认证

1、概念

  • 认证是一个实体向另外一个实体证明其所声称的身份的过程
  • 在认证过程中,需要被证实的实体是声称者,负责检查确认声称者的实体是验证者
  • 通常情况下,双方要按照一定规则,声称者传递可区分其身份的证据给验证者,验证者根据所接收到的声称者的证据进行判断,证实声称者的身份

2、组成部分

  • 标识 (Identification)
    • 用来代表实体对象(如人员、设备、数据、服务、应用) 的身份标志,确保实体的唯一性和可辨识性,同时与实体存在强关联
    • 标识一般用名称和标识符(D)来表示,通过唯一标识符,可以代表实体。
  • 鉴别(Authentication)
    • 一般是利用口令、电子签名、数字证书、令牌、生物特征、行为表现等相关数字化凭证对实体所声称的属性进行识别验证的过程
    • 鉴别的凭据主要有所知道的秘密信息、所拥有的凭证、所具有的个体特征以及所表现的行为

3、认证依据
(1) 所知道的秘密信息 (Something You Know):实体(声称者) 所掌握的秘密信息,如用户口令、验证码等
(2) 所拥有的实物凭证 (Something You Have):实体(声称者) 所持有的不可伪造的物理设备,如智能卡、U 盾等
(3) 所具有的生物特征:实体(声称者)所具有的生物特征,如指纹、声音、虹膜、人脸等
(4) 所表现的行为特征:实体(声称者) 所表现的行为特征,如鼠标使用习惯、键盘敲键力度、地理位置等

4、分类

  • 按照对验证对象要求提供的认证凭据的类型数量
    • 单因素认证、双因素认证、多因素认证
  • 根据认证依据所利用的时间长度
    • 一次性口令 (One Time Password) :用于保护口令安全,防止口令重用攻击,常见的认证实例如使用短消息验证码
    • 持续认证(Continuous authentication) :连续提供身份确认,其技术原理是对用户整个会话过程中的特征行为进行连续地监测,不间断地验证用户所具有的特性。

认证类型

1、单向认证

  • 定义:在认证过程中,验证者对声称者进行单方面的鉴别,而声称者不需要识别验证者的身份
  • 单向认证技术
    • 基于共享秘密
      • 设验证者和声称者共享一个秘密 Kab , IDa为实体 A 的标识,则认证过程如下
      • 第一步,A产生并向 B 发送消息 ( IDa, Kab )
      • 第二步,B 收到 ( IDa, Kab ) 消息后,B 检查 IDa 和 Kab 的正确性。若正确,则确认A 的身份
      • 第三步,B 回复 A 验证结果消息
    • 基于挑战响应
      • 设验证者 B 生成一个随机数 Rb,IDa为实体 A 的标识,IDb为实体 B 的标识,则认证过程如下
      • 第一步,B 产生一个随机数 Rb,并向 A 发送消息 ( IDb, Rb )
      • 第二步,A 收到( IDb,Rb ) 消息后,安全生成包含随机数 Rb 的秘密 Kab,并发送消息( IDa, Kab )到B
      • 第三步,B 收到( IDa, Kab ) 的消息后,解密 Kab,检查 Rb 是否正确。若正确,则确认A 的身份
      • 第四步,B 回复 A 验证结果消息

2、双向认证

  • 在认证过程中,验证者对声称者进行单方面的鉴别,同时,声称者也对验证者的身份进行确认。

3、第三方认证

  • 指两个实体在鉴别过程中通过可信的第三方来实现,可信的第三方简称 TTP(Trusted Third Party) 。

认证技术

    1. 口令认证技术
    • 优缺点
      • 简单,易于实现
      • 容易受到攻击
    • 安全措施
      • 口令信息要安全加密存储
      • 口令信息要安全传输
      • 口令认证协议要抵抗攻击,符合安全协议设计要求
      • 口令选择要求做到避免弱口令
    1. 智能卡技术
    • 智能卡:一种带有存储器和微处理器的集成电路卡,能够安全存储认证信息,并具有一定的计算能力。
    • 智能卡认证根据用户所拥有的实物进行,智能卡会一直显示一个随时间而变化的数字。假如用户试图登录目标系统,则系统首先将对用户进行认证,步骤如下:
      • (1) 用户将自己的 ID 发送到目标系统
      • (2) 系统提示用户输入数字
      • (3) 用户从智能卡上读取数字
      • (4) 用户将数字发送给系统
      • (5) 系统用收到的数字对 ID 进行确认,如果 ID 有效,系统会生成一个数字并将其显示给用户,称为挑战
      • (6) 用户将上面的挑战输入智能卡中
      • (7) 智能卡用这个输入的值根据一定算法计算出一个新的数字并显示这个结果,该数字称为应答
      • (8) 用户将应答输入系统
      • (9) 系统验证应答是否正确,如果正确,用户通过验证并登录进入系统
    • 优缺点
      • 容易丢失或被伪造
    1. 基于生物特征认证技术
    • 基于生物特征认证:利用人类生物特征(指纹、人脸、视网膜、语音等)来进行验证
    1. Kerberos 认证技术
    • Kerberos:一个网络认证协议,其目标是使用密钥加密为C/S应用程序提供强身份认证
    • 技术原理:利用对称密码技术,使用可信的第三方来为应用服务器提供认证服务,并在用户和服务器之间建立安全信道
    • 基本实体
      • (1) Kerberos 客户机,用户用来访问服务器设备
      • (2) AS (Authentication Server,认证服务器) ,识别用户身份并提供 TGS 会话密钥
      • (3) TGS(Ticket Granting Server,票据发放服务器),为申请服务的用户授予票据(Ticket)
      • (4) 应用服务器 (Application Server) ,为用户提供服务的设备或系统。
    • 工作流程
    1. 公钥基础设施(PKI)技术
    • 第三方称为认证机构,简称 CA (Certification Authority),CA 负责颁发证书,证书中含有实体名、公钥以及实体的其他身份信息。而 PKI (Public Key Infrastructure) 就是有关创建管理、存储、分发和撤销公钥证书所需要的硬件、软件、人员、策略和过程的安全服务设施
    • 基于 PKI 的主要安全服务有身份认证、完整性保护、数字签名、会话加密管理、密钥恢复
    • PKI 实体
      • CA (Certification Authority):证书授权机构,主要进行证书的颁发、废止和更新认证机构负责签发、管理和撤销一组终端用户的证书
      • RA(Registration Authority:证书登记权机构,将公钥和对应的证书持有者的身份及其他属性联系起来,进行注册和担保: RA 可以充当 CA 和它的终端用户之间的中间实体,辅助 CA 完成其他绝大部分的证书处理功能
      • 目录服务器:CA 通常使用一个目录服务器,提供证书管理和分发的服务
      • 终端实体(End Entity):指需要认证的对象,例如服务器、打印机、E-mail 地址用户等
      • 客户端(Client):指需要基于 PKI 安全服务的使用者,包括用户、服务进程等
    1. 单点登录
    • 单点登录 (Single Sign On) :指用户访问使用不同的系统时,只需要进行一次身份认证就可以根据这次登录的认证身份访问授权资源
    • 单点登录解决了用户访问使用不同系统时,需要输入不同系统的口令以及保管口令问题,简化了认证管理工作
    1. 基于人机识别认证技术CAPTCHA
    • CAPTCHA(Completely Automated Public Turing test to tell Computers and Humans Apart) :利用计算机求解问题的困难性以区分计算机和人的操作,防止计算机程序恶意操作技术
    • 工作机制:认证者事先有一个 CAPTCHA 服务器,负责 CAPTCHA 信息的生成和测试,当用户使用需要CAPTCHA 验证的服务时候,CAPTCHA 服务器则给用户生成 CAPTCHA 测试,如果用户测试结果正确,则认证通过
    1. 多因素认证技术
    • 使用多种鉴别信息进行组合,以提升认证的安全强度
    • 根据认证机制所依赖的鉴别信息的多少,认证通常称为双因素认证或多因素认证
    1. 基于行为的身份鉴别技术
    • 根据用户行为和风险大小而进行的身份鉴别技术
    1. 快速在线认证( FIDO)
    • Fast IDentity Online:FIDO 使用标准公加密技术来提供强身份验证
    • 设计目标:保护用户隐私,不提供跟踪用户的信息,用户生物识别信息不离开用户的设备。

认证产品

1、系统安全增强

  • 系统安全增强产品的技术特点是利用多因素认证技术增强操作系统、数据库系统、网站等的认证安全强度。采用的多因素认证技术通常是 U 盘+口令、智能卡+口令、生物信息+口令等
  • 产品应用场景有U 盘登录计算机、网银 U 盾认证、指纹登录计算机/网站/邮箱等

2、生物认证

  • 生物认证产品的技术特点是利用指纹、人脸、语音等生物信息对人的身份进行鉴别
  • 产品:人证核验智能终端、指纹T 盘、人脸识别门禁、指纹采集仪、指纹比对引擎、人脸自动识别平台

3、电子认证服务

  • 技术特点:采用 PKI 技术、密码算法等提供数字证书申请、颁发、存档、查询、废止等服务,以及基于数字证书为电子活动提供可信身份、可信时间和可信行为综合服务
  • 产品:数字证书认证系统、证书管理服务器可信网络身份认证、SSL 证书、数字证书服务、时间戳公共服务平台、个人多源可信身份统认证服务平台等

4、网络准入控制

  • 技术特点:采用基于 802.1X 协议、Radius 协议、VPN 等的身份验证相关技术,与网络交换机、路由器、安全网关等设备联动,对入网设备(如主机、移动 PC、智能手机等) 进行身份认证和安全合规性验证,防范非安全设备接入内部网络

5、身份认证网关

  • 技术特点:利用数字证书、数据同步、网络服务重定向等技术,提供集中、统一的认证服务,形成身份认证中心,具有单点登录、安全审计等安全服务功能