软考-信息安全-认证技术原理与应用

6.1 认证概述

• 认证机制是网络安全的基础性保护措施，是实施访问控制的前提，主要阐述认证的基本概念，认证依据，认证原理和认证的发展。

6.1.1 认证概念

• 认证是一个实体向另外一个实体证明其所声称的身份的过程。在认证过程中，需要被证实的实体是声称者，负责检查确认声称者的实体是验证者。

• 通常情况下，双方要按照一定的规则，声称者传递可区分其身份的证据给验证者，验证者根据所接收到的声称者的证据进行判断，用以来证实声称者的身份。

• 认证一般由标识（Identification）和鉴别（Authentication）两部分组成。

• 标识是用来代表实体对象（如人员，设备，数据，服务，应用）的身份标志，确保实体的唯一性和可辨识性，同时与实体存在强关联。

• 标识一般用名称和标识符（ID）来表示。

• 通过唯一标识符，可以代表实体，（比如：root用户名，对应的ID是0）。

• 例如：网络管理人员常用IP地址，网卡地址作为计算机设备的标识，操作系统以符号串作为用户的标识，如root，guest等。

• 鉴别一般是利用口令，电子签名，数字证书，令牌，生物特征，行为表现等相关数字化凭证实体所声称的属性进行识别验证的过程。

• 鉴别的凭据主要有所知道的秘密信息，所拥有的凭证，所具有的个体特征以及所表现的行为。

6.1.2 认证依据

• 认证依据也称为鉴别信息，通常是指用于确认实体（声称者）身份的真实性或者其拥有的属性的凭证。
• 1.所知道的秘密信息（Something You Know）
  • 实体（声称者）所掌握的秘密信息，如用户口令，验证码等。
• 2.所知道的实物凭证（Something You Have）
  • 实体（声称者）所持有的不可伪造的物理设备，如智能卡，U盾等。
• 3.所具有的实物凭证
  • 实体（声称者）所具有的生物特征，如：指纹，声音，虹膜，人脸等。
• 4.所表现的行为特征
  • 实体（声称者）所表现的行为特征，如鼠标使用习惯，键盘敲击键力度，地理位置等。

6.1.3 认证原理

• 认证机制由验证对象，认证协议，鉴别实体构成。
• 验证对象是需要鉴别的实体（声称者）。
• 认证协议是验证对象和鉴别实体（验证者）之间进行认证信息交换所遵从的规则。
• 鉴别实体根据验证对象所提供的认证依据，给出身份的真实性或属性判断。
• 按照对验证对象要求提供的认证凭据的类型数量，认证可以分成单因素认证，双因素认证和多因素认证，其中多因素认证有利于提升认证的安全强度。
• 根据认证依据所利用的时间长度，认证可分成一次性口令（One Time Password），持续认证（Continuous authentication）。
• 一次性口令简称OTP，用于保护口令安全，防止口令重用攻击。
• 持续认证是指连续提供身份确认，其技术原理是对用户整个会话过程中的特征行为进行连续地监测，不间断地验证用户所具有的特性。
• 持续认证是一种新兴的认知方法，其标志是将对事件的身份验证转变为对过程的身份验证。
• 持续认证增强了认证机制的安全强度，有利于防止身份假冒攻击，钓鱼攻击，身份窃取攻击，社会工程攻击，中间人攻击。
• 持续认证所使用的鉴定因素主要是认知因素（Cognitive factors），物理因素（Physiological factors），上下文因素（Contextual factors）。
• 认知因素主要有眼，手，协调，应用行为模式，使用偏好，设备交互模式等。
• 物理因素主要有左/右手，按压大小，手震，手臂大小和肌肉使用。
• 上下文因素主要有事务，导航，设备和网络模式。
• 例如：一下网站的访问根据地理位置信息来判断来访者的身份，以确认是否授权访问。

6.1.5 认知发展

• 认证机制是网络信息系统安全的基础，用于解决用户身份识别，服务平台真实性验证，信息及数据真实性与完整性保障等安全问题。
• 随着网络信息科技的普及，各种网络应用对用户的认证需求与日俱增，目前国家电子认证服务有40多家第三方CA机构，基本建立了全国电子认证行业监管体系，电子认证运营服务体系，国家相关安全机构相继制定了多项电子认证相关技术标准，推出了多种电子认证应用服务。
• 工业界出现了一系列认证相关标准，例如：OpenID，SAML，OAuth，FIDO等国际标准，用于不同的网络身份认证系统之间的互联互通，以及跨域进行访问授权。

6.2 认证类型与认证过程

• 按照认证过程中鉴别双方参与角色及所依赖的外部条件，认证类型可分成单项认证，双向认证和第三方认证。

6.2.1 单向认证

• 单向认证是指在认证过程中，验证者对声称者进行单方面的鉴别，而声称者不需要识别验证者的身份。
• 实现单向认证的技术方法有两种
• 1.基于共享秘密
• 2.基于挑战响应

6.2.2 双向认证

• 双向认证是指在认证过程中，验证者对声称者进行单方面的鉴别，同时，声称者也对验证者的身份进行确认，参与认证的实体双方互为验证者。
• 在网络服务认证过程中，双向认证要求服务方和客户方互相认证，客户方也认证服务方，这样就可以解决服务器的真假识别安全问题。

6.2.3 第三方认证

• 第三方认证是指两个实体在鉴别过程中通过可信的第三方来实现。可信的第三方简称TTP（Trusted Third Party）。

6.3 认证技术方法

• 认证技术方法主要有口令认证技术，智能卡技术，基于生物特征认证技术，Kerberos认证技术等多种实现方式。

6.3.1 口令认证技术

• 口令认证是基于用户所知道的秘密而进行的认证技术，是网络常见的身份认证方法。

6.3.2 智能卡技术

• 智能卡是一种带有存储器和微处理器的集成电路卡，能够安全存储认证信息，并具有一定的计算能力。
• 认证步骤如下：
  • 1）用户将自己的ID发送到目标系统。
  • 2）系统提示用户输入数字。
  • 3）用户从智能卡上读取数字。
  • 4）用户将数字发送给系统。
  • 5）系统用收到的数字对ID进行确认，如果ID有效，系统会生成一个数字并将其显示给用户，称为挑战。
  • 6）用户将上面的挑战输入智能卡中。
  • 7）智能卡用这个输入的值根据一定的算法计算出一个新的数字显示这个结果，该数字称为应答。
  • 8）用户将应答输入系统。
  • 9）系统验证应答是否正确，如果正确，用户通过验证并登录进入系统。

6.3.3 基于生物特征认证技术

• 利用口令进行认证的方法的缺陷是口令信息容易泄露，而智能卡又可能丢失或被伪造。在安全性要求高的环境中，这两种技术均难以满足安全需求。
• 基于生物特征认证就是利用人类生物特征来进行验证。
• 目前，指纹，人脸，视网膜，语音等生物特征信息可用来进行身份认证。
• 参照，《信息安全技术 指纹识别系统技术要求》，《信息安全技术 基于可信环境的远程人脸识别认证系统技术要求》，《信息安全技术 虹膜识别系统技术要求》

6.3.4 Kerberos认证技术

• Kerberos是一个网络认证协议，其目标是使用密钥加密为客户端/服务器应用程序提供强身份认证。其技术原理是利用对称密码技术，使用可信的第三方来为应用服务器提供认证服务，并在用户和服务器之间建立安全信道。

6.3.5 公钥基础设施（PKI）技术

• 公钥密码体制不仅能够实现加密服务，而且也能提供识别和认证服务，除了保密性之外，公钥密码可信分发也是其所面临的问题，及公钥的真实性和所有权问题。针对该问题，人们采用“公钥证书”的方法来解决，类似身份证，护照，公钥证书是将实体和一个公钥绑定，并让其他的实体能够验证这种绑定关系。为此，需要一个可信第三方来担保实体的身份，这个第三方称为认证机构，简称CA（Certification Authority）。
• CA负责颁发证书，证书中含有实体名，公钥以及实体的其他身份信息。而PKI（Public Key Infrastructure）就是有关创建，管理，存储，分发和撤销公钥证书所需要的硬件，软件，人员，策略和过程的安全服务设施。
• PKI提供了一种系统化的，可扩展的，统一的，容易控制的公钥分发方法。
• 基于PKI的主要安全服务有身份认证，完整性保护，数字签名，会话加密管理，密钥恢复。

6.3.6 单点登录

• 单点登录（Single Sign On）是指用户访问使用不同的系统时，只需要进行一次身份认证，就可以根据这次登录的认证身份访问授权资源，单点登录解决了用户访问使用不同系统时，需要输入不同系统的口令以及保管口令问题，简化了认证管理工作。

6.3.7 基于人机识别认证技术

• 基于人机识别认证利用计算机求解问题的困难以区分计算机和人的操作，防止计算机程序恶意操作，如恶意注册，暴力破解口令等。
• 基于人机识别认证技术通常称为CAPTCHA（Completely Automated Public Turing test to tell Computers and Hunmans Apart）技术。

6.3.8 多因素认证技术

• 多因素认证技术使用多种鉴别信息进行组合，以提升认证的安全强度。
• 根据认证机制所依赖的鉴别信息的多少，认证通常称为双因素认证或多因素认证。

6.3.9 基于行为的身份鉴别技术

• 基于行为的身份鉴别是根据用户行为和风险大小而进行的身份鉴别技术。
• 主要是通过用户的基本信息，获取用户个体画像，进而动态监控用户状态以判定用户身份，防止假冒用户登录或者关键操作失误。

6.3.10 快速在线认证（FIDO）

• Fast IDentity Online 简称FIDO，FIDO使用标准公钥加密技术来提供强身份认证，FIDO的设计目标是保护用户隐私，不提供跟踪用户的信息，用户生物识别信息不离开用户的设备。

6.4 认证主要产品与技术指标

• 认证技术产品是最为普遍的网络安全产品，其产品形态有硬件实体模式，软件模式或软硬结合模式。商业产品主要为物理硬件实体，安全功能软件集成到硬件实体中。

6.4.1 认证主要产品

• 认证技术主要产品类型包括系统安全增强，生物认证，电子认证服务，网络准入控制和身份认证网关。
• 1.系统安全增强
  • 系统安全增强产品的技术特点是利用多因素认证技术增强操作系统，数据库系统，网站的认证安全强度。采用的多因素认证技术通常是U盘+口令，智能卡+口令，生物信息+口令等。产品应用场景有U盘登录计算机，网银U盾认证，指纹登录计算机，网站，邮箱等。
• 2.；生物认证
  • 生物认证产品的技术特点是利用指纹，人脸，语音等生物信息对人的身份进行鉴别。目前市场上的产品有人证核验智能终端，指纹U盘，人脸识别门禁，指纹采集仪，指纹比对引擎，人脸自动识别平台。
• 3.电子认证服务
  • 电子认证服务产品的技术特点是电子认证服务机构采用PKI技术，密码算法等提供数字证书申请，颁发，存档，查询，废止等服务，以及基于数字证书为电子活动提供可信身份，可信时间和可信行为综合服务。
  • 目前国内电子认证服务产品有数字证书认证系统，证书管理服务器，可信网络身份认证，SSL证书，数字证书服务，时间戳公共服务平台，个人多源可信身份统一认证服务平台等。
• 4.网络准入控制
  • 网络准入控制产品的技术特点是采用基于802.1X协议，Radius协议，VPN等身份验证相关技术，与网络交换机，路由器，安全网关等设备联动，对入网设备（如主机，移动PC，智能手机等）进行身份认证和安全合规性验证，防范非安全设备接入内部网络。
• 5.身份认证网关
  • 身份认证网关产品的技术特点是利用数字证书，数据同步，网络服务重定向等技术，提供集中，统一的认证服务，形成身份认证中心，具有单点登录，安全审计等安全服务功能。

6.4.2 主要技术指标

• 一般来说，认证技术产品的评价指标可分成三类，即安全功能要求，性能要求和安全保障要求。
• 1）密码算法支持
  • 认证技术主要依赖于密码技术，因此，认证产品中的密码算法是安全性的重要因素，常见的密码算法类型有DES/3DES,AES,SHA-1,RSA,SM1/SM2/SM3/SM4。
• 2）认证准确性
  • 认证产品的认假率，拒真率。
• 3）用户支持数量
  • 认证产品最大承载的用户数量。
• 4）安全保障级别
  • 认证产品的安全保障措施，安全可靠程度，抵抗攻击能力等。

6.5 认证技术应用

• 认证技术是网络安全保障的基础性技术，普遍应用于网络信息系统保护。
• 1）用户身份验证
  • 验证网络资源访问者的身份，给网络系统的访问授权提供支持服务。
• 2）信息来源证实
  • 验证网络信息的发送者和接收者的真实性，防止假冒。
• 3）信息安全保护
  • 通过认证技术保护网络信息的机密性，完整性，防止泄密，篡改，重放或延迟。

6.5.1 校园信任体系建设应用参考

6.5.2 网络路由认证应用参考

6.5.3 基于人脸识别机房门禁管理应用参考

6.5.4 eID身份验证应用参考

• 公民网络电子身份标识（简称eID）是国家网络安全的重要保障。eID是由国家主管部门颁发，与个人真实身份具有一一对应关系，用于在线识别公民真实身份的网络电子身份。由一对非对称密钥和含有其公钥及相关信息的数字证书组成。
• 参照：《信息安全技术 公民网络电子身份标识安全技术要求 第3部分：验证服务消息及其处理规则》标准规范进行要求。

6.5.5 HTTP认证应用参考

• HTTP是Web服务器应用协议，支持的认证方式主要有基本访问认证（Basic Access Authentication1，BAA），数字摘要认证（Digest Authentication），NTLM，Negotiate，Windows Live ID等。
• 具体参考RFC 7235, RFC7617, RFCA7616等文档。