6-认证技术原理与应用

合集 - 信息安全工程师-V2-2020(26)

1.1-网络信息安全概述2024-08-172.2-网络攻击原理与常用方法2024-08-263.3-密码学基本理论2024-08-304.4-网络安全体系与网络安全模型2024-09-075.5-物理与环节安全技术2024-09-13

6.6-认证技术原理与应用2024-09-22

7.7-访问控制技术原理与应用2024-09-288.8-防火墙技术原理与应用2024-10-019.9-VPN技术原理与应用2024-10-0210.10-入侵检测技术原理与应用2024-10-0311.11-网络物理隔离技术原理与应用2024-10-0412.12-网络安全审计技术原理与应用2024-10-0513.13-网络安全漏洞防护技术原理与应用2024-10-0614.14-恶意代码防范技术原理2024-10-0715.15-网络安全主动防御技术与应用2024-10-1216.16-网络安全风险评估技术原理与应用2024-10-1717.17-网络安全应急响应技术原理与应用2024-10-2518.18-网络安全测评技术与标准2024-11-0219.19-操作系统安全保护2024-11-0320.20-数据库系统安全2024-11-0921.21-网络设备安全2024-11-1522.22-网站安全需求分析与安全保护工程2024-11-1723.23-云计算安全需求分析与安全防护工程2024-11-1824.24-工控安全需求分析与安全保护工程2024-11-1925.25-移动应用安全需求分析与安全保护工程2024-11-2326.26-大数据安全需求分析与安全保护工程（完结）2024-11-25

收起

6.1 认证概述

1.概念

认证是一个实体向另外一个实体证明其所声称的身份的过程。在认证过程中，需要被证实的实体是声称者，负责检查确认声称者的实体是验证者。

认证一般由标识 ( Identification ) 和鉴别 ( Authentication ) 两部分组成。标识是用来代表实体对象 ( 如人员、设备、数据、服务、应用 ) 的身份标志，确保实体的唯一性和可辨识性，同时与实体存在强关联。标识一般用名称和标识符 (ID) 来表示。通过唯一标识符，可以代表实体。例如，网络管理人员常用IP地址、网卡地址作为计算机设备的标识。

2.依据

常见认证依据有四类：

1.所知道的秘密信息 (Something You Know)

实体 (声称者) 所掌握的秘密信息，如用户口令、验证码等。

2.所拥有的实物凭证 (Something You Have)

实体 (声称者) 所持有的不可伪造的物理设备，如智能卡、U盾等，

3.所具有的生物特征

实体 (声称者) 所具有的生物特征，如指纹、声音、虹膜、人脸等。

4.所表现的行为特征

实体 (声称者) 所表现的行为特征，如鼠标使用习惯、键盘敲键力度、地理位置等。

3.原理

一般来说，认证机制由验证对象、认证协议、鉴别实体构成，如图所示。其中，验证对象是需要鉴别的实体(声称者)；认证协议是验证对象和鉴别实体 (验证者) 之间进行认证信息交换所遵从的规则；鉴别实体根据验证对象所提供的认证依据，给出身份的真实性或属性判断。

按照对验证对象要求提供的认证凭据的类型数量，认证可以分成单因素认证、双因素认证、多因素认证。

根据认证依据所利用的时间长度，认证可分成一次性口令(One Time Password)、持续认证(Continuous authentication)。

一次性口令简称 OTP，用于保护口令安全，防止口令重用攻击。OTP常见的认证实例如使用短消息验证码。

持续认证是指连续提供身份确认，其技术原理是对用户整个会话过程中的特征行为进行连续地监测，不间断地验证用户所具有的特性。持续认证是一种新兴的认证方法,其标志是将对事件的身份验证转变为对过程的身份验证持续认证增强了认证机制的安全强度，有利于防止身份假冒攻击、钓鱼攻击、身份窃取攻击社会工程攻击、中间人攻击。持续认证所使用的鉴定因素主要是认知因素(Cognitive factors)、物理因素(Physiological factors)、上下文因素(Contextual factors)。

认知因素主要有眼手协调、应用行为模式、使用偏好、设备交互模式等。物理因素主要有左/右手、按压大小、手震、手臂大小和肌肉使用。上下文因素主要有事务、导航、设备和网络模式。例如，一些网站的访问根据地址位置信息来判断来访者的身份，以确认是否授权访问。

4.发展

《关于建设统一的人力资源社会保障网络信任体系的指导意见》

《中华人民共和国电子签名法》(以下简称“电子签名法”)

《中华人民共和国网络安全法》(以下简称“网络安全法”)

《商用密码管理条例》

《电子认证服务密码管理办法》

《电子政务电子认证服务业务规则规范》

6.2 认证类型与认证过程

1.单向

单向认证是指在认证过程中，验证者对声称者进行单方面的鉴别，而声称者不需要识别验证者的身份。

实现方法：

1.基于共享秘密

2..基于挑战响应

2.双向

双向认证是指在认证过程中，验证者对声称者进行单方面的鉴别，同时，声称者也对验证者的身份进行确认。

3.第三方

第三方认证是指两个实体在鉴别过程中通过可信的第三方来实现。可信的第三方简称 TTP(Trusted Third Party)。

6.3 认证技术方法

1.口令认证

优点：简单，易于实现

缺点：容易受到攻击，主要攻击方式有窃听、重放、中间人攻击、口令猜测等。

• 口令信息要安全加密存储;
• 口令信息要安全传输:
• 口令认证协议要抵抗攻击，符合安全协议设计要求;
• 口令选择要求做到避免弱口令

2.智能卡

智能卡是一种带有存储器和微处理器的集成电路卡，能够安全存储认证信息，并具有一定的计算能力。

3.基于生物特征

利用口令进行认证的方法的缺陷是口令信息容易泄露，而智能卡又可能丢失或被伪造。在安全性要求高的环境中，这两种技术均难以满足安全需求。基于生物特征认证就是利用人类生物特征来进行验证。目前，指纹、人脸、视网膜、语音等生物特征信息可用来进行身份认证。

《信息安全技术指纹识别系统技术要求》标准规范，指纹识别系统由指纹采集、指纹处理、指纹登记、指纹比对等技术模块组成

《信息安全技术 基于可信环境的远程人脸识别认证系统技术要求(征求意见稿)》人脸识别认证系统一般由客户端、服务器端、安全传输通道组成。客户端由环境检测、人脸采集、活体检测、质量检测、安全管理等模块组成，模块应在可信环境中执行。服务器端由活体判断、质量判断、人脸注册、人脸数据库、人脸识别、比对策略、安全管理等模块组成。

《信息安全技术 虹膜识别系统技术要求》标准规范，虹膜是人眼前部由肌肉组织、结缔组织、色素细胞组成的，主要用来控制瞳孔收缩的彩色环形生理组织。虹膜特征是对虹膜图像进行特征分析，生成能区分个体的唯一的特征数据序列。虹膜识别系统是基于虹膜的特征对个体进行自动识别的系统。虹膜识别系统一般包含图像采集、图像处理分析、虹膜登记处理、用户识别处理、数据存储、传输管理、回答信息处理等功能模块。系统实现两种基本功能:虹膜登记和用户识别。进行虹膜登记或用户识别时，由图像采集模块采集用户虹膜图像，经图像处理分析模块处理，当进行虹膜登记时，由虹膜登记处理模块生成虹膜登记信息并存入数据库；当进行用户识别时，由用户识别处理模块生成用户识别信息，并将识别信息与登记信息进行比对，得出识别结果。

4.Kerberos认证

Kerberos是一个网络认证协议，其目标是使用密钥加密为客户端/服务器应用程序提供强身份认证。其技术原理是利用对称密码技术，使用可信的第三方来为应用服务器提供认证服务并在用户和服务器之间建立安全信道。

5.公钥基础设施（PKI）

公钥密码体制不仅能够实现加密服务，而且也能提供识别和认证服务。除了保密性之外，公钥密码可信分发也是其所面临的问题，即公钥的真实性和所有权问题。针对该问题，人们采用“公钥证书”的方法来解决，类似身份证、护照。公钥证书是将实体和一个公钥绑定，并让其他的实体能够验证这种绑定关系。为此，需要一个可信第三方来担保实体的身份，这个第三方称为认证机构，简称CA (Certifcation Authority)。CA 负责颁发证书，证书中含有实体名、公钥以及实体的其他身份信息。而PKI (Public Key Infastructure) 就是有关创建、管理、存储、分发和撤销公钥证书所需要的硬件、软件、人员、策略和过程的安全服务设施PKI提供了一种系统化的、可扩展的、统一的、容易控制的公钥分发方法。基于PKI的主要安全服务有身份认证、完整性保护、数字签名、会话加密管理、密钥恢复。一般来说，PKI涉及多个实体之间的协商和操作，主要实体包括CA、RA、终端实体(EndEntity)、客户端目录服务器，如图所示：

PKI各实体的功能分别叙述如下:

• CA (Certification Authority)：证书授权机构，主要进行证书的颁发、废止和更新;认证机构负责签发、管理和撤销一组终端用户的证书。
• RA (Registration Authority)：证书登记权威机构，将公钥和对应的证书持有者的身份及其他属性联系起来，进行注册和担保;RA可以充当CA和它的终端用户之间的中间实体，辅助CA完成其他绝大部分的证书处理功能。
• 目录服务器：CA通常使用一个目录服务器，提供证书管理和分发的服务。
• 终端实体(End Entity)：指需要认证的对象，例如服务器、打印机、E-mail 地址、用户等。
• 客户端(Client)：指需要基于PKI安全服务的使用者，包括用户、服务进程等

6.单点登录

单点登录(Single Sign On)是指用户访问使用不同的系统时，只需要进行一次身份认证，就可以根据这次登录的认证身份访问授权资源。单点登录解决了用户访问使用不同系统时，需要输入不同系统的口令以及保管口令问题，简化了认证管理工作。

7.基于人机识别认证

基于人机识别认证利用计算机求解问题的困难性以区分计算机和人的操作，防止计算机程序恶意操作，如恶意注册、暴力猜解口令等。基于人机识别认证技术通常称为CAPTCHA (Completely Automated Public Turing test to tell Computers and Humans Apart)技术。

CAPTCHA技术主要包括文本CAPTCHA、图像CAPTCHA、语音CAPTCHA。

CAPTCHA 技术的工作机制是认证者事先有一个 CAPTCHA 服务器负责 CAPTCHA 信息的生成和测试，当用户使用需要CAPTCHA 验证的服务时候，CAPTCHA服务器则给用户生成CAPTCHA测试，如果用户测试结果正确，则认证通过。

8.多因素认证

多因素认证技术使用多种鉴别信息进行组合，以提升认证的安全强度。根据认证机制所依赖的鉴别信息的多少，认证通常称为双因素认证或多因素认证。

9.基于行为的身份鉴别

基于行为的身份鉴别是根据用户行为和风险大小而进行的身份鉴别技术。通过分析用户的基本信息，，获取用户个体画像，进而动态监控用户状态以判定用户身份，防止假冒用户登录或者关键操作失误。

10.快速在线认证（FIDO）

Fast IDentity Online 简称FIDO, FIDO 使用标准公钥加密技术来提供强身份验证。FIDO的设计目标是保护用户隐私，不提供跟踪用户的信息，用户生物识别信息不离开用户的设备。

6.4 认证主要产品与技术指标

1.主要产品

• 系统安全增强
• 生物认证
• 电子认证服务
• 网络准入控制
• 身份认证网关

2.主要技术指标

• 密码算法支持
• 认证准确性
• 用户支持数量
• 安全保障级别

6.5 认证技术应用

1.校园认证体系建设应用参考

2.网络路由认证应用参考

3.基于人脸识别机房门禁管理应用参考

4.eID 身份验证应用参考

5.HTTP 认证应用参考