- 身份认证
身份认证又称“验证”、“鉴权”,是通过一定的手段,完成对用户身份的确认。身份认证可分为三类(实体所知、实体所有、实体特性)
- 实体所知
- 身份鉴别的方法最为广泛的方法是实体所知,因为其成本低、实现简单,如:密码、验证码;但是这些方法面临的威胁也是较大的,如:暴力破解、木马等。
- 实体所有
- 实体所有是一种安全性较高,但也是成本较高的方法,如:IC卡、门禁卡;因为存在固体实物,因此面临着损坏和被复制的风险。(注:数字签名也属于实体所有的认证方式)
- 实体特性
- 实体特征是安全性最高的一种方式,通过采用生物识别方法进行验证;如:指纹、虹膜、声波特征等。实体特征鉴别中通常有三个指标:错误拒绝率(FRR)、错误接受率(FAR)、交叉错判率(CER)
- 数字证书
数字证书也是身份鉴别的其中一种方式,数字证书也称数字标识;
数字证书流程:
首先把个人信息和公钥提交到某权威机构的证书中心,然后这个中心用自己的私钥将提交的信息加密而形成数字证书。
这个权威机构一般包括以下部分:
1)PKI:是公钥基础设施,(相当于办公大楼)
2)CA:是PKI的核心,主要职责为签发证书、更新证书、管理证书;(相当于发证处)
3)RA:受理用户数字证书申请、提供证书生命周期维护工作
4)证书库:证书存放管理,提供证书保存、修改、删除和获取能力
5)CRL:证书黑名单 - HTTPS的安全通信机制
由HTTP加上TLS/SSL协议一起构建的,可以进行加密传输、身份认证的网络协议;
- 客户端发送Client Hello包含以下信息
- SSL/TSL version:1.2(协议版本)
- Cipher Suites:(支持的加解密算法族)
- Random:(客户端生产随机数random_client)
- Session ID:(如果之前建立过https且服务器返回SID,则发送时会有值)
- Extension:(扩展数据 如:service name:www.baidu.com)
- 服务端响应Server Hello
- Random:服务端生产的随机数random_server
- Cipher Suite:(在Client Hello里面,客户端给出了多个加解密族,服务端挑其中选一个)
- Server Certificate:服务端证书