信息安全工程师----第三章 3.7认证

第三章 3.7认证

认证(Authentication)又称鉴别或确认，它是证实某事是否名副其实或是否有效的一个过程。

认证和加密的区别在于：加密用以确保数据的保密'性，阻止对手的被动攻击，如截取，窃听等；而认证用以确保报文发送者和接收者的真实性以及报文的完整性，阻止对手的主动攻击，如冒充、篡改、重播等。认证往往是许多应用系统中安全保护的第一道设防，因而极为重要。

认证和数字签名技术都是确保数据真实性的措施，两者区别如下：

(1)认证总是基于某种收发双方共享的保密数据来认证被鉴别对象的真实性，而数字签名中用于验证签名的数据是公开的。

(2) 认证允许收发双方互相验证其真实性，不准许第三者验证，而数字签名允许收发双方和第三者都能验证。

(3)数字签名具有发送方不能抵赖、接收方不能伪造和具有在公证人前解决纠纷的能力，而认证则不一定具备。

身份认证技术

很多应用系统第一步就是用户的身份认证，用于识别用户是否合法身份认证，主要有口令认证和生物特征识别两种方式，常见的认身份认证协议有，S/Key口令协议，Kerberos、X.509等。

口令认证双方约定秘密数据来验证用户。口令认证目前是最广泛的认证方式之一。 简单系统中，口令以明文的方式存储，这种方式下口令容易被盗取；口令在传输时也容易被截获 ；同时，用户和系统的地位不平等，只有系统强调性的验证用户的身份 ，而用户无法验证系统的身份 。

改进的口令验证机制：

单向函数加密口令：口令在系统中以密文的形式存储 ，无法从密文倒推到明文。 口令加密的算法是单向的，即只能加密 ，不能解密。用户访问系统时提供口令系统对该口令用单向函数加密 ，并与存储的密文相比较。若一致， 则用户身份有效 ；否则无效

数字签名验证口令：系统存在用户公钥，利用数字签名方式验证口令

口令双向验证：系统可以验证用户，用户也可以验证系统 

一次性口令：口令只使用一次 ，可以防止重放攻击

好的口令的特点是，使用多种字符、须有足够长度 、尽量随机、定期更换 。

生物特征识别经验表明身体特征 （指纹， 掌型， 视网膜，虹膜， 人体气味 ，脸型 ，手的血管和DNA等）和行为特征（签名，语音，行走步态等）可以对人进行唯一标识 ，可以用于身份识别 。

生物特征识别的认证需要具有的特性有：随身性 、安全性 、唯一性 、普遍性、 稳定性、 可采集性 、可接受性 、方便性 。

指纹识别技术可以分为验证和辨识两种：

• 验证：现场采集的指纹与系统记录指纹进行匹配来确认身份。验证的前提条件是，指纹必须在指纹库中已经注册。 验证其实是回答了这样一个问题：“ 他是他自称的这个人吗 ？”
• 辨别：辨别则是把现场采集到的指纹（也可能是残缺的 ）同指纹数据库中指纹逐一对比，从中找出与现场指纹相匹配的指纹 。辨识其实是回答了这样一个问题 ：“他是谁？"
  报文认证

报文认证是保证通信双方能够验证每个报文的发送方\接收方 \内容和时间性的真实性和完整性.报文认证确保：

• 报文是意定发送者发出
• 报文是意定接收方接收
• 报文内容没有出现错误或者没有被篡改
• 报文是按指定的次序接收的

转载：https://blog.csdn.net/qq_43799246/article/details/111053395