【XA.DAY.6】认证技术原理

认证是一个实体向另一个实体证明其所声称的身份的过程。

认证一般由标识和鉴别两部分组成。

---

常见的认证依据有四类：

所知道的秘密信息

所拥有的实物凭证

所具有的生物特征

所表现的行为特征

---

认证机制由验证对象、认证协议、鉴别实体构成。

认证分为：单因素认证、双因素认证、多因素认证。

认证根据时长分为：一次性口令、持续认证。

持续认证所使用的鉴定因素主要是认知因素、物理因素、上下文因素。

---

认证类型可分为：单向认证、双向认证、第三方认证。

单向认证

单向认证是指在认证过程中，验证者对声称者进行单方面的鉴别，而声称者不需要识别验证者的身份。

实现单向认证的技术方法有两种：1.基于共享秘密。2.基于挑战响应。

双向认证

双向认证是指在认证过程中，验证者对声称者进行单方面鉴别，同时，声称者也对验证者的身份进行确认。

第三方认证

第三方认证是指两个实体在鉴别的过程中通过可信的第三方来实现。可信的第三方简称TTP。

---

认证技术方法主要有：口令认证技术、智能卡技术、基于生物特征认证技术、kerberos认证。

要实现口令认证的安全，需要满足：

口令信息要安全加密存储

口令信息要安全传输

口令认证协议要抗攻击，符合安全协议涉及要求

口令选择要求做到避免弱口令。

指纹识别系统由：指纹采集、指纹处理、指纹登记、指纹对比等模块组成。

人脸识别系统由：人脸采集、人脸处理、人脸存储、人脸识别。

虹膜识别系统由：图像采集、图像处理分析、虹膜登记处理、用户识别处理、数据存储、传输管理、回答信息处理。

---

Kerberos是一个网络认证协议。其技术原理是利用对称密码技术，使可信的第三方来为应用服务器提供认证服务，并在用户和服务器之间建立安全信道。

---

公钥证书是将实体和一个公钥绑定，并让其他的实体能够验证这种绑定关系。为此，需要一个可信的第三方来担保实体的身份，这个第三方称为认证机构，简称CA；

CA负责颁发证书，证书中含有实体名、公钥及实体的其他身份信息。

而PKI就是有关创建、管理、存储、分发、撤销公钥证书所需要的硬件、软件、人员、策略和过程的安全服务设施。

CA：证书授权机构

RA：证书登记权威机构

---

单点登录时指用户访问使用不同的系统时，只需要进行一次身份认证，就可以根据这次登录的认证身份访问授权资源。

FIDO快速在线认证使用标准公钥加密技术来提供强身份验证。

---

认证技术主要产品类型包括：系统安全增强、生物认证、电子认证服务、网络准入控制、身份认证网关。

认证技术应用场景：1.用户身份验证。2.信息来源证实。3.信息安全保护。

---

公民网络电子身份标识简称eID.它是由一对非对称密钥和含有公钥及相关信息的数字证书组成。