第三章 身份认证技术

《第三章 身份认证技术》由会员分享，可在线阅读，更多相关《第三章 身份认证技术（26页珍藏版）》请在装配图网上搜索。

1、第三章 身份认证机制学习目标 （方正大标宋简体四号）通过学习，要求了解在网络安全 中的用户身份认证机制的几种常见形式：口令机制、数字证书的身份认证以及基 于 IC 卡和生物特征的身份认证的原理和应用。引例 （方正大标宋简体四号）用户身份认证是对计算机系统中的用户进行验证的过程，让验证者相信正在 与之通信的另一方就是他所声称的那个实体。用户必须提供他能够进入系统的证 明。身份认证往往是许多应用系统中安全保护的第一道防线，它的失败可能导致 整个系统的崩溃，因此，身份认证是建立网络信任体系的基础。3.1 口令机制（方正大标宋简体四号）3.1.1 什么是口令机制（黑体五号）网络营销在计算机系统中口令机

2、制是一种最常用、最简单的身份认证方法 一般由用户账号和口令（有的也称为密码）联合组成，如图3-1 所示，口令用来 验证对应用户账号的某人身份是否真的是计算机系统所允许的合法用户。图3-1 QQ登陆时采用的口令认证机制例如，当系统要求输入用户账号和密码时，用户就可以根据要求在适当的 位置进行输入，输入完毕确认后，系统就会将用户输入的账号名和密码与系统的 口令文件里的用户名和口令进行比较，如果相符，就通过了认证。否则拒绝登录 或再次提供机会让用户进行认证。基于口令的认证方式是最常用和最简单的一种技术，它的安全性仅依赖于 口令，口令一旦泄露，用户就有可能被冒充，计算机系统的安全性也将不复存在。在选用

3、密码时，很多人习惯将特殊的日期、时间、或数字作为密码使用。 例如将节假日、自己或家人的出生日期、家庭电话或手机号码身份证等数字作为 密码，认为选择这些数字便于记忆。但是这些密码的安全性其实是很差的。为什么这些口令不安全呢，我们还是先看看目前有哪些口令攻击的形式。 3.1.2什么是弱口令（黑体五号）网络营销目前绝大多数计算机资源还是通过固定口令的方式来保护。而这 种以固定口令为基础的认证方式存在很多问题，变得越来越脆弱。现在对口令的 攻击主要包括以下几种：1. 字典攻击 主要攻击者将有可能作为密码的放入字典中，例如，一般用 户最喜欢的使用的数字、有意义的单词等，然后使用字典中的单词来尝试用户的

4、密码。图3-2是口令字典的截图，它们只是口令字典中的很少一部分。文件世蕭辑也)格式(Q)查看 帮助54321S04869021092072111111121212123123123456131313654321666666696969S8S8531234563675309123456321122112图3-2 口令字典中用户喜欢的使用的数字叵区文件电编辑 格式(Q)查看 帮助凹abcl23 ABC123 abed abcd!234 abede讣注打Abedefg abedefg aibd i cate abdomen aibdom i na aibduct Abe abed Abe I Abe

5、 l l an图3-2 口令字典中用户喜欢的使用的字母组合2. 穷举攻击也称蛮力攻击，这是一种广义的字典攻击，它使用字符串的 全集作为字典，通过穷举的方式来尝试用户可能使用的密码。因此，如果用户的 密码很短，就很容易被穷举出来。3. 网络数据流窃听 攻击者通过窃听网络数据，获取用户帐号和口令，如 采用Sniffer软件的嗅探功能截获明文传送的用户帐号和口令。3.1.3改进方案(黑体五号)1. 选择安全口令为了增加破译密码的强度，更有效地保护自己的密码，在 使用密码时应该使注意以下几点：(1) 要随机选择密码数字，切不可使用便于有规律的便于记忆的数字、单词 等，这些密码用字典攻击是十分容易的。(

6、2) 在选择密码时，最好能同时使用字母(包括字母的大小写)、数字、特 殊符号。如A9d&31，使用这样的密码是相对比较安全的。(3) 在计算机允许的情况下，使用密码位数要尽可能长，至少要多于6位。(4) 应该定期更换密码，很多人长时间地使用一个密码，这是很不好的习惯。 对于一般计算机用户来说，至少每隔三个月更换一次密码。(5) 将使用的密码记录在其他比较安全的地方，但不要放在计算机中。这样 便于忘记密码后重新找回密码。2. 动态口令固定密码有监听的可能和破译的可能，并且用户记忆密码的也是一个不小 的负担，动态口令（有的也叫一次性口令）的方法是每次登录使用不同的口令, 每个口令只能使用一次。动态

7、口令认证技术比前面的静态口令相对要安全一些。动态口令有很多方法可以得到，这里我们介绍的是很多银行目前使用的动 态口令卡，口令卡大小类似于银行卡，背面以矩阵形式应有80数字串，需要使 用的时候，网上银行系统会随机地给出一组口令卡坐标，客户从卡片上找到坐标 对应的密码组合并输入网上银行系统，只有当密码输入正确时，才能完成相关交 易，这种密码组合的动态变化，每次交易密码仅使用一次，能有效地避免交易密 码被窃取。图3-3为动态口令卡的反面图样：睁的勒 10 OOttOO 1U6 90CDKNOSUVX4191217444803B7 as歸51694S521 232 847GT2BZ9887-S5350

8、17C4 07Z 077147250B0I663086133950A72 224 011M6S6345-5 4294063681葩勺甜自対41045402?S14能1922TJ3M2 671 477366235405 709123792444141蜩612 200785跆詔t硼百忖佔4曲14图3-3动态口令卡的反面如系统提示输入口令坐标S5N1,则用户应该在图3-4界面中输入的动态口 令为 027468。注册客户支付选择支付卡号z卡有效期1007 CMMYY；动态口令卡坐栋：J2；C1动态密码确眾讨款清際渕料图3-4用户根据动态口令卡输入动态密码3.1.3采用LC5测试口令强度(该部分由王峰补

9、充)简要介绍什么是LC5，有什么功能，给出几个个安全级别不同的口令，测试 其安全强度，从而提高读者设置安全口令的意识。首先简要的介绍一下，什么是LC5?LC5是一款网络管理员的必备的工具。可以用来检测Windows或UNIX系统用 户是否使用了不安全的密码，同样也是最好、最快的Win NT/2000/XP/UNIX管 理员帐号密码破解工具。在Windows操作系统当中，用户帐户的安全管理使用了安全帐号管理器(Security Account Manager,SAM)的机制，用户和口令经过Hash变换后以Hash列表形式 存放在SystemRootsystem32下的SAM文件中。LC5主要是通

10、过破解SAM文件 来获取系统的帐户名和密码。LC5可以从本地系统、其他文件系统、系统备份中 获取SAM文件，从而破解出用户口令。下面，列出了 Windows XP系统下的几个安全级别不同的口令及测试的过程：测 试用户名为test)1.空密码接下来，对列出的口令一一运用LC5 口令强度检测工具测试口令的安全强度。 测试步骤：(1)建立测试账户。在测试主机上建立用户名“est”的账户，方法是依次打开 “控制面板” 管理工具”T“计算机管理”。在“本地用户和组”下面右击 “用户”，选择“新用户”，如下图所示，输入用户名为“test”，密码为空。(2)在LC5主界面的主菜单中，单击“文件”“LC5向导

11、” 如图所示：LC5 奪驼滾紀慝W061 lrttp-fJV7EZ29 dltx ain(3)这时出现LC5向导界面。(4)单击“下一步”，出现取得加密口令界面。0127E1BA8D4SC30EE1；Passwords从下列备项中选择一亍导入加密口令的方法瓠述臓器聯”进”贸萄S宙嘯亘匸;彳旦需要管理员权限.从远程电脑导入迅)在您电脑域的远程电胞导入加密文件，需要菅 理员梗p筑Art 4.0紧急倏复盘导人电)从Windows NT 4. OkA上操作系统的紧負修复盘 中导入文件叫朋或叫沏加密口令从本地电胞嗅探导入腔嗅探加寒的口娶需要管理员的权限才能执行nLC5程序能嗅探到以丈网设备上使用的两络登

12、 陆、文件或打F卩共享等口警上一步I下一步职消(5) 这时有4个选项，选择“从本地机器导入”再单击“下一步”，出现 如下图所示的界面。(6) 这个界面有4个选项，由于设置的密码比较简单，所以选择“快速口令破 解”，单击“下一步”，出现如图所示的界面。V当破解时显亲口苓正工 I if在大部分时间里您想要知道碾解到的口令是 卄么 但是在特蛍的惜呪下I您不愿显示破解 站口警 是否显不可由你渔疋：J连释报倚凤裕Pick R即ortine Style27E16A8D48C30EE1；9审朋显示加密口令散列”迅选中此项I捋显示操作丟统的加密口令I这些 值可能对一些用尸的苴它口令有关.&显示完成破解毎平口令

13、的剩余时间(!) 选中此项，将中显示框中増加一个项目，显示 芫成破解每?口令的乘！1余时间-*显示破解方法屮当破解完成时显示信息住)职消(7) 这个界面是让用户选择报告的风格的，直接单击“下一步”出现如下 图所示的界面。单击“完成”，系统就开始破解了。(8)系统会很快出现密码为空的破解成功界面。 LC5 裔凳滾业矗 Qq：4DJhttp-fJV/EZ29 d Ztxam = iSfSJSllB X接下来，把系统的口令分别改为al23,123456，重复上述步骤。分别得出如下图 所示的实验结果。(I LC5 齋誥滾細魏httpJV/E229 /I Zt.cam = iSfSSll-rl ： C.

14、L =.：训丄二 和：*H冏旣自浮鈕尉八2闌厂=T 抿吿X.11.-J : I-令嶼;天）r+77L-：.怡r特um r2-01 童UM!虐-cmC _f； 姜userZ朗i usei2-H41 fuserZ-al _=K：HS *L95址WEI2CC：kmt卞无K *盃0Xaji啊._细201lyflHjJiv201JQLDebjmr，无”zni5LFPCftT_3COW5tfO* 丟 riiZD1RluserZ HlIbrf:Pl侣1 w机卫DJusErZ-alVUGR.JJ3V2C0Ui.L LJ-J 1. 7.： J.- liiil 曲 _. = -：.：進匚丸订.J -. i I i

15、o -.：.-.: Tjirir.r：:.050/20091 ig丰地 电瞄导n i | Uz.-.LLJ.J 10.9S.19 破解开始.D5j7OiG!O0 1D 56 34 Ciatksd 6rst haKof LM password fcr UEDr2-C41Ual wlh Brule Fen匚si crack.05/ZICXfi 10-96:311 Cracked NTLMpasswrd for u5?r2-0d1MA5t with Bnjtp Fores crsck.由上述测试的结果可知，系统口令的复杂程度越高，则安全强度越高，非法用户 破解口令所需要的时间就越长，系统也就越安全。

16、因此，这里通过实验结果要特 别提醒用户注意的的是，用户在设置口令时，应该尽量选择英文大小写字母，特 殊符号，数字等相混合的方式，这样不仅可以提高口令的复杂程度，而且可以增 强系统的安全性，从而使用户在使用系统时更加安全。3.2任务二采用数字证书进行身份认证（方正大标宋简体四号）3.2.1网络什么是数字证书在现实生活中，还有一种可以证明身份的东西，那就是身份证。身份证是很 重要的证件，在很多场合需要出示身份的时候都必不可少。那么网络中是否有这 样的类似身份证的东西呢？ 有的，就是数字证书。数字证书类似于现实生活中的身份证。那么这个数字 身份证是什么形式的呢？ 数字证书有多种格式，但一般比较常用的

17、是采用X.509国际标准，一个标准的X.509数字证书包含以下一些内容，如图3-5所示。1）证书的版本信息。2）证书的序列号，每个用户都有一个惟一的证书序列号。3）证书所使用的数字签名算法。4）证书的发行机构名称。5）证书的有效期。6）证书所有人的名称。7）证书所有人的公开密钥。8）证书发行者即CA机构对证书的数字签名（CA机构的数字签名使得第三 者不能伪造和篡改证书）。图3-5 X.509证书的结构具体方法：点击“开始”-“运行”-启动MMC控制台。选择“文件”菜单- “添加/删除管理单元”-在“添加/删除管理单元”对话框中选择“添加”，在可 用的独立管理单元中选择“证书”后，选择添加。将证

18、书管理单元选择为“我的 帐户”，点击“确定”。可以看到管理台根结点中已有的数字证书，图3-6叵高控制台L -控tl台棍节点I证书-当审用户1中蠻证书筑住机构I证书& rfj（X）按汴 查吾 收浪共 n（vi辎旳_ g |n 4色匝苗电汽劑隔裁_|揑制台根*点蘇爲蘇吾|倾目期|预期目的J If%Jx -U |-*1 j fc目证W - 前月U+ _|八九+ _|査岸任的根蛙耳迥議机琲+ _|笛业悟比-_| 口迈辽主颁丈机杓_|证书壬祐列扳 q证书固GlMalSigri Root CA 国GTE CyberTru5t RootMicrusoft YiiMowWicr:-gofi Window” R

19、oot SGC kut. Root SGC Xut. flicrosoft Io. H i orc- s :t Ao.2014l202036-2-232LO2-1Z-312002-12-311. 3.6. 1.4.1 J F 1 4 代玛签名,蛙訂比 l；G_ AuthorityRoot SGC kut.2010-1-1fHoot AgcacyRflot Ageacy2040-1-1有SecueN-. Ch SG：.Rd mt SGC kut.2LO9-1LI-161.3.6.1.4.卜 _ Active liirectory 用尸刃弊 + _|臺岸枉的世匸咅Ihavle PrerTii oj

20、ii 3.Root SGC kut.2CO4-7-1T1. 3.6.1.4.十_|六注任的迁书LThavte Server CA.Root SGC kut. ”?nu-7-r1 J F 1 4+ _|笋三方抿注4询扫H构旨 IJTH - LliUiiJJ.i.rp 5XKut SX kut.2O19-6-Z41. 3.5. 1.4.+ _|寰皆任人fe Ver l S i giL C1.G.SZ 1 .C1ES 1 Pull.2OLI3-5-13稠有VeriSign Clase 2口注吕 Ptl11.2034-1-ff蚂httiy” veri 3ign. com.Class 3 Pulil.2

21、LO42. L6.S40. 1J图3-6 Windows中的数字证书双击一份数字证书，可以看到证书中说明的一些信息，图3-7是一份数字证 书的形式。图3-7是该证书的一些常规信息，这是一份自颁发的根证书。图3-7 一份数字证书点击【详细信息】选项，可以看到如下的信息，该证书的公钥为2048bit。 该证书的签名算法使用的是MD5和RSA。域值三序列号01 00 00 00mdSFiSA.日颅境者匚ertLpijjts Clazze A. Fer.日有效起始日期0肥年6月烈日16:00:00三有效终止曰期20186 月烈日 16:00:00三主题Certlp 0s t e Clas se A.

22、Per.匕公胡RSA 04S Bits)显示：只有版本1域*? X常规详细信息证书路径只有版本1域V3040e3634L9CB6a 6 6 O 3 o b 12 1 e9f胡ITblc345bb392c3bcEf84b33e6506c1 ege珀eS0 cB94b8ccdbTTlTed21el02daEl7 c5a252378E2130047145cOe65OL5S56952bcb91d295Tc9a92if珀9341lb旳ad.wT56d.7B673383ce135d326acbaB17ec9e93196c0637A2aitbd詛Sc2L2 c382c29e317b24fe8521074S2

23、1 a3cSdldlBB8201090282010028cT62cb6fSc42509f5e46dO6136eO2d469b8Z褊辑届性I I复制到文件C), . I确定3.2.2数字证书的颁发机构-CA现实生活中身份证是有公安机关的专门机构来颁发，那网络中的身份证是由 谁颁发呢？这样的机构叫证书授权中心(Certificate Authority),也叫CA机 构，CA认证中心就是一个可信任的、负责发布和管理数字证书的权威机构。它 负责产生、分配并管理所有参与网上信息交换各方所需的数字证书，因此CA的 重要性是不言而喻的。CA中心为每个使用公开密钥的用户发放一个数字证书， CA机构的数字签名

24、使得攻击者不能伪造和篡改证书。对于一个大型的应用环境，认证中心往往采用一种多层次的分组结构，各级 的认证中心类似于各级行政机关，上级认证中心负责签发和管理下级认证中心的 证书，最下一级的认证中心直接面向最终用户。处在最高层的是根CA(Root CA)， 它是公认的权威，如金融系统中的人民银行总行的CA。目前每个省也都有各自 的CA,图3-8是山东省CA的主页。地址sdca cen cnf公司产品解决方乘児音作奋设兀首B匡I山东省数字证书认iiE管理有限会可 ShAhBongi Crtifrcatiorl Authority Co.Ltd图3-8山东省CA的主页CA的功能具体如下：（1）证书的颁

25、发：CA接收、验证用户（包括下级认证中心和最终用户）的数 字证书的申请，将申请的内容进行备案，并根据申请的内容确定是否受理该数字 证书申请。如果中心接受该数字证书申请，则进一步确定给用户颁发何种类型的 证书。新证书用认证中心的私钥签名以后，发送到目录服务器供用户下载和查询。 为了保证消息的完整性，返回给用户的所有应答信息都要使用认证中心的签名。（2）证书的更新：认证中心可以定期更新所有用户的证书，或者根据用户 的请求来更新用户的证书。（3）证书的查询：证书的查询可以分为两类，其一是证书申请的查询，认 证中心根据用户的查询请求返回当前用户证书申请的处理过程;其二是用户证书 的查询，这类查询由目录

26、服务器来完成，目录服务器根据用户的请求返回适当的 证书。（4）证书的作废：当用户的私钥由于泄密等原因造成用户证书需要申请作 废时，用户需要向认证中心提出证书作废请求，认证中心根据用户的请求确定是 否将该证书作废。另外一种证书作废的情况是证书已经过了有效期，认证中心自 动将该证书作废。认证中心通过维护证书作废列表来完成上述功能。图3-9证书作废列表（5）证书的归档：证书具有一定的有效期，证书过了有效期之后就将被作 废，但是我们不能将作废的证书简单地丢弃，因为有时我们可能需要验证以前的 某个交易过程中产生的数字签名，这时我们就需要查询作废的证书。基于此类考 虑，认证中心还应当具备管理作废证书和作废

27、私钥的功能。3.2.3网上银行中的数字证书3.3任务二 米其他身份认证技术（方正大标宋简体四号）3.3.1采用IC卡进行身份认证（该部分由韩涛补充）智能卡也叫 smart card,是 IC 卡（Integrated Circuitcad）的一种，可提 供存储、计算和安全性，智能卡提供了一个防损害、可靠的存储账号、口令、私 钥和其他一些个人信息的场所，因此被用于身份认证。这里存储意味着可存取数据，有只读的（ROM，ERROM）,可读可写（EEPROM）, 可存取PIN，密钥等；计算：自带CPU，可编程；安全：可确保智能卡上数据的 安全3.3.2采用指纹识别身份生物特征识别技术(Biometri

28、cs)是根据人体本身所固有的生理特征、行为 特征的唯一性，利用图像处理技术和模式识别等方法来达到身份鉴别或验证目的 的一门科学。人体的生理特征包括面像、指纹、掌纹、视网膜、虹膜和基因等。 人体的行为特征包括签名、语音和走路姿态等。目前的生物特征识别主要有面像 识别、指纹识别、掌纹识别、虹膜识别、视网膜、话音识别、签名识别等。由于 人体特征具有人体所固有的不可复制性的唯一性，因此，将人体生物特征作为生 物密钥具有无法复制，不会失窃、不会遗忘的特点。1. 什么是指纹识别指纹是指人的手指末端正面皮肤上凸凹不平产生的纹 线。每个人的指纹都与众不同，是独一无二的。指纹识别技术通过分析指纹的全 局特征和局

29、部特征从指纹中收取特征值，并以此来确定一个人的身份。指纹的全局特征是用人眼直接就可以观察到的特征，如指纹的纹型就是常见 的全局特征之一，如图3-10所示。环型弓型螺旋型图3-10指纹的基本纹型仔细观察你会发现指纹纹路并不是连续或平滑笔直的，而是经常出现中断、 分叉、打折。这些断点、分叉点、和转折点就称为“节点”如图3-11所示。指 纹的局部特征是指指纹上节点的特征点。两个指纹经常会具有相同的全局特征, 但他们的局部特征不可能完全相同。图3-11节点的分类2. 指纹传感器指纹传感器是实现指纹自动采集的关键器件，目前常用的指纹传感器有：光学式传感器、电容/电感式传感器、超声波扫描、射频RF传感器

30、等。其中，光学指纹采集器主要是利用光的折摄和反射原理，光从底部射向三棱 镜，并经棱镜射出，射出的光线在手指表面指纹凹凸不平的线纹上折射的角度及 反射回去的光线明暗就会不一样。光电耦合器件CCD（Charge-Coupled Device） 的光学器件就会收集到不同明暗程度的图片信息，就完成指纹的采集。光学指纹 采集器是最早的指纹采集器，是使用最为普遍的，由于指纹采集原理的限制，光 学指纹采集器很难对干的手指采集到清晰的指纹图像，造成了这种产品对干手指 识别率低（拒真率高）的问题。手指越干，这个问题越突出。在冬天寒冷的气候 条件下，手指发干会导致很多人的手指无法被识别。这个问题在北方地区尤其突

31、出。因为成本优势，基于光学原理的的指纹门禁考勤机在国内相当流行（门禁和 考勤的差别只在管理软件上），甚至可以说占了大部分市场分额。但是，由于存 在人造指纹问题，它在金融系统，尤其是金库门这种场所的使用是不安全的。生物射频指纹识别技术，射频传感器技术是通过传感器本身发射出微量射频 信号，穿透手指的表皮层去控测里层的纹路，来获得最佳的指纹图像。因此对干 手指，汗手指，干手指等困难手指识别能力相对要强。图3-12指纹传感器3. 指纹识别应用实例下面介绍一个高校网络指纹考勤系统，使大家对指纹 识别的具体应用有一个了解。目前，市面上指纹考勤系统常见的有两种。一种是联机型产品，其工作时 须有电脑支持，多个

32、系统共享指纹识别设备，需要建立大型的数据库存储指纹信 息，且指纹的比对需要由后台计算机支持，后台PC负担被大大加重。无论考勤 机、传路、计算机出现任何故障，都会导致整个考勤系统的瘫痪。另一种是脱机 型产品，单机就可完成考勤全部过程，使用方便，得以广泛应用。该系统采用脱机型指纹考勤机，以遵循TCP/IP协议的以太网为传输媒介， 包括上层管理系统和指纹考勤终端。每个设备终端存有原始指纹图像，单机就可 完成指纹采集，区分判定，存储上传记录，报警显示等功能。在下课后，教师可 将结果通过校园网络上传到上位机，管理人员可对考勤记录进行统计处理。相比 要将指纹图像上传到服务器进行比对的联机型产品来说，这种结

33、构可以将服务器 负担分散，使即使在考勤需求集中的即将上课和考试的时段也能顺利进行。该考勤系统由上层管理系统和指纹考勤终端组成。考勤终端采用考勤机成 品，本案例中可存储3000枚指纹，具有指纹录入、比对、查询、记录、显示和 报警功能，并可采用串口 485、TCP/IP和USB三种通信方式，可直接同电脑相 连，也可连人局域网中。上位机的考勤信息管理软件主要是安装在管理PC机上 的管理系统，它负责完成对接收到的考勤数据进行处理，存储并对考勤数据进行 分类管理，并可实现对考勤记录的查询、统计、报表生成、打印等功能，同时它 也是一个综合的信息管理系统，对人员管理、特殊情况管理等情况进行处理。考 勤信息的获取通过接入局域网的考勤终端网络传输获得，系统总体结构如图 3-13所示。国】网毎藩勤系统总牡框图图3-13指纹考勤系统的总体结构（用VOSIO重绘）【项目小结】（宋体五号）【关键概念】1. （宋体五号）2.3.【课堂讨论】1. 你是如何设置口令的，选用口令应该注意什么？2. 平时生活和学习中遇到的身份认证机制，比较不同身份认证机制的特点。复习思考题（宋体四号居中）1. （宋体五号）2.2. 到http中国生物识别门户网:/ 术的最新动态。实践与训练（宋体四号居中）1. 使用 LC5，2.查看操作系统的数字证书案例分析（宋体四号居中）今麦郎。（宋体五号）