网络安全导论 实验 第7章 身份认证 实验汇报

第七章身份认证THEPROFESSIONALPOWERPOINTTEMPLATE目录CONTENTS密码强度与验证码Part01挑战应答在认证协议中的应用Part02身份证校验机制Part035G-AKA认证机制Part03密码强度与验证码01密码强度与验证码由表中的规则可以看出对于密码强度的评判主要从长度、存在性、多样性等维度进行分析评价。最后我们对上述的5大标准算出的得分进行综合算出最终的得分。评价标准测试结果您的标题验证码实现验证码存在于我们生活的各种细节当中，当今验证码主要有：短信验证，图片验证，点触式验证等。我们用JAVA实现一个简单的图片验证码的实现过程。首先搭建起一个简单的界面，有文本框，按钮，鼠标点击事件等。然后建立随机数，从验证码的字母来源中随机生成4位验证码并添加随即线等最终生成一张图片。然后在文本框输入的数字和这个生成的4位验证码进行匹配。如果匹配成功则验证成功，如果失败则验证不成功。挑战应答在认证协议中的使用02Digest认证过程①浏览器发送http报文请求一个受保护的资源。②服务端的web容器将http响应报文的响应码设为401，响应头部比Basic模式复杂，WWW-Authenticate:Digestrealm=”myTomcat”,qop="auth",nonce="xxxxxxxxxxx",opaque="xxxxxxxx"。其中qop的auth表示鉴别方式；nonce是随机字符串；opaque服务端指定的值，客户端需要原值返回。③浏览器弹出对话框让用户输入用户名和密码，浏览器对用户名、密码、nonce值、HTTP请求方法、被请求资源URI等组合后进行MD5运算，把计算得到的摘要信息发送给服务端。请求头部类似如下，Authorization:Digestusername="xxxxx",realm="myTomcat",qop="auth",nonce="xxxxx",uri="xxxx",cnonce="xxxxxx",nc=00000001,response="xxxxxxxxx",opaque="xxxxxxxxx"

。其中username是用户名；cnonce是客户端生成的随机字符串；nc是运行认证的次数；response就是最终计算得到的摘要。④服务端web容器获取HTTP报文头部相关认证信息，从中获取到username，根据username获取对应的密码，同样对用户名、密码、nonce值、HTTP请求方法、被请求资源URI等组合进行MD5运算，计算结果和response进行比较，如果匹配则认证成功并返回相关资源，否则再执行②，重新进行认证。⑤以后每次访问都要带上认证头部。其实通过哈希算法对通信双方身份的认证十分常见，它的好处就是不必把具备密码的信息对外传输，只需将这些密码信息加入一个对方给定的随机值计算哈希值，最后将哈希值传给对方，对方就可以认证你的身份。Digest思想同样采如此，用了一种nonce随机数字符串，双方约好对哪些信息进行哈希运算即可完成双方身份的验证。Digest模式避免了密码在网络上明文传输，提高了安全性，但它仍然存在缺点，例如认证报文被攻击者拦截到攻击者可以获取到资源。身份证认证机制03过程测试结果将前面的身份证号码17位数分别乘以不同的系数，然后将结果相加。从第一位到第十七位的系数分别为：7910584216379105842。加出来和除以11，余数只可能有012345678910这11个数字。其分别对应的最后一位身份证的号码为10X98765432。5G-AKA认证04过程1.终端侧发送自己的ID呼叫连接，拜访网络把id传给归属网络。2.归属网络使用K和RAND计算一个预期应答XRES*=KDF(K,RAND)，并用XRES*和RAND计算HXRES*=SHA256(XRES*,RAND)，归属网络将RAND和HXRES*分享给拜访网络。3.终端用K和RAND计算出RES*，并发送给拜访网络，正常情况下，这个参数与XRES*是相同的。4.拜访网络用RES*和RAND，计算出HRES*，这个参数和归属网络下发的HXRES*比对，就可以知道，用户终端是不是拥有K，从而完成对终端的认证。5.拜访网络把终端发过来的RES*进一步发送给归属网络，归属网络比对RES*和XRES*，从而知道拜访网络确认通过认证从终端处获得了RES*，因为从归属网络发送给拜访网络的HXRES*是推导不出XRES*的，拜访网络必须从终端处获得才行，也就是必须完成一次认证才行，从而无法欺骗归属网络。

由上述过程可以看出，5G-AKA认证机制，其实和挑战应答认证协议具有异曲同工之妙，只不过在当中增加了一个拜访网络，拜访网络需要