安全防御之身份鉴别技术

身份认证技术用于在计算机网络中确认操作者的身份。在计算机网络世界中，用户的身份信息是用一组特定的数据来表示的，计算机也只能识别用户的数字身份。身份认证技术能够作为系统安全的第一道防线，主要用于确认网络用户的身份，防止非法访问和恶意攻击，确保数字身份的操作者就是这个数字身份合法拥有者。

一、基本概念

1、身份鉴别

身份鉴别是指对主客体身份进行确认的过程，也就是对网络用户在进入系统或访问受限系统资源时的身份进行识别和验证的过程。这是信息安全的第一道防线，可以确保用户身份的真实、合法和唯一性，防止非法人员进入系统。

身份鉴别的方法：主要有三种，即基于实体所知 、基于实体所 有和基于实体特性 。

基于实体所知的方法包括密码、验证码等，这些方法的成本低，实现简单，但面临的风险也较大，如暴力破解、木马等。

基于实体所有的方法通常涉及一些物理设备，如IC卡、门禁卡等，安全性较高，但成本也较高，并可能面临损坏和被复制的风险。基于实体特性的方法通常采用生物识别技术进行验证，如指纹、虹膜、声波等，这是安全性最高的一种方式。

2、标识

标识认证技术是信息安全理论与技术的一个重要方面，是实现信息安全等级保护身份鉴别、访问控制的技术基础，主要包括信息认证与身份标识认证两个方面的内容。信息认证用于保护信息的完整性与抗否认性，身份标识认证则用于鉴别用户身份，限制非法用户访问资源。

1）人的标识

身份标识认证是安全技术的一个重要方面，在用户访问文件时，必须通过某种形式的身份标识验证机制来证明他们的身份，验证用户的身份与所宣称的保持一致，才能够实现对文件的访问。用户首先经过身份标识认证才能访问安全系统，然后由安全系统根据用户身份决定用户的访问权限。

2）网络标识

网络标识是指机器在网络中的标志信息，对一台具体的机器而言，机器的IP地址，MAC地址就是在网络中标识的。

在网络中，同一数据在不同的层有不同的标识，数据链路层的标识是MAC地址，网络层的标识是IP地址，传输层的标识就是UDP或者TCP的端口号。

主机的标识就是主机名称。在网络中，主机的名称+地址成为唯一的标识。

3）应用标识

应用标识包括应用名，进程名称，占用端口，序列号，标准的应答方式等。

3、口令

口令是指只有通信双方知晓的一段数据。口令是最广泛使用的一种身份鉴别方法，也是最容易实现和成本最低的用户鉴别和认证机制，但是经常会遭到攻击者的威胁：

口令字典攻击：也就是猜口令，在获得口令密文后，攻击者可以通过运用自己保存的口令字典，通过可以获得的相同的加密算法进行枚举尝试。

口令丢失：用户经常会将自己的口令分享给同事、上司或第三方工程人员。这样就失去了口令的鉴别作用。

口令嗅探：很多系统的口令在网络上都是明文传输的，比如，电子邮件，Telnet远程登录等。通过在网络关键路径上进行嗅探可以轻易地获得用户的口令。

口令文件被窃取：对口令文件的保护是口令机制的弱点。如果口令文件被窃取，可能导致大量的用户口令沦陷。

4、挑战-响应技术

挑战-响应技术是一种常用的基于口令的身份认证技术。

基于挑战/响应方式的身份认证系统就是每次认证时，认证服务器端都给客户端发送一个不同的"挑战"字串，客户端程序收到这个"挑战"字串后，做出相应的"响应"，基于此机制系统认证过程为：

1. 客户端向认证服务器发出请求，要求进行身份认证；
2. 认证服务器从用户数据库中查询用户是否是合法的用户，若不是，则不做进一步处理；
3. 如果是合法用户，认证服务器内部产生一个随机数，作为"提问"，发送给客户端；
4. 客户端将用户名字和随机数合并，使用单向Hash函数（例如MD5算法）生成一个应答串作为响应；
5. 认证服务器将应答串与自己的计算结果比较，若二者相同，则通过一次认证；否则，认证失败；
6. 认证服务器通知客户端认证成功或失败。
7. 认证成功之后，以后的认证由客户端不定时地发起，过程中没有了客户端认证请求一步。两次认证的时间间隔不能太短，否则会给网络、客户和认证服务器带来太大的开销；也不能太长，否则不能保证用户不被他人盗用IP地址，建议时长为1-2分钟。

5、公钥认证技术

公钥认证技术使用一对加密字符串，一个称为公钥，任何人都可以看到其内容；另一个称为私钥，由用户妥善保存。公钥认证技术功能的实现在于通过公钥加密过的密文使用私钥可以轻松解密，但根据私钥来猜测密钥却十分困难。

二、常见的身份鉴别技术

• 用户名/密码认证：这是一种最基本的方式，用户需要输入用户名和密码来证明自己的身份。但是，由于密码可能被破解或泄露，因此这种方式存在一定的安全隐患。
• 动态口令认证：这是一种更加安全的方式，用户需要输入动态生成的口令才能进入系统。这种方式可以有效地防止密码被破解或被盗用。
• 多因素认证：这是一种基于多种因素的认证方式，除了用户名和密码外，还需要用户提供其他信息，如手机验证码、指纹、虹膜等。这种方式可以大大提高系统的安全性。
• 基于角色的访问控制：这是一种基于用户角色的访问控制方式，用户只能访问自己被授权的资源。这种方式可以有效地防止未授权的访问和数据泄露。
• 单点登录认证：这种方式可以实现一次登录即可访问多个系统的功能，减少了用户的操作步骤，提高了工作效率。同时，这种方式也可以减少因某个系统被攻击而导致其他系统受到攻击的风险。

身份鉴别技术是保护信息安全的重要手段，不同的应用场景需要选择合适的身份鉴别技术来保证系统的安全性和稳定性。

三、防御措施

针对身份鉴别过程中可能出现的攻击，如线路窃听和重放攻击等，需要采取相应的防御措施。例如，在口令中使用随机数可以防止攻击者通过构造特定表格（如彩虹表）来破解口令。针对重放攻击，可以在会话中引入时间戳或使用一次性口令等方式进行防御。

身份鉴别技术是网络安全的重要组成部分，通过确认网络用户的身份，可以有效地防止非法访问和恶意攻击。同时，随着技术的发展，身份鉴别技术也在不断地进步和完善，以应对日益复杂的网络安全威胁。

---

博客：http://xiejava.ishareread.com/