)
一、引言
1.1 认证技术的核心定义
认证技术是信息安全体系中用于验证实体身份合法性的核心技术,其本质是通过校验实体提供的身份凭证与预存信任信息的一致性,确认实体是否具备对应资源的访问权限,是访问控制、安全审计、责任认定的前置基础。
1.2 软考考察定位
本知识点属于软考信息安全工程师考试大纲 "身份认证与访问控制" 模块核心考点,历年考试占比约 8-12 分,考察形式涵盖选择题、案例分析题,重点考核协议原理、配置方法、场景选型三类内容。
1.3 技术发展脉络
认证技术经历了四个发展阶段:1960-1980 年的静态口令阶段,依赖明文存储的密码实现身份校验;1980-2000 年的对称加密认证阶段,代表技术为 Kerberos 协议、CHAP 认证;2000-2015 年的非对称加密认证阶段,代表技术为 PKI/CA 体系、数字签名;2015 年至今的智能认证阶段,代表技术为生物特征认证、行为认证、FIDO 快速在线认证。
1.4 本文内容框架
本文从核心技术原理、产品形态对比、典型场景应用三个维度展开,覆盖 Kerberos、PKI/CA 等主流认证技术,梳理五类认证产品选型指标,解析网络、设备、应用三层的认证落地方法,最后给出软考备考重点与实践建议。
二、主流认证技术深度解析
2.1 Kerberos 协议:局域网身份认证的标准化方案
2.1.1 核心定义与原理
Kerberos 是 MIT 于 1980 年代提出的基于对称加密的第三方认证协议,采用票据机制实现用户身份的可信传递,核心思想是避免用户口令在网络中传输,降低身份凭证泄露风险。
2.1.2 核心角色与组件
- KDC(密钥分发中心):Kerberos 系统的核心信任节点,内部包含 AS 和 TGS 两个功能模块,存储所有合法用户和服务的对称密钥
- AS(认证服务器):负责验证用户初始身份,校验用户口令哈希值合法性,验证通过后发放 TGT(票据授予票据)
- TGS(票据授予服务器):负责验证用户提交的 TGT 合法性,验证通过后发放对应服务的 ST(服务票据)
- Ticket(票据):采用服务端密钥加密的结构化数据,包含用户身份标识、会话密钥、有效期、权限信息等内容
2.1.3 标准工作流程
- 用户向 AS 发送包含用户名的身份请求,AS 校验用户合法性后,生成用用户密钥加密的会话密钥,以及用 TGS 密钥加密的 TGT 返回给用户
- 用户使用本地口令解密获得会话密钥,向 TGS 提交 TGT 和服务访问请求,TGS 校验 TGT 合法性后,生成用服务端密钥加密的 ST,以及用户与服务端的会话密钥返回给用户
- 用户向应用服务器提交 ST 和会话密钥生成的认证信息,服务端解密 ST 校验身份合法性,验证通过后建立加密通信通道
2.1.4 技术特性与局限性
- 优点:实现单点登录,用户一次认证即可访问所有授权服务;全程不传输用户明文口令,降低凭证泄露风险;符合 RFC 4120 国际标准,兼容性强
- 缺点:要求全网节点时间误差不超过 5 分钟,依赖高精度时间同步服务;KDC 为单点故障节点,KDC 宕机将导致全系统认证失效;仅适用于封闭局域网环境,跨域部署复杂度高
2.1.5 典型应用案例
微软 Windows 域环境采用 Kerberos v5 作为默认认证协议,域控制器承担 KDC 角色,用户登录域后可无需重复认证访问域内文件服务器、邮件服务器、打印服务器等资源。
Kerberos 协议工作流程示意图
2.2 PKI/CA 体系:互联网信任基础设施
2.2.1 核心定义与原理
PKI(公钥基础设施)是基于非对称加密技术构建的信任体系,通过第三方权威机构的信用背书,实现实体身份与公钥的强绑定,解决公钥分发过程中的身份伪造问题,是互联网环境下身份认证的核心基础。
2.2.2 核心角色与组件
- CA(证书颁发机构):PKI 体系的信任锚点,负责签发、吊销、管理数字证书,其自身公钥公开且被所有参与方信任
- RA(注册机构):负责审核用户提交的身份材料真实性,校验通过后向 CA 提交证书签发请求,实现证书申请与签发的权责分离
- 数字证书:符合 X.509 标准的电子文件,包含实体身份信息、公钥、证书有效期、CA 数字签名等内容,相当于网络环境下的 "电子身份证"
- CRL(证书吊销列表)/OCSP(在线证书状态协议):用于查询证书有效性,及时标识已被吊销的无效证书
2.2.3 核心运行机制
- 用户向 RA 提交身份材料和公钥,RA 完成身份核验后将请求转发给 CA
- CA 使用自身私钥对用户公钥和身份信息进行数字签名,生成数字证书返回给用户
- 其他用户访问该实体时,获取其数字证书,使用 CA 公钥验证证书签名合法性,确认证书中包含的公钥确属该实体
2.2.4 技术特性对比
与 Kerberos 协议相比,PKI/CA 具备以下特点:无需集中式密钥存储,CA 仅存储自身私钥,用户私钥由自身保管;支持跨域、跨网络的身份认证,适用于互联网开放环境;认证过程无需第三方实时参与,可离线验证证书有效性。
2.2.5 典型应用案例
我国金融行业统一采用 CFCA(中国金融认证中心)颁发的数字证书,网上银行 U 盾内置用户私钥和数字证书,用户进行转账操作时,使用 U 盾私钥对交易数据进行数字签名,银行端通过 CA 验证签名合法性后完成交易。
PKI/CA 体系架构与证书签发流程图
2.3 新兴认证技术
2.3.1 单点登录(SSO)
单点登录是一种会话机制,用户完成一次身份认证后,即可访问所有相互信任的应用系统,无需重复登录。主流实现方案包括基于 Kerberos 的域 SSO、基于 SAML 2.0 协议的联邦 SSO、基于 OAuth 2.0 协议的第三方登录,可有效降低用户记忆成本,减少密码泄露风险。
2.3.2 FIDO 快速在线认证
FIDO 是由 FIDO 联盟制定的强认证标准,采用公钥加密技术,用户私钥和生物特征模板仅存储在本地设备(手机、安全密钥)中,认证过程中不传输敏感信息,可有效抵御中间人攻击、数据库拖库攻击,目前已支持指纹、人脸、U 盾等多种认证因子。
2.3.3 基于行为的身份鉴别
基于行为的身份鉴别是一种动态认证技术,通过采集用户的登录时间、常用地点、设备指纹、输入习惯、操作路径等行为特征,构建用户行为基线,当访问行为偏离基线时触发二次认证或拦截,典型应用为异地登录告警、异常操作风险核验。
三、认证产品形态与选型指标
3.1 主流认证产品分类与特点
| 产品类型 | 代表产品 | 核心技术 | 适用场景 | 安全等级 |
|---|---|---|---|---|
| 系统安全增强类 | U 盾、智能卡、指纹识别器 | 多因素认证、硬件加密 | 桌面登录、交易签名、高权限账户访问 | 中高 |
| 生物认证类 | 人脸识别门禁、指纹考勤机、人证核验终端 | 生物特征提取与匹配、活体检测 | 物理访问控制、身份核验、公共服务认证 | 中 |
| 电子认证服务类 | CA 系统、时间戳服务器、SSL 证书 | PKI/CA 体系、数字签名 | 网站可信认证、电子合同、电子签章 | 高 |
| 网络准入控制类 | 802.1X 交换机、RADIUS 服务器 | 网络接入认证、终端合规校验 | 企业内网准入、无线网络接入控制 | 中 |
| 身份认证网关 | 统一身份管理平台、SSO 网关 | 集中认证、权限聚合 | 企业应用统一认证、多系统身份管理 | 中高 |
3.2 认证产品核心评价指标
3.2.1 算法支持能力
要求产品支持 SM2/SM3/SM4 等国密算法,符合《密码法》要求,关键领域认证产品必须通过国密局认证。非国密算法支持 AES-256、RSA-2048 及以上安全强度的算法,禁止使用 MD5、SHA-1 等已被破解的弱算法。
3.2.2 认证准确性指标
- 认假率(FAR):非法用户被系统判定为合法用户的概率,金融、政务等高安全场景要求 FAR≤0.001%
- 拒真率(FRR):合法用户被系统判定为非法用户的概率,面向公众的服务场景要求 FRR≤1%
- 等错误率(EER):FAR 与 FRR 相等时的错误率,是衡量认证系统准确性的核心综合指标
3.2.3 性能与可扩展性指标
单机支持并发用户数不低于 10000,单认证请求响应时间≤100ms,支持集群部署,可通过增加节点线性提升处理能力,支持 LDAP、OAuth、SAML 等标准接口,可与现有 IT 系统对接。
3.2.4 安全保障级别
产品需通过国家网络安全等级保护 2.0 三级及以上测评,具备抗重放攻击、抗中间人攻击、抗暴力破解能力,自身不存在高风险安全漏洞,关键操作具备审计日志记录能力。
认证产品类型对比表与选型决策树
四、认证技术典型应用场景
4.1 网络设备管理认证
4.1.1 密码认证
适用于小型网络设备管理场景,在 VTY 接口下直接配置登录密码,配置简单但安全性低,所有管理员共享同一密码,无法实现权限区分和操作审计,仅可用于测试环境或低安全等级场景。
4.1.2 AAA 认证
基于 RADIUS 协议实现认证、授权、审计功能,建立独立的用户数据库,每个管理员拥有独立账号,可分配不同的命令行权限等级,所有操作全程留痕。典型配置逻辑为:设备配置 RADIUS 服务器地址,用户登录时设备将用户名和密码发送给 RADIUS 服务器校验,校验通过后返回对应权限等级。
4.2 网络路由协议认证
4.2.1 技术目标
防止攻击者伪造路由信息注入网络,避免路由劫持、流量监听、网络中断等安全事件,是保障网络层可用性的核心措施。
4.2.2 实现方案
OSPF、RIP、BGP 等主流路由协议均支持认证功能,分为明文认证和密文认证两类:明文认证直接在路由报文中携带认证密码,易被截获破解,已被禁用;密文认证采用 MD5、HMAC-SHA256 等算法对路由报文进行哈希计算,接收方通过校验哈希值确认报文合法性,不会泄露认证密钥,为推荐方案。OSPF MD5 认证典型配置包含:在接口下启用 OSPF MD5 认证、配置认证密钥、所有同区域设备配置相同密钥三个核心步骤。
4.3 应用系统认证
4.3.1 校园网统一身份认证
高校普遍建设 PKI 体系和统一身份认证平台,为师生颁发数字证书,整合教务系统、图书馆系统、办公系统、校园卡系统等资源,实现一次登录全校园系统访问,有效降低多系统密码管理成本,提升身份安全性。
4.3.2 Web 服务认证
HTTP 协议原生支持两类基础认证:基本认证采用 Base64 编码传输用户名和密码,无加密保护,安全性极低,禁止在公网环境使用;摘要认证采用 MD5 哈希算法处理认证信息,不传输明文密码,但安全性仍低于 HTTPS + 令牌认证方案,目前主流 Web 应用均采用 OAuth 2.0、JWT 等更安全的认证机制。
4.4 国家级身份认证体系
eID(公民网络电子身份标识)是由国家密码管理局统一建设的国家级身份认证基础设施,采用 SM2 非对称加密算法,由公安机关统一签发,可在不泄露公民身份信息的前提下实现线上身份核验,目前已广泛应用于政务服务、网上办事、金融开户等场景。
认证技术多层应用架构示意图
五、软考考点分析与备考建议
5.1 高频考点梳理
- Kerberos 协议的角色、工作流程、优缺点,重点区分 TGT 和服务票据的作用,以及时间同步的要求
- PKI/CA 体系的组件功能,数字证书的内容、验证流程,CRL 与 OCSP 的区别
- 认证产品的分类、适用场景,认假率和拒真率的定义与计算
- 路由器 AAA 认证、OSPF 认证的配置逻辑与关键命令,明文与密文认证的选型
- 多因素认证的组合逻辑,静态口令、生物认证、硬件认证的安全等级对比
5.2 易错点提示
- Kerberos 协议的 TGT 是用 TGS 的密钥加密,而非用户密钥加密
- PKI 体系中 CA 仅负责签发证书,不存储用户私钥,用户私钥丢失需重新申请证书
- 路由协议的密文认证仅校验报文合法性,不加密报文内容,需要加密需额外部署 IPSec VPN
- 生物特征属于不可逆认证因子,泄露后无法更换,不得在多场景复用同一生物特征
5.3 备考策略
- 建立知识体系:按照 "基础概念 - 协议原理 - 技术实现 - 场景应用" 的逻辑梳理知识点,理解不同认证技术的适用边界
- 对比学习:对比 Kerberos 与 PKI、PAP 与 CHAP、静态口令与生物认证的技术差异、优缺点、适用场景
- 重视配置:掌握华为设备 AAA 认证、OSPF MD5 认证的核心配置命令,理解每一步配置的作用
- 联系实际:将日常使用的 U 盾、人脸门禁、短信验证码、第三方登录等场景与知识点对应,加深理解
认证技术知识点考点分布脑图
六、总结与实践建议
6.1 核心技术要点总结
认证技术是信息安全的第一道防线,核心目标是确认实体身份的合法性,主流技术分为局域网适用的 Kerberos 协议和互联网适用的 PKI/CA 体系两大分支,新兴的 FIDO 认证、行为认证进一步提升了认证的安全性和用户体验。认证产品覆盖硬件、软件、服务三类形态,选型需综合考虑算法支持、准确性、性能、安全等级四类指标,落地应用覆盖网络设备、路由协议、应用系统、国家级基础设施多个层级。
6.2 实践应用最佳实践
- 高安全场景必须采用多因素认证,组合 "你知道的(口令)+ 你拥有的(U 盾 / 手机)+ 你是谁(生物特征)" 三类因子,单一因素认证不得用于高权限账户
- 公网环境优先采用 PKI/CA 体系或 FIDO 认证,避免使用 Kerberos 等依赖集中信任节点的协议
- 所有网络设备、路由协议必须启用密文认证,禁止使用明文认证或静态共享密码
- 认证系统必须配置完善的审计日志,记录所有认证请求的时间、IP、身份、结果,留存时间不少于 6 个月,满足等保 2.0 要求
6.3 后续学习方向
掌握认证技术后,可进一步学习访问控制(RBAC、ABAC 模型)、安全审计、零信任架构等相关知识点,认证是访问控制的前提,访问控制是认证的目的,二者结合构成完整的身份安全体系,是软考案例分析题的核心考察方向。
