信息安全工程师知识点:认证概述
1.认证概念
认证是一个实体向另一个实体证明其所有声称的身份的过程。
2.认证依据
认证依据也称为鉴别信息,通常指用于确认实体(声称者)身份的真实性或者其拥有的属性的凭证。目前,常见的认证依据主要有四类:
所知道的秘密信息
所拥有的实物凭证
所具有的生物特征
所表现的行为特征
2.2认证类型与认证过程
1.单向认证
单向认证是指在认证过程中,验证者对声称者进行单方面的鉴别,而声称者不需要识别验证者的身份。
2.双向认证
双向认证是指在认证过程中,验证者对声称者进行单方面的鉴别,同时,声称者也对验证者的身份进行确认。
3.第三方认证
第三方认证是指两个实体在鉴别过程中通过可信的第三方来实现。可信的第三方简称TTP。
2.3认证技术方法
口令认证技术
口令认证是基于用户所知道的秘密而进行的认证技术。
设用户A的标识为UA,口令为PA,服务方实体为B,则认证过程描述如下:
用户A发送消息(UA,PA)到服务方B。
B收到(UA,PA)消息后,检查UA 和PA的正确性。若正确,则通过用户A的认证。
B回复用户A验证结果消息。
要实现口令认证的安全,至少应满足以下条件:
●口令信息要安全加密存储;
●口令信息要安全传输;
●口令认证协议要抵抗攻击,符合安全协议设计要求;
●口令选择要求做到避免弱口令。
智能卡技术
智能卡是一种带有存储器和微处理器的集成电路卡,能够安全存储认证信息,并具有一定的计算能力。
挑战/响应认证示意图
Kerberos认证技术
一个Kerberos系统涉及四个基本实体:
Kerberos客户机,用户用来访问服务器设备;
AS,识别用户身份并提供TGS会话密钥;
TGS,为申请服务的用户授予票据;
应用服务器,为用户提供服务的设备或系统。
Kerberos工作流程示意图
Kerberos协议中要求用户经过AS和TGS两重认证的优点主要有两点:
可以显著减少用户密钥的密文的暴露次数,这样就可以减少攻击者对有关用户密钥的密文积累;
Kerberos认证过程具有单点登录的优点,只要用户拿到了TGT并且该TGT没有过期,那么用户就可以使用该TGT通过TGS完成到任一服务器的认证过程而不必重新输入密码。
但是,Kerberos也存在不足之处。Kerberos认证系统要求解决主机节点时间同步问题和抵御拒绝服务攻击。
公钥基础设施(PKI)技术
●签证机构CA
负责签发证书、管理和撤销证书
●注册机构RA
负责专门受理用户申请证书的机构
证书的签发
证书目录
证书的认证
证书的撤销
信任模型
其他认证技术
2.4认证主要产品与技术指标
1.认证主要产品
目前,认证技术主要产品类型包括系统安全增强、生物认证、电子认证服务、网络准入控制和身份认证网关5类。
2.主要技术指标
一般来说,认证技术产品的评价指标可以分成三类,即安全功能要求、性能要求和安全保障要求。认证技术产品的主要技术指标如下:
●密码算法支持
●认证准确性
●用户支持数量
●安全保障级别
2.5认证技术应用
认证技术是网络安全保障的基础性技术,普遍应用于网络信息系统保护。认证技术常见的应用场景如下:
●用户身份验证
●信息来源证实
●信息安全保护