信息安全:认证技术原理与应用.

信息安全:认证技术原理与应用.

认证机制是网络安全的基础性保护措施,是实施访问控制的前提,认证是一个实体向另外一个实体证明其所声称的身份的过程。在认证过程中,需要被证实的实体是声称者,负责检查确认声称者的实体是验证者。

认证一般由标识 (Identification) 和鉴别 (Authentication) 两部分组成。

标识:用来代表实体对象(如人员、设备、数据、服务、应用)的身份标志,确保实体的唯一性和可辨识性,同时与实体存在强关联。标识 般用名称和标识符 (ID) 来表示。
鉴别:一般是利用口令、电子签名、数字证书、令牌、生物特征、行为表现等相关数字化凭证对实体所声称的属性进行识别验证的过程。

目录:

信息安全:认证技术原理与应用.

认证概述:

(1)认证依据:

(2)认证原理:

认证类型与认证过程:

(1)单向认证:

(2)双向认证:

(3)第三方认证:

认证技术方法:

(1)口令认证技术:

(2)智能卡技术:

(3)基千生物特征认证技术:

(4)Kerberos 认证技术:

(5)公钥基础设施 (PKI) 技术:

(6)单点登录:

(7)基千人机识别认证技术:

(8)多因素认证技术:

(9)基千行为的身份鉴别技术:

(10)快速在线认证 (FIDO):

认证主要产品与技术指标:

(1)认证主要产品:

(2)主要技术指标:

认证技术应用:


认证概述:

(1)认证依据:

◆ 所知道的 秘密 信息:实体(声称者)所掌握的秘密信息,如用户口令、验证码等。
  
◆ 所拥有的 实物 凭证:实体(声称者)所持有的不可伪造的物理设备,如智能卡、U盾等。
  
◆ 所具有的 生物 特征:实体(声称者)所具有的生物特征,如指纹、声音、虹膜、人脸等。
  
◆ 所表现的 行为 特征:实体(声称者)所表现的行为特征,如鼠标使用习惯、键盘敲键力度、地理位置等。

(2)认证原理:

◆ 认证机制:验证对象、认证协议、鉴别实体构成.

◆ 验证对象:需要鉴别的实体(声称者)
◆ 认证协议:验证对象和鉴别实体(验证者)之间进行认证信息交换所遵从的 规则 .
◆ 鉴别实体:根据验证对象所提供的 认证依据,给出身份的 真实性或属性判断.

◆  按认证凭据的类型数量,认证可以分成:单因素认证、双因素认证、多因素认证.

◆ 根据认证依据所利用的时间长度,认证可分成:一次性口令 、持续认证.

▶ 一次性口令:简称 OTP,用千保护口令安全,防止口令重用攻击。 OTP 常见的认证实例如使用短消息验证码.
  
▶ 持续认证:指连续提供身份确认,其技术原理是对用户整个会话过程中的特征行为进行连续地监测,不间断地验证用户所具有的特性;
 
持续认证所使用的 鉴定因素 主要是:认知因素,物理因素、上下文因素;

认证类型与认证过程:

(1)单向认证:

◆  单向认证是指在认证过程中,验证者对声称者进行单方面的鉴别,而声称者不需要识别验
证者的身份.

◆  实现单向认证的技术方法有两种基于共享秘密,基于挑战响应.


(2)双向认证:

◆  双向认证是指在认证过程中 验证者对声称者进行单方面的鉴别,同时,声称者也对验证 者的身份进行确认,参与认证的实体双方互为验证者.

(3)第三方认证:

◆  第三方认证:两个实体在鉴别过程中 通过可信的第三方来实现。第三方与每个认证的实体共享秘密,实体 A 和 实体 B 分别与它共享秘密密钥 KPA KPB 。当实体 A 发起认证请求时,实体 A 向可信第三方申请获取实体 A 和实体 B 的密钥 KAB, 然后实体 A 和实体 B 使用 KAB 加密保护双方的认证消息。


认证技术方法:

(1)口令认证技术:

◆  口令认证:基于用户所知道的秘密 而进行的认证技术,是网络常见的身份认证方法.
   
◆  口令认证:一般要求参与认证的双方按照事先约定的规则,用户发起服务请求,然后用户被要求向服务实体提供用户标识用户口令,服务实体验证其正确性,若验证通过,则允许用户访问。
  
◆  口令认证的优点简单,易千实现。当用户要访问系统时,要求用户输入“用户名 和 口令
 
◆  口令认证的不足容易受到攻击,主要攻击方式有窃听、重放、中间人攻击、口令猜测等。因此,要实现口令认证的安全,应至少满足以下条件:
  
▶  口令信息要安全加密存储
  
▶  口令信息要安全传输
   
▶  口令认证协议要抵抗攻击,符合安全协议设计要求;
   
▶  口令选择要求做到避免弱口令

(2)智能卡技术:

◆  智能卡是一种带有存储器和微处理器的集成电路卡,能够安全存储认证信息,并具有一定的计算能力
  
◆  在挑战/响应认证中,用户会提供一张智能卡,智能卡会一直显示一个随时间而变化的数字

(3)基千生物特征认证技术:

◆  利用 口令进行认证的方法的缺陷是口令信息容易泄露,而智能卡又可能丢失或被伪造。基于生物特征认证就是 利用人类生物特征来进行验证。目前,指纹、人脸、视网膜、语音等生物特征信息可用来进行身份认证。

(4)Kerberos 认证技术:

◆  Kerberos 是一个网络认证协议,其目标是使用密钥加密为客户端/服务器应用程序提供强
身份认证。
 
◆  技术原理:是利用对称密码技术(DES)
◆  使用可信的第三方来为应用服务器提供认证服务,并在用户和服务器之间建立安全信道。
  
一个 Kerberos 系统涉及 四个基本实体
 
▶ Kerberos 客户机,用户用来访问服务器设备;
  
▶ AS (认证服务器) ,识别用户身份并提供 TGS 会话密钥;
  
▶ TGS ( 票据发放服务器),为申请服务的用户授予票据;
  
▶ 应用服务器 ,为用户提供服务的设备或系统;
◆  Kerberos 协议中要求用户经过 AS  TGS 两重认证的优点主要有两点
   
▶ 可以显著减少用户密钥的密文的暴露次数,这样就可以减少攻击者对有关用户密钥的密文的积累。
    
▶ Kerberos 认证过程具有单点登录的优点,只要用户拿到了 TGT 并且该 TGT 没有过期,那么用户就可以使用该 TGT 通过 TGS 完成到任一服务器的认证过程而认证技术原理与应用不必重新输入密码。
  
◆  Kerberos 也存在不足之处。 Kerberos 认证系统要求解决主机节点 时间同步问题 和 抵御拒绝服务攻击。

(5)公钥基础设施 (PKI) 技术:

◆ 公钥密码体制不仅能够实现加密服务,而且也能提供识别和认证服务。除了保密性之外,公钥密码可信分发也是其所面临的问题,即公钥的真实性和所有权问题。针对该问题,人们采用“公钥证书”的方法来解决,类似身份证、护照。
  
◆ 公钥证书:将实体和一个公钥绑定,并让其他的实体能够验证这种绑定关系。为此,需要一个可信第三方来担保实体的身份,这个第三方称为认证机构,简称 CA (Certification Authority) CA 负责颁发证书,证书中含有实体名、公钥以及实体的其他身份信息
  
◆ PKI (Public Key Infrastructure) 就是有关创建、 管理、存储、分发和撤销公钥证书所需要的硬件、软件、人员、策略和过程的安全服务设施。PKI 提供了一种系统化的、可扩展的、统一的、容易控制的公钥分发方法。
  
◆ 基于 PKI 的主要安全服务有身份认证、完整性保护、数字签名、会话加密管理、密钥恢复。一般来说, PKI 涉及多个实体之间的协商和操作,主要实体包括 CA,RA 、终端实体 、客户端、目录服务器.

◆ PKI 各实体的功能分别叙述如下:
▶ CA (证书授权机构):主要进行证书的颁发、废止和更新; 认证机构负责签发、管理和撤销一组终端用户的证书。
  
▶ RA (证书登记权威机构):将公钥和对应的证书持有者的身份及其他属性联系起来,进行注册和担保; RA 可以充当 CA 和它的终端用户之间的中间实体,辅助 CA 完成其他绝大部分的证书处理功能。
  
▶ 目录服务器: CA 通常使用一个目录服务器,提供证书管理和分发的服务
  
▶ 终端实体 :指需要认证的对象, 例如:服务器,打印机,用户等。
  
▶ 客户端 :指需要基于 PKI 安全服务的使用者,包括用户、服务进程等。

(6)单点登录:

◆ 单点登录:指用户访问使用不同的系统时,只需要进行一次身份认证,就可以根据这次登录的认证身份访问授权资源

(7)基千人机识别认证技术:

◆ 基于人机识别认证利用计算机求解问题的困难性以区分计算机和人的操作,防止计算机程序恶意操作,如恶意注册、暴力猜解口令等。

(8)多因素认证技术:

◆ 多因素认证技术使用多种鉴别信息进行组合,以提升认证的安全强度。

(9)基千行为的身份鉴别技术:

◆ 基于行为的身份鉴别是根据用户行为和风险大小而进行的身份鉴别技术。通过分析用户的基本信息,获取用户个体画像,进而动态监控用户状态以判定用户身份,防止假冒用户登录或者关键操作失误。

(10)快速在线认证 (FIDO):

◆ FIDO 使用标准公钥加密技术来提供强身份验证。 FIDO 的设计目标是保护用户隐私,不提供跟踪用户的信息,用户生物识别信息不离开用户的设备。
  
▶ 登记注册:用户创建新的公私钥密钥对。其中,私钥保留在用户端设备中只将公钥注册到在线服务。公钥将发送到在线服务并与用户账户关联。私钥和有关本地身份验证方法的任何信息(如生物识别测量或模板)永远不会离开本地设备。
   
▶ 登录使用:当用户使用 FIDO 进行登录在线服务的时候,在线服务提示要求用户使用以前注册的设备登录。

认证主要产品与技术指标:

(1)认证主要产品:

◆ 认证技术主要产品类型包括:系统安全增强、生物认证、电子认证服务、网络准入控制和身份认证网关五类
  
▶  系统安全增强: 系统安全增强产品的技术特点是利用多因素认证技术增强操作系统、数据库系统、网站等 的认证安全强度。采用的多因素认证技术通常是U 盘+口令、智能卡+口令、生物信息+口令等。产品应用场景有U盘登录计算机、网银U盾认证、指纹登录计算机/网站/邮箱等。
   
▶  生物认证: 生物认证产品的技术特点是利用指纹、人脸、语音等生物信息对人的身份进行鉴别。目前 市场上的产品有人证核验智能终端、指纹 盘、人脸识别门禁、指纹采集仪、指纹比对引擎、
人脸自动识别平台。
  
▶  电子认证服务: 电子认证服务产品的技术特点是电子认证服务机构采用 PKI 技术、密码算法等提供数字证 书申请、颁发、存档、查询、废止等服务,以及基千数字证书为电子活动提供可信身份、可信 时间和可信行为综合服务。
   
▶  网络准入控制: 网络准入控制产品的技术特点是采用基千 802.lX 协议、 Radius 协议、 VPN 等的身份验证相关技术,与网络交换机、路由器、安全网关等设备联动,对入网设备(如主机、移动 PC智能手机等)进行身份认证和安全合规性验证,防范非安全设备接入内部网络。
  
▶  身份认证网关: 身份认证网关产品的技术特点是利用数字证书、数据同步、网络服务重定向等技术,提供集中、统一的认证服务,形成身份认证中心,具有单点登录、安全审计等安全服务功能。

(2)主要技术指标:

◆ 认证技术产品的评价指标可以分成三类,即安全功能要求性能要求和安全保障要求。认证技术产品的主要技术指标如下:
▶ 密码算法支持:认证技术主要依赖于密码技术,因此,认证产品中的密码算法是安全性的重要因素。常见的密码算法类型有 DES / 3DES,AES,SHA-1,RSA,SM1/SM2/SM3/SM4;
  
▶ 认证准确性:认证产品的认假率、拒真率;
  
▶ 用户支持数量:认证产品最大承载的用户数噩;
  
▶ 安全保障级别:认证产品的安全保障措施、安全可靠程度、抵抗攻击能力等;

认证技术应用:

◆ 认证技术是网络安全保障的基础性技术,普遍应用于网络信息系统保护。认证技术常见的应用场景如下:
   
▶ 用户身份验证:验证网络资源的访问者的身份,给网络系统访问授权提供支持服务。
  
▶ 信息来源证实:验证网络信息的发送者和接收者的真实性,防止假冒。
  
▶ 信息安全保护:通过认证技术保护网络信息的机密性、完整性,防止泄密、篡改、重放或延迟。
 
学习书籍:信息安全工程师教程... 

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:http://www.rhkb.cn/news/80940.html

如若内容造成侵权/违法违规/事实不符,请联系长河编程网进行投诉反馈email:809451989@qq.com,一经查实,立即删除!

相关文章

如何使用Word转PDF转换器在线工具?在线Word转PDF使用方法

Word转PDF转换器在线,是一种方便快捷的工具,可帮助您在不需要下载任何软件的情况下完成此任务。无论您是需要在工作中共享文档,还是将文件以PDF格式保存以确保格式不变,都可以依靠这款在线工具轻松完成转换。那么如何使用Word转PD…

QGIS二次开发三:显示Shapefile

Shapefile 为 OGR 所支持的最重要的数据格式之一&#xff0c;自然可以被 QGIS 加载。那么该如何显示Shapefile呢&#xff1f; 一、先上代码 #include <qgsapplication.h> #include <qgsproviderregistry.h> #include <qgsmapcanvas.h> #include <qgsvec…

【Spring】Bean的作用域和生命周期

目录 一、引入案例来探讨Bean的作用域 二、Bean的作用域 2.1、Bean的6种作用域 2.2、设置Bean的作用域 三、Spring的执行流程 四、Bean的声明周期 1、生命周期演示 一、引入案例来探讨Bean的作用域 首先我们创建一个User类&#xff0c;定义一个用户信息&#xff0c;在定义…

fabric.js里toDataURL后,画布内容展示不全?

复现场景&#xff1a; 用fabric生成画布后&#xff0c;转成图片&#xff0c;然后直接在浏览器里打开&#xff0c;画布展示内容缺失 画布原图&#xff1a; toDataURL后链接在浏览器打开&#xff1a; 原因解析&#xff1a; base64链接太长&#xff0c;输入浏览器链接被截断&…

尚品汇总结九:RabbitMQ在项目的应用(面试专用)

项目中的问题 1.搜索与商品服务的问题 商品服务修改了 商品的上架状态,商品就可以被搜索到.采用消息通知,商品服务修改完商品上架状态,发送消息 给 搜索服务,搜索服务消费消息,进行商品数据ES保存.下架也是一样. 2.订单服务取消订单问题 延迟队里 保存订单之后 开始计时,…

参考RabbitMQ实现一个消息队列

文章目录 前言小小消息管家1.项目介绍2. 需求分析2.1 API2.2 消息应答2.3 网络通信协议设计 3. 开发环境4. 项目结构介绍4.1 配置信息 5. 项目演示 前言 消息队列的本质就是阻塞队列&#xff0c;它的最大用途就是用来实现生产者消费者模型&#xff0c;从而实现解耦合以及削峰填…

如何将视频转成gif图?视频怎么转gif高清图片?

在看电视或是短视频的时候&#xff0c;总能发现一些有趣的片段&#xff0c;当想把这些视频转gif图片发送给朋友的时候该怎么处理呢&#xff1f;其实可以试试专业的视频转gif工具&#xff0c;本文介绍一个视频在线转gif的方法&#xff0c;一起来了解一下吧。 打开首页&#xff…

重发布选路问题

一、思路 &#xff1b; 1.增加不优选路开销解决选路不佳问题 2.用增加开销的方式使R1 不将ASBR传的R7传给另一台ASBR解决R1、R2、R3、R4pingR7环回环路 二、操作 ------IP地址配置如图 1.解决环路 [r2] ip ip-prefix a permit 7.7.7.0 24 [r2]route-policy huawei per…

c++ boost circular_buffer

boost库中的 circular_buffer顾名思义是一个循环缓冲器&#xff0c;其 capcity是固定的当容量满了以后&#xff0c;插入一个元素时&#xff0c;会在容器的开头或结尾处删除一个元素。 circular_buffer为了效率考虑&#xff0c;使用了连续内存块保存元素 使用固定内存&#x…

The Sandbox 与 D.OASIS 联手打造 D.OASIS 城市

我们非常高兴地宣布与 D.OASIS 建立合作伙伴关系&#xff0c;共同打造无与伦比的娱乐体验&#xff1a;The Sandbox 中的 D.OASIS 城市&#xff01; 作为合作的一部分&#xff0c;The Sandbox 和D.OASIS将共同打造 D.OASIS 城市&#xff0c;一座充满无限可能的大都市&#xff0…

CSS基础介绍笔记1

官方文档 CSS指的是层叠样式&#xff08;Cascading Style Sheets&#xff09;地址&#xff1a;CSS 教程离线文档&#xff1a;放大放小&#xff1a;ctrl鼠标滚动为什么需要css&#xff1a;简化修改HTML元素的样式&#xff1b;将html页面的内容与样式分离提高web开发的工作效率&…

Grafana 曲线图报错“parse_exception: Encountered...”

问题现象 配置的Grafana图报错如下&#xff1a; 原因分析 点开报错&#xff0c;可以看到报错详细信息&#xff0c;是查询语句的语法出现了异常。 变量pool的取值为None 解决方案 需要修改变量pool的查询SQL&#xff0c;修改效果如下&#xff1a; 修改后&#x…

华为OD机试(含B卷)真题2023 算法分类版,58道20个算法分类,如果距离机考时间不多了,就看这个吧,稳稳的

目录 一、数据结构1、线性表2、优先队列3、滑动窗口4、二叉树5、并查集6、栈 二、算法1、基础算法2、字符串3、图4、动态规划5、数学 三、漫画算法2&#xff1a;小灰的算法进阶参与方式 很多小伙伴问我&#xff0c;华为OD机试算法题太多了&#xff0c;知识点繁杂&#xff0c;如…

机器学习中的工作流机制

机器学习中的工作流机制 在项目开发的时候&#xff0c;经常需要我们选择使用哪一种模型。同样的数据&#xff0c;可能决策树效果不错&#xff0c;朴素贝叶斯也不错&#xff0c;SVM也挺好。有没有一种方法能够让我们用一份数据&#xff0c;同时训练多个模型&#xff0c;并用某种…

Java源码-Context源码解析

您好&#xff0c;我们来一起了解一下Java源码中的Context源码解析。 Context是Android中的一个重要的概念&#xff0c;在Android开发中可以用来获取应用程序的各种信息&#xff0c;如Activity、Service、Application等等。在Android中&#xff0c;Context是一个抽象类&#xf…

Apache+Tomcat 整合

目录 方式一&#xff1a;JK 1、下载安装包 2、添加依赖 3、启动服务&#xff0c;检查端口是否监听 4、提供apxs命令 5、检查是否确实依赖 6、编译安装 7、重要配置文件 方式二&#xff1a;http_proxy 方式三&#xff1a;ajp_proxy 方式一&#xff1a;JK 1、下载安装…

【大数据】Flink 详解(二):核心篇 Ⅰ

Flink 详解&#xff08;二&#xff09;&#xff1a;核心篇 Ⅰ 14、Flink 的四大基石是什么&#xff1f; ​ Flink 的四大基石分别是&#xff1a; Checkpoint&#xff08;检查点&#xff09;State&#xff08;状态&#xff09;Time&#xff08;时间&#xff09;Window&#xff…

Java、Android 之 TCP / IP

TCP、IP是一系列协议组成的网络分层模型 客户端向服务端发送请求可能会走N条链路&#xff0c;这个过程叫路由 TCP传输 一般在1--1024端口 必须连接以后才能传输数据 UDP协议通常只是发送数据 TCP连接 TCP需要建立连接才能通信&#xff0c;建立连接需要端口&#xff0c;Sock…

20.4 HTML 表单

1. form表单 <form>标签: 用于创建一个表单, 通过表单, 用户可以向网站提交数据. 表单可以包含文本输入字段, 复选框, 单选按钮, 下拉列表, 提交按钮等等. 当用户提交表单时, 表单数据会发送到服务器进行处理.action属性: 应指向一个能够处理表单数据的服务器端脚本或UR…

Zabbix监控系统

目录 一、zabbix简介 1.1 zabbix 是什么&#xff1f; 1.2 zabbix 监控原理 二、安装zabbix 5.0 2.1 部署 zabbix 服务端 2.2 部署 zabbix 客户端 2.3 自定义监控内容 作为一个云计算行业从业人员&#xff0c;需要会使用监控系统查看服务器状态以及网站流量指标&#xff…