思考题
(1)设计KERBEROS是为了解决什么问题?
假设在一个开放的分布式环境中,工作站的用户希望访问分布在网络各处的服务器的服务。我们希望服务器能够将访问权限限制在授权用户范围内,并且能够认证服务请求。
(2)在网络或互联网上,与用户认证有关的三个威胁是什么?
威胁一:一个用户可能进入一个特定的工作站,并冒充使用那个工作站的其他用户
威胁二:一个用户可能改变一个工作站的网络地址,使得从此工作站发出的请求好像是从被伪装的工作站发出的
威胁三:一个用户可能窃听信息交换,并使用重放攻击来获取连接服务器,或者是破坏正常操作。
(3)列出在分布式环境下进行安全用户认证的三种方式。
方式一:依靠每个用户工作站来确认用户或用户组,并依靠每个服务器通过给予每个用户身份的方法来强制实施安全方案
方式二:要求服务器对用户系统进行认证,在用户身份方面信任用户系统
方式三:需要用户对每个调用的服务证明自己的身份,也需要服务器向用户证明他们的身份
(4)对Kerberos提出的四点要求是什么?
安全,可靠,透明,可伸缩
(5)一个提供全套kerberos服务的环境由那些实体组成?
一台Kerberos服务器,若干客户端和若干应用服务器
(6)在kerberos环境下,域指什么?
一个提供全套服务的Kerberos 环境,包括一台Kerberos 服务器、若干台客户端和若干应用服务器的这种环境被称为Kerberos域。
(7)kerberos版本4和版本5的主要区别由那些?
版本4和版本5的主要区别
| 比较 | V4 | V5 |
| 加密系统依赖性 | 使用DES。DES的输出限制和DES强度。 | 密文被标记上加密类型标识,可使用任何类型的加密技术。加密密钥被标记上类型和长度,允许在不同算法中使用相同的密钥,允许在一个给定的算法中具有不同的规定 |
| 互联网协议依赖性 | 只支持IP地址 | 网络地址被标记上类型和长度,支持任何类型的网络地址 |
| 消息字节排序 | 消息的发送者采用自己选择的字节排序,并对消息标注,表明最低地址中的最低有效字节或最低地址中的最高有效字节 | 所有消息的结构都使用抽象语法表示法(ASN.1)和基本编码规则(BER),提供了清晰的字节排序 |
| 票据有效期 | 有效期值由一个8比特的值编码,并以5分钟为一个基本单位,最长有效期为2^8*5=1280分钟,不满足所有情况 | 票据有明确的开始时间和结束时间,支持任意有效期 |
| 认证转发 | 不允许将发放给一个客户端的证书转发个其它主机,并由其它客户端使用 | 允许认证转发。可以使得一个客户端访问一台服务器,并让那个服务器以客户端的名义访问另一台服务器。例如,一个客户端访问一个打印服务器,然后打印服务器使用客户端的名义访问服务器中改客户端的文件 |
| 域间认证 | N个域中的互操作需要N^2阶的Kerberos-Kerberos关系 | 较少 |
V4的几个不足:
双重加密: AS向客户端返回票据授予票据,TGS返回服务授予票据,均双重加密,一次是被目标服务器的秘密密钥加密,另一次是被客户端所知道的秘密密钥加密(不必要的浪费)
PCBC加密: 使用非标准的DES加密模式(传播密码分组链接,propagating cipher block chaining),易受包含交换密码块的攻击。V5使用CBC,可确保完整性。
会话密钥: 同一个票据可能被重用来获得一个特定服务器上的服务,其中的会话密钥可能存在攻击者重放先前与客户端或服务器的会议的风险。V5中可使用子密钥来实现当次连接会话。
口令攻击: 由AS发给客户端的消息包括基于客户端口令的密钥加密过的内容,被攻击者截获后,有可能被解密。
(8)X.509标准的目的是什么?
X.509定义了一个使用X.500目录向其用户提供认证服务的框架,是一个重要的标准,因为、X.509中定义的证书结构和认证协议在很大环境下都会使用。最初发布于1988年。X.509基于公钥加密体制和数字签名的使用。
(9)什么叫证书链?
在多个CA认证中心之间需要相互认证各自的用户时,由各个CA认证中心相互认证的证书,形成一个证书链,通信双方通过这个证书链取得相互信任。
(10)怎样撤销X.509证书?
每一个存放在目录中的证书撤销列表都由证书发放者签名,并且包括:发放者的名称,列表创建日期,下一个CRL计划发放日期和每一个被撤销证书的入口。当用户从消息中得到证书时,必须要确定证书是否被撤销。用户可以在每次收到证书时检查目录。为了避免由目录搜索带来的延迟,用户可以维护一个记录证书和被撤销证书列表的本地缓存。
(11)什么是公钥证书?
公钥证书由公钥加上所有者的用户ID以及可信的第三方签名的整个数据块组成。
(12)公钥加密如何用来分发密钥?
第一步、准备消息。
第二步、利用一次性传统会话密钥,使用传统加密方法加密消息。
第三步、利用对方的公钥,使用公钥加密的方法加密会话密钥。
第四步、把加密的会话密钥附在消息上,并且把他发送给对方。
推荐阅读
1.现代密码学加密基元
加密基元就是一些基础的密码学算法,通过它们才能够构建更多的密码学算法、协议、应用程序。
说明:
散列函数(散列(hash)、指纹、消息摘要、摘要算法、杂凑函数):把任意长度的输入消息数据转化成固定长度的输出数据的一种密码算法。
消息验证代码:验证数据完整性,即数据没有被篡改。
数字签名:RSA私钥加密,公钥解密,结合散列函数。验证消息真实性。
伪随机函数(PRF):生成任意数量的伪随机数据。
RSA:可以同时用于密钥交换和身份验证(数字签名)。
DHE_RSA:DHE 算法:密钥协商,RSA 算法:身份验证(数字签名)。
ECDHE_RSA: ECDHE 算法:密钥协商,RSA 算法:身份验证(数字签名)。
ECDHE_ECDSA :ECDHE 算法:密钥协商,ECDSA 算法:身份验证(数字签名)。
密钥管理
密钥管理模式:
无中心模式;
有中心模式;
作者:独木舟的木
链接:https://www.jianshu.com/p/46a911bd49a7
来源:简书
著作权归作者所有。商业转载请联系作者获得授权,非商业转载请注明出处。
2.身份认证技术
身份认证技术是在计算机网络中确认操作者身份的过程而产生的有效解决方法。 计算机网络世界中一切信息包括用户的身份信息都是用一组特定的数据来表示的,计算机只能识别用户的数字身份,所有对用户的授权也是针对用户数字身份的授权。 如何保证以数字身份进行操作的操作者就是这个数字身份合法拥有者,也就是说保证操作者的物理身份与数字身份相对应,身份认证技术就是为了解决这个问题,作为防护网络资产的第一道关口,身份认证有着举足轻重的作用。
认证方法
在真实世界,对用户的身份认证基本方法可以分为这三种:
(1)基于信息秘密的身份认证
根据你所知道的信息来证明你的身份(what you know ,你知道什么 ) ;
(2)基于信任物体的身份认证
根据你所拥有的东西来证明你的身份(what you have ,你有什么 ) ;
(3)基于生物特征的身份认证
直接根据独一无二的身体特征来证明你的身份(who you are ,你是谁 ) ,比如指纹、面貌等。
在网络世界中手段与真实世界中一致,为了达到更高的身份认证安全性,某些场景会将上面3种挑选2中混合使用,即所谓的双因素认证。
以下罗列几种常见的认证形式:
静态密码
用户的密码是由用户自己设定的。在网络登录时输入正确的密码,计算机就认为操作者就是合法用户。实际上,由于许多用户为了防止忘记密码,经常采用诸如生日、电话号码等容易被猜测的字符串作为密码,或者把密码抄在纸上放在一个自认为安全的地方,这样很容易造成密码泄漏。如果密码是静态的数据,在验证过程中 需要在计算机内存中和传输过程可能会被木马程序或网络中截获。因此,静态密码机制无论是使用还是部署都非常简单,但从安全性上讲,用户名/密码方式一种是不安全的身份认证方式。 它利用what you know方法。
目前智能手机的功能越来越强大,里面包含了很多私人信息,我们在使用手机时,为了保护信息安全,通常会为手机设置密码,由于密码是存储在手机内部,我们称之为本地密码认证。与之相对的是远程密码认证,例如我们在登录电子邮箱时,电子邮箱的密码是存储在邮箱服务器中,我们在本地输入的密码需要发送给远端的邮箱服务器,只有和服务器中的密码一致,我们才被允许登录电子邮箱。为了防止攻击者采用离线字典攻击的方式破解密码,我们通常都会设置在登录尝试失败达到一定次数后锁定账号,在一段时间内阻止攻击者继续尝试登录。
智能卡
(IC卡)
一种内置集成电路的芯片,芯片中存有与用户身份相关的数据, 智能卡由专门的厂商通过专门的设备生产,是不可复制的硬件。智能卡由合法用户随身携带,登录时必须将智能卡插入专用的读卡器读取其中的信息,以验证用户的身份。
智能卡认证是通过智能卡硬件不可复制来保证用户身份不会被仿冒。然而由于每次从智能卡中读取的数据是静态的,通过内存扫描或网络监听等技术还是很容易截取到用户的身份验证信息,因此还是存在安全隐患。它利用what you have方法。
智能卡自身就是功能齐备的计算机,它有自己的内存和微处理器,该微处理器具备读取和写入能力,允许对智能卡上的数据进行访问和更改。智能卡被包含在一个信用卡大小或者更小的物体里(比如手机中的SIM就是一种智能卡)。智能卡技术能够提供安全的验证机制来保护持卡人的信息,并且智能卡的复制很难。从安全的角度来看,智能卡提供了在卡片里存储身份认证信息的能力,该信息能够被智能卡读卡器所读取。智能卡读卡器能够连到PC上来验证VPN连接或验证访问另一个网络系统的用户。
短信密码
短信密码以手机短信形式请求包含6位随机数的动态密码
,身份认证系统以短信形式发送随机的6位密码到客户的手机上。客户在登录或者交易认证时候输入此动态密码,从而确保系统身份认证的安全性。它利用what you have方法。
具有以下优点:
(1)安全性
由于手机与客户绑定比较紧密,短信密码生成与使用场景是物理隔绝的,因此密码在通路上被截取几率降至最低。
(2)普及性
只要会接收短信即可使用,大大降低短信密码技术的使用门槛,学习成本几乎为0,所以在市场接受度上面不会存在阻力。
(3)易收费
由于移动互联网用户天然养成了付费的习惯,这和PC时代互联网截然不同的理念,而且收费通道非常的发达,如果是网银、第三方支付、电子商务可将短信密码作为一项增值业务,每月通过SP收费不会有阻力,因此也可增加收益。
(4)易维护
由于短信网关技术非常成熟,大大降低短信密码系统上马的复杂度和风险,短信密码业务后期客服成本低,稳定的系统在提升安全同时也营造良好的口碑效应,这也是目前银行也大量采纳这项技术很重要的原因。
动态口令
目前最为安全的身份认证方式,也利用what you have方法,也是一种动态密码。
动态口令牌是客户手持用来生成动态密码的终端,主流的是基于时间同步方式的,每60秒变换一次动态口令,口令一次有效,它产生6位动态数字进行一次一密的方式认证。
但是由于基于时间同步方式的动态口令牌存在60秒的时间窗口,导致该密码在这60秒内存在风险,现在已有基于事件同步的,双向认证的动态口令牌。基于事件同步的动态口令,是以用户动作触发的同步原则,真正做到了一次一密,并且由于是双向认证,即:服务器验证客户端,并且客户端也需要验证服务器,从而达到了彻底杜绝木马网站的目的。
由于它使用起来非常便捷,85%以上的世界500强企业运用它保护登录安全,广泛应用在VPN、网上银行、电子政务、电子商务等领域。
USB KEY
基于USB Key的身份认证方式是近几年发展起来的一种方便、
安全的身份认证技术。它采用软硬件相结合、一次一密的强双因子认证模式,很好地解决了安全性与易用性之间的矛盾。USB Key是一种USB接口的硬件设备,它内置单片机或智能卡芯片,可以存储用户的密钥或数字证书,利用USBKey内置的密码算法实现对用户身份的认证。基于USB Key身份认证系统主要有两种应用模式:一是基于冲击/响应的认证模式,二是基于PKI体系的认证模式,目前运用在电子政务、网上银行。
OCL
OCL不但可以提供身份认证,同时还可以提供交易认证功能,可以最大程度的保证网络交易的安全。它是智能卡数据安全技术和U盘相结合的产物,为数据安全解决方案提供了一个强有力的平台,为客户提供了坚实的身份识别和密码管理的方案,为如网上银行, 期货,电子商务和金融传输提供了坚实的身份识别和真实交易数据的保证。
数字签名
数字签名又称电子加密,可以区分真实数据与伪造、被篡改过的数据。这对于网络数据传输,特别是电子商务是极其重要的,一般要采用一种称为摘要的技术,摘要技术主要是采用 HASH 函数( HASH( 哈希 ) 函数提供了这样一种计算过程:输入一个长度不固定的字符串,返回一串定长度的字符串,又称 HASH 值 ) 将一段长的报文通过函数变换,转换为一段定长的报文,即摘要。身份识别是指用户向系统出示自己身份证明的过程,主要使用约定口令、智能卡和用户指纹、视网膜和声音等生理特征。数字证明机制提供利用公开密钥进行验证的方法。
生物识别
运用who you are方法, 通过可测量的身体或行为等生物特征进行身份认证的一种技术。生物特征是指唯一的可以测量或可自动识别和验证的生理特征或行为方式。使用传感器或者扫描仪来读取生物的特征信息,将读取的信息和用户在数据库中的特征信息比对,如果一致则通过认证。
生物特征分为身体特征和行为特征两类。身体特征包括:声纹(d-ear)、指纹、掌型、视网膜、虹膜、人体气味、脸型、手的血管和DNA等;行为特征包括:签名、语音、行走步态等。目前部分学者将视网膜识别、虹膜识别和指纹识别等归为高级生物识别技术;将掌型识别、脸型识别、语音识别和签名识别等归为次级生物识别技术;将血管纹理识别、人体气味识别、 DNA识别等归为“深奥的”生物识别技术。
目前我们接触最多的是指纹识别技术,应用的领域有门禁系统、微型支付等。我们日常使用的部分手机和笔记本电脑已具有指纹识别功能,在使用这些设备前,无需输入密码,只要将手指在扫描器上轻轻一按就能进入设备的操作界面,非常方便,而且别人很难复制。
生物特征识别的安全隐患在于一旦生物特征信息在数据库存储或网络传输中被盗取,攻击者就可以执行某种身份欺骗攻击,并且攻击对象会涉及到所有使用生物特征信息的设备。
身份认证
网络安全准入设备制造商,联合国内专业网络安全准入实验室,推出安全身份认证准入控制系统。
双因素身份认证
所谓双因素就是将两种认证方法结合起来,进一步加强认证的安全性,目前使用最为广泛的双因素有:
动态口令牌+ 静态密码
USB KEY + 静态密码
二层静态密码 等等。
iKEY双因素动态密码身份认证系统(以下简称iKEY认证系统)是由上海众人网络安全技术有限公司(以下简称“众人科技”) 自主研发,基于时间同步技术的双因素认证系统,是一种安全便捷、稳定可靠的身份认证系统。其强大的用户认证机制替代了传统的基本口令安全机制,从而帮助消除因口令欺诈而导致的损失,防止恶意入侵者或员工对资源的破坏,解决了因口令泄密导致的所有入侵问题。 iKEY认证服务器是iKEY认证系统的核心部分,其与业务系统通过局域网相连接。该iKEY认证服务器控制着所有上网用户对特定网络的访问,提供严格的身份认证,上网用户根据业务系统的授权来访问系统资源。 iKEY认证服务软件具有自身数据安全保护功能,所有用户数据经加密后存储在数据库中,其中iKEY认证服务器与管理工作站的数据传输以加密传输的方式进行。
门禁应用
身份认证技术是门禁系统发展的基础,密码键盘和磁卡门禁与锁具钥匙相比有了质的飞跃,但是密码易被破译和磁卡存储空间小、易磨损和复制等,由此使得密码键盘和磁卡门禁的安全性和可靠性受到了限制。后来,出现了接触式卡,尽管其比密码和磁卡有了很大(存储和处理能力)进步,但因其自身不可克服的缺点(磨损寿命较短、使用不便),也终成为其应用发展的障碍。同时,非接触式射频卡具有无机械磨损、寿命长、安全性高、使用简单、很难被复制等优点,因此成为业界备受关注的新军。从识别技术看,RFID技术的运用是非接触式卡的潮流,更快的响应速度和更高的频率是未来的发展趋势。
上世纪80~90年代,计算机和光学扫描技术的飞速发展,使得指纹提取成为现实。图像设备的引入和处理算法又为指纹识别应用提供了条件,促进了生物识别门禁系统的发展和应用。研究表明,指纹、掌纹、面部、视网膜、静脉、虹膜、骨骼等都具有个体的唯一性和稳定性特点,且这些特点一般终身不会变化,因此可用这些特征作为判别人员身份的依据。从而产生了基于这些特点的生物识别技术。由于人体的生物特征具有可靠、唯一、终身不变、不会遗失和不可复制性的特点,所以,基于生物识别的门禁系统从识别的方式来讲安全性和可靠性最高。目前,国内外研究和开发的门禁系统主要是非接触感应式和基于生物识别技术的门禁系统。生物识别技术门禁中尤以指纹识别用最广泛。
https://baike.baidu.com/item/%E8%BA%AB%E4%BB%BD%E8%AE%A4%E8%AF%81%E6%8A%80%E6%9C%AF/1897549?fr=aladdin
