精选网络安全05-认证技术
- 格式:pptx
- 大小:856.95 KB
- 文档页数:90


浅谈计算机网络安全的身份认证技术
摘 要:伴随着科学技术的快速进步和经济全球化的趋势更加明显,网络技术得以迅速发展和普及,在改革开放不断深化和市场经济快速发展的中国,网络得到了迅猛的发展。据中国互联网络信息中心(cnnic)在京发布第31次《中国互联网络发展状况统计报告》显示[1],截至2012年12月底,我国网民规模达到5.64亿,互联网普及率为42.1%,保持低速增长。如何应对网络快速普及、网民数量迅速膨胀带来的网络安全问题,如何保证网络上数据传播的机密性、可认证性、完整性和不可否认性,如何更好的保障网民个人信息安全应该是我们应该思考的问题。本文对身份认证常用的方法和技术进行分析,对网络安全系统中的身份认证技术进行简单的探讨。
关键词:网络安全;身份认证;口令
中图分类号:tp393.08
网络技术的普及和发展、信息的共享和应用给人们的工作和生活带来深远的影响。在带来巨大便利的同时,网络安全问题也日益突出而且越来越复杂。据《半月谈》社情民意调查中心2012年5月通过半月谈网进行的一项3046人参与的在线调查发现,有七成网民曾遭遇过个人信息泄露。其中,有30%的网民表示曾多次遭遇此类情况。网络的安全和可靠性逐渐成为人们共同关注的焦点,计算机网络必须采取更加安全的措施,才能够把计算机网络安全做到实处。身份认证是指计算机及网络系统确认操作者身份是否合法的过程,计算机身份认证技术是保护网络信息安全的第一道防线,是最基本的安全服务。本文从介绍身份认证在计算机网络安全保护中的重要地位出发,探讨计算机网络安全身份确认技术的常用方法和发展趋势。
1 身份认证在计算机网络安全保护中的重要地位
身份认证技术在信息安全中占有非常重要的地位,是网络安全中最直接、最前沿的一道防线,是鉴别合法用户与非法用户,允许并监督经过授权的操作同时防止非法操作,防止黑客入侵和计算机病毒破坏的重要手段。用户在登陆网络安全系统之前,首先必须向身份认证系统表明自己的身份,经过身份认证系统识别确认身份后,根据用户身份、权限级别决定能否访问某个资源或者进行某项操作。同时检测系统,包括审计和报警系统等,记录用户的请求和行为,并检查检测安全系统是否存在入侵行为。可见,身份认证是最基本的安全服务,其它安全服务都要依赖于其所提供的登陆用户的信息。而正是由于身份确认系统的特殊作用和
计算机与网络 日 浅谈网络安全中的身份认证技术 李黎 铁岭市信息工程学校 摘要:随着全球化经济模式的出现以及科学技术的高速 发展,网络技术应用越来越广泛。如何应对网络快速普及、网 民数量迅速膨胀带来的网络安全问题,怎样保证网民个人信 息安全等,是我们必须要重点解决的问题。本文从网络安全出 发,主要分析了几种身份认证的方法和技术,使人们了解身份 认证技术应用及其发展,促进互联网的健康发展。 关键字:网络安全、身份认证、口令、生物特征、Kerberos、 PKI 引言:网络技术的普及和发展、信息的共享和应用给人 们的工作和生活带来深远的影响。在带来巨大便利的同时,网 络安全问题也日益突出而且越来越复杂。身份认证技术就是 通过计算机网络来确定使用者的身份,使通讯双方的各种信 息交流可以在一个安全的环境中。 一、身份认证的含义 在网络安全里,身份认证技术是保护网络信息安全的第 一道防线,是最基本的安全服务,是其他安全机制的基础。身 份认证是系统证实用户真实身份与其所声称的身份是否相符 的过程,从而确定该用户是否具有对某种资源的访问和使用 权限。 验证一个用户的身份主要通过以下三种方式: 用户所知:如密码、口令等。 用户所有:如身份证、护照、密钥等。 用户本身的特征:如人的指纹、笔迹、DNA、视网膜及身体 的特殊标志等。 二、身份认证常用的技术 身份认证的基本方法就是由被认证方提交登陆用户独有 的具有保密性难以伪造的信息来表明自己的合法身份和权 限。常用的方式有: 1、口令机制: (1)简单口令机制:PAP认证。系统保存用户的二元信息 组(ID,PW),进入系统时,由请求认证者输入ID和PW,系统 根据保存的用户账号信息和个人信息,来确认用户身份是否 合法。这种口令机制是一般是静态的、不变的,容易记忆但也 容易泄密,用于不太重要的场合或者保密性质不高的环境中。 (2)一次性口令机制:一次性口令OTP(One—time Pass- word),在用户需要登录的时候,验证服务器就利用密码产生 器产生一个一次性密码,一般分为计次使用以及计时使用两 种。是用户身份的数字化凭证,是安全系统鉴别用户身份合法 性的依据。根据其生成方式不同可分为令牌卡、软件令牌、智 55 能卡等。 2、Kerberos协议 Kerberos是由美国麻省理工学院提出的基于可信赖的第 三方的认证系统。其基本思想是:能正确对信息进行解密的用 户就是合法用户。用户在对应用服务器进行访问之前,必须先 从第三方(Kerberos服务器)获取该应用服务器的访问许可证 (ticket)。在认证过程中,?Kerberos采用对称密钥体制对信息进 行加密。 3、PKI(Public Key Infrastructure)技术 公钥基础设施PKI是提供公钥加密和数字签名服务的系 统,目的是为了管理密钥和证书,保证网上数字信息传输的机 密性、真实性,完整『生和不可否认性。PKI主要包括数字证书、 认证中心(cA)、注册机构(RA)、存储和发布这些证书的电子 目录服务器等等,其中数字证书是其核心部件。 4、生物认证 所谓生物识别技术,是指通过计算机利用人体固有的物 理特征或行为特征鉴别身份。由于生物识别技术具有不易遗 忘、防伪性能好、不易伪造或被盗、随身“携带”和随时随地可 用等优点,因此得到广泛而深入的研究和应用。目前常见的生 物特征有面像、指纹、虹膜、掌纹、静脉、语音、步态、签名等。 三、用户身份认证的发展趋势 1、生物特征鉴别:如采集清晰的指纹、识别脸部轮廓、提 取语音、笔迹、步态等。提高识别正确率将是未来的研究热点。 2、多因素融合认证:有效地结合各种单因素认证技术,可 以提高身份认证的安全性能。如口令认证与手机短信确认相 结合已在应用中;多生物特征的融合识别技术也将是未来的 研究方向。 3、属性认证:属性认证技术,把属性证书的授权方案和认 证技术相结合,解决分布式网络环境中身份认证与权限分配 问题。 结束语 总之,以上各种身份认证技术都有不足之处,在实际的应 用中,应该从用户实际需求和认证方式的安全性能两个方面 来综合考虑,能满足用户需求的才是最好的。相信随着计 ̄g-¥JL 技术的快速发展和身份认证技术的不断成熟,未来会出现更 多、更安全、效能更高的身份认证技术,计算机安全和用户信 息的安全会得到更加周密的保障。 参考文献 【1】徐国爱张淼彭俊好《网络安全》2006.05
认证技术
PKI技术 安全的主要威胁 假冒:指非法用户假冒合法用户身份获取敏感信息; 截取:指非法用户截获通信网络的数据; 篡改:指非法用户改动所截获的信息和数据; 否认:指通信的单方或多方事后否认曾经参与某次活动; 常见的解决方法
信息窃取 信息篡改 信息抵赖 公钥加密
完整性技术 数字签名 PKI的含义 PKI(Public Key Infrastructure,公钥基础设施),是一个基于公钥概念和技术实现的、具有通用性的安全基础设施。 PKI技术以公钥技术为基础,以数字证书为媒介,结合对称加密和非对称加密技术,将个人、组织、设备的标识信息与各自的公钥捆绑在一起。 其主要目的是通过自动管理密钥和证书,为用户建立起一个安全、可信的网络运行环境,使用户可以在多种应用环境下方便地使用加密和数字签名技术,在互联网上验证用户的身份,从而保证了互联网上所传输信息的真实性、完整性、机密性和不可否认性。 PKI是生成、管理、存储、分发和吊销基于公钥密码学的公钥证书所需要的硬件、软件、人员、策略和规程的总和。 PKI的理解 基于公开密钥理论和技术建立起来的安全体系。 一个被广泛认识并且被普遍接受的相当标准化的结构。 提供信息安全服务的具有普适性的安全基础设施。 数字证书、目录服务以及相关安全应用组件模块的集合 。 核心是要解决信息网络空间中的信任问题,确定可信赖的数字身份。 PKI的优势 节省费用 透明性 易用性 互操作性 多用性 支持多平台 数字证书的概念 数字证书就是互联网通讯中标识通讯各方身份信息的一系列数据,提供了一种在Internet上验证身份的方式,其作用类似于驾驶执照或身份证。 数字证书是一个经数字证书授权中心(Certificate Authority—CA)数字签名的包含公开密钥拥有者信息以及公开密钥的文件。最简单的证书包含一个公开密钥、名称以及证书授权中心的数字签名。 获得证书的人只要信任这个证书授权中心,就可以相信他所获得的证书。 数字证书的格式 遵循 ITUT X.509国际标准 版本号:用来区分X.509的不同版本 序列号:每一个证书都有惟一的数字型编号。 认证机构标识:颁发该证书的机构惟一的X.500名字。 主体标识:证书持有者的名称。 主体公钥信息:和该主体私钥相对应的公钥。 证书有效期:证书开始有效期和证书失效期。 密钥/证书用法:描述该主体的公/私密钥对的合法用途。 扩展:说明该证书的附加信息。 认证机构签名:用认证机构的私钥生成的数字签名。 版本号序列号认证机构标识主体标识主体公钥信息证书有效期密钥/证书用法扩展签名算法Hash认证机构私钥
电脑编程技巧与维护 身份认证技术在网络安全中的应用 李俊林 (满洲里市财政局金财工程网络中心,黑龙江满洲里021400) 摘要:对于主流的几种身份认证技术进行了详细分析,包括微软Passport、Kerboeros、SAML协议的结构和工作原 理,并对比了3种主流方案的优缺点和使用范围。使用SAML协议的身份认证技术,在网络安全中更具有保障。 关键词:身份认证;微软Passport;Kerboeros认证;SAML协议 The Application of Authentication Technology in Network Security LI Jun—Iin (The Jincai Project Network Center of Manzhouli Finance Bureau,Heilongjiang Manzhouli 021400,China) Abstract:For several mainstream authentication technology including Microsoft Passport works,Kerboeros certification works,SAML protocol structure and working principle,and contrast the three main strengths and weaknesses of the program and use.Eventually tend to use the SAML protocol authentication technology,network security is more protected. Key words:authentication;Microsoft Passport;Kerboeros;SAML protocol 1 发展现状 近几年以来,企业办公的人性化、便捷化和高效化一直 受到重视。对于一个企业来说,无论是私有、国有或是外资 企业,都十分注重其员工的工作效率。在科学技术快速发展 的今天,员工办公都离不开相应的应用软件、内网共享资源。 而为了让企业的私有信息、资料得到充分的保护,必须对其 内部的办公平台、内网信息加以安全保护措施,即每个员工 在登录到该公司的共享平台、网站时必须进行个人的身份认 证『1]。对目前主流的几种身份认证方案进行了详细阐述,并总 结出了几种方案之间的优缺点。 2微软Passport技术 2.1 Passport 微软Passport是由微软公司开发的一种公共网络服务,用 于身份认证系统[21。它是.NET战略中的一个发展方向,得到 了ASP.NET的支持。微软Passport的出现,得到了许多在线 商业站点的支持,也使得越来越多的商业网站成为微软的盟 友。利用微软Passport身份认证系统,用户只需要在第一次登 录相应网站时使用账号密码,在其后登录得到微软认证的相 关网站或软件时,便可以直接进入。 2.2工作原理 微软Passport身份认证系统的工作原理如下口]:首先,用 户浏览网站,进行登录。首次登录时,将账户密码以及其他 用户信息传到Passport系统,经过认证服务器的一系列识别、 认证后,核实用户信息的真实可靠性。用户所传输的信息经 过加密处理后,传回用户端,以Cookie形式存储到用户端目 录文件夹中。包括Ticket Granting Cookie,该Cookie含有 PUID信息,使用加密密钥加密。浏览器接收Passport用Set— Cookie指令写入的认证域Cookie,并根据Passport响应的 Hqq'tr302重定向指令将认证域Cookie的内容作为重定向URL 的QueryString(查询字符串)参数发送给合作站点。当用户再 次登录网站时,合作站点从该Cookie中提取得到相关信息, 认证通过后,用户可自由享用网站的资源。下一次认证如果 20 13 ̄瞄02 电奠■翟技巧与赡护 - 在有效的时间窗口内,则直接用该Cookie来检查用户的合法 性,不再访问Passport的认证信息数据库。 3 Kerboeros认证 3.1概述 Kerboeros是目前公认的一种网络认证。它是通过密钥系 统为客户端/服务器进行身份认证的。Kerboeros不依赖主机的 操作系统,也不需要基于主机IP地址的信任,并且在传输过 程中,不基于网络的安全性,可以假定传输数据包遭到篡取、 破坏和修改等。Kerboeros属于第三方认证系统,通过密钥来 保证传输数据的安全性、完整性[41。 3.2 Kerboeros工作原理 整个Kerboeros认证系统划分为3个实体:客户端(c)、 Kerboeros认证和需要认证客户端的服务器。客户端和服务器 都和普通系统相同,只是中间需要经过第三方认证端Ke卜 boeros。Kerboeros认证系统包括3个部分:认证服务器(AS)、 和AS进行通信的数据库以及票据授权服务器(TGS)。客户端 需要得到该服务器信息时,首先向Kerboeros认证系统的认证 服务器请求TGS票据,认证服务器通过一些复杂的处理过程 对客户端进行身份认证后,返回客户端所需要的票据(包括 了密钥),同时,将该客户端的身份信息存入数据库同一管 理。客户端接到返回的TGS票据后,使用TGS票据向Ke卜 boeros认证系统的票据服务器申请实际需要的服务器(V)的 通行票据,审核通过后,票据授权服务器返回授权的V的票 据。经过第三方系统的两个认证阶段,客户端便可向服务器 请求相应服务,服务器返回客户端所需查询的信息。 4 SAML认证 4.1概述 SAML(Secufitv Assertion Makeup Language)是指安全断 作者简介:李俊林(1973一),男,工程师,研究方向:计算 机管理、编程、网络维护。 收稿日期:201