基本原理 IEEE 8021X是根据用户ID或设备,对网络客户端(或端口)进行鉴权的标准。该流程被称为“端口级别的鉴权”。它采用RADIUS(远程认证拨号用户服务)方法,并将其划分为三个不同小组:请求方、认证方和授权服务器。
8021X 标准应用于试图连接到端口或其它设备(如Cisco Catalyst交换机或Cisco Aironet系列接入点)(认证方)的终端设备和用户(请求方)。认证和授权都通过鉴权服务器(如Cisco Secure ACS)后端通信实现。IEEE 8021X提供自动用户身份识别,集中进行鉴权、密钥管理和LAN连接配置。 整个8021x 的实现设计三个部分,请求者系统、认证系统和认证服务器系统。
请求者系统 请求者是位于局域网链路一端的实体,由连接到该链路另一端的认证系统对其进行认证。请求者通常是支持8021x认证的用户终端设备,用户通过启动客户端软件发起8021x认证,后文的认证请求者和客户端二者表达相同含义。
认证系统 认证系统对连接到链路对端的认证请求者进行认证。认证系统通常为支持802 1x协议的网络设备,它为请求者提供服务端口,该端口可以是物理端口也可以 是逻辑端口,一般在用户接入设备 (如LAN Switch和AP) 上实现8021x认证。倎文的认证系统、认证点和接入设备三者表达相同含义。
认证服务器系统 认证服务器是为认证系统提供认证服务的实体,建议使用RADIUS服务器来实现认证服务器的认证和授权功能。
请求者和认证系统之间运行8021x定义的EAPO (Extensible Authentication Protocolover LAN)协议。当认证系统工作于中继方式时,认证系统与认证服务器之间也运行EAP协议,EAP帧中封装认证数据,将该协议承载在其它高层次协议中(如 RADIUS),以便穿越复杂的网络到达认证服务器;当认证系统工作于终结方式时,认证系统终结EAPoL消息,并转换为其它认证协议(如 RADIUS),传递用户认证信息给认证服务器系统。
认证系统每个物理端口内部包含有受控端口和非受控端口。非受控端口始终处于双向连通状态,主要用来传递EAPoL协议帧,可随时保证接收认证请求者发出的EAPoL认证报文;受控端口只有在认证通过的状态下才打开,用于传递网络资源和服务。
认证过程
(1) 客户端向接入设备发送一个EAPoL-Start报文,开始8021x认证接入;
(2) 接入设备向客户端发送EAP-Request/Identity报文,要求客户端将用户名送上来;
(3) 客户端回应一个EAP-Response/Identity给接入设备的请求,其中包括用户名;
(4) 接入设备将EAP-Response/Identity报文封装到RADIUS Access-Request报文中,发送给认证服务器;
(5) 认证服务器产生一个Challenge,通过接入设备将RADIUS Access-Challenge报文发送给客户端,其中包含有EAP-Request/MD5-Challenge;
(6) 接入设备通过EAP-Request/MD5-Challenge发送给客户端,要求客户端进行认证
(7) 客户端收到EAP-Request/MD5-Challenge报文后,将密码和Challenge做MD5算法后的Challenged-Pass-word,在EAP-Response/MD5-Challenge回应给接入设备
(8) 接入设备将Challenge,Challenged Password和用户名一起送到RADIUS服务器,由RADIUS服务器进行认证
(9)RADIUS服务器根据用户信息,做MD5算法,判断用户是否合法,然后回应认证成功/失败报文到接入设备。如果成功,携带协商参数,以及用户的相关业务属性给用户授权。如果认证失败,则流程到此结束;
(10) 如果认证通过,用户通过标准的DHCP协议 (可以是DHCP Relay) ,通过接入设备获取规划的IP地址;
(11) 如果认证通过,接入设备发起计费开始请求给RADIUS用户认证服务器;
(12)RADIUS用户认证服务器回应计费开始请求报文。用户上线完毕。Windows 身份验证 和 SQL Server身份验证 。
主要集中在信任连接和非信任连接。
windows 身份验证相对于混合模式更加安全,使用本连接模式时候,sql不判断sa密码,而仅根据用户的windows权限来进行身份验证,我们称为“信任连接”,但是在远程连接的时候会因NTML验证的缘故,无法登陆。
混合模式验证就比较既当本地用户访问sql时候采用windows身份验证建立信任连接,当远程用户访问时由于未通过windows认证,而进行sql server认证(使用sa的用户也可以登录sql),建立“非信任连接”,从而使得远程用户也可以登录。
更加直接一些就是windows身份验证,不验证sa密码,如果windows登录密码不正确,无法访问sql,混合模式既可以使用windows身份验证登录,有可以在远程使用sa密码登录。
准确来说,混合身份验证模式,也就是基于Windows
身份验证和SQL Server身份混合验证。在这个模式中,系统会判断账号在Windows *** 作系统
下是否可信,对于可信连接,系统直接采用Windows身份验证机制,而非可信连接,这个连接
不仅包括远程用户还包括本地用户,SQL Server 会自动通过账户的存在性和密码的匹配
性来进行验证。比如当SQL Server实例在Windows 98上运行时,必须使用混合模式,因为在
Windows 98上不支持Windows身份验证模式。身份验证模式为混合模式。
身份验证方式的设置方法:1、打开窗口,选择查看已注册的服务器命令,打开已注册的服务器窗口;
2、依次展开数据库引擎和本地服务器组节点,查看当前已注册的服务器,右键单击服务器名称,在d出的快捷菜单中选择属性命令,打开编辑服务器注册属性窗口;
3、在常规选项卡中的服务器名称下拉列表中选择或输入需要设置的服务器名称,在身份验证下拉表中选择身份验证方式,如果选择“sql server身份验证”还必须输入登录名和相应的密码;
4、单击测试按钮,验证设置是否正确;
5、测试正确无误后,单击保存按钮,即可完成身份验证方式的设置。主要内容包括:
认证类型可以分为单向认证、双向认证以及第三方认证。
认证技术方法主要有口令认证技术、智能卡技术、基于生物特征认证技术、Kerberos技术等多种实现方式。
(1)口令认证是基于用户所知道的秘密而进行的技术,是网络常见的身份认证方法。网络设备、 *** 作系统和网络应用服务等都采用了口令认证。
(2)口令认证一般要求参与认证的双方按照事先约定的规则,用户发起服务请求,然后用户被要求向服务实体提供用户标识和用户口令,服务实体验证其正确性,若验证通过,则允许用户访问。
(3)口令认证的优点是简单、易于实现,当用户想要访问系统时,要求用户输入“用户名和口令”即可。
(4)口令认证的不足是容易受到攻击,主要的攻击方式有窃听、重放、中间人攻击、口令猜测等。因此,要实现口令认证的安全,应至少满足以下条件:
① 口令信息要安全加密存储;
② 口令信息要安全传输;
③ 口令协议要抵抗攻击,符合安全协议设计要求;
④ 口令选择要做到避免弱口令。
为了保证口令认证安全,网络服务提供商要求用户遵循口令生成安全策略,即口令设置要符合口令安全组成规则,同时对生成的口令进行安全强度评测,从而促使用户选择安全强度较高的口令。
智能卡是一种带有存储器和微处理器的集成电路卡,能够安全存储认证信息,并具有一定的计算能力。
通过智能卡来实现挑战/响应认证
在挑战/响应认证中,用户会提供一张智能卡,智能卡会一直显示一个随时间而变化的数字,假如用户视图登录目标系统,则系统首先将对用户进行认证,步骤如下:
(1)用户将自己的ID发到目标系统
(2)系统提示用户输入数字
(3)用户从智能卡上读取数字
(4)用户将数字发送给系统
(5)系统收到数字对ID进行确认,如果ID有效,系统会生成一个数字并将其显示给用户,称为挑战
(6)用户将上面的挑战输入到智能卡
(7)智能卡用这个输入的值根据一定算法计算出一个新的数字并提示这个结果,该数字称为应答
(8)用户将应答输入系统
(9)系统验证应答是否正确,如果正确,用户通过验证并登录进入系统
基于生物特征就是利用人类生物特征进行验证。目前,指纹、人脸、视网膜、语音等生物特征信息可用来进行人的生物认证,人的指纹与生俱来,并且一生不变。
一、定义
kerbors是一个网络认证协议,其目标是使用秘钥加密为客户端/服务器提供加强身份认证,其技术原理是利用对称加密密码技术,使用可信的第三方来为应用服务提供认证服务,并在用户和服务器之间建立安全信道。
二、一个kerbors系统设计基本实体:
(1)kerbors客户机,用户用来访问服务器设备
(2)AS(Authentcation Server,认证服务器),识别用户身份并提供TGS会话秘钥
(3)TGS(Ticket Granting Server,票据发放服务器),为申请服务的用户授予票据(Ticket)
(4)应用服务器,为用户提供服务的设备或系统
其中通常将AS和TGS统称为秘钥发放中心KDC(Key Distribution Center)。票据(ticket)是用于安全传递用户身份所需要的信息的集合,主要包括客户方Principal、客户方IP地址、时间戳(分发该Titcket的时间)、Ticket的生存期、以及会话秘钥等内容。
三、KerborsV5认证协议主要由六步构成
kerbors协议中要求用户经过AS和TGS两重认证的优点主要有以下两点:
(1)可以显著减少用户密钥的密文的暴露次数,这样就可以减少攻击者对有关用户的密钥的密文的积累
(2)kerbors认证过程中具有单点登录(Signle Sign On,SSO)的优点,只要用户拿到了TGT并且该TGT没有过期,那么用户就可以使用该TGT通过TGS完成到任一服务器的认证过程而不必输入密码。
四、缺点:
kerbors存在不足之处,kerbors认证系统要求解决主机时间节点同步问题和抵御拒绝服务攻击。
目前windos系统和Hadoop都支持kerbors认证。
PKI(Public Key Infrastructure )就是有创建、管理、存储、分发和撤销公钥证书所需要的硬件、软件、人员、策略和过程的安全服务设施。PKI提供了一种系统化的、可扩展的、统一的、容易控制的公钥分发方法。
基于PKI的主要安全服务有身份认证、完整性保护、数字签名 、会话加密管理、秘钥恢复。
PKI涉及多个实体之间的协商和 *** 作,主要实体包括CA、RA、终端实体、客户端、目录服务器。
PKI各实体的功能分别叙述如下:
CA(Certification Authority):证书授权机构,主要进行证书的颁发
RA(Registration Authority):证书登记权威机构
目录服务器:CA通常使用一个目录服务器, 提供证书管理和分发的服务
终端实体:指要认证的对象,例如服务器、打印机、Email地址、用户等
客户端:指需要基于PKI安全服务的使用者,包括用户、服务进程等
单点登录:是指用户访问使用不同的系统时,只需要进行一次身份认证,就可以根据这次登录的认证身份访问授权资源。单点登录解决了用户访问使用不同系统时,需输入不同系统的口令以及保管口令问题,简化了认证管理工作。
认证技术是网络安全保障的基础性技术,普遍应用于网络信息系统保护。认证技术常见的应用场景如下:
(1)用户身份验证:验证网络资源访问者的身份,给网络系统访问授权提供支持服务
(2)信息来源证实:验证网络信息的发送者和接收者的真实性,防止假冒
(3)信息安全保护:通过认证技术保护网络信息的机密性、完整性、防止泄密、篡改、重放或延迟。安全计算环境linux- 身份鉴别 技术
a)应对登录的用户进行身份标识和鉴别,身份标识具有唯一性,身份鉴别信息具有复杂度要求并定期更换
要求解读
Linux系或统的用户鉴别过程与其他UNIX系统相同:系统管理员为用户建立一个账户并为其指定一个口令,用户使用指定的口今登录后重新配置自己的自已的口令,这样用户就具备一个私有口令。etc/password文件中记录用户的属性信息,包括用户名、密码、用户标识、组标识等信息。现在Linux系统中不再直接保存在/etc/password文件中,通常将password文件中的口令字段使用一个“x”来代替,将/etc/shadow作为真正的口令文件,用于保存包括个人口令在内的数据。当然,shadow文件是不能被普通用户读取的,只有超级用户才有权读取。
Linux中的/etc/logindefs是登录程序的配置文件,在这里我们可配置密码的最大过期天数,密码的最大长度约束等内容。如果/etc/pamd/system-auth文件里有相同的选项,则以/etc/pamd/system-auth里的设置为准,也就是说/etc/pamd/system-aut的配置优先级高于/etc/logindefs。
Linux系统具有调用PAM的应用程度认证用户。登示服务、屏保等功能,其中一个重要的文件使是etc/pamd/system-auth(在Kedhat Cent0s 和Fedora系上)。/etc/pamd/system-auth或/etc/logindefs中的配置优先级高于其他地方的配置。
另外,root用户不受pam认证规则的限制,相关配置不会影响root用户的密码,root用户可以随意设置密码的。logindefs文件也是对root用户无效的。
测评方法
1)访谈系统管理员系统用户是否已设置密码,并查看登录过程中系统账户是否使用了密码进行验证登录。
2)以有权限的账户身份登录 *** 作系统后,使用命令more查看/etc/shadow文件,核查系统是否存在空口令账户
3)使用命令more查看/etc/login defs文件,查看是否设置密码长度和定期更换要求
#more /etc/login defs
使用命令more查看/etc/pamd/system-auth文件。查看密码长度和复杂度要求
4)检查是否存在旁路或身份鉴别措施可绕过的安全风险
预期结果和主要证据
1)登录需要密码
2)不存在空口令账户
3)得出类似反馈信息,如下:
PASS MAX_DAYS 90 #登录密码有效期90天
PASS MIN_DAYS 0 #登录密码最短修改时间,增加可以防止非法用户短期更改多次
PASS MIN_LEN 7 #登录密码最小长度7位
PASS WARN_AGE 7 #登录密码过期提前7天提示修改
4)不存在绕过的安全风险
b)应具有登录失败处理功能,应配置并启用结束会话、限制非法登录次数和当登录连接超时自动退出等相关措施
要求解读
Linux系统具有调用PAM的应用程度认证用户、登录服务、屏保等功能,其中一个重要的文件便/etc/pamd/system-auth ,Redhat5以后版本使用pam_tally2so模块控制用户密码认证失败的次数上限,可以实现登录次数、超时时间,解锁时间等。
着只是针对某个程序的认证规则,在PAM目录(/etc/pam d)下形如sshd、login 等等的对应各程序的认证规则文件中进行修改。若所有密码认证均应用规则, 可直接修改system_auth文件
测评方法
1)系统配置并启用了登录失败处理功能
2)以root身份登录进入Linux, 查看文件内容:
# cat /ete/pamd/system -auth或根据linux版本不同在common文件中
3)查看/etc/profile中的TIMEOUT环境变量,是否配置超时锁定参数
预期结果和主要证据
得出类似反馈信息,如下:
1)和2)查看登录失败处理功能相关参数,/etc/pamd/system—auth文件中存在"account required /lib/security/pam_tallyso deny=3
no_ magic root reset" ;
3)记录在文件/etc/profile中设置了超时锁定参数,在profile下设置TMOUT= 300s
c) 当进行远程管理时,应采取必要措施、防止鉴别信息在网络传输过程中被窃听
要求解读
Linux提供了远程访问与管理的接口,以方便管理员进行管理 *** 作,网络登录的方式也是多样的,例如可以使用Telnet登录,也可以使用SSH登录。但是,Telnet不安全。I因为其在教据传输过程中,账户与密码均明文传输,这是非常危险的。黑客通过一些网络对嗅探工是能够轻易地的窃取网络中明文传输的账户与密码,因此不建议通过Telnet协议对服务器进行远程管理。针对Telnet协议不安全这种情况,可以在远程登录时使用SSH协议。其原理跟Telnet类似,只是其具有更高的安全性。SSH是一个运行在传输控制层上的应用程序,与Telnet相比,它提供了强大的认证与加密功能,可以保证在远程连接过程中,其传输的数据是加密处理过的。因此保障了账户与口令的安全
测评方法
访谈系统管理员,进行远程管理的方式。
1)以root身份登录进入Linux查看是否运行了sshd服务,service - status-all | grep sshd
查看相关的端口是否打开,netstat -an|grep 22
若未使用SSH方式进行远程管理,则查看是否使用了Telnet 方式进行远程管理
service - -status-all|grep running,查看是否存在Telnet服务
2)可使用wireshark等抓包工具,查看协议是否为加密
3)本地化管理,N/A
预期结果和主要证据
1)使用SSH方式进行远程管理,防止鉴别信息在传输过程中被窃听,Telnet默认不符合
2)通过抓包工具,截获信息为密文,无法读取,协议为加密
3) N/A本地管理
d)应采用口令、密码技术、生物技术等两种或两种以上组合的鉴别技术对用户进行身份鉴别,且其中一种鉴别技术至少应使用密码技术来实现
解读
对于第三级及以上的 *** 作系统要求采用口令、密码技术、生物技术等两种或两种以上组合的鉴别技术对用户进行身份鉴别,且其中一种鉴别技术至少应使用密码技术来实现
测评方法
访谈和核查系统管理员在登录 *** 作系统的过程中使用了哪些身份鉴别方法,是否采用了两种或两种以上组合的鉴别技术,如口令教字证书Ukey、令牌、指纹等,是否有一种鉴别方法在鉴别过程中使用了密码技术
预期结果和主要证据
除口令之外,采用了另外一种鉴别机制,此机制采用了密码技术,如调用了密码机或采取SM1-SM4等算法
欢迎分享,转载请注明来源:内存溢出
微信扫一扫
支付宝扫一扫
评论列表(0条)