第6章 認證技術原理與應用
認證概述
• 認證概念
o 認證是一個實體向另一個實體證明其所聲稱的身份的過程。
o 認證一般由標識(Identification)和鑒別(Authentication)兩部分組成
• 認證依據:也稱為鑒別信息,指用於確認實體身份的真實性或者其擁有的屬性的憑證
o 所知道的秘密信息
聲稱者掌握的秘密信息,如口令、驗證碼
• 所擁有的實物憑證
聲稱者持有的不可偽造的物理設備,如智能卡、U盾
• 所具有的生物特征
聲稱者具有的生物特征,如指紋、聲音、人臉
• 所表現的行為特征
聲稱者表現的行為特征,如鍵盤敲擊力度,鼠標使用習慣
認證原理
• 認證機制由驗證對象、認證協議、鑒別實體構成
• 按照對驗證對象要求提供的認證憑據的類型數量分類
單因素認證
雙因素認證
多因素認證
• 根據認證依據利用的時間長度
一次性口令(One Time Password)OTP:短信驗證碼
持續性認證:對用戶整個會話過程中的特征行為進行連續地檢測、驗證用戶身份
認證類型與認證過程
單向認證
o 認證過程中,驗證者對聲稱者進行單方面的鑒別,聲稱者不需要識別驗證者的身份
o 兩種實現單向認證的技術方法
基於共享秘密
基於挑戰響應
雙向認證
認證過程中,驗證者對聲稱者進行單方面的鑒別,同時,聲稱者也對驗證者的身份進行確認
第三方認證
第三方認證:指兩個實體在鑒別過程中通過可信的第三方來實現。可信的第三方簡稱TTP(Trusted Third Party)
實體A和實體B基於第三方的認證方案有多種形式,選取一種基於第三方挑戰響應的技術方案
認證技術方法
口令認證技術
o 基於用戶所知道的秘密而進行的認證技術,是網絡常見的身份認證方法。網絡設備、操作系統和網絡應用服務等都采用了口令認證技術
o 口令認證易受到竊聽、重放、中間人攻擊、口令猜測等,需滿足以下條件:
口令信息要安全加密存儲
口令信息要安全傳輸
口令認證協議要抵抗攻擊,符合安全協議設計要求
口令選擇要求做到避免弱口令
智能卡技術
一種帶有存儲器和微處理器的集成電路卡,能夠安全存儲認證信息,並具有一定的計算能力
基於生物特征認證技術:利用人類生物特征來進行驗證
目前,使用指紋、人臉、視網膜、語音等生物特征信息用來進行身份認證
Kerberos認證技術
• 一個網絡認證協議,目標是使用密鑰加密為客戶端/服務器應用程序提供強身份認證
• 技術原理:利用對稱密碼技術,使用可信的第三方來為應用服務器提供認證服務,並在用戶和服務器之間建立安全通道
• 一個Kerberos系統涉及四個基本實體:
• Kerberos客戶機,用戶用來訪問服務器的設備
• AS(Authentication Server,認證服務器),識別用戶身份並提供TGS會話密鑰
• TGS(Ticket Granting Server,票據發放服務器),為申請服務的用戶授予票據(Ticket)
• 應用服務器(Application Server),為用戶提供服務的設備或系統
• 其中,AS和TGS統稱為KDC(Key Distribution Center)
• Kerberos V5認證協議主要由六步構成
• Kerberos客戶(已知自己用戶名密碼)向AS(已知所有用戶和服務名所有密碼)申請票據TGT
• 當AS收到Kerberos客戶消息后,在認證數據庫檢查確認后產生一個會話密鑰,同時使用客戶秘密密鑰對會話密鑰加密,生成票據TGT(實體名、地址、時間戳、限制時間、會話密鑰組成)。然后發送給Kerberos客戶。
• Kerberos客戶收到TGT后,使用自己的秘密密鑰解密得到會話密鑰,利用解密的信息重新構造認證請求單,向TGS發送請求,申請訪問應用服務器AP所需的票據。
• TGS使用其秘密密鑰對TGT進行解密,同時使用TGT中的會話密鑰對Kerberos客戶的請求認證單信息進行解密,並將解密后的信息與TGT中信息進行比較。然后TGS生成新的會話密鑰以供Kerberos客戶和應用服務器使用,並利用各自的秘密密鑰加密會話密鑰。最后,生成一個票據TGT(由客戶的實體名、地址、時間戳、限制時間、會話密鑰組成),將TGT發送給Kerberos客戶。
• Kerberos客戶收到TGS響應后,獲得與應用服務器共享的會話密鑰。此時,Kerberos客戶生成一個新的用於訪問應用服務器的認證單,並用與應用服務器共享的會話密鑰加密,然后與TGS發送來的票據一並傳送到應用服務器。
• 應用服務器確認請求
優點:
• 顯著減少用戶密鑰的密文暴露次數,減少攻擊者對有關用戶密鑰對密文積累
• 具有單點登錄的優點,只要TGT未過期,認證過程就不必重新輸入密碼
缺點:
• 若服務器時間發送錯誤,則整個Kerberos認證系統將會癱瘓
公鑰基礎設施(PKI)技術
PKI就是有關創建、管理、存儲、分發和撤銷公鑰證書所需要的硬件、軟件、人員、策略和過程的安全服務設施。
• 其主要安全服務有身份認證、完整性保護、數字簽名、會話加密管理、密鑰恢復
PKI各實體的功能分別敘述如下:
• CA:證書授權機構,主要進行證書的頒發、廢止和更新;認證機構負責簽發、管理和撤銷一組終端用戶的證書
• RA:證書登記權威機構,將公鑰和對應的證書持有者的身份及其他屬性聯系起來,進行注冊和擔保;RA可以充當CA和他的終端用戶之間的中間實體,輔助CA完成其他絕大部分的證書處理功能
• 目錄服務器:CA通常使用一個目錄服務器,提供證書管理和分發的服務
• 終端實體:指需要認證的對象,如服務器、E-mail地址
• 客戶端:指需要基於PKI安全服務的使用者,包括用戶、服務進程等
單點登錄
• 指用戶訪問使用不同的系統時,只需要進行一次身份認證。簡化了認證管理工作
認證主要技術指標與產品
認證評價指標
o 安全功能要求
o 性能要求
o 安全保障要求
認證技術產品主要技術指標:
o 密碼算法支持
o 認證准確性
o 用戶支持數量
o 安全保障級別
認證產品
o 系統安全增強:多因素認證
o 生物認證
o 電子認證服務:數字證書
o 網絡准入控制
o 身份認證網關
認證技術應用
o 用戶身份驗證:驗證網絡資源的訪問者的身份,給網絡系統訪問授權提供支持服務
o 信息來源證實:驗證網絡信息的發送者和接收者的真實性,防止假冒
o 信息安全保護:通過認證技術保護網絡信息的機密性、完整性、防止泄密、篡改、重放或延遲
相關案例P150-155