本地保存密码及会话中传输密码
    • 客户端和服务器可实现互认

kerberos体系构成

  • 运行环境构成
    • 密钥分发中心(KDC)
      • 系统核心,负责维护所有用户的账户信息
      • ASTGS两个部分构成
        • 认证服务器(AS:AuthenticationServer)
        • 票据授权服务器(TGS:TicketGrantingServer)
    • 应用服务器
    • 客户端
  • 其他概念
    • 票据许可票据(TGT)
    • 服务许可票据(9GT)

Kerberos认证过程——三次通信

认证过程由三个阶段组成,例如需要访问OA

第一次:获得票据许可票据(TGT)

第二次:获得服务许可票据(SGT)

第三次:获得服务

具体工作过程

第一次:获得票据许可票据(TGT)

客户机向AS发送访问TGS请求(明文)

请求信息:用户名、IP地址、时间戳、随机数等

AS验证用户(只验证是否存在,不验证真假)

AS给予应答

TGT(包含TGS会话密钥),使用KDC密码加密

其他信息(包含TGS会话密钥),使用用户密码加密

第二次:获得服务许可票据(SGT)

客户机向TGS发送访问应用服务请求

请求信息使用TGS会话密钥加密(包含认证信息)

包含访问应用服务名称(http)

TGS验证认证信息(包含用户名等)后,给予应答

SGT

客户机与应用服务器之间的会话密钢

第三次:获得服务

客户机向应用服务器请求服务

SGT(使用http服务器密码加密)

认证信息

应用服务器(验证认证信息)

提供服务器验证信息(如果需要验证服务器)

AAA协议

  • 什么是AAA协议
    • 认证、授权和计费(Authentication、Authorization、Accounting,AAA)
  • 常见AAA协议
    • RADIUS协议——广泛使用
    • TACACS+协议
    • Diameter协议

举报

相关推荐

0 条评论