认证类型可以分为单向认证、双向认证以及第三方认证。
认证技术方法主要有口令认证技术、智能卡技术、基于生物特征认证技术、Kerberos技术等多种实现方式。
(1)口令认证是基于用户所知道的秘密而进行的技术,是网络常见的身份认证方法。网络设备、 *** 作系统和网络应用服务等都采用了口令认证。
(2)口令认证一般要求参与认证的双方按照事先约定的规则,用户发起服务请求,然后用户被要求向服务实体提供用户标识和用户口令,服务实体验证其正确性,若验证通过,则允许用户访问。
(3)口令认证的优点是简单、易于实现,当用户想要访问系统时,要求用户输入“用户名和口令”即可。
(4)口令认证的不足是容易受到攻击,主要的攻击方式有窃听、重放、中间人攻击、口令猜测等。因此,要实现口令认证的安全,应至少满足以下条件:
① 口令信息要安全加密存储;
② 口令信息要安全传输;
③ 口令协议要抵抗攻击,符合安全协议设计要求;
④ 口令选择要做到避免弱口令。
为了保证口令认证安全,网络服务提供商要求用户遵循口令生成安全策略,即口令设置要符合口令安全组成规则,同时对生成的口令进行安全强度评测,从而促使用户选择安全强度较高的口令。
智能卡是一种带有存储器和微处理器的集成电路卡,能够安全存储认证信息,并具有一定的计算能力。
通过智能卡来实现挑战/响应认证
在挑战/响应认证中,用户会提供一张智能卡,智能卡会一直显示一个随时间而变化的数字,假如用户视图登录目标系统,则系统首先将对用户进行认证,步骤如下:
(1)用户将自己的ID发到目标系统
(2)系统提示用户输入数字
(3)用户从智能卡上读取数字
(4)用户将数字发送给系统
(5)系统收到数字对ID进行确认,如果ID有效,系统会生成一个数字并将其显示给用户,称为挑战
(6)用户将上面的挑战输入到智能卡
(7)智能卡用这个输入的值根据一定算法计算出一个新的数字并提示这个结果,该数字称为应答
(8)用户将应答输入系统
(9)系统验证应答是否正确,如果正确,用户通过验证并登录进入系统
基于生物特征就是利用人类生物特征进行验证。目前,指纹、人脸、视网膜、语音等生物特征信息可用来进行人的生物认证,人的指纹与生俱来,并且一生不变。
一、定义
kerbors是一个网络认证协议,其目标是使用秘钥加密为客户端/服务器提供加强身份认证,其技术原理是利用对称加密密码技术,使用可信的第三方来为应用服务提供认证服务,并在用户和服务器之间建立安全信道。
二、一个kerbors系统设计基本实体:
(1)kerbors客户机,用户用来访问服务器设备
(2)AS(Authentcation Server,认证服务器),识别用户身份并提供TGS会话秘钥
(3)TGS(Ticket Granting Server,票据发放服务器),为申请服务的用户授予票据(Ticket)
(4)应用服务器,为用户提供服务的设备或系统
其中通常将AS和TGS统称为秘钥发放中心KDC(Key Distribution Center)。票据(ticket)是用于安全传递用户身份所需要的信息的集合,主要包括客户方Principal、客户方IP地址、时间戳(分发该Titcket的时间)、Ticket的生存期、以及会话秘钥等内容。
三、KerborsV5认证协议主要由六步构成
kerbors协议中要求用户经过AS和TGS两重认证的优点主要有以下两点:
(1)可以显著减少用户密钥的密文的暴露次数,这样就可以减少攻击者对有关用户的密钥的密文的积累
(2)kerbors认证过程中具有单点登录(Signle Sign On,SSO)的优点,只要用户拿到了TGT并且该TGT没有过期,那么用户就可以使用该TGT通过TGS完成到任一服务器的认证过程而不必输入密码。
四、缺点:
kerbors存在不足之处,kerbors认证系统要求解决主机时间节点同步问题和抵御拒绝服务攻击。
目前windos系统和Hadoop都支持kerbors认证。
PKI(Public Key Infrastructure )就是有创建、管理、存储、分发和撤销公钥证书所需要的硬件、软件、人员、策略和过程的安全服务设施。PKI提供了一种系统化的、可扩展的、统一的、容易控制的公钥分发方法。
基于PKI的主要安全服务有身份认证、完整性保护、数字签名 、会话加密管理、秘钥恢复。
PKI涉及多个实体之间的协商和 *** 作,主要实体包括CA、RA、终端实体、客户端、目录服务器。
PKI各实体的功能分别叙述如下:
CA(Certification Authority):证书授权机构,主要进行证书的颁发
RA(Registration Authority):证书登记权威机构
目录服务器:CA通常使用一个目录服务器, 提供证书管理和分发的服务
终端实体:指要认证的对象,例如服务器、打印机、Email地址、用户等
客户端:指需要基于PKI安全服务的使用者,包括用户、服务进程等
单点登录:是指用户访问使用不同的系统时,只需要进行一次身份认证,就可以根据这次登录的认证身份访问授权资源。单点登录解决了用户访问使用不同系统时,需输入不同系统的口令以及保管口令问题,简化了认证管理工作。
认证技术是网络安全保障的基础性技术,普遍应用于网络信息系统保护。认证技术常见的应用场景如下:
(1)用户身份验证:验证网络资源访问者的身份,给网络系统访问授权提供支持服务
(2)信息来源证实:验证网络信息的发送者和接收者的真实性,防止假冒
(3)信息安全保护:通过认证技术保护网络信息的机密性、完整性、防止泄密、篡改、重放或延迟。
TLS/SSL的功能实现主要依赖于三类基本算法:散列函数 Hash、对称加密和非对称加密,其利用非对称加密实现身份认证和密钥协商,对称加密算法采用协商的密钥对数据加密,基于散列函数验证信息的完整性。
解决上述身份验证问题的关键是确保获取的公钥途径是合法的,能够验证服务器的身份信息,为此需要引入权威的第三方机构CA。CA 负责核实公钥的拥有者的信息,并颁发认证"证书",同时能够为使用者提供证书验证服务,即PKI体系。
基本的原理为,CA负责审核信息,然后对关键信息利用私钥进行"签名",公开对应的公钥,客户端可以利用公钥验证签名。CA也可以吊销已经签发的证书,基本的方式包括两类 CRL 文件和 OCSP。CA使用具体的流程如下:
>
欢迎分享,转载请注明来源:内存溢出
欢迎分享,转载请注明来源:内存溢出
微信扫一扫
支付宝扫一扫
评论列表(0条)