《网络安全》第五章 网络安全策略与控制（第 1 节）内 容：重点：身份验证和访问控制的原理及方法 难点：信息安全策略的整体创建第五章 网络安全策略与控制这周我们将学习第五章《网络安全策略与控制》第一节，这部分重点介绍身份认证的相关知识，下面整理出的知识点供同学们学习。网络信息安全策略主要有三个方面的内容： • 身份认证 • 存取控制 • 信息完整性 第一节 身份认（验）证身份认证指的是用户身份的确认技术，它是网络信息安全访问的第一道防线，也是最重要的一道防线 。 网络中的各种应用和计算机系统都需要通过身份认证来确认一个用户的合法性，然后确定这个用户的个人数据和特定权限。1、常用的认证方式在一般情况下，信息系统用户登录到计算机 系统实施一般使用以下几种认证方式： • 账户/ 口令方式 • IC 卡认证方式 • 生物特征认证方式 1）账户/ 口令认证方式• 这是最简单也是最常用的身份认证方法。它是基于“what you know”的认证手段。方法的内涵是：用户账号（也称用户标识 UserID）+口令(Password) =某人的身份。用户标识又称系统用户标识与验证， 是系统用以赋予存取权限和资源利用的根据。 • 一般只要能够正确输入标识和口令，计算机就认为操作者是合法用户。 • 目前的口令机制大体上可分成两种，一种是传统的明文式口令，另一种是计算式口令。计算式口令• 这种口令可以在一定程度上解决口令文件丢失或泄密问题。也就是说，所用的口令不是直接存放在信息系统中，而是经过了某种数学计算后才存放到系统中，而从存放的结果内容不可能推算出原始的口令。 • 比如口令为一个字符串组合 X，存放的结果内容是 Y，而 Y=F(X)，这里的 F 是一个单向散列函数（也称 Hash 函数），想要从得到的 Y 计算出 X 非常困难。而从 X 却很容易计算得到 Y，与事先存放在口令文件中的 Y 相比较，就可以确定登录的是否为合法用户。常用的破解口令的办法有：1．通过网络窃听 很多传统的网络服务在询问和验证远程用户口令的过程中，用户口令在网络中用明文传送，于是网络中的窃听者可以窃得用户口令； 2．通过用户主机窃听 现在各种各样的木马程序非常多，用户一不小心，就可能将来自各种渠道的某个木马程序激活，然后远程的黑客通过木马程序记录用户的一举一动，包括用户输入的口令； 3．通过简单猜测 很多用户在设置口令的时候，为了方便自己记忆而选择过于简单的口令，攻击者通过简单猜测就可以搞定； 4．通过系统漏洞存放和验证口令的计算机系统可能存在其他方面的漏洞，黑客利用这些漏洞进入系统，获取用户和口令文件，然后使用专门的工具强行破译用户口令； 5．用户自己泄漏 用户自己可能将口令告诉别人，或者存放在其他地方，被别人获取。由于系统假设用户的口令只有自 己知道，所以一旦口令核对正确，就会获得相应的权限。 系统要采用口令安全措施1）建立足够安全的口令构造标准 • 口令字符集应该包括 256 个扩展 ASCII 字符，口令长度应达到 7~14 个字符，并且没有重复； • 确立口令唯一性，新口令的选择不得与同一用户的前 N 次（N>5）使用过的口令相同； • 由于人为创立的口令容易被猜出，最好利用计算机自动生成口令，然后由用户挑选一个容易记住、又不好猜的口令使用。2）加强口令的鉴别与管理 • 要定期强制更改口令，让口令具有使用寿命，即使口令被泄漏，它的寿命限制了口令的使用； • 当有人调离时，要在第一时间更改系统口令，并删除调离者的用户标识和口令； • 改进口令鉴别机制，比如系统能自动提示用户的最近一次的上机时间，以便于用户判别口令是否已被人窃用； • 对连续一定次数登录失败的用户，系统将自动关闭其账号，等待管理员处理； • 口令表只能被操作系统访问。（3）在口令机制中采用加密技术 加密有很多方法，如 DES、RSA 等。 （4）养成正确和谨慎使用口令的良好习惯 • 口令至少有 7 位，最好加些特殊字符； • 避免使用单词、有现实意义的字符、数字； • 不要记录口令，当然更不要随便告诉别人； • 不要当众输入口令； • 及时报告身份变更情况及与口令有关的可疑迹象。 （5）采用一次性口令由于传统的静态口令容易被嗅探或截获，而且难以抵御字典式攻击。动态口令(Dynamic Password)，又叫“一次性口令（OTP：One Time Password）”。 其主要思想是：在登录过程中加入不确定因素，使每次登录过程中传送的信息都不相同，以提高登录过程安全性。例如，登录密码=MD5（用户名＋密码＋时间），系统接收到登录口令后做一个验算即可验证用户的合法性。根据某种加密算法，产生的随某一个不断变化的参数(例如时间，事件等)不停地、没有重复变化的一种口令。2）密码卡智能卡的特点• 用 IC 卡进行身份认证，其安全性要高于账户/ 口令认证方式。IC 卡从硬件和软件等几个方面实施其安全策略，可以控制卡内不同区域的存取特性。加密 IC 卡本身具有安全密码。认证前还可要求用户输入 PIN（个人身份识别码），相当于使用了双因子的认证方式，使其安全性有了很大的提高。如果试图非法对之进行数据存取，有的 IC 卡具有自毁能力，使之不可再进行读写。 • IC 卡还具有其他一些优点，如：体积小，重量轻，抗干扰能力强，便于携带，易于使用，方便保管、可靠性比磁卡高，一般可重复读写 10 万次以上，使用寿命长。3） 生物特征识别与其他的识别技术相比，生物识别技术具有很多优点，具体如下： 生物识别技术利用人类自身的生理特征作为识别标准，无需用户记忆其它信息或携带其它物品，也就免去用户丢失的麻烦和丢失后带来的严重后果。 人类的生物特征难以被复制，偷窃的难度较大，识别的准确率更高。目前，除电子技术外，普遍认为，将生物特征识别技术普遍应用到计算机网络的身份识别系统中，这种做法将是非常有前途的。因为通过用户的脸、声音、指纹、视网膜、掌纹静脉、等生物特征的组合识别，非法用户想要冒充别人将是极其困难的。而且这种技术还彻底解决了用户口令过多、难以记忆等问题。 这种技术的普及应用也会完全改变现在国际互联网的一些重要特点，将来想要借着网络匿名实施犯罪活动的行为将会大大收敛，但是一些用户也许会抵制这种技术。 生物识别技术主要有：传统的签名、指纹（12345）、声纹、掌纹 12、手形、唇纹、虹膜、视网膜等识别方法。 目前还有一种叫做基于三重生理特征组合的识别技术，分别是人的脸型、讲话的声音和讲话时的嘴部律动。 在这三种生理特征中，除人的脸型是静态生理特征外，其它两种全部是动态的生理特征。人讲话声音和讲话时的嘴部律动几乎是无法被模一的，大大提高了身份认证的效率，而且减轻了工作人员记忆很长密码的负担，使工作人员轻松进入计算机系统。（1）指纹识别认证指纹的三个特性是指纹识别技术的基础，指纹的三个特性分别指的是： （1）每个人的指纹形状终身不变； （2）每个人的指纹均不相同； （3）指纹的触物留痕。 其中“指纹终身不变”的理论，是由德国吉森大学讲师、人类学家奥克尔（Welker）在 1856 年提出的。他对自己 34 岁和 75 岁时的指纹进行了对比，发现指纹的纹形类型和细节点特征没有变化，于是提出这一理论。 （2）虹膜识别认证在生物特征识别的技术中，虹膜识别技术具有一定的代表性。虹膜是盘状的薄膜，位于眼球的前方。虹膜是一种在眼睛中瞳孔内的织物状各色环状物，每一个虹膜都包含一个独一无二的基于像冠、水晶体、细丝、斑点、结构、凹点、射线、皱纹和条纹等特征的结构，每一个人的虹膜各不相同，一个人的左眼和右眼的虹膜就可能不一样，即使是双胞胎的虹膜也可能不一样。 与指纹相类似，人的虹膜在出生 6-18 个月成型后终生不再发生变化，眼睛瞳孔周围的虹膜组织具有复杂的结构，能够成为识别每个人生物特征的独一无二的标识。虹膜识别的优点是：1. 是识别精确度高，错误率小于百万分之一； 2. 是稳定性好，两岁后虹膜终生不变，受损害的可能性很小； 3. 是采集相对方便，通过非接触采集，对人的身体不产生伤害视网膜识别根据 同虹膜识别技术一样，视网膜扫描可能具最可靠、最值得信赖的生物识别技术。虽然视网膜扫描的技术含量较高，但视网膜扫描技术可能是有相当长历史的生物识别技术，早在 20 世纪 30 年代，人们通过研究就得出了人类眼球后部血管分布唯一性的理 论，进一步的研究的表明，即使是孪生子，这种血管分布也是具有唯一性的，除了患有眼疾或者严重的脑外伤外，视网膜的结构形式在人的一生当中都相当稳定。视网膜扫描视网膜扫描是用低强度红外线照亮视网膜，以拍摄下主要血管构成的图像。由于视网膜位于眼球的后面，因此采集过程需要用户高度配合，以保证正确的照亮和对准视网膜。并且要求站在 2-3 英寸的地方，保持静止 1-2 秒的时间。 录入设备从视网膜上可以获得 400 个特征点，同指纹录入比较，可以有比较多的特征点用来录入、创建模板和完成确认。视网膜扫描技术的录入设备的认假率低于 0.0001%（一百万分之一）。 本周要求掌握的内容如下：本周的内容，主要介绍身份认证方式，原理和防止泄密的相关知识。练习：1. 身份认证指的是用户身份的确认技术，它是网络信息安全访问的第一道防线，也是最重要的一道防线（）2.身份认证中常用的认证方式（） A 口令方式B IC 卡认证方式C 生物特征认证方式D 账户方式(ABCD)