认证技术

6.1.1 认证概念

​ 认证是一个实体向另外一个实体证明其所声称的身份的过程。在认证过程中，需要被证实的实体是声称者，负责检查确认声称者的实体是验证者。通常情况下，双方要按照一定规则，声称者传递可区分其身份的证据给验证者，验证者根据所接收到的声称者的证据进行判断，证实声称者的身份。

​ 认证一般由标识(ldentification)和鉴别(Authentication)两部分组成。标识是用来代表实体对象(如人员、设备、数据、服务、应用)的身份标志，确保实体的唯一性和可辨识性，同时与实体存在强关联。

​ 标识一般用名称和标识符(ID)来表示。通过唯一标识符，可以代表实体。例如，网络管理人员常用 IP地址、网卡地址作为计算机设备的标识。
​ 鉴别一般是利用口令、电子签名、数字证书、令牌、生物特征、行为表现等相关数字化凭证对实体所声称的属性进行识别验证的过程。鉴别的凭据主要有所知道的秘密信息、所拥有的凭证、所具有的个体特征以及所表现的行为。

如图6-1所示，实体A(声称者)向实体B(验证者)告知其口令I@702019,实体 B验证实体A出具的口令。若口令正确，则实体B确认实体A参与其活动。

认证和加密的对比

认证和数字签名技术都用于确保数据真实性，但两者还是有明显的不同。

6.1.2 认证依据

常见的认证依据主要有四类，如表所示：

1.所知道的秘密信息(Something You Know)
实体(声称者)所掌握的秘密信息，如用户口令、验证码等。
2.所拥有的实物凭证(Something You Have)
实体(声称者)所持有的不可伪造的物理设备，如智能卡、U盾等。
3.所具有的生物特征
实体(声称者)所具有的生物特征，如指纹、声音、虹膜、人脸等。
4.所表现的行为特征
实体(声称者)所表现的行为特征，如鼠标使用习惯、键盘敲键力度、地理位置等

6.1.3 认证原理

​ 一般来说，认证机制由验证对象、认证协议、鉴别实体构成，如图 6-2 所示。其中，验证对象是需要鉴别的实体(声称者);认证协议是验证对象和鉴别实体(验证者)之间进行认证信息交换所遵从的规则:鉴别实体根据验证对象所提供的认证依据，给出身份的真实性或属性判断。

按照对验证对象要求提供的认证凭据的类型数量，认证可以分成单因素认证、双因素认证、多因素认证。

​ 根据认证依据所利用的时间长度，认证可分成一次性口令(One Time Password) 、持续认证(Continuous authentication) 。其中，一次性口令简称 OTP,用于保护口令安全，防止口令重用攻击。OTP 常见的认证实例如使用短消息验证码。

​ 持续认证是指连续提供身份确认，其技术原理是对用户整个会话过程中的特征行为进行连续地监测，不间断地验证用户所具有的特性。持续认证是一种新兴的认证方法，其标志是将对事件的身份验证转变为对过程的身份验证。持续认证增强了认证机制的安全强度，有利于防止身份假冒攻击、钓鱼攻击、身份窃取攻击、社会工程攻击、中间人攻击。持续认证所使用的鉴定因素主要是认知因素(Cognitive factors)、物理因素(Physiological factors) 、上下文因素(Contextual factors)。认知因素主要有眼手协调、应用行为模式、使用偏好、设备交互模式等。物理因素主要有左／右手、按压大小、手震、手臂大小和肌肉使用。上下文因素主要有事务、导航、设备和网络模式。

6.1.4 认证发展

网络可信身份保证了网络身份与现实身份的绑定关系，有利于网络行为不可抵赖，有利于防范身份盗用、网络欺诈、网络攻击等行为，有利于网络空间社会治理。

与认证服务相关的法律规范也陆续发布，主要有《中华人民共和国电子签名法》（以下简称“电子签名法”)、《中华人民共和国网络安全法》（以下简称“网络安全法”)、《商用密码管理条例》、《电子认证服务密码管理办法》、《电子政务电子认证服务业务规则规范》等。

6.2 认证类型与认证过程

常见认证过程有单向认证、双向认证、第三方认证。

6.2.1 单向认证

单向认证是指在认证过程中，验证者对声称者进行单方面的鉴别，而声称者不需要识别验证者的身份。

实现单向认证的技术方法有两种：

1. 基于共享秘密
2. 基于挑战响应

案例题里可能会出现分析

整个过程中，只有验证方对被验证方的验证，被验证方不需要验证验证方。单向认证可以分为基于共享秘密和基于挑战响应两种。
(1)基于共享秘密:设定验证方和被验证方共享秘钥为KAB，实体A的标志为IDA。

第一步，A产生并向 B发送消息(IDA，KAB)。
第二步，B 收到(IDA，KAB)的消息后，B 检査 IDA，KAB的正确性。若正确，则确认A的身份
第三步，B回复A验证结果消息。

(2)基于挑战响应:（掌握此过程）
设定验证方和被验证方共享秘钥，实体A、B的标志分别为IDA、IDB，实体B的随机数为RB，加密函数为f。

第一步，B产生一个随机数 RB，并向 A发送消息(IDB，RB)。

第二步，A 收到(IDB，RB)消息后，安全生成包含随机数 RB的秘密 KAB，并发送消息(IDA，KAB)到B

第三步，B 收到(IDA，KAB)的消息后，解密 KAB检査 RB 是否正确。若正确，则确认 A的身份。
第四步，B回复A验证结果消息。

6.2.2 双向认证

双向认证的逻辑过程如下:
A和B进行相互验证的前提条件:
(1)A与B相互约定并保存对方的口令PA和PB。
(2)选择单向函数f。
具体认证过程

6.2.3 第三方认证

第三方认证是通过可信的第三方(TrusedThird Party)实现双方间的认证。A和B认证的前提条件:

(1)A和第三方C共享的秘密秘钥为KAC;B和第三方C共享的秘密秘钥为KBC。
(2)A向第三方C申请，用于A和B间加密的秘密秘钥KAB。
(3)实体A、B的标志分别为IDA、IDB，此标识公开
(4)实体A的随机数为RA，实体B的随机数为RB。

6.3认证技术方法

​ 认证技术主要有口令认证技术、智能卡技术、基于生物特征认证技术、Kerberos认证技术等多种实现方式

6.3.1口令认证

双方约定秘密数据来验证用户。口令认证目前是最广泛的认证方式之一。简单系统中，口令以明文的方式存储，这种方式下口令表容易盗取;口令在传输时也容易被截获;同时，用户和系统的地位不平等，只有系统强制性地验证用户的身份，而用户无法验证系统的身份。

几种改进的口令验证机制。

使用多种字符、具有足够长度、尽量随机、定期更换。

口令管理的防范措施主要有:

(1)口令形式方面
·口令长度最少8位，大写字母、小写字母、数字、特殊符号必须四选三。
·禁止口令与账号相同。

(2)口令使用方面
·限制账号登录次数，建议设置成3次。
·更换系统默认口令，避免使用默认口令。
·口令应经常更改,禁止重用口令。

(3)口令管理
·禁止共享账号、口令。
.加密存放口令文件，设置超级用户才能读取。
·禁止网络上明文传递口令。

(4)口令测试
·使用口令破解工具，测试账号是否存在弱口令或没有口令的问题。

6.3.2智能卡

考基础概念

智能卡(SmartCard):内嵌有微芯片的塑料卡的通称，能存储认证信息。智能卡通常包含微处理器、I/O接口及内存，提供了资料的运算、存取控制及储存功能。智能卡的分类方式见下表。

智能卡的片内操作系统(COS)-般由通信管理模块、安全管理模块、应用管理摸块和文件管理模块四个部分组成。

针对智能卡的常用攻击手段如下:

(1)物理篡改:想办法使卡中的集成电路暴露出来，直接用微探针读取存储器的内容。
(2)时钟抖动:在某一精确计算的时间间隔内突然注入高频率脉冲，导致处理器丢失一两条指令。
(3)超范围电压探测:通过调整电压，使处理器出错。针对上述的攻击手段，可采取的防范措施有总线分层、使芯片平坦化、平衡能耗、随机指令冗余等。

6.3.3生物特征认证

经验表明身体特征(指纹、掌型、视网膜、虹膜、人体气味、脸型、手的血管和DNA等)和行为特征(签名、语音、行走步态等)可以对人进行唯一标识，可以用于身份识别。生物特征识别的认证需要具有的特性有:随身性、安全性、唯一性、普遍性、稳定性、可采集性、可接受性、方便性。

验证:现场采集的指纹与系统记录指纹进行匹配来确认身份。验证的前提条件是，指纹必须在指纹库中已经注册。验证其实是回答了这样一个问题:“他是他自称的这个人吗?”
辨识:辨识则是把现场采集到的指纹(也可能是残缺的)同指纹数据库中的指纹逐一对比，从中找出与现场指纹相匹配的指纹。辩识其实是回答了这样一个问题:“他是谁?”

6.3.4 Kerberos 认证技术

时间戳(time-stamp)是指从1970年1月1日0时0分0秒至当前时间的总秒数。时间戳存在的主要目的在于通过一定的技术手段，对数据产生的时间进行认证，从而验证这段数据在产生后是否经过篡改，也就是用来检测数据的完整性。

 Kerberos是由美国麻省理工学院（MIT）研究的一个网络认证协议，其目标是使用密钥加密为客户端/服务器应用程序提供强身份认证。

技术原理：采用对称密码技术和可信的第三方来为应用服务器提供认证服务，并在用户和服务器之间建立安全信道。
目标：使用密钥加密为客户端B/S服务器应用程序提供强身份认证

Kerberos由美国麻省理工学院（MIT）研制实现，已经经历了五个版本。一个Kerberos系统涉及四个基本实体：

1. Kerberos客户机，用户用来访问服务器的设备
2. AS(Authentication Server，身份认证服务器），识别用户身份并提供TGS会话密钥；
3. TGS（Ticket Granting Server，票据发放服务器），为申请服务的用户授予票据（Ticket）
4. AP（Application server，应用服务器），为用户提供服务的设备或系统

Kerberos客户机 要连接AP，但AP无法认证客户机身份，所以借助第三方来为AP提供认证。

其中AS和TGS统称为KDC（Key Distributin Center，秘钥分发中心）。票据（Ticket）是用于安全的传递用户身份所需要的信息集合，主要包括客户方Principal、目的服务方Principal、客户方IP地址、时间戳（分发该Ticket的时间）、Ticket的生存期、以及会话密钥等内容。

  Kerberos V5认证协议（Kerberos第五版）主要由六步构成。

6.3.5公钥基础设施（PKI）技术

  Public key Infrastructure(PKI)公钥密码基础设施是一个包括硬件、软件、策略和规程的集合，用来实现基于公钥密码体制的密钥和证书的产生、管理、存储、分发和撤销等功能。X.509是公钥基础设施（PKI）的标准格式。

一般来说，PKI涉及多个实体之间的协商和操作,主要实体包括 CA,RA、终端实体(End Entity)、客户端、目录服务器。

  PKI产生的原因：公钥密码体制实现加密、识别和认证服务。但简单地直接使用公钥密码算法存在较为严重的安全问题：除了保密性外，公钥密码可信分发也是其所面临的问题，即公钥的真实性和所有权问题。因此针对这些问题，采用==“公钥证书”==的方法来解决（类似身份证、护照）。公钥证书是将一个实体和一个公钥绑定，并让其他的实体能够验证这种绑定关系。

  PKI需要一个可信第三方来担保实体的身份，这个第三方认证机构简称CA（cetification Authority）。CA负责颁布证书，证书中含有实体名、公钥以及实体的其它身份信息。而PKI（Public Key Infrastructure）就是有关创建、管理、存储、分发和撤销公钥证书所需要的硬件、软件、人员、策略和过程的安全服务设施。

  基于PKI的主要安全服务有身份认证、完整性保护、数字签名、会话加密管理、密钥恢复。

PKI各实体功能：

CA（Certification Authority）：证书授权机构，主要进行证书的颁发、废止和更新；认证机构负责签发、管理和撤销一组终端用户的证书；
RA（Registration Authority）：证书等级权威机构，将公钥和对应的证书持有者的身份及其他属性联系起来，进行注册和担保；RA可以充当CA和它的终端用户之间的中间实体，辅助CA完成其他绝大部分的证书处理功能；
目录服务器：CA通常使用一个目录服务器，提供证书管理和分发的服务；
终端实体（End Entity）：指需要认证的对象，例如服务器、打印机、E-mail地址、用户等；
客户端（Client）：指需要基于PKI安全服务的使用者，包括用户、服务进程等

6.3.6单点登录

单点登录(Single sign on)是指用户访问使用不同的系统时，只需要进行一次身份认证，就可以根据这次登录的认证身份访问授权资源。单点登录解决了用户访问使用不同系统时，需要输入不同系统的口令以及保管口令问题，简化了认证管理工作。

6.3.7基于人机识别认证技术

利用计算机求解问题的困难性以区分计算机和人的操作

基于人机识别认证利用计算机求解问题的困难性以区分计算机和人的操作，防止计算机程序恶意操作，如恶意注册、暴力猜解口令等。基于人机识别认证技术通常称为 CAPTCHA(Completely Automated Public Turing test to tell Computers and Humans Apart)技术。CAPTCHA 技术主要包括文本 CAPTCHA、图像 CAPTCHA、语音 CAPTCHA。 CAPTCHA 技术的工作机制是认证者事先有一个 CAPTCHA 服务器负责 CAPTCHA 信息的生成和测试，当用户使用需要 CAPTCHA 验证的服务时候，CAPTCHA 服务器则给用户生成 CAPTCHA 测试，如果用户测试结果正确，则认证通过。

6.3.8 多因素认证技术

多因素认证技术：使用多种鉴别信息进行组合，以提升认证的安全强度。更具认证机制所依赖的鉴别信息的多少，认证通常称为双因素认证或多因素认证。

6.3.9 基于行为的身份鉴别技术

基于行为的身份鉴别是根据用户行为和风险大小而进行的身份鉴别技术

• 根据用户行为和风险大小而进行的身份鉴别技术

• 通过分析用户的基本信息，获取用户个体画像，进而动态监控用户状态以判定用户身份

6.3.10 快速在线认证(FIDO)

Fast IDentity Online 简称 FIDO, FIDO 使用标准公钥加密技术来提供强身份验证。FIDO 的设计目标是保护用户隐私，不提供跟踪用户的信息，用户生物识别信息不离开用户的设备。

• 使用公钥加密技术提供方强身份认证

FIDO 的技术原理如下。
1.登记注册
用户创建新的公私钥密钥对。其中，私钥保留在用户端设备中，只将公钥注册到在线服务。公钥将发送到在线服务并与用户账户关联。私钥和有关本地身份验证方法的任何信息(如生物识别测量或模板)永远不会离开本地设备。

2.登录使用

当用户使用 FIDO 进行登录在线服务的时候，在线服务提示要求用户使用以前注册的设备登录。然后,用户使用与注册时相同的方法解锁 FIDO身份验证器。用户根据账户标识符选择正确的密钥响应在线服务的挑战，并发送签名的质询到在线服务。最后，在线服务使用存放的用户公钥和日志来验证用户响应是否正确。若正确，则通过用户认证，允许登录在线服务。

6.4认证主要产品与技术指标

6.4.1 产品

  认证主要产品包括以下部分：
系统安全增强：利用多因素认证技术增强操作系统、数据库系统、网站等认证安全强度。采用的多因素认证技术通常是U盘 +口令、智能卡+口令、生物信息+口令等
生物认证：利用指纹、人脸、语音等生物信息对人的身份进行鉴别。目前市场上的产品有人证核验智能终端（我没打错）、指纹U盘、人脸识别门禁、指纹采集仪、指纹对比引擎、人脸自动识别平台。
电子认证服务：电子认证服务机构采用PKI技术、密码算法等提供数字证书申请、颁发、存档、查询、废止等服务，以及基于数字证书为电子活动提供可信身份、可信时间和可信行为综合服务。目前国内电子认证服务产品有数字认证系统、证书管理服务器、可信网络身份认证、SSL证书、数字证书服务、时间戳公共服务平台、个人多源信息身份统一认证服务平台等
网络准入控制：采用基于802.1X 协议、Radius协议、VPN等身份验证相关技术，与网络交换机、路由器、安全网关等设备联动，对入网设备（如手机、电脑）进行身份认证和安全合规性验证，防范非安全设备接入内部网络
身份认证网关：利用数字证书、数据同步、网络服务重定向等技术，提供集中、统一的认证服务，形成身份认证中心，具有单点登录、安全审计等安全服务功能

6.4.2 技术指标

  认证技术产品的评价指标可分为三类，即安全功能要求、性能要求和安全保障要求。认证技术产品主要的技术指标如下：
  （1）密码算法支持
  （2）认证准确性
  （3）用户支持数量：
  （4）安全保障级别

6.5 认证技术应用（了解）

认证技术是网络安全保障的基础性技术，普遍应用于网络信息系统保护。认证技术常见的应用场景如下:
(1)用户身份验证:验证网络资源的访问者的身份，给网络系统访问授权提供支持服务。
(2)信息来源证实:验证网络信息的发送者和接收者的真实性，防止假冒。
(3)信息安全保护:通过认证技术保护网络信息的机密性、完整性，防止泄密、篡改、重放或延迟。

下面将介绍校园网、网络路由、机房门禁、公民网络电子身份标识、HTTP 等方面的认证技术应用，以供读者作为其他安全应用参考。

6.5.1 校园信任体系建设应用参考

校园信息化的主要特点是以校园网络为基础，利用信息技术让学校教育科研机构、教育科研基础设施、教学资源等实现数字化、网络化、信息化，使得校园内的教师、学生可以利用计算机网络进行各种教学、科研和管理活动。与此同时，校园网络面临各种网络安全风险，其中包括身份冒用、信息泄密、数据篡改等问题。针对上述问题，某数字证书认证中心给出了校园网信任体系建设方案，该方案描述如下。

如图6-25所示，在校园内部建设数字证书发放和服务体系，进行数字身份凭证的管理。通过严格按照相关规范进行身份验证，实现对物理身份与数字身份的对应，并通过对数字证书的申请、发放、吊销、更新等管理过程，实现数字身份凭证的管理。建立的统一认证管理系统,围绕整合的用户、应用系统等资源的管理，构建网络信任体系的基础设施平台。平台实现基于数字证书的身份认证，实现基于角色或资源的授权管理，实现统一的安全策略设定和维护，实现责任认定的安全审计。建立PKI应用支持系统，为校园内部其他应用系统提供可信的数据电文服务。

6.5.2 网络路由认证应用参考

路由安全是网络安全的基础，为了保证路由安全，路由器设备的访问及路由消息都需要进行认证。
1.用户认证
当一个用户访问路由器时，必须经过认证通过后才能被允许。某路由器用户名和设置口令配置如下。

2.路由器邻居认证
当两个相邻的路由器进行路由信息交换时，需要进行身份验证，以保证接收可信的路由信息，以防止出现未经授权的、恶意的路由更新。路由器邻居认证的类型有OSPF 认证、RIP 认证、EIGRP认证。认证模式有明文认证(PlaintextAuthentication)、消息摘要认证(Message DigestAuthentication)。明文认证不安全，口令容易被监听。为保护路由安全，一般推荐采用消息摘要认证。OSPF认证配置示意图如图6-26所示，

路由器 North和路由器 East相邻，属于 area 0。各路由器的 OSPF 认证配置如下

6.5.3 基于人脸识别机房门禁管理应用参考

目前，机房出入人员身份复杂，存在伪造证件、替岗、擅自进入等安全问题。事后追查无法取证、相互推卸责任。针对上述问题，机房人脸识别门禁管理系统应运而生，系统通过加强身份验证的严密性，提高了安全防范等级，有助于管理部门和保卫部门消除隐患、提高工作效率，该方案描述如下如图6-27所示，基于人脸识别机房门禁管理系统利用先进的生物识别技术，通过人脸特征信息快速判断人员身份，客观控制门禁系统，彻底杜绝通过伪造证件冒名顶替、利用他人证件通过及擅自进入的可能性。人员进出数据及现场记录图像可实时上传管理端，帮助管理者轻松、高效地进行安全管理工作。

6.5.4 elD 身份验证应用参考

公民网络电子身份标识(简称eID)是国家网络安全的重要保障。eID是由国家主管部门颁发，与个人真实身份具有一一对应关系，用于在线识别公民真实身份的网络电子身份。由一对非对称密钥和含有其公钥及相关信息的数字证书组成。按照《信息安全技术公民网络电子身份标识安全技术要求第3部分:验证服务消息及其处理规则》标准规范进行要求。eID身份验证涉及eID服务平台、应用服务提供商和持有eID的用户。

eID身份验证服务相关步骤如图6-28 所示。
(1)应用服务提供商根据需要向 eID 服务平台发送服务请求。
(2)eID服务平台返回一个随机数作为本次验证服务的挑战。
(3)应用服务提供商完成相应的eD运算,将待传输数据按照所规定的格式作为验证请求,发送给 eID 服务平台。
(4)eID服务平台在本地执行相关的验证服务后，按照规定格式返回相应的验证结果给应用服务提供商。

6.5.5 HTTP 认证应用参考

HTTP是Web服务器应用协议，支持的认证方式主要有基本访问认证(BasicAccessAuthentication,BAA)、数字摘要认证(Digest Authentication)、NTLM、Negotiate、WindowsLive ID等，有关认证详见RFC7235、RFC7617、RFC7616等文档。HTTP 认证过程框架如图 6-29 所示。

其中，BAA应用比较普遍。当远程用户访问需要认证Web资源时，浏览器弹出认证窗口，要求用户输入账号和口令，当认证通过后，Web服务器才授权用户访问，如图6-30所示。

6.6本章小结

本章首先介绍了认证的概念以及认证依据，并按照认证特点把认证归为三类;然后讲述了常见的认证技术;最后举例说明认证技术在实际中的应用。