驗證者(Verifier),檢驗申請者提供的認證信息的正確性和合法性,決定是否滿足其認證要求。
攻擊者,可以竊聽和偽裝申請者,騙取驗證者的信任。
鑒別系統在必要時會有第三方,即可信賴者(可信第三方)參與仲裁。
基於實體所知的鑒別
1、使用可以記憶的秘密信息作為鑒別依據。
目前廣泛采用的使用用戶名和登錄密碼進行登錄驗證就是壹種基於“實體所知”的鑒別方式。
實現簡單、成本低,廣泛應用在各類商業系統中。
2、面臨安全威脅
信息泄露:登錄密碼猜測、線路竊聽。
信息偽造:重放攻擊。
3、線路竊聽防禦措施
防禦措施:加密(單向函數)。
攻擊者可能構造壹張q與p對應的表,表中的p盡可能包含所期望的值,列如彩虹表。
解決方法:在口令中使用隨機。
4、重放攻擊:攻擊者發送壹個目的主機已接收過的包,特別是在認證的過程中,用於認證用戶身份所接收的包,來達到欺騙系統的目的。
對於傳輸的會話憑證(登錄密碼或session等),如果僅采取簡單加密措施,攻擊者可以記錄下來,並且在稍後的驗證過程中進行重放,系統無法區分這次發送的登錄信息是攻擊者或是合法用戶。
5、針對重放攻擊防禦措施:
1)在會話中引入時間戳,由於時間戳的存在,攻擊者的重放攻擊會被系統拒絕。
2)使用壹次性口令。
3)在會話中引入隨機數。