网络空间安全技术 第5章身份认证技术 第6章编码与加解密技术.pptx

第5章：身份认证技术

要点身份认证技术Web常见五种认证方式服务器与客户端常见认证方式RESTAPI常见认证方式相关安全漏洞披露

1身份认证技术身份认证技术是在计算机网络中确认操作者身份的过程而产生的有效解决方法。计算机网络世界中一切信息包括用户的身份信息都是用一组特定的数据来表示的，计算机只能识别用户的数字身份，所有对用户的授权也是针对用户数字身份的授权。如何保证以数字身份进行操作的操作者就是这个数字身份合法拥有者，也就是说保证操作者的物理身份与数字身份相对应，身份认证技术就是为了解决这个问题，作为防护网络资产的第一道关口，身份认证有着举足轻重的作用。在真实世界，对用户的身份认证基本方法可以分为这三种：(1)基于信息秘密的身份认证：根据用户所知道的信息来证明用户的身份。(2)基于信任物体的身份认证：根据用户所拥有的东西来证明用户的身份。比如身份证、学生证等。(3)基于生物特征的身份认证：直接根据独一无二的身体特征来证明用户的身份。比如指纹、面貌等。在网络世界中手段与真实世界中一致，为了达到更高的身份认证安全性，某些场景会将上面3种挑选2中混合使用，即所谓的双因素认证。

1.1静态密码智能卡静态密码：用户的密码是由用户自己设定的。在网络登录时输入正确的密码，计算机就认为操作者就是合法用户。实际上，由于许多用户为了防止忘记密码，经常采用诸如生日、电话号码等容易被猜测的字符串作为密码，或者把密码抄在纸上放在一个自认为安全的地方，这样很容易造成密码泄漏。如果密码是静态的数据，在验证过程中需要在计算机内存中和传输过程可能会被木马程序或网络中截获。因此，静态密码机制无论是使用还是部署都非常简单，但从安全性上讲，单纯的用户名/密码方式一种是不安全的身份认证方式。智能卡：一种内置集成电路的芯片，芯片中存有与用户身份相关的数据，智能卡由专门的厂商通过专门的设备生产，是不可复制的硬件。智能卡由合法用户随身携带，登录时必须将智能卡插入专用的读卡器读取其中的信息，以验证用户的身份。

1.2短信密码动态口令短信密码：以手机短信形式请求包含6位随机数的动态密码，身份认证系统以短信形式发送随机的6位密码到客户的手机上。客户在登录或者交易认证时候输入此动态密码，从而确保系统身份认证的安全性。动态口令：目前最为安全的身份认证方式，也是一种动态密码。动态口令牌是客户手持用来生成动态密码的终端，主流的是基于时间同步方式的，每60秒变换一次动态口令，口令一次有效，它产生6位动态数字进行一次一密的方式认证。

1.3数字签名生物识别数字签名又称电子加密，可以区分真实数据与伪造、被篡改过的数据。这对于网络数据传输，特别是电子商务是极其重要的，一般要采用一种称为摘要的技术，摘要技术主要是采用HASH函数将一段长的报文通过函数变换，转换为一段定长的报文，即摘要。生物识别：通过可测量的身体或行为等生物特征进行身份认证的一种技术。生物特征是指唯一的可以测量或可自动识别和验证的生理特征或行为方式。使用传感器或者扫描仪来读取生物的特征信息，将读取的信息和用户在数据库中的特征信息比对，如果一致则通过认证。生物特征分为身体特征和行为特征两类。身体特征包括：声纹、指纹、掌型、视网膜、虹膜、人体气味、脸型、手的血管和DNA等；行为特征包括：签名、语音、行走步态等。

2Web常见五种认证方式由于Web的开放性，越来越多的企业将服务架设到网上，对于Web的认证最常见的有以下5种认证方式：HTTPBasicAuth、OAuth2、Cookie-SessionAuth、TokenAuth、JWT。

2.1HTTPBasicAuthOAuth2HTTPBasicAuth：这是一种最古老的安全认证方式，这种方式就是简单的访问网站/API的时候，带上访问的username和password，由于信息会暴露出去，所以现在也越来越少用了。或者至少采用双因素认证，除了用户名与密码，还需要加一个类似动态的手机验证码才能验证通过。OAuth即：OpenAuthorization（开放授权），它是一个开放标准，允许用户让第三方应用访问该用户在某一网站上存储的私密资源，而无需将用户名和密码提供给第三方。比如我们熟知的通过QQ/微信/微博等登录第三方平台。OAuth1.0版本发布后有许多安全漏洞，所以在OAuth2.0里面完全废止了OAuth1.0，它关注客户端开发者的简易性，要么通过组织在资源拥有者和HTTP服务商之间的被批准的交互动作代表用户，要么允许第三方应用代表用户获得访问的权限。

2.2Cookie-SessionAuthTokenAuthCookie-SessionAuth：就是为一次请求认证在服务端创建一个Se