UCAS 24秋网络认证技术 CH19 多种类型的身份鉴别机制 复习

于 2025-01-01 13:12:53 发布
阅读量905 收藏 10
点赞数 19
分类专栏: 网络认证技术 文章标签: 网络
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/weixin_51147313/article/details/144866305
版权

不考零信任

1. 身份鉴别技术分类

根据身份鉴别机制的不同,分为以下四种主要类型:

  1. What you know(你知道的):例如字符型口令、图片选择、图像点击认证等。
  2. What you have(你拥有的):例如动态口令、USB Key、手机验证、门禁卡/RFID 标签等。
  3. What you are(你是什么):例如生物信息特征(指纹、人脸、虹膜、声纹等)。
  4. Mixed(混合方式):多因素身份鉴别,结合两种或以上的身份鉴别机制,提高安全性。

2. 具体身份鉴别技术

(1) What you know(你知道的)

  1. 字符型口令

    • 用户通过记忆的口令认证身份。
    • 弱点:易被暴力破解,容易被泄露。

  2. 非字符型口令

    • 基于图片选择:用户从一组图片中选择作为认证密钥。
    • 基于图像点击:用户在图片上连续点击特定位置完成认证。
    • 优点:更容易记忆。
    • 缺点:可能存在热门点击点问题,熵值较低。
(2) What you have(你拥有的)

  1. 动态口令

    • 每次认证生成一个一次性动态密码。
    • 动态口令基于长期密钥,由时间同步或事件驱动生成。
    • 优点:
      • 密码一次性有效,窃听攻击无效。
      • 硬件 Token 存储密钥,安全性较高。
    • 缺点:需要设备支持(如 Token)。

  2. 手机验证

    • 通过短信验证码或手机 APP 实现。
    • 短信验证码
      • 服务器通过短信发送一次性验证码。
      • 安全性依赖短信信道。
    • 手机 APP 验证
      • 支持扫码登录、APP 与 Web 配合登录。
      • 安全性较高,依赖于应用程序的身份鉴别协议。
    • 缺点:若手机丢失,可能导致安全问题。

  3. USB Key

    • 通过硬件设备存储私钥,支持基于 PKI 的系统。
    • 可以独立验证用户身份,或通过联网更新证书状态。
    • 缺点:需要硬件设备,设备丢失时会导致不可用。

  4. 门禁卡/RFID 标签

    • 常用于门禁控制、会议证件等。
    • 静态数据:直接读取,易受重放攻击。
    • 缺点:不能抵抗高级攻击。
(3) What you are(你是什么)

  1. 生物识别技术

    • 指纹识别:采集用户指纹数据,用于身份验证。
    • 人脸识别:通过人脸特征进行比对。
    • 声纹识别:通过声音的特征鉴别用户。
    • 虹膜识别:通过用户虹膜的独特特征进行认证。
    • 优点:
      • 用户无须记忆额外的信息。
      • 认证过程自然,不增加额外负担。
    • 缺点:
      • 依赖活体检测技术,存在被伪造的风险(如用照片代替人脸、录音代替声纹)。
      • 生物信息泄露后无法更换,具有不可替代性。

  2. 基于行为特征

    • 键盘敲击模式(Keystroke biometrics):通过记录和分析用户的键盘输入行为,鉴别身份。
    • 用户访问行为:根据访问位置、设备、操作方式进行识别。
    • 主要用于连续身份鉴别,确保用户行为与认证行为一致。
(4) Mixed(多因素身份鉴别)
  1. 多因素身份鉴别
    • 同时使用多种鉴别因素(如“口令 + 指纹”或“动态口令 + USB Key”)。
    • 优点
      • 需要同时破解多个鉴别机制,攻击难度显著提升。
      • 增强系统安全性。
    • 缺点
      • 使用复杂性增加,用户体验可能受影响。
      • 提高了认证失败的可能性(如设备丢失或用户忘记信息)。

3. 紧急认证机制(Emergency Authentication)

当用户无法通过常规方法进行身份认证时,需要采取紧急措施。这些措施包括:

(1) 电子邮件重置口令
  • 用户通过注册的邮箱接收重置密码的链接或验证码。
  • 问题
    • 邮件传输通常无加密,可能被窃听。
    • 邮件账户易被攻击,安全性不高。
    • 只能作为低安全性场景的应急方案。
(2) 安全提问
  • 用户回答注册时设定的预设问题(如“你的第一辆车是什么品牌?”)。
  • 问题
    • 常见答案信息熵低,易被猜测。
    • 许多问题的答案可通过社交工程攻击获得。
(3) 人工台(Help Desk)
  • 用户通过联系人工服务台,由管理员手动验证并重置口令。
  • 优点
    • 理论上是安全的,因为管理员可通过面谈、证件检查等方式鉴别身份。
  • 问题
    • 人力成本高。
    • 效率低,可能延长响应时间。
(4) Somebody You Know(认识的人辅助)
  • 基于用户的社交关系,由可信的朋友(Helper)辅助完成紧急认证。
    • Helper 是合法的普通用户,而非管理员。
    • 鉴别过程通过带外方式(如电话或面对面)完成,确保不降低系统安全性。
  • 过程
    1. 用户联系 Helper,请求协助。
    2. Helper 登录系统并生成一个一次性认证码(vouchcode)。
    3. 用户输入 vouchcode 和个人 PIN 登录系统。
  • 问题
    • Helper 的责任较大,需要保证鉴别过程严格。
    • 依赖用户与 Helper 之间的信任关系,若 Helper 被攻破,可能带来系统风险。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值