用户身份验证

第6章用户身份验证 学习目标 1 理解为何身份验证是网络安全的一个关键因素2 描述用户 客户端和会话身份验证3 了解口令安全系统存在的潜在缺陷4 理解口令安全工具的使用 6 1常规身份验证过程 身份验证就是辨别用户身份并根据他们的身份为其提供网络服务的行动 大多数类型的身份验证需要用户向身份验证防火墙或服务器提供下列信息中的一项 1 一段信息 如口令 2 物理上拥有某物的证据 例如智能卡 一种内嵌了用来存储用户数据的微芯片的塑料卡 3 身体特征部分信息 如指纹 语音识别或视网膜扫描 在网络计算领域中 身份验证主要采用下列三种特定形式中的一种 按最低到最高安全级别的序列列出 1 基本身份验证 服务器维护一个包含用户名和口令的本地文件 并根据它来匹配由客户端提供的用户 口令对 这是最常见的身份验证方式 它的缺点是口令会经常被忘记 盗窃或意外的暴露 2 质询 响应身份验证 身份验证计算机或防火墙产生一个随机的代码和数字 即质询 并将它发送给希望接受身份验证的用户 用户加入他获他的秘密PIN或口令后再提交该代码或数字 3 集中式身份验证服务 一台集中服务器负责处理三个相互独立的基本身份验证过程 身份验证 授权和审核 这些类型的的身份验证中的每一种都要求用户在某个时刻输入口令 因此他们也可以称为单因子身份验证 用户仅需知道一项内容 口令 来启动身份验证过程 像智能卡那样的物理对象或者其他类型的物理令牌则提供了更为严格的双因子身份验证方式 在这种情况下 用户不仅需要拥有某种东西 令牌 而且要知道某些东西 PIN或口令 才可获得访问权限 使用生理特征如视网膜扫描 指纹等 作为身份验证手段主要应用于大型的保密企业中 如银行机构和信用卡中心 6 2防火墙实现身份验证过程的方式 大多数系统配备有身份验证方案 WEB服务器可以被设置为对需要访问某些受保护内容的客户端进行身份验证 同样 防火墙也能够进行用户身份验证 事实上 很多企业也是依靠防火墙来提供比一般的系统更安全的身份验证 身份验证是防火墙的一项重要功能 当调用防火墙的规则 将它应用到特定的个人或用户组时 就需要启用身份验证 防火墙可识别具有特定IP地址的用户 在用户经过授权后 该IP地址然后就可以在内部网络主机上用来发送和接收信息 防火墙执行身份验证的确切步骤可能会相互不同 但通常的过程是一样的 1 客户端请求访问一种资源2 防火墙解释请求 并提示用户输入用户名和口令3 用户提交信息给防火墙 4 用户通过身份验证5 根据防火墙的规则集检查请求6 如果请求与一条存在的规则相匹配 那么允许用户的访问7 用户访问请求的资源 6 3防火墙身份验证的类型 6 3 1用户身份验证用户身份验证是最简单的身份验证类型 程序在接收到请求时 会提示用户输入用户名和口令 用户提交这些信息后 该软件就根据其数据库中的用户名和口令来检查该信息 如果匹配 那么就允许用户通过身份验证 6 3 2客户端身份验证客户端身份验证与用户身份验证相似 但附加了使用权限的限制 用户身份验证通过向防火墙提供一对包含在数据库中的用户和口令对来获得通过 然后防火墙就允许用户对所请求的资源访问一段时间 3个小时 或者是一定的次数 3次 在配置客户端身份验证的过程中 需要创建两种类型的身份验证中的任何一种 1 标准的登录系统 该系统中 客户端通过身份验证后 被允许访问用户需要的任何资源 或是执行任何需要的功能 例如传输文件或查看Web页 2 特殊的登录系统 在系统中 用户每次想访问受保护网络上的服务器或服务时 客户端都需要身份验证 6 3 3会话身份验证无论什么时候客户端需要连接到一个网络资源并建立会话 交换信息的一段时间 时 会话身份验证都需要进行身份验证 会话身份验证可用于任何服务 需要被身份验证的客户端包含一个软件代理来提供身份验证信息 当请求建立连接时 服务器或防火墙会检测该代理 如果必要 防火墙截获连接请求 并与该代理联系 该代理执行身份验证 而防火墙则允许对请求资源的连接 身份验证模式 6 4集中式身份验证 集中式身份验证服务器为用户维护身份验证信息 而不管用户处于哪个位置 通过什么方式连接到网络 在集中式身份验证服务器设置中 服务器有时也称为访问控制服务器 它缓解了为网络上每台服务器提供一个独立的用户名和口令数据库的需要 从而使得用户改变口令数据库的需要 从而使得用户改变口令或添加新用户时无需单独地更新服务器 集中式身份验证的过程 局域网上的客户端请求访问位于应用服务器上的程序时 它首先必须使用身份验证服务器进行身份验证 这基于两个层次的信任关系 客户端信任身份验证服务器保存了正确的身份验证信息 应用服务器信任身份验证服务器能够正确地辨别和验证客户端 6 4 1Kerberos身份验证Kerberos由麻省理工大学Athena项目组开发 他被用来通过标准的客户端和服务器提供身份验证和加密 代之以服务器必须信任非信任网络客户端的是 客户端和服务器均将它们的信任信息存放在Kerberos服务器中 Kerberos提供了一种在Windows2000和XP系统中内部使用的有效的网络身份验证系统 它同时能够向下兼容Microsoft的NRLM协议 该协议用于NT4 0和更早的版本 尽管Kerberos在内部网上非常有用 但却不推荐使用它对外部用户进行身份验证 因为它使用明文口令 远程用户应该使用加密传输或者一次性口令 Kerberos系统中授予客户端对请求服务的访问权限非常的复杂 其步骤如下 1 客户端请求访问一个文件或其他服务2 客户端被提示输入用户名和口令3 客户端提交用户名和口令 该请求发送到作为Kerberos系统一部分的身份验证服务器 AS AS根据客户端的口令以及与其请求服务相关的随机数字来创建一个称为会话密钥的加密编码 会话密钥用作TGT 4 AS颁发授予TGT5 客户端将TGT提交给TGS服务器 TGS也是Kerberos系统的一部分 并可能是与AS相同的服务器 也可能不是 6 TGS颁发会话票证 并将其转发给拥有被请求文件或服务的服务器 7 客户端获得访问权限 使用Kerberos票证系统的一个巨大优势是口令并不存放在系统上 因而不会被黑客劫取 6 4 2TACACS 终端访问控制器访问控制系统通常称为 tac plus 是由Cisco系统开发的身份验证协议组中最新 功能最强大的一个版本 这些协议与Cisco的AAA服务相配套 组成了拨号环境中的核心部分 身份验证 授权 审核 TACACS 及其前身协议都是为了对拨号用户提供身份验证 并主要用于基于UNIX的系统中 它使用了MD5算法加密数据 它提供集中式身份验证服务 因此网络访问服务器就不必处理拨号用户的身份验证了 6 4 3远程身份验证拨号用户服务 RADIUS RADIUS是为必好用户提供身份验证的另一种通用协议 RADIUS仍是在网络上传输未加密的身份验证数据包 这就意味着其非常容易受到包嗅探器的攻击 TACACS 与RADIUS的特性比较 6 5口令安全问题 许多身份验证系统都部分或者完全地依赖口令 身份验证最简单的形式是输入用户名和可重复使用的口令 该方式仅对控制向外对互联网的访问是安全的 因为口令的猜测和窃听仅能发生在入站的访问企图中 6 5 1可能被破解的口令1 找到一种无需口令的身份验证方式2 发现系统保存的口令3 猜测口令以明文传输或存储的口令易于破解 因为它们是可读的 若系统交换已散列化的口令 则黑客就可以复制并重用口令 而不必实际知道解密后的口令 这也会使系统容易受攻击 6 5 2用户使用口令的误区口令有很多内在的易于受攻击的特性 1 口令经常很容易被猜出2 口令经常被记录在记事贴或纸条中3 口令可以通过 社会工程 欺骗用户给出口令 6 6口令安全工具 6 6 1一次性口令软件与口令和口令易于破解相关的许多问题都可以通过一次性口令得到缓解 有两种类型的一次性口令 1 质询 响应口令 身份验证计算机或防火墙产生一个随机数字 质询 并将它发送给输入保密PIN或口令的用户 响应 如果该代码以PIN和口令与存放在身份验证服务器上的信息相匹配 那么用户即可获得访问权限 2 口令列表口令 输入一个种子短语 口令系统产生一列可以使用的口令列表 从列表中选择一个口令 并将它和种子一起发送来获得访问权限 6 6 2屏蔽口令系统Linux把口令以加密形式存放在 etc passwd文件中 口令使用单向散列函数进行加密 屏蔽口令系统是Linux操作系统的保证口令存放安全性的一种特性 它将口令存放在另一个限制性访问的文件中 6 7其他身份验证系统6 7 1单口令系统简单身份验证系统要求用户输入一个口令来进行身份验证 1 操作系统口令2 内部防火墙口令6 7 2一次性口令系统 1 单密钥 S Key S Key一次性口令系统使用多字口令而不是单字口令 开始时 用户制定一个单字的口令和一个用来表示加密口令次数的数字N 口令然后就通过一个散列函数处理N次 并将生成的口令存放在服务器上 用户试图登录时 服务器提示它们输入口令 服务器然后就将口令处理N 1次 产生的结果与存放的口令相比较 若两者相同 则用户就获得访问权限 S Key的好处是 它从不将原始的口令存放在服务器上 因此原始口令就不会被黑客所劫取或窃听 2 SeculIDSeculID是由RSA公司开发的身份验证系统 具有双因子身份验证特性 即它需要用户提交两项内容来通过验证 1 一个物理对象 这里指以卡或fob