认证概述
认证由标识和鉴别两部分组成。
认证依据
主要有四类:
- 所知道的秘密信息
- 所拥有的实物凭证
- 所具有的生物特征
- 所表现的行为特征
认证原理
认证机制又验证对象、认证协议、鉴别实体构成。
根据认证依据所利用的时间长度,分成一次性口令、持续认证。
认证类型与认证过程
单向认证
基于共享秘密
验证者(B)和声称者(A)共享一个秘密$K_{AB}$,$ID_A$为实体A的标识,A发送两者给B,B进行验证并回复给A
基于挑战的响应
验证者B生成一个随机数$R_B$,$ID_A$为实体A的标识,$ID_B$为实体B的标识,B向A发送消息($ID_B$,$R_B$)。A收到消息后,生成包含随机数$R_B$的秘密$K_{AB}$,并发送($ID_A$,$K_{AB}$)给B,B收到后,解密$K_{AB}$,检查$R_B$是否正确,并回复给A。
双向认证
双方互相认证。
第三方认证
实体A和实体B与第三方共享密钥$K_{PA}$,$K_{PB}$,实体A发送认证请求时,向第三方申请实体AB的密钥$K_{AB}$,然后A和B使用$K_{AB}$加密保护双方的认证信息。
认证技术方法
口令认证技术
主要攻击方式:窃听、重放、中间人攻击、口令猜测
口令认证安全:加密存储、安全传输、符合协议设计要求、避免弱口令
智能卡技术
基于生物特征认证技术
生物特征:指纹、人脸、视网膜、语音
虹膜识别的错误率是各种生物特征识别中最低的
Kerberos认证技术
四个基本实体
- Kerberos客户机,用户用来访问服务器设备
- AS(认证服务器),识别用户身份并提供TGS会话密钥
- TGS(票据发放服务器),为申请服务的用户授予票据
- 应用服务器,为用户提供服务的设备或系统
kerberos V5认证协议主要由六步构成(AS与TGS统称为KDC)
- Kerberos客户(已知自己用户名密码)向AS(已知所有用户和服务名所有密码)申请票据TGT
- 当AS收到Kerberos客户消息后,在认证数据库检查确认后产生一个会话密钥,同时使用客户秘密密钥对会话密钥加密,生成票据TGT(实体名、地址、时间戳、限制时间、会话密钥组成)。然后发送给Kerberos客户。
- Kerberos客户收到TGT后,使用自己的秘密密钥解密得到会话密钥,利用解密的信息重新构造认证请求单,向TGS发送请求,申请访问应用服务器AP所需的票据。
- TGS使用其秘密密钥对TGT进行解密,同时使用TGT中的会话密钥对Kerberos客户对请求认证单信息进行解密,并将解密后的信息与TGT中信息进行比较。然后TGS生成新的会话密钥以供Kerberos客户和应用服务器使用,并利用各自的秘密密钥加密会话密钥。最后,生成一个票据TGT(由客户的实体名、地址、时间戳、限制时间、会话密钥组成),将TGT发送给Kerberos客户。
- Kerberos客户收到TGS响应后,获得与应用服务器共享的会话密钥。此时,Kerberos客户生成一个新的用于访问应用服务器的认证单,并用与应用服务器共享的会话密钥加密,然后与TGS发送来的票据一并传送到应用服务器。
优点:
- 显著减少用户密钥的密文暴露次数,减少攻击者对有关用户密钥对密文积累
- 具有单点登录的优点,只要TGT未过期,认证过程就不必重新输入密码
缺点:
- 若服务器时间发送错误,则整个Kerberos认证系统将会瘫痪
公钥基础设施(PKI)技术
PKI主要安全服务:身份认证、完整性保护、数字签名、会话加密管理、密钥恢复
PKI各实体的功能分别叙述如下:
- CA:证书授权机构,主要进行证书的颁发、废止和更新;认证机构负责签发、管理和撤销一组终端用户的证书
- RA:证书登记权威机构,将公钥和对应的证书持有者的身份及其他属性联系起来,进行注册和担保;RA可以充当CA和他的终端用户之间的中间实体,辅助CA完成其他绝大部分的证书处理功能
- 目录服务器:CA通常使用一个目录服务器,提供证书管理和分发的服务
- 终端实体:指需要认证的对象,如服务器、E-mail地址
- 客户端:指需要基于PKI安全服务的使用者,包括用户、服务进程等
单点登录
使用不同系统时,只需要进行一次身份认证。
基于人机识别认证技术
区别计算机和人的操作,称为CAPTCHA技术。主要包括:文本、图像、语音等
多因素认证技术
多种鉴别信息进行组合
基于行为的身份鉴别技术
根据用户行为和风险大小而进行的身份鉴别技术。动态监控用户状态以判定用户身份。
快速在线认证(FIDO)
使用标准公钥加密技术来提供强身份验证。
登记注册
创建公私钥,公钥注册到在线服务。
登录使用
验证方法:安全PIN、生物识别以及符合FIDO标准要求的认证设备。
认证主要产品与技术指标
认证主要产品
产品类型:系统安全增强、生物认证、电子认证服务、网络准入控制、身份认证网关
主要技术指标
评价指标分成三类:安全功能要求、性能要求和安全保障要求
技术指标:密码算法支持、认证准确性、用户支持数量、安全保障级别
认证技术应用
常见应用场景:用户身份验证、信息来源证实、信息安全保护
校园网、网络路由、机房门禁、公民网络电子身份标识、HTTP等方面认证技术应用参考详见P134-139