安小圈

第687期

? ??強密碼是第一道防線！

? ? ? ? ? ? ? ? ? ? —— 網絡安全金句

一、認證技術基礎概念

（一）核心定義

認證是實體證明自身身份的過程，由標識（如用戶名、IP 地址）和鑒別（如口令、數字證書）兩部分組成。標識確保實體唯一性，鑒別通過秘密信息、實物憑證、生物特征或行為特征驗證身份。

（二）認證依據分類

所知道的秘密：如口令、驗證碼。

所擁有的實物：如智能卡、U 盾。

生物特征：如指紋、虹膜、人臉。

行為特征：如鼠標使用習慣、鍵盤敲擊力度。

（三）認證類型

單向認證：驗證者鑒別聲稱者（如網站登錄）。

雙向認證：雙方互驗身份（如 HTTPS 通信）。

第三方認證：通過可信第三方完成認證（如 Kerberos 協議或CA）。

二、主要認證技術與協議

（一）口令認證

原理：基于用戶所知秘密（如用戶名 + 密碼）。

案例：linux系統 root 用戶登錄。

安全隱患：易受竊聽、重放、暴力破解攻擊。

強化措施：密碼加密存儲、傳輸，設置復雜度策略（如某系統要求密碼含大小寫字母 + 數字 + 符號）。

（二）智能卡技術

工作流程：挑戰 - 響應機制（如動態口令卡生成隨時間變化的數字）。

應用：銀行 U 盾、門禁系統。

（三）生物特征認證

類型：指紋、人臉、虹膜識別等。

技術流程：

• 采集（如指紋掃描）。

• 處理（特征提取）。

• 比對（與數據庫模板匹配）。

案例：12306 刷臉登錄、ATM 人臉識別。

（四）Kerberos 協議

核心組件：認證服務器（AS）、票據發放服務器（TGS）、應用服務器（AP）。

流程：

• 用戶向 AS 申請票據 TGT。

• TGS 發放服務票據。

• 用戶憑票據訪問應用服務器。

優點：支持單點登錄（SSO），減少密碼暴露風險。

（五）公鑰基礎設施（PKI）

組成：CA（簽發證書）、RA（注冊審核）、目錄服務器（證書查詢）。

功能：數字證書管理、身份認證、數字簽名。

應用：電子政務、網上銀行（如 SSL 證書保障 HTTPS 通信）。

（六）多因素認證

組合方式：如 “口令 + 智能卡”“指紋 + 短信驗證碼”。

優勢：提升安全強度，降低單一因素被破解風險。

三、認證技術應用場景

（一）校園信任體系

方案：部署 CA 系統，發放數字證書，實現統一身份認證與單點登錄。

目標：解決身份冒用、資源訪問控制問題。

（二）網絡路由認證

用戶認證：路由器配置用戶名密碼（如username rsmith password 3d-zirc0nia）。

鄰居認證：OSPF 協議采用 MD5 消息摘要認證，防止惡意路由更新。

（三）人臉識別門禁

功能：實時采集人臉特征，比對數據庫，控制門禁開關。

價值：杜絕偽造證件進入，記錄進出數據。

（四）公民電子身份（eID）

屬性：國家頒發，與真實身份綁定的數字證書。

流程：應用服務請求→eID 平臺生成挑戰→用戶簽名響應→平臺驗證。

（五）HTTP 認證

方式：基本訪問認證（BAA）、摘要認證等。

場景：Web 服務器要求用戶輸入賬號密碼（如彈出認證彈窗）。

四、認證產品與技術指標

（一）產品類型

系統安全增強：U 盾、指紋登錄軟件。

生物認證：人臉識別終端、指紋采集儀。

電子認證服務：CA 系統、數字證書管理平臺。

網絡準入控制：802.1X 認證設備、VPN 網關。

（二）關鍵指標

密碼算法：支持 SM2、AES、RSA 等。

準確性：認假率（FRR）、拒真率（FAR）。

性能：最大支持用戶數、并發認證數。

五、高頻考點總結

認證依據分類：牢記四類認證依據（所知、所有、所是、所為）及其典型案例。

Kerberos 協議：重點掌握 AS、TGS 的角色及認證流程。

PKI 組件：CA、RA 的功能及證書生命周期管理。

生物認證技術：指紋、人臉認證的技術流程與應用場景。

多因素認證：組合方式及安全優勢，如 “口令 + 令牌” 的應用。

六、典型真題示例

（一）單選題

題目：下列哪項屬于 “所擁有的實物” 認證依據？

（ ）A. 指紋 B. 動態口令卡 C. 密碼 D. 打字速度

答案：B解析：動態口令卡屬于實體憑證，屬于 “所擁有的實物”；A 為生物特征，C 為秘密信息，D 為行為特征。

（二）案例分析題

背景：某銀行計劃升級用戶認證系統，要求提升安全性，防止釣魚攻擊。問題：

推薦采用哪種認證技術？

說明該技術的安全優勢。

參考答案：

推薦采用雙因素認證（如 “U 盾 + 短信驗證碼”） 或生物特征認證（如指紋 + 人臉）。

優勢：

雙因素認證結合 “所擁有的實物”（U 盾）和 “所知道的秘密”（短信驗證碼），即使其中一種因素泄露，攻擊者仍無法通過認證。

生物特征具有唯一性和不可復制性，降低身份冒用風險，有效抵御釣魚攻擊和身份竊取。

? ? ? ? ??

END

• 信息安全工程師系列-第1關 網絡信息安全概述

• 信息安全工程師系列-第2關 網絡攻擊原理與常用方法
• 信息安全工程師系列-第3關 密碼學基本理論

• 信息安全工程師系列-第4關 網絡安全體系與網絡安全模型

• 信息安全工程師系列-第5關 物理與環境安全技術

• 挖礦病毒【應急響應】處置手冊

• 用Deepseek實現Web滲透自動化

• 【風險】DeepSeek等大模型私有化服務器部署近九成在“裸奔”，已知漏洞趕緊處理！

• 關于各大網安廠商推廣「DeepSeek一體機」現象的深度分析

• Deepseek真的能搞定【安全運營】？

• 【熱點】哪些網絡安全廠商接入了DeepSeek？

• 【2025】常見的網絡安全服務大全（匯總詳解）

• AI 安全 |《人工智能安全標準體系(V1.0)》(征求意見稿)，附下載

• DeepSeek突遭大規模惡意攻擊！

• 【2024】年度最活躍的勒索軟件組織TOP 10

• 我國71個機構受到勒索攻擊

• 超300萬臺未加密郵件服務器暴露，用戶數據面臨嚴重威脅！

• 電網黑客：通過無線電控制路燈和發電廠

• 網絡安全公司“內鬼”監守自盜 編寫代碼當黑客 竊取公民個人信息2.08億條

• 大眾汽車集團歐洲發生嚴重數據泄漏，80萬車主可被定位

• 2025年 · 網絡威脅趨勢【預測】

• 【實操】常見的安全事件及應急響應處

• 2024 網絡安全人才實戰能力白皮書安全測試評估篇