在之前的文章中有提到认证技术,那么之前提到的认证技术和身份认证技术有什么不同呢?身份认证技术的到底是什么呢?如果想更系统的学习身份认证建议把之前的文章看看:
我认为认证技术是一个更广的概念,它指的是在计算机网络中确认操作者身份的过程以及确保数据完整性和来源可靠性的方法。也就是认证技术要认证三个东西:消息认证(验证消息的完整性)、数据源认证(验证消息的来源)和实体认证(确认通信双方的身份)。
而身份认证是认证技术的子集专注于确认用户或实体的身份。它侧重于验证操作者是否是他们声称的人。
一、身份认证的定义
身份认证(Authentication)是指宣称者向验证方出示证据,证明其身份的交互过程。身份认证涉及至少两个参与方,并通过协议交互完成对其中一方或者两方的身份认证。
【注】身份认证是一种协议。它的目的是确定该用户是否具有对某种资源的访问和使用权限。这一过程是信息安全中的第一道防线,对于保护信息系统免受未授权访问至关重要。
身份认证的分类(方式一)
- 单向认证:在一个通信过程中只有一方需要验证另一方的身份的情况。在这种情况下,一方(通常是服务器或服务提供者)需要验证另一方(通常是客户端或用户)的身份,而不需要反过来验证。这种类型的认证是最常见的认证形式之一,适用于许多场景,例如登录系统或访问服务。
- 双向认证:在通信过程中双方都需要验证对方的身份的情况。这意味着不仅客户端需要验证服务器的身份,服务器也需要验证客户端的身份。这种类型的认证更加安全,因为它可以防止中间人攻击(Man-in-the-Middle, MITM)和其他类型的欺诈。
身份认证的分类(方式二)
- 基于秘密信息的身份认证:如口令、密码等。
- 基于物理安全性的身份认证:如智能卡、USB令牌等。
- 基于生物特征的身份认证:如指纹、面部识别、虹膜扫描等。
- 多因素认证:结合两种或更多种认证方法,以提高安全性。
二、身份认证面临的安全威胁
身份认证所面临的安全威胁可以粗略的分为两类:外部攻击和内部攻击。但我们在研究安全威胁的时候则需要更加具体。以下是几种常见的安全威胁:
(1)无认证
无认证是指在系统或应用程序中完全没有实施任何形式的身份验证机制,这意味着任何人都可以访问系统资源,无需提供任何身份凭证。这种情况下的系统完全暴露于互联网上,容易遭受未经授权的访问。
一般这种情况发生在系统对安全非常不重视,根本没有设置登录界面和认证流程,允许任何人无需用户名和密码就能访问所有资源。所以无认证威胁到了信息安全的机密性、完整性、可用性。
(2)身份伪造
身份伪造是指攻击者冒充合法用户以获得未经授权的访问权限。攻击者可能利用已知的身份凭证(被盗的认证凭证)或者伪造的身份信息(假冒用户身份)来欺骗系统。
具体来说可以通过钓鱼网站、木马病毒来窃取用户和密码。还可以通过中间人攻击来拦截合法用户的通信。所以可以分析出身份伪造威胁了信息安全的:机密性、完整性、可用性。
(3)合谋攻击
① 合谋攻击的定义
合谋攻击的基本原理是利用多个参与者各自拥有的权限和知识,共同协作以规避安全控制。这种攻击通常涉及到至少两个参与者,他们可能会利用彼此的信任关系或内部知识来实现攻击目标。
② 合谋攻击的具体手段
合谋攻击的具体手段多种多样,取决于攻击者的目标和可用资源。以下是一些常见的合谋攻击手段:
- 权限滥用:多个参与者各自拥有部分权限,但他们通过协作可以访问本应受限的资源或数据。例如,一个参与者可能有权访问敏感数据,另一个参与者可能有权修改数据,两人合作就可以非法获取和修改数据。
- 内部泄露:一个参与者负责获取敏感信息,另一个参与者负责将这些信息带出组织或用于非法目的。这种泄露可以是财务数据、客户信息或专有技术。
- 欺诈行为:多个参与者合作进行欺诈活动,如虚假报销、虚构交易等。例如,一个员工可能提交虚假发票,另一个员工负责审批这些发票。
- 绕过安全机制:参与者之间共享认证凭证或密码,以便绕过身份验证机制。例如,一个参与者可能知道某个系统的登录凭据,而另一个参与者可能知道如何利用这些凭据进行未经授权的操作。
- 掩盖踪迹:参与者相互帮助,清除或篡改日志文件,以掩盖其活动的痕迹。例如,一个参与者负责执行敏感操作,另一个参与者负责删除相关的日志记录。
(4)其他攻击
有关于重放攻击、中间人攻击等内容,在另一篇我写的文章中有过详细的讲述,这里就不赘述了。但我想补充一个“鲜活度”的概念。【密码学】网络攻击类型:窃听攻击、假冒攻击、欺骗攻击和重放攻击
鲜活性 (Liveness):为了防御重放攻击,身份认证需要具备鲜活性,即确保每次认证请求都是新的、即时发生的,而不是旧的请求被重复利用。这可以通过引入时间戳或其他机制来实现。
523
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
