信息安全|身份认证技术 笔记

概述

什么是身份认证

身份认证(Authentication)是证实实体(客户、代理、进程、设备等)与其所声称的身份是否相符的过程,即实体真实性证明
身份认证可以对抗假冒攻击和重放攻击的威胁
身份认证系统通常由认证服务器、认证系统客户端和认证设备组成。
身份认证系统主要通过身份认证协议和认证系统软硬件进行实现。

信息安全系统基本结构

一个基本的信息安全系统至少应包括身份认证、访问控制和审计功能。
身份认证是最基本的安全服务,访问控制和审计服务的实现都要依赖于身份认证系统所识别的用户身份。

物理依据

用户所知道的:口令
用户所拥有的:密钥盘、智能卡
用户特征:生物特征

分类

根据安全因素的数量

  • 单因素身份认证
  • 多因素身份认证
    根据需要认证的通信方只对单方认证还是双方互相认证
  • 单向认证:只认证服务端
  • 双向认证

常见身份认证方式

基于口令认证

使用二元信息来表示用户身份

明文口令方案

安全风险:窃听直接泄露 拖库离线攻击 重放攻击 在线猜测攻击

哈希口令方案

传输哈希值,服务器计算存储密码的哈希并比较
拖库离线攻击 重放攻击

口令离线破解

穷举法

计算不可行
字典法
有规律数字
任何名字
常用单词
特殊弱口令
强口令原则:长度、复杂度、随机性
口令管理软件

彩虹表法

时空平衡
预计算-构造反查表,通过规约函数得到口令集预哈希值集
存储-只存关键数据、降低空间代价,存储链首和链尾
查找-边算边找,定位哈希值所在的链,适合GPU阵列并行计算
防范
使用慢哈希函数
增加盐值
哈希迭代

一次性口令方案

防御重放攻击
NRV非重复值

一次性口令

在登录过程中加入不确定因子NRV,使每次登录过程中传送的信息都不相同,以提高登录过程安全性
不确定因子NRV不同,不同的一次性口令认证技术:
基于口令序列认证
基于时间同步认证
基于事件同步认证
基于挑战应答认证

口令序列

口令的哈希链
客户端从后往前发,服务端比较收到的口令哈希是否与存储的哈希相同

时间同步

Time-based One-Time Password——TOTP*
将流逝的时间T作为NRV
客户端和服务器事先协商共享密钥K、口令生成算法F
时间窗口技术

事件同步技术

又名计数器同步机制
变动的数字序列(事件序列)作为NRV

挑战应答

由服务器产生的随机数字序列(挑战值*)作为NRV

智能卡认证

生物认证

身份认证协议

kerberos认证

认证、记账、审计

概述

对称加密体制
分布式C/S体系中采用密钥分发中心KDC来支持用户与应用服务器之间的认证服务

模型

客户机
服务器
密钥分发中心KDC
认证服务器AS
票据许可服务器TGS
数据库
票据ticket

认证过程

  • C-AS 请求访问TGS的票据(票据许可票据)
  • AS-C 票据许可票据
  • C-TGS 初始票据许可票据 请求访问S票据
  • TGS-C 服务访问(许可)票据
  • C-S 出示服务访问票据

数字证书与PKI

基于公私钥对的认证过程

对消息摘要用发方私钥签名
用发方公钥验签消息摘要
风险:公钥可信分发与获取,公钥假冒
解决方案:引入第三方和数字证书

数字证书

是持有者在网络上证明身份的凭证
经过认证机构签名的包含整数所有者公钥等信息的文件
数字证书主要用于验证网络实体的身份,并确保数据传输的安全性
认证机构CA
用户公钥交给CA签名后形成数字证书,以证书的形式发放
X.509标准

数字证书的主要内容

证书的哈希值
持有者公钥的哈希值
CA签名前计算的摘要值
CA用自己私钥对证书摘要签名

数字证书的验证

层级证书结构

逐层颁发
从根证书到用户证书
逐层验证
该级证书中的签名需要上级证书中公钥验签
直到遇到受信任的证书,直接提取公钥

验证过程

  • 验证CA签名是否有效
  • 检查是否处于有效期
  • 检查证书域名是否一致
  • 检查是否被撤销

数字证书的失效

  • 超出有效期
  • 有效期预设
  • 有效期内被撤销
  • 身份变化
  • 泄露
  • 擅自更改用途

数字证书的撤销

CRL 证书撤销列表
由证书机构签发一张无效证书名单,定期更新
OCSP
用户机形成查询指定证书状态请求,将请求发送至OCSP服务器,服务器查询证书状态

数字证书与安全属性

证书是一个经权威机构数字签名的包含公钥所有者信息及其公钥的文件
它包含了身份信息,因此可以用于证明用户的身份
它包含了公钥,既可用于数据加密,保证通信的机密性;也可用于验签,保护信息的真实性和不可否认性
公钥加密:机密性
数字签名:真实性、完整性、不可否认性

PKI

Public Key Infrastructure公钥基础设施

概述

利用公钥密码理论和技术来实现信息安全服务的具有通用性的安全基础设施
以公钥加密为基础,创建、管理、存储、分发和撤销数字证书所需要的一组硬件、软件、人力资源、相关政策和操作规范以及为PKI 体系中的各成员提供全部的安全服务
通过数字证书提供机密性、完整性、真实性和不可否认性的安全服务

PKI体系框架

数字证书的管理:
CA:认证中心,核心部件
KMC:密钥管理中心
RA:注册中心,可以单独部署
技术基础
ASNI/DER:编码规则,解决二义性问题
密码技术
LDAP技术:存储数字证书,供用户查询下载

其它认证技术

  • 基于零知识证明的匿名身份认证
  • 基于统一请求代理的身份认证
  • 基于IBE的身份认证
  • 零信任网络下的身份认证
  • FIDO线上身份认证
  • 基于区块链的身份认证
  • 基于二维码的认证
posted @ 2025-06-15 11:23  lumiere_cloud  阅读(167)  评论(0)    收藏  举报