信息安全--（六）认证技术与原理

在使用本博客提供的学习笔记及相关内容时，请注意以下免责声明：
信息准确性：本博客的内容是基于作者的个人理解和经验，尽力确保信息的准确性和时效性，但不保证所有信息都完全正确或最新。
非专业建议：博客中的内容仅供参考，不能替代专业人士的意见和建议。在做出任何重要决定之前，请咨询相关领域的专业人士。
个人责任：使用本博客内容的风险由用户自行承担。作者不对因使用本博客内容而导致的任何直接或间接损失承担责任。
版权声明：本博客中的所有内容均为作者原创，如需转载，请注明出处。同时，若有引用他人作品，也将尽力标明出处，如有侵权请及时联系作者。
链接免责：博客中可能包含外部链接，作者对这些链接所指向的内容不负责任，访问此类链接需谨慎。
感谢您的理解与支持！希望本博客能够为您的学习提供帮助。

认证技术与原理

认证概述

 认证一般由标识(Identification)和 鉴 别(Authentication)两部分组成。

·标识：代表实体对象的身份标志，确保实体的唯一性和可辨识性，同时与实体存在强关联。标识一般用名称和标 识符 (ID)  来表示。通过唯一标识符，可以代表实体。

·鉴别：利用口令、电子签名、数字证书、令牌、生物特征、行为表现等相关数字化凭证对实体所声称的属性进行 识别验证的过程。

鉴别的凭据/认证依据：所知道的秘密信息、所拥有的的实物凭证]所具有的生物特征、所表现的行为特征

认证原理

认证机制由验证对象、认证协议、鉴别实体构成。

·验证对象：是需要鉴别的实体(声称者)

·认证协议：是验证对象和鉴别实体(验证者)之间进行认证信息交换所遵从的规则 ·鉴别实体：根据验证对象所提供的认证依据，给出身份的真实性或属性判断

■ 认证分类

·按需要认证凭据的类型数量，可分成：单因素认证、双因素认证和多因素认证。

·按认证双方角色和所依赖外部条件，分为：单向认证、双向认证和第三方认证。

·根据认证依据所利用的时间长度，认证可分为一次性口令、持续认证。一次性口令简称OTP(One    TimePassword) 用于保护口令安全，防止口令重用攻击，例如短消息验证码、S/Key 口令。

·持续认证是指连续提供身份确认，对用户整个会话过程中的特征行为进行连续检测，不间断的验证用户所具有的特性。标志是将对事件的身份验证转变为对过程的身份验证。持续验证所使用的鉴定因素主要是认知因素、物理因素、上下文因素。认知因素主要有眼手协调、应用行为模式、使用偏好、设备交互模式等。物理因素主要有左/右手、按压大小、手震、手臂大小和肌肉使用。

单向认证

■ 单向认证：验证者对声称者进行单方面的鉴别，而声称者不需要识别验证者的身份。

■ 单向认证技术有两种：基于共享秘密和基于挑战响应。

■ 基于共享秘密认证

·设验证者和声称者共享一个秘密KAB,IDA为标识，过程如下： ·①A 产生并向B发送消息 (IDA,KAB)

·②B 收到 (IDA,KAB)   的消息后，B 检查IDA和KAB的正确性。若正确，则确认A的身份。 ·③B 回复A 验证结果消息。

基于挑战响应的认证

■设验证者B生成一个随机数Rp,IDA  为实体A的 标 识 ，IDg 为实体B的标识，则认证过程如下：

·①B 产生一个随机数Rg, 并 向A发送消息(IDp,Rp)。

·②A  收到 (IDg,Rg) 消息后，安全生成包含随机数Rg的秘密KAB,并发送消息 (IDA,KAB)  到B。

·③B  收到 (IDA,KAB)  的消息后

如果采用HASH 算法，则B本地生产KAB',并对比KAB和KAB',如果相等则认证通过。

如果采用对称加密算法，B 解密KAB,检查Rp是否正确。若正确，则确认A的身份。

·④B  回复A验证结果消息。

认证应用- PPP协议认证功能PAP和CHAP

■ PAP: 两次握手验证协议，口令以明文传送，被验证方首先发起请求。

■ CHAP: 三次握手，认证过程不传送认证口令，传送HMAC散列值

双向认证

■ 是指在认证过程中，验证者对声称者进行单方面的鉴别，同时，声称者也对验证者的身份进行确认。

参与认证的实体双方互为验证者。在网络服务认证过程中，双向认证要求服务方和客户方互相认证， 客户方也认证服务方，这样就可以解决服务器的真假识别安全问题。

第三方认证*

■第三方认证：两个实体在鉴别过程中通过可信的第三方来实现。

■可信的第三方简称TTP(Trusted Third Party),如图：

■设A和B各生成随机数为RA、Rg,IDA为实体A的标识，IDg为实体B的标识，认证过程如下：

· ① 实体A向第三方P发送加密消息KpA(IDp,RA)。

· ②第三方收到KpA(IDg,RA) 后，解密获取内容。生成消息KpA(RA,KAB)  和 Kp(IDA,KAB),   发送到实体A。

· ③实体A发送Kpb(IDA,KAB) 到实体B。

· ④ 实体B解密消息KpB(IDA,KAB),  生成消息KAB(IDA,Rp),  然后发送给实体A。 · ⑤ 实 体A解密KAB(IDA,Rp),    生成消息KAB(IDp,Rp)   发送给实体B。

· ⑥ 实体B解密消息KAB(IDp,RB),  检 查Rg的正确性，若正确，则实体A 认证通过。

·⑦B 回复A验证结果消息。

认证技术方法

口令认证技术：是基于用户所知道的秘密而进行的认证技术，是网络常见的身份认证方法。

·优点：简单、易于实现。

·缺点：容易受到攻击，主要攻击方式有窃听、重放、中间人攻击、口令猜测等。

·安全措施：口令信息要安全加密存储；口令信息要安全传输；口令认证协议要抵抗攻击，符合安全协议涉及要求； 口令选择要求做到避免弱口令。遵循口令生成安全策略，同时对生成的口令进行安全强度评测。

■ 智能卡技术：一种带有智能存储器和微处理器的集成电路卡，能够安全存储认证信息，并具有一定的计算能力。 (身份证/银行卡/校园卡等)

■ 生物特征认证技术：利用人类生物特征来进行验证。指纹、人脸、视网膜、语音等生物特征信息可用来进行身份认证。

Kerberos认证协议

■  Kerberos包含四个基本实体：

· (1)Kerberos   客户机，用户用来访问服务器设备；

· (2)AS(Authentication Server,认证服务器),识别用户身份并提供TGS会话密钥；

· (3)TGS (Ticket Granting Server,票据发放服务器),为申请服务的用 户授予票据(Ticket);

· (4)应用服务器 (Application Server),为用户提供服务的设备或系统。

■ AS和TGS统称为KDC(Key Distribution Center)。

■ AS和TGS统称为KDC(Key Distribution Center)。

■ 票据(Ticket)是用于安全的传递用户身份所需要的信息的集合，主要 包括客户方实体名称、地址、时间戳、票据生存期和会话密钥等内容。

■  Kerberost协议中要求用户经过AS 和TGS两重认证的优点主要有两点：

· (1)可以显著减少用户密钥的密文的暴露次数，这样就可以减少攻击者对有关用户密钥的密文的积累。

· (2)Kerberos 认证过程具有单点登录 (SSO) 的优点，只要用户拿到了TGT 并且该TGT 没有过期，那么用户就 可以使用该TGT通过TGS完成到任一服务器的认证过程而不必重新输入密码。

■ Kerberos不足：要求解决主机节点时间同步问题和抵御拒绝服务攻击。如果某台主机时间被更改，那 么这台主机就无法使用Kerberos认证协议；如果服务器的时间发生了错误，那么整个Kerberos认证系 统将会瘫痪。

PKI体系结构

1、用户/终端实体：指将要向认证中心申请数字证书的客户，可以是 个人，也可以是集团或团体、某政府机构等。

2、注册机构RA: 注册机构提供用户和CA 之间的一个接口，它获取  并认证用户的身份，向CA提出证书请求。它主要完成收集用户信息  和确认用户身份的功能。注册机构并不给用户签发证书，而只是对用 户进行资格审查。较小的机构，可以由CA 兼任RA 的工作。

3、证书颁发机构CA: 负责给用户颁发证书。

4、证书发布系统：负责证书发放，如可以通过用户自已或是通过目 录服务。

CRL库：证书吊销列表，存放过期或者无效证书。

其他认证技术

■ SSO(Single Sign On,单点登录)指用户访问使用不同的系统时，只需要进行一次身份认证，就可 以根据这次登陆的认证身份访问授权资源。解决了用户访问使用不同系统时，需要输入不同系统的口 令以及保管口令问题，简化了认证管理工作。

■ 基于人机识别认证技术：利用计算机求解问题的困难性以区分计算机和人的操作，防止计算机程序恶意操作。

■ 多因素认证技术：使用多种鉴别信息进行组合，以提升认证的安全强度。

■ 基于行为的身份鉴别技术：根据用户行为和风险大小而进行的身份鉴别技术，比如异地登录告警。

■ 快速在线认证 (FIDO):  使用标准公钥加密技术来提供强身份认证。私钥保留在用户端设备中，只将 公钥注册到在线服务。公钥将发送到在线服务并与用户账户关联。私钥和有关本地身份验证方法的任何信息(如生物识别测量或模板)永远不会离开本地设备。

认证主要产品

■ 认证产品形态有硬件实体模式、软件模式或软硬结合模式

产品类型	代表产品
系统安全增强	U盘+口令、智能卡+口令、生物信息+口令等。产品应用场景有U盘登录计算机、网银U盾认证、指纹登录 计算机/网站/邮箱等。
生物认证	人证核验智能终端、指纹U盘、人脸识别门禁、指纹采集仪、指纹比对引擎、人脸自动识别平台。
电子认证服务	数字证书认证系统、证书管理服务器、可信网络身份认证、SSL证书、数字证书服务、时间截公共服务平台 个人多源可信身份统一认证服务平台等。
网络准入控制	网络准入控制产品的技术特点是采用基于802.1X协议、Radius协议、VPN等的身份验证相关技术，与网络 交换机、路由器、安全网关等设备联动，对入网设备(如主机、移动PC智能手机等)进行身份认证和安全 合规性验证，防范非安全设备接入内部网络。(认证软件)
身份认证网关	身份认证网关产品的技术特点是利用数字证书、数据同步、网络服务重定向等技术，提供集中、统一的认 证服务，形成身份认证中心，具有单点登录、安全审计等安全服务功能。(认证软件)

认证产品主要技术指标

■ 认证产品评价指标可分三类： 安全功能要求、性能要求和安全保障要求：

· (1)算法支持：认证技术主要依赖于密码技术，常见的密码算法类型有DES/3DES、AES、SHA-1、RSA、SM1/SM2/SM3/SM4。

· (2)认证准确性：认证产品的认假率、拒真率。

· (3)用户支持数量：认证产品的最大承载的用户数量。

· (4)安全保障级别：认证产品的安全保证措施、安全可靠程度、抵抗攻击能力等。

认证技术应用

■ 认证技术是网络安全保障的基础性技术，普遍应用于网络信息系统保护，常见应用场景：

· (1)用户身份验证： 验证网络资源的访问者的身份，给网络系统访问授权提供支持服务。

· (2)信息来源证实： 验证网络信息的发送者和接收者的真实性，防止假冒。

. (3)信息安全保护：通过认证技术保护网络信息的机密性、完整性，防止泄密、篡改、重放或延迟。

认证技术应用-校园网应用

■在校园内部建设数字证书发放和服务体系，进行数字身份凭证的管理。通过严格按照相关规范进行身 份验证，实现对物理身份与数字身份的对应，并通过对数字证书的申请、发放、吊销、更新等过程，实现数字身份凭证的管理。建立的统一认证管理系统，围绕整合的用户、应用系统等资源的管理，构建网络信任体系的基础设施平台。平台实现基于数字证书的身份认证，实现基于角色或资源的授权管理，实现统一的安全策略设定和维护，实现责任认定的安全设计。建立PKI应用支持系统，为校园内部其他应用系统提供可信的数据电文服务。

认证技术应用-网络路由认证

■ 路由安全是网络安全的基础，为了保证路由安全，路由器设备的访问及路由消息都需要进行认证。

· (1)用户认证：当一个用户访问路由器时，必须经过认证通过才能被允许。

· (2)路由器邻居认证：当两个相邻的路由器进行路由信息交换时，需要进行身份验证，以保证接收可信的路由 消息，以防止出现未经授权的、恶意的路由更新。路由器邻居认证的类型有OSPF 认证、RIP 认证、EIGRP 认证。 认证模式有明文认证、消息摘要认证。明文认证不安全，口令容易被监听，所以一般推荐采用信息摘要认证。

认证技术应用-人脸识别门禁与elD

■ 人脸识别机房门禁：利用先进的生物识别技术，通过人脸特征信息快速判断人员身份，客观控制门禁 系统，彻底杜绝通过伪造证件冒名顶替、利用他人证件通过及擅自进入的可能性。人员进出数据及现 场记录图像可实时上传管理端，帮助管理者轻松、高效的进行安全管理工作。

■elD身份验证：公民网络电子身份标识 (elD) 是国家网络安全的重要保障。elD 是由国家主管部门颁 发，与个人真实身份具有一—对应关系，用于在线识别公民真实身份的网络电子身份。由一对非对称密钥和含有其公钥及相关信息的数字证书组成。

认证技术应用- HTTP认证

■ HTTP是WEB服务器应用协议，支持的认证方式主要有基本访问认证 (BAA)、 数字摘要认证、NTLM, Negot iate,Windows Live ID等。