概述
认证是用于验证双方身份的过程;通过核对人或事的特征参数(如智能卡、指纹、密钥、口令等),来验证真实性和有效性
认证机制是进行访问控制的前提条件,由被验证方、验证方、认证协议组成
• 认证的组成部分包括:
①标识identification
②鉴别authentication
• 认证与加密的区分:
认证可防范主动攻击,而加密可防范被动攻击
认证侧重身份验证、消息完整性验证,而加密侧重数据保密
• 认证与数字签名技术的区别(均用于确保数据真实性)
认证用于双方共享密钥数据验证,而数字签名用于公开验证签名的数据
数字签名具备抗抵赖、防伪造、公证能力,但认证不一定具备这些能力
依据
即鉴别身份的凭证,包括秘密信息、生物特征、实物凭证、行为特征(签名、语言等)
认证过程
单向认证
基于共享密钥
验证前提:共享密钥、被验证方标志
||表示附加或连接
基于挑战响应
验证前提:共享密钥、双方标志、验证方随机数以及加密函数
双向认证
相互验证前提条件:
①双方相互约定并保存对方的口令
②选择单向函数
使用单向函数进行加密,攻击者截获函数和随机数,也无法计算出对方口令
加入时间量,可以抵御重放攻击
第三方认证
相互验证前提条件:
①双方分别与可信第三方的共享密钥
②A向第三方申请用于A、B间加密的密钥
③双方标志(公开)
④双方随机数
仅其中一方与可信第三方对接
认证技术
口令认证
单向函数加密口令:只可加密,不可解密
数字签名验证口令:系统存有用户公钥
口令双向验证
一次性口令
口令管理防范措施:
①口令形式:复杂度要求、与账号相似性排查
②口令使用:限制登录次数、默认口令更改、定期更改、禁止重用口令
③口令管理:禁止共享账号口令、加密存储/传递口令
④口令测试:爆破弱口令或空口令
智能卡
智能卡广泛用于实现挑战响应认证
智能卡的片内操作系统(COS)一般由通信、安全、应用和文件 四个管理模块组成
针对智能卡的常用攻击手段:物理篡改、时钟抖动、超范围电压探测
防范措施:总线分层、使芯片平坦化、平衡能耗、随机指令冗余等
单点登录
基于网关
基于验证代理
基于Kerberos
生物特征认证
人的两种唯一标识:
①身体特征(指纹、掌型、视网膜、虹膜、气味、脸型、手血管、DNA等)
②行为特征(签名、语言、步态等)
具有随身性、安全性、唯一性、普遍性、稳定性、可采集性、可接收性、方便性的特征
指纹识别技术分两种:
①验证:将采集的指纹与系统记录的指纹进行匹配,确认身份,查看“他是否他自称的人”
②辨别:将采集的指纹与指纹库中一一比对,查看“他是谁”
其他
Kerberos认证
PKI认证
人机识别认证
基于行为的身份鉴别技术
基于标准公钥加密的快速在线认证(FIDO)