认证的一些问题和分析(5)
设计认证逻辑的难度,被支持度
认证是行为,行为过程、行为因素可以用语言表示。可以是形式的语义、实践(?)的语义
中国知网的认证协议论文有不少
《应用密码学-协议、算法与C源程序》也有相关内容
安全实际是极其复杂的,可以有多方面的应用。论文要基于实践,解决实际问题,或将会被利用的漏洞。
考虑过《基于加密、规则、攻击的认证协议》,这是多方具有不同程度的知识的。
需要什么样的认证协议,针对什么问题。总不能自己凭想象设计一种协议,不管其价值。可能是要针对具体的应用领域。
加入了什么样的安全技术。理想的状态和实际的状态。安全技术针对不同的问题有许多种解释吧。
进行了什么样的验证。通用的,还不熟悉。
采用了什么样的工具。通用的,还不熟悉。
有什么样的改进。决定改进的思路是怎样的。
有什么样的创新。
实验数据的证实。鲜见实验数据。
安全性能的改善和安全性能分析。
《具有一定通用性的认证评价策略》
--------------------------------------------------------------------------------
一、安全认证的内涵和外延二、认证的思想体系三、评价的指标体系四、认证评价的策略五、防止哪些攻击
--------------------------------------------------------------------------------
一、认证的内涵外延二、认证的思想体系
1、认证的定义:
认证的双方具备的条件; 认证双方的确定; 认证要达到的目标; 认证的过程描述; 认证的风险; 2、认证的理论分类:
2、1、用户名加口令;动态口令ONE-TIME-PASSWORD; 2、2、单向函数; 2、3、公钥加密; 2、4、挑战/应答; 2、5、语言加问题求解; 2、6、双方推理; 2、7、基于物理设备:指纹;USB-KEY;虹膜;IC卡; 2、8、消息认证 2、9、双向认证
3、认证的过程控制
服务器端的端口的排队; 大量超额认证的处理; 认证出错处理; 认证过程的质量保证; 认证双方的软硬件配置; 多认证策略的触发、转变、衔接和控制;
对客户端认证程序的总控,和客户端认证程序的运行支撑软件平台; 认证程序、进程和支撑程序、进程的交互;
4、认证的限制
零知识证明; 认证双方的约定; 认证双方是否可以协商; 认证双方协商的内容;认证试探的次数; 认证次数是否有限制; 允许同时认证的个数和采取的措施:如再开个端口,再开一个服务器,再开一个进程;
5、认证与访问控制的关系 时间顺序的关系; 整体上多个客户有先有后的关系; 不同客户访问的时效性; 一次认证,多次有效; 一次认证,一次有效; 6、认证与整体安全性的关系 认证通过,仅允许访问;或是访问某些相应设置的权限; 7、认证与资源占用的关系
应用层认证协议处理、应用层进程; 双方端口与具体编程环境IDE不同的开销; 零知识的和有一定知识的,占用硬件资源的多少;
8、认证的有效性
认证的方法、策略、技术有效否; 认证的准备是否有效; 10、认证的实现技术 2、1、 口令:HTML+ASP+HTTP+IIS,PHP,JAVA,ACTIVEX,JAVA APPLET,VC,VB,JAVA 动态口令:同步口令生成器 2、2、单向函数:VC,VB,JAVA等网络编程技术 2、3、公钥加密:同上 2、4、挑战/应答:同上 2、5、语言加问题求解:同上 2、6、双方推理:改造CLIPS,或同上 2、7、基于物理设备:指纹;USB-KEY;虹膜;IC卡; 2、8、消息认证 2、9、双向认证11、认证实现的智能化分析 服务器端认证客户端ID号码的问题; 认证ID函数的问题,ID函数要有相当的破解难度;
认证策略 必须基于防备各种攻击方法,需要考虑到安全保密性的方方面面;
认证机(实现认证的软硬件系统) 相当于一台虚拟计算机,有输入输出,能够进行中央处理,同时要有好的吞吐率;简单地理解输入,就是服务器端的认证查询,输出就是客户端经过计算、查询,传输正确的结果给服务器端。
12、认证实现的语言化分析13、认证的测试策略和平台
测试是指设计方的测试者进行的测试,以保证认证的安全。也可以有攻击方的认证测试。 原则上,不限定单点同次的认证次数。
基于认证策略的多样性,理解该认证策略的协议格式,包括服务器端发来的数据包的功能,客户端申请认证的数据包的功能,客户端响应认证进行回答的数据包的功能。
14、认证的测试工具15、认证的测试程序16、认证的网络程序原理 17、认证程序的实现技巧18、认证的AGENT技术19、不同软件系统的认证实现20、不同硬件平台的认证实现21、认证协议及测试22、认证协议的形式化描述23、认证的语义
24、认证程序和数据的分发策略
--------------------------------------------------------------------------------
--------------------------------------------------------------------------------
三、评价的指标体系1、安全性指标2、可用度指标3、可靠性指标4、可观察性指标5、可控制性指标
6、时空开销指标