身份鉴别——实现访问控制的先决条件

所面临威胁的防护

威胁

防护

图例

密码暴力破解

暴力破解防护

  • 使用安全的密码(自己容易记,别人不好猜)
  • 系统、应用安全策略(帐号锁定策略)
  • 随机验证码
    • 变形
    • 干扰
    • 滑块
    • 图像识别
    • 。。。

木马窃取密码

木马窃取密码防护

  • 使用密码输入控件

    • 安全的输入框,避免从输入框中还原密码
    • 软键盘,对抗击键记录
    • 随机排列字符,对抗屏幕截图重现

密码嗅探

密码嗅探防护

  • 加密:单向函数

  • 一次性口令:每次鉴别中所使用的密码不同有效应对密码嗅探及重放攻击
  • 实现机制:
    • 两端共同拥有一串随机口令,在该串的某一位置保持同步
    • 两端共同使用一个随机序列生成器,在该序列生成器的初态保持同步
    • 使用时间戳两端维持同步的时钟

单向函数:

  • 攻击者很容易构造一张q与p对应的表,表中的p尽可能包含所期望的值
  • 解决办法:在口令中使用随机数

密码嗅探及重放

密码嗅探及重放攻击防护

  • 挑战机制

    • 客户端:请求登录
    • 服务器:给出随机数作为挑战请求
    • 将登录信息(用户名、密码)与随机数合并,使用单向函数(如MD5)生产字符串,作为应答返回服务器
    • 服务认证后返还结果

身份鉴别:

Kerberos协议

  • 什么是Kerberos协议

    • 1985年由美国麻省理工学院开发,用于通信实体间的身份认证,1994年V5版本作为Internet标准草案公布
    • 基于对称密码算法为用户提供安全的单点登录服务
    • 包含可信第三方认证服务
  • Kerberos协议的优点
    • 避免本地保存密码及会话中传输密码
    • 客户端和服务器可实现互认

kerberos体系构成

  • 运行环境构成

    • 密钥分发中心(KDC)

      • 系统核心,负责维护所有用户的账户信息
      • ASTGS两个部分构成
        • 认证服务器(AS:AuthenticationServer)
        • 票据授权服务器(TGS:TicketGrantingServer)
    • 应用服务器
    • 客户端
  • 其他概念
    • 票据许可票据(TGT)
    • 服务许可票据(9GT)

Kerberos认证过程——三次通信

认证过程由三个阶段组成,例如需要访问OA

第一次:获得票据许可票据(TGT)

第二次:获得服务许可票据(SGT)

第三次:获得服务

具体工作过程

第一次:获得票据许可票据(TGT)

客户机向AS发送访问TGS请求(明文)

请求信息:用户名、IP地址、时间戳、随机数等

AS验证用户(只验证是否存在,不验证真假)

AS给予应答

TGT(包含TGS会话密钥),使用KDC密码加密

其他信息(包含TGS会话密钥),使用用户密码加密

第二次:获得服务许可票据(SGT)

客户机向TGS发送访问应用服务请求

请求信息使用TGS会话密钥加密(包含认证信息)

包含访问应用服务名称(http)

TGS验证认证信息(包含用户名等)后,给予应答

SGT

客户机与应用服务器之间的会话密钢

第三次:获得服务

客户机向应用服务器请求服务

SGT(使用http服务器密码加密)

认证信息

应用服务器(验证认证信息)

提供服务器验证信息(如果需要验证服务器)

AAA协议

  • 什么是AAA协议

    • 认证、授权和计费(Authentication、Authorization、Accounting,AAA)
  • 常见AAA协议
    • RADIUS协议——广泛使用
    • TACACS+协议
    • Diameter协议

CISP——身份鉴别相关推荐

  1. 基于用户击键特征的身份鉴别系统

    简单来说,我们要做的就是一种通过用户敲击键盘的习惯进行身份鉴别的系统.国内外之前有一些相关研究,但是通常是数千条数据训练,而且不能随意改变敲击的字符串,或者是有的要求采用带有压力传感器的键盘,难以实用 ...

  2. oracle中prad函数_等保测评2.0:Oracle身份鉴别

    一.说明 本篇文章主要说一说oracle数据库中身份鉴别控制点中测评项a的相关内容和理解. 二.测评项a a)应对登录的用户进行身份标识和鉴别,身份标识具有唯一性,身份鉴别信息具有复杂度要求并定期更换 ...

  3. 等保安全计算环境之Windows(身份鉴别+访问控制)(二级)

    提示:你来了?来了就往下看呗. 文章目录 前言 一.安全计算环境之Windows操作系统(身份鉴别+访问控制)(二级) 1.桌面版: 2.服务器版: 二.现场核查内容 1.身份鉴别 2.访问控制 3. ...

  4. ICCV 2021 口罩人物身份鉴别全球挑战赛冠军方案分享

    作者丨阿里云多媒体 AI 团队 编辑丨极市平台 导读 今年阿里云多媒体 AI 团队参加了 MFR 口罩人物身份鉴别全球挑战赛,并在总共5个赛道中,一举拿下1个冠军.1个亚军和2个季军.本文为该团队的冠 ...

  5. 【NISP一级】2.2 身份鉴别与访问控制

    [NISP一级]2.2 身份鉴别与访问控制 笔记(主栏) 1. 身份鉴别基础 1.1 标识 1.1.1基本概念 实体身份的一种计算机表达 每个实体与计算机内部的一个身份表达绑定 信息系统在执行操作时, ...

  6. 等保测评2.0:MySQL身份鉴别(上)

    一. 说明 本篇文章主要说一下MySQL数据中身份鉴别控制点中a测评项的相关知识点和理解. 二. MySQL用户 2.1. 用户身份标识 MySQL数据库对于用户的标识和其它数据库有些不一样,不仅仅是 ...

  7. 关于等保2.0要求配置的身份鉴别(口令长度、复杂度、有效期)(口令登录失败、锁定多长时间)

    关于等保2.0要求配置的身份鉴别(口令长度.复杂度.有效期)(口令登录失败.锁定多长时间) 1.针对全部的登陆用户做限制,需要在全局配置密码策略: [H3C]password-control enab ...

  8. 加强身份鉴别,宁盾双因素认证提升步长制药远程办公账号安全

    客户介绍 步长制药成立于2001年,2016年上市,是一家以专利中成药为核心,致力于中药现代化的中药专利处方药龙头企业,中国制药企业十佳品牌.经过多年发展,步长制药在心脑血管.妇科用药.糖尿病及肿瘤领 ...

  9. 身份鉴别产品实现过程及原理

    身份鉴别产品架构: 1,登录凭据 2,客户端界面 3,设备监控 4,策略通讯(网络版) 模块简介: 登录凭据模块:微软提供的一套公开的登录凭据接口,分为三大类,凭据过滤类,登录凭据类,登录验证类,登录 ...

最新文章

  1. 鸟哥Linux私房菜_基础篇(第二版)_第七章学习笔记
  2. 【组合数学】排列组合 ( 排列组合示例 )
  3. javascript自定义事件原理
  4. VTK:网格之MatrixMathFilter
  5. sql增删改查_Sirvia 一套web端增删改查系统
  6. 【python 3】 面向对象
  7. 【北航】Bella 姐姐发辣条(贪心)
  8. Redis-数据结构02-简单动态字符串(sds)
  9. NJUPT_CTF easychallenge 解题脚本
  10. React 一些相关的技巧
  11. c#中抽象类和接口异同
  12. SQL 如何将视图转换成表
  13. 社区保密计算机使用制度,社区保密工作制度
  14. android访问服务器405,android
  15. android q mix3,小米MIX3成首款适配Android Q的5G手机
  16. 苹果闪存性能测试软件,IphoneXS64GB VS 256GB 性能测试?,苹果不想让你知道的事!...
  17. 显卡天梯图vs专业计算卡丽台T4,v100vs混合精度训练
  18. 女生学大数据好还是计算机好?都适合女生吗?就业前景好吗?
  19. 智慧执行 大数据的重塑之功
  20. 宏文件下载_用一个宏文件,就一个轻松把SolidWorks的英文特征翻译成中文

热门文章

  1. Linux的wait函数
  2. 缓存更新的Design Pattern -- 缓存专题(2)
  3. oracle select @@identity,SQL区别@@IDENTITY,SCOPE_IDENTITY和IDENT_CURRENT
  4. 海伯利安系列解答之 - POH混合共识机制
  5. 2020年高教社杯全国大学生数学建模竞赛C题 第三问详细解答+代码
  6. SUBTOTAL 函数的用法及应用实例
  7. Qualcomm平台AEE运行机制的深入剖析
  8. Wifi共享精灵互传版使用参考
  9. transforms.Resize 和 transforms.CenterCrop的组合
  10. 自定义支持 float 的 range 函数