目录

6.1 认证概述6.1.1 认证概念6.1.2 认证依据6.1.3 认证原理6.1.4 认证发展 6.2 认证类型与认证过程6.2.1 单向认证6.2.2 双向认证6.2.3 第三方认证 6.3 认证技术方法6.3.1 口令认证技术6.3.2 智能卡技术6.3.3 基于生物特征认证技术6.3.4 Kerberos认证技术6.3.5 公钥基础设施（KPI）技术6.3.6 单点登录6.3.7 基于人机识别认证技术6.3.8 多因素认证技术6.3.9 基于行为的身份鉴别技术6.3.10 快速在线认证（FIDO） 6.4 认证主要产品与技术指标6.4.1 认证主要产品6.4.2 主要技术指标 6.5 认证技术应用6.5.1 校园信任体系建设应用参考6.5.2 网络路由认证参考6.5.3 基于人脸识别机房门禁管理应用参考6.5.4 eID身份验证应用参考6.5.5 HTTP认证应用参考

6.1 认证概述

认证机制是网络安全的基础性保护措施，是实施访问控制的前提。

6.1.1 认证概念

认证是一个实体想另外一个实体证明其所声称的身份的过程。

在认证过程中，需要被证实的实体是声称者，负责检查确认声称者的实体是验证者。

通常情况下，双方要按照一定规则，声称者传递可区分其身份的证据给验证者，验证者根据所接收的声称者的证据进行判断，证实声称者的身份。

认证一般由标识（Identification）和鉴别（Authentication）两部分组成。

标识是用来代表实体对象（如人员、设备、数据、服务、应用）的身份标志，确保实体的唯一性和可辨识性，同时与实体存在强关联。标识一般用名称和标识符（ID）来表示。通过唯一标识符，可以代表实体。

鉴别一般是利用口令、电子签名、数字证书、令牌、生物特征、行为表现等相关数字化凭证对实体所声称的属性进行识别验证的过程。鉴别的凭据主要有所知道的秘密信息、所拥有的凭证、所具有的个体特征以及所表现的行为。

6.1.2 认证依据

认证依据也称为鉴别信息，通常是指用于确认实体（声称者）身份的真实性或者其拥有的属性的凭证。目前，常见的认证依据主要有四类：

所知道的秘密信息（Something You Know）

实体（声称者）所掌握的秘密信息，如用户口令、验证码等。所拥有的实物凭证（Something You Have）

实体（声称者）所持有的不可伪造的物理设备，如智能卡、U盾等。所具有的生物特征

实体（声称者）所具有的生物特征，如指纹、声音、虹膜、人脸等。所表现的行为特征

实体（声称者）所表现的行为特征，如鼠标使用习惯、键盘敲键力度、地理位置等。

6.1.3 认证原理

一般来说，认证机制由验证对象、认证协议、鉴别实体构成。

其中，验证对象是需要鉴别的实体（声称者）；认证协议是验证对象和鉴别实体（验证者）之间进行认证信息交换所遵从的规则；鉴别实体根据验证对象所提供的认证依据，给出身份的真实性或属性判断。

按照对验证对象要求提供的认证凭据的类型数量，认证可以分为单因素认证、双因素认证、多因素认证。

根据认证依据所利用的时间长度，认证可分为一次性口令（One Time Password）、持续认证（Continuous authentication）。

一次性口令简称OTP，用于保护口令安全，防止口令重用攻击。如短信验证码。

持续认证是指连续提供身份确认，其技术原理是对用户整个会话过程中的特征行为进行连续的监测，不间断地验证用户所具有的特性。持续认证的标志是将对事件地身份验证转变为对过程的身份验证。持续认证增强了认证机制地安全强度，有利于防止身份假冒攻击、钓鱼攻击、身份窃取攻击、社会工程攻击、中间人攻击。持续认证所使用地鉴定因素主要是认知因素（Cognitive factors）、物理因素（Physiological factors）、上下文因素（Contextual factors）。认知因素主要有眼手协调、应用行为模式、使用偏好、设备交互模式等。物理因素主要有左/右手、按压大小、手震、手臂大小和肌肉使用。上下文因素主要有事物、导航、设备和网络模式。

6.1.4 认证发展

与认证服务相关的法律规范主要有《中华人民共和国电子签名法》、《中华人民共和国网络安全法》、《商用密码管理条例》、《电子认证服务密码管理办法》、《电子政务电子认证服务业务规则规范》。

其中，《中华人民共和国电子签名法》确立了电子签名人身份认证地法律地位。《中华人民共和国网络安全法》中规定“国家实施网络可信身份战略，支持研究开发安全、方便的电子身份认证技术，推动不同电子身份验证之间的互认”。

6.2 认证类型与认证过程

按照认证过程中鉴别双方参与角色及所依赖地外部条件，认证类型可分为单向认证、双向认证和第三方认证。

6.2.1 单向认证

在认证过程中，验证者对声称者进行单方面的鉴别，而声称者不需要识别验证者的身份。

实现单向认证的技术方法有两种：

基于共享秘密

设验证者和声称者共享一个秘密KAB，IDA为实体A的标识，则认证过程如下：

第一步，A产生并向B发送消息（IDA,KAB）。

第二步，B收到（IDA，KAB）的消息后，B检查IDA和KAB的正确性。若正确，则确认A的身份。

第三步，B回复A验证结果消息。基于挑战响应

设验证者B生成一个随机数RB，IDA为实体A的标识，IDB为实体B的标识，则认证过程如下：

第一步，B产生一个随机数RB，并向A发送消息（IDB，RB）。

第二步，A收到（IDB，RB）消息后，安全生成包含随机数RB的秘密KAB，并发送消息（IDA，KAB）到B。

第三步，B收到（IDA，KAB）的消息后，解密KAB，检查RB是否正确。若正确，则确认A的身份。

第四步，B回复A验证结果消息。

6.2.2 双向认证

双向认证是指在认证过程中，验证者对声称者进行单方面的鉴别，同时，声称者也对验证者的身份进行确认，参与认证的实体双方互为验证者。

在网络服务认证过程中，双向认证要求服务方和客户方互相认证，客户方也认证服务方，这样就可以解决服务器的真假识别安全问题。

6.2.3 第三方认证

第三方认证是指两个实体在鉴别过程中通过可信的第三方来实现。可信的第三方简称TTP（Trusted Third Party）。

第三方与每个认证的实体共享秘密，实体A和实体B分别与它共享秘密密钥KPA，KPB。当实体A发起认证请求时，实体A向可信第三方申请获取实体A和实体B的密钥KAB，然后实体A和实体B使用KAB加密保护双方的认证消息。

实体A与实体B基于第三方认证的方案有多种形式，本文选取一种基于第三方挑战响应的技术方案进行阐述。设A和B各自生成随机数为RA、RB，IDA为实体A的标识，IDB为实体B的标识，则认证过程简要描述如下：

第一步，实体A向第三方P发送加密消息KPA（IDB，RA）。

第二步，第三方收到KPA（IDB，RA）的消息后，解密获取实体A消息。生成消息KPA（RA，KAB）和KPB（IDA，KAB），发送到实体A。

第三步，实体A发送KPB（IDA，KAB）到实体B。

第四步，实体B解密消息KPB（IDA，KAB），生成消息KAB（IDA，RB），然后发送给实体A。

第五步，实体A解密KAB（IDA，RB），生成消息KAB（IDB，RB）发送给实体B。

第六步，实体B解密消息KAB（IDB，RB），检查RB的正确性，若正确，则实体A认证通过。

第七步，B回复A验证结果消息。

6.3 认证技术方法

6.3.1 口令认证技术

口令认证是基于用户所知道的秘密而进行的认证技术，是网络常见的身份认证方法。

口令认证一般要求参与认证的双方按照事先约定的规则，用户发起服务请求，然后用户被要求向服务实体提供用户标识和用户口令，服务实体验证其正确性，若验证通过，则允许用户访问。

设用户A的标识为UA，口令为PA，服务方实体为B，则认证过程描述如下：

第一步，用户A发送消息（UA，PA）到服务方B。

第二步，B收到（UA，PA）消息后，检查UA和PA的正确性。若正确，则通过用户A的认证。

第三步，B回复用户A验证结果消息。

目前，服务方实体B通常会存储用户A的口令信息。一般安全要求把口令进行加密变换后存储，口令非明文传输。

但是，口令认证的不足是容易受到攻击，主要攻击方式有窃听、重放、中间人攻击、口令猜测等。因此，要实现口令认证的安全，应至少满足以下条件：

口令信息要安全加密存储；口令信息要安全传输；口令认证协议要抵抗攻击，符合安全协议设计要求；口令选择要求做到避免弱口令。

6.3.2 智能卡技术

智能卡是一种带有存储器和微处理器的集成电路卡，能够安全存储认证信息，并具有一定的计算能力。

智能卡认证根据用户所拥有的实物进行，智能卡认证技术广泛应用于社会的各个方面。

例如，通过智能卡来实现挑战/响应认证。在挑战/响应认证中，用户会提供一张智能卡，智能卡会一直显示一个随时间变化的数字。加入用户试图登陆目标系统，则系统首先将对用户进行认证，步骤如下：

用户将自己的ID发送到目标系统；系统提示用户输入数字；用户从智能卡上读取数字；用户将数字发给系统；系统用收到的数字对ID进行确认，如果ID有效，系统会生成一个数字并将其显示给用户，称为挑战；用户将上面的挑战输入到智能卡中；智能卡用这个输入的值根据一定算法计算出一个新的数字并显示这个结果，该数字称为应答；用户将应答输入系统；系统验证应答是否正确，如果正确，用户通过验证并登录进系统。

6.3.3 基于生物特征认证技术

基于生物特征就是利用人类生物特征来进行验证。

视网膜认证是根据人眼视网膜中的血管分布模式的不同来鉴别不同人的身份。

语音认证是依靠人的声音的频率来判断不同的人的身份。

指纹识别系统由指纹采集、指纹处理、指纹登记、指纹比对等技术模块组成。参照《信息安全技术 指纹识别系统技术要求》标准规范，其技术处理流程如图所示：

基于指纹识别系统的身份鉴别服务如图所示，其技术原理是指纹识别系统通过对获取的人类用户自身拥有的独一无二的指纹特征的鉴别结果 ，区分不同的人类用户身份。

人脸识别认证按照《信息安全技术 基于可信环境的远程人脸识别认证系统技术要求（征求意见稿）》标准规范，与指纹识别系统类似，人脸识别认证系统涉及人脸采集、人脸处理、人脸存储、人脸识别，如图所示，人脸识别认证系统一般由客户端、服务器端、安全传输通道组成。客户端由环境监测、人脸采集、活体检测、质量检测、安全管理等模块组成，模块应在可信环境中执行。服务器端由活体判断、质量判断、人脸注册、人脸数据库、人脸识别、比对策略、安全管理等模块组成。

虹膜特征是对虹膜图像进行特征分析，生成能区分个体的唯一的特征数据序列。虹膜识别系统是基于虹膜的特征对个体进行自动识别的系统。如图所示，虹膜识别系统一般包括图像采集、图像处理分析、虹膜登记处理、用户识别处理、数据存储、传输管理、回答信息处理等功能模块。系统实现两种基本功能：虹膜登记和用户识别。进行虹膜登记或用户识别时，由图像采集模块采集模块采集用户虹膜图像，经图像处理分析模块处理，当进行虹膜登记时，由虹膜登记处理模块生成虹膜登记信息并存入数据库；当进行用户识别时，由用户识别出来模块生成用户识别信息，并将识别信息与登记信息进行比对，得出识别结果。

6.3.4 Kerberos认证技术

Kerberos是一个网络认证协议，其目标是使用密钥加密为客户端/服务器应用程序提供强身份认证。其技术原理是利用对称密码技术，使用可信的第三方来为应用服务器提供认证服务，并在用户和服务器之间建立安全信道。

Kerberos由美国麻省理工学院（MIT）研制实现，已经经历了五个版本的发展，一个Kerberos系统涉及四个基本实体：

（1）Kerberos客户机，用户用来访问服务器设备；

（2）AS（Authentication Server，认证服务器），识别用户身份并提供TGS会话密钥；

（3）TGS（Ticket Granting Server，票据发放服务器），为申请服务的用户授予票据（Ticket）；

（4）应用服务器（Application Server），为用户提供服务的设备或系统。

其中，通常将AS和TGS统称为KDC（Key Distribution Center）。票据（Ticket）是用于安全的传递用户身份所需要的信息的集合，主要包括客户方Principal、目的服务方Principal、客户方IP地址、时间戳（分发该Ticket的时间）、Ticket的生存期、以及会话密钥等内容。Kerberos V5认证协议主要由六步构成，如图所示：

第一步，Kerberos客户向认证服务器AS申请票据TGT。

第二步，当认证服务器AS收到Kerberos客户发来的消息后，AS在认证数据库检查确认Kerberos客户，产生一个会话密钥，同时使用Kerberos客户的秘密密钥对会话密钥加密，然后生成一个票据TGT，其中TGT由Kerberos客户的实体名、地址、时间戳、限制时间、会话密钥组成。AS生成TGT完毕后，把TGT发送给Kerberos客户。

第三步，Kerberos客户收到AS发来的TGT后，使用自己的秘密密钥解密得到会话密钥，然后利用解密的信息重新构造认证请求单，向TGS发送请求，申请访问应用服务器AP所需要的票据（Ticket）。

第四步，TGS使用其秘密密钥对TGT进行解密，同时，使用TGT中的会话密钥对Kerberos客户的请求认证单信息进行解密，并将解密后的认证单信息TGT中信息进行比较。然后，TGS生成新的会话密钥以供Kerberos客户和应用服务器使用，并利用各自的秘密密钥加密会话密钥。最后，生成一个票据，其由Kerberos客户的实体名、地址、时间戳、限制时间、会话密钥组成。TGS生成TGT完毕后，把TGT发送给Kerberos客户。

第五步，Kerberos客户收到TGS的响应后，获得与应用服务器共享的会话密钥。与此同时，Kerberos客户生成一个新的用于访问应用服务器的认证单，并用与应用服务器共享的会话密钥加密，然后与TGS发送来的票据一并传送到应用服务器。

Kerberos协议中要求用户经过AS和TGS两重认证的优点主要有两点。

（1）可以显著减少用户密钥的密文的暴露次数，这样就可以减少攻击者对有关用户密钥的密文的积累。

（2）Kerberos认证过程具有单点登录（Single Sign On，SSO）的优点，只要用户拿到了TGT并且该TGT没有过期，那么用户就可以使用该TGT通过TGS完成到任一服务器的认证过程而不必重新输入密码。

但是，Kerberos也存在不足之处，Kerberos认证系统要求解决主机节点时间同步问题和抵御拒绝服务攻击。如果某台主机的时间被更改，那么这台主机就无法使用Kerberos认证协议了。如果服务器的时间发生了错误，那么整个Kerberos认证系统将会瘫痪。

尽管Kerberos V5由不尽人意的地方，但是它仍然是一个比较好的安全认证协议。目前，Windows系统和Hadoop都支持Kerberos认证。

6.3.5 公钥基础设施（KPI）技术

公钥密码体制不仅能够实现加密服务，而且也能提供识别和认证服务。除了保密性之外，公钥密码的可信分发也是其所面临的问题，即公钥的真实性和所有权问题。针对该问题，人们采用“公钥证书”的方法来解决，类似身份证、护照。

公钥证书是将实体和一个公钥绑定，并让其他的实体能够验证这种绑定关系。为此，需要一个可信的第三方来担保实体的身份，这个第三方称为认证机构，简称CA（Certification Authority）。CA负责颁发证书，证书中含有实体名、公钥以及实体的其他身份信息。而PKI（Public Key Infrastructure）就是有关创建、管理、存储、分发和撤销公钥证书所需要的硬件、软件、人员、策略和过程的安全服务设施。

PKI提供了一种系统化的、可扩展的、统一的、容易控制的公钥分发方法。

基于PKI的主要安全服务有身份认证、完整性保护、数字签名、会话密钥加密、密钥恢复。一般来说，PKI涉及多个实体之间的协商和操作，主要实体包括CA、RA、终端实体（End Entity）、客户端、目录服务器，如图所示：

PKI各实体的功能分别叙述如下：

CA（Certification Authority）：证书授权机构，主要进行证书的颁发、废止和更新；认证机构负责签发、管理、和撤销一组终端用户的证书。RA（Registration Authority）：证书登记权威机构，将公钥和对应的证书持有者的身份及其他属性联系起来，进行注册和担保；RA可以充当CA和它的终端用户之间的中间实体，辅助CA完成其他绝大部分的证书处理功能。目录服务器：CA通常使用一个目录服务器，提供证书管理和分发的服务。终端实体（End Entity）：指需要认证的对象，例如服务器、打印机、E-mail地址、用户等。客户端（Client）：指需要基于PKI安全服务的使用者，包括用户、服务进程等。

6.3.6 单点登录

单点登录（Single Sign On）是指用户访问使用不同的系统时，只需要进行一次身份认证，就可以根据这次登录的认证身份访问授权资源。

单点登录解决了用户访问使用不同系统时，需要输入不同系统的口令以及保管口令问题，简化了认证管理工作。

6.3.7 基于人机识别认证技术

基于人机识别认证利用计算机求解问题的困难性以区分计算机和人的操作，防止计算机程序恶意操作，如恶意注暴力猜解口令等。

基于人机识别认证技术通常称为CAPTCHA（Completely Automated Public Turning test to tell Computers and Humans Apart）技术。

CAPTCHA技术的工作机制是认证者事先有一个CAPTCHA服务器负责CAPTCHA信息的生成和测试，当用户使用需要CAPTCHA验证的服务时候，CAPTCHA服务器则给用户生成CAPTCHA测试，如果用户测试结果正确，则认证通过。

6.3.8 多因素认证技术

多因素认证技术使用多种鉴别信息进行组合，以提升认证的安全强度。

根据认证机制所依赖的鉴别信息的多少，认证通常称为双因素认证或多因素认证。

6.3.9 基于行为的身份鉴别技术

基于行为的身份鉴别是根据用户行为和风险大小而进行的身份鉴别技术。如图所示，通过分析用户的基本信息，获取用户个体画像，进而动态监控用户状态以判定用户身份，防止假冒用户登录或者关键操作失误。

目前，互联网企业，如腾讯、阿里巴巴等均已使用基于行为的身份鉴别技术。

6.3.10 快速在线认证（FIDO）

Fast IDentity Online 简称FIDO，FIDO使用标准公钥加密技术来提供强身份认证。FIDO的设计目标是保护用户隐私，不提供跟踪用户的信息，用户生物识别信息不离开用户的设备。FIDO的技术原理描述如下。

登记注册

如图所示，用户创建新的公私钥密钥对。其中，私钥保留在用户端设备中，之江公钥注册到在线服务。公钥将发送到在线服务并与用户账户关联。私钥和有关本地身份验证方法的任何信息（如生物识别测量或模板）永远不会离开本地设备。

登录使用

如图所示，当用户使用FIDO进行登录在线服务的时候，在线服务提示要求用户使用以前注册的设备登录。然后，用户使用与注册时相同的方法解锁FIDO身份验证器。用户根据账户标识符选择正确的密钥响应在线服务的挑战，并发送签名的质询到在线服务。最后，在线服务使用存放的用户公钥和日志来验证用户响应是否正确。若正确，则通过用户认证，允许登录在线服务。

FIDO协议给了用户客户端身份验证方法的通用接口，浏览器可以使用标准API调用FIDO进行身份验证。FIDO支持客户端不同的身份验证方法，如安全PIN、生物识别（人脸、语音、指纹、虹膜识别）以及符合FIDO标准要求的认证设备等，如图所示：

6.4 认证主要产品与技术指标

6.4.1 认证主要产品

系统安全增强

系统安全增强产品的技术特点是利用多因素认证技术增强操作系数据库系统、网站等的认证安全强度。采用的多因素认证技术通常是U盘+口令、智能卡+口令、生物信息+口令等。产品应用场景有U盘登录计算机、网银U盾认证、指纹登陆计算机/网站、邮箱等。生物认证

生物认证产品的技术特点是利用指纹、人脸、语音等生物信息对人的身份进行鉴别。目前市场上的产品有人证核验智能终端、指纹U盘、人脸识别门禁、指纹采集仪、指纹比对引擎、人脸自动识别平台。电子认证服务

电子认证服务产品的技术特点是电子认证服务机构采用PKI技术、密码算法等提供数字证书申请、颁发、存档、查询、废止等服务，以及基于数字证书为电子活动提供可信身份、可信时间和可信行为综合服务。目前国内电子认证服务产品有数字证书认证系统、证书管理服务器、可信网络身份认证、SSL证书、数字证书服务、时间戳公共服务平台、个人多源可信身份统一认证服务平台等。网络准入控制

网络准入控制产品的技术特点是采用基于802.1X协议、Radius协议、VPN等的身份验证相关技术，与网络交换机、路由器、安全网关等设备联动，对入网设备（如主机、移动PC、智能手机等）进行身份认证和安全合规性认证，防范非安全设备接入内部网络。身份认证网关

身份认证网关产品的技术特点是利用数字证书、数据同步、网络服务重定向等技术，提供集中、统一的认证服务，形成身份认证中心，具有单点登录、安全审计等安全服务功能。

6.4.2 主要技术指标

一般来说，认证技术产品的评价指标可以分成三类，即安全功能要求、性能要求和安全保障要求。认证技术产品的主要技术指标如下：

（1）密码算法支持：认证技术主要依赖于密码技术，因此，认证产品中的密码算法是安全性的重要因素。常见的密码算法类型有DES/3DES、AES、SHA-1、RSA、SM1/SM2/SM3/SM4。

（2）认证准确性：认证产品的真假率、拒真率。

（3）用户支持数量：认证产品最大承载的用户数量。

（4）安全保障级别：认证产品的安全保障措施、安全可靠程度、抵抗攻击能力等。

6.5 认证技术应用

（1）用户身份验证

（2）信息来源证实

（3）信息安全保护

6.5.1 校园信任体系建设应用参考

校园信息化的主要特点是以校园网络为基础，利用信息技术让学校教育科研机构、教育科研基础设施、教学资源等实现数字化、网络化、信息化，使得校园内的教师、学生可以利用计算机网络进行各种教学、科研和管理活动。与此同时，校园网络面临各种网络安全风险，其中包括身份冒用、信息泄密、数据篡改等问题。针对上述问题，某数字证书认证中心给出了校园网信任体系建设方案，该方案描述如下。

如图6-25所示，在校园内部建设数字证书发放和服务体系，进行数字身份凭证的管理。通过严格按照相关规范进行身份验证，实现对物理身份与数字身份的对应，并通过对数字证书的申请、发放、吊销、更新等管理过程，实现数字身份凭证的管理。建立的统- 认证管理系统，围绕整合的用户、应用系统等资源的管理，构建网络信任体系的基础设施平台。平台实现基于数字证书的身份认证，实现基于角色或资源的授权管理，实现统一的安全策略设定和维护，实现责任认定的安全审计。建立PKI应用支持系统，为校园内部其他应用系统提供可信的数据电文服务。

6.5.2 网络路由认证参考

路由安全是网络安全的基础，为了保证路由安全，路由器设备的访问及路由消息都需要进行认证。

用户认证

当一个用户访问路由器时，必须经过认证通过后才能被允许。某路由器用户名和设置口令配置如下：

Central# config t

Enter configuration commands， one per line. End with CNTL/Z.

Central (config) # username rsmith password 3d- zirc0nia

Central (config) # username rsmith privilege 1

Central (config) # username bjones password 2B-or-3B

Central (config) # username bjones privilege 1

路由器邻居认证

当两个相邻的路由器进行路由信息交换时，需要进行身份验证，以保证接收可信的路由信息，以防止出现未经授权的、恶意的路由更新。路由器邻居认证的类型有OSPF认证、RIPI证、EIGRP认证。认证模式有明文认证(Plaintext Authentication）、消息摘要认证（Message Digest Authentication)。明文认证不安全，口令容易被监听。为保护路由安全，一般推荐 采用消息摘要认证。OSPF认证配置信息如图所示：

路由器North和路由器East相邻，属于area 0。各路由器的OSPF认证配置如下：

North# config t

Enter configuration commands, one per line. End with CNTL/Z.

North(config)# router ospf 1

North (config-router)# network 14.1.x.y 0.0.255.255 area 0

North (config- router)#area 0 authentication mes sage-digest

North (config-router)# exit

North (config) # int eth0/1

North (config-if)#ip ospf message-digest-key 1 md5 routes-4-all

North(config-if)# end

North#

East# config t

Enter configuration commands, one per line. End with CNTL/Z.

East (config) # router ospf 1

East (config- router) #area 0 authentication message-digest

East (config-router) # network 14.1.x.y 0.0.255.255 area 0

East (config-router)# network 14.2.x.y 0.0.0.255 area 0

East (config-router) # exit

East (config) # int eth0

East (config-if)#ip ospf message-digest-key 1 md5 routes-4 all

East (config-if)# end

East#

6.5.3 基于人脸识别机房门禁管理应用参考

目前，机房出入人员身份复杂，存在伪造证件、替岗、擅自进入等安全问题。事后追查无法取证、相互推卸责任。

针对上述问题，机房人脸识别门禁管理系统应运而生，系统通过加强身份验证的严密性，提高了安全防范等级，有助于管理部门和保卫部门消除隐患、提高工作效率，该方案描述如下。如图6-27所示，基于人脸识别机房门禁管理系统利用先进的生物识别技术，通过人脸特征信息快速判断人员身份，客观控制门禁系统，彻底杜绝通过伪造证件冒名项替、利用他人证件通过及擅自进入的可能性。人员进出数据及现场记录图像可实时上传管理端，帮助管理者轻松、高效地进行安全管理工作。

6.5.4 eID身份验证应用参考

公民网络电子身份标识(简称eID)是国家网络安全的重要保障。eID是由国家主管部门颁发，与个人真实身份具有一-对应关系，用于在线识别公民真实身份的网络电子身份。由一对非对称密钥和含有其公钥及相关信息的数字证书组成。

按照《信息安全技术公民网络电子身份标识安全技术要求第3部分:验证服务消息及其处理规则》标准规范进行要求。eID身份验证涉及eID 服务平台、应用服务提供商和持有eID的用户。eID身份验证服务相关步骤如图6-28所示。

(1)应用服务提供商根据需要向eID服务平台发送服务请求。

(2)eID服务平台返回一个随机数作为本次验证服务的挑战。

(3)应用服务提供商完成相应的eID运算，将待传输数据按照所规定的格式作为验证请求，发送给eID服务平台。

(4)eID服务平台在本地执行相关的验证服务后，按照规定格式返回相应的验证结果给应用服务提供商。

6.5.5 HTTP认证应用参考

HTTP是Web服务器应用协议，支持的认证方式主要有基本访问认证（Basic Access Authentication，BAA）、数字摘要认证（Digest Authentication）、NTLM、Negotiate、Windows Live ID等，有关认证详见RFC 7235、RFC 7617、RFC 7616等文档。HTTP认证过程框架如图所示：

其中，BAA应用比较普遍。当远程用户访问需要认证Web资源时，浏览器弹出认证窗口，要求用户输入账号和口令，当认证通过后，Web服务器才授权用户访问，如图所示：