《网络空间安全概论》课件4-1认证.pptx

1、目录1234152身份认证概述2u鉴别:向系统提供用户标识.用户身份为某种形式的ID,系统通过搜索抽象对象知道当前应用的是哪个具体的对象.3身份认证概述3招商银行推出“ATM刷脸取款”业务民生银行部分特供机型通过“刷眼”完成支付4身份认证概述4u认证:验证用户身份的过程.声称的身份是否与物理的身份相一致.用户需要提供证据证明?551993年7月5日纽约客上刊登的一则由 Peter Steiner 创作的漫画6基于对称加密算法的认证6单次传递认证 AB:Text2eKAB(TNA IB Text1)两次传递认证BA:RBText1AB:Text3eKAB(RB IB Text2)7基于数字签名技

2、术的认证7单次传递认证 AB:CertATNA|B|Text2SSA(TNA B Text1)两次传递认证BA:RBText1AB:CertARARB|B|Text3SSA(RARBText2)8基于口令的认证 注册9利用邮箱注册10利用手机注册11 核查个人信息 实名制：上传个人证件，身份证、工作证等 真人检测：眨眼、张嘴、摇头、左右转头、上下点头等7种动作.现场录制视频，读出随机分配的数字，确保视频的即时性12 AI换脸 AI变声 搜狗输入法上线了一个AI新功能“变声”，用户只要在语音输入中选择变声功能，输入想说的话，再选择一个喜爱的角色，就能把个人声音瞬间“变成”该角色的声音，几乎可以做

3、到“以假乱真”AI换脸“出演”射雕英雄传的杨幂13基于文本口令的认证-口令攻击13字典攻击穷举攻击14对口令的攻击14网络数据流窃听15对口令的攻击15认证信息拷贝/重放Password fileUser exrygbzyf kgnosfix ggjoklbsz kiwifruithash function1616肩窥17对口令的攻击17反锁房门插卡前，检查机上有没有摄像头输入密码要遮挡18对口令的攻击18社会工程攻击19对口令的攻击19间谍软件、硬件窃听器20对口令的攻击20污迹攻击21对口令的攻击21拖库洗库撞库22对口令的攻击22垃圾搜索23口令安全-Hash23 qid idq比较比较

4、f是或不是是或不是声称者声称者验证者验证者pid消息消息id1f(p1)id2f(p2)id3f(p3)24口令安全-加盐24 qid idq比较比较f是或不是是或不是声称者声称者验证者验证者pid消息消息 加加saltid1f(p1,id1)id2f(p2,id2)id3f(p3,id3)25口令安全-加盐25 pid idq比较比较是或不是是或不是声称者声称者验证者验证者pid消息消息 加加saltf(p1,Salt1)Salt1id1f(p2,Salt2)Salt2id2f(p3,Salt3)Salt3id3 Saltf本地登录本地登录口令选取问题4.7%of users have th

5、e password password;8.5%have the passwords password or 123456;9.8%have the passwords password,123456 or 12345678;14%have a password from the top 10 passwords40%have a password from the top 100 passwords79%have a password from the top 500 passwords91%have a password from the top 1000 passwords27口令安全-

6、强口令设置27只言片语只言片语生成的口令生成的口令只言片语只言片语生成的口令生成的口令我跟你半斤八两Wgn0.5j8l是可忍，孰不可忍？4Kr,sbkr?一星半点的东西1*0.5.Ddx有一说一，确实。U1s1,qs.星期六看三国演义*76K3gyy一行白鹭上青天1hbl$qSKY或1hbl$qTIAN买三斤肉Mi3jinrou2+7=9（QQ）t+7=n(QQ)飞流直下三千尺 Flzx3qc五花八门（微信）5h8m(WX)28验证码增强安全性 在线字典猜测:有许多专门的破解工具可以在线破解口令（如BBS口令、在线邮件口令等），造成了极大的安全威胁。逆向图灵测试(RTT)是一个区分人与计算机程

7、序的方法，因为RTT很容易被人识别，但是对于自动程序来说很难识别。它很有希望抵御有自动程序加载的在线字典攻击。验证码是国内学者对全自动区分计算机和人类的图灵测试CAPTCHA（Completely Automated Public Turing test to tell Computers and Humans Apart）的译义，是一种区分用户是计算机还是人的全自动程序。CAPTCHA是一种逆向图灵测试RTT（Reverse Turing Test）29图形化的文本验证码 目前在使用用户名和口令进行注册和登陆之前，网络服务提供者要求用户通过RTT，即在页面上要求填写附加码的表单才能正常进入账

8、号,可以有效地抵御穷举攻击和字典攻击。30 图形化的验证码有如下特点：验证码是随机生成的。验证码只是为防止程序猜测等目的而生成的无意义字符串，不需要用户记忆。验证码只对当前服务有效，并具备时效性，只在一定时间内有效。如一般网页规定附加码的有效时间为5分钟。31背景干扰背景干扰信息码变换信息码变换 前景变形前景变形 32重叠重叠噪线噪线双层结构双层结构旋转的验证码旋转的验证码复杂的背景复杂的背景33图像验证码 3435动态认知游戏验证码动态游戏验证码也可称为游戏验证码，该验证码注重与用户的交互性，一般以小游戏的形式与用户进行交互，提高了验证的趣味性。动态游戏验证码的游戏形式多样，有在给定图案中选

9、中并拖动到匹配位置，有识别图片方向并旋转到指定位置36滑块验证码 37鼠标手势验证码鼠标手势验证码 在验证码图片中，系统给出了一个带有箭头的折线。用户需要按照给出的验证码图案上的有向折线（手势），用鼠标绘制出相应的折线。系统获取到用户绘制的鼠标手势后，计算鼠标手势与图片中折线的相似度，当相似度大于给定阈值，即认为该用户通过了验证。38声音验证码 如ECO系统，它将一些单词的声音片断和一些随机选择的混扰杂音放在一起输出，使用者需识别其中声音的内容。这种系统是利用人和计算机在语音识别方面的差异实现的。对于一些视觉存在弱化的人群来说。以语音作为RTT系统是十分有用的。39视频验证码 系统给用户播放视

10、频让其进行验证，系统将数字、字母、中文等字符动态的嵌入到MP4，flv等格式的视频中，验证码视频从视频库中动态选取，视频中的验证码使用字母、数字等随机组合，字体的形状、大小变化，速度的快慢变化，显示效果和轨迹的动态变换，增加了恶意抓屏破解的难度，具有较高的安全性。40基于常识的验证码 41广告验证码广告验证码 让用户在输入验证码的同时阅读广告。目前的广告验证码都是基于传统验证码的，比如图片验证码。可能是以某广告图片为背景再附上验证码、也有可能验证码就是广告词等等。42短信验证码短信验证码 短信验证码可以分为两类：用户接收和用户发送。用户接收指的是，网站通过短信服务向用户手机号码发送验证码，用户

11、只需要接收即可；用户发送指的是，用户使用某预留的手机号码，向网站指定的号码，发送特定的内容43reCAPTCHAreCAPTCHA 2005 年冯安创造了一个新概念“人本计算”（Human-based Computation），即把人的脑力和计算机的能力结合起来，完成两者都无法单独完成的工作。他提出reCAPTCHA项目，主要用于把互联网出现前的纸质典籍数字化。思路：验证码系统会向用户出示两个单词，第一个是正常的自动生成扭曲文字，另外一个则来自纸质典籍的扫描版，它们通常因为年代久远、纸上有污点等原因难以被 OCR 程序识别。用户输入验证码时，只要第一个单词输入正确就可以被判别为人类。系统默认输

12、入的第二个单词输入正确，并与其他用户的输入结果进行对比，如果多名用户的答案一致，这个词的数字化就完成了。4445NoCAPTCHA46打码平台黑产设立的打码平台（网赚平台），利用低廉的佣金吸引闲暇时间比较多的人群来帮忙人肉翻译验证码，然后把翻译好的文本回传给脚本，连同撞库的用户名、密码再尝试登录。47基于图形的认证 基于文本口令的认证以其简单易行、使用面广的特点成为现在使用最为广泛的身份认证技术。但是这种方式存在着较大的安全隐患，主要是可记忆性与抗破解能力之间的权衡。容易记忆的口令，易遭受字典攻击。太短。穷举攻击。太长，随机的字符串。不容易记忆。48 图形口令是通过让用户在图形用户界面上显示的

13、图像中按照特定的顺序进行选择来工作的。利用人类对图形记忆要优于对文本记忆的特点设计出来的一种新型口令。用户不用记忆冗长的字符串而是通过识别或记住图形来进行身份认证。基于图形的认证49 相对于文本口令，图形口令的口令空间大的多，可以抵御文本口令面临的诸如字典破解之类的攻击；人类记忆图形的能力会比记忆文本的能力强的多，解决了口令难于记忆的问题；还可以解决文本口令更新问题 基于图形的认证 从技术上，图形口令可以分为两类：基于识别型的图形口令基于识别型的图形口令 基于回忆型的图形口令基于回忆型的图形口令50基于识别型的图形口令 系统要求用户在许多分散注意力的图像中选择目标图像。这个方法基于纯视觉记忆，

14、利用识别先前看到的可视客体的能力。51 用户记忆预先选定的一些特定图片，在验证阶段系统从图案库中随机产生一组图片，让用户从中间选择预先设定的图片，从而实现身份验证的过程。Passfaces TM 52How Passfaces Works5 Passfaces are Associated with 40 associated decoysPassfaces are presented in five 3 by 3 matrices each having 1 Passface and 8 decoys53 由用户预先选择一些图形物体，在验证的时候系统显示出一个有许多图形组成的阵列，用户需要识

15、别出这些物体，并且移动一个固定的框架使阵列中预先定义的物体全部落在框架中，通过多次重复此过程来防止随机选中的可能。这种方法可以有效地防止“肩窥”。54由用户目测出事先指定图形构成的三角形，在该虚构三角形当中，用鼠标点击以通过认证。防止肩窥55通过旋转外框使指定图形和另外两个内框当中存在的指定图形成直线进行认证 由用户点击四个指定图形构成的两条虚拟直线的交叉点以通过身份认证 防止肩窥56“抽象图片选择”方案使用的是抽象的描述性的图片。这个系统是通过哈希可视化技术开发的。在一次登录该系统的时候，用户同时看到25张图片显示在屏幕上，其中5个是用户的口令图像，其余图片20个是陷阱图像。进行验证的过程中

16、，用户必须点击所有五个口令图像，而不点击到任何陷阱图像。57基于回忆型的图形口令 系统要求用户在网格中画出先前画的客体，或者在单个图像中识别目标客体。这个方法基于视空间记忆的视觉和空间两个方面，以及精确的动作。58 要求用户重复以前设定的一个过程。DAS(Draw A Secret)是目前较广泛应用于PDA上的一种身份认证的系统。用户初次使用系统时，要求用户在2d栅格上画出口令。用户不需要记忆字母-数字串.口令空间巨大.(55空间,长度12的理论空间为2512)59口令输入(5,5)is pen-up indicator(2,2)(3,2)(3,3)(2,3)(2,2)(2,1)(5,5)(2

17、,2)(3,2)(3,3)(2,3)(2,2)(2,1)(5,5)60 注册:在a图是用户在取证阶段自己输入的，b图是标准的格式。对于图b的记录系统按照一套本身能够识别的格式。登录:在验证阶段，系统显示同样的栅格要求用户重复原来的设定过程，如果用户画出的图形按照以前设定的顺序经过相同的方格则通过验证。Draw-a-Secret(DAS)技术技术 61一些研究表明，用户的习惯降低了它的安全性。Jermyn指出，用户更倾向选择简单的可预测的图形和更中心的位置。改进方案 Chalkias等提出将规格不一的网格拼在一起，可以使用户们关注中心以外的区域。Dunphy等提出有背景图案存在时，用户能够画出更

18、加安全的口令。BDAS:DAS grid+background imageDAS由于必须有手写输入设备，使用范围相当受限。62BDAS:记忆衰退a:注册;b:一周后63选格法:先选绘图网格,再绘图签名:计算相似性6465模仿了这个图，再也不玩手机了66污迹攻击67 身份验证方法要求在用户一个图形上预先按顺序点击一些位置，在身份验证阶段重复此过程。68 该系统不能防止肩窥。有时候用户点击鼠标选取物品的时候，不能每次都正好选择在物品的边界线以内，从而很有可能产生误判。为了避免产生这种情况，对其做了改进，只要用户点中的位置在附近即可。也就是系统识别时候是一个范围，是以用户输入的点为边界的一个有误差许

19、可的范围，而不是一个有固定边界的实体。69按照一个特定的顺序点击那些“点击区域”,点击红点区域.并没有抵抗肩窥攻击的能力 7071弹首曲子，再玩手机吧72混合型图形口令 混合型图形口令机制是为了克服单一类型图形口令机制的固有缺点，将两种或者两种以上的类型相结合而形成的图形口令机制73每个图片都有八种微小变化，且每个口令图标及其变种都有唯一的文本编码在创建一个口令的时候，用户要选择许多的口令图形对象，而还要记住与每个口令图形对象相关的文本字符。登录的时候随机生成的口令图形对象都显示在屏幕上，大约有400至500陷阱图形对象。用户根据出现的口令图形对象的顺序输入的相应的文本字符串。基于图形口令与文

20、本口令结合的混合型图形口令机制基于图形口令与文本口令结合的混合型图形口令机制74注册时用户在图片库中顺序选择若干张图片作为口令图片并记住选择的顺序，登录时，从“开始”方框开始，通过画线顺序通过自己的口令图片，最后在“结束”方框中停止基于图片识别与手动绘画相结合的混合型图形口令机制基于图片识别与手动绘画相结合的混合型图形口令机制75基于令牌的认证 认证可以基于客户持有的某物，这样的一个客体一般称为令牌。2008年初，中国银行开发了全国统一的新版网上银行系统。在安全保障上，新版网银首次大规模应用了国际流行的安全认证工具动态口令牌(E-TOKEN)，客户在登录以及重要交易操作中均需输入动态口令进行验

21、证。76动态口令牌该动态口令牌是一种内置电源、密码生成芯片和显示屏、根据专门的算法每隔一定时间（如60秒）自动更新动态口令的专用硬件。基于该动态密码技术的系统又称一次一密（OTP）系统。77动态口令牌 该装置拥有内置芯片和一个可以显示多达6位数字的LCD窗口，但其体积很小，可以系在钥匙环上。在柜台发售这种装置时，与网银用户绑定建立一对一对应关系，使用唯一的128位种子将其初始化；其内部芯片每分钟都会使用一种算法，组合该种子与当前时间，生成一个随机的数字。而在网银认证服务器则采取和这个动态密码器同一种算法产生该随机数字，保证动态密码器和网银服务器的单一认证。78口令卡 基于口令与口令卡:国内外的

22、银行、民航等行业已经逐步完善地拓展了双因子认证技术。经常网上购物的人熟悉的口令卡与密码结合的银行认证方式就是一个例子 79USBkeyUSBkey U盾是用于网上银行电子签名和数字认证的工具，它内置微型智能卡处理器，采用1024位非对称密钥算法对网上数据进行加密、解密和数字签名80生物信息 生物特征信息可用作认证的一个因子，通过计算机与各种传感器和生物统计学原理结合，利用人体固有的生理特性和行为特征，来进行个人身份识别。81二维码认证 扫码登录无需输入用户名和口令，只需通过手机客户端扫一扫计算机上的网页便能完成登录。如微信、微博、淘宝等各种应用都已具有了扫码登录功能82扫码登录扫码登录83双因

23、子认证 双因子认证是密码学的一个概念，是在静态密码的基础上，使用了认证加强机制。认证机制中包含有两个认证因子即被称作双因子认证。一般常见的双因子认证一般结合密码以及用户手中的口令卡、IC卡、USB Key、动态口令牌、短信、硬件信息等进一步验证用户的身份，从而抵御非法访问者，提高认证的可靠性。84手机短信手机短信 手机短信可用作认证的的一个凭证，通过手机短信内容的验证码来验证身份85硬件信息硬件信息 通过计算机本身的唯一硬件特征来标识使用者的身份，结合PIN码的使用，可以实现一种高强度的双因子认证86开放授权OAuth Alice是Google的用户，Alice想使用“网易印像服务”将她的部分照片冲印出来，她怎么做呢？Alice可以将Google用户名和口令告诉网易印像服务，但存在这些问题：网易印像服务可能会缓存Alice的用户名和口令，造成口令泄露。网易印像服务可以访问Alice在Google上的所有资源，Alice无法对他们进行最小的权限控制，比如只允许访问某一张照片，1小时内访问有效。Alice无法撤消授权，除非Alice更新口令8788开放授权开放授权OAuthOAuth89