信息安全:认证技术原理与应用.
认证机制是网络安全的基础性保护措施,是实施访问控制的前提,认证是一个实体向另外一个实体证明其所声称的身份的过程。在认证过程中,需要被证实的实体是声称者,负责检查确认声称者的实体是验证者。
认证一般由标识 (Identification) 和鉴别 (Authentication) 两部分组成。
标识:用来代表实体对象(如人员、设备、数据、服务、应用)的身份标志,确保实体的唯一性和可辨识性,同时与实体存在强关联。标识 般用名称和标识符 (ID) 来表示。
鉴别:一般是利用口令、电子签名、数字证书、令牌、生物特征、行为表现等相关数字化凭证对实体所声称的属性进行识别验证的过程。
目录:
认证概述:
(1)认证依据:
◆ 所知道的 秘密 信息:实体(声称者)所掌握的秘密信息,如用户口令、验证码等。
◆ 所拥有的 实物 凭证:实体(声称者)所持有的不可伪造的物理设备,如智能卡、U盾等。
◆ 所具有的 生物 特征:实体(声称者)所具有的生物特征,如指纹、声音、虹膜、人脸等。
◆ 所表现的 行为 特征:实体(声称者)所表现的行为特征,如鼠标使用习惯、键盘敲键力度、地理位置等。
(2)认证原理:
◆ 认证机制:验证对象、认证协议、鉴别实体构成.
◆ 验证对象:需要鉴别的实体(声称者)
◆ 认证协议:验证对象和鉴别实体(验证者)之间进行认证信息交换所遵从的 规则 .
◆ 鉴别实体:根据验证对象所提供的 认证依据,给出身份的 真实性或属性判断.
◆ 按认证凭据的类型数量,认证可以分成:单因素认证、双因素认证、多因素认证.
◆ 根据认证依据所利用的时间长度,认证可分成:一次性口令 、持续认证.
▶ 一次性口令:简称 OTP,用千保护口令安全,防止口令重用攻击。 OTP 常见的认证实例如使用短消息验证码.
▶ 持续认证:指连续提供身份确认,其技术原理是对用户整个会话过程中的特征行为进行连续地监测,不间断地验证用户所具有的特性;
持续认证所使用的 鉴定因素 主要是:认知因素,物理因素、上下文因素;
认证类型与认证过程:
(1)单向认证:
◆ 单向认证是指在认证过程中,验证者对声称者进行单方面的鉴别,而声称者不需要识别验
证者的身份.
◆ 实现单向认证的技术方法有两种:基于共享秘密,基于挑战响应.
(2)双向认证:
◆ 双向认证是指在认证过程中 验证者对声称者进行单方面的鉴别,同时,声称者也对验证
者的身份进行确认,参与认证的实体双方互为验证者.
(3)第三方认证:
◆ 第三方认证:两个实体在鉴别过程中 通过可信的第三方来实现。第三方与每个认证的实体共享秘密,实体 A 和 实体 B 分别与它共享秘密密钥 KPA KPB 。当实体 A 发起认证请求时,实体 A 向可信第三方申请获取实体 A 和实体 B 的密钥 KAB, 然后实体 A 和实体 B 使用 KAB 加密保护双方的认证消息。
认证技术方法:
(1)口令认证技术:
◆ 口令认证:基于用户所知道的秘密 而进行的认证技术,是网络常见的身份认证方法.
◆ 口令认证:一般要求参与认证的双方按照事先约定的规则,用户发起服务请求,然后用户被要求向服务实体提供用户标识和用户口令,服务实体验证其正确性,若验证通过,则允许用户访问。
◆ 口令认证的优点:简单,易千实现。当用户要访问系统时,要求用户输入“用户名 和 口令”
◆ 口令认证的不足:容易受到攻击,主要攻击方式有窃听、重放、中间人攻击、口令猜测等。因此,要实现口令认证的安全,应至少满足以下条件:
▶
口令信息要安全加密存储;
▶
口令信息要安全传输;
▶
口令认证协议要抵抗攻击,符合安全协议设计要求;
▶
口令选择要求做到避免弱口令;
(2)智能卡技术:
◆ 智能卡是一种带有存储器和微处理器的集成电路卡,能够安全存储认证信息,并具有一定的计算能力。
◆ 在挑战/响应认证中,用户会提供一张智能卡,智能卡会一直显示一个随时间而变化的数字。
(3)基千生物特征认证技术:
◆ 利用 口令进行认证的方法的缺陷是口令信息容易泄露,而智能卡又可能丢失或被伪造。基于生物特征认证就是 利用人类生物特征来进行验证。目前,指纹、人脸、视网膜、语音等生物特征信息可用来进行身份认证。
(4)Kerberos 认证技术:
◆ Kerberos 是一个网络认证协议,其目标是使用密钥加密为客户端/服务器应用程序提供强
身份认证。
◆ 技术原理:是利用对称密码技术(DES)
◆ 使用可信的第三方来为应用服务器提供认证服务,并在用户和服务器之间建立安全信道。
一个 Kerberos 系统涉及 四个基本实体 :
▶ Kerberos 客户机,用户用来访问服务器设备;
▶ AS (认证服务器) ,识别用户身份并提供 TGS 会话密钥;
▶ TGS ( 票据发放服务器),为申请服务的用户授予票据;
▶ 应用服务器 ,为用户提供服务的设备或系统;
◆ Kerberos 协议中要求用户经过 AS 和 TGS 两重认证的优点主要有两点。
▶ 可以显著减少用户密钥的密文的暴露次数,这样就可以减少攻击者对有关用户密钥的密文的积累。
▶ Kerberos 认证过程具有单点登录的优点,只要用户拿到了 TGT 并且该 TGT 没有过期,那么用户就可以使用该 TGT 通过 TGS 完成到任一服务器的认证过程而认证技术原理与应用不必重新输入密码。
◆ Kerberos 也存在不足之处。 Kerberos 认证系统要求解决主机节点 时间同步问题 和 抵御拒绝服务攻击。
(5)公钥基础设施 (PKI) 技术:
◆ 公钥密码体制不仅能够实现加密服务,而且也能提供识别和认证服务。除了保密性之外,公钥密码可信分发也是其所面临的问题,即公钥的真实性和所有权问题。针对该问题,人们采用“公钥证书”的方法来解决,类似身份证、护照。
◆ 公钥证书:将实体和一个公钥绑定,并让其他的实体能够验证这种绑定关系。为此,需要一个可信第三方来担保实体的身份,这个第三方称为认证机构,简称 CA (Certification Authority) CA 负责颁发证书,证书中含有实体名、公钥以及实体的其他身份信息。
◆ PKI (Public Key Infrastructure) 就是有关创建、 管理、存储、分发和撤销公钥证书所需要的硬件、软件、人员、策略和过程的安全服务设施。PKI 提供了一种系统化的、可扩展的、统一的、容易控制的公钥分发方法。
◆ 基于 PKI 的主要安全服务有身份认证、完整性保护、数字签名、会话加密管理、密钥恢复。一般来说, PKI 涉及多个实体之间的协商和操作,主要实体包括 CA,RA 、终端实体 、客户端、目录服务器.
◆ PKI 各实体的功能分别叙述如下:
▶ CA (证书授权机构):主要进行证书的颁发、废止和更新; 认证机构负责签发、管理和撤销一组终端用户的证书。
▶ RA (证书登记权威机构):将公钥和对应的证书持有者的身份及其他属性联系起来,进行注册和担保; RA 可以充当 CA 和它的终端用户之间的中间实体,辅助 CA 完成其他绝大部分的证书处理功能。
▶ 目录服务器: CA 通常使用一个目录服务器,提供证书管理和分发的服务。
▶ 终端实体 :指需要认证的对象, 例如:服务器,打印机,用户等。
▶ 客户端 :指需要基于 PKI 安全服务的使用者,包括用户、服务进程等。
(6)单点登录:
◆ 单点登录:指用户访问使用不同的系统时,只需要进行一次身份认证,就可以根据这次登录的认证身份访问授权资源。
(7)基千人机识别认证技术:
◆ 基于人机识别认证利用计算机求解问题的困难性以区分计算机和人的操作,防止计算机程序恶意操作,如恶意注册、暴力猜解口令等。
(8)多因素认证技术:
◆ 多因素认证技术使用多种鉴别信息进行组合,以提升认证的安全强度。
(9)基千行为的身份鉴别技术:
◆ 基于行为的身份鉴别是根据用户行为和风险大小而进行的身份鉴别技术。通过分析用户的基本信息,获取用户个体画像,进而动态监控用户状态以判定用户身份,防止假冒用户登录或者关键操作失误。
(10)快速在线认证 (FIDO):
◆ FIDO 使用标准公钥加密技术来提供强身份验证。 FIDO 的设计目标是保护用户隐私,不提供跟踪用户的信息,用户生物识别信息不离开用户的设备。
▶ 登记注册:用户创建新的公私钥密钥对。其中,私钥保留在用户端设备中,只将公钥注册到在线服务。公钥将发送到在线服务并与用户账户关联。私钥和有关本地身份验证方法的任何信息(如生物识别测量或模板)永远不会离开本地设备。
▶ 登录使用:当用户使用 FIDO 进行登录在线服务的时候,在线服务提示要求用户使用以前注册的设备登录。
认证主要产品与技术指标:
(1)认证主要产品:
◆ 认证技术主要产品类型包括:系统安全增强、生物认证、电子认证服务、网络准入控制和身份认证网关五类。
▶
系统安全增强:
系统安全增强产品的技术特点是利用多因素认证技术增强操作系统、数据库系统、网站等
的认证安全强度。采用的多因素认证技术通常是U
盘+口令、智能卡+口令、生物信息+口令等。产品应用场景有U盘登录计算机、网银U盾认证、指纹登录计算机/网站/邮箱等。
▶
生物认证:
生物认证产品的技术特点是利用指纹、人脸、语音等生物信息对人的身份进行鉴别。目前
市场上的产品有人证核验智能终端、指纹
盘、人脸识别门禁、指纹采集仪、指纹比对引擎、
人脸自动识别平台。
▶
电子认证服务:
电子认证服务产品的技术特点是电子认证服务机构采用
PKI 技术、密码算法等提供数字证
书申请、颁发、存档、查询、废止等服务,以及基千数字证书为电子活动提供可信身份、可信
时间和可信行为综合服务。
▶
网络准入控制:
网络准入控制产品的技术特点是采用基千
802.lX 协议、 Radius 协议、 VPN 等的身份验证相关技术,与网络交换机、路由器、安全网关等设备联动,对入网设备(如主机、移动 PC智能手机等)进行身份认证和安全合规性验证,防范非安全设备接入内部网络。
▶
身份认证网关:
身份认证网关产品的技术特点是利用数字证书、数据同步、网络服务重定向等技术,提供集中、统一的认证服务,形成身份认证中心,具有单点登录、安全审计等安全服务功能。
(2)主要技术指标:
◆ 认证技术产品的评价指标可以分成三类,即安全功能要求、性能要求和安全保障要求。认证技术产品的主要技术指标如下:
▶ 密码算法支持:认证技术主要依赖于密码技术,因此,认证产品中的密码算法是安全性的重要因素。常见的密码算法类型有 DES / 3DES,AES,SHA-1,RSA,SM1/SM2/SM3/SM4;
▶ 认证准确性:认证产品的认假率、拒真率;
▶ 用户支持数量:认证产品最大承载的用户数噩;
▶ 安全保障级别:认证产品的安全保障措施、安全可靠程度、抵抗攻击能力等;
认证技术应用:
◆ 认证技术是网络安全保障的基础性技术,普遍应用于网络信息系统保护。认证技术常见的应用场景如下:
▶ 用户身份验证:验证网络资源的访问者的身份,给网络系统访问授权提供支持服务。
▶ 信息来源证实:验证网络信息的发送者和接收者的真实性,防止假冒。
▶ 信息安全保护:通过认证技术保护网络信息的机密性、完整性,防止泄密、篡改、重放或延迟。
学习书籍:信息安全工程师教程...