【软考】 信息安全工程师教程 第六章 认证技术原理与应用

admin管理员组

文章数量:1122852

目录

• 6.1 认证概述
• • 6.1.1 认证概念
  • 6.1.2 认证依据
  • 6.1.3 认证原理
  • 6.1.4 认证发展
• 6.2 认证类型与认证过程
• • 6.2.1 单向认证
  • 6.2.2 双向认证
  • 6.2.3 第三方认证
• 6.3 认证技术方法
• • 6.3.1 口令认证技术
  • 6.3.2 智能卡技术
  • 6.3.3 基于生物特征认证技术
  • 6.3.4 Kerberos认证技术
  • 6.3.5 公钥基础设施（KPI）技术
  • 6.3.6 单点登录
  • 6.3.7 基于人机识别认证技术
  • 6.3.8 多因素认证技术
  • 6.3.9 基于行为的身份鉴别技术
  • 6.3.10 快速在线认证（FIDO）
• 6.4 认证主要产品与技术指标
• • 6.4.1 认证主要产品
  • 6.4.2 主要技术指标
• 6.5 认证技术应用
• • 6.5.1 校园信任体系建设应用参考
  • 6.5.2 网络路由认证参考
  • 6.5.3 基于人脸识别机房门禁管理应用参考
  • 6.5.4 eID身份验证应用参考
  • 6.5.5 HTTP认证应用参考

6.1 认证概述

认证机制是网络安全的基础性保护措施，是实施访问控制的前提。

6.1.1 认证概念

认证是一个实体想另外一个实体证明其所声称的身份的过程。

在认证过程中，需要被证实的实体是声称者，负责检查确认声称者的实体是验证者。

通常情况下，双方要按照一定规则，声称者传递可区分其身份的证据给验证者，验证者根据所接收的声称者的证据进行判断，证实声称者的身份。

认证一般由标识（Identification）和鉴别（Authentication）两部分组成。

标识是用来代表实体对象（如人员、设备、数据、服务、应用）的身份标志，确保实体的唯一性和可辨识性，同时与实体存在强关联。标识一般用名称和标识符（ID）来表示。通过唯一标识符，可以代表实体。

鉴别一般是利用口令、电子签名、数字证书、令牌、生物特征、行为表现等相关数字化凭证对实体所声称的属性进行识别验证的过程。鉴别的凭据主要有所知道的秘密信息、所拥有的凭证、所具有的个体特征以及所表现的行为。

6.1.2 认证依据

认证依据也称为鉴别信息，通常是指用于确认实体（声称者）身份的真实性或者其拥有的属性的凭证。目前，常见的认证依据主要有四类：

1. 所知道的秘密信息（Something You Know）
   实体（声称者）所掌握的秘密信息，如用户口令、验证码等。
2. 所拥有的实物凭证（Something You Have）
   实体（声称者）所持有的不可伪造的物理设备，如智能卡、U盾等。
3. 所具有的生物特征
   实体（声称者）所具有的生物特征，如指纹、声音、虹膜、人脸等。
4. 所表现的行为特征
   实体（声称者）所表现的行为特征，如鼠标使用习惯、键盘敲键力度、地理位置等。

6.1.3 认证原理

一般来说，认证机制由验证对象、认证协议、鉴别实体构成。

其中，验证对象是需要鉴别的实体（声称者）；认证协议是验证对象和鉴别实体（验证者）之间进行认证信息交换所遵从的规则；鉴别实体根据验证对象所提供的认证依据，给出身份的真实性或属性判断。

按照对验证对象要求提供的认证凭据的类型数量，认证可以分为单因素认证、双因素认证、多因素认证。

根据认证依据所利用的时间长度，认证可分为一次性口令（One Time Password）、持续认证（Continuous authentication）。

一次性口令简称OTP，用于保护口令安全，防止口令重用攻击。如短信验证码。

持续认证是指连续提供身份确认，其技术原理是对用户整个会话过程中的特征行为进行连续的监测，不间断地验证用户所具有的特性。持续认证的标志是将对事件地身份验证转变为对过程的身份验证。持续认证增强了认证机制地安全强度，有利于防止身份假冒攻击、钓鱼攻击、身份窃取攻击、社会工程攻击、中间人攻击。持续认证所使用地鉴定因素主要是认知因素（Cognitive factors）、物理因素（Physiological factors）、上下文因素（Contextual factors）。认知因素主要有眼手协调、应用行为模式、使用偏好、设备交互模式等。物理因素主要有左/右手、按压大小、手震、手臂大小和肌肉使用。上下文因素主要有事物、导航、设备和网络模式。

6.1.4 认证发展

与认证服务相关的法律规范主要有《中华人民共和国电子签名法》、《中华人民共和国网络安全法》、《商用密码管理条例》、《电子认证服务密码管理办法》、《电子政务电子认证服务业务规则规范》。

其中，《中华人民共和国电子签名法》确立了电子签名人身份认证地法律地位。《中华人民共和国网络安全法》中规定“国家实施网络可信身份战略，支持研究开发安全、方便的电子身份认证技术，推动不同电子身份验证之间的互认”。

6.2 认证类型与认证过程

按照认证过程中鉴别双方参与角色及所依赖地外部条件，认证类型可分为单向认证、双向认证和第三方认证。

6.2.1 单向认证

在认证过程中，验证者对声称者进行单方面的鉴别，而声称者不需要识别验证者的身份。

实现单向认证的技术方法有两种：

1. 基于共享秘密
   设验证者和声称者共享一个秘密KAB，IDA为实体A的标识，则认证过程如下：
   第一步，A产生并向B发送消息（IDA,KAB）。
   第二步，B收到（IDA，KAB）的消息后，B检查IDA和KAB的正确性。若正确，则确认A的身份。
   第三步，B回复A验证结果消息。
2. 基于挑战响应
   设验证者B生成一个随机数RB，IDA为实体A的标识，IDB为实体B的标识，则认证过程如下：
   第一步，B产生一个随机数RB，并向A发送消息（IDB，RB）。
   第二步，A收到（IDB，RB）消息后，安全生成包含随机数RB的秘密KAB，并发送消息（IDA，KAB）到B。
   第三步，B收到（IDA，KAB）的消息后，解密KAB，检查RB是否正确。若正确，则确认A的身份。
   第四步，B回复A验证结果消息。

6.2.2 双向认证

双向认证是指在认证过程中，验证者对声称者进行单方面的鉴别，同时，声称者也对验证者的身份进行确认，参与认证的实体双方互为验证者。
在网络服务认证过程中，双向认证要求服务方和客户方互相认证，客户方也认证服务方，这样就可以解决服务器的真假识别安全问题。

6.2.3 第三方认证

第三方认证是指两个实体在鉴别过程中通过可信的第三方来实现。可信的第三方简称TTP（Trusted Third Party）。

本文标签： 第六章安全工程师原理软考教程