网络安全——身份认证与PKI原理

1. 概述

  • 身份认证:系统审查用户身份,确定该用户是否具有对某种资源的访问、使用权限
  • AAA/3A:Authentication(认证)、Authorization(授权)、Accounting(审计)
    • 认证:指确定一个用户(实体)是否被允许访问特定的资源
    • 授权:指当用户(实体)的身份被确定为合法后,赋予该用户的系统访问或资源使用权限
    • 审计:指所有的试图通过身份认证获得授权的尝试的记录

2. 口令(密码)认证

  • 一次性口令OTP(One Time Password)在登录过程中加入不确定因素,使每次登录时计算的密码都不相同。(避免重放攻击)
  • 动态口令:种子-认证服务器为用户分配的一个非密文的字符串、序号-指单向散列函数的迭代次数、通行短语-仅用户知道的值

2.1 动态认证-时间同步

  • 用户的登录时间作为随机数+用户的通行短语=生成一个口令
  • 对客户端和认证服务器时间准确度的要求高,在分式环境下对不同设备的时间同步难度较大

2.2 动态认证-事件同步

  • 用户触发登录事件同时系统根据登录事件产生口令,相比时间同步更适用于复杂的网络环境

2.3 动态认证-挑战/应答

  • C端发起登录请求——认证服务器验证身份,生成挑战信息给C端——C端加入通行短语生成应答——认证服务器计算比较,通知认证结果
  • 不用考虑同步的问题,使用者输入额外信息,操作复杂。

2.4 一次性口令-S/Key认证系统

  • 一次一密,用户每次登录系统所用的密码不一样

3. 生物特征认证

  • 计算机利用人体固有的物理、行为特征鉴别个人身份

  • 与传统认证相比的优势:依附于人体、不易伪造、不易模仿

3.1 指纹识别

  • 技术实现:指纹采集-图像预处理(增强)-特征提取-特征值模板入库-匹配

3.2 虹膜认证

  • 图像采集-图像的预处理(虹膜定位-图像归一化)-特征提取入库-匹配

  • 特点:准确率高。

3.3 人脸识别

  • 人脸图像采集及检测-图像预处理(补偿、过滤)-特征提取入库-匹配

* 零知识证明身份认证

  • 指证明者能够在不向验证者提供任何有用信息的情况下,使验证者相信某个论断是正确的。

4. 身份认证协议

4.1 Kerberos协议

4.1.1 特点

  • 基于TCP/IP、C/S模式下执行、依赖可信赖的第三方KDC(密钥分配中心、双方都信任的)实现用户身份认证、对称加密

4.1.2 组成

  • 用户端(用户账户、设备地址)
  • 资源服务器(访问前需要认证)
  • 密钥分配中心KDC(Key Distribution Center):为用户提供对称密钥(密钥只有User和KDC保存),实现身份
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

是羽十八ya

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值