身份认证论文
- 格式:doc
- 大小:371.50 KB
- 文档页数:15
上海交通大学工程硕士学位论文ABSTRACT THE RESEARCH AND IMPLEMENTATION OF THE DYNAMICIDENTITY AUTHENTICATIONAbstractWith the global informationization and Internet popularization,network security gradually becomes the focus of people. The identity authentication service on which all the other security services depend is the first line of defense.This text analyz the defects of static authentication mechanism and presenting the rating and implementation of dynamic authentication mechanism; analyzing the drawbacks in application and potential outside attacks of authentication mechanism based on time synchronicity, and providing the IDCA with current the technology of DCA; With utilizing the uncertain factors in improved MD5 arithmetic, producing an encryption arithmetic whose passwords have nuance in every time.In the text,some new ideas and ways on the realization of identity authentication mechanism are raised, and main innovations are as follow:1、The algorithm MD5 which is used in the old system has been improved.2、It analyses the potential security risks of time synchronization dynamic encryptionmechanism, draws on the DCA, raises the IDCA, and enhances the security intensity of the dynamic identity authentication.3、Bring forward the ICM which alters the original metric coding mechanism toscrambling Base64 coding mechanism, it reduces the successful attack probabilities effectively.Only on the basis of cryptography, a highly-secure identity authentication system can be designed. This subject researches on the dynamic encryption mechanism and dynamic identity authentication mechanism, and puts forward a high safer identity authentication system.Keywords: Identity authentication; Dynamic password; MD5; Time synchronization;Double Continuous Authentication;上海交通大学学位论文原创性声明本人郑重声明:所呈交的学位论文,是本人在导师的指导下,独立进行研究工作所取得的成果。
摘要物联网中负责收集数据、执行命令的物联网设备和对数据进行计算、处理的物联网应用系统是物联网的两个重要组成部分,但是多样的设备和异构的应用系统让物联网处在物联网处在复杂的多域环境下。
跨域认证打破了不同信任域之间的信任隔阂,让实体无需重复注册,就可以与其他系统进行信息交互和通信。
但是跨域的实体超出了原有系统的安全管控边界,会对跨域访问的系统产生安全威胁,如果没有安全的跨域认证机制,可能会威胁整个系统的安全;同时,不同信任域的认证结果存在不确定性,如果没有合理的可信度量机制,单一的跨域认证机制难以保证认证的安全。
因此物联网的跨域身份认证,是物联网安全的重要研究问题。
本文针对物联网中跨域认证和可信度量的安全问题,对物联网的跨域认证问题展开研究,利用身份联盟来解决异构系统之间的身份管理问题,通过数字证书实现实体的跨域身份认证,并对跨域实体的可信度进行计算,提高系统的安全性。
主要研究内容包括以下两点:1.一种基于证书的物联网身份联盟跨域认证方案。
该方案将物联网环境下互为信任域的身份管理系统组成身份联盟,由联盟内的可信第三方密钥中心为实体签发跨域证书,实现了联盟内的跨域身份认证和数据安全,最后对方案的安全性和性能进行了分析,并且通过模拟实验对方案进行了验证。
2.一种基于设备可信度的物联网跨域认证方案。
该方案首先通过分析联盟中不同身份管理系统的身份认证方式,对身份管理系统的安全级别进行划分,之后提取实体在联盟中的跨域访问记录,结合其他系统对实体的评价,综合计算设备的可信度,从而减少了不同身份管理系统和认证机制对跨域认证结果的安全影响。
关键词:物联网,身份认证,跨域访问,可信度AbstractThe Internet of Things devices,which are responsible for collecting data and executing commands,and the Internet of Things application systems,which are responsible calculating and processing data,are two important components of the Internet of things.However,various devices and heterogeneous application systems make the Internet of Things in a complex multi-domain environment.Cross domain authentication can break the trust barrier between different trust domains and enables entities to interact and communicate with other systems without repeated registration.However,cross domain entities beyond the security control boundary of the original system will cause security threats to the cross domain access system.If there is no secure cross domain authentication mechanism,it may threaten the security of the whole system.At the same time,there is uncertainty in the authentication results of different trust domains.If there is no reasonable trust measurement mechanism,a single cross domain authentication mechanism is difficult to ensure the security of authentication.Therefore,the cross domain identity authentication of the Internet of Things is an important research issue of the security of the Internet of things.This thesis aims at the security problems of cross domain authentication and trust measurement in the Internet of things,researches on the problem of cross domain authentication on the Internet of Things,solves the identity management problems between heterogeneous systems by using identity federation,realizes cross domain identity authentication of entities by using digital certificates,and improves the security of the system by calculating the trust value of cross domain entities.The main research contents include the following two points:1.A cross domain authentication scheme of the identity federation of Internet of Things based on certificate.In this scheme,the identity management system of the trust domain in the environment of the Internet of Things is formed into an identity federation. The trusted third party key center in the federation generates certificates for cross domain authentication for entities,which realizes the cross domain identity authentication and data security in the federation.Finally,this thesis analyzes the security and performance of the scheme,and verifies the scheme through simulation experiments.2.A cross domain authentication scheme of Internet of Things based on the trust value of device.This scheme first divides the security level of the identity management system by analyzing the identity authentication methods of different identity management systems in the federation,then extracts the cross domain access records of entities in the federation,combines with the evaluation of other systems to entities,and comprehensively calculates the trust value of devices,so as to reduce the security impact of different identity management systems and authentication mechanisms on the cross domain authentication results.Keywords:Internet of things,authentication,cross domain access,reliability目录图录 (VII)表录 (VIII)第1章引言 (1)1.1研究背景及意义 (1)1.2国内外研究现状 (2)1.2.1物联网身份认证研究现状 (2)1.2.2信任度研究现状 (4)1.2.3存在问题 (4)1.3论文主要工作 (5)1.3.1研究内容 (5)1.3.2本文创新点 (5)1.4论文组织结构 (6)第2章相关理论基础 (7)2.1身份认证理论 (7)2.2基于密码学的身份认证 (8)2.2.1基于数字证书的身份认证 (9)2.2.2基于公钥的身份认证 (11)2.2.3基于身份标识的身份认证 (12)2.3相关密码学理论 (13)2.3.1群和有限域的概念 (13)2.3.2双线性对的概念 (14)2.3.3哈希函数的概念 (14)2.4身份认证可信度理论 (14)2.5本章小结 (17)第3章面向身份联盟的物联网跨域认证方案 (18)3.1跨域身份认证系统模型 (18)3.2方案的详细过程 (20)3.2.1系统初始化阶段 (21)3.2.2生成根证书 (22)3.2.3用户注册阶段 (24)3.2.4生成用户证书 (24)3.2.5验证签名 (26)3.2.6通信加密 (27)3.3安全性分析 (28)3.3.1系统模型安全性分析 (28)3.3.2系统参数安全性分析 (29)3.3.3签名算法安全性分析 (30)3.3.4通信加密算法安全性分析 (31)3.4效率分析 (32)3.5本章小结 (33)第4章基于可信度的物联网跨域认证方案 (34)4.1基于可信度的跨域认证模型 (34)4.2系统初始化模块 (36)4.2.1信任等级划分 (36)4.2.2颁发数字证书 (37)4.3用户注册模块 (37)4.4跨域认证模块 (38)4.5可信度评估模块 (39)4.6模型比较 (42)4.7本章小结 (43)第5章总结与展望 (44)5.1论文工作总结 (44)5.2未来工作 (44)参考文献 (45)致谢 (50)攻读硕士学位期间从事的科研工作及取得的成果 (51)图录图2.1数字证书身份认证流程图 (10)图2.2PKI技术流程图 (11)图2.3IBC技术流程图 (12)图2.4身份认证域的结构图 (16)图3.1跨域访问流程图 (19)图3.2联盟中统一身份标识模型图 (22)图3.3生成根证书和私钥实验结果图 (23)图3.4生成用户证书实验图 (25)图3.5验证数字签名实验图 (27)图3.6测试加解密实验图 (28)图4.1身份联盟下基于可信度的跨域身份认证流程 (35)图4.2用户注册模块流程 (38)图4.3可信度计算流程 (39)图4.4跨域认证记录模型 (40)图4.5信任路径树状图 (40)图4.6基于云的信任模型图 (42)表录表2.1证书结构和内容格式表 (9)表3.1方案所用的符号 (21)表3.2证书的信息和格式 (25)表3.3方案抵抗安全攻击分析表 (30)表3.4RSA和ECC的安全私钥长度对比表 (32)表3.5签名性能对比表 (32)表3.6方案各阶段的运行时间 (33)表4.1证书的组成结构和内容格式 (37)表4.2各信任度模型对比表 (42)第1章引言1.1研究背景及意义物联网顾名思义它就是物物交互相连的互联网,是一个强大的电子设备通信网络。
摘要Internet的广泛应用促使人们对网络安全的关注越来越深入,因此如何对网络通信中对收到的数据进行验证,保证网络交流的安全可靠性成为人们所关注的焦点。
数字签名与认证技术正是基于这样一种背景下应运而生。
PKI(Public Key Infrastructure 即公钥基础设施)技术可以有效的解决网络安全问题,其功能可归结为数据加密和数字认证两大功能。
目前PKI较好的解决方案是数字证书。
CA是PKI最重要也是最核心物组成部分,通常是用户团体所信任的第三方,如政府机构或金融机构。
使用数字签名保证了数据身份的确定性、不可篡改性和不可否认性。
数字证书的主要功能就是保存公钥和某个人或机构的对应关系。
X.509证书格式是应用广泛的一种数字证书格式,大多数的网络安全设施或电子交易过程中有广泛的应用。
本设计从数字认证中心的构建出发,通过构建CA认证管理中心通过对数字证书的有效管理来实现对网络可信任身份的保证,确保网络通信的安全。
关键词:网络安全,数字签名,数字认证中心,数字证书ABSTRACTThe extensive application of the Internet urges people to pay more and more attention to the network security, so how to verify the information that received through Internet to insure the security trustiness of the network communication becomes the focus of people’s attention. The technology of digital signature and digital certification occurs. PKI, public key infrastructure, could solve the issue of network security efficiently, which can make the data encrypted and certificated. CA, certification authority, is the most important kernel of PKI, which is usually trusted by a large crowd as the third party, such as the government or finance institution. Digital certificate is a good idea to resolve the security problem and also for PKI.The usage of digital signature guaranteed the certainty, non-sophisticate and non-disavowal of the data. The main function of the digital certificate is to store the corresponding relation between the public key and some person or some institution. X509 is the most extensive format of digital certificate. Many parts of network security infrastructure or electronic business have extensive application.The discourse starts from the setup of CA. I write a software named Center of CA Management, which ensures the authentic figure on the Internet through effective management of digital certificate.Key Words: Network security, Digital signature, CA, Digital certificate目录第一章概述 (1)1.1 背景 (1)1.2 解决办法 (1)1.3 我国数字认证中心(CA)的发展现状及存在的问题 (2)第二章非对称加密原理 (4)2.1 对称加密 (4)2.2 非对称加密与消息认证 (4)2.2.1 非对称加密 (4)2.2.2 消息认证 (5)第三章数字签名与公钥证书 (8)3.1 数字签名 (8)3.2 公钥证书 (8)3.2.1 问题的由来 (8)3.2.2 解决办法 (9)3.2.3 X.509证书 (10)3.3 PKI(公钥基础设施)的简介 (11)3.3.1 PKI的定义 (11)3.3.2 PKI的组成 (12)3.3.3 PKI使用的技术 (12)3.3.4 数字证书认证中心CA (13)第四章实现数字认证的总体设计 (15)4.1 CA的总体设计 (15)4.2 证书管理模块设计 (17)4.3 所做工作及开发工具介绍 (18)第五章数字认证的详细设计 (19)5.1 利用keytool.exe实现密钥库与证书的管理 (19)5.2 基于Java语言实现密钥库与证书的管理 (24)5.2.1 签发数字证书 (24)5.2.2 读取证书信息 (30)5.2.4 添加证书 (33)5.2.5 删除证书 (33)5.2.6 修改密钥库口令 (33)5.2.7 证书检验 (34)第六章总结 (38)第七章结束语 (39)参考文献 (40)第一章概述1.1 背景自20世纪90年代以来,计算机网络技术使得计算机应用得到进一步普及和发展,并在全球得以迅猛发展和延伸,成为当代发展最为迅猛的科学技术,其应用几乎已深入到人类社会活动和生活的一切领域。
浙江财经大学东方学院学年论文论文题目:浅析身份认证技术学生姓名戚佳佳指导教师张琼妮分院信息专业名称计算机科学与技术班级11计算机(2)班学号 **********2014 年 4 月 6 日浅析身份认证技术摘要:在这个信息化社会,计算机技术的发展使得信息安全问题倍受关注。
为了保证信息的保密性以及信息的完整性和有效性,认证技术在日新月异的生活中引申了出来。
数字签名技术在身份识别和认证、数据完整性、抗抵赖等方面具有其它技术所无法替代的作用,在这个高科技时代,出现了许多身份认证技术。
身份认证技术也在不断的发展和改进。
关键词:身份认证;信息技术;物理身份认证;生物认证技术1.身份认证技术的定义身份认证是指计算机及网络系统确认操作者身份的过程。
计算机系统和计算机网络是一个虚拟的数字世界,在这个数字世界中,一切信息包括用户的身份信息都是用一组特定的数据来表示的,计算机只能识别用户的数字身份,所有对用户的授权也是针对用户数字身份的授权。
而我们生活的现实世界是一个真实的物理世界,每个人都拥有独一无二的物理身份。
如何保证以数字身份进行操作的操作者就是这个数字身份合法拥有者,也就是说保证操作者的物理身份与数字身份相对应,就成为一个很重要的问题。
身份认证技术的诞生就是为了解决这个问题。
身份认证技术是在计算机网络中确认操作者身份的过程而产生的解决方法。
所谓“没有不透风的墙”,你所知道的信息有可能被泄露或者还有其他人知道,杨子荣就是掌握了“天王盖地虎,宝塔镇河妖”的接头暗号成功的伪造了自己的身份。
而仅凭借一个人拥有的物品判断也是不可靠的,这个物品有可能丢失,也有可能被人盗取,从而伪造这个人的身份。
只有人的身体特征才是独一无二,不可伪造的,然而这需要我们对这个特征具有可靠的识别能力。
认证是指核实身份的过程,是防止主动攻击的重要技术。
认证不能自动地提供保密性,而保密也不能自然地提供认证功能。
一个纯认证系统的模型如图1-1所示,在这个系统中发送者通过一个公开信道将信息传送给接收者,接收者不仅想收到消息本身,还要通过认证编码器和认证译码器验证消息是否来自合法的发送者以及消息是否被篡改。
毕业论文设计区块链数字身份认证系统设计与实现摘要:随着网络技术的发展和普及,人们的数字身份信息泄露和盗用问题日益突出,传统的身份认证方法已经难以满足安全需求。
区块链技术以其去中心化、不可篡改的特点成为数字身份认证的新兴技术。
本文基于区块链技术,设计并实现了一种安全可靠的数字身份认证系统,实现了用户身份信息的安全存储、用户身份认证和授权等功能。
关键词:区块链、数字身份认证、安全性、存储、认证、授权第一章绪论1.1 研究背景和意义本章主要介绍数字身份认证的研究背景和意义,包括数字身份认证的定义、研究现状和应用前景等方面,以及本研究的研究目的和意义。
1.2 相关研究综述本章对国内外数字身份认证的研究进行综述,包括数字身份认证的传统方法和存在的问题、区块链技术在数字身份认证中的优势和应用前景等方面,并分析现有研究的不足和未来研究的发展方向。
第二章区块链技术原理及应用现状本章主要介绍区块链技术的原理和应用现状,包括区块链的定义、特点、分类、技术原理和应用案例等方面,并探讨区块链技术在数字身份认证中的应用形式和方式。
第三章数字身份认证系统设计本章主要介绍基于区块链技术的数字身份认证系统的设计,包括系统的整体架构、数据结构、验证流程等方面,并详细讲解系统中各个模块的功能和实现方式。
第四章数字身份认证系统实现本章主要介绍基于区块链技术的数字身份认证系统的实现,包括系统的技术实现和系统测试等方面,以验证系统的可行性和实现效果。
第五章数字身份认证系统安全性分析本章主要对数字身份认证系统的安全性进行分析,包括系统的安全防护措施、数据隐私保护等方面,并通过安全性测试、模拟攻击等方法,探究系统安全性存在的问题和影响因素。
第六章数字身份认证系统优化措施和应用策略本章主要探讨基于区块链技术的数字身份认证系统的优化措施和应用策略,包括技术、数据、算法等方面,并提出相应的优化措施和应用策略,以提高数字身份认证系统的实际效果和推广效应。
人脸识别与身份验证论文素材人脸识别与身份验证人脸识别技术是一种通过分析人脸的生物特征来判别个体身份的技术。
随着科技的发展,人脸识别技术已经广泛应用于各个领域,特别是身份验证方面。
本论文将探讨人脸识别与身份验证的相关素材。
一、人脸识别技术的原理和应用人脸识别技术主要通过采集人脸图像,提取关键特征并将其与预先存储的数据进行比对来实现身份认证。
这项技术的核心是构建人脸特征模型和进行特征匹配。
通过分析人脸的关键特征点,如眼睛、鼻子、嘴巴等位置和形状,以及皮肤纹理和颜色等细节信息,可以对个体进行准确的身份识别。
人脸识别技术在现实生活中有广泛的应用。
例如,商店可以利用人脸识别技术对顾客进行身份验证,确保只有注册用户才能进入;机场和车站可以通过人脸识别技术对旅客进行快速安全检查;警察可以利用人脸识别技术来追踪犯罪嫌疑人等。
人脸识别技术不仅提高了安全性,还提供了便利性和效率。
二、人脸识别技术的挑战和问题尽管人脸识别技术已经取得了巨大的进展,但仍然存在一些挑战和问题。
首先,光照条件的变化会对人脸识别技术造成干扰。
在不同的光照条件下,人脸的阴影、亮度和颜色都会发生变化,这可能导致人脸识别的误识别率升高。
其次,人脸表情的变化也会影响人脸识别的准确性。
人脸识别技术通常建立在静态照片或视频帧上,但在实际应用中,人们的表情是多变的,例如微笑、皱眉等,这些表情变化可能导致人脸识别的失败。
此外,人脸识别技术还面临着个体差异、年龄变化、遮挡物等问题的挑战。
三、人脸识别技术的应用案例人脸识别技术已经在许多行业得到了广泛应用。
在金融领域,银行可以利用人脸识别技术对客户进行身份验证,增强交易的安全性。
在教育领域,学校可以采用人脸识别技术来管理学生的出勤情况,确保学生的安全。
在公共交通领域,地铁和公交系统可以使用人脸识别技术识别乘客,提供更加智能高效的服务。
在安防领域,人脸识别技术可以帮助警方抓捕犯罪嫌疑人,提高社会治安水平。
四、人脸识别技术的前景和发展方向人脸识别技术在未来将继续得到广泛应用和发展。
网络安全与身份认证技术的研究与实现学院:专业:姓名:学号:指导老师:摘要身份认证是实现信息安全的基本技术,在本文中简要的介绍下几种不同类别的身份认证以及身份认证中的协议。
关键词:身份认证基于密码基于地址生物特征零知识Kerberos SSL,网络安全引言在信息的传输与处理的过程中,有关如何保护信息使之不被非法窃取或篡改,亦即信息的认证与保密的问题,越快越多地受到关注。
在认证技术中,消息认证与身份认证是两大重要方面,其中消息认证用于保信息的完整性与抗否认性,身份认证则用于鉴别用户身份。
本文集中针对身份认证技术及应用作了简要分析课题研究背景计算机网络安全性研究始于本世纪60年代末期。
当时,计算机系统的脆弱性已日益为美国政府和私营部门的一些机构所认识。
但是.由于当时计算机的速度和性能较为落后.使_Lfj的范围也不广,再加上美国政府把它当作敏感问题而加以控制,因此有关计算机安全的研究一直局限在较小的范围。
进入80年代后.计算机的性能得到了极大的提高,应用范围也在不断扩人,计算机已遍及世界各个角落。
并且,人们利用互联网络把孤立的单机系统连接起来,相互通信和共享资源。
但是.随之而来并日益严峻的问题便是计算机信息安全问题。
人们在这方面所做的研究与计算机’性能和应用的飞速发展极不相适应。
因此,它己成为未来信息技术中的主要问题之一。
近年来,随着计算机技术的发展,Internet已经被广大计算机用户所认识和接受。
网络技术走出实验室,逐渐应用到公司、政府机关等大型办公场所,甚至于普通家庭。
可以说计算机网络特别是|nternet将成为2l世纪知识经济社会运行的必要条件,是一个国家政治、军事、经济以及社会生活正常运行的基础。
然而.随着网络普及的同时.信息共享达到了一个新的层次,其暴露的机会也大大增加。
特别是Intcmet是一个不设防的开放型系统,任何人都可以通过未受保护的外部环境和线路访问内部系统和信息,进行信息窃听、远程监控、攻击破坏等。
同时信息的共享性、可访问性与数据保密性是一对矛盾,它造成了网络系统保密困难。
一些黑客利用这些特点肆意入侵企业、政府机关的计算机,窃取机密信息,或者破坏被入侵的网络,使其陷入瘫痪,给企业、政府造成巨大损失。
黑客攻击己经是屡见不鲜了,就连包括Yahoo、AOL等在内的一些大型网站或知名公司也难逃厄运。
网络系统遭受的攻击,大部分是建立在入侵者获得已经存在的通信通道或伪装身份与用户建立通讯通道的基础上.使用包括消息窃听、身份伪装、消息伪造与篡改、消息重放等手段。
为了实施这些攻击手段,入侵者必须能够进入系统中。
在很多情况下,入侵者是系统的合法用户之一;而对于那些非法用户.最简单直接的方法便是破解合法用户的密码,尔后伪装成合法用户进入到系统中。
因此.用户身份验证和访问控制是网络安全中最直接也是最前沿的~道防线。
身份认证技术在信息安全中占有极其重要的地位,是安全系统中的第一道关卡。
用户在登录安全系统之前,必须首先向身份认证系统表明自己的身份。
身份验证系统首先验证用户的真实性,然后根据授权数据库中用户的权限设置确定其是否有权访问所申请的资源。
身份认证在安全系统中的地位极其重要,是最基本的安全服务,其它的安全服务都要依赖于它。
一旦身份认证系统被攻破,那么系统的所有安全措施将形同虚设。
黑客攻击的目标往往也就是身份认证系统。
大致上来讲,身份认证可分为用户与主机间的认证和主机与主机间的认证。
本文只讨论用户与主机间的身份认证方式。
用户与主机问的认证可以基于如下一个或几个因素:·用户所知道的信息,如口令;·用户所拥有的实物,如物理令牌;·用户所具有的生物特征,如指纹、声音等。
在计算机网络中,最常见而简单的访问控制方法是通过静态口令的匹配来确认用户的真实性。
但是.绝大部分计算机系统在使用普通的静态口令系统进行身份认证时.用户可以长时间多次利用同一口令进行登录.这种方式会带来许多安全隐患:很多用户为了方便,设定的口令中含有自己的信息(姓名、生日等),这种口令在有经验的黑客面前不堪一击:用户长期使用同一口令,其泄漏和被破解的危险性也与日惧增;太多数应用系统的口令通过明文传输,容易被监听者获取并滥用:操作人员的口令可能会不经意的泄漏(例如敲健顺序被他人看见等)。
事实证明,建立在静态口令之上的安全机制非常容易被黑客攻破。
因为静态密码存在咀上诸多的缺陷,任何窃取到密码的人都会显得完全真实.所以我们需要一种经常变化、能推测、一次性使用的动态口令来实现安全可靠的身份认证,阻止未经授权的访问。
因此有必要使用取因素认证,即增加第二个物理认证因素。
从而使认证的确定性按指数递增。
物理认证因素(如令牌(Token)动态密码)动态生成,无法预测,无法重复使用,高度安全,完全避免了传统口令的弱点。
双因素认证系统要求用户在接入之前必须具有物理的令牌,同时必须知道自己的PIN码(个人验证码,用于激活令牌)。
而使用特定加密算法生成动态密码有效的消除了风险,这个过程产生一个一次性口令,是无法被猜中、分享、破解的,丢失的密码或再次使用都会被禁止。
双因素认证系统可以唯一的确认用户.而且并不要求用户记忆一个新的口令。
论文正文:1 身份认证的概念身份认证是系统审查用户身份的过程,从而确定该用户是否具有对某种资源的访问和使用权限。
身份认证通过标识和鉴别用户的身份,提供一种判别和确认用户身份的机制。
计算机网络中的身份认证是通过将一个证据与实体身份绑定来实现的。
实体可能是用户、主机、应用程序甚至是进程。
身份认证技术在信息安全中处于非常重要的地位,是其他安全机制的基础。
只有实现了有效的身份认证,才能保证访问控制、安全审计、入侵防范等安全机制的有效实施。
在真实世界中,验证一个用户的身份主要通过以下三种方式:所知道的。
根据用户所知道的信息来证明用户的身份。
所拥有的。
根据用户所拥有的东西来证明用户的身份。
本身的特征。
直接根据用户独一无二的体态特征来证明用户的身份,例如人的指纹、笔迹、DNA、视网膜及身体的特殊标志等。
基于密码的身份认证:1 口令核对鉴别用户身份最常见也是最简单的方法就是口令核对法:系统为每一个合法用户建立一个用户名/口令对,当用户登录系统或使用某项功能时,提示用户输人自己的用户名和口令,系统通过棱对用户输人的用户名、口令与系统内已有的台法用户的用户名/口令对(这些用户名/口令对在收稿日期 2000—09—20系统内是加密存储的)是否匹配,如与某一项用户名/口令对匹配,则该用户的身份得到了认证。
这种方法的缺点是其安全性仅仅基于用户口令的保密性,而用户口令一般较短且容易猜测,因此这种方案不能抵御口令猜测攻击;另外,攻击者可能窃听通信信道或进行网络窥探(sniffing),口令的明文传输使得攻击者只要能在口令传输过程中获得用户口令,系统就会被攻破。
尤其在网络环境下,明文传输的缺陷使得这种身份认证方案变得极不安全。
解决的办法是将口令加密传输,这时可以在一定程度上弥补上面提到的第二个缺陷,但攻击者仍可以采用离线方式对口令密文实施字典攻击;加密传输口令的另一个困难是加密密钥的交换,当采用对称密钥加密方式时,要求认证方和被认证方共享一个密钥,但由于身份认证前双方的身份还不明确,不可能预先共享一个密钥,解决的办法是求助于第三方——一个可信任的权威机构,这就是下面要分析的认证方案的思想。
当采用非对称密钥加密方式时,口令可以用认证方的公钥加密,由于公钥可以通过公开的渠道获得,这时不存在采用对称密钥加密时遇到的那种矛盾,当然,这也需要密钥分发机制的配合。
由此可看到,身份认证与密钥分发经常是联系在一起的,所以,下面提到的许多认证协议中也包含了密钥分发的功能。
2 单向认证如果通信的双方只需要一方被另一方鉴别身份,这样的认证过程就是一种单向认证,前面提到的口令核对法实际也可以算是一种单向认证,只是这种简单的单向认证还没有与密钥分发相结合。
与密钥分发相结合的单向认证主要有两类方案:一类采用对称密钥加密体制,需要一个可信赖的第三方——通常称为KDC(密钥分发中心)或AS‘认证服务器).由这个第三方来实现通信双方的身份认证和密钥丹发;另一类采用非对称密钥加密体制.无需第三方参与。
需第三方参与的单向认证:(1)A— KT)C:ID IDB N 。
(2)KDC— A E EK lIT)B ll N 1】Em EKID ]](3)A—B:Ex EK。
ll ID ] E [M]。
无需第三方参与的单向认证:A—B:EKUb_K.]ll E M]。
当信息不要求保密时.这种无需第三方的单向认证可简化为 A—B:M }l E EH(M)]。
其中A、B为通信双方;KDC:为密钥分发中心;IDhIT)B:为A、B的标识,N 为序号;E :用A 和KDC 的密钥K。
加密;E b:用B和KDC 的密钥Kb加密;K :A、B的会话密钥;EKub:用B的公钥加密;E :用A 的秘密密钥加密;M :为明文;H(M):M 的散列值3 赋向认证在双向认证过程中.通信双方需要互相认证鉴别各自的身份,然后交换会话密钥,双向认证的典型方案如下:(1)A—KDc:ID^ IDB lI N 。
(2)KDC— A:Eh[K ll IT)B ll N ll E Kb[KID ]]。
(3)A—B:EKbEK ll ID^]。
(4)B—A:E Kl EN2]。
(5)A—B:EK U(N )]。
(其中f(N )为N 的某一个函数,其他符号约定同上 )这种认证在密钥交换时有两个阃题需要注意:(1)保密性:为了防止伪装或暴露会话密钥,基本认证与会话密钥必须以保密形式通信。
这就要求预先保存密钥供加密使用(2)实效性:应有效防止消息重放攻击。
常见的消息重放攻击有:简单重放(攻击者复制一条消息.以后再重新发送);可被日志记录的复制品【攻击者在一个合法有效的时闯窗内重放一个带时间戳的消息)}不能被检测到的复制品(原始信息被拦截,而重放的信息到达目的地);反向重放,不做修改(向发送者重放)对付重放的方法有:①在认证交换中使用一个序数来给每一个消息报文编号,仅当收到的消息序号合法时才接受之}②使用时间戳(A接受一个新消息仅当该消息包含一个A认为是足够接近A所知道的时间戳);③盘问/应答方式(A期望从B获得一个新消息.则先发给B一个临时值.并要求后续从B收到的消息包含正确的这个临时值)。
4. 零知识证明身份认证:4.1 零知识证明身份认证的概念零知识证明是由在20世纪80年代初出现的一种身份认证技术。
零知识证明是指证明者能够在不向验证者提供任何有用信息的情况下,使验证者相信某个论断是正确的。
4.2身份的零知识证明通常的身份认证都要求传输口令或身份信息(尽管是加密传输),如果不传输这些信息,身份也能得到证明就好了,这就需要身份的零知识证明技术。