0%

第6章 认证技术原理与应用

认证概述

认证由标识和鉴别两部分组成。

认证依据

主要有四类:

  1. 所知道的秘密信息
  2. 所拥有的实物凭证
  3. 所具有的生物特征
  4. 所表现的行为特征

认证原理

认证机制又验证对象、认证协议、鉴别实体构成。

根据认证依据所利用的时间长度,分成一次性口令、持续认证。

认证类型与认证过程

单向认证

  1. 基于共享秘密

    验证者(B)和声称者(A)共享一个秘密$K_{AB}$,$ID_A$为实体A的标识,A发送两者给B,B进行验证并回复给A

  2. 基于挑战的响应

    验证者B生成一个随机数$R_B$,$ID_A$为实体A的标识,$ID_B$为实体B的标识,B向A发送消息($ID_B$,$R_B$)。A收到消息后,生成包含随机数$R_B$的秘密$K_{AB}$,并发送($ID_A$,$K_{AB}$)给B,B收到后,解密$K_{AB}$,检查$R_B$是否正确,并回复给A。

双向认证

双方互相认证。

第三方认证

实体A和实体B与第三方共享密钥$K_{PA}$,$K_{PB}$,实体A发送认证请求时,向第三方申请实体AB的密钥$K_{AB}$,然后A和B使用$K_{AB}$加密保护双方的认证信息。

认证技术方法

口令认证技术

主要攻击方式:窃听、重放、中间人攻击、口令猜测

口令认证安全:加密存储、安全传输、符合协议设计要求、避免弱口令

智能卡技术

基于生物特征认证技术

生物特征:指纹、人脸、视网膜、语音

虹膜识别的错误率是各种生物特征识别中最低的

Kerberos认证技术

四个基本实体

  • Kerberos客户机,用户用来访问服务器设备
  • AS(认证服务器),识别用户身份并提供TGS会话密钥
  • TGS(票据发放服务器),为申请服务的用户授予票据
  • 应用服务器,为用户提供服务的设备或系统

kerberos V5认证协议主要由六步构成(AS与TGS统称为KDC)

  1. Kerberos客户(已知自己用户名密码)向AS(已知所有用户和服务名所有密码)申请票据TGT
  2. 当AS收到Kerberos客户消息后,在认证数据库检查确认后产生一个会话密钥,同时使用客户秘密密钥对会话密钥加密,生成票据TGT(实体名、地址、时间戳、限制时间、会话密钥组成)。然后发送给Kerberos客户。
  3. Kerberos客户收到TGT后,使用自己的秘密密钥解密得到会话密钥,利用解密的信息重新构造认证请求单,向TGS发送请求,申请访问应用服务器AP所需的票据。
  4. TGS使用其秘密密钥对TGT进行解密,同时使用TGT中的会话密钥对Kerberos客户对请求认证单信息进行解密,并将解密后的信息与TGT中信息进行比较。然后TGS生成新的会话密钥以供Kerberos客户和应用服务器使用,并利用各自的秘密密钥加密会话密钥。最后,生成一个票据TGT(由客户的实体名、地址、时间戳、限制时间、会话密钥组成),将TGT发送给Kerberos客户。
  5. Kerberos客户收到TGS响应后,获得与应用服务器共享的会话密钥。此时,Kerberos客户生成一个新的用于访问应用服务器的认证单,并用与应用服务器共享的会话密钥加密,然后与TGS发送来的票据一并传送到应用服务器。

优点:

  • 显著减少用户密钥的密文暴露次数,减少攻击者对有关用户密钥对密文积累
  • 具有单点登录的优点,只要TGT未过期,认证过程就不必重新输入密码

缺点:

  • 若服务器时间发送错误,则整个Kerberos认证系统将会瘫痪

公钥基础设施(PKI)技术

PKI主要安全服务:身份认证、完整性保护、数字签名、会话加密管理、密钥恢复

PKI各实体的功能分别叙述如下:

  • CA:证书授权机构,主要进行证书的颁发、废止和更新;认证机构负责签发、管理和撤销一组终端用户的证书
  • RA:证书登记权威机构,将公钥和对应的证书持有者的身份及其他属性联系起来,进行注册和担保;RA可以充当CA和他的终端用户之间的中间实体,辅助CA完成其他绝大部分的证书处理功能
  • 目录服务器:CA通常使用一个目录服务器,提供证书管理和分发的服务
  • 终端实体:指需要认证的对象,如服务器、E-mail地址
  • 客户端:指需要基于PKI安全服务的使用者,包括用户、服务进程等

单点登录

使用不同系统时,只需要进行一次身份认证。

基于人机识别认证技术

区别计算机和人的操作,称为CAPTCHA技术。主要包括:文本、图像、语音等

多因素认证技术

多种鉴别信息进行组合

基于行为的身份鉴别技术

根据用户行为和风险大小而进行的身份鉴别技术。动态监控用户状态以判定用户身份。

快速在线认证(FIDO)

使用标准公钥加密技术来提供强身份验证。

  1. 登记注册

    创建公私钥,公钥注册到在线服务。

  2. 登录使用

    验证方法:安全PIN、生物识别以及符合FIDO标准要求的认证设备。

认证主要产品与技术指标

认证主要产品

产品类型:系统安全增强、生物认证、电子认证服务、网络准入控制、身份认证网关

主要技术指标

评价指标分成三类:安全功能要求、性能要求和安全保障要求

技术指标:密码算法支持、认证准确性、用户支持数量、安全保障级别

认证技术应用

常见应用场景:用户身份验证、信息来源证实、信息安全保护

校园网、网络路由、机房门禁、公民网络电子身份标识、HTTP等方面认证技术应用参考详见P134-139

-------本文结束  感谢您的阅读-------