文章目录
NISP-身份认证
1.概述
- 是用户登录系统或者网站的第一道安全防线。
- 是在网络中确认操作身份的过程。
2.分类
- 单向认证:服务器对用户身份的验证
- 双向认证:服务器和用户双方彼此认证身份
- 第三方认证:服务器和用户通过可信第三方来鉴别身份
身份认证一般依据一下三种基本情况或者者三种情况组合来鉴别身份:
- 用户所知道的东西:例如,口令,密钥
- 用户所拥有的东西:例如,印章,USB-KEY
- 用户所具有的生物特征:例如,指纹,声音,虹膜,人脸
3.用户所知
- 静态口令认证
- 短信口令认证
- 动态口令认证
(1).静态口令认证
- 概述:口令固定不变,长期有效,弱鉴别
缺点:
- 通信窃取——窃听获得明文的用户名和口令
- 重放攻击——截获登录数据(明/密)
- 字典攻击——选择有意义的单词或数字作字典
- 暴力攻击——穷举全部可能组合,猜测口令
- 外部泄露——搜索存有口令的纸片和文件
- 窥探——安装监视器或从背后窥探
- 社交工程——冒充合法用户,假冒管理员,骗取口令
这里针对社会工程提供一个例子:
- 淘宝网站初期,电商的一些信息是可以被直接看到的,于是黑客利用这些信息在网上挖掘其他个人信息,例如(手机号码,身份证,邮箱,地址等),而其中有些电商安全意识不够,经常使用一些与个人相关的信息来作口令,导致口令被黑客破解,侵入淘宝网站,造成电商的损失。
(2).短信口令认证
概述:
- 是利用移动网络动态口令的认证方式
- 以手机短信形式请求包含位6随机数的动态口令,身份认证系统以短信的形式发送随机的6位动态口令到用户的手机上,用户在认证时输入即可
- 由于手机和用户绑定比较紧密,短信口令生成和用户使用场景是物理隔绝的,因此口令在通路上被截取的机率极低
(3).动态口令认证
概述:
- 又称:一次性口令认证
- 口令随机性:随机性强,难以猜测
- 口令多态性:每次变化,无须人工干预
- 是一种双向的认证(杜绝木马)
- 例如:U盾,刮刮卡,动态令牌
4.用户所有
- USB-Key
- 电子印章
(1).USB-Key
概述:
- 采用软硬件相结合的挑战/应答认证模式。
- 是USB硬件设备,内置单片机/智能卡芯片(存储用户的密钥或数字证书),利用USB-Key内置的密码算法实现对用户身份的认证。
挑战/应答模式:
- 认证系统发送一个随机数(挑战),用户使用USB-Key中的密钥和算法计算出一个数值(应答),认证系统检验数值,若正确,则合法用户。
5.基于“生物特征”的身份认证
- 每个人都具有的唯一生理特征
- 例如:指纹,手掌,手型,语音识别,视网膜扫描,虹膜扫描,面部扫描
(1).指纹识别
- 采集指纹,分析对比指纹,自动,迅速,准确认证出个人身份
(2)虹膜识别原理
- 虹膜:环绕在瞳孔,四周有色彩的部分
- 每个人的虹膜不同,左右眼可能不一样,双胞胎的虹膜可能不一样
- 6-18个月成型后终身不变
- 每一个虹膜都包含独一无二的结构
6.双因素,多因素身份认证
- 将上面的认证方式组合在一起
- 例如:USB-key和静态口令认证,口令认证加指纹,等
- 更加安全。
7.其他认证方式
(1).单点登录(sso)
(2).Kerberos
- 提供一个网络环境下的身份认证框架结构
- 对称密钥加密
- 公开发布的Kerberos包括版本4和版本5
- 安全性,可靠性,可伸缩性,透明性
(3).远程用户拨号认证系统(Radius)
- Radius是一种C/S结构的协议
- 客户端最初是NAS服务器,现在任何运行Radius客户端软件的计算机都可以成为Radius的客户端
- 基本设计组件:认证,授权,AAA(记账)
- 优点:简单明确,可扩充
- 使用UDP端口1812,1813