信安精品课:第6章认证技术原理与应用精讲笔记
第6章认证技术原理与应用精讲笔记
一、本章知识框架
二、本章大纲要求
6.认证技术原理与应用
6.1认证概述
•认证概念
•认证依据
•认证原理
6.2 认证类型与认证过程
•单向认证
•双向认证
•第三方认证
6.3 认证技术方法
•口令认证技术
•智能卡技术
•基于生物特征认证技术
• Kerberos 认证技术
•公钥基础设施(PKI)技术
•单点登录
6.4 认证主要技术指标与产品
•认证主要技术指标(功能技术指标理解、性能技术指标理解、安全技术指标理解等)
•认证产品(认证产品工作机制分析、认证产品标准理解、认证产品适用场景等)
6.5 认证技术应用
•用户身份验证
•信息来源证实
•信息安全保护
三、本章重要易考知识点清单
6.1 认证概述
认证机制是网络安全的基础性保护措施,是实施访问控制的前提。
认证是一个实体向另外一个实体证明其所声称的身份的过程。在认证过程中,需要被证实的实体是声称者,负责检查确认声称者的实体是验证者。通常情况下, 双方要按照一定规则,声称者传递可区分其身份的证据给验证者,验证者根据所 接收到的声称者的证据进行判断,证实声称者的身份。
认证一般由标识(Identification)和鉴别(Authentication)两部分组成。
标识是用来代表实体对象(如人员、设备、数据、服务、应用)的身份标志,确保实体的唯一性和可辨识性,同时与实体存在强关联。标识一般用名称和标识符(ID)来表示。通过唯一标识符,可以代表实体。例如,网络管理人员常用IP地址、网卡地址作为计算机设备的标识。操作系统以符号串作为用户的标识,如root、guest 等。
鉴别一般是利用口令、电子签名、数字证书、令牌、生物特征、行为表现等相关数字化凭证对实体所声称的属性进行识别验证的过程。鉴别的凭据主要有所知道的秘密信息、所拥有的凭证、所具有的个体特征以及所表现的行为。
认证依据也称为鉴别信息,通常是指用于确认实体(声称者)身份的真实性或者其拥有的属性的凭证。
常见的认证依据主要有四类。
1. 所知道的秘密信息(Something You Know)
实体(声称者)所掌握的秘密信息,如用户口、验证码等
2. 所拥有的实物凭证(Something You Have)
实体(声称者)所持有的不可伪造的物理设备,如智能卡、U盾等。
3. 所具有的生物特征
实体(声称者)所具有的生物特征,如指纹、声音、虹膜,人脸等。
4. 所表现的行为特征
实体(声称者)所表现的行为特征,如鼠标使用习惯、键盘敲键力度、地理位置等。
认证机制由验证对象、认证协议、鉴别实体构成。
验证对象是需要鉴别的实体(声称者);
认证协议是验证对象和鉴别实体(验证者)之间进行认证信息交换所遵从的规则;
鉴别实体根据验证对象所提供的认证依据,给出身份的真实性或属性判断。
按照对验证对象要求提供的认证凭据的类型数量,认证可以分成单因素认证、双因素认证、多因素认证。
根据认证依据所利用的时间长度,认证可分成一次性口令(One Time Pasword)、持续认证 (Continuous autherntication)。
其中,一次性口令简称OTP,用于保护口令安全,防止口令重用攻击。OTP常见的认证实例如使用短消息验证码。
持续认证是指连续提供身份确认,其技木原理是对用户整个会话过程中的特征行为进行连续地监测,不间断地验证用户所具有的特性。持续认证是一种新兴的认证方法,其标志是将对事件的身份验证转变为对过程的身份验证。持续认证增强了认证机制的安全强度,有利于防止身份假冒攻击,钓鱼攻击、身份窃取攻击、社会工程攻击、中间人攻击,持续认证所使用的鉴定因素主要是认知因素(Cognitive factors 、物理因素(Physiological factors)、上下文因素(Contextual factors) 。
认知因素主要有眼手协调、应用行为模式、使用偏好、设备交互模式等。
物理因素主要有左/右手、按压大小,手震,手臂大小和肌肉使用。
上下文因素主要有事务、导航、设备和网络模式。例如,一些网站的访问根据地址位置信息来判断来访者的身份,以确认是否授权访间。
认证机制是网络信息系统安全的基础,用于解决用户身份识别、服务平台真实性验证、信息及数据真实性与完整性保障等安全问题。
美国发布了 《网络空间可信身份国家战略》 (National Strategy for Trusted ldentities in Cyberspace。 NSTIC),其目标是构建一个网络空间可信身份生态系统,建立和实现一个身份交互操作的基础设施,增强参与生态系统的个人和机构的信心和意愿。
欧盟提出电子身份标识(eID)计划,拟构建欧盟eID基础设施,使得欧盟成员国公民持有电子标识。
网络可信身份保证了网络身份与现实身份的绑定关系,有利于网络行为不可抵赖,有利于防范身份盗用、网络欺诈、网络攻击等行为,有利网络空间社会治理。国内网络信任体系是以密码技术为基础,以法律法规、技术标准和基础设施为主要内容,以解决网络应用中身份认证、授权管理和责任认定等为目的的完整体系。
《电子签名法》确立了电子签名人身份认证的法律地位。
《网络安全法》中规定“国家实施网络可信身份战略,支持研究开发安全、方便的电子身份认证技术,推动不同电子身份认证之间的互认。
工业界出现了一系列认证相关标准,例如OpenID、SAML,OAuh、FIDO等周际标准,用于不同的网络身份认证系统之间的互联互通,以及跨域进行访问授权。
6.2 认证类型与认证过程
按照认证过程中鉴别双方参与角色及所依赖的外部条件,认证类型可分成单向认证、双向认证和第三方认证。
单向认证是指在认证过程中,验证者对声称者进行单方面的鉴别,而声称者不需要识别验证者的身份。
实现单向认证的技术方法有两种:1. 基于共享秘密2. 基于挑战响应
双向认证是指在认证过程中,验证者对声称者进行单方面的鉴别,同时,声称者也对验证者的身份进行确认。参与认证的实体双方互为验证者。
在网络服务认证过程中,双向认证要求服务方和客户方互相认证,客户方也认证服务方,这样就可以解决服务器的真假识别安全问题。
第三方认证是指两个实体在鉴别过程中通过可信的第三方来实现。可信的第三方简称TTP(Tnusted Third Party)。
6.3 认证技术方法
认证技术方法主要有口令认证技术、智能卡技术,基于生物特征认证技术Kerberos技术等多种实现方式
口令认证是基于用户所知道的秘密而进行的认证技术,是网络常见的身份认证方法。网络设备、操作系统和网络应用服务等都采用了口令认证技术。
口令认证一般要求参与认证的双方按照事先约定的规则,用户发起服务请求,然后用户被要求向服务实体提供用户标识和用户口令,服务实体验证其正确性,若验证通过,则允许用户访问。
口令认证的优点是简单,易于实现。当用户要访问系统时,要求用户输入“用户名和口令”即可。
口令认证的不足是容易受到攻击,主要攻击方式有窃听、重放、中间人攻击、口令猜测等。因此,要实现口令认证的安全,应至少满足以下条件:
口令信息要安全加密存储:
口令信息要安全传输:
口令认证协议要抵抗攻击,符合安全协议设计要求:
口令选择要求做到避免弱口令。
为了保证口令认证安全,网络服务提供商要求用户遵循口令生成安全策略,即口令设置要符合口令安全组成规则,同时对生成的口令进行安全强度评测,从而促使用户选择安全强度较高的口令。
智能卡是一种带有存储器和微处理器的集成电路卡,能够安全存储认证信息, 并具有一定的计算能力。
通过智能卡来实现挑战/响应认证
在挑战/响应认证中,用户会提供一张智能卡,智能卡会一直显示一个随时间而 变化的数字,假如用户试图登录目标系统,则系统首先将对用户进行认证,步骤如下:
(1)用户将自己的ID发送到目标系统:
(2)系统提示用户输入数字:
(3)用户从智能卡上读取数字:
(4)用户将数字发送给系统:
(5)系统用收到的数字对ID进行确认,如果ID有效,系统会生成一个数字并将其显示给用户,称为挑战:
(6)用户将上面的挑战输入智能卡中:
(7)智能卡用这个输入的值根据一定算法计算出一个新的数字并显示这个结果,该数字称为应答;
(8) 用户将应答输入系统:
(9) 系统验证应答是否正确,如果正确,用户通过验证并登录进入系统。
基于生物特征认证就是利用人类生物特征来进行验证,目前,指纹、人脸、视网膜、语音等生物特征信息可用来进行身份认证人的指纹与生俱来,而且一生不变。
Kerberos 是一个网络认证协议,其目标是使用密钥加密为客户端/服务器应用程序提供强身份认证,其技术原理是利用对称密码技术,使用可信的第三方来为应用服务器提供认证服务,并在用户和服务器之间建立安全信道。
一个Kerberos系统涉及四个基本实体:
(1) Kerberos客户机,用户用来访问服务器设备;
(2) AS(Auhentcation Server,认证服务器),识别用户身份并提供TGS会话密钥;
(3) TGS(Ticket Granting Server,票据发放服务器),为申请服务的用户授予票据(Ticket)
(4) 应用服务器(Application Server),为用户提供服务的设备或系统。
其中,通常将AS和TGS统称为密钥分发中心KDC (Key Distribution Center)。票据(Ticket)是用于安全的传递用户身份所需要的信息的集合,主要包括客户方 Principal、客户方IP地址、时间戳(分发该Ticket的时间)、Ticket的生存期、以及会话密钥等内容。
KerberosV5认证协议主要由六步构成
Kerberos 协议中要求用户经过AS和TGS两重认证的优点主要有两点。
(1)可以显著减少用户密钥的密文的暴露次数,这样就可以减少攻击者对有关用户密钥的密文的积累。
(2)Kerberos认证过程具有单点登录Single Sign On,SSO)的优点,只要用户拿到了TGT并且该TGT没有过期,那么用户就可以使用该TGT通过TGS完成到任一服务器的认证过程而不必重新输入密码。
但是,Kerberos 也存在不足之处。Kerberos认证系统要求解决主机节点时间同步问题和抵御拒绝服务攻击。
目前Windows系统和Hadoop都支持Kerberos 认证。
公钥基础设施PKI技术
可信第三方认证机构,简称CA(Certification Authority),CA负责颁发证书,证书中含有实体名、公钥以及实体的其他身份信息。
PKI (Public Key Infrastructure)就是有关创建, 管理、存储、分发和撤销公钥证书所需要的硬件、软件、人员、策略和过程的安全服务设施。PKI提供了一种系统化的、可扩展的、统一的、容易控制的公钥分发方法。
基于PKI的主要安全服务有身份认证、完整性保护、数字签名、会话加密管理、密钥恢复。
PKI涉及多个实体之间的协商和操作,主要实体包括CA、 RA、终端实体 (End Entity)、客户端、目录服务器。
PKI各实体的功能分别叙述如下:
CA(Certification Authority):证书授权机构, 主要进行证书的颁发、
RA(Registration Authority):证书登记权威机构,将公钥和对应的证
目录服务器:CA通常使用一个目录服务器,提供证书管理和分发的服务。
终端实体(End Etity):指需要认证的对象,例如服务器、打印机、Email 地址,用户等。
客户端(Client):指需要基于PKI安全服务的使用者,包括用户、服务进程等。
单点登录(Single Sign On)是指用户访问使用不同的系统时,只需要进行一次身份认证,就可以根据这次登录的认证身份访问授权资源。单点登录解决了用户访问使用不同系统时,需输入不同系统的口令以及保管口令问题,简化了认证管理工作。
基于人机识别认证利用计算机求解问题的困难性以区分计算机和人的操作, 防止计算机程序恶意操作,如恶意注册、暴力猜解口令等。
基于人机识别认证技术通常称为 CAPTCHA(Completely Automated Public Turing test to tell Computers and Humans Apart)技术。CAPTCHA技术主要包括文本 CAPCHA、图像CAPTCHA、语音CAPTCHA。
CAPTCHA技术的工作机制是认证者事先有个CAPCHA 服务器负责CAPTCHA 信息的生成和测试,当用户使用需要CAPTCHA 验证的服务时候, CAPTCHA 服务器则给用户生成CAPTCHA测试,如果用户测试结果正确,则认证通过。
多因索认证技术使用多种鉴别信息进行组合,以提开认证的安全强度。根据认证机制所依赖的鉴别信息的多少,认证通常称为双因素认证或多因素认证。
基于行为的身份鉴别是根据用户行为和风险大小而进行的身份鉴别技术。
Fast IDentity Online简称 FIDO,FIDO使用标准公钥加密技术来提供强身份验证。FIDO的设计目标是保护用户隐私,不提供跟踪用户的信息,用户生物识别信息不离开用户的设备。
6.4 认证主要产品与技术指标
认证技术主要产品类型包括系统安全增强、生物认证、电子认证服务、网络准入控制和身份认证网关5类。
系统安全增强产品的技术特点是利用多因素认证技术增强操作系统、数据库系统、网站等的认证安全强度。
采用的多因素认证技术通常是U盘+口令、智能卡+口令、生物信息+口令等。
产品应用场景有U盘登录计算机、网银U盾认证、指纹登录计算机/网站/邮箱等。
生物认证产品的技术特点是利用指纹、人脸、语音等生物信息对人的身份进行鉴别。
日前市场上的产品有人证核验智能终端、指纹U盘、人脸识别门禁、指纹采集仪、指纹比对引擎、人脸自动识别平台。
电子认证服务产品的技术特点是电子认证服务机构采用PKI技术、密码算法等提供数字证书申请、颁发、存档、查询、废止等服务,以及基于数字证书为电子活动提供可信身份、可信时间和可信行为综合服务。目前国内电子认证服务产品有数字证书认证系统、证书管理服务器、可信网络身份认证、SSL证书、数字证书服务、时间戳公共服务平台、个人多源可信身份统一认证服务平台等。
网络准入控制产品的技术特点是采用基于802.1X协议、Radius 协议、VPN 等的身份验证相关技术,与网络交换机、路由器、安全网关等设备联动,对入网设备(如主机、移动PC、智能手机等)进行身份认证和安全合规性验证,防范非安全设备接入内部网络。
身份认证网关产品的技术特点是利用数字证书、数据同步、网络服务重定向等技术,提供集中、统一的认证服务,形成身份认证中心,具有单点登录、安全审计等安全服务功能。
认证技术产品的评价指标可以分成三类,即安全功能要求、性能要求和安全保障要求。
认证技术产品的主要技术指标如下:
(1)密码算法支持:认证技术主要依赖于密码技术,因此,认证产品中的密码算法是安全性的重要因素。常见的密码算法类型有 DES/3DES、AES、SHA-1、RSA、 SM1/SM2/SM3/SM4。
(2) 认证准确性:认证产品的认假率、拒真率。
(3) 用户支持数量:认证产品最大承载的用户数量。
(4) 安全保障级别:认证产品的安全保障措施、安全可靠程度、抵抗攻击能力等。
6.5 认证技术应用
认证技术是网络安全保障的基础性技术,普遍应用于网络信息系统保护。认证技术常见的应用场景如下:
(1)用户身份验证:验证网络资源的访闻者的身份,给网络系统访问授权提供支持服务。
(2)信息来源证实:验证网络信息的发送者和接收者的真实性,防止假冒。
(3)信息安全保护:通过认证技术保护网络信息的机密性、完整性,防止泄密、篡改、重放或延迟。
校园信任体系建设应用参考
校园网络面临各种网络安全风险,其中包括身份冒用、信息泄密、数据篡改等问题。
在校园内部建设数字证书发放和服务体系,进行数字身份凭证的管理。通过严格按照相关规范进行身份验证,实现对物理身份与数字身份的对应,并通过对数字证书的申请、发放、吊销、更新等管理过程,实现数字身份凭证的管理。
建立的统一认证管理系统,围绕整合的用户、应用系统等资源的管理,构建网络信任体系的基础设施平台。
平台实现基于数字证书的身份认证,实现基于角色或资源的授权管理,实现统一的安全策略设定和维护,实现责任认定的安全审计,建立PKI应用支持系统,为校园内部其他应用系统提供可信的数据电文服务。
网络路由认证应用参考
路由安全是网络安全的基础,为了保证路由安全,路由器设备的访问及路由消息都需要进行认证。
1. 用户认证
当一个用户访问路由器时,必须经过认证通过后才能被允许。某路由器用户名和设置口令配置如下。
Central# config t
Enter configuration commands, one per line。 End with CNTL/Z。
Central (config)# username rsmith password 3d-zireonia
Central (config)# username rsmith privilege 1
Central (config)# username bjones password 2B-or-3B
Central (config)# username bjones privilege l
2. 路由器邻居认证
当两个相邻的路由器进行路由信息交换时,需要进行身份验证,以保证接收可信的路由信息,以防止出现未经授权的、恶意的路由更新。
路由器邻居认证的类型有OSPF认证(链路状态路由协议、需要建立邻居关系、双向认证),RIP认证(单向认证、距离向量路由认证、不需要建立邻居关系)、EIGRP认证(只支持md5认证,也只是在接口.上配置认证,EIGRP也需要建立邻居关系)。
认证模式有明文认证(Plaintext Authentication)、消息摘要认证(Message Digest Authentication)。明文认证不安全,口令容易被监听,为保护路由安全,一股推荐采用消息摘要认证。
OSPF认证配置示意图
路由器North和路由器 East相邻, 属于area0。各路由器的OSPF认证配置如下。
North# config t
Enter configuration commands, one per line. End with CNTL/Z.
North (config)# router ospf 1
North (config-router)# network 14.1.xy 0.0.255.255 area 0
North (config-router)# area O authentication message-digest
North (config- router)# exit
North (config)# int eth0/1
North (config-if) ip ospf message-digest-key 1 md5 routes-4-al1
North (config-if# end
North#
East#config t
Enter configuration commands, one per line 。 End with CNTL/Z.
East(config)# router ospf 1
East(config-router)# area O authentication message-digest
East(config-router)# network 14.1.x.y 0.0.255.255 area O
East(config-router)# network 14.2.x.y 0.0.0.255 area O
East(config-router)# exit
East(config)# int eth0
East(config-it)# ip ospf message-digest-key 1 md5 routes-4-all
East(config-it)# end
East#
基于人脸识别机房门禁管理应用参考
机房出入人员身份复杂,存在伪造证件、替岗、擅自进入等安全问题。事后追查无法取证,相互推卸责任。
针对上述问题,机房人脸识别门禁管理系统应运而生,系统通过加强身份验证的严密性,提高了安全防范等级,有助于管理部门和保卫部门消除隐患,提高工作效率。
eID身份验证应用参考
公民网络电子身份标识(简称eID)是国家网络安全的重要保障,eID是由国家主管部门颁发,与个人真实身份具有一一对应关系,用于在线识别公民真实身份的网络电子身份。由对非对称密钥和含有其公钥及相关信息的数字证书组成。
按照《信息安全技术 公民网络电子身份标识安全技术要求 第3部分:验证服务消息及其处理规则》标准规范进行要求。eID身份验证涉及eID服务平台、应用服务提供商和持有eID的用户,eID身份验证服务相关步骤如图所示。
(1) 应用服务提供商根据需要向eID服务平台发送服务请求。
(2) eID服务平台返回一个随机数作为本次验证服务的挑战。
(3)应用服务提供商完成相应的eID运算,将待传输数据按照所规定的格式作为验证请求,发送给eID服务平台。
(4)eID服务平台在本地执行相关的验证服务后,按照规定格式返回相应的验证结果给应用服务提供商。
HTTP认证应用参考
HTTP是Web服务器应用协议,支持的认证方式主要有基本访问认证(Basic Acess Authentication,BAA)数字摘要认证(Digest Authentication) NTLM Negotiate,Windows LiveID等。
四、本章历年考点分布
详见2020软考信安精讲课程群
五、本章历年真题及答案解析
详见2020软考信安精讲课程群