為什么要驗(yàn)證所有內(nèi)容

什么是身份驗(yàn)證？

身份驗(yàn)證是證明斷言的行為。在信息安全中，這通常被理解為驗(yàn)證計(jì)算機(jī)用戶的身份。

標(biāo)識(shí)必須與身份驗(yàn)證區(qū)分開來。識(shí)別是識(shí)別唯一事物的能力：一個(gè)人，一臺(tái)機(jī)器，在計(jì)算機(jī)中運(yùn)行的進(jìn)程，...身份驗(yàn)證是證明該事物身份的能力。但我們將看到 - 它提供的遠(yuǎn)不止這些。

身份驗(yàn)證的典型應(yīng)用

這是五個(gè)常見的身份驗(yàn)證應(yīng)用程序。在之前的博客文章中，我們學(xué)習(xí)了公鑰加密、公鑰基礎(chǔ)結(jié)構(gòu)和密鑰加密的使用。這些是理解身份驗(yàn)證的這一新部分的基礎(chǔ)。

應(yīng)用 1：證明尋求訪問公司應(yīng)用程序、Web 服務(wù)器等的人類用戶的身份。這種類型的身份驗(yàn)證通常涉及查詢?nèi)藛T的唯一標(biāo)識(shí)符，例如電子郵件地址和密碼。此身份驗(yàn)證方案通常通過第二個(gè)因素來增強(qiáng)，以減輕密碼的泄露。第二個(gè)因素可以是發(fā)送到用戶手機(jī)的一次性代碼：這種額外的保護(hù)迫使攻擊者竊取密碼和用戶的手機(jī)，這極大地限制了風(fēng)險(xiǎn)。這稱為多重身份驗(yàn)證。

應(yīng)用2：證明機(jī)器的身份。在安全網(wǎng)絡(luò)中，計(jì)算機(jī)或連接的設(shè)備（如物聯(lián)網(wǎng)設(shè)備）必須在交換數(shù)據(jù)之前相互進(jìn)行身份驗(yàn)證。如果不采取此措施，黑客可以將流氓設(shè)備連接到網(wǎng)絡(luò)并冒充合法設(shè)備。機(jī)器通常使用基于公鑰的身份驗(yàn)證（參見第 1 部分和第 2 部分）。與使用他們記住的密碼和其他物理屬性來驗(yàn)證自己的人類不同，機(jī)器使用私鑰對(duì)驗(yàn)證者發(fā)送的隨機(jī)數(shù)（又名“挑戰(zhàn)”）和網(wǎng)絡(luò)證書頒發(fā)機(jī)構(gòu)頒發(fā)的證書進(jìn)行簽名。此身份驗(yàn)證方案稱為“強(qiáng)身份驗(yàn)證”或“質(zhì)詢-響應(yīng)身份驗(yàn)證”。

應(yīng)用3：證明數(shù)據(jù)的來源和完整性。當(dāng)聯(lián)網(wǎng)機(jī)器通過網(wǎng)絡(luò)接收數(shù)據(jù)時(shí)，必須確保發(fā)送機(jī)器的身份，并確保數(shù)據(jù)在傳輸過程中未被修改。如果沒有這個(gè)，黑客可能會(huì)偽造虛假的網(wǎng)絡(luò)流量（欺騙），或篡改傳輸中的數(shù)據(jù)。如今，大多數(shù)網(wǎng)絡(luò)都使用協(xié)議來減輕這種風(fēng)險(xiǎn)，例如傳輸層安全性（TLS，以前稱為SSL），它將相互機(jī)器身份驗(yàn)證作為初始步驟（如上面的應(yīng)用程序），與兩臺(tái)機(jī)器之間的密鑰安全交換，以及基于密鑰的身份驗(yàn)證這兩臺(tái)機(jī)器之間交換的所有數(shù)據(jù)（而且經(jīng)常， 加密），使用交換的密鑰。這樣，數(shù)據(jù)的來源得到保證，因?yàn)殄e(cuò)誤的發(fā)送方?jīng)]有正確的會(huì)話密鑰，并且數(shù)據(jù)的完整性得到強(qiáng)制執(zhí)行，因?yàn)閷?duì)數(shù)據(jù)的任何修改都會(huì)導(dǎo)致接收方的驗(yàn)證失敗。

應(yīng)用4：證明計(jì)算機(jī)的程序來源。顯然，計(jì)算機(jī)或任何類型的連接設(shè)備都必須執(zhí)行合法軟件。將任意軟件注入此類設(shè)備的攻擊者可以控制其操縱的數(shù)據(jù)，包括個(gè)人用戶數(shù)據(jù)。攻擊者還可以將設(shè)備武器化，并使用它來攻擊網(wǎng)絡(luò)上的其他計(jì)算機(jī)（如 DoS 攻擊 – 拒絕服務(wù)）。這種身份驗(yàn)證也稱為“代碼簽名”，也使用公鑰加密：代碼簽名者使用私鑰對(duì)軟件進(jìn)行數(shù)字簽名，設(shè)備使用相應(yīng)的公鑰來確保軟件的來源。

應(yīng)用 5：證明。證明可以看作是對(duì)計(jì)算機(jī)當(dāng)前狀態(tài)的身份驗(yàn)證。計(jì)算機(jī)狀態(tài)可以是任何內(nèi)容，包括執(zhí)行的軟件/操作系統(tǒng)修訂版、計(jì)算機(jī)硬件修訂版、計(jì)算機(jī)配置、執(zhí)行的軟件已經(jīng)過身份驗(yàn)證的事實(shí)（如在以前的應(yīng)用程序中）以及其他問題的答案，例如：“是否應(yīng)用了上次操作系統(tǒng)更新？”或“防病毒軟件是否正在運(yùn)行？”。通常，狀態(tài)是一組屬性，用于在計(jì)算機(jī)中建立某種信任。在網(wǎng)絡(luò)通信中，這為機(jī)器之間提供了額外的保證。例如，即使您經(jīng)過了完全身份驗(yàn)證，您的銀行網(wǎng)站也可能拒絕您連接過時(shí)的操作系統(tǒng)版本。同樣，證明使用公鑰加密。

身份驗(yàn)證支持可信計(jì)算

如今，典型的信息安全 （InfoSec） 結(jié)合了上述所有功能，以提供所謂的“可信計(jì)算”：用戶向網(wǎng)絡(luò)應(yīng)用程序進(jìn)行身份驗(yàn)證，底層機(jī)器相互進(jìn)行身份驗(yàn)證，通過證明獲得相互可信度的保證，并驗(yàn)證流量的完整性，以便用戶和應(yīng)用程序之間的應(yīng)用程序級(jí)交換完全可靠。加密幾乎總是在此之上添加，以通過網(wǎng)絡(luò)保存用戶的個(gè)人數(shù)據(jù)。

還可以防止硬件假冒

與上面的應(yīng)用程序 2 一樣，強(qiáng)身份驗(yàn)證也是防止生產(chǎn)假冒設(shè)備的強(qiáng)大工具?；诠€或密鑰的身份驗(yàn)證可用于對(duì)一次性醫(yī)療設(shè)備等硬件設(shè)備進(jìn)行身份驗(yàn)證，以確保它們是真實(shí)的。在配件連接到主設(shè)備的情況下，設(shè)備可以使用質(zhì)詢-響應(yīng)身份驗(yàn)證來確認(rèn)設(shè)備是由授權(quán)制造商生產(chǎn)的，而不是克隆設(shè)備。設(shè)備可以通過證明對(duì)制造商密鑰的了解（如果使用密鑰身份驗(yàn)證）或擁有制造商認(rèn)證的私鑰（使用基于公鑰的身份驗(yàn)證時(shí)）來證明其真實(shí)性。

結(jié)論

總之，身份驗(yàn)證對(duì)于信息安全以及通過防止假冒設(shè)備的生產(chǎn)來確保用戶安全至關(guān)重要。

審核編輯：郭婷