目录
6.1、认证概述
6.1.1、认证概念
6.1.2、认证依据
6.1.4、认证发展
6.2、认证过程与认证授权
6.2.1、单向认证
6.2.2、双向认证
6.2.3、第三方认证
6.3、认证技术方法
6.3.1、口令认证技术
6.3.2、智能卡技术
6.3.3、Kerberos认证技术
6.3.4、公钥基础设施(KPI)技术
6.3.5、单点登录(Single Sign On)
6.3.6、其他认证技术
6.4、认证主要产品与技术指标
6.4.1、认证主要产品
6.4.2、主要技术指标
6.5、认证技术应用
认证是一个实体向另外一实体证明其所声称的身份的过程
声称者:需要被证实的实体
验证者:负责检查确认声称实体
认证由标识(Identification)、鉴别(Authentication)组成
6.1.3、认证原理
分类:
按鉴别实体要求提供的认证凭据类型数量
按照认证依据所利用的时间长度
一次性口令 OPT(One Time Password):口令只在短时间有效,如短信验证码,可防止口令重用攻击。
持续认证(Continuous authentication):对整个会话过程中的特征行为进行连续检测不断的验证用户所具有的特征。鉴定因素有:认知因素(Cognitive factors)、物理因素(Physiological factors)、上下文因素(Contextual factors)。
美国《网络空间可信身份国家战略》(NSTIC)
欧盟 提出电子身份标识(eID)
中国 《关于建设统一的人力资源社会保障网络信任体系的指导意见》,用于指导网络信任体系建设工作。
国内 网络信任体系是以密码学为基础,以法律法规,技术标准和基础设施为主要内容。
工业界的一些认证标准:OpenID、SAML、Oauth、FIDO,用于不同网络身份认证系统之间互联互通。
1、基于共享秘密
2、基于挑战响应
参与认证的实体双方互为验证者
指两个实体在鉴别过程依赖可信的第三方实现,可信第三方(TTP Trusted Third Party)。
要求:
一种带有储存器和微处理器的集成电路卡,能安全储存认证信息,并具有一定计算能力
流程:基于挑战/响应认证
一种网络认证协议
提供强身份认证
利用对称密码技术,使用第三发认证为应用服务器提供认证
第五版详情:
基本实体:
流程: 详情见信息安全工程师教程 P126
1、Kerberos客户端向认证服务器AS申请票据TGT
2、AS在收到数据后,在数据库检查确认Kerberos客户(验证客户标识合法,查出对应客户端的密码),产生TG会话密钥,生成一个票据TGT(客户实体名、地址、时间戳、限制时间、TG会话密钥)然后用客户端的密码加密并返回数据到客户端
3、客户端收到数据后,用自己的密码解密,得到TG会话密钥,然后利用解密的信息重构认证请求单,并用TG会话密钥加密发送到TGS
4、TGS使用自己秘密密钥解密TGT,得到TG会话密钥,再用TG会话密钥解密收到的客户请求认证单,对比请求认证单和TGT信息。然后生成新的会话密钥(客户端和应用服务端的)并用TG会话密钥加密,生成请求服务票据(客户实体名、地址、时间戳、限制时间、会话密钥---客户端与应用服务器)并用应用服务器秘密密钥加密后,发送到客户端。
5、客户端收到数据后用TG会话密钥解密得到会话密钥,并生成访问应用服务器的认证单,并用会话密钥加密后与TGS发来的票据一起发送给应用服务器。
6、应用服务器收到数据后用自己的秘密密钥解密客户端转发的票据,得到会话密钥,用会话密钥解密认证表单。对比两份表单。
优点:
减少用户密钥在网络中的密文暴露次数
认证过程具有单点登录(SSO)的优点
缺点:
要求系统解决主机节点时间同步问题和抵御拒绝服务攻击。
PKI主要安全服务:
身份认证、完整性保护、数字签名、会话加密管理、密钥恢复。
PKI的实体组成:
CA(Certification Authority):证书授权机构,进行证书颁发、废除和更新
RA(Registration Authority):证书登记权威机构,将公钥和对应的证书持有者的身份及其他属性联系起来。
目录服务器:提供证书管理和分发的服务
终端实体(Ended Entity):需要认证的对象
客户端(Client):PKI安全服务的使用者
指用户访问使用不同系统时,只需要进行一次身份认证。
技术 | 特性 |
基于生物t特征认证技术 | 指纹、人脸、虹膜等 |
基于人机识别认证技术 | 利用计算机求解问题的困难性区分计算机和人的操作 |
多因素认证技术 | 多种鉴别信息进行组合验证 |
基于行为的身份认证技术 | 根据用户行为和风险大小进行身份鉴别 |
快速在线认证技术(FIDO) | r认证方式与认证协议分离 设计目标为保护用户隐私 用户生物识别信息不离开设备 FIDO协议给用户客户端身份验证方法提供通用接口 |
1、系统安全增强:利用多因素认证增强系统安全性。
2、生物认证
3、电子认证服务
4、网络准入控制:采用基于802.1X协议、Radius协议、VPN等身份认证技术,与网络交换机、路由器、安全网关等设备联动,对入网设备进行身份认证和安全合规性认证。
5、身份认证网关:利用数字证书、数据同步、网络服务重定向技术,提供集中统一的认证服务。具有单点登录、安全审计等安全服务。
见教程 P134