第3章(身份认证)课件.ppt

《网络安全技术》第2版 引例： 用户身份认证是对计算机系统中的用户进行验证的过程，身份认证往往是许多应用系统中安全保护的第一道防线. -On the Internet, nobody knows you’re a dog. -Rearly?Do you know boss’password? 《网络安全技术》第2版 3.1 口令机制 《网络安全技术》第2版 3.1 口令机制 3.1.1什么是口令机制 口令机制是一种最常用、最简单的身份认证方法，一般由用户账号和口令（有的也称为密码）联合组成， 《网络安全技术》第2版 3.1 口令机制 3.1.2什么是弱口令 对口令的攻击主要包括以下几种： 1．字典攻击 主要攻击者将有可能作为密码的放入字典中，例如，一般用户最喜欢的使用的数字、有意义的单词等，然后使用字典中的单词来尝试用户的密码。 口令字典中用户喜欢的使用的数字 《网络安全技术》第2版 口令字典中字母组合 《网络安全技术》第2版 3.1 口令机制 3.1.2什么是弱口令 2．穷举攻击 也称蛮力攻击，这是一种广义的字典攻击，它使用字符串的全集作为字典，通过穷举的方式来尝试用户可能使用的密码。因此，如果用户的密码很短，就很容易被穷举出来。 《网络安全技术》第2版 3.1 口令机制 3.1.2什么是弱口令 3．网络数据流窃听 攻击者通过窃听网络数据，获取用户帐号和口令，如采用Sniffer软件的嗅探功能截获明文传送的用户帐号和口令。 Sniffer捕获数据包得到的口令 《网络安全技术》第2版 3.1 口令机制 3.1.3 改进方案 1．选择安全口令 为了增加破译密码的强度，更有效地保护自己的密码，在使用密码时应该使注意以下几点： （1）要随机选择密码数字，切不可使用便于有规律的便于记忆的数字、单词等，这些密码用字典攻击是十分容易的。 （2）在选择密码时，最好能同时使用字母（包括字母的大小写）、数字、特殊符号。如A9d31，使用这样的密码是相对比较安全的。 （3）在计算机允许的情况下，使用密码位数要尽可能长，至少要多于6位。 （4）应该定期更换密码，很多人长时间地使用一个密码，这是很不好的习惯。对于一般计算机用户来说，至少每隔三个月更换一次密码。 (5) 将使用的密码记录在其他比较安全的地方，但不要放在计算机中。这样便于忘记密码后重新找回密码。 ? 《网络安全技术》第2版 3.1 口令机制 3.1.3 改进方案 2．动态口令 固定密码有监听的可能和破译的可能，并且用户记忆密码的也是一个不小的负担，动态口令（有的也叫一次性口令）的方法是每次登录使用不同的口令，每个口令只能使用一次。 《网络安全技术》第2版 3.1 口令机制 3.1.3 改进方案 2．动态口令 《网络安全技术》第2版 3.1 口令机制 3.1.4 采用LC5测试口令强度 LOphtCrack(简称LC5)是一款网络管理员常用的工具，可以用来检测Windows或UNIX系统用户是否使用了不安全的密码，同样也是一款WinNT/2000/XP/UNIX 管理员帐号密码破解工具。 《网络安全技术》第2版 3.1 口令机制 3.1.4 采用LC5测试口令强度 LC5向导界面 《网络安全技术》第2版 《网络安全技术》第2版 3.1 口令机制 3.1.4 采用LC5测试口令强度 由上述测试的结果可知，系统口令的复杂程度越高，则安全强度越高，非法用户破解口令所需要的时间就越长，系统也就越安全。 《网络安全技术》第2版 SAM文件 Win2000中对用户账户的安全管理使用了安全账号管理器SAM(security account manager)的机制, 　 安全账号管理器的具体表现就是%SystemRoot%\system32\config\sam这个文件。sam文件是windows 2000的用户账户数据库,所有用户的登录名及口令等相关信息都会保存在这个文件中。SAM文件可以认为类似于unix系统中的passwd文件, 《网络安全技术》第2版 《网络安全技术》第2版 3.2采用数字证书进行身份认证 3.2.1什么是数字证书 数字证书类似于现实生活中的身份证，以银行业务为例，目前很多的业务都可以通过“网上银行”完成，在网上银行操作时，验证用户的身份就是采用的数字证书， 工商银行的网上银行登录界面 《网络安全技术》第2版 数字身份证的形式 一个标准的X.509数字证书包含以下一些内容，如图3-11所示。 1）证书的版本信息。 2）证书的序列号，每个用户都有一个惟一的证书序列号。 3）证书所使用的数字签名算法。 4）证书的发行机构名称。 5）证书的有