基础概念
什么是认证?
认证是信息安全的核心之一,其目的是防止未授权用户访问网络信息资源,是证实客体的真实身份与其声称的身份相符的过程
这里的客体,通常指的是需要受到保护的资源或数据。特指要进行认证的实体,可以是一个用户、计算机程序、网络设备等,其身份需要被验证以确保其是授权的。
什么是实体?
这里的实体用于抽象指代一个程序、设备、系统或用户等。实体往往存在静态和动态两种形式,如可执行文件,对应算法等
什么是标识?
这里的标识指的是对实体的数字化指代
常见的实体标识
- 系统实体标识:
- 系统资源标识(文件、数据库、程序等)
- 用户组角色标识
- 网络实体标识:
- 主机网络和连接状态标识
- 网络资源标识
- 连接及其状态
认证的基本途径有哪些?
- 基于你知道的
- 基于你拥有的
- 基于你的个人特征
- 双因素、多因素认证
认证系统的组成有哪些?
身份认证系统的一般组成:示证者,验证者,攻击者及可信第三方
- 示证者:也称申请者,提出各种要求。
- 验证者:验证示证者出示的证件的正确性和合法性,并决定是否满足其要求。
- 攻击者:可以窃听过伪装示证者,骗取验证者的信任。
基于口令的身份认证
什么是基于口令的身份验证?
基于口令的身份验证是一种常见的身份验证方法,通过用户提供的口令(通常是密码)来验证其身份。在这种方法中,用户必须提供事先设定好的口令才能获得访问权限。这个口令通常是一个秘密字符串,只有用户本人才知道。
基于口令的身份验证通常包括以下步骤:
- 用户输入用户名或标识符。
- 用户输入与其帐户关联的口令。
- 系统验证输入的口令是否与存储在其数据库中与该用户关联的口令匹配。
- 如果口令匹配,则用户被授予访问权限,否则被拒绝访问。
口令威胁
外部泄露
什么是外部泄露?
由于用户或系统管理的疏忽,使口令直接泄露给了非授权者。
解决方案:
- 增强用户的安全意识,要求用户定期更换口令
- 建立有效的口令管理系统,原则上管理系统不保存用户的口令,甚至超级管理员也不知道用户的口令(如单向函数)
口令猜测
什么是口令猜测?
口令猜测(Password Guessing)是指攻击者通过尝试各种可能的口令来尝试获取未经授权的访问权限。这种攻击通常利用密码的弱点,例如使用常见的密码、简单的字典词汇或者基于目标个人信息的密码。攻击者可以使用自动化工具来大量尝试各种可能的口令,以此来破解帐户或系统的访问权限。
解决方案
- 规劝或强制用户使用更好的口令
- 限制从一个终端接入进行口令认证失败的次数
- 为阻止攻击者利用计算机自动进行猜测,系统应该加入一些延迟环节,如输入一个图像中的手写字体文字等(数字、文字、运算、拼写等方式)
线路窃听
什么是线路窃听?
线路窃听(Line Eavesdropping)是指攻击者通过监视或拦截网络通信线路上的数据来获取未经授权的信息。这种攻击可能会在数据传输的过程中捕获敏感信息,例如用户名、口令或其他敏感数据。攻击者可以使用各种方法来窃听线路,包括物理访问、网络中间人攻击、无线网络窃听等。
解决方案
- 加密通信:使用加密通信协议可以有效防止线路窃听攻击。例如,使用传输层安全性协议(TLS)或安全套接字层(SSL)来加密数据传输。这样即使攻击者拦截了数据流,也无法解密其中的内容
- 虚拟专用网络(VPN):VPN通过在用户和目标服务器之间建立加密的通道来保护数据传输的安全性。VPN将用户的数据流量封装在加密隧道中,使得即使数据在传输过程中被拦截,攻击者也无法窃听其内容。
- 使用安全的网络设备:确保使用安全性能良好的网络设备和路由器,以防止物理访问或非法入侵者对网络进行窃听。
- 网络流量分析和检测:使用网络流量分析工具和入侵检测系统来监视网络流量,及时发现异常行为或窃听尝试,并采取相应的措施加以防范。
- 物理安全措施:采取物理安全措施来保护网络线路免受未经授权的访问。例如,在安全环境中安装网络设备、使用加密电缆等。
重放攻击
什么是重放攻击?
重放攻击(Replay Attack)是指攻击者在网络通信中截获并记录了有效的数据包,然后在稍后的时间重新发送这些数据包,以达到欺骗目的系统的目的。
解决方案
- 使用时间戳或随机数:在通信中引入时间戳或随机数可以使每个数据包都具有唯一性。接收方可以通过比较时间戳或随机数来检测重放攻击,并拒绝已经过期或重复的数据包。
- 加密通信:通过使用加密通信协议,可以防止攻击者在截获数据包后对其进行修改或重放。加密通信可以保护数据的完整性和机密性,从而有效防止重放攻击。
- 使用单次令牌(One-Time Token):单次令牌是一种只能使用一次的身份验证凭据。每次通信时,系统都会生成一个新的单次令牌,用于验证用户身份。攻击者无法重放旧的单次令牌来进行身份验证。
- 使用消息认证码(Message Authentication Code,MAC):消息认证码是一种在数据包中添加的身份验证标记,用于验证数据的完整性和真实性。MAC使用密钥对数据进行签名,接收方可以使用相同的密钥验证数据的真实性,从而防止重放攻击。
- 会话管理:在通信过程中对会话进行严格管理,包括建立和终止会话、会话密钥的生成和更新等。使用会话密钥对数据进行加密和验证,可以有效地防止重放攻击。
对验证方的攻击
什么是对验证方的攻击?
对验证方的攻击是指针对系统或服务中负责验证用户身份或权限的组件或机制进行的攻击。这种攻击旨在绕过身份验证或者获取未授权的访问权限。攻击者可能会尝试使用各种技术和方法来欺骗、破解或绕过验证系统,以获取对系统、数据或资源的非法访问。这些攻击可能包括密码破解、社会工程学、中间人攻击、会话劫持等。为了防范此类攻击,通常需要使用多种身份验证机制,并采取其他安全措施,如加密通信、访问控制列表等。
口令方案
对称密码认证(在线认证)
什么是对称密码认证?它和上面的口令身份认证有什么区别呢?
对称密码认证是一种基于对称密钥的身份验证方式。在这种认证方案中,通信双方(通常是客户端和服务器)共享相同的密钥,用于加密和解密身份验证凭据。具体流程通常包括以下步骤:
- 密钥协商:双方在通信开始之前协商共享密钥。这可以通过安全的密钥交换协议来完成,确保密钥在传输过程中不被窃取或篡改。
- 加密身份验证凭据:客户端使用共享密钥将其身份验证凭据(例如用户名和密码)加密,然后发送给服务器。
- 解密身份验证凭据:服务器使用相同的共享密钥解密客户端发送的身份验证凭据。
- 验证身份:服务器比较解密后的凭据与其存储的凭据是否匹配。如果匹配,则身份验证成功,允许客户端访问受保护的资源或服务。
对称密码认证和口令认证是两种不同的身份验证方式,它们之间有几个关键区别:
- 加密方式
- 对称密码认证:使用相同的密钥对数据进行加密和解密。在身份验证中,双方(通常是客户端和服务器)共享相同的密钥用于加密和解密身份验证凭据。
- 口令认证:基于用户选择或系统分配的密码作为身份验证凭据。这些密码不是用于加密和解密通信,而是直接与预先存储的密码进行比较。
- 密钥管理
- 对称密码认证:需要在通信双方之间共享密钥,因此需要确保密钥的安全传输和存储。
- 口令认证:用户选择或系统分配的密码不需要在通信双方之间共享,因此不存在共享密钥的问题。
- 安全性
- 对称密码认证:如果密钥在传输或存储过程中被泄露,可能会导致通信内容的泄露或篡改。
- 口令认证:安全性取决于密码的复杂性、长度以及存储方式。弱密码容易受到暴力破解或字典攻击的威胁,而强密码和适当的密码管理措施可以提高安全性。
- 适用场景
- 对称密码认证:通常用于加密通信中,例如SSL/TLS协议中的密钥交换阶段。
- 口令认证:通常用于用户身份验证,如登录系统或访问受限资源时所需的密码认证。
Kerberos对称密码认证
首先我们要知道什么是Kerberos对称密码认证?
Kerberos是美国麻省理工学院(MIT)开发的一种身份鉴别服务。它提供了一个集中式的认证服务器结构,认证服务器的功能是实现用户与其访问的服务器间的相互鉴别。其实现采用的是对称密钥加密技术,而未采用公开密钥加密。
Kerberos的认证目标:
- 不使用PKI(公钥基础设施)的方式,实现局域网中的用户认证。
- 允许用户访问服务,而不必每次都重新输入登录密码。
Kerberos认证特点:
使用对称加密和电子通行证,又称为票据。包含两种类型的票据:
**TGS票据:**由AS(认证服务器,用于管理用户和用户认证)颁发给用户访问票据授予服务
V-票据(服务器票据):由TGS(票据服务器,用于管理服务器)颁发给用户服务器
非对称密码认证(公钥认证)
**基于公钥密码的认证:**不需要在线服务器,但为了让验证者确认声称者公钥的真实性,需要离线的服务器,后者也泛指相关的服务机构。
个人特征识别技术
- 基于地址的认证
- 在网络通信中,通信数据中包含发送者的源地址
- 结合口令和密钥的个人认证
- 认证系统需要同时验证声称者的口令和掌握的密钥
指纹认证
指纹识别系统是利用人类指纹的独特特性,通过特殊的光电扫描和计算机图像处理技术,对活体指纹进行采集、分析和对比,自动、迅速、准确地认证出个人身份。指纹识别系统主要包括下图所示的部分。
语音认证
每个人的说话声音都各有其特点,人对于语言的识别能力极强,即使在强干扰下也能分辨出某个熟人说话的声音。在军事和商业通信中常常靠听对方的语音来实现个人身份的认证。比如,可将由每个人讲的一个短语分析出来的全部特征参数存储起来,如果每个人的参数都不完全相同就可以实现身份认证。这种存储的语音称为语音声纹(Voice-print)。当前,电话和计算机的盗用十分严重,语音识别技术还可以用于防止黑客进入语音函件和电话服务系统。
除了上面两种之外还有很多,这里就不一一介绍了,如视网膜图样认证,脸型认证,手型认证,红外温谱图,味纹识别,基因DNA识别等。