网站Logo 记录生活
首页
速查
精选
朋友圈
月报
信息安全工程师
百个渗透靶场
关于

信息安全工程师-第六章 认证技术与原理

123456
4
2025-09-05

第六章 认证技术与原理

6.1 认证技术基础与原理

6.1.1 认证概述

认证一般由标识(Identification)鉴别(Authentication)两部分组成。

标识:代表实体对象的身份标志,确保实体的唯一性和可辨识性,同时与实体存在强关联。标识一般用名称和标识符(ID)来表示。通过唯一标识符,可以代表实体。

鉴别:利用口令、电子签名、数字证书、令牌、生物特征、行为表现等相关数字化凭证对实体所声称的属性进行识别验证的过程。

鉴别的凭据/认证依据:所知道的秘密信息、所拥有的的实物凭证、所具有的生物特征、所表现的行为特征。

6.1.2 认证原理

认证机制由验证对象、认证协议、鉴别实体构成。

验证对象:是需要鉴别的实体(声称者)

认证协议:是验证对象和鉴别实体(验证者)之间进行认证信息交换所遵从的规则

认证分类

  • 鉴别实体:根据验证对象所提供的认证依据,给出身份的真实性或属性判断

  • 认证分类

  • 按需要认证凭据的类型数量,可分成:单因素认证、双因素认证和多因素认证。

  • 按认证双方角色和所依赖外部条件,分为:单向认证、双向认证和第三方认证。

  • 根据认证依据所利用的时间长度,认证可分为一次性口令、持续认证、一次性口令简称OTP (One Time Password)用于保护口令安全,防止口令重用攻击,例如短消息验证码、S/ Key口令。

  • 持续认证是指连续提供身份确认,对用户整个会话过程中的特征行为进行连续检测,不间断的验证用户所具有的特性。标志是将对事件的身份验证转变为对过程的身份验证。持续验证所使用的鉴定因素主要是认知因素、物理因素、上下文因素。认知因素主要有眼手协调、应用行为模式、使用偏好、设备交互模式等。物理因素主要有左/右手、按压大小、手震、手臂大小和肌肉使用。

6.1.3 单向认证

·单向认证:验证者对声称者进行单方面的鉴别,而声称者不需要识别验证者的身份。

·单向认证技术有两种:基于共享秘密和基于挑战响应

·基于共享秘密认证

·设验证者和声称者共享一个秘密Kab,IDa,为标识,过程如下:

·①A产生并向B发送消息(IDa, Kab)

·②B收到(IDa, Kab)的消息后,B检查IDa和Kab的正确性。若正确,则确认A的身份。

·③B回复A验证结果消息。

image-20250903160618793

6.1.4 基于挑战响应的认证

设验证者 B 生成一个随机数 Rb,IDa 为实体 A 的标识,IDb 为实体 B 的标识,则认证过程如下: 1.B 产生一个随机数 Rb,并向 A 发送消息 (IDb, Rb)。 2.A 收到 (IDb, Rb) 消息后,安全生成包含随机数 Rb 的秘密 Kab,并发送消息 (IDa, Kab) 到 B。 3.B 收到 (IDa, Kab) 的消息后 如果采用hash算法,则 B 本地生产 Kab∗,并对比 Kab 和 Kab∗,如果相等则认证通过。 如果采用对称加密算法,B 解密 Kab,检查 Rb 是否正确。若正确,则确认 A 的身份。 4.B 回复 A 验证结果消息。

image-20250903162034762

6.1.5 认证应用 - PPP协议认证功能PAP和CHAP

PAP:两次握手验证协议,口令以明文传送,被验证方首先发起请求。

CHAP:三次握手,认证过程不传送认证口令,传送HMAC散列值

image-20250903162254104

6.1.6 双向认证

是指在认证过程中,验证者对声称者进行单方面的鉴别,同时,声称者也对验证者的身份进行确认。参与认证的实体双方互为验证者。在网络服务认证过程中,双向认证要求服务方和客户方互相认证,客户方也认证服务方,这样就可以解决服务器的真假识别安全问题。

image-20250903162445220

6.1.7 第三方认证

第三方认证:两个实体在鉴别过程中通过可信的第三方来实现

可信的第三方简称TTP (Trusted Third Party), 如图:

设A和B各生成随机数为Ra、Rb、IDa为实体A的标识,IDb为实体B的标识,认证过程如下:

①实体A向第三方P发送加密消息Kpa(IDb, Ra).

②第三方收到Kpa(IDb, Ra)后,解密获取内容。生成消息Kpa(Ra, Kab)和Kpb(IDa, Kab), 发送到实体A.

③实体A发送Kpb(IDa, Kab)到实体B.

④实体B解密消息Kpb(IDa, Kab), 生成消息Kab(IDa, Rb), 然后发送给实体A.

⑤实体A解密Kab(IDa, Rb), 生成消息Kab(IDB, Rb) 发送给实体B.

⑥实体B解密消息Kab(IDb, Rb), 检查Rb的正确性,若正确,则实体A认证通过。

⑦B回复A验证结果消息。

6.1.8 认证技术方法

口令认证技术:是基于用户所知道的秘密而进行的认证技术,是网络常见的身份认证方法。

  • 优点:简单、易于实现。

  • 缺点:容易受到攻击,主要攻击方式有窃听、重放、中间人攻击、口令猜测等。

  • 安全措施:口令信息要安全加密存储;口令信息要安全传输;口令认证协议要抵抗攻击,符合安全协议涉及要求;口令选择要求做到避免弱口令。遵循口令生成安全策略,同时对生成的口令进行安全强度评测。

智能卡技术:一种带有智能存储器和微处理器的集成电路卡,能够安全存储认证信息,并具有一定的计算能力。(身份证/银行卡/校园卡等)

生物特征认证技术:利用人类生物特征来进行验证。指纹、人脸、视网膜、语音等生物特征信息可用来进行身份认证。

6.1.9 Kerberos认证协议

Kerberos包含四个基本实体:

(1) Kerberos客户机,用户用来访问服务器设备;

(2) AS (Authentication Server, 认证服务器),识别用户身份并提供TGS会话密钥;

(3) TGS (Ticket Granting Server, 票据发放服务器),为申请服务的用户授予票据 (Ticket);

(4) 应用服务器 (Application Server),为用户提供服务的设备或系统。

AS和TGS统称为KDC (Key Distribution Center).

票据 (Ticket) 是用于安全的传递用户身份所需要的信息的集合,主要包括客户方实体名称、地址、时间戳、票据生存期和会话密钥等内容。

image-20250903164929997

Kerberos协议中要求用户经过AS和TGS两重认证的优点主要有两点:

(1)可以显著减少用户密钥的密文的暴露次数,这样就可以减少攻击者对有关用户密钥的密文的积累。

(2)Kerberos认证过程具有单点登录(SSO)的优点,只要用户拿到了TGT并且该TGT没有过期,那么用户就可以使用该TGT通过TGS完成到任一服务器的认证过程而不必重新输入密码。

Kerberos不足:要求解决主机节点时间同步问题和抵御拒绝服务攻击。如果某台主机时间被更改,那么这台主机就无法使用Kerberos认证协议;如果服务器的时间发生了错误,那么整个Kerberos认证系统将会瘫痪。

6.1.10 PKI体系

1、用户/终端实体:指将要向认证中心申请数字证书的客户,可以是个人,也可以是集团或团体、某政府机构等。

2、注册机构RA:注册机构提供用户和CA之间的一个接口,它获取并认证用户的身份,向CA提出证书请求。它主要完成收集用户信息和确认用户身份的功能。注册机构并不给用户签发证书,而只是对用户进行资格审查。较小的机构,可以由CA兼任RA的工作。

3、证书颁发机构CA:负责给用户颁发证书。

4、证书发布系统:负责证书发放,如可以通过用户自已或是通过目录服务。

CRL库:证书吊销列表,存放过期或者无效证书。

image-20250903165322844

6.1.11 其他认证技术

SSO (Single Sign On,单点登录)指用户访问使用不同的系统时,只需要进行一次身份认证,就可以根据这次登陆的认证身份访问授权资源。解决了用户访问使用不同系统时,需要输入不同系统的口令以及保管口令问题,简化了认证管理工作。

基于人机识别认证技术:利用计算机求解问题的困难性以区分计算机和人的操作,防止计算机程序恶意操作,例如12306图片登录验证码。

多因素认证技术:使用多种鉴别信息进行组合,以提升认证的安全强度。

基于行为的身份鉴别技术:根据用户行为和风险大小而进行的身份鉴别技术,比如异地登录告警。

快速在线认证(FIDO):使用标准公钥加密技术来提供强身份认证。私钥保留在用户端设备中,只将公钥注册到在线服务。公钥将发送到在线服务并与用户账户关联。私钥和有关本地身份验证方法的任何信息 (如生物识别测量或模板)永远不会离开本地设备。

6.2 认证主要产品与应用

6.2.1 认证主要产品

认证主要产品有:硬件实体模式、软件模式或软硬件结合模式。

系统安全增强:U盘+口令、智能卡+口令、生物信息+口令等。产品应用场景有U盘登录计算机、网银U盾认证、指纹登录计算机/网站/邮箱等。

生物认证:人脸核验智能终端、指纹U盘、人脸识别门禁、指纹采集仪、指纹比对引擎、人脸自动识别平台。

电子认证服务:数字证书认证系统、证书管理服务器、可信网络身份认证、SSL证书、数字证书服务、时间截公共服务平台、个人多源可信身份统一认证服务平台等。

网络准入控制:网络准入控制产品的技术特点是采用基于802.1X协议、Radius协议、VPN等的身份验证相关技术,与网络交换机、路由器、安全网关等设备联动,对入网设备(如主机、移动PC智能手机等)进行身份认证和安全合规性验证,防范非安全设备接入内部网络。(认证软件)

身份认证网关:身份认证网关产品的技术特点是利用数字证书、数据同步、网络服务重定向等技术,提供集中、统一的认证服务,形成身份认证中心,具有单点登录、安全审计等安全服务功能。(认证软件)

6.2.2 认证产品主要技术指标

认证产品评价指标可分三类:安全功能要求、性能要求和安全保障要求

(1) 算法支持:认证技术主要依赖于密码技术,常见的密码算法类型有DES/3DES、AES、SHA-1、RSA、SM1/SM2/SM3/SM4.

(2)认证准确性:认证产品的认假率、拒真率。

(3)用户支持数量:认证产品的最大承载的用户数量。

(4)安全保障级别:认证产品的安全保证措施、安全可靠程度、抵抗攻击能力等。

6.2.3 认证技术应用

认证技术是网络安全保障的基础性技术,普遍应用于网络信息系统保护,常见应用场景:

(1) 用户身份验证:验证网络资源的访问者的身份,给网络系统访问授权提供支持服务。

(2) 信息来源证实:验证网络信息的发送者和接收者的真实性,防止假冒。

(3) 信息安全保护:通过认证技术保护网络信息的机密性、完整性,防止泄密、篡改、重放或延迟。

6.2.4 认证技术应用-校园网应用

在校园内部建设数字证书发放和服务体系,进行数字身份凭证的管理。通过严格按照相关规范进行身份验证,实现对物理身份与数字身份的对应,并通过对数字证书的申请、发放、吊销、更新等过程,实现数字身份凭证的管理。建立的统一认证管理系统,围绕整合的用户、应用系统等资源的管理,构建网络信任体系的基础设施平台。平台实现基于数字证书的身份认证,实现基于角色或资源的授权管理,实现统一的安全策略设定和维护,实现责任认定的安全设计。建立PKI应用支持系统,为校园内部其他应用系统提供可信的数据电文服务。

image-20250903170411782

6.2.5 认证技术应用-网络路由认证

路由安全是网络安全的基础,为了保证路由安全,路由器设备的访问及路由消息都需要进行认证。

(1) 用户认证:当一个用户访问路由器时,必须经过认证通过才能被允许。

(2) 路由器邻居认证:当两个相邻的路由器进行路由信息交换时,需要进行身份验证,以保证接收可信的路由消息,以防止出现未经授权的、恶意的路由更新。路由器邻居认证的类型有OSPF认证、RIP认证、EIGRP认证。认证模式有明文认证、消息摘要认证。明文认证不安全,口令容易被监听,所以一般推荐采用信息摘要认证

6.2.6 认证技术应用-人脸识别门禁与eID

人脸识别机房门禁:利用先进的生物识别技术,通过人脸特征信息快速判断人员身份,客观控制门禁系统,彻底杜绝通过伪造证件冒名顶替、利用他人证件通过及擅自进入的可能性。人员进出数据及现场记录图像可实时上传管理端,帮助管理者轻松、高效的进行安全管理工作。

eID身份验证:公民网络电子身份标识 (eID)是国家网络安全的重要保障。eID是由国家主管部门颁发,与个人真实身份具有一一对应关系,用于在线识别公民真实身份的网络电子身份。由一对非对称密钥和含有其公钥及相关信息的数字证书组成。

6.2.7 认证技术应用-HTTP认证

HTTP是WEB服务器应用协议,支持的认证方式主要有基本访问认证(BAA)、数字摘要认证、NTLM,Negot iate, Windows Live ID等。其认证过程框架如图所示:


动物装饰