导图社区 2020信息安全工程师(第二版)第六章:认证技术原理与应用
本章介绍了认证的概念以及认证依据,并按照认证特点把认证归为三类;然后讲述了常见的认证技术,最后举例说明了认证技术在实际中的应用。
本导图主要概括了网络信息安全的总体概述、体系架构、工作内容、思维的底层逻辑,可以构建学习者的思维框架,对网络安全知识体系有一个总体的认识,明白学习的方向。
本图从网络安全法、关键信息基础设施安全保护条例和保护要求标准的基础,全面概括出关键信息基础设施保护工作的主要内容,体系,为掌握关键信息基础设施奠定了基础,形成系统性认识。
这是一篇关于商用密码应用安全性评估的思维导图。本篇思维导图是按新实施的《密码法》主要介绍商用密码的概念、评估的内容和流程,明确密评的工作方案。
社区模板帮助中心,点此进入>>
互联网9大思维
安全教育的重要性
组织架构-单商户商城webAPP 思维导图。
个人日常活动安排思维导图
域控上线
西游记主要人物性格分析
17种头脑风暴法
python思维导图
css
CSS
第6章 认证技术原理与应用
6.1 认证概述
认证机制是网络安全的基础性保护措施,是实施访问控制的前提
6.1.1 认证概念
认证是一个实体向另一个实体证明其所称的身份的过程
认证一般有标识(Idestination2)和鉴别两部分组成
标识:代表实体对象(如人员、设备、数据、服务、应用)的身份标识,确保实体的唯一性和可辨识性,同时与实体存在强关联
鉴别:利用相关数字化凭证(口令、电子签名、数字证书、令牌、生物特征、行为表现等)对实体所声称的属性进行识别验证的过程。
需要被证实的实体是声称者
负责检查确认声称者的实体是验证者
鉴别一般是利用口令,电子签名,数字证书,令牌、生物特性,行为表现
6.1.2 认证依据
认证依据也称为鉴别信息,通常是指用于确认实体(声称者)身份的真实性或者其拥有属性的凭证
所知道 的秘密信息
(Something You Know):用户名、口令,验证码
所拥有的事物凭证
(Something You Have):智能卡、U盾
所具有的生物特征
指纹、声音、虹膜、人脸
所表现的行为特征
鼠标使用习惯、键盘击键力度、地理位置
6.1.3 认证原理
认证机制要素
验证对象
需要鉴别的实体(声称者)
认证协议
验证对象和鉴别实体之间进行认证信息交换所遵从的规则
鉴别实体
根据验证对象所提供的认证依据,给出身份的真实性或属性判断
按照要求提供的认证凭据的类型数量分类:
单因素认证
双因素认证
多因素认证
根据认证依据所利用的时间长短分类:
一次性口令(One Time Password)
持续认证(Continuous Authentication)
原理:对用户整个会话过程中的特征行为进行连续的监测,不间断地验证用户所具有的特性,其标志是将对事件的身份验证转变为对过程的身份验证,增强了认证机制的强度。
鉴定因素
认知因素(Cognitive Factors),眼手协调、行为模式、使用偏好、设备交互模式;
物理因素(Physiological Factors),按压力度、振动幅度;
上下文因素(Contextual Factors),事物、导航、设备、网络模式。
6.1.4 认证发展
认证机制是网络信息系统安全的基础,用于解决用户身份识别,服务平台真实性验证,信息及数据真实性与完整性保障等安全问题
6.2 认证类型与认证过程
认证类型
6.2.1 单项认证
在认证过程中,验证着对声称者进行单方面的鉴别,而声称者不需要识别验证者
基于共享秘密
基于挑战应答
6.2.2 双向认证
在认证过程中,验证着对声称者进行单方面的鉴别,同时,声称者需要识别验证者
6.2.3 第三方认证
两个实体的鉴别过程通过第三方来实现
6.3 认证技术方法
6.3.1 口令认证技术
不足
易受攻击。主要攻击包括窃听、重放、中间人、口令猜测等。
口令需满足:
口令信息要安全加密存储
口令信息要安全传输
口令认证协议要抵抗攻击,符合安全协议涉及要求
口令选择要求做到避免弱口令
6.3.2 智能卡技术
是一种带有存储器和微处理器的集成电路卡,能够安全存储认证信息,并具有一定的计算能力。智能卡广泛用来实现挑战/应答认证。
6.3.3 基于生物特征认证技术
利用人类生物特征来进行认证。指纹、人脸、视网膜、语音。
依据:
《信息安全技术 指纹识别系统技术要求》
《信息安全技术 基于可信环境的远程人脸识别认证认证系统技术要求》
《信息安全技术 虹膜识别系统技术要求》
6.3.4 Kerberos 认证技术
概念:希腊语“三头狗”,来源于MIT,是一个网络认证协议。目标是使用密钥加密为B/S应用程序提供强身份认证。其技术原理是利用对称密码技术,使用可信的第三方来为应用服务器提供认证服务,建立安全通道。
票据:Ticket 是用来安全的传递用户身份所需要的的信息的集合。包括客户方、目的服务方、客户方IP地址、时间戳、生存期、会话密钥登。
优点:减少用户密钥密文暴露次数;单点登录(SSO)
缺点:时间同步要求高
6.3.5 公钥技术设施PKI技术
公钥证书:将实体和一个公钥绑定,并让其他实体能够验证这种绑定关系
CA(Certification Authority):可信第三方担保实体的身份,颁发证书,证书中含有实体名、公钥、实体的其他身份信息
PKI(Public Key Infrastructure):有关创建、管理、存储、分发和撤销公钥证书所需要的硬件、软件、人员、策略和过程的安全服务设施。实体功能:
CA:证书授权机构。颁发、废止、更新
RA:证书登记权威机构。关联属性、注册担保,辅助CA
目录服务器:提供证书管理和分发的服务
终端实体:需要认证的对象
客户端:需要基于PKI安全服务的使用者
6.3.6 单点登陆
用户访问使用不同的系统时,只需要进行一次身份认证,就能够根据这次登陆的认证身份访问授权资源。
6.3.7 基于人机识别认证技术
6.3.9 基于行为的身份鉴别技术
根据用户行为和风险大小而进行的身份鉴别技术。
通过分析用户的基本信息,获取用户个体画像,进而动态监控用户状态以判定用户身份,防止假冒用户登录或者关键操作失误。
6.3.10 快速在线认证FIDO
Fast IDentity Online,使用标准公钥加密技术来提供强身份验证。
保护用户隐私,不提供跟踪用户的信息,用户生物识别信息不离开设备。
6.4 认证主要产品与技术指标
6.4.1 认证主要产品
系统安全增强。多因素认证
生物认证。指纹、人脸、语音
电子认证服务。PKI
网络准入控制。RADIUS协议、802.1X协议、设备
身份认证网关。
6.4.2 主要技术指标
密码算法支持
认证准确性:认假率、拒真率
用户支持数量
安全保障级别
6.5 认证技术指标
6.5.1 校园信任体系建设应用参考
6.5.2 网络路由认证应用参考
6.5.3 基于人脸识别机房门禁管理应用参考
6.5.4 eID身份验证用用参考
6.6 本章小结
本章首先介绍了认证的概念以及认证依据,并按照认证特点把认证归为三类;然后讲述了常见的认证技术,最后举例说明了认证技术在实际中的应用
