NISP 一级 | 2.3 身份认证

关注这个证书的其他相关笔记：NISP 一级 —— 考证笔记合集-CSDN博客

0x01：身份认证基本方法

身份认证是用户登录系统或网站面对的第一道安全防线，如输入账号口令来登录。身份认证是在网络中确认操作者身份的过程。身份认证一般依据以下三种情况或这三种情况的组合来鉴别用户身份。

1. 用户所知道的东西，例如：口令、密钥等。

2. 用户拥有的东西，例如：印章、U 盾（USB Key）等。

3. 用户所具有的生物特征，例如指纹、、声音、虹膜、人脸等。

0x0101：基于“用户所知”进行认证的方式

根据 “用户所知”进行认证的方法有：静态口令认证、短信口令认证和动态口令认证等。

1. 静态口令认证

静态口令认证，即口令固定不变，并且长期有效。其属于一种弱鉴别（weak authentication）的认证方式。

我们登录网站使用的账号和密码，就属于静态口令认证。

静态口令认证容易受到下列攻击的影响：

• 通信窃取：窃听获得明文的用户名和口令。

  • 重放攻击：截获登录数据（明/密），重新发包，伪造用户身份进行攻击。

• 字典攻击：利用有意义的单词或数字作为字典，爆破用户的口令。

• 暴力破解攻击：穷举全部可能组合猜测用户口令。

• 外部泄露：搜索存有口令的纸片或者文件。

• 窥探：安装监视器或从背后窥探。

• 社交工程：冒充合法用户、假冒管理员，骗取口令。

2. 短信口令认证

短信口令认证是利用移动网络进行动态口令认证的方式。短信口令验证以收集短信形式请求包含 6 位随机数的动态口令，身份认证系统以短信形式发送随机的 6 位动态口令到用户的手机上，用户在认证时输入此动态口令即可。

由于手机与用户绑定比较紧密，短信口令生成与使用场景是物理隔绝的，因此口令在通路上被截取几率较低。

3. 动态口令认证

动态口令认证又称为一次性口令（One Time Password，OTP）。它具有口令动态性（每次认证口令都会变化，且过程无须人工干预）和口令随机性（认证口令随机性强，难以被猜测）的特点。

常见的动态口令认证有刮刮卡和动态口令盘，如下图所示：

0x0102：基于“用户所有”进行认证的方式

根据“用户所有”进行认证的方法有：U 盾（USB Key）、电子印章等。

1. USB Key（U 盾）

USB Key 的认证方法是近几年发展起来的一种方便、安全的身份认证技术。它采用软硬件相结合的挑战/应答认证模式。USB Key 是一种 USB 接口的硬件设备，它内置单片机或智能卡芯片，可以存储用户的密钥或数字证书，利用 USB Key 内置的密码算法实现对用户身份的认证。

挑战/应答认证模式，即认证系统发送一个随机数（挑战），用户使用 USB Key 中的密钥和算法计算出一个数值（应答），认证系统对该数值进行检验，若正确则认为是合法用户。

0x0103：基于“生物特征”进行认证的方式

常见的基于“生物特征”进行认证的方式有：指纹、视网膜、声音、虹膜、语音、面部、签名等。

下面简单介绍一下几种常见的 “生物特征认证” 的实现原理：

1. 指纹识别的实现原理

指纹识别是通过特殊的光电扫描和计算机图像处理技术，对指纹进行采集、分析和比对。可以迅速、准确地认证出个人身份。

指纹识别的过程，如下图所示：

指纹识别系统按照用户的姓名和其他信息将其存在指纹数据库中的模板指纹掉出来，然后再用用户输入的指纹与该指纹的指纹相匹配，以确定这两幅指纹是否出于同一人。

2. 虹膜识别的实现原理

虹膜是环绕在瞳孔四周有色彩的部分，虹膜具有以下特点：

• 每一个虹膜都包含一个独一无二的基于像冠、水晶体、细丝、斑点、结构、凹点、射线、皱纹和条纹等特征的结构。

• 每一个人的虹膜各不相同，一个人的左眼和右眼也可能不一样，即使是双胞胎的虹膜也可能不一样。

• 人的虹膜在出生后 6 -18 个月成型后终身不再发生变化。

0x0104：其他身份认证技术

1. 单点登录（SSO，Single Sign-on）

单点登录即用户只需要在登录时进行一次注册，就可以访问多个系统，不必重复输入用户名和密码来确定身份。常见的有各大学的统一身份认证系统。

2. Kerberos

Kerberos 提供了一个在网络环境下的身份认证框架结构。

• 实现采用对称密钥加密技术。

• 公开发布的 Kerberos 版本包括版本 4 和版本 5

• 安全性、可靠性、可伸缩性、透明性。

3. 远程用户拨号认证系统 — RADIUS

远程用户拨号认证系统（Remote Authentication Dial In User Service）是一种 C/S 结构的协议，它的客户端最初就是 NAS（Net Access Server）服务器，现在任何运行 RADIUS 客户端软件的计算机都可以称为 RADIUS 的客户端。

RADIUS 的基本设计组建有认证、授权和记账（AAA），其具有简单明确、可扩充的特点。

RADIUS 使用 UDP 的 1812、1813 端口。