2021信息安全工程师学习笔记（六）

认证技术原理与应用

1、认证概述

认证概念

• 认证是一个实体向另一个实体证明其所声称的身份过程
• 需要被证实的实体是声称者
• 负责检查确认声称者的实体是验证者

认证的组成&＃xff1a;一般由标识和鉴别两部分组成

• 标识代表实体对象的身份标志。一般用名称和标识符来表示&＃xff0c;通过唯一标识符&＃xff0c;可以代表实体。
• 鉴别的凭据主要有所知道的秘密信息&＃xff0c;所拥有的凭证、所具有的个体特征以及所表现的行为。

认证依据&＃xff1a;用于确认实体&＃xff08;声称者&＃xff09;身份的真实性或者其拥有的属性的凭证&＃xff0c;常见的认证依据主要有四类&＃xff1a;

• 所知道的秘密信息
• 所拥有的实物凭证
• 所具有的生物特征
• 所表现的行为特征

认证机制组成&＃xff1a;验证对象、认证协议、鉴别实体

• 认证协议是验证对象和鉴别实体&＃xff08;验证者&＃xff09;之间进行认证信息交换所遵从的规则

按照对验证对象要求提供的认证凭据的类型数量&＃xff0c;认证可分成&＃xff1a;单因素认证&＃xff08;指纹&＃xff09;、双因素认证&＃xff08;指纹&＃43;密码&＃xff09;、多因素认证

根据认证依据所利用的时间长度&＃xff0c;认证可分为&＃xff1a;一次性口令、持续认证。

• 一次性口令简称OTP&＃xff0c;用于保护口令安全。防止口令重用攻击。短消息验证码
• 持续认证是指连续提供身份确认&＃xff0c;其技术原理是对用户整个会话过程中的特征行为进行连续检测&＃xff0c;其标志是对事件的身份验证转变为对过程的身份验证。持续验证所使用的鉴定因素主要是&＃xff1a;认知因素&＃xff08;眼手协调、应用行为模拟、使用偏好&＃xff09;、物理因素&＃xff08;左/右手&＃xff0c;按压大小&＃xff09;、上下文因素&＃xff08;事务、导航、设备和网络模式&＃xff09;

2、认证类型与认证过程&＃xff08;重要&＃xff09;

单向认证&＃xff1a;验证者对声称者进行单方面的鉴别&＃xff0c;而声称者不需要识别验证者的身份。实现单向认证的技术&＃xff1a;
双向认证&＃xff1a;验证者对声称者进行单方面的鉴别&＃xff0c;同时&＃xff0c;声称者也对验证者的身份确认。参与认证的实体双方互为验证者&＃xff0c;可以解决服务器的真假识别安全问题。

第三方认证&＃xff1a;两个实体在鉴别过程中通过可信的第三方来实现。可信的第三方简称TTP。

• 第一步&＃xff0c;A发送B的身份标识和自己的随机数&＃xff0c;并用自己的密钥加密
• 第二步&＃xff0c;第三方验证A的可靠性&＃xff0c;给A发送密钥和用B的密钥加密的。

3、认证技术方法

口令认证技术&＃xff1a;基于用户所知道的秘密而进行的认证技术

• 优点&＃xff1a;简单、易于实现
• 不足&＃xff1a;容易受到攻击
• 
  智能卡技术&＃xff1a;带有智能存储器和微处理器的集成电路卡&＃xff0c;能够安全存储认证信息&＃xff0c;具有一点的计算能力。
  
  基于生物特征认证技术&＃xff1a;利用人类生物特征来进行验证&＃xff1a;指纹、人脸、视网膜、语言。

Kerberos认证技术&＃xff1a;网络认证协议&＃xff0c;其目标是使用密钥加密为客户端/服务器应用程序提供强身份认证。原理是利用对称密码技术&＃xff0c;使用第三方来为应用服务器提供认证服务。一个Kerberos系统涉及四个基本实体&＃xff1a;

• Kerberos客户机&＃xff1a;用户用来访问服务器设备
• AS&＃xff08;认证服务器&＃xff09;&＃xff1a;识别用户身份并提供TGS会话密钥
• TGS&＃xff08;票据发放服务器&＃xff09;&＃xff1a;为申请服务的用户授予票据
• 应用服务器&＃xff1a;为用户提供服务的设备或系统
• AS和TGS统称为KDC&＃xff08;密钥分发中心&＃xff09;
• TGT&＃61;票证授予票证
• 票据是用于安全的传递用户身份所需要的信息的集合
  Kerberos协议中要求用户经过AS和TGS两重认证的优点
• 显著减少用户密钥的密文的暴露次数
• 具有单点登录&＃xff08;SSO&＃xff09;的优点&＃xff0c;只有拿到了TGT并且TGT没有过期。用户可以使用该TGT通过TGS完成到任一服务器的认证过程而不必重新输入密码。

Kerberos不足之处

• 主机节电时间同步问题和抵御拒绝服务攻击
• 服务器的时间发生了错误&＃xff0c;整个Kerberos认证系统将会瘫痪。

公钥基础设施&＃xff08;PKI&＃xff09;技术&＃xff1a;PKI不仅能实现加密服务&＃xff0c;也能提供识别和认证服务。

公钥证书&＃xff1a;实体和一个公钥的绑定。针对公钥的真实性和所有权问题。

单点登录&＃xff08;SSO&＃xff09;&＃xff1a;只需要进行一次身份认证&＃xff0c;简化了认证管理工作。

基于人机识别认证技术&＃xff08;CAPTCHA技术&＃xff09;&＃xff1a;利用计算机求解问题的困难性以区分计算机和人的操作。包括&＃xff1a;CAPTCHA、图像CAPTCHA、语音CAPTCHA。例如12306图片登录验证码。

多因素认证技术&＃xff1a;使用多种鉴别信息进行组合

基于行为的身份鉴别技术&＃xff1a;根据用户行为和风险大小而进行的身份鉴别技术。

快速在线认证&＃xff08;FIDO&＃xff09;&＃xff1a;使用标志公钥加密技术来提供身份认证。保护用户隐私&＃xff0c;不提供跟踪用户的信息。原理&＃xff1a;

• 登记注册&＃xff1a;私钥保留在用户端设备中&＃xff0c;公钥注册到在线服务。
• 登录使用&＃xff1a;在线服务器提升要求用户使用以前注册的设备登录&＃xff0c;用户使用与注册时间相同的方法解锁FIDO身份验证器。

FIDO协议给了用户客户端身份验证方法的通用接口

4、认证主要产品与技术指标

认证技术产品&＃xff1a;是最为普通的网络安全产品。产品形态有&＃xff1a;硬件实体模式、软件模式或软硬结合模式。商业产品主要为&＃xff1a;物理硬件实体&＃xff0c;安全功能软件集成到硬件实体中。

认证技术产品的评价指标&＃xff1a;安全功能要求、性能要求和安全保障要求。主要技术指标

5、认证技术应用

认证技术&＃xff1a;是网络安全保障的基础性技术&＃xff0c;应用场景&＃xff1a;

• 用户身份验证
• 信息来源证实
• 信息安全保护