- 认证概述※
- 认证语认证过程
- 认证技术方法※
- 认证主要产品于技术指标
- 认证技术应用
相对而言,就第一节和第三节比较重要,其它的熟悉一下命题规则:根据以往来看,上午选择题3分,下午案列题2-4分
认证机制是网络安全的基础性保护措施,是实施访问控制的前提
认证通常是关注抗抵赖性,或者说是防止冒充的行为。而加密是针对数据的保护,关注的是机密性。但二者也有联系,认证过程中也会用到加密算法
曾经有考过关于标识的概念
认证是一个实体向另一个实体证明其所声称的身份的过程。在认证过程中,需要被证实的实体 是 声称者,负责检查确认声称者的实体是 验证者。通常情况下,双方要按照一定规则,声称者传递可区分身份的证据给验证者,验证者根据所收到的声称者的证据进行判断,证实声称者的身份。如下图就是一个通过口令认证的过程。
认证一般由标识(Identification)和鉴别(Authentication)两部分组成。
标识是用来代表实体对象(如人员、设备、数据、服务、应用)的身份标志,确保实体的唯一性和可辨识性,同时与实体存在强关联。
鉴别一般是利用口令、电子签名、数字证书、令牌、生物特征、行为表现等相关数字化凭证对实体所声称的属性进行识别验证的过程。鉴别的凭据主要有所知道的秘密信息、所拥有的凭证、所具有的个体特征以及所表现的行为。
认证依据也称为鉴别信息,通常是指用于确认实体(声称者)身份的真实性或者其拥有的属性凭证。目前,常见的认证凭据主要有四类:
一般来说,认证机制由验证对象、认证协议、鉴别实体构成。其中验证对象是指需要鉴别身份的实体(声称者);认证协议是验证对象和鉴别实体(验证者)之间进行认证信息交换所遵从的规则;鉴别实体根据验证对象所提供的认证依据,给出身份的真实性或属性判断。
按照对验证对象要求提供的认证凭据的类型数量,认证可分成单因素认证、双因素认证、多因素认证。多因素认证有利于提升认证的安全强度。
根据认证依据所利用的时间长度,认证可分为一次口令(OTP)、持续认证。
按照认证过程中鉴别双方参与角色以及所依赖的外部条件,认证类型可分成单向认证、双向认证和第三方认证
单向认证是指在认证过程中,验证者对声称者单方面的鉴别,而声称者不需要识别验证者的身份。如下图所示,声称者A发送其标识和身份证明凭据给验证者B,然后B检查声称者发送的消息,确认声称者A的身份真实性。
实现单向认证的技术方法有两种,基于共享秘密、基于挑战影响
验证者和声称者共享一个秘密 K A B K_{AB} KAB, I D A ID_A IDA,为实体A的标识,则认证过程如下:
第一步,A产生并向B发送消息 ( I D A ID_A IDA, K A B K_{AB} KAB) 。
第二步,B收到 ( I D A ID_A IDA, K A B K_{AB} KAB) 的消息后,B检查 I D A ID_A IDA 和 K A B K_{AB} KAB的正确性。若正确,则确认A的身份。
第三步,B回复A验证结果消息
双向认证是指再认证过程中,验证者对声称者进行单方面的鉴别,同时,声称者也对验证者的身份进行确认。参与认证的实体双方互为验证者。
在网络服务认证过程中,双向认证要求服务方和客户方互相认证,客户方也认证服务方,这样就可以解决服务器的真假识别安全问题。
第三方认证是指两个实体在鉴别过程中通过可信的第三方来实现。可信的第三方简称为TTP(Trusted Third Party)。
如图,第三方与每个认证的实体共享秘密,实体A和实体B分别与它共享密钥 K P A K_{PA} KPA、 K P B K_{PB} KPB。当实体A发起请求认证时,实体A向可信第三方申请获取实体A和实体B的密钥 K P A K_{PA} KPA,然后实体A和实体B使用KAB加密保护双方的认证消息。
实体A和实体B基于第三方认证的方案有多种形式,本文选取一种基于第三方挑战响应的技术方案进行阐述。设A和B各生成随机数 R A R_A RA、 R B R_B RB, I D A ID_A IDA为实体A的标识, I D B ID_B IDB为实体B的标识,则认证过程简要描述为:
认证技术主要有口令认证技术、智能卡技术、基于生物特征认证技术、Kerberos认证技术等多种实现方式
口令认证是基于用户所知道的秘密而进行的认证技术。一般安全要求把口令进行加密变换后存储,口令非明文传输。口令认证的优点是简单,易于实现。口令认证的不足是口令信息容易泄露、容易受到攻击,主要攻击方式有窃听、重放、中间人攻击、口令猜测等要是心啊口令认证的安全,至少满足以下条件:
智能卡是一种带有存储器和微处理器的集成电路卡,能够安全存储认证信息,并具有一定的计算能力。智能卡认证根据用户所拥有的实物进行。
缺点:可能丢失或被伪造
智能卡认证过程如下图:
这是本章的重点
时间戳(time-stamp)是指从1970年1月1日0时0分0秒至当前时间的总秒数。时间戳存在的主要目的在于通过一定的技术手段,对数据产生的时间进行认证,从而验证这段数据在产生后是否经过篡改,也就是用来检测数据的完整性。
Kerberos是由美国麻省理工学院(MIT)研究的一个网络认证协议,其目标是使用密钥加密为客户端/服务器应用程序提供强身份认证。采用对称密码技术和可信的第三方来为应用服务器提供认证服务,并在用户和服务器之间建立安全信道。
Kerberos由美国麻省理工学院(MIT)研制实现,已经经历了五个版本。一个Kerberos系统涉及四个基本实体:
(1)Kerberos客户机,用户用来访问服务器的设备
(2)AS(Authentication Server,身份认证服务器),识别用户身份并提供TGS会话密钥;
(3)TGS(Ticket Granting Server,票据发放服务器),为申请服务的用户授予票据(Ticket)
(4)AP(Application server,应用服务器),为用户提供服务的设备或系统
其中AS和TGS统称为KDC(Key Distributin Center,秘钥分发中心)。票据(Ticket)是用于安全的传递用户身份所需要的信息集合,主要包括客户方Principal、目的服务方Principal、客户方IP地址、时间戳(分发该Ticket的时间)、Ticket的生存期、以及会话密钥等内容。
Kerberos V5认证协议(Kerberos第五版)主要由六步构成。
第一步,kerberos客户向认证服务器AS申请票据TGT
第二步,当认证服务器AS收到Kerberos客户发来的消息后,AS
在认证数据库检查确认Kerberos客户,产生一个会话密钥,同时使用Kerberos客户的秘密密钥
对会话密钥
加密,然后生成一个票据TGT,其中TGT由Kerberos客户的实体名、地址、时间戳、限制时间、会话密钥组成。AS生成TGT完毕后,把TGT发送给Kerberos客户。
第三步,kerberos客户收到AS发来的TGT后,使用自己的秘密密钥解密得到会话密钥,然后利用解密的信息重新构造认证请求重新构造认证请求单,向TGS发送请求,申请访问应用服务器AP所需要的票据(Ticket)
第四步,TGS使用其秘密密钥对TGT进行解密,同时,使用TGT中的会话密钥对Kerberos客户的请求认证单信息进行解密,并将解密后的认证单信息与TGT中信息进行比较。然后,TGS生成新的会话密钥以供Kerberos客户的实体名、地址、时间戳、时间限制、会话密钥组成。TGS生成TGT完毕后,把TGT发给Kerberos用户
第五步,Kerberos客户收到TGS的响应后,获得与应用服务器共享的会话密钥。与此同时,Kerberos客户生成一个新的用于访问应用服务器的认证单,并用于应用服务器共享的会话加密密钥,然后与TGS发送来的票据一并传送到应用服务器。
Kerberos协议中要求用户经过AS和TGS两重认证的优点主要有:
(1)可以显著减少用户密钥的密文的暴露次数,这样就可以减少攻击者对有关用户密钥的密文积累
(2)Kerberos认证过程具有单点登录(Single sign On,SSO)的优点,只要用户拿到TGT并且该TGT没有过期,那么用户就可以使用该TGT通过TGS完成到任一服务器的认证过程而不必重新输入密码
Kerberos也存在不足之处。Kerberos认证系统要求解决主机节点时间同步问题和抵御拒绝服务攻击。如果某台主机的时间被修改,那么这台主机就无法使用Kerberos认证协议了;如果服务器的时间发生了错误,那么整个Kerberos认证系统将会瘫痪。尽管Kerberos V5有不尽人意的地方,但他仍然是一个比较好的协议。目前,Windows系统和Hadoop都支持Kerberos认证。
Public key Infrastructure(PKI)公钥密码基础设施是一个包括硬件、软件、策略和规程的集合,用来实现基于公钥密码体制的密钥和证书的产生、管理、存储、分发和撤销等功能。X.509是公钥基础设施(PKI)的标准格式
PKI差生的原因:公钥密码体制实现加密、识别和认证服务。但简单地直接使用公钥密码算法存在较为严重的安全问题:除了保密性外,公钥密码可信分发也是其所面临的问题,即公钥的真实性和所有权问题。因此针对这些问题,采用“公钥证书”的方法来解决(类似身份证、护照)。公钥证书是将一个实体和一个公钥绑定,并让其他的实体能够验证这种绑定关系。
PKI需要一个可信第三方来担保实体的身份,这个第三方认证机构简称CA(cetification Authority)。CA负责颁布证书,证书中含有实体名、公钥以及实体的其它身份信息。而PKI(Public Key Infrastructure)就是有关创建、管理、存储、分发和撤销公钥证书所需要的硬件、软件、人员、策略和过程的安全服务设施。
基于PKI的主要安全服务有身份认证、完整性保护、数字签名、会话加密管理、密钥恢复。
PKI各实体功能:
认证主要产品包括以下部分:
U盘 +口令
、智能卡+口令
、生物信息+口令
等认证技术产品的评价指标可分为三类,即安全功能要求、性能要求和安全保障要求。认证i技术产品主要的技术指标如下:
(1)密码吗算法支持
(2)认证准确性
(3)用户支持数量:
(4)安全保障级别
(1)用户身份验证:验证网络资源的访问者的身份,给网络系统访问授权提供支持服务
(2)信息来源证实:验证网络的发送者和接收者的真实性、防止假冒
(3)信息安全保护:通过认证技术保护网络信息的机密性、完整性、防止泄露、篡改、重放或延迟