文章目錄
NISP-身份認證
1.概述
- 是用戶登錄系統或者網站的第一道安全防線。
- 是在網絡中確認操作身份的過程。
2.分類
- 單向認證:服務器對用戶身份的驗證
- 雙向認證:服務器和用戶雙方彼此認證身份
- 第三方認證:服務器和用戶通過可信第三方來鑑別身份
身份認證一般依據一下三種基本情況或者者三種情況組合來鑑別身份:
- 用戶所知道的東西:例如,口令,密鑰
- 用戶所擁有的東西:例如,印章,USB-KEY
- 用戶所具有的生物特徵:例如,指紋,聲音,虹膜,人臉
3.用戶所知
- 靜態口令認證
- 短信口令認證
- 動態口令認證
(1).靜態口令認證
- 概述:口令固定不變,長期有效,弱鑑別
缺點:
- 通信竊取——竊聽獲得明文的用戶名和口令
- 重放攻擊——截獲登錄數據(明/密)
- 字典攻擊——選擇有意義的單詞或數字作字典
- 暴力攻擊——窮舉全部可能組合,猜測口令
- 外部泄露——搜索存有口令的紙片和文件
- 窺探——安裝監視器或從背後窺探
- 社交工程——冒充合法用戶,假冒管理員,騙取口令
這裏針對社會工程提供一個例子:
- 淘寶網站初期,電商的一些信息是可以被直接看到的,於是黑客利用這些信息在網上挖掘其他個人信息,例如(手機號碼,身份證,郵箱,地址等),而其中有些電商安全意識不夠,經常使用一些與個人相關的信息來作口令,導致口令被黑客破解,侵入淘寶網站,造成電商的損失。
(2).短信口令認證
概述:
- 是利用移動網絡動態口令的認證方式
- 以手機短信形式請求包含位6隨機數的動態口令,身份認證系統以短信的形式發送隨機的6位動態口令到用戶的手機上,用戶在認證時輸入即可
- 由於手機和用戶綁定比較緊密,短信口令生成和用戶使用場景是物理隔絕的,因此口令在通路上被截取的機率極低
(3).動態口令認證
概述:
- 又稱:一次性口令認證
- 口令隨機性:隨機性強,難以猜測
- 口令多態性:每次變化,無須人工干預
- 是一種雙向的認證(杜絕木馬)
- 例如:U盾,刮刮卡,動態令牌
4.用戶所有
- USB-Key
- 電子印章
(1).USB-Key
概述:
- 採用軟硬件相結合的挑戰/應答認證模式。
- 是USB硬件設備,內置單片機/智能卡芯片(存儲用戶的密鑰或數字證書),利用USB-Key內置的密碼算法實現對用戶身份的認證。
挑戰/應答模式:
- 認證系統發送一個隨機數(挑戰),用戶使用USB-Key中的密鑰和算法計算出一個數值(應答),認證系統檢驗數值,若正確,則合法用戶。
5.基於“生物特徵”的身份認證
- 每個人都具有的唯一生理特徵
- 例如:指紋,手掌,手型,語音識別,視網膜掃描,虹膜掃描,面部掃描
(1).指紋識別
- 採集指紋,分析對比指紋,自動,迅速,準確認證出個人身份
(2)虹膜識別原理
- 虹膜:環繞在瞳孔,四周有色彩的部分
- 每個人的虹膜不同,左右眼可能不一樣,雙胞胎的虹膜可能不一樣
- 6-18個月成型後終身不變
- 每一個虹膜都包含獨一無二的結構
6.雙因素,多因素身份認證
- 將上面的認證方式組合在一起
- 例如:USB-key和靜態口令認證,口令認證加指紋,等
- 更加安全。
7.其他認證方式
(1).單點登錄(sso)
(2).Kerberos
- 提供一個網絡環境下的身份認證框架結構
- 對稱密鑰加密
- 公開發布的Kerberos包括版本4和版本5
- 安全性,可靠性,可伸縮性,透明性
(3).遠程用戶撥號認證系統(Radius)
- Radius是一種C/S結構的協議
- 客戶端最初是NAS服務器,現在任何運行Radius客戶端軟件的計算機都可以成爲Radius的客戶端
- 基本設計組件:認證,授權,AAA(記賬)
- 優點:簡單明確,可擴充
- 使用UDP端口1812,1813