網路認證技術是網路安全技術的重要組成部分之一。認證指的是證實被認證物件是否屬實和是否有效的乙個過程。其基本思想是通過驗證被認證物件的屬性來達到確認被認證物件是否真實有效的目的。被認證物件的屬性可以是口令、數字簽名或者象指紋、聲音、視網膜這樣的生理特徵。認證常常被用於通訊雙方相互確認身份,以保證通訊的安全。認證可採用各種方法進行。
基於口令的認證方法
傳統的認證技術主要採用基於口令的認證方法。當被認證物件要求訪問提供服務的系統時,提供服務的認證方要求被認證物件提交該物件的口令,認證方收到口令後,將其與系統中儲存的使用者口令進行比較,以確認被認證物件是否為合法訪問者。
這種認證方法的優點在於:一般的系統(如unix,windows nt,netware等)都提供了對口令認證的支援,對於封閉的小型系統來說不失為一種簡單可行的方法。
然而,基於口令的認證方法存在下面幾點不足:
①使用者每次訪問系統時都要以明文方式輸入口令,這時很容易洩密
②口令在傳輸過程中可能被截獲。
③系統中所有使用者的口令以檔案形式儲存在認證方,攻擊者可以利用系統中存在的漏洞獲取系統的口令檔案。
④使用者在訪問多個不同安全級別的系統時,都要求使用者提供口令,使用者為了記憶的方便,往往採用相同的口令。而低安全級別系統的口令更容易被攻擊者獲得,從而用來對高安全級別系統進行攻擊。
⑤只能進行單向認證,即系統可以認證使用者,而使用者無法對系統進行認證。攻擊者可能偽裝成系統騙取使用者的口令。
對於第②點,系統可以對口令進行加密傳輸。對於第③點,系統可以對口令檔案進行不可逆加密。儘管如此,攻擊者還是可以利用一些工具很容易地將口令和口令檔案解密。
雙因素認證
在雙因素認證系統中,使用者除了擁有口令外,還擁有系統頒發的令牌訪問裝置。當使用者向系統登入時,使用者除了輸入口令外,還要輸入令牌訪問裝置所顯示的數字。該數字是不斷變化的,而且與認證伺服器是同步的。
雙因素認證比基於口令的認證方法增加了乙個認證要素,攻擊者僅僅獲取了使用者口令或者僅僅拿到了使用者的令牌訪問裝置,都無法通過系統的認證。而且令牌訪問裝置上所顯示的數字不斷地變化,這使得攻擊變得非常困難。因此,這種方法比基於口令的認證方法具有更好的安全性,在一定程度上解決了口令認證方法中的問題①、②和③。
提問握手認證協議chap
除雙因素認證外,還可採用提問-響應(challenge-response)方法來解決上述問題。提問-握手認證協議chap(challenge handshake anthentication protocol)採用的就是提問-響應方法,它通過三次握手(3-way handshake)方式對被認證方的身份進行週期性的認證。其認證過程是:第一步,在通訊雙方鏈路建立階段完成後,認證方(authenticator)向被認證方(peer)傳送乙個提問(challenge)訊息;第二步,被認證方向認證方發回乙個響應(response),該響應由單向雜湊函式計算得出,單向雜湊函式的輸入引數由本次認證的識別符號、秘訣(secret)和提問構成;第三步,認證方將收到的響應與它自己根據認證識別符號、秘訣和提問計算出的雜湊函式值進行比較,若相符則認證通過,向被認證方傳送「成功」訊息,否則,傳送「失敗」訊息,斷開連線。在雙方通訊過程中系統將以隨機的時間間隔重複上述三步認證過程。
chap採用的單向雜湊函式演算法可保證由已知的提問和響應不可能計算出秘訣。同時由於認證方的提問值每次都不一樣,而且是不可**的,因而具有很好的安全性。
chap具有以下優點:
①通過不斷地改變認證識別符號和提問訊息的值來防止回放(playback)攻擊。
②利用週期性的提問防止通訊雙方在長期會話過程中被攻擊。
③雖然chap進行的是單向認證,但在兩個方向上進行chap協商,也能實現通訊雙方的相互認證。 ④chap可用於認證多個不同的系統。
chap的不足之處是:chap認證的關鍵是秘訣,chap的秘訣以明文形式存放和使用,不能利用通常的不可逆加密口令資料庫。並且chap的秘訣是通訊雙方共享的,這一點類似於對稱金鑰體制,因此給秘訣的分發和更新帶來了麻煩,要求每個通訊對都有乙個共享的秘訣,這不適合大規模的系統。
kerberos
kerberos是由美國麻省理工學院提出的基於可信賴的第三方的認證系統。kerberos提供了一種在開放式網路環境下進行身份認證的方法,它使網路上的使用者可以相互證明自己的身份。
kerberos採用對稱金鑰體制對資訊進行加密。其基本思想是:能正確對資訊進行解密的使用者就是合法使用者。使用者在對應用伺服器進行訪問之前,必須先從第三方(kerberos伺服器)獲取該應用伺服器的訪問許可證(ticket)。
kerberos金鑰分配中心kdc(即kerberos伺服器)由認證伺服器as和許可證頒發伺服器tgs構成。 kerberos的認證過程如圖1所示。
①使用者想要獲取訪問某一應用伺服器的許可證時,先以明文方式向認證伺服器as發出請求,要求獲得訪問tgs的許可證。
②as以證書(credential)作為響應,證書包括訪問tgs的許可證和使用者與tgs間的會話金鑰。會話金鑰以使用者的金鑰加密後傳輸。
③使用者解密得到tgs的響應,然後利用tgs的許可證向tgs申請應用伺服器的許可證,該申請包括tgs的許可證和乙個帶有時間戳的認證符(authenticator)。認證符以使用者與tgs間的會話金鑰加密。
④tgs從許可證中取出會話金鑰、解密認證符,驗證認證符中時間戳的有效性,從而確定使用者的請求是否合法。tgs確認使用者的合法性後,生成所要求的應用伺服器的許可證,許可證中含有新產生的使用者與應用伺服器之間的會話金鑰。tgs將應用伺服器的許可證和會話金鑰傳回到使用者。
⑤使用者向應用伺服器提交應用伺服器的許可證和使用者新產生的帶時間戳的認證符(認證符以使用者與應用伺服器之間的會話金鑰加密)。
⑥應用伺服器從許可證中取出會話金鑰、解密認證符,取出時間戳並檢驗有效性。然後向使用者返回乙個帶時間戳的認證符,該認證符以使用者與應用伺服器之間的會話金鑰進行加密。據此,使用者可以驗證應用伺服器的合法性。
至此,雙方完成了身份認證,並且擁有了會話金鑰。其後進行的資料傳遞將以此會話金鑰進行加密。 kerberos將認證從不安全的工作站移到了集中的認證伺服器上,為開放網路中的兩個主體提供身份認證,並通過會話金鑰對通訊進行加密。對於大型的系統可以採用層次化的區域(realm)進行管理。
kerberos也存在一些問題: kerberos伺服器的損壞將使得整個安全系統無法工作;as在傳輸使用者與tgs間的會話金鑰時是以使用者金鑰加密的,而使用者金鑰是由使用者口令生成的,因此可能受到口令猜測的攻擊;kerberos使用了時間戳,因此存在時間同步問題;要將kerberos用於某一應用系統,則該系統的客戶端和伺服器端軟體都要作一定的修改。
x.509證書及認證框架
國際電信聯盟的x.509建議(已成為事實上的標準)定義了一種提供認證服務的框架。
採用基於x.509證書的認證技術類似於 kerberos技術,它也依賴於共同信賴的第三方來實現認證。所不同的是它採用非對稱密碼體制(公鑰制),實現上更加簡單明瞭。這裡可信賴的第三方是指稱為ca(certificate authority)的認證機構。該認證機構負責認證使用者的身份並向使用者簽發數字證書。數字證書遵循x.509標準所規定的格式,因此稱為x.509證書。持有此證書的使用者就可以憑此證書訪問那些信任ca的伺服器。
當使用者向某一伺服器提出訪問請求時,伺服器要求使用者提交數字證書。收到使用者的證書後,伺服器利用ca的公開金鑰對ca的簽名進行解密,獲得資訊的雜湊碼。然後伺服器用與ca相同的雜湊演算法對證書的資訊部分進行處理,得到乙個雜湊碼,將此雜湊碼與對簽名解密所得到的雜湊碼進行比較,若相等則表明此證書確實是ca簽發的,而且是完整的未被篡改的證書。這樣,使用者便通過了身份認證。伺服器從證書的資訊部分取出使用者的公鑰,以後向使用者傳送資料時,便以此公鑰加密,對該資訊只有使用者可以進行解密。
基於x.509證書的認證技術適用於開放式網路環境下的身份認證,該技術已被廣泛接受,許多網路安全程式都可以使用x.509證書(如:ipsec、ssl、set、s/mime等)。
由於這種認證技術中採用了非對稱密碼體制,ca和使用者的私鑰都不會在網路上傳輸,避免了基於口令的認證中傳輸口令所帶來的問題。攻擊者即使截獲了使用者的證書,但由於無法獲得使用者的私鑰,也就無法解讀伺服器傳給使用者的資訊。
基於x.509證書的認證實際上是將人與人之間的信任轉化為個人對組織機構的信任,因此這種認證系統需要有ca的支援。目前網際網路上已有一些這樣的認證機構,如verisign、u.s.postal service和commercenet等。
ca在確信使用者的身份後才為使用者簽發證書,而ca對使用者身份的確認則遵循ca自己定義的稱為cps的規則,ca通過這些規則來判定使用者是否存在和有效。證書將使用者的唯一名稱與使用者的公鑰關聯起來。但這種關聯是否合法,卻不屬於x.509所涉及的範疇。x.509宣告:凡是與語義或信任相關的所有問題都依賴於ca的證書常規宣告cps(certification practice statement),即關聯的合法性取決於ca自己定義的cps規則。顯然,這種做法會導致各個ca對使用者的確認方法和確認的嚴格程度上的差異。因此,建立全球性的統一的認證體系以及相關的規範就顯得非常必要。
全球公鑰基礎設施(pki)就是乙個全球範圍的相互信任的基礎設施,它是一種遵循標準的金鑰管理平台。 pki的構建主要圍繞著認證機構、證書庫、金鑰備份及恢復系統、證書作廢處理系統、客戶端證書處理系統等基本部分來進行。建立pki這樣的基礎設施是一項非常龐大的工程,它不僅涉及到一些技術問題,而且涉及到諸多的政策性及政治性問題,因為它要求參與的各方在乙個共同點上達成信任。儘管實現全球公鑰基礎設施還需要一定的時間,然而一旦實現,將使得全球性的商務活動變得非常的快捷和方便。目前我國已經開始著手進行這方面的工作,建立自己的認證中心。
基於x.509證書和ca的認證系統將可能是未來認證系統發展的主要方向。
CIW網路安全認證介紹
ciw網際網路絡安全培訓的重要性 隨著我國經濟的發展,越來越多的企業開始運用網際網路絡為公司建立內部商業平台,網路的發展也越來越與國際接軌,因此網路的安全也越來越顯得重要。今後的企業發展和競爭力的提高越是依賴企業內部的資訊化程度,網路的安全化程度就更顯得重要。據國家有關部門對2001年的統計了解,網...
網路安全 1 身份認證
網路資料安全 身份認證 使用證書進行身份認證 使用公開的證書 使用預設定的證書 在搭建vpn伺服器的時候,也可以通過手動在本地儲存對方伺服器的證書,從而在之後進行雙方伺服器的身份認證。伺服器都先在本地生成公私鑰對,然後將公鑰拷貝到對方的機器上,這樣之後在進行通訊的時候,就可以使用公私鑰對來進行身份確...
網路管理與網路安全技術
internet服務提供者 isp 是internet接入服務的提供者,任何使用者都需要使用isp提供的接入服務 adsl接入使用的接入裝置是adsl數據機,最大傳輸速度為8mb s 優點 不需要特殊的傳輸線路,只需要使用 線,常用於家庭使用者 混合光纖同軸電纜網,是一種經濟實用的綜合數字服務寬頻網...