信息安全工程师知识点：认证概述

1.认证概念

认证是一个实体向另一个实体证明其所有声称的身份的过程。

2.认证依据

认证依据也称为鉴别信息，通常指用于确认实体(声称者)身份的真实性或者其拥有的属性的凭证。目前，常见的认证依据主要有四类：

所知道的秘密信息

所拥有的实物凭证

所具有的生物特征

所表现的行为特征

2.2认证类型与认证过程

1.单向认证

单向认证是指在认证过程中，验证者对声称者进行单方面的鉴别，而声称者不需要识别验证者的身份。

2.双向认证

双向认证是指在认证过程中，验证者对声称者进行单方面的鉴别，同时，声称者也对验证者的身份进行确认。

3.第三方认证

第三方认证是指两个实体在鉴别过程中通过可信的第三方来实现。可信的第三方简称TTP。

2.3认证技术方法

口令认证技术

口令认证是基于用户所知道的秘密而进行的认证技术。

设用户A的标识为UA，口令为PA，服务方实体为B，则认证过程描述如下：

用户A发送消息(UA，PA)到服务方B。

B收到(UA，PA)消息后，检查UA 和PA的正确性。若正确，则通过用户A的认证。

B回复用户A验证结果消息。

要实现口令认证的安全，至少应满足以下条件：

●口令信息要安全加密存储;

●口令信息要安全传输;

●口令认证协议要抵抗攻击，符合安全协议设计要求;

●口令选择要求做到避免弱口令。

智能卡技术

智能卡是一种带有存储器和微处理器的集成电路卡，能够安全存储认证信息，并具有一定的计算能力。

挑战/响应认证示意图

Kerberos认证技术

一个Kerberos系统涉及四个基本实体：

Kerberos客户机，用户用来访问服务器设备;

AS，识别用户身份并提供TGS会话密钥;

TGS，为申请服务的用户授予票据;

应用服务器，为用户提供服务的设备或系统。

Kerberos工作流程示意图

Kerberos协议中要求用户经过AS和TGS两重认证的优点主要有两点：

可以显著减少用户密钥的密文的暴露次数，这样就可以减少攻击者对有关用户密钥的密文积累;

Kerberos认证过程具有单点登录的优点，只要用户拿到了TGT并且该TGT没有过期，那么用户就可以使用该TGT通过TGS完成到任一服务器的认证过程而不必重新输入密码。

但是，Kerberos也存在不足之处。Kerberos认证系统要求解决主机节点时间同步问题和抵御拒绝服务攻击。

公钥基础设施(PKI)技术

●签证机构CA

负责签发证书、管理和撤销证书

●注册机构RA

负责专门受理用户申请证书的机构

证书的签发

证书目录

证书的认证

证书的撤销

信任模型

其他认证技术

2.4认证主要产品与技术指标

1.认证主要产品

目前，认证技术主要产品类型包括系统安全增强、生物认证、电子认证服务、网络准入控制和身份认证网关5类。

2.主要技术指标

一般来说，认证技术产品的评价指标可以分成三类，即安全功能要求、性能要求和安全保障要求。认证技术产品的主要技术指标如下：

●密码算法支持

●认证准确性

●用户支持数量

●安全保障级别

2.5认证技术应用

认证技术是网络安全保障的基础性技术，普遍应用于网络信息系统保护。认证技术常见的应用场景如下：

●用户身份验证

●信息来源证实

●信息安全保护