信息安全基础知识:06认证技术
1.概念
认证是指一个实体向另一个实体证明其所声称的所有身份的过程。
2.主要认证依据
所知道的秘密信息;
所拥有的实物凭证;
所具有的生物特征;
所表现的行为特征。
3.认证类型
(1)单向认证
指验证者对声称者进行单方面的身份鉴别。
技术方法:
①基于共享密钥的
②基于挑战响应的
(2)双向认证
指验证者对声称者进行的身份鉴别,同时,声称者也对验证者的身份进行确认。
(3)第三方认证
指两个实体在鉴别过程中通过可信的第三方(TTP)来实现。
4.认证技术
(1)口令认证技术
指基于用户所知道的秘密而进行认证的技术。
实现口令认证安全需满足的条件:
①口令信息安全加密存储;
②口令信息安全传输;
③口令认证协议要抵抗攻击,符合安全协议设计要求;
④口令选择要求要做到弱口令。
(2)智能卡技术
智能卡是一种带有存储器和微处理器的集成电路卡,能够安全存储认证信息,具备一定的计算能力。
(3)kerberos
①kerberos认证系统的四个组成部分
kerberos客户机、AS用户鉴别服务器、TGS票据授予服务器、应用服务器。AS、TGS共同组成KDC(密钥分配中心)。
②kerberos工作流程
用户A使用明文向AS认证身份;
认证通过后,AS使用A的对称密钥加密报文,该报文含A与TGS通信的会话密钥KS以及A发往TGS的票据(该票据使用TGS的对称密钥加密);
用户A将服务器B名称、时间戳(使用KS加密)、A发往TGS的票据一同发往TGS;
TGS向A发送两个票据,票据一包含服务器B名称及密钥KAB,使用KS加密;票据二包含用户A的身份信息及密钥KAB,使用KB加密;
A将时间戳(KAB加密)、票据二发B;
服务B响应,完成认证。
最后,A和B之间使用KAB通信。
③其他
kerberos使用的对称加密算法为AES;
kerberosr认证系统需解决主机节点间的时间同步问题和抵御拒绝服务攻击。
(4)公钥基础设施(PKI)
CA:证书授权中心
RA:证书注册中心
CRL:证书撤销列表
X.509:大部分证书的格式
数字证书申请格式为“PKCS#10”
证书基本信息域格式包含:版本号、序列号、签名算法、颁发者、有效日期、主体、主体公钥信息、颁发者唯一标识符、主体唯一标识符、扩展项。
(5)其他认证技术
单点登录
基于人机识别认证技术
基于行为的身份鉴别技术
多因素认证技术
快速在线认证(FIFO)
5.认证主要产品
系统安全增强、生物认证、电子认证服务、网络准入控制、身份认证网关。
6.认证主要技术指标
密码算法支持、认证准确性、用户支持数量、安全保障级别。
7.认证技术应用
用户身份验证、信息来源证实、信息安全保护