CISP——身份鉴别
身份鉴别——实现访问控制的先决条件
所面临威胁的防护
威胁 |
防护 |
图例 |
密码暴力破解 |
暴力破解防护
|
|
木马窃取密码 |
木马窃取密码防护
|
|
密码嗅探 |
密码嗅探防护
|
单向函数:
|
密码嗅探及重放 |
密码嗅探及重放攻击防护
|
身份鉴别:
Kerberos协议
- 什么是Kerberos协议
- 1985年由美国麻省理工学院开发,用于通信实体间的身份认证,1994年V5版本作为Internet标准草案公布
- 基于对称密码算法为用户提供安全的单点登录服务
- 包含可信第三方认证服务
- Kerberos协议的优点
- 避免本地保存密码及会话中传输密码
- 客户端和服务器可实现互认
kerberos体系构成
- 运行环境构成
- 密钥分发中心(KDC)
- 系统核心,负责维护所有用户的账户信息
- 由AS和TGS两个部分构成
- 认证服务器(AS:AuthenticationServer)
- 票据授权服务器(TGS:TicketGrantingServer)
- 应用服务器
- 客户端
- 密钥分发中心(KDC)
- 其他概念
- 票据许可票据(TGT)
- 服务许可票据(9GT)
Kerberos认证过程——三次通信
认证过程由三个阶段组成,例如需要访问OA 第一次:获得票据许可票据(TGT) 第二次:获得服务许可票据(SGT) 第三次:获得服务 |
具体工作过程
第一次:获得票据许可票据(TGT) 客户机向AS发送访问TGS请求(明文) 请求信息:用户名、IP地址、时间戳、随机数等 AS验证用户(只验证是否存在,不验证真假) AS给予应答 TGT(包含TGS会话密钥),使用KDC密码加密 其他信息(包含TGS会话密钥),使用用户密码加密 |
|
第二次:获得服务许可票据(SGT) 客户机向TGS发送访问应用服务请求 请求信息使用TGS会话密钥加密(包含认证信息) 包含访问应用服务名称(http) TGS验证认证信息(包含用户名等)后,给予应答 SGT 客户机与应用服务器之间的会话密钢 |
|
第三次:获得服务 客户机向应用服务器请求服务 SGT(使用http服务器密码加密) 认证信息 应用服务器(验证认证信息) 提供服务器验证信息(如果需要验证服务器) |
AAA协议
- 什么是AAA协议
- 认证、授权和计费(Authentication、Authorization、Accounting,AAA)
- 常见AAA协议
- RADIUS协议——广泛使用
- TACACS+协议
- Diameter协议
CISP——身份鉴别相关推荐
- 基于用户击键特征的身份鉴别系统
简单来说,我们要做的就是一种通过用户敲击键盘的习惯进行身份鉴别的系统.国内外之前有一些相关研究,但是通常是数千条数据训练,而且不能随意改变敲击的字符串,或者是有的要求采用带有压力传感器的键盘,难以实用 ...
- oracle中prad函数_等保测评2.0:Oracle身份鉴别
一.说明 本篇文章主要说一说oracle数据库中身份鉴别控制点中测评项a的相关内容和理解. 二.测评项a a)应对登录的用户进行身份标识和鉴别,身份标识具有唯一性,身份鉴别信息具有复杂度要求并定期更换 ...
- 等保安全计算环境之Windows(身份鉴别+访问控制)(二级)
提示:你来了?来了就往下看呗. 文章目录 前言 一.安全计算环境之Windows操作系统(身份鉴别+访问控制)(二级) 1.桌面版: 2.服务器版: 二.现场核查内容 1.身份鉴别 2.访问控制 3. ...
- ICCV 2021 口罩人物身份鉴别全球挑战赛冠军方案分享
作者丨阿里云多媒体 AI 团队 编辑丨极市平台 导读 今年阿里云多媒体 AI 团队参加了 MFR 口罩人物身份鉴别全球挑战赛,并在总共5个赛道中,一举拿下1个冠军.1个亚军和2个季军.本文为该团队的冠 ...
- 【NISP一级】2.2 身份鉴别与访问控制
[NISP一级]2.2 身份鉴别与访问控制 笔记(主栏) 1. 身份鉴别基础 1.1 标识 1.1.1基本概念 实体身份的一种计算机表达 每个实体与计算机内部的一个身份表达绑定 信息系统在执行操作时, ...
- 等保测评2.0:MySQL身份鉴别(上)
一. 说明 本篇文章主要说一下MySQL数据中身份鉴别控制点中a测评项的相关知识点和理解. 二. MySQL用户 2.1. 用户身份标识 MySQL数据库对于用户的标识和其它数据库有些不一样,不仅仅是 ...
- 关于等保2.0要求配置的身份鉴别(口令长度、复杂度、有效期)(口令登录失败、锁定多长时间)
关于等保2.0要求配置的身份鉴别(口令长度.复杂度.有效期)(口令登录失败.锁定多长时间) 1.针对全部的登陆用户做限制,需要在全局配置密码策略: [H3C]password-control enab ...
- 加强身份鉴别,宁盾双因素认证提升步长制药远程办公账号安全
客户介绍 步长制药成立于2001年,2016年上市,是一家以专利中成药为核心,致力于中药现代化的中药专利处方药龙头企业,中国制药企业十佳品牌.经过多年发展,步长制药在心脑血管.妇科用药.糖尿病及肿瘤领 ...
- 身份鉴别产品实现过程及原理
身份鉴别产品架构: 1,登录凭据 2,客户端界面 3,设备监控 4,策略通讯(网络版) 模块简介: 登录凭据模块:微软提供的一套公开的登录凭据接口,分为三大类,凭据过滤类,登录凭据类,登录验证类,登录 ...
最新文章
- 鸟哥Linux私房菜_基础篇(第二版)_第七章学习笔记
- 【组合数学】排列组合 ( 排列组合示例 )
- javascript自定义事件原理
- VTK:网格之MatrixMathFilter
- sql增删改查_Sirvia 一套web端增删改查系统
- 【python 3】 面向对象
- 【北航】Bella 姐姐发辣条(贪心)
- Redis-数据结构02-简单动态字符串(sds)
- NJUPT_CTF easychallenge 解题脚本
- React 一些相关的技巧
- c#中抽象类和接口异同
- SQL 如何将视图转换成表
- 社区保密计算机使用制度,社区保密工作制度
- android访问服务器405,android
- android q mix3,小米MIX3成首款适配Android Q的5G手机
- 苹果闪存性能测试软件,IphoneXS64GB VS 256GB 性能测试?,苹果不想让你知道的事!...
- 显卡天梯图vs专业计算卡丽台T4,v100vs混合精度训练
- 女生学大数据好还是计算机好?都适合女生吗?就业前景好吗?
- 智慧执行 大数据的重塑之功
- 宏文件下载_用一个宏文件,就一个轻松把SolidWorks的英文特征翻译成中文
热门文章
- Linux的wait函数
- 缓存更新的Design Pattern -- 缓存专题(2)
- oracle select @@identity,SQL区别@@IDENTITY,SCOPE_IDENTITY和IDENT_CURRENT
- 海伯利安系列解答之 - POH混合共识机制
- 2020年高教社杯全国大学生数学建模竞赛C题 第三问详细解答+代码
- SUBTOTAL 函数的用法及应用实例
- Qualcomm平台AEE运行机制的深入剖析
- Wifi共享精灵互传版使用参考
- transforms.Resize 和 transforms.CenterCrop的组合
- 自定义支持 float 的 range 函数