(软考中级--信息安全工程师)六、认证技术原理与应用

目录

6.1、认证概述

6.1.1、认证概念

6.1.2、认证依据

6.1.4、认证发展

6.2、认证过程与认证授权

6.2.1、单向认证

6.2.2、双向认证

6.2.3、第三方认证

6.3、认证技术方法

6.3.1、口令认证技术

 6.3.2、智能卡技术

 6.3.3、Kerberos认证技术

6.3.4、公钥基础设施(KPI)技术

6.3.5、单点登录(Single Sign On)

6.3.6、其他认证技术

6.4、认证主要产品与技术指标

6.4.1、认证主要产品

6.4.2、主要技术指标

6.5、认证技术应用


6.1、认证概述

6.1.1、认证概念

认证是一个实体向另外一实体证明其所声称的身份的过程

声称者:需要被证实的实体

验证者:负责检查确认声称实体

认证由标识(Identification)、鉴别(Authentication)组成

6.1.2、认证依据

  1. 所知道的秘密信息
  2. 所拥有的实物凭证
  3. 所具有的生物特征
  4. 所表现的行为特征

6.1.3、认证原理

  • 认证机制:
  • 验证对象:声称者
  • 认证协议:验证对象和鉴别实体之间进行认证信息交换所使用的规则
  • 鉴别实体:验证者

分类:
按鉴别实体要求提供的认证凭据类型数量

  • 单因素认证
  • 双因素认证
  • 多因素认证

按照认证依据所利用的时间长度

一次性口令 OPT(One Time Password):口令只在短时间有效,如短信验证码,可防止口令重用攻击。

持续认证(Continuous authentication):对整个会话过程中的特征行为进行连续检测不断的验证用户所具有的特征。鉴定因素有:认知因素(Cognitive factors)、物理因素(Physiological factors)、上下文因素(Contextual factors)。

6.1.4、认证发展

美国《网络空间可信身份国家战略》(NSTIC)

欧盟 提出电子身份标识(eID)

中国 《关于建设统一的人力资源社会保障网络信任体系的指导意见》,用于指导网络信任体系建设工作。

国内 网络信任体系是以密码学为基础,以法律法规,技术标准和基础设施为主要内容。

工业界的一些认证标准:OpenID、SAML、Oauth、FIDO,用于不同网络身份认证系统之间互联互通。 

6.2、认证过程与认证授权

6.2.1、单向认证

1、基于共享秘密

2、基于挑战响应

  1. 声称者向验证者发起验证请求(ID_{A}),
  2. 验证者验证标识合法性后生成随机数R_{B},并向其发送(ID_{B}R_{B})。
  3. 声称者收到后,安全生成包含R_{B}的秘密K_{AB},并向其发送(ID_{A}K_{AB}).
  4. 验证者收到后解密K_{AB},检查R_{B}正确否。
  5. 返回验证结果。

6.2.2、双向认证

参与认证的实体双方互为验证者

6.2.3、第三方认证

指两个实体在鉴别过程依赖可信的第三方实现,可信第三方(TTP  Trusted Third Party)。

6.3、认证技术方法

6.3.1、口令认证技术

要求:

  • 口令信息安全加密储存
  • 口令信息安全传输
  • 口令认证协议抗攻击
  • 避免弱口令

 6.3.2、智能卡技术

一种带有储存器和微处理器的集成电路卡,能安全储存认证信息,并具有一定计算能力

流程:基于挑战/响应认证

  1. 用户发送ID到目标系统
  2. 系统提示输入数字
  3. 用户从智能卡上读取数字(随时间变化的数字)
  4. 用户输入数字
  5. 系统用收到的数字对ID进行验证有效性,有效则生成一个数字将其发送给用户,称为挑战
  6. 用户将挑战(数字)输入智能卡
  7. 智能卡用输入的值根据一定算法计算出一个新数字,称为应答
  8. 用户输入数字
  9. 系统验证应答是否正确

(软考中级--信息安全工程师)六、认证技术原理与应用_第1张图片

 6.3.3、Kerberos认证技术

一种网络认证协议

提供强身份认证

利用对称密码技术,使用第三发认证为应用服务器提供认证

第五版详情:

基本实体:

  • Kerberos客户机:客户端
  • AS(Authentication Server,认证服务器):识别用户身份,提供TGS会话密钥
  • TGS(Ticket Granting Server,票据发放服务器):发放票据
  • 应用服务器(Application Server):提供服务

流程: 详情见信息安全工程师教程 P126

1、Kerberos客户端向认证服务器AS申请票据TGT

2、AS在收到数据后,在数据库检查确认Kerberos客户(验证客户标识合法,查出对应客户端的密码),产生TG会话密钥,生成一个票据TGT(客户实体名、地址、时间戳、限制时间、TG会话密钥)然后用客户端的密码加密并返回数据到客户端

3、客户端收到数据后,用自己的密码解密,得到TG会话密钥,然后利用解密的信息重构认证请求单,并用TG会话密钥加密发送到TGS

4、TGS使用自己秘密密钥解密TGT,得到TG会话密钥,再用TG会话密钥解密收到的客户请求认证单,对比请求认证单和TGT信息。然后生成新的会话密钥(客户端和应用服务端的)并用TG会话密钥加密,生成请求服务票据(客户实体名、地址、时间戳、限制时间、会话密钥---客户端与应用服务器)并用应用服务器秘密密钥加密后,发送到客户端。

5、客户端收到数据后用TG会话密钥解密得到会话密钥,并生成访问应用服务器的认证单,并用会话密钥加密后与TGS发来的票据一起发送给应用服务器。

6、应用服务器收到数据后用自己的秘密密钥解密客户端转发的票据,得到会话密钥,用会话密钥解密认证表单。对比两份表单。

优点:

减少用户密钥在网络中的密文暴露次数

认证过程具有单点登录(SSO)的优点

缺点:

要求系统解决主机节点时间同步问题和抵御拒绝服务攻击。

6.3.4、公钥基础设施(KPI)技术

PKI主要安全服务:

身份认证、完整性保护、数字签名、会话加密管理、密钥恢复。

PKI的实体组成:

CA(Certification Authority):证书授权机构,进行证书颁发、废除和更新

RA(Registration Authority):证书登记权威机构,将公钥和对应的证书持有者的身份及其他属性联系起来。

目录服务器:提供证书管理和分发的服务

终端实体(Ended Entity):需要认证的对象

客户端(Client):PKI安全服务的使用者

6.3.5、单点登录(Single Sign On)

指用户访问使用不同系统时,只需要进行一次身份认证。

6.3.6、其他认证技术

技术 特性
基于生物t特征认证技术 指纹、人脸、虹膜等
基于人机识别认证技术 利用计算机求解问题的困难性区分计算机和人的操作
多因素认证技术 多种鉴别信息进行组合验证
基于行为的身份认证技术 根据用户行为和风险大小进行身份鉴别
快速在线认证技术(FIDO)

r认证方式与认证协议分离

设计目标为保护用户隐私

用户生物识别信息不离开设备

FIDO协议给用户客户端身份验证方法提供通用接口

6.4、认证主要产品与技术指标

6.4.1、认证主要产品

1、系统安全增强:利用多因素认证增强系统安全性。

2、生物认证

3、电子认证服务

4、网络准入控制:采用基于802.1X协议、Radius协议、VPN等身份认证技术,与网络交换机、路由器、安全网关等设备联动,对入网设备进行身份认证和安全合规性认证。

5、身份认证网关:利用数字证书、数据同步、网络服务重定向技术,提供集中统一的认证服务。具有单点登录、安全审计等安全服务。

6.4.2、主要技术指标

  • 密码算法支持
  • 认证准确度
  • 用户支持数量
  • 安全保障级别

6.5、认证技术应用

见教程 P134

  • 校园信任体系建设参考
  • 网络路由认证参考
  • 基于人脸识别机房门禁管理参考
  • eID身份验证参考
  • HTTP认证参考

你可能感兴趣的:(软考信息安全工程师,安全)