信息安全工程师-软考中级-备考笔记:第六章 认证技术原理与应用

第6章 认证技术原理与应用
认证概述
• 认证概念
o 认证是一个实体向另一个实体证明其所声称的身份的过程。
o 认证一般由标识(Identification)和鉴别(Authentication)两部分组成
• 认证依据:也称为鉴别信息,指用于确认实体身份的真实性或者其拥有的属性的凭证
o 所知道的秘密信息
 声称者掌握的秘密信息,如口令、验证码
• 所拥有的实物凭证
 声称者持有的不可伪造的物理设备,如智能卡、U盾
• 所具有的生物特征
 声称者具有的生物特征,如指纹、声音、人脸
• 所表现的行为特征
 声称者表现的行为特征,如键盘敲击力度,鼠标使用习惯
认证原理
• 认证机制由验证对象、认证协议、鉴别实体构成
• 按照对验证对象要求提供的认证凭据的类型数量分类
 单因素认证
 双因素认证
 多因素认证
• 根据认证依据利用的时间长度
 一次性口令(One Time Password)OTP:短信验证码
 持续性认证:对用户整个会话过程中的特征行为进行连续地检测、验证用户身份
认证类型与认证过程
单向认证
o 认证过程中,验证者对声称者进行单方面的鉴别,声称者不需要识别验证者的身份
信息安全工程师-软考中级-备考笔记:第六章 认证技术原理与应用

o 两种实现单向认证的技术方法
 基于共享秘密
信息安全工程师-软考中级-备考笔记:第六章 认证技术原理与应用

 基于挑战响应
信息安全工程师-软考中级-备考笔记:第六章 认证技术原理与应用

双向认证
 认证过程中,验证者对声称者进行单方面的鉴别,同时,声称者也对验证者的身份进行确认
信息安全工程师-软考中级-备考笔记:第六章 认证技术原理与应用

第三方认证
第三方认证:指两个实体在鉴别过程中通过可信的第三方来实现。可信的第三方简称TTP(Trusted Third Party)
信息安全工程师-软考中级-备考笔记:第六章 认证技术原理与应用

实体A和实体B基于第三方的认证方案有多种形式,选取一种基于第三方挑战响应的技术方案

信息安全工程师-软考中级-备考笔记:第六章 认证技术原理与应用

认证技术方法
口令认证技术
o 基于用户所知道的秘密而进行的认证技术,是网络常见的身份认证方法。网络设备、操作系统和网络应用服务等都采用了口令认证技术
o 口令认证易受到窃听、重放、中间人攻击、口令猜测等,需满足以下条件:
 口令信息要安全加密存储
 口令信息要安全传输
 口令认证协议要抵抗攻击,符合安全协议设计要求
 口令选择要求做到避免弱口令
智能卡技术
一种带有存储器和微处理器的集成电路卡,能够安全存储认证信息,并具有一定的计算能力
信息安全工程师-软考中级-备考笔记:第六章 认证技术原理与应用

基于生物特征认证技术:利用人类生物特征来进行验证
目前,使用指纹、人脸、视网膜、语音等生物特征信息用来进行身份认证
Kerberos认证技术
• 一个网络认证协议,目标是使用密钥加密为客户端/服务器应用程序提供强身份认证
• 技术原理:利用对称密码技术,使用可信的第三方来为应用服务器提供认证服务,并在用户和服务器之间建立安全通道
• 一个Kerberos系统涉及四个基本实体:
• Kerberos客户机,用户用来访问服务器的设备
• AS(Authentication Server,认证服务器),识别用户身份并提供TGS会话密钥
• TGS(Ticket Granting Server,票据发放服务器),为申请服务的用户授予票据(Ticket)
• 应用服务器(Application Server),为用户提供服务的设备或系统
• 其中,AS和TGS统称为KDC(Key Distribution Center)
• Kerberos V5认证协议主要由六步构成
信息安全工程师-软考中级-备考笔记:第六章 认证技术原理与应用

• Kerberos客户(已知自己用户名密码)向AS(已知所有用户和服务名所有密码)申请票据TGT
• 当AS收到Kerberos客户消息后,在认证数据库检查确认后产生一个会话密钥,同时使用客户秘密密钥对会话密钥加密,生成票据TGT(实体名、地址、时间戳、限制时间、会话密钥组成)。然后发送给Kerberos客户。
• Kerberos客户收到TGT后,使用自己的秘密密钥解密得到会话密钥,利用解密的信息重新构造认证请求单,向TGS发送请求,申请访问应用服务器AP所需的票据。
• TGS使用其秘密密钥对TGT进行解密,同时使用TGT中的会话密钥对Kerberos客户的请求认证单信息进行解密,并将解密后的信息与TGT中信息进行比较。然后TGS生成新的会话密钥以供Kerberos客户和应用服务器使用,并利用各自的秘密密钥加密会话密钥。最后,生成一个票据TGT(由客户的实体名、地址、时间戳、限制时间、会话密钥组成),将TGT发送给Kerberos客户。
• Kerberos客户收到TGS响应后,获得与应用服务器共享的会话密钥。此时,Kerberos客户生成一个新的用于访问应用服务器的认证单,并用与应用服务器共享的会话密钥加密,然后与TGS发送来的票据一并传送到应用服务器。
• 应用服务器确认请求
优点:
• 显著减少用户密钥的密文暴露次数,减少攻击者对有关用户密钥对密文积累
• 具有单点登录的优点,只要TGT未过期,认证过程就不必重新输入密码
缺点:
• 若服务器时间发送错误,则整个Kerberos认证系统将会瘫痪
公钥基础设施(PKI)技术
PKI就是有关创建、管理、存储、分发和撤销公钥证书所需要的硬件、软件、人员、策略和过程的安全服务设施。
• 其主要安全服务有身份认证、完整性保护、数字签名、会话加密管理、密钥恢复
信息安全工程师-软考中级-备考笔记:第六章 认证技术原理与应用

PKI各实体的功能分别叙述如下:

• CA:证书授权机构,主要进行证书的颁发、废止和更新;认证机构负责签发、管理和撤销一组终端用户的证书
• RA:证书登记权威机构,将公钥和对应的证书持有者的身份及其他属性联系起来,进行注册和担保;RA可以充当CA和他的终端用户之间的中间实体,辅助CA完成其他绝大部分的证书处理功能
• 目录服务器:CA通常使用一个目录服务器,提供证书管理和分发的服务
• 终端实体:指需要认证的对象,如服务器、E-mail地址
• 客户端:指需要基于PKI安全服务的使用者,包括用户、服务进程等
单点登录
• 指用户访问使用不同的系统时,只需要进行一次身份认证。简化了认证管理工作
认证主要技术指标与产品
认证评价指标
o 安全功能要求
o 性能要求
o 安全保障要求
认证技术产品主要技术指标:
o 密码算法支持
o 认证准确性
o 用户支持数量
o 安全保障级别
认证产品
o 系统安全增强:多因素认证
o 生物认证
o 电子认证服务:数字证书
o 网络准入控制
o 身份认证网关
认证技术应用
o 用户身份验证:验证网络资源的访问者的身份,给网络系统访问授权提供支持服务
o 信息来源证实:验证网络信息的发送者和接收者的真实性,防止假冒
o 信息安全保护:通过认证技术保护网络信息的机密性、完整性、防止泄密、篡改、重放或延迟
相关案例P150-155

上一篇:内网KDC服务器开放在哪个端口,针对kerbores的攻击有哪些?


下一篇:windows 乱码之 gbk 与 cp936