網(wǎng)絡安全(第五章)課件

第五章身份認證技術

身份認證技術身份認證概述基于密碼的身份認證基于地址的身份認證生物特征身份認證零知識證明身份認證身份認證協(xié)議實驗操作1基于IEEE802.1x協(xié)議的RADUIS服務器的配置和應用身份認證概述身份認證的概念身份認證（Authentication）是系統(tǒng)審查用戶身份的過程，從而確定該用戶是否具有對某種資源的訪問和使用權限。身份認證通過標識和鑒別用戶的身份，提供一種判別和確認用戶身份的機制。計算機網(wǎng)絡中的身份認證是通過將一個證據(jù)與實體身份綁定來實現(xiàn)的。實體可能是用戶、主機、應用程序甚至是進程。身份認證技術在信息安全中處于非常重要的地位，是其他安全機制的基礎。只有實現(xiàn)了有效的身份認證，才能保證訪問控制、安全審計、入侵防范等安全機制的有效實施。認證、授權與審計

在計算機網(wǎng)絡安全領域，將認證、授權與審計統(tǒng)稱為AAA或3A，即英文Authentication（認證）、Authorization（授權）和Accounting（審計）。1．認證認證是一個解決確定某一個用戶或其他實體是否被允許訪問特定的系統(tǒng)或資源的問題。2．授權授權是指當用戶或實體的身份被確定為合法后，賦予該用戶的系統(tǒng)訪問或資源使用權限。只有通過認證的用戶才允許訪問系統(tǒng)資源，然而在許多情況下當一個用戶通過認證后通常不可能賦予訪問所有系統(tǒng)資源的權限。3．審計審計也稱為記帳（Accounting）或審核，出于安全考慮，所有用戶的行為都要留下記錄，以便進行核查。所采集的數(shù)據(jù)應該包括登錄和注銷的用戶名、主機名及時間。用戶對資源的訪問過程如圖4-1所示。圖4-1用戶訪問系統(tǒng)資源的過程基于密碼的身份認證密碼認證的特點密碼是用戶與計算機之間以及計算機與計算機之間共享的一個秘密，在通信過程中其中一方向另一方提交密碼，表示自己知道該秘密，從而通過另一方的認證。密碼通常由一組字符串來組成，為便于用戶記憶，一般用戶使用的密碼都有長度的限制。但出于安全考慮，在使用密碼時需要注意以下幾點：（1）不使用默認密碼、（2）設置足夠長的密碼、（3）不要使用結構簡單的詞或數(shù)字組合、（4）增加密碼的組合復雜度、（5）使用加密、（6）避免共享密碼、（7）定期更換密碼就密碼的安全使用來說，計算機系統(tǒng)應該具備下列安全性：（1）入侵者即使取得儲存在系統(tǒng)中的密碼也無法達到登錄的目的。這需要在密碼認證的基礎上再增加其他的認證方式，如地址認證。（2）通過監(jiān)聽網(wǎng)絡上傳送的信息而獲得的密碼是不能用的。最有效的方式是數(shù)據(jù)加密。（3）計算機系統(tǒng)必須能夠發(fā)現(xiàn)并防止各類密碼嘗試攻擊?？墒褂妹艽a安全策略。

使用一次性密碼（即“一次一密”）技術可以防止重放攻擊的發(fā)生，這相當于用戶隨身攜帶一個密碼本，按照與目標主機約定好的次序使用這些密碼，并且每一個密鑰只使用一次，當密碼全部用完后再向系統(tǒng)管理員申請新的密碼本。S/Key認證系統(tǒng)就是基于這種思想的一次性密碼認證系統(tǒng)。在S/Key認證系統(tǒng)中，用戶每一次登錄系統(tǒng)所用的密碼都是不一樣的，攻擊者通過竊聽得到的密碼無法用于下一次認證，這樣S/Key認證系統(tǒng)很好地防止了密碼重放攻擊。相對于可重放的密碼認證系統(tǒng)，S/Key認證系統(tǒng)具有很好的安全性，而且符合安全領域的發(fā)展趨勢。密碼認證中的其他問題1．社會工程學

社會工程學（SocialEngineering）是一種通過對受害者心理弱點、本能反應、好奇心、信任、貪婪等心理陷阱進行的諸如欺騙、傷害等危害手段，取得自身利益的手法，近年來已成迅速上升甚至濫用的趨勢。2．按鍵記錄軟件

按鍵記錄軟件是一種間諜軟件，它以木馬方式值入到用戶的計算機后，可以偷偷地記錄下用戶的每次按鍵動作，并按預定的計劃把收集到的信息通過電子郵件等方式發(fā)送出去。5．暴力破解

暴力破解也稱為“蠻力破解”或“窮舉攻擊”，是一種特殊的字典攻擊。在暴力破解中所使用的字典是字符串的全集，對可能存在的所有組合進行猜測，直到得到正確的信息為止。6．窺探

窺探是攻擊者利用與被攻擊系統(tǒng)接近的機會，安裝監(jiān)視設備或親自窺探合法用戶輸入的賬戶和密碼。窺探還包括攻擊者在用戶計算機中植入的木馬。7．垃圾搜索

垃圾搜索是攻擊者通過搜索被攻擊者的廢棄物（如硬盤、U盤、光盤等），得到與攻擊系統(tǒng)有關的信息?；诘刂返纳矸菡J證地址與身份認證基于IP地址的身份認證：不可靠，也不可取基于物理地址（如MAC地址）的身份認證較為可靠，目前在計算機網(wǎng)絡中的應用較為廣泛。智能卡認證智能卡（SmartCard）也稱IC卡，是由一個或多個集成電路芯片（包括固化在芯片中的軟件）組成的設備，可以安全地存儲密鑰、證書和用戶數(shù)據(jù)等敏感信息，防止硬件級別的竄改。智能卡芯片在很多應用中可以獨立完成加密、解密、身份認證、數(shù)字簽名等對安全較為敏感的計算任務，從而能夠提高應用系統(tǒng)抗病毒攻擊以及防止敏感信息的泄漏。智能卡具有硬件加密功能，所以安全性性較高。智能卡認證是基于“whatyouhave”的手段，通過智能卡硬件不可復制來保證用戶身份不會被仿冒。雙因素身份認證，簡單地講是指在身份認證過程中至少提供兩個認證因素，如“密碼+PIN”等。雙因素認證與利用ATM（自動柜員機）取款很相似：用戶必須利用持銀行卡（認證設備），再輸入密碼，才能提取其賬戶中的款項。雙因素認證提供了身份認證的可靠性。生物特征身份認證生物特征認證的概念生物特征認證又稱為“生物特征識別”，是指通過計算機利用人體固有的物理特征或行為特征鑒別個人身份。在信息安全領域，推動基于生物特征認證的主要動力來自于基于密碼認證的不安全性，即利用生物特征認證來替代密碼認證。人的生理特征與生俱來，一般是先天性的。滿足以下條件的生物特征才可以用來作為進行身份認證的依據(jù)：·普遍性。即每一個人都應該具有這一特征?！のㄒ恍浴＜疵恳粋€人在這一特征上有不同的表現(xiàn)?！し€(wěn)定性。即這一特征不會隨著年齡的增長和生活環(huán)境的改變而改變?！ひ撞杉浴＜催@一特征應該便于采集和保存。·可接受性。即人們是否能夠接受這種生物識別方式。

如圖4-3所示，指紋識別的過程包括2個子過程：指紋注冊過程和指紋比對過程。其中：

①指紋采集。

②圖像增強。

③提取特征值。是指對指紋圖案上的特征信息進行選擇（如圖4-4所示）、編碼和形成二進制數(shù)據(jù)的過程。

④特征值模板入庫。

⑤比對匹配。圖4-4指紋圖案信息的選擇虹膜認證

從理論上講，虹膜認證是基于生物特征的認證方式中最好的一種認證方式。虹膜（眼睛中的彩色部分）是眼球中包圍瞳孔的部分（如圖4-5所示），上面布滿極其復雜的鋸齒網(wǎng)絡狀花紋，而每個人虹膜的花紋都是不同的。虹膜識別技術就是應用計算機對虹膜花紋特征進行量化數(shù)據(jù)分析，用以確認被識別者的真實身份。圖4-5虹膜在眼球中的位置

其中：

①虹膜圖像采集。虹膜圖像采集是虹膜識別系統(tǒng)一個重要的且困難的步驟。

②虹膜圖像的預處理。這一操作分為虹膜定位和虹膜圖像的歸一化兩個步驟。

③虹膜紋理的特征提取。采用轉換算法將虹膜的可視特征轉換成為固定字節(jié)長度的虹膜代碼。

④模式匹配。識別系統(tǒng)將生成的代碼與代碼數(shù)據(jù)庫中的虹膜代碼進行逐一比較，當相似率超過某一個預設置值時，系統(tǒng)判定檢測者的身份與某一個樣本相符。零知識證明身份認證零知識證明身份認證的概念零知識證明（zero-knowledgeproof）是由在20世紀80年代初出現(xiàn)的一種身份認證技術。零知識證明是指證明者能夠在不向驗證者提供任何有用信息的情況下，使驗證者相信某個論斷是正確的。零知識證明實質上是一種涉及兩方或多方的協(xié)議，即兩方或多方完成一項任務所需采取的一系列步驟。證明者向驗證者證明并使驗證者相信自己知道某一消息或擁有某一物品，但證明過程不需要（也不能夠）向驗證者泄漏。零知識證明分為交互式零知識證明和非交互式零知識證明兩種類型。簡單地講，交互式零知識證明就是為了證明P知道一些事實，希望驗證者V相信他知道的這些事實而進行的交互。為了安全起見，交互式零知識證明是由規(guī)定輪數(shù)組成的一個“挑戰(zhàn)/應答”協(xié)議。通常每一輪由V挑戰(zhàn)和P應答組成。在規(guī)定的協(xié)議結束時，V根據(jù)P是否成功地回答了所有挑戰(zhàn)來決定是否接受P的證明。非交互式零知識證明在非交互式零知識證明中，證明者P公布一些不包括他本人任何信息的秘密消息，卻能夠讓任何人相信這個秘密消息。在這一過程（其實是一組協(xié)議）中，起關鍵作用的因素是一個單向Hash函數(shù)。如果P要進行欺騙，他必須能夠知道這個Hash函數(shù)的輸出值。但事實上由于他不知道這個單向Hash函數(shù)的具體算法，所以他無法實施欺騙。也就是說，這個單向Hash函數(shù)在協(xié)議中是V的代替者。身份認證協(xié)議Kerberos協(xié)議1.Kerberos協(xié)議簡介

Kerberos是為基于TCP/IP的Internet和Intranet設計的安全認證協(xié)議，它工作在Client/Server模式下，以可信賴的第三方KDC（密鑰分配中心）實現(xiàn)用戶身份認證。在認證過程中，Kerberos使用對稱密鑰加密算法，提供了計算機網(wǎng)絡中通信雙方之間的身份認證。

Kerberos設計的目的是解決在分布網(wǎng)絡環(huán)境中用戶訪問網(wǎng)絡資源時的安全問題。2．Kerberos系統(tǒng)的組成一個完整的Kerberos系統(tǒng)主要由以下幾個部分組成：（1）用戶端（Client）。（2）服務器端（Server）。（3）密鑰分配中心（KeyDistributionCenter，KDC）。（4）認證服務器（AuthenticationServer，AS）。（5）票據(jù)分配服務器（TicketGrantingServer，TGS）。（6）票據(jù)。（7）時間戳。3．Kerberos的基本認證過程

Kerberos的基本認證過程如圖4-7所示。圖4-7Kerberos系統(tǒng)認證過程示意圖SSL協(xié)議1、SSL協(xié)議概述

SSL是一種點對點之間構造的安全通道中傳輸數(shù)據(jù)的協(xié)議，它運行在傳輸層之上、應用層之下，是一種綜合利用對稱密鑰和公開密鑰技術進行安全通信的工業(yè)標準。在通信過程中，允許一個支持SSL協(xié)議的服務器在支持SSL協(xié)議的客戶端使協(xié)議本身獲得信任，使客戶端得到服務器的信任，從而在兩臺機器間建立一個可靠的傳輸連接。SSL協(xié)議主要提供了3個方面的安全服務?！ふJ證。利用數(shù)字證書技術和可信任的第三方認證機構，為客戶機和服務器之間的通信提供身份認證功能，以便于彼此之間進行身份識別?！C密性。在SSL客戶機和服務器之間傳輸?shù)乃袛?shù)據(jù)都經(jīng)過了加密處理，以防止非法用戶進行竊取、篡改和冒充。·完整性。SSL利用加密算法和Hash函數(shù)來保證客戶機和服務器之間傳輸?shù)臄?shù)據(jù)的完整性。

如圖4-8所示，SSL協(xié)議分為上下兩部分：上層為SSL握手協(xié)議，下層為SSL記錄協(xié)議。其中SSL握手協(xié)議主要用來建立客戶機與服務器之間的連接，并協(xié)商密鑰；而SSL記錄協(xié)議則定義了數(shù)據(jù)的傳輸格式。

圖4-8SSL協(xié)議棧的組成2.SSL握手協(xié)議

SSL握手協(xié)議提供了客戶機與服務器之間的相互認證，協(xié)商加密算法，用于保護在SSL記錄中發(fā)送的加密密鑰。握手協(xié)議在任何應用程序的數(shù)據(jù)傳輸之前進行。如圖4-9描述了SSL握手協(xié)議一次握手的操作過程。圖4-9SSL握手協(xié)議的操作過程3.SSL記錄協(xié)議

SSL記錄協(xié)議建立在可靠的傳輸層協(xié)議（如TCP）之上，為高層協(xié)議（如HTTP、FTP等）提供數(shù)據(jù)封裝、壓縮、加密等基本功能的支持。如圖4-10所示描述了SSL記錄協(xié)議的操作過程。圖4-10SSL記錄協(xié)議的操作過程其中，該SSL記錄頭由如圖4-11所示的幾個字段組成。圖4-11SSL記錄協(xié)議字段4.SSL協(xié)議的特點

SSL是一個通信協(xié)議。為了實現(xiàn)安全性，SSL的協(xié)議描述比較復雜，具有較完備的握手過程。這也決定了SSL不是一個輕量級的網(wǎng)絡協(xié)議。另外，SSL還涉及到大量的計算密集型算法：非對稱加密算法，對稱加密算法和數(shù)據(jù)摘要算法。

IETF將SSL進行了標準化，即RFC2246，并將其稱為TLS（TransportLayerSecurity）。從技術上講，TLSv1.0與SSLv3.0的差別非常小。實驗操作—基于IEEE802.1x協(xié)議的RADIUS服務器的配置和應用實驗設計本實驗是一個具有較大應用價值的綜合實驗：一是本實驗立足目前的網(wǎng)絡應用實際，可以直接在安全要求不太高的網(wǎng)絡環(huán)境中使用；二是本實驗的實現(xiàn)原理與目前市面上流行的記費認證系統(tǒng)基本相同，通過本實驗可以幫助讀者了解一些商業(yè)軟件的功能特點；三是通過實踐將會加深對本章前面介紹的理論知識的認識。

為便于實驗的進行，設計了如圖4-12所示的實驗拓撲。其中，用于身份認證、授權和審計的RADIUS服務器由一臺安裝了“Internet驗證服務”組件的WindowsServer2003的計算機扮演，其IP地址為0（讀者也可以自定）。實驗中使用的交換機必須是一臺支持IEEE802.1x協(xié)議的可網(wǎng)管交換機，在實驗中需要啟用交換機上的IEEE802.1x協(xié)議。圖4-12實驗拓撲IEEE802.1x和RADIUD服務器的概念

基于IEEE802.1x和RADIUS服務器的身份認證系統(tǒng)目前已被用戶廣泛使用，為便于讀者后面的操作，本小節(jié)首先介紹相關的概念。1.IEEE802.1xIEEE802.1x是一個基于端口的網(wǎng)絡訪問控制協(xié)議，該協(xié)議的認證體系結構中采用了“可控端口”和“不可控端口”的邏輯功能，從而實現(xiàn)認證與業(yè)務的分離，保證了網(wǎng)絡傳輸?shù)男省?/p>

IEEE802.1x協(xié)議采用現(xiàn)有的可擴展認證協(xié)議（ExtensibleAuthenticationProtocol，EAP），它是IETF提出的PPP協(xié)議的擴展，最早是為解決基于IEEE802.11標準的無線局域網(wǎng)的認證而開發(fā)的。2.RADIUS服務器

RADIUS（RemoteAuthenticationDialInUserService，遠程用戶撥號認證服務）服務器提供了三種基本的功能：認證（Authentication）、授權（Authorization）和審計（Accounting），即提供了3A功能。其中審計也稱為“記賬”或“計費”。在如圖4-13所示的網(wǎng)絡中，RADIUS服務器對RADIUS客戶端（圖4-13中直接標為“客戶端”）進行用戶驗證、資源訪問授權、記賬等操作。圖4-13RADIUS系統(tǒng)的組成安裝RADIUS服務器

在一臺運行WindowsServer2003操作系統(tǒng)的計算機上通過安裝“Internet驗證服務”組件，將其配置為一臺RADIUD服務器。如果這臺計算機是一臺WindowsServer2003的獨立服務器（未升級成為域控制器，也未加入域），則可以利用SAM來管理用戶賬戶信息；如果是一臺WindowsServer2003域控制器，則利用活動目錄數(shù)據(jù)庫來管理用戶賬戶信息。具體安裝過程見教材。創(chuàng)建RADIUS客戶端

本節(jié)要創(chuàng)建的RADIUS客戶端，是指類似于圖4-12中的交換機設備，在實際應用中也可以是VPN服務器、無線AP等，而不是用戶