1. 认证概念
- 认证一般由标识和鉴别两部分组成
-
- 标识(标识实体对象):如人员、设备、数据、服务、应用、身份标志。确保实体的唯一性和可辨别性
- 鉴别:如口令、电子签名、数字证书、令牌、生物特征、行为表现等。
2. 认证的依据
- 所知道的秘密信息:实体(声称者)所掌握的秘密信息,如口令、验证码
- 所拥有的实物凭据:实体(声称者)所持有的物理设备,如智能卡、u盾
- 所具有的生物特征:实体(声称者)所具有的生物特征,如指纹、声音、人脸
- 所表现的行为特征:实体(声称者)所表现的行为,鼠标的使用习惯,键盘的敲击力度、地址位置
3. 认证的原理
- 一般由验证对象、认证协议、鉴别实体构成
-
- 验证对象:是需要鉴别的实体(声称者)
- 认证协议:验证鉴别和实体之间进行的认证信息
- 鉴别实体:根据验证对象提出的验证依据,给出身份的真实性和判断属性
4. 认证类型与认证过程
4.1. 单向认证
- 单向认证指在认证过程中,验证者对声称者进行单方面的鉴别,而声称者不需要识别验证者的身份
- 基于共享密钥:验证者和声称者共享一个秘密即K,ab
-
- 第一步:A产生并向B发送消息(IDa , Kab)
- 第二步:B收到(IDa ,Kab)的消息后,B检查IDa和Kab的正确性,若正确则确认A的身份
- 基于挑战响应:
4.2. 双向认证
- 双向认证指在认证过程中,验证者对声称者进行单方面的鉴别同时,声称者也对验证者的身份进行确认。
4.3. 第三方认证
- 指两个实体在鉴别过程中通过可信的第三方来实现。
5. Kerberos认证技术
- 是一个网络认证协议,其目标是使用密钥加密为客户端/服务器应用程序提供加强身份认证。
- Kerberos的四个基本实体
-
- Kerberos客户端:用来访问服务器设备
- AS认证服务器:识别用户身份并提供TGS会话密钥
- TGS票据发放服务器:为申请服务的用户授予票据
- 应用服务器:为用户提供服务的设备或系统
- AS和TGS统称为KDC
- Kerberos认证过程
-
- 1. 客户端向AS请求TGS票据
- 2. AS收到消息后在认证数据库确认客户端,产生一个会话密钥,并用客户端的密码对其加密,发给客户端
- 3. 客户端接到后用解密密钥后得到会话密钥,并向TGS发起请求申请访问应用服务器的票据
- 4. TGS验证通过后向客户端发放对应应用服务器的票据
- 5. 客户端接收到TGS票据后,用票据向应该服务器发起访问。