信息安全：认证技术原理与应用._认证技术的应用-程序员宅基地

技术标签：安全 web安全网络信息安全工程师领域. 网络空间安全基础领域. # 信息安全设备应用技术领域. 网络安全

信息安全：认证技术原理与应用.

认证机制是网络安全的基础性保护措施，是实施访问控制的前提，认证是一个实体向另外一个实体证明其所声称的身份的过程。在认证过程中，需要被证实的实体是声称者，负责检查确认声称者的实体是验证者。

认证一般由标识 (Identification) 和鉴别 (Authentication) 两部分组成。

标识：用来代表实体对象（如人员、设备、数据、服务、应用）的身份标志，确保实体的唯一性和可辨识性，同时与实体存在强关联。标识般用名称和标识符 (ID) 来表示。

鉴别：一般是利用口令、电子签名、数字证书、令牌、生物特征、行为表现等相关数字化凭证对实体所声称的属性进行识别验证的过程。

认证概述：

（1）认证依据：

◆ 所知道的秘密信息：实体（声称者）所掌握的秘密信息，如用户口令、验证码等。

◆ 所拥有的实物凭证：实体（声称者）所持有的不可伪造的物理设备，如智能卡、U盾等。

◆ 所具有的生物特征：实体（声称者）所具有的生物特征，如指纹、声音、虹膜、人脸等。

◆ 所表现的行为特征：实体（声称者）所表现的行为特征，如鼠标使用习惯、键盘敲键力度、地理位置等。

（2）认证原理：

◆ 认证机制：验证对象、认证协议、鉴别实体构成.

◆ 验证对象：需要鉴别的实体（声称者）
◆ 认证协议：验证对象和鉴别实体（验证者）之间进行认证信息交换所遵从的规则 .
◆ 鉴别实体：根据验证对象所提供的认证依据，给出身份的真实性或属性判断.

◆ 按认证凭据的类型数量，认证可以分成：单因素认证、双因素认证、多因素认证.

◆ 根据认证依据所利用的时间长度，认证可分成：一次性口令、持续认证.

一次性口令：简称 OTP，用于保护口令安全，防止口令重用攻击。 OTP 常见的认证实例如使用短消息验证码.

持续认证：指连续提供身份确认，其技术原理是对用户整个会话过程中的特征行为进行连续地监测，不间断地验证用户所具有的特性；

持续认证所使用的鉴定因素主要是：认知因素，物理因素、上下文因素；

认证类型与认证过程：

（1）单向认证：

◆ 单向认证是指在认证过程中，验证者对声称者进行单方面的鉴别，而声称者不需要识别验

证者的身份.

◆ 实现单向认证的技术方法有两种：基于共享秘密，基于挑战响应.

（2）双向认证：

◆ 双向认证是指在认证过程中验证者对声称者进行单方面的鉴别，同时，声称者也对验证 者的身份进行确认，参与认证的实体双方互为验证者.

（3）第三方认证：

◆ 第三方认证：两个实体在鉴别过程中通过可信的第三方来实现。第三方与每个认证的实体共享秘密，实体 A 和实体 B 分别与它共享秘密密钥 KPA KPB 。当实体 A 发起认证请求时，实体 A 向可信第三方申请获取实体 A 和实体 B 的密钥 KAB, 然后实体 A 和实体 B 使用 KAB 加密保护双方的认证消息。

认证技术方法：

（1）口令认证技术：

◆ 口令认证：基于用户所知道的秘密而进行的认证技术，是网络常见的身份认证方法.

◆ 口令认证：一般要求参与认证的双方按照事先约定的规则，用户发起服务请求，然后用户被要求向服务实体提供用户标识和用户口令，服务实体验证其正确性，若验证通过，则允许用户访问。

◆ 口令认证的优点：简单，易于实现。当用户要访问系统时，要求用户输入“用户名和口令”

◆ 口令认证的不足：容易受到攻击，主要攻击方式有窃听、重放、中间人攻击、口令猜测等。因此，要实现口令认证的安全，应至少满足以下条件：

口令信息要安全加密存储；

口令信息要安全传输；

口令认证协议要抵抗攻击，符合安全协议设计要求；

口令选择要求做到避免弱口令；

（2）智能卡技术：

◆ 智能卡是一种带有存储器和微处理器的集成电路卡，能够安全存储认证信息，并具有一定的计算能力。

◆ 在挑战／响应认证中，用户会提供一张智能卡，智能卡会一直显示一个随时间而变化的数字。

（3）基于生物特征认证技术：

◆ 利用口令进行认证的方法的缺陷是口令信息容易泄露，而智能卡又可能丢失或被伪造。基于生物特征认证就是利用人类生物特征来进行验证。目前，指纹、人脸、视网膜、语音等生物特征信息可用来进行身份认证。

（4）Kerberos 认证技术：

◆ Kerberos 是一个网络认证协议，其目标是使用密钥加密为客户端／服务器应用程序提供强

身份认证。

◆ 技术原理：是利用对称密码技术（DES）

◆ 使用可信的第三方来为应用服务器提供认证服务，并在用户和服务器之间建立安全信道。

一个 Kerberos 系统涉及四个基本实体：

Kerberos 客户机，用户用来访问服务器设备；

AS (认证服务器），识别用户身份并提供 TGS 会话密钥；

TGS ( 票据发放服务器），为申请服务的用户授予票据；

应用服务器，为用户提供服务的设备或系统；

◆ Kerberos 协议中要求用户经过 AS 和 TGS 两重认证的优点主要有两点。

可以显著减少用户密钥的密文的暴露次数，这样就可以减少攻击者对有关用户密钥的密文的积累。

Kerberos 认证过程具有单点登录的优点，只要用户拿到了 TGT 并且该 TGT 没有过期，那么用户就可以使用该 TGT 通过 TGS 完成到任一服务器的认证过程而认证技术原理与应用不必重新输入密码。

◆ Kerberos 也存在不足之处。 Kerberos 认证系统要求解决主机节点时间同步问题和抵御拒绝服务攻击。

（5）公钥基础设施 (PKI) 技术：

◆ 公钥密码体制不仅能够实现加密服务，而且也能提供识别和认证服务。除了保密性之外，公钥密码可信分发也是其所面临的问题，即公钥的真实性和所有权问题。针对该问题，人们采用“公钥证书”的方法来解决，类似身份证、护照。

◆ 公钥证书：将实体和一个公钥绑定，并让其他的实体能够验证这种绑定关系。为此，需要一个可信第三方来担保实体的身份，这个第三方称为认证机构，简称 CA (Certification Authority) CA 负责颁发证书，证书中含有实体名、公钥以及实体的其他身份信息。

◆ PKI (Public Key Infrastructure) 就是有关创建、管理、存储、分发和撤销公钥证书所需要的硬件、软件、人员、策略和过程的安全服务设施。PKI 提供了一种系统化的、可扩展的、统一的、容易控制的公钥分发方法。

◆ 基于 PKI 的主要安全服务有身份认证、完整性保护、数字签名、会话加密管理、密钥恢复。一般来说， PKI 涉及多个实体之间的协商和操作，主要实体包括 CA，RA 、终端实体、客户端、目录服务器.

◆ PKI 各实体的功能分别叙述如下：

CA （证书授权机构）：主要进行证书的颁发、废止和更新；认证机构负责签发、管理和撤销一组终端用户的证书。

RA （证书登记权威机构）：将公钥和对应的证书持有者的身份及其他属性联系起来，进行注册和担保； RA 可以充当 CA 和它的终端用户之间的中间实体，辅助 CA 完成其他绝大部分的证书处理功能。

目录服务器： CA 通常使用一个目录服务器，提供证书管理和分发的服务。

终端实体：指需要认证的对象，例如：服务器，打印机，用户等。

客户端：指需要基于 PKI 安全服务的使用者，包括用户、服务进程等。

（6）单点登录：

◆ 单点登录：指用户访问使用不同的系统时，只需要进行一次身份认证，就可以根据这次登录的认证身份访问授权资源。

（7）基于人机识别认证技术：

◆ 基于人机识别认证利用计算机求解问题的困难性以区分计算机和人的操作，防止计算机程序恶意操作，如恶意注册、暴力猜解口令等。

（8）多因素认证技术：

◆ 多因素认证技术使用多种鉴别信息进行组合，以提升认证的安全强度。

（9）基于行为的身份鉴别技术：

◆ 基于行为的身份鉴别是根据用户行为和风险大小而进行的身份鉴别技术。通过分析用户的基本信息，获取用户个体画像，进而动态监控用户状态以判定用户身份，防止假冒用户登录或者关键操作失误。

（10）快速在线认证 (FIDO)：

◆ FIDO 使用标准公钥加密技术来提供强身份验证。 FIDO 的设计目标是保护用户隐私，不提供跟踪用户的信息，用户生物识别信息不离开用户的设备。

登记注册：用户创建新的公私钥密钥对。其中，私钥保留在用户端设备中，只将公钥注册到在线服务。公钥将发送到在线服务并与用户账户关联。私钥和有关本地身份验证方法的任何信息（如生物识别测量或模板）永远不会离开本地设备。

登录使用：当用户使用 FIDO 进行登录在线服务的时候，在线服务提示要求用户使用以前注册的设备登录。

认证主要产品与技术指标：

（1）认证主要产品：

◆ 认证技术主要产品类型包括：系统安全增强、生物认证、电子认证服务、网络准入控制和身份认证网关五类。

系统安全增强：系统安全增强产品的技术特点是利用多因素认证技术增强操作系统、数据库系统、网站等的认证安全强度。采用的多因素认证技术通常是U 盘＋口令、智能卡＋口令、生物信息＋口令等。产品应用场景有U盘登录计算机、网银U盾认证、指纹登录计算机／网站／邮箱等。

生物认证：生物认证产品的技术特点是利用指纹、人脸、语音等生物信息对人的身份进行鉴别。目前市场上的产品有人证核验智能终端、指纹盘、人脸识别门禁、指纹采集仪、指纹比对引擎、

人脸自动识别平台。

电子认证服务：电子认证服务产品的技术特点是电子认证服务机构采用 PKI 技术、密码算法等提供数字证书申请、颁发、存档、查询、废止等服务，以及基于数字证书为电子活动提供可信身份、可信时间和可信行为综合服务。

网络准入控制：网络准入控制产品的技术特点是采用基于 802.lX 协议、 Radius 协议、 VPN 等的身份验证相关技术，与网络交换机、路由器、安全网关等设备联动，对入网设备（如主机、移动 PC智能手机等）进行身份认证和安全合规性验证，防范非安全设备接入内部网络。

身份认证网关：身份认证网关产品的技术特点是利用数字证书、数据同步、网络服务重定向等技术，提供集中、统一的认证服务，形成身份认证中心，具有单点登录、安全审计等安全服务功能。

（2）主要技术指标：

◆ 认证技术产品的评价指标可以分成三类，即安全功能要求、性能要求和安全保障要求。认证技术产品的主要技术指标如下：

密码算法支持：认证技术主要依赖于密码技术，因此，认证产品中的密码算法是安全性的重要因素。常见的密码算法类型有 DES / 3DES，AES，SHA-1，RSA，SM1/SM2/SM3/SM4；

认证准确性：认证产品的认假率、拒真率；

用户支持数量：认证产品最大承载的用户数噩；

安全保障级别：认证产品的安全保障措施、安全可靠程度、抵抗攻击能力等；

认证技术应用：

◆ 认证技术是网络安全保障的基础性技术，普遍应用于网络信息系统保护。认证技术常见的应用场景如下：

用户身份验证：验证网络资源的访问者的身份，给网络系统访问授权提供支持服务。

信息来源证实：验证网络信息的发送者和接收者的真实性，防止假冒。

信息安全保护：通过认证技术保护网络信息的机密性、完整性，防止泄密、篡改、重放或延迟。

学习书籍：信息安全工程师教程...

本文链接：https://blog.csdn.net/weixin_54977781/article/details/132160199

原作者删帖不实内容删帖广告或垃圾文章投诉

智能推荐

874计算机科学基础综合,2018年四川大学874计算机科学专业基础综合之计算机操作系统考研仿真模拟五套题...-程序员宅基地

文章浏览阅读1.1k次。一、选择题1．串行接口是指( )。A. 接口与系统总线之间串行传送，接口与I/0设备之间串行传送B. 接口与系统总线之间串行传送，接口与1/0设备之间并行传送C. 接口与系统总线之间并行传送，接口与I/0设备之间串行传送D. 接口与系统总线之间并行传送，接口与I/0设备之间并行传送【答案】C2．最容易造成很多小碎片的可变分区分配算法是( )。A. 首次适应算法B. 最佳适应算法..._874 计算机科学专业基础综合题型

XShell连接失败：Could not connect to '192.168.191.128' (port 22): Connection failed._could not connect to '192.168.17.128' (port 22): c-程序员宅基地

文章浏览阅读9.7k次，点赞5次，收藏15次。连接xshell失败，报错如下图，怎么解决呢。1、通过ps -e|grep ssh命令判断是否安装ssh服务2、如果只有客户端安装了，服务器没有安装，则需要安装ssh服务器，命令：apt-get install openssh-server3、安装成功之后，启动ssh服务，命令：/etc/init.d/ssh start4、通过ps -e|grep ssh命令再次判断是否正确启动..._could not connect to '192.168.17.128' (port 22): connection failed.

杰理之KeyPage【篇】_杰理空白芯片烧入key文件-程序员宅基地

文章浏览阅读209次。00000000_杰理空白芯片烧入key文件

一文读懂ChatGPT，满足你对chatGPT的好奇心_引发对chatgpt兴趣的表述-程序员宅基地

文章浏览阅读475次。2023年初，“ChatGPT”一词在社交媒体上引起了热议，人们纷纷探讨它的本质和对社会的影响。就连央视新闻也对此进行了报道。作为新传专业的前沿人士，我们当然不能忽视这一热点。本文将全面解析ChatGPT，打开“技术黑箱”，探讨它对新闻与传播领域的影响。_引发对chatgpt兴趣的表述

中文字符频率统计python_用Python数据分析方法进行汉字声调频率统计分析-程序员宅基地

文章浏览阅读259次。用Python数据分析方法进行汉字声调频率统计分析木合塔尔·沙地克;布合力齐姑丽·瓦斯力【期刊名称】《电脑知识与技术》【年(卷),期】2017(013)035【摘要】该文首先用Python程序,自动获取基本汉字字符集中的所有汉字,然后用汉字拼音转换工具pypinyin把所有汉字转换成拼音,最后根据所有汉字的拼音声调,统计并可视化拼音声调的占比.【总页数】2页(13-14)【关键词】数据分析;数据可..._汉字声调频率统计

linux输出信息调试信息重定向-程序员宅基地

文章浏览阅读64次。最近在做一个android系统移植的项目，所使用的开发板com1是调试串口，就是说会有uboot和kernel的调试信息打印在com1上（ttySAC0）。因为后期要使用ttySAC0作为上层应用通信串口，所以要把所有的调试信息都给去掉。参考网上的几篇文章，自己做了如下修改，终于把调试信息重定向到ttySAC1上了，在这做下记录。参考文章有：http://blog.csdn.net/longt..._嵌入式rootfs 输出重定向到/dev/console

随便推点

uniapp 引入iconfont图标库彩色symbol教程_uniapp symbol图标-程序员宅基地

文章浏览阅读1.2k次，点赞4次，收藏12次。1，先去iconfont登录，然后选择图标加入购物车 2，点击又上角车车添加进入项目我的项目中就会出现选择的图标 3，点击下载至本地，然后解压文件夹，然后切换到uniapp打开终端运行注：要保证自己电脑有安装node(没有安装node可以去官网下载Node.js 中文网)npm i -g iconfont-tools（mac用户失败的话在前面加个sudo，password就是自己的开机密码吧）4,终端切换到上面解压的文件夹里面，运行iconfont-tools 这些可以默认也可以自己命名（我是自己命名的_uniapp symbol图标

C、C++ 对于char和char[]的理解_c++ char-程序员宅基地

文章浏览阅读1.2w次，点赞25次，收藏192次。char*和char[]都是指针，指向第一个字符所在的地址，但char*是常量的指针，char[]是指针的常量_c++ char*

Sublime Text2 使用教程-程序员宅基地

文章浏览阅读930次。代码编辑器或者文本编辑器，对于程序员来说，就像剑与战士一样，谁都想拥有一把可以随心驾驭且锋利无比的宝剑，而每一位程序员，同样会去追求最适合自己的强大、灵活的编辑器，相信你和我一样，都不会例外。我用过的编辑器不少，真不少～但却没有哪款让我特别心仪的，直到我遇到了 Sublime Text 2 ！如果说“神器”是我能给予一款软件最高的评价，那么我很乐意为它封上这么一个称号。它小巧绿色且速度非

对10个整数进行按照从小到大的顺序排序用选择法和冒泡排序_对十个数进行大小排序java-程序员宅基地

文章浏览阅读4.1k次。一、选择法这是每一个数出来跟后面所有的进行比较。2.冒泡排序法，是两个相邻的进行对比。_对十个数进行大小排序java

物联网开发笔记——使用网络调试助手连接阿里云物联网平台（基于MQTT协议）_网络调试助手连接阿里云连不上-程序员宅基地

文章浏览阅读2.9k次。物联网开发笔记——使用网络调试助手连接阿里云物联网平台（基于MQTT协议）其实作者本意是使用4G模块来实现与阿里云物联网平台的连接过程，但是由于自己用的4G模块自身的限制，使得阿里云连接总是无法建立，已经联系客服返厂检修了，于是我在此使用网络调试助手来演示如何与阿里云物联网平台建立连接。一.准备工作1.MQTT协议说明文档（3.1.1版本）2.网络调试助手（可使用域名与服务器建立连接）PS：与阿里云建立连解释，最好使用域名来完成连接过程，而不是使用IP号。这里我跟阿里云的售后工程师咨询过，表示对应_网络调试助手连接阿里云连不上

＜＜＜零基础C++速成＞＞＞_无c语言基础c++期末速成-程序员宅基地

文章浏览阅读544次，点赞5次，收藏6次。运算符与表达式任何高级程序设计语言中，表达式都是最基本的组成部分，可以说C++中的大部分语句都是由表达式构成的。_无c语言基础c++期末速成