第七章认证与控制
第七章 认证与控制
第1节:身份认证与访问控制 7.1.1身份认证的常用识别法简介 7.1.2数字标识与识别技术 7.1.3访问控制
` 7.1.1 身份认证的常用识别法简介 7.1.2 数字标识与识别技术 7.1.3 访问控制 第1节:身份认证与访问控制
7.1.1身份认证的常用识别法 身份认证的定义 证实客户的真实身份与其所声称的身份是否相符 的过程。 身份认证的依据: (1)根据用户知道什么来判断(所知) 口令、密码等 (2)根据用户拥有什么来判断(拥有) 身份证、护照、门钥匙、磁卡钥匙等 (3)根据用户是什么来判断(特征) 指纹、声音、视网膜、签名、DNA等
7.1.1 身份认证的常用识别法 身份认证的定义: 证实客户的真实身份与其所声称的身份是否相符 的过程。 身份认证的依据: (1)根据用户知道什么来判断(所知) 口令、密码等 (2)根据用户拥有什么来判断(拥有) 身份证、护照、门钥匙、磁卡钥匙等 (3)根据用户是什么来判断(特征) 指纹、声音、视网膜、签名、DNA等
常用的身份认证技术 (1)口令识别法 (2)签名识别法 (3)生物识别技术
常用的身份认证技术 (1)口令识别法 (2)签名识别法 (3)生物识别技术
(1)口令识别法 口令识别是应用最为广泛的身份认证技术。 口令长度:通常为长度为5-8的字符串。 选择原则:易记、难猜、抗分析能力强 口令识别的脆弱点: >网络窃听 >重放攻击 >字典攻击 >暴力攻击 >社交工程
(1)口令识别法 口令识别是应用最为广泛的身份认证技术。 口令长度:通常为长度为5~8的字符串。 选择原则:易记、难猜、抗分析能力强。 口令识别的脆弱点: ➢ 网络窃听 ➢ 重放攻击 ➢ 字典攻击 ➢ 暴力攻击 ➢ 社交工程
>使用用户名(账号)作为口令 >使用用户名(账号)的变换形式作为口令 >使用自己或者亲友的生日作为口令 >使用学号、身份证号、单位内的员工号码等作为口令 >使用常用的英文单词作为口令
不安全口令的分析 ➢使用用户名(账号)作为口令 ➢使用用户名(账号)的变换形式作为口令 ➢使用自己或者亲友的生日作为口令 ➢使用学号、身份证号、单位内的员工号码等作为口令 ➢使用常用的英文单词作为口令
>口令长度至少要有8位 口令应包括大小写字母、数字,或者控制符等 >不要将口令写在电脑上或纸条上 要养成定期更换口令的习惯一月一换 >尽量不要在电脑上保存口令
安全口令的建议 ➢口令长度至少要有8位 ➢口令应包括大小写字母、数字,或者控制符等 ➢不要将口令写在电脑上或纸条上 ➢要养成定期更换口令的习惯 一月一换 ➢尽量不要在电脑上保存口令
次性口令(OTP, One time password) 一次性的主要思路是:在登录过程中加入不确定因素,使每次 登录过程中传送的口令都不相同,以提高登录过程安全性 次性口令的特点 ◆概念简单,易于使用 ◆基于一个被记忆的密码,不需要任何附加的硬件 ◆算法安全 ◆不需要存储诸如密钥、口令等敏感信息
一次性口令 一次性口令(OTP,One Time Password): 一次性的主要思路是:在登录过程中加入不确定因素,使每次 登录过程中传送的口令都不相同,以提高登录过程安全性。 一次性口令的特点: ◈ 概念简单,易于使用 ◈ 基于一个被记忆的密码,不需要任何附加的硬件 ◈ 算法安全 ◈ 不需要存储诸如密钥、口令等敏感信息
基于客户端/服务器模式 客户端:每次登录生成一次性口令; 服务器:验证客户端的一次性口令。 一次性口令的安全原理 使用一次性口令序列次 第一个口令—使用单向函数n次p(1)=f(f((s) 第二个口令—使用单向函数n-1次p(2)=f(ffs) 依次类推
一次性口令的原理 基于客户端/服务器模式 ▪ 客户端:每次登录生成一次性口令; ▪ 服务器:验证客户端的一次性口令。 一次性口令的安全原理 ▪ 使用一次性口令序列 n次 ▪ 第一个口令——使用单向函数n次 p(1)=f(f(f(f(s)))) ▪ 第二个口令——使用单向函数n-1次 p(2)=f(f(f(s))) ▪ 依次类推
①用户输入登录名和相关身份信息ID。 ②如果系统接受用户的访问,则给用户传送一次性口令建立所使用 的单向函数f及一次性密码k,这种传送通常采用加密方式。 ③用户选择“种子”密钥x,并计算第一次访问系统的口令z=fn(x )。向第一次正式访问系统所传送的数据为(k,z)。 ④系统核对k,若正确,则将(ID,f(x))保存。 ⑤当用户第二次访问系统时,将(ID,fn1(x))送系统。系统计 算f(fm1(x)),将其与存储的数据对照,如果一致,则接受用户 的访问,并将(ID,f1(x))保存。 ⑥当用户第三次访问系统时,将(ID,f2(x))送系统。系统计 算f(fn-2(x)),将其与存储的数据对照,如果一致,则接受用户 的访问,并保存新计算的数据。 ⑦当用户每一次想要登录时,函数相乘的次数只需-1
一次性口令产生和验证过程 ① 用户输入登录名和相关身份信息ID。 ② 如果系统接受用户的访问,则给用户传送一次性口令建立所使用 的单向函数f及一次性密码k,这种传送通常采用加密方式。 ③ 用户选择“种子”密钥x,并计算第一次访问系统的口令z=fn(x )。向第一次正式访问系统所传送的数据为(k,z)。 ④ 系统核对k,若正确,则将(ID,f n(x))保存。 ⑤ 当用户第二次访问系统时,将(ID,f n-1(x))送系统。系统计 算f(f n-1(x)),将其与存储的数据对照,如果一致,则接受用户 的访问,并将(ID,f n-1(x))保存。 ⑥ 当用户第三次访问系统时,将(ID,f n-2(x))送系统。系统计 算f(f n-2(x)),将其与存储的数据对照,如果一致,则接受用户 的访问,并保存新计算的数据。 ⑦ 当用户每一次想要登录时,函数相乘的次数只需-1