网站安全客户认证

2021-03-29 11:04 本网

  客户认证(C1 ient Authentication, CA) 是基于用户的客户端主机IP地址的一种认证机制,它允许系统管理员为具有某一特定IP 地址的授权用户制定访问权限。CA与IP地址相关,对访问的协议不做直接的限制。服务器和客户端无需增加、修改任何软件。系统管理员可以决定对每个用户的授权、允许访问的服务器资源、应用程序、访问时间以及允许建立的会话次数等等。

  客户认证技术是保证电子商务交易安全的项重要技术。客户认证主要包括身份认证和信息认证。前者用于鉴别用户身份,后者用于保证通信双方的不可抵赖性和信息的完整性。在某些情况下,信息认证显得比信息保密更为重要。例如,在买卖双方发生的电器用品业务进行交易时,可能交易的具体内容并不需要保密,但是交易双方应当能够确认是对方发送或接收了这些信息,同时接收方还能确认接收的信息是完整的,即信息在通信过程中没有被修改或替换。因此,在这些情况下,信息认证将处于首要的地位。1.身份认证

  (1) 身份认证的目标。

  身份认证是辨明和确认贸易双方真实身份的重要环节,也是电子商务交易过程中最薄弱的环节。因为非法用户常采用窃取口令、修改或伪造、阻断服务等方式对网络交易.系统进行攻击,阻止系统资源的合法管理和使用。认证机构或信息服务商应当提供如下的认证功能:

  可信性:信息的来源是可信的,即信息接收者能够确认所获得的信息不是由冒充者所发出的。

  完整性:要求信息在传输过程中保证其完整性,也即信息接收者能够确认所获得的信息在传输过程中没有被修改、延迟和替换。

  不可抵赖性:要求信息的发送方不能否认自己所发出的信息,同样,信息的接收方不能否认已收到了信息。

  ④访问控制:拒绝非法用户访问系统资源,合法用户只能访问系统授权和指定资源。(2)用户身份认证的基本方式。

  一般来说,用户身份认证可通过三种基本方式或其组合方式来实现:

  用户所知道的某个秘密信息,例如用户知道自己的口令。

  用户所持有的某个秘密信息(硬件),即用户必须持有合法的随身携带的物理介质,例如智能卡中存储用户的个人化参数,访问系统资源时必须要有智能卡。

  ③用户所具有的某些生物学特征,如DNA图案、视网膜扫描、指纹、声音等等,但这种方案一般造价较高,适用于保密程度很高的场合。根据在认证中采用因素的多少,可以分为单因素认证、双因素认证、多因素认证等方法。

  (3)身份认证的单因素法。

  用户身份认证的最简单方法就是口令。系统事先保存每个用户的二元组信息,进入系统时用户输入二元组信息,系统根据保存的用户信息和用户输入的信息相比较,从而判断用户身份的合法性,很明显,这种身份认证方法操作十分简单,但同时又最不安全,因为其安全性仅仅基于用户口令的保密性,而用户口令一般较短且容易猜,因此这种方案不能抵御口令猜测攻击;另外,口令的明文传输使得系统攻击者很容易通过拨线窃听的方法获取用户口令;最后,由于系统保存的是口令的明文形式,一方面需要系统管理员是可信赖的,另一方面,. 一旦攻击者能够访问口令表,整个系统的安全性就受到了威胁。口令方案对重传攻击也毫无抵抗能力。

  对口令进行加密传输是一种改进的方法。 由于这时传输的是用户口令的密文形式,系统仅保存用户口令的密文,因而窃听者不易获得用户的真实口令,但是这种方案仍然可以受到口令猜测的攻击,另外系统入侵者还可采用离线方式对口令密文实施字典攻击。

  (4)基于智能卡的用户身份认证。

  基于智能卡的用户身份认证机制属于双因素法,它结合了基本认证方式中的第一种和第二种方法。用户的二元组信息预先存于智能卡中,然后在认证服务器中存入某个事先由用户选择的某个随机数。用户访问系统资源时,用户输入二元组信息。系统首先判断智能卡的合法性,然后由智能卡鉴别用户身份,若用户身份合法,再将智能卡中的随机数送给认证服务器进一步认证。这种方案基于智能卡的物理安全性,即不易伪造和不能直接读取其中数据,没有管理中心发放的智能卡,则不能访问系统资源,即使智能卡丢失,入侵者仍然需要猜测用户口令。

  (5)一次口令机制。

  最安全的身份认证机制是采用一次口令机制,即每次用户登录系统时口令互不相同。主要有两种实现方式,第一种采用“请求响答”方式,用户登录时系统随机提示一条信息,用户根据这一信息连同其个人化数据共同产生一个口令字,用户输入这个口令字,完成一次登录过程,或者用户对这一条信息实施数字签名后发送给认证服务器进行鉴别:第二种方法采用“时钟同步”机制,即根据这个同步时钟信息连同其个人化数据共同产生一个口令字,这两种方案均需要认证服务器端也产生与用户端相同的口令字(或检验签名)。

  (6)基于Kerberos协议的认证。

  Kerberos协议是一种共 享秘密的验证协议,因为用户和密钥分配中心都知道用户的密码。Kerberos 协议定义了一系列客户端、密钥分配中心和服务器之间得到并使用Kerberos协议许可证的通信规则。