认证技术原理与应用
1、认证概述
认证概念
- 认证是一个实体向另一个实体证明其所声称的身份过程
- 需要被证实的实体是声称者
- 负责检查确认声称者的实体是验证者
认证的组成:一般由标识和鉴别两部分组成
- 标识代表实体对象的身份标志。一般用名称和标识符来表示,通过唯一标识符,可以代表实体。
- 鉴别的凭据主要有所知道的秘密信息,所拥有的凭证、所具有的个体特征以及所表现的行为。
认证依据:用于确认实体(声称者)身份的真实性或者其拥有的属性的凭证,常见的认证依据主要有四类:
- 所知道的秘密信息
- 所拥有的实物凭证
- 所具有的生物特征
- 所表现的行为特征
认证机制组成:验证对象、认证协议、鉴别实体
- 认证协议是验证对象和鉴别实体(验证者)之间进行认证信息交换所遵从的规则
按照对验证对象要求提供的认证凭据的类型数量,认证可分成:单因素认证(指纹)、双因素认证(指纹+密码)、多因素认证
根据认证依据所利用的时间长度,认证可分为:一次性口令、持续认证。
- 一次性口令简称OTP,用于保护口令安全。防止口令重用攻击。短消息验证码
- 持续认证是指连续提供身份确认,其技术原理是对用户整个会话过程中的特征行为进行连续检测,其标志是对事件的身份验证转变为对过程的身份验证。持续验证所使用的鉴定因素主要是:认知因素(眼手协调、应用行为模拟、使用偏好)、物理因素(左/右手,按压大小)、上下文因素(事务、导航、设备和网络模式)
2、认证类型与认证过程(重要)
单向认证:验证者对声称者进行单方面的鉴别,而声称者不需要识别验证者的身份。实现单向认证的技术:
双向认证:验证者对声称者进行单方面的鉴别,同时,声称者也对验证者的身份确认。参与认证的实体双方互为验证者,可以解决服务器的真假识别安全问题。
第三方认证:两个实体在鉴别过程中通过可信的第三方来实现。可信的第三方简称TTP。
- 第一步,A发送B的身份标识和自己的随机数,并用自己的密钥加密
- 第二步,第三方验证A的可靠性,给A发送密钥和用B的密钥加密的。
3、认证技术方法
口令认证技术:基于用户所知道的秘密而进行的认证技术
- 优点:简单、易于实现
- 不足:容易受到攻击
智能卡技术:带有智能存储器和微处理器的集成电路卡,能够安全存储认证信息,具有一点的计算能力。
基于生物特征认证技术:利用人类生物特征来进行验证:指纹、人脸、视网膜、语言。
Kerberos认证技术:网络认证协议,其目标是使用密钥加密为客户端/服务器应用程序提供强身份认证。原理是利用对称密码技术,使用第三方来为应用服务器提供认证服务。一个Kerberos系统涉及四个基本实体:
- Kerberos客户机:用户用来访问服务器设备
- AS(认证服务器):识别用户身份并提供TGS会话密钥
- TGS(票据发放服务器):为申请服务的用户授予票据
- 应用服务器:为用户提供服务的设备或系统
- AS和TGS统称为KDC(密钥分发中心)
- TGT=票证授予票证
- 票据是用于安全的传递用户身份所需要的信息的集合
Kerberos协议中要求用户经过AS和TGS两重认证的优点
- 显著减少用户密钥的密文的暴露次数
- 具有单点登录(SSO)的优点,只有拿到了TGT并且TGT没有过期。用户可以使用该TGT通过TGS完成到任一服务器的认证过程而不必重新输入密码。
Kerberos不足之处
- 主机节电时间同步问题和抵御拒绝服务攻击
- 服务器的时间发生了错误,整个Kerberos认证系统将会瘫痪。
公钥基础设施(PKI)技术:PKI不仅能实现加密服务,也能提供识别和认证服务。
公钥证书:实体和一个公钥的绑定。针对公钥的真实性和所有权问题。
单点登录(SSO):只需要进行一次身份认证,简化了认证管理工作。
基于人机识别认证技术(CAPTCHA技术):利用计算机求解问题的困难性以区分计算机和人的操作。包括:CAPTCHA、图像CAPTCHA、语音CAPTCHA。例如12306图片登录验证码。
多因素认证技术:使用多种鉴别信息进行组合
基于行为的身份鉴别技术:根据用户行为和风险大小而进行的身份鉴别技术。
快速在线认证(FIDO):使用标志公钥加密技术来提供身份认证。保护用户隐私,不提供跟踪用户的信息。原理:
- 登记注册:私钥保留在用户端设备中,公钥注册到在线服务。
- 登录使用:在线服务器提升要求用户使用以前注册的设备登录,用户使用与注册时间相同的方法解锁FIDO身份验证器。
FIDO协议给了用户客户端身份验证方法的通用接口
4、认证主要产品与技术指标
认证技术产品:是最为普通的网络安全产品。产品形态有:硬件实体模式、软件模式或软硬结合模式。商业产品主要为:物理硬件实体,安全功能软件集成到硬件实体中。
认证技术产品的评价指标:安全功能要求、性能要求和安全保障要求。主要技术指标
5、认证技术应用
认证技术:是网络安全保障的基础性技术,应用场景:
- 用户身份验证
- 信息来源证实
- 信息安全保护