网络身份认证技术的应用及其发展 随着全球化经济模式的出现以及科学技术的高速发展,网络技术应用越来越广泛。随着网民数量越来越多,网络越来越普及,出现网络安全问题也随之增多,怎样保证网民个人信息安全和保证网络数据的机密性、完整性等,是我们必须要重点解决的问题。而网络技术的不断发展进步,也让网络安全受到更多的关注,在安全系统中重点技术就是使用身份认证技术。本文主要分析了几种身份认证的技术和方式,目的在于让广大读者了解网络安全系统中的身份认证技术应用及其发展。 如今全球信息化的速度越来越快,全球的信息产业越来越重视信息安全,特别是现在信息网络化正是发达的时期,信息产业的发展离不开网络安全,如何在网络环境中建立起一个完善的安全系统,身份认证技术就成为了在网络安全中首先要解决的问题。 身份认证技术就是通过计算机网络来确定使用者的身份,重点是为了解决网络双方的身份信息是否真实的问题,使通讯双方在进行各种信息交流可以在一个安全的环境中。在信息安全里,身份认证技术在整个安全系统中是重点,也是信息安全系统首要“看门人”。因此,基本的安全服务就是身份认证,另外的安全服务也都需要建立在身份认证的基础上,使身份认证系统具有了十分重要的地位,但也最容易受到攻击。
一、身份认证的含义 身份认证技术简单意义上来讲就是对通讯双方进行真实身份鉴别,也是对网络信息资源安全进行保护的第一个防火墙,目的就是验证辨识网络信息使用用户的身份是否具有真实性和合法性,然后给予授权才能访问系统资源,不能通过识别用户就会阻止其访问。由此可知,身份认证在安全管理中是个重点,同时也是最基础的安全服务。 (一)身份认证技术的应用 信息安全中身份认证是最重要的一门技术,也是在网络安全里的第一道防线,可以很好的识别出访问的用户是否具有访问的权限,允许通过识别的用户进行访问操作,并进行一定的监督,防止出现不正当的操作情况,同时也是保护计算机不受病毒和黑客入侵的一个重要方法。使用者在进入网络安全系统的时候,先需要让身份认证系统识别出自己的身份,通过了身份认证系统识别以后,再依据使用者的权限、身份级别来决定可以访问哪些系统资源和可以进行哪些系统操作权限。与此同时,进入安全系统时,检测系统需要进行登记,包括记录、报警等,对用户的行为和请求进行记录,并识别出是否入侵了安全系统。 (二)基于网络的身份认证 身份认证系统在安全系统中非常重要,虽然它是最基础的安全服务,但是另外的安全服务都需要它才能完成,只要身份认证系统受到攻击入侵,就会导致系统里的安全措施都无法产生作用,而黑客入侵的首要目标一般都是先攻破身份认证系统。但是因为网络连接具有复
收稿日期:2011-06-20;修回日期:2011-09-25基金项目:国家自然科学基金项目(61070170) 作者简介:王婷婷(1990-),女,研究方向为网络安全;朱艳琴,教授,研究方向为计算机网络、信息安全技术、应用密码学等。 基于身份的抗密钥泄露加密系统的设计与实现 王婷婷,朱艳琴 (苏州大学计算机科学与技术学院,江苏苏州215006) 摘 要:1984年Shamir 提出的基于身份的加密方案简化了公钥生成和分发的工作,解放了公钥证书,但该方案存在密钥托 管、公钥撤销、执行效率等问题。针对这些问题,在VC++6.0的环境下,有效利用PBC 工程中定义的大数结构,在不依赖随机神谕模型的基础上,设计并实现了抗密钥泄露IBE 加密系统。与其他加密系统相比,该系统计算效率更为高效,且支持接收者匿名。由于该加密系统拥有较好的防御入侵能力,在网络安全通信、web 应用服务、电子商务、电子政务等方面存在着良好的应用前景。 关键词:基于身份的加密;PBC 工程;抗密钥泄露IBE 中图分类号:TP309 文献标识码:A 文章编号:1673-629X (2012)02-0185-04 Design and Realization of Leakage -Resilient Identity -Based Public Key Encryption System WANG Ting-ting ,ZHU Yan-qin (School of Computer Science and Technology ,Soochow University ,Suzhou 215006,China ) Abstract :1984,Shamir proposed an identity-based encryption scheme ,which simplifies the work of generating and distributing public key.So don ’t need public key certificate any more.However ,there are some problems like key escrow program ,the public key revoca-tion ,the efficiency and other issues.To solve these problems ,in the environment of VC++6.0,without relying on the random oracle model ,design and realize the leakage-resilient system based on the structure of large numbers defined in PBC project.Compared to the other encryption systems ,it calculates more efficiently and allows anonymous receiver.Since the encryption system has a superior ability to resist invasion ,there is a good prospect of application in the field of safe network communications ,web application service ,electronic commerce ,electronic government affair and so on. Key words :identity-based encryption ;pairing-based cryptography ;leakage-resilient identity-based encryption 引 言 1984年Shamir 提出了基于身份的密码系统的思想 [1] 。在这种密码系统中,用户的公钥是用户的身份信息, 如e-mail 地址、IP 地址和电话号码等。用户的私钥是由私钥生成中心(private key generators ,PKG )产生的。因为基于身份的密码系统不需要数字证书,所以它避免了传统公钥密码系统建立和管理公钥基础设施(public key infrastructure , PKI )的困难。文中基于IBE 基本思想设计了一个“基于身份的抗密钥泄露加密系统”,该系统并不需要随机神谕模型,其核心算法是基于素数阶群和高效双线性映射函数实现的,操作的基本单位是大数点对,同时双线性映射函数在进行大数映射操作时提供较低的时间复杂度 和较大的数据吞吐量。因此,该加密系统具有较高的计算效率。另外,整个加解密过程仅需要常数次的群运算,较已有的同类算法 [2] ,用户方私钥以及用于加解 密的密钥生成器(PKG )端所需的公共参数的个数更少,长度更短。同B.Waters 在2005年欧密会上所设计方案 [3] 相比,本系统只需要5个群元素和1个hash 函数构成PKG 的公共参数,而B.Waters 方案需N +4个群元素,其中N 表示用户ID 所需比特数。同时,系统是接收方匿名的,即窃听者很难分辨哪个标识是用来生成一段特定的密文。这一设计也大大提高了系统的安全性。 1 预备知识 1.1 双线性映射 假设G 和是两个阶为p 的循环乘法群, g 是G 的一个生成元,假设G 和的离散对数问题是困难的。如果映射e :G ?G 具有如下性质,则该映射是双线性映射。 第22卷第2期2012年2月 计算机技术与发展 COMPUTER TECHNOLOGY AND DEVELOPMENT Vol.22No.2Feb.2012
信息安全技术及应用 ————————身份认证技术与应用 当今,信息安全越来越受到人们的重视。建立信息安全体系的目的就是要保证存储在计算机及网络系统中的数据只能够被有权操作 的人访问,所有未被授权的人无法访问到这些数据。这里说的是对“人”的权限的控制,即对操作者物理身份的权限控制。不论安全性要求多高的数据,它存在就必然要有相对应的授权人可以访问它,否则,保存一个任何人都无权访问的数据有什么意义?然而,如果没有有效的身份认证手段,这个有权访问者的身份就很容易被伪造,那么,不论投入再大的资金,建立再坚固安全防范体系都形同虚设。就好像我们建造了一座非常结实的保险库,安装了非常坚固的大门,却没有安装门锁一样。所以身份认证是整个信息安全体系的基础,是信息安全的第一道关隘。 1.身份认证技术简介 相信大家都还记得一个经典的漫画,一条狗在计算机面前一边打字,一边对另一条狗说:“在互联网上,没有人知道你是一个人还是一条狗!”这个漫画说明了在互联网上很难识别身份。 身份认证是指计算机及网络系统确认操作者身份的过程。计算机系统和计算机网络是一个虚拟的数字世界,在这个数字世界中,一切
信息包括用户的身份信息都是用一组特定的数据来表示的,计算机只能识别用户的数字身份,所有对用户的授权也是针对用户数字身份的授权。而我们生活的现实世界是一个真实的物理世界,每个人都拥有独一无二的物理身份。如何保证以数字身份进行操作的操作者就是这个数字身份合法拥有者,也就是说保证操作者的物理身份与数字身份相对应,就成为一个很重要的问题。身份认证技术的诞生就是为了解决这个问题。 如何通过技术手段保证用户的物理身份与数字身份相对应呢?在真实世界中,验证一个人的身份主要通过三种方式判定,一是根据你所知道的信息来证明你的身份(你知道什么),假设某些信息只有某个人知道,比如暗号等,通过询问这个信息就可以确认这个人的身份;二是根据你所拥有的东西来证明你的身份(你有什么) ,假设某一个东西只有某个人有,比如印章等,通过出示这个东西也可以确认这个人的身份;三是直接根据你独一无二的身体特征来证明你的身份(你是谁),比如指纹、面貌等。 所谓“没有不透风的墙”,你所知道的信息有可能被泄露或者还有其他人知道,杨子荣就是掌握了“天王盖地虎,宝塔镇河妖”的接头暗号成功的伪造了自己的身份。而仅凭借一个人拥有的物品判断也是不可靠的,这个物品有可能丢失,也有可能被人盗取,从而伪造这个人的身份。只有人的身体特征才是独一无二,不可伪造的,然而这需要我们对这个特征具有可靠的识别能力。
身份认证技术的发展与展望 Internet迅猛发展带来了信息共享与安全这对矛盾共同体,加强网络安全建设、保障网络的安全运行成为网络存在的根本之道。网络身份认证技术发展到今天已经成为信息管理系统中必不可少的一部分,扮演着网络系统“看门人”的角色。 针对不同的安全威胁,目前存在多种主机安全技术和相关安全产品,如防病毒技术、个人防火墙、安全应用程序(如文件加密程序)、安全操作系统等。这些技术和产品在一定程度上满足人们的安全需求,却没有很好地解决以下两个问题: (1)系统访问,即开机时的保护问题,目前普遍采用的是基于口令的弱身份认证技术,很容易被攻破而造成泄密; (2)运行时保护,即在合法用户进入系统后因某种原因暂时离开计算机,此时任何人员均可在此系统之上进行操作,从而造成泄密。
将密码写在记事本上挂在电脑旁边,这样的事情相信很多公司的员工都曾经为之。出于安全的要求,现在公司的安全策略普遍要求员工的登陆密码要定期更换,而且不能重复,这使得想出一个自己能记住的长串密码成为一件让员工头疼的事情。为了便于记忆,员工往往会选择常用词或者号码作为密码,如果攻击者使用“字典攻击法”或者穷举尝试法来破译,很容易被穷举出来。传统的账号加密码的形式,账号基本上都是公开的,密码容易被猜中,容易忘记,也容易被盗。据统计,一个人平均下来要记15到20个密码。静态密码的隐患显而易见,尤其是在证券、银行等行业,轰动一时的“银广夏盗卖案”早就为业界敲响了警钟。 为了解决静态密码的安全问题,一种方式是同一个人员使用不同的密码进入不同的应用系统,避免所有的鸡蛋都在一个篮子里面的问题,然而需要记忆多个密码;第二种方式,采用软件VPN方式,登陆前先要使用VPN连接,这样可以面向一部分机器开放,但是第一次使用时下载VPN软件,每次访问
s e a r c h 学术研究 张庆胜,程登峰,丁瑶,王磊(航天信息股份有限公司,北京100097) 【摘 要】随着互联网的快速发展,信息安全问题显得日益重要。公钥密码技术能够保证互联网上信息传输的安全,目前PKI技术已获得一些应用,由于其复杂的使用步骤以及繁琐的后台证书管理问题,在某些领域和某些方面其使用受到很大的局限性。IBE技术不采用数字证书的概念,用户使用和后台管理都很方便,特别适合企业和外部用户进行安全信息传输的情况。 【关键词】密码技术;公钥基础设施;基于身份标识的加密 【中图分类号】TP393 【文献标识码】A 【文章编号】1009-8054(2008) 06-0086-03 Identity Based Encryption Technology ZHANG Qing-sheng, CHEN Deng-feng, DING Yao, WANG Lei (Aisino Corporation, No. Jia 18, Xing-Shi-Kou Road, Hai Dian Disttrict, Beijing 100097, China) 【Abstract 】With the fast development of Internet, the problem of information security becomes increasingly important.Public Key Cryptography can ensure the security of information transmission on Internet. Now PKI(Public Key Infrastructure) technology acquires some application, however this application is severely restricted in some fields and aspects because of its complicated steps and tedious background some certificate management issues. IBE(Identity Based Encryption) technology adopts no concept of digital certificate, and it is particularly suited to the case of secure informa-tion transmission between enterprises and their external users, and quite convenient for use and management.【Keywords 】cryptography; PKI; IBE 基于身份标识的加密技术 0 引言 随着Internet的迅猛发展,信息安全也越来越受到人们的重视,要真正实现互联网上交易与信息传输的安全,就必须满足机密性、真实性、完整性、不可抵赖性4大要求[1]。公钥密码技术是能够满足以上四大要求的统一技术框架。PKI(Public Key Infrastructure)的中文名称为公钥基础设施,它是一种公钥密码技术,经过了数十年的研究和发展,已在诸多领域获得广泛应用。 目前的网上银行、网上证券以及电子商务等都依赖于 PKI技术。在PKI技术中,由于每个用户需要事先申请数 字证书,用户使用复杂,后台管理也异常繁琐,这样PKI技术在某些领域的应用受到了很大的局限性。 IBE(Identity-Based Encryption)的中文名称为基于身份的加密,也是一种公钥密码技术,它直接利用用户的唯一身份标识作为公钥,不采用数字证书的概念,用户使用和后台管理都很简单,有广泛的应用前景。 1 IBE技术简介 早在1984年,RSA公钥密码技术的发明者之一—Adi Shamir教授就提出了基于身份加密(IBE)的思想[2],但在那时还没有具体方法在实际中实现这一思想,IBE技术成 为密码学界未解决的主要问题之一。直到2001年,基于椭圆曲线密码技术和Weil配对数学理论,斯坦福大学计算机科学技术系的教授Dan Boneh和加州大学戴维斯分院的教授Matt Franklin分别发明了具体可实施的IBE方案[3]。
本技术公开了一种改进的格上基于身份的全同态加密方法。该方法按照以下步骤实施:首先利用一种新型陷门函数与对偶LWE算法相结合,构造一个改进的标准模型下格上基于身份的加密方案,然后利用特征向量的思想将该方案转化为一个改进的标准模型下格上基于身份的全同态加密方案。本技术所公开的方法消除了基于身份全同态加密运算密钥的问题,且所生成的格的维数更低,具有更高的实际应用可行性。 权利要求书 1.一种改进的格上基于身份的全同态加密方法,其特征在于采用两层结构设计:首先将新型陷门函数与对偶LWE算法相结合,构造一个改进的标准模型下格上基于身份的加密方案iIBE,然后利用特征向量方法将iIBE转化为标准模型下格上基于身份的全同态加密方案IBFHE;IBFHE方案包括私钥生成中心,云服务方,消息发送方和消息接收方,它们之间采用双向通信; 所述改进的格上基于身份的全同态加密方法具体实施步骤是: 首先构造标准模型下的格上基于身份的加密方案iIBE: iIBE方案需要以下基本参数:均匀随机矩阵和其陷门其中n是安全参数,m=O(n log q),w =nk,模数q=q(n);构造一个公开矩阵其中In是n×n单位矩阵,FRD编码函数H1: 系统建立算法iIBE-Setup(1n):选取均匀随机矩阵选取n维均匀随机向量运行陷门生成算法TrapGen(1n,1m,q,H),其中为随机的可逆矩阵;输出矩阵和格Λ⊥(A)的陷门矩阵输出MPK=(A,u),MSK=R; 用户密钥提取算法iIBE-Extract(MPK,MSK,id):利用FRD编码函数H1:将用户身份id映射为一个可逆矩阵运行原像采样算法SampleL(A,Hid·G,R,u,σ),输出用户密钥e,满足Aide=u,其中
身份认证系统技术方案
目录
1. 概述 前言 随着网络技术的高速发展,个人和企业将越来越多地把业务活动放到网络上,因此网络的安全问题就更加关键和重要。据统计,在全球范围内,由于信息系统的脆弱性而导致的经济损失,每年达数十亿美元,并且呈逐年上升的趋势。 利用数字证书、PKI、对称加密算法、数字签名、数字信封等加密技术,可以建立起安全程度极高的身份认证系统,确保网上信息有效、安全地进行,从而使信息除发送方和接收方外,不被其他方知悉(保密性);保证传输过程中不被篡改(完整性和一致性);发送方确信接收方不是假冒的(身份的真实性和不可伪装性);发送方不能否认自己的发送行为(不可抵赖性)。 本方案根据*****的业务流程、管理模式的实施方案,充分运用现代网络信息技术及CA认证体系,建立*****身份认证系统,并可作为公务网CA的配套系统。 身份认证系统用户认证需求描述 在*****业务发展过程中,为了更好的实现数据资源共享,充分发挥信息化对***系统发展的促进作用,将综合开发一套身份认证系统对目前的用户身份进行管理,为社会、相关职能部门以及各级机构提供服务。 在此系统的开发应用过程中,一个重要的任务是解决如何对应用系统用户进行身份认证从而确保数据的安全。下面将针对在此系统的开发应用中对用户身份认证所做的需求加以说明。 整个系统的逻辑结构如图1所示: 图1:系统逻辑结构示意图 如图1示,整个系统涉及了应用服务器、证书服务器以及相应的客户端。
系统运作流程简述如下: 客户端访问应用服务器,应用服务器向认证服务器发出认证请求; 认证服务器完成对用户身份的认证并将与该用户相对应的认证信息 返回相应的应用服务器; 用户在通过认证之后获得在应用服务器获得相应的授权,从而可以 对应用系统进行相应的访问。 所提交的认证系统在满足上述流程之外需要提供应用开发接口,满足与应用服务器之间的交互。这是将认证系统集成到整个身份认证系统的基础条件,使得后续的开发工作能够利用认证信息做进一步的数据处理。考虑到平台的兼容性,应用系统开发方可以开发一个统一的接口程序与认证系统进行交互。另外还有如下几点要求需注意: 认证服务器的用户信息需要依据数据库服务器中的用户信息为基 础; 对于客户端的身份认证最好采用硬件方式; 客户端通过广域网连接到认证服务器,要求认证服务器是能够面向 广域网用户的; 客户端数量可以按250用户计算; 提供认证系统的安全模式说明,详细介绍如何确保系统的安全; 系统对认证系统的操作系统平台无特殊要求。 身份认证系统认证解决之道 根据身份认证系统的设计原则,系统安全需要解决如下几个方面的问题:数据的保密性。包括数据静态存储的保密性和数据传输过程中的保 密性; 有效的身份认证和权限控制。系统中的各个授权人员具有其特定级 别的权限,可以进行该权限的操作,无法越权操作;操作者事后无 法否认其进行的操作;未授权人员无法进入系统。 我们建议利用业界行之有效的高强度的加解密技术和身份认证技术保证身
强身份认证相关技术及应用 一、应用系统现存问题 问题1:身份认证问题 弱口令问题:存在各种弱口令、口令生命周期等各种安全问题,安全性低 不可追究性:无法也不可能真实实现将用户与其本人真实身份一一对应起来 易被监听窃取:采用明文传输,容易被截获破解并冒用,降低了系统的安全性 问题2:权限管理问题 权限:如何根据职能与工作需要为信息网上的每个用户合理的划分使用范围与访问权限 角色:多个系统,多种应用多个角色群体如何合理的分配、设定、并与应用系统有机的结合 问题3:访问控制问题 ①不同的信息应用采用了不同的授权模式,各系统的授权信息只在本系统内有 效,不能共享 ②无法在非安全的、分布式环境中使用 ③难以满足各部门对跨地区、跨部门的信息共享和综合利用的需求 二
三、技术方案 双因子认证和单点登录(SSO,Single Sign-On) 现有系统和新建系统单点登录方案 四、强身份认证技术 强身份认证技术包括:静态口令识别、智能卡识别、生物识别 优点: 1、双因子(2-factor)或者多因子认证,有效防止冒充,增强可靠性; 2、避免每种认证的缺陷,综合多种认证的优点; 五、强身份认证产品 1、强身份认证产品能解决哪些问题 ? 应用于企业应用系统的安全身份认证(防止口令密码被猜测或复制) ? 用于增强公网访问应用系统的安全性(从互联网访问的应用系统) ? 用于增强应用系统数据传输安全(用户可使用安全链接访问应用系统) ? 用于提升关键操作的安全性(用户关键操作要求额外认证) 2、强身份认证功能 ? CA认证(数字证书/USB智能卡) ? 动态令牌认证 ? 指纹认证 ? 手机短信动态密码认证 3、单点登录功能 ? 插件方式 ? 代理方式 ? 反向代理方式 ? 多种主流产品的单点登录适配器 UAP统一身份认证及访问控制产品 目标客户群 ? 需要整合多个应用系统方便用户访问的单位与公司
身份认证技术 文稿归稿存档编号:[KKUY-KKIO69-OTM243-OLUI129-G00I-FDQS58-
身份认证技术 摘??要:当今,信息安全越来越受到人们的重视。建立信息安全体系的目的就是要保证存储在计算机及网络系统中的数据只能够被有权操作的 人访问,所有未被授权的人无法访问到这些数据。身份认证技术是 在计算机网络中确认操作者身份的过程而产生的解决方法。计算机 网络世界中一切信息包括用户的身份信息都是用一组特定的数据来 表示的,计算机只能识别用户的数字身份,所有对用户的授权也是 针对用户数字身份的授权。如何保证以数字身份进行操作的操作者 就是这个数字身份合法拥有者,也就是说保证操作者的物理身份与 数字身份相对应,身份认证技术就是为了解决这个问题,作为防护 网络资产的第一道关口,身份认证有着举足轻重的作用。通过认 识,掌握身份认证技术,使自己的网络信息资源得到更好的保障。 本文主要介绍了身份认证技术的概念、常见的几种身份认证方式及 身份认证技术的应用。 关键词:身份认证技术身份认证方法身份认证方式认证应用身份识别 正文: 一、身份认证技术简介 相信大家都还记得一个经典的漫画,一条狗在计算机面前一边打字,一边对另一条狗说:“在互联网上,没有人知道你是一个人还是一条狗!”这个漫画说明了在互联网上很难识别身份。
身份认证是指计算机及网络系统确认操作者身份的过程。计算机系统和计算机网络是一个虚拟的数字世界,在这个数字世界中,一切信息包括用户的身份信息都是用一组特定的数据来表示的,计算机只能识别用户的数字身份,所有对用户的授权也是针对用户数字身份的授权。而我们生活的现实世界是一个真实的物理世界,每个人都拥有独一无二的物理身份。如何保证以数字身份进行操作的操作者就是这个数字身份合法拥有者,也就是说保证操作者的物理身份与数字身份相对应,就成为一个很重要的问题。身份认证技术的诞生就是为了解决这个问题。 身份认证技术是在计算机网络中确认操作者身份的过程而产生的解决方法。 所谓“没有不透风的墙”,你所知道的信息有可能被泄露或者还有其他人知道,杨子荣就是掌握了“天王盖地虎,宝塔镇河妖”的接头暗号成功的伪造了自己的身份。而仅凭借一个人拥有的物品判断也是不可靠的,这个物品有可能丢失,也有可能被人盗取,从而伪造这个人的身份。只有人的身体特征才是独一无二,不可伪造的,然而这需要我们对这个特征具有可靠的识别能力。 二、身份认证方法 在真实世界,对用户的身份认证基本方法可以分为这三种: 1) 根据你所知道的信息来证明你的身份 (你知道什么); 2) 根据你所拥有的东西来证明你的身份 (你有什么);