PKI系统构建网络安全防线,基于PKI 建设的身份认证系统最为安全可靠
——随着信息化的快速发展,对国家、组织、公司或个人来说至关重要的信息越来越多的通过网络来进行存储、传输和处理,为获取这些关键信息的各种网络犯罪也相应急剧上升。企业以及电子政务的信息系统面临着越来越严重的外部或内部的各种攻击,包括黑客组织、犯罪集团或信息战时期信息对抗等国家行为的攻击。当前,网络安全在某种意义上已经成为一个事关国家安全和社会经济稳定的重大问题,受到越来越多的重视。
在网络安全中,身份认证是第一道,甚至是最重要的一道防线。身份认证就是在网络系统中通过某种手段确认操作者身份的过程,其目的在于判明和确认通信双方和信息内容的真实性。
用户访问网络资源的流程
来源:公开资料
一般情况下,用户在访问系统之前,首先要经过身份认证系统来识别身份,而后才能访问监视器。根据用户的身份和授权数据库来决定用户是否有权访问某个资源,审计系统记录用户的请求和行为,同时入侵检测系统会实时或非实时地检测是否有入侵行为。可以看出,身份认证是网络安全体系中的第一道关卡,其它的安全服务如访问控制、审计等都依赖于它。一旦非法用户通过了身份认证,就会对系统和资源的安全构成极大的威胁。因此,身份认证是网络安全中的一个重要环节。
——在整个安全系统中,身份认证技术是重点,基本安全服务就是身份认证,其他安全服务也都建立在身份认证的基础上。这使得身份认证系统具有十分重要的地位,也最容易遭受攻击。因此,建立安全的身份认证系统是网络安全的首要步骤。目前常用的网络身份认证机制包括基于口令的身份认证机制、挑战/ 响应认证机制、基于DCE/Kerberos 的认证机制以及基于公共密钥的认证机制。
(1)基于口令的认证机制
基于口令的身份认证技术一般包括账户名和密码,用户通过固定的用户名确认身份信息,通过密码验证是否是本人。因简单易用,基于口令的身份认证技术是目前使用最为广泛的身份认证方式,一般包括基于静态口令的认证方式和动态口令认证。基于口令的身份认证系统简单效率高,但安全性比较差,仅依赖于口令,口令一旦泄露,用户即可被冒充。容易受到攻击,采用窥探、字典攻击、穷举尝试、网络数据流窃听、重放攻击等很容易攻破该认证系统。
(2)基于挑战/响应的认证机制
基于挑战/响应的身份认证机制,即认证服务器端向客户端发送不同的‚挑战‛码,客户端程序收到 ‚挑战‛码后,根据客户端和服务器之间共享的密钥信息,以及服务器端发送的‚挑战‛码,做出相应 ‚应答‛。服务器根据应答的结果确定是否接受客户端的身份声明。本质上讲,这种机制也是一次性口令。
典型基于挑战/响应的认证机制的认证过程
来源:公开资料
具体认证过程为:1)客户向认证服务器发出请求,要求进行身份认证;2)认证服务器从用户数据库中查询用户是否是合法的用户,若不是,则不做进一步处理;3)认证服务器内部产生一个随机数,作为‚挑战‛码,发送给客户;4)客户将用户名字和随机数合并,使用单向Hash 函数(例如MD5 算法)生成一个字节串作为应答;5)认证服务器将应答串与自己的计算结果比较,若二者相同,则通过一次认证;否则,认证失败;6)认证服务器通知客户认证成功或失败。
基于挑战/响应认证机制的身份认证系统一定程度上加强了安全性,但并不能完全阻止黑客破坏。比如未验证黑客身份为超级用户,黑客有可能使用拒绝服务性的攻击方式,使得授权用户不能通过认证。
(3)基于DCE/Kerberos 的认证机制
Kerberos 是为解决分布式网络认证而设计的可信第三方认证协议。网络上的每个实体持有不同的密钥,是否知道该密钥便是身份的证明。网络上的Kerberos 服务起着可信仲裁者的作用,可提供安全的网络认证。
该认证机制下,设立可信任的第三方,即认证服务器(AS)。AS 为客户和服务器提供证明身份的身份证书以及双方安全通信的会话密钥。此外还会授予服务器(TGS),TGS 向AS 的可靠用户发出身份证书。除客户第一次获得的初始证书是由AS 签发外,其他票据都是由TGS 签发的,每个票据可以使用多次直至期限。客户方请求服务方提供服务时,不仅要向服务方发送从TGS 领来的身份证书,同时还要自己生成鉴别码一并发送。
与传统的认证协议相比,Kerberos 协议具有一系列的优势。首先,它支持双向的身份认证,而大部分传统的认证协议都是基于服务器可信的网络环境,往往都是只验客户,但客户无法验证服务器。Kerberos 协议中只有AS 和TGS 是可信的,网络的所有工作站、服务器都是不可信的。当用户与服务器进行交互时,Kerberos 为客户抵挡了网络恶意攻击和欺骗。其次,Kerberos 实现了一次性签放,在有效期内可多次使用。假如用户在一个开放网络环境中需要访问多个服务器,如查询邮件、打印文件、访问FTP 等都在不同的服务器上,用户通过AS 申请TGS 的证书后,在有效期内利用该证书与TGS 多次请求不同访问授权票据。降低了用户输入口令次数,从而提高了用户的体验。最后,Kerberos 提供了分布式网络环境下的域间认证机制,允许客户花费少量的资源即可访问其他子域的服务,是传统的认证协议难以实现的。
Kerberos 协议也存在不足和安全隐患。Kerberos 身份认证采用的是对称加密机制,加解密都需要相同的密钥,交换密钥时的安全性不能保障。Kerberos 协议对时钟的要求比较高,必须在时钟基本同步的环境中,如果引入事件同步机制则需保证同步机制的安全;若时间不同步,攻击者可以通过调节时钟来实现重放攻击。在Kerberos中,客户信息和服务器认证信息都集中存放在AS 服务器中,其安全性严重依赖于AS 和TGS 的性能和安全。随着用户数量的增加,Kerberos需要维护复杂的密钥管理。
(4)基于公共密钥的认证机制
基于公共密钥的安全策略进行身份认证,即使用符合X.509 协议的身份证明。须有一个第三方的证明授拟中心为客户签发身份证明。客户和服务器信任该证明授权中心,并各自获取证明,在会话和通讯时首先交换身份证明,其中包含了将各自的公钥交给对方,然后才使用对方的公钥验证对方的数字签名、交换通讯的加密密钥等。在确定是否接受对方的身份证明时,还需检查有关服务器,以确认该证明是否有效。
基于公共密钥的认证机制架构
来源:公开资料
基于公共密钥的认证机制拥有Kerberos 的认证机制的优点,同时使用非对称加密技术,拥有极高的安全性,也解决了用户过多时密钥管理的问题,是目前应用中最为安全可靠的方法。
常用身份认证机制
来源:公开资料
然而,基于公共密钥的认证机制实现起来较为复杂,需要建设相应的配套设施,目前较为流行和完善的是以PKI 为核心的一套信息安全系统。
