身份鉴别

标识与鉴别

标识：标识是实体身份的一种计算机表达，每个实体与计算机内部一个身份表达绑定

鉴别：确认实体是它所生命的，提供了关于某个实体身份的保证，某一实体确信与之打交道的实体正是所需要的实体

作用：

·作为访问控制的一种必要支持，访问控制的执行依赖于确知的身份

·作为数据源认证的一种方法

·作为审计追踪的支持

鉴别的基本概念

·鉴别系统的构成

验证者、被验证者、可信赖者

·鉴别的类型

单向鉴别、双向鉴别、第三方鉴别

·鉴别的方式

基于实体所知（只是、密码、PIN码等）

基于实体所有（身份证、钥匙、智能卡、令牌等）

基于实体特征（指纹、笔迹、声音、视网膜等）

双因素，多因素认证

基于实体所知的鉴别

·使用最广泛的身份鉴别方法

实现简单，成本低廉

提供弱鉴别

·面临的威胁

暴力破解

木马窃取

线路窃听

重放攻击

……

暴力破解防护

·使用安全的密码

·系统、应用安全策略（账号锁定策略）

·随机验证码

变形

干扰

滑块

图像识别

……

木马窃取密码安全防护

·使用密码输入控件

安全的输入框，避免从输入框中还原密码

软键盘，对抗击键记录

随机排列字符，对抗屏幕截图重现

密码嗅探攻击安全防护

·加密：单向函数

·攻击者很容易构造一张q与p对应的表，表中尽可能包含所期望的值

解决办法：在口令总使用随机数

·一次性口令：每次鉴别中所使用的密码不同

有效应对密码嗅探击重放攻击

·实现机制

两端共同拥有一串随机口令，在该串的某一位置保持同步

两端共同使用一个随机序列生成器，在该序列生成器的初态保持同步

使用时间戳，两端维持同步时钟

·挑战机制

客户端：请求登录

服务器：给出随机数作为挑战请求

将登录信息（用户名、密码）与随机数合并，使用单向函数（如MD5）生成字符串作为应答返回给服务器

服务认证后返还结果

基于实体所有的鉴别方法

·采用较多的鉴别方法

·使用用户所持有的东西来验证用户的身份

·用于鉴别的东西通常不易复制

·鉴别物体

·IC卡（integrated circuit card）是将一个微电子芯片嵌入符合卡基，做成卡片形式的信息载体

·内存卡

·逻辑加密卡（安全卡）

·CPU卡

·特点

·难以复制、安全性高

·安全威胁及防护

·损坏

 封装应坚固耐用，承受日常使用中各种可能导致卡片损坏的行为

·复制

 保证IC卡中存储和处理的各种信息不被非法访问、复制、篡改或保证PIN码甚至其他技术实现对数据的安全防护

 确保逻辑安全措施得到落实

基于实体特征的鉴别方法

·使用每个人所具有的唯一生理特征

·鉴别方式

·指纹、掌纹、静脉

·虹膜、视网膜

·语音

·面部扫描

·指纹

手指上一些曲线和分叉以及一些非常微小的特征

·手掌

手掌有折痕、起皱、凹糟

包括手指指纹

手的形状（长度宽度和手指）表示了手的几何特征

·静脉

个人静脉分部图（指静脉、掌静脉）

·虹膜

使用环绕在瞳孔四周有色彩的部分作为识别特征

出生6-8个月成型后终生不变

·视网膜

使用视网膜上面的血管分布作为特征

·语音

使用语音、语速、语调等作为识别特征

·面部

人都有不同的骨骼结构、鼻梁、眼眶、额头和下颚形状

·特点

易于实现

安全性不高

鉴别系统的有效性判断

·错误拒绝率（FRR）

·错误接受率（FAR）

·交叉错判率（CER）：FRR=FAR的交叉点，CER用来反映系统准确度

单点登录基本概念

·单点登录概念

单一身份验证，身份信息击中管理，一次认证就可以访问其授权的所有网络资源

单点登录实质是安全拼争在多个应用夕惕若之间的传递或共享

·单点登录的安全优势

减轻安全维护工作量，减少错误

提高效率

统一安全可靠的登录验证

Kerberos协议

·1985年由美国麻省理工学院开发，用于通信实体间身份验证，1994年V5版本作为Internet标准草案公布

·基于对称密码算法为用户提供安全的单点登录服务

·包含可信第三方认证服务

Kerberos协议的优点

·避免本地保存密码机会话中传输密码

·客户端和服务器可实现互认

Kerberos体系构成

·运行环境构成

·密钥分发中心（KDC）    

 系统核心，负责维护所有用户的账户信息

 由AS和TGS两个部分构成

    ·认证服务器（AS：authentication Server）

    ·票据授权服务器（Ticket Granting Server）

·应用服务器

·客户端

·其他概念

·票据许可票据（TGT）

·服务许可票据（SGT）

Kerberos认证过程

·认证过程由撒个阶段组成，例如需要访问OA

·第一次：获得票据许可票据（TGT）

·第二次：获得服务许可票据（SGT）

·第三次：获得服务

·客户机向AS发送访问TGS请求（明文）

请求信息：用户名、IP地址、时间戳、随机数等

AS验证用户（只验证是否存在）

·AS给予应答

TGT（包含TGS会话密钥），使用KDC密码加密

其他信息（包含TGS会话密钥）使用用户密码加密

·客户机向TGS发送访问应用服务请求

请求信息使用TGS会话密钥加密（包含认证信息）

包含访问应用服务名称（http）

TGS验证认证信息（包含用户名等）后，给予应答

SGT

客户机与应用服务器之间的会话密钥

·客户机向应用服务器请求服务

SGT（使用http服务器密码加密）

认证信息

·应用服务器（验证认证信息）

提供服务器验证信息（如果需要验证服务器）

认证、授权和计费

·RADIUS协议

最初为拨号用户进行认证和计费，现为通用的认证协议

协议实现简单，传输简捷高效

仅对传输过程中的密码本身进行加密

·TACACS+协议

运行于TCP协议，有较高可靠性

对包头外所有数据加密，安全性高

大型网络中实时性较差

更新: 2025-03-11 10:23:37
原文: http://www.yuque.com/yuhui.net/network/ki4gn82cown0loly