身份认证技术论文大全11篇
时间:2023-03-07 15:02:02
身份认证技术论文篇(1)
中图分类号:TP39文献标识码:A 文章编号:1007-3973 (2010) 05-044-02
1前 言
随着信息与计算机网络技术的发展,人类已经迎来了信息时代。互连网的发展大大的改变了人们的生活。然而随着这些新技术的日益普及,爆发出来的信息安全问题也越来越突出。在享受互连网带给人们便捷的同时,这把双刃剑也让人们感受到了严峻的考验。大量的通过计算机网络所实施的犯罪行为,让人们防不胜防。人们有必要对采用更为安全的技术手段来保护自己的敏感信息和交易不被未经过授权的他人截获和盗取。其中最重要的一个措施就是采用身份认证技术。
2 常见身份认证方式分析
身份认证的范围较广,没有统一的分类方法,根据身份认证的发展情况和认证方式的不同可以大致分为以下几类:
2.1用户名+口令的认证方式
这是最简单,最容易实现的认证技术,其优点在于操作简单,不需要任何附加设施,且成本低速度快。但是其缺点是安全性差,属于单因子软件认证的方式。抗猜测攻击性差,系统保存的是口令的明文形式,一旦被攻破,系统将受大极大威胁。这种认证方式属于弱认证方式。
2.2 依靠生物特征识别的认证方式
生物特征识别的认证方式,是为了进行身份识别而采用自动化技术测量人的生物特征,并将该特征与数据库的特征数据进行比较,从而完成身份识别的方式。因为不同的人具有的相同的生物特征的可能性是可以忽略不计的。所以从理论上来说,生物特征识别方式是最可靠的身份识别方式。它是以人的唯一的,可靠的,稳定的特征为依据的。目前比较成熟的可用于计算机系统的生物特征识别技术有:
(1)指纹身份认证技术。通过分析指纹的全局或者局部特征,抽取详尽的特征值来确认身份;
(2) 声纹身份识别技术。也称语音身份识别技术;
(3)虹膜身份认证技术。虹膜是人眼瞳孔和眼白之间的环壮组织。是人眼的可视部分。是最可靠的人体终身身份标识。虹膜识别在采集和精准度方式具有明显的优势;
(4)签名身份认证技术。是将人的手写速度,笔顺,压力和图象等人的个性化特征进行比对。是全新的生物特征认证技术。它不用记忆,方便,易为人接受。可用于计算机登录,信息网如网,信用卡签字等等。
生物特征识别的认证方式,虽然具有,不易遗忘丢失,防伪性能好,随是随地可用,不易伪造或者被盗等优点。但是它还有一系列暂时不能克服的缺点。表现在;技术不完全成熟,生物识别的准确性和稳定性急待提高。研发成本高,产量小和识别设备成本高,现阶段难以推广和大规模应用,对识别正确率没有确切的结论,难以做到真正的唯一性,和安全性。
2.3基于Kerberos的认证方式
Kerberos是一种秘密密钥网络认证协议。是由美国麻省理工学院(MIT)开发的一项身份认证技术。它的思路对后来的身份认证研究产生了很大的影响。它使用了数据加密标准DES(Data Encryption Standard)加密算法来进行加密和认证。Kerberos 设计的主要目的是解决在分布网络环境下,服务器如何对使用某台工作站接入的用户进行身份认证。Kerberos的安全不依赖于用户登录的主机,而是依赖于几个认证服务器。分别是:认证服务器(AS),用于验证用户登录时的身份。票据发放服务器(TGS),发放身份许可证明。服务提供服务器(Server),客户请求工作的执行者。
如下图所示:
基于Kerberos认证方式的缺点:
(1) 它是以对称的DES加密算法为基础,这使得在密钥的交换,保存,管理上存在着较大的安全隐患。
(2)Kerberos不能有效的防止字典攻击。并且防止口令猜测攻击的能力是很弱的。因为Kerberos的协议模型未对口令提供额外的保护。黑客或者攻击者可以收集大量的许可证,通过有些计算和密钥分析,进行口令猜测。倘若用户选择的口令不强,则容易被攻破。
(3)Kerberos协议最初设计是用来提供认证和密钥交换的。不能用它来进行数字签名,没有提供不可抵赖性的机制。
(4)在分布式系统中,认证中心错终复杂,域间的会话密钥太多,给密钥的管理,分配带来麻烦。
2.4基于PKI的身份认证方式
PKI(Pubic Key Infrastructure)公钥基础设施是一种遵循一定标准的密钥管理平台。能够为目前所有的网络应用透明的提供采用加密和数字签名等密码服务所必需的密钥管理和证书管理。它是现代电子商务和信息安全系统的主要技术之一。PKI做为新发展的安全技术和安全服务规范。不仅能确保网络数据的机密性,完整性,可用性,同时也可以解决通信双方身份的真实性问题。基于PKI的数字证书认证方式可以有效的保护用户的身份安全和数据安全。在基于证书的安全通信中,数字证书是证明用户身份合法和提供合法公钥的凭证。是建立保密通信的基础。因此数字证书的存储与管理显得非常重要。本文正是在PKI体系的基础上利用手机做为数字证书的载体,来实现对用户身份的认证。
3基于手机的身份认证方式
基于手机的身份认证是基于PKI的身份认证方式的一种改进或者说发展。为了更方便的说明这种认证方式的意义以及原理,特从以下几个方面进行分析。
3.1现实需求分析
基于PKI的身份认证方式是现阶段公认的保障信息网络社会安全的最佳体系,是信息安全的核心。数字证书的权威性和不可否任是PKI体系的基础。目前,国内外通常的做法是利用USBKey 做为数字证书的载体。例如中国建设银行使用的网银盾,中国工商银行推出的U盾等。他们都是将数字证书存储在USB Key中。其优点是较为安全可靠。但其缺点是管理较为麻烦,携带起来容易丢失。另外由于其工作原理是将数字证书固化在U盘里,证书不能实现远距离更新,实际使用起来,还是比较麻烦。目前很多公司和机构都开始研究下一代的证书存储工具。本论文正是在这样一个现状探索性采用人们常用的手机来作为数字证书的存储和管理工具。并以此展开思考和研究。
3.2理论基础
PKI(Public Key Infrastructure )公钥基础设施,它是一种遵循既定标准的密钥管理平台,它能够为所有网络应用提供数据加密和数字签名等密码服务及所必需的密钥和证书管理体系一种重要的身份认证技术。是简单来说,PKI就是利用公钥理论和技术建立的提供安全服务的基础设施。PKI技术是信息安全技术的核心,也是电子商务的关键和基础技术。PKI以公钥密码技术为基础,数字证书为媒介,结合对称加密和非对称加密技术,将个人的标识信息与各自的公钥绑在一起,其主要目的是通过管理密钥和证书,为用户建立起一个安全、可信的网络运行环境,使用户可以在多种应用环境下方便地使用加密和数字签名技术在客户端上验证用户的身份,从而保证了互联网上所传输信息的真实性、完整性、机密性和不可否认性。
3.3 研究方案及系统组成
计算机要能准确认证用户的身份,必须能准确的识别用户手机中的数字证书。其中将数字证书从手机中导入到计算机上中是借助蓝牙技术(也可以是红外技术)提供的数据传输通道。并且因为数字证书是通过蓝牙技术无线传输的,必须给这个通道加密,防止被非法用户窃取。系统组成如下图所示:
3.4关键问题及其解决方案
3.4.1系统中的关键问题
基于手机的身份认证是依赖于手机这个载体,以数字证书为媒介,最终需要保证计算机对手机中的数字证书准确识别。并且整个信息交换不被非授权的第三方截获。因此整个系统有以下两个关键问题。
(1)数字证书在手机中的安全性问题。数字证书是存放在手机的SD卡上的,要保证数字证书能方便的写入到SD卡中,并使其具有加密功能,在遗失,被盗的情况下仍能确保数字证书不被非法利用。
(2)计算机要识别手机上的数字证书,或者说信息要在手机和计算机之间安全传递,必须有一个安全的通道。虽然可以借助他们本身都带有的蓝牙功能,并且蓝牙具有抗干扰性强,成本低的特点。但是仍不能保证信息传递的绝对安全。还需要设计一传输协议来给他们之间的信息传递提供一个安全通道。
3.4.2关键问题的解决方案
(1)对于数字证书在手机中安全存储的问题,可以考虑采用加密SD卡的方法。Sandisk 公司近期研发了一种称为TrustedFlash 的新技术,可以在SD,Micro SD卡上实现加密。
a.安全加密:根据需要,可设定不同的加密方式和权限,支持采用AES,DESB和3DES的对称密钥身份验证及基于X。509证书链的RSAC非对称密钥身份验证。
b.支持数字版权管理(DRM):可在支持硬件加密技术的不同主机间实现移动。
c.具有硬件加密技术的主机向下兼容常规的存储卡,而硬件加密卡在非保护区域也可作为常规卡使用。
d.主机(如手机)只需要升级软件来支持硬件加密技术,不需要增加和更改硬件。主要应用于数据安全存取,身份认证及移动电子商务。
(2) 对于传输通道的设计。可以借鉴当前的密码协议SSL协议。SSL即安全套接字层(Secure Socket Layer)。它是网景公司(Netscape)开发的,主要应用于保障Internet上数据传输之安全。SSL协议可以分为两层:SSL记录协议和SSL握手协议。提供主要服务有:①认证用户和服务器,确保数据发送到正确的客户机和服务器;②加密数据以防止数据中途被窃取;③维护数据的完整性,确保数据在传输过程中不被改变。认证工作流程为:1)客户端(C)向服务器(S)发送一个会话请求信息“你好”2)服务器根据客户的信息确定是否需要生成新的主密钥,如需要则服务器在响应客户的“你好”信息时将包含生成主密钥所需的信息;3)客户根据收到的服务器响应信息,产生一个主密钥,并用服务器的公开密钥加密后传给服务器;4)服务器恢复该主密钥,并返回给客户一个用主密钥认证的信息,以此让客户认证服务器。同样手机和计算机之间的通信过程和上面相似。只是SSL是同过有线连接传递数据,而本系统是通过蓝牙技术无线传递,其工作原理完全相同。
4小结与展望
本文开头阐述了常见的身份认证的方式,并分析了它们的优缺点。 目的是为了说明基于手机的身份认证在整个身份认证体系中所在的位置。随着手机业务的不断发展。现在的手机已经不仅是局限于传统的通话业务。越来越多的智能手机投入市场。它们大多可以安装小型的操作系统具有较强的处理能力,如Symbian 、Windows mobile、Linux等手机操作系统。这就为基于手机的身份认证提供了很好的工具和平台。可以预见USBKEY的功能将会被手机取代。基于手机的身份认证技术将能更好的服务于人民的生活。
参考文献:
[1]冯国柱. PKI关键技术研究及其应用[D].长沙:国防科学技术大学,2006.
身份认证技术论文篇(2)
关键词:数字身份数字签名RSAPKICA
日常生活中人们到商场购物,付款方式一般有两种:采用现金结算或采用银行卡结算。2006年1月4日和1月5日某媒体连续刊登了两篇报道,题目分别为《刷卡签名商家有责辨真伪》、《银行卡被盗刷商家没过错》。这两篇报道代表两个完全对立的观点,但是阐述的内容都具有相当的说服力。这就提出两个问题,第一,当银行卡被盗刷的情况下,由此产生的损失到底应该由“卡”的所有者承担,还是应该由收款的商家承担?第二,能否避免这种损失的发生?笔者对两个问题的回答是:在现有的法制环境、技术手段下,无法准确的判断损失、无法准确的分清责任,也就无法准确的判罚;采用新的安全技术能够避免这种损失,一旦出现被盗刷的情况,可以依法判罚。
传统身份识别、签名识别存在的缺陷
在现有金融支付平台上使用银行卡时,支付过程如下:在银行提供的联网POS机上刷卡,由客户输入密码,密码验证通过后POS机打印银行转账单据,客户在转账单据上签名,客户出示有效身份证明(如身份证),收款员验证客户签名及身份证明,收款员打印销售发票,至此整个支付过程结束。其中收款员验证客户签名及身份证明是非常关键的一个环节,本文所提出的问题就是针对这个环节。
该媒体两篇报道中支持卡所有者的观点认为,使用手写签名是银行卡不被盗刷的基本保障。这样可以鉴别刷卡人是否为卡的所有者。在中国银联颁发的《收单规范》中要求收单商户必须仔细核对签名,以防银行卡被盗刷。因此从卡的所有者角度出发,收单商户有责任对刷卡人的真实身份进行确认,对签名的真伪进行鉴别。如果收单商户不对刷卡人的手写签名进行鉴别,将意味着银行卡所有者的安全大门完全失去了最基本的设防。这种情况是任何合法交易对象,无论是收单商户、还是合法卡的所有者所不愿意看到的,将导致拥有银行卡的用户不再敢使用刷卡的方式消费,也意味着商户将失去一部份客户。
而站在收单商户的立场认为,银行卡被盗刷商家没有过错。商家无权干涉持卡者的消费方式,涉及的银行与银联也没有义务对POS机操作员进行培训,重要的是法院则认为刷卡过程中是否应该对签名进行鉴别、核对,相关法律法规没有做出特别规定,也就是说没有法律依据。所以据此,如果客户的银行卡丢失后没有及时挂失造成的损失,收单商户没有责任。
刷卡是一种非常方便的支付方式,但是要得到人们的认可、在生活中得以推广,必须有一个安全的支付环境和支付工具,使得卡的所有者、收单商户、银行三方的利益都得到充分的保护。
笔者认为,在目前的技术条件下,要求POS机操作员仅仅依靠身份证来识别刷卡人的真实身份,同时要鉴别刷卡人签名时的笔迹是一项非常困难的工作。因为,一方面现在使用的身份证技术含量低,容易伪造;另一方面鉴别签名笔迹是一项技术性非常强的工作,一般人无法胜任,只有行业内的专家才能准确的鉴别,然而在实际工作中不可能为每一台POS机配备一名这样的技术专家。
那么是否能够找到一种在身份鉴别、签名鉴别上都非常方便、快捷、安全、实用的技术,这一问题就是本文论述的核心:RSA非对称加密解密技术应用模型。
RSA加密解密算法论述
RSA是一个非对称加密解密算法,由加密解密算法、公共参数、一对存在数学关系的公钥和私钥构成,其中算法、公共参数、公钥是可以公开的,私钥必须秘密保存。RSA的核心在于,加密时使用私钥,而解密时则使用公钥。
例如:用户甲拥有公共参数PN=14803,公钥PK=151,私钥SK=8871。现有明文PM=1234。
用户甲使用私钥SK对明文PM进行加密得到密文SM。
SM=PMSKMOD(PN)=12348871MDO(14803)=13960用户甲将自己的公共参数PN,公钥PK,以及密文SM发送给用户乙。用户乙进行解密计算得到明文PM。
PM=SMPKMOD(PN)=13960151MDO(14803)=1234
RSA用作数字签名
作为签名必须具备两个特性:防篡改,除签名者以外的其他人对签过名的内容做的任何改动都将被发现;抗抵赖,签名者无法抵赖自己签名的内容。
每一个RSA的用户都将拥有一对公钥和私钥。使用私钥对明文进行加密的过程可以被看作是签名的过程,形成的密文可以被看作是签名。当密文被改动以后就无法使用公钥恢复出明文,这一点体现出作为签名的防篡改特性;使用公钥对密文进行解密的过程可以被看作是验证签名的过程,使用公钥对密文进行解密恢复出明文,因为公钥来自于签名的一方(即用私钥加密生成密文的一方)。因此,签名一方无法否认自己的公钥,抵赖使用自己公钥解密后恢复出的明文,这一点体现出作为签名的抗抵赖特性。
RSA用作数字身份
身份是一个人的社会属性,用于证明拥有者存在的真实性,例如身份证、驾驶证、军官证、护照等。作为身份证明,它必须是一个不会被伪造的,如果被伪造则能够通过鉴别来发现。
将RSA技术应用于身份证明。当一个人获得一对密钥后,为了使利用私钥进行的签名具有法律效力,为了使自己公开的公钥、公共参数能够作为身份被鉴别,一般通过第三方认证来实现。用户要将自己的公钥、公共参数提交给认证中心,申请并注册公钥证书,如果使用过程中有人对用户的公钥证书产生质疑,需要验证持有者身份,可以向认证中心提出认证请求,以确认公钥证书持有者身份的真实性以及公钥证书的有效性。因此,可以把这个公钥证书看作持有者的一个数字身份证。
数字身份、数字签名在线鉴别模型
公钥证书在使用过程中可能会涉及到两个主体,拥有者与持有者。拥有者是公钥证书真正的所有者,而持有者则可能是一个公钥证书及私钥的盗用者。目前,认证机构的认证平台一般是建立在PKI公钥基础设施之上。当收到对某一个公钥证书的认证请求时,认证完成后出具的认证结果仅能够证明公钥证书本身的真实性、与之相关的数字签名的不可抵赖性,却无法证明持有者就是拥有者。RSA的使用则要求私钥必须秘密保存,一旦泄露只能及时挂失,如果在挂失之前被盗用,所产生的损失只能由拥有者自己承担,这种情况与银行卡被盗刷是相同的。尽管数字身份、数字签名、数字认证都是非常新的技术手段,但是就目前的认证方式、认证过程以及认证结果来看,依然没有解决公钥证书和私钥被盗用的问题。
本文针对公钥证书、私钥被盗用的问题设计出“数字身份、数字签名在线鉴别”模型。
传统的数字认证过程中,被认证的公钥证书与持有公钥证书的实体即证书的持有者之间没有任何关联,即使被认证的公钥证书是真实的、有效的,也不能证明持有者就是拥有者,这样就为盗用者提供了可乘之机。因此,必须对鉴别模型重新设计。
传统的RSA应用模型
用户甲可以自己生成非对称密钥对,也可以选择由认证中心生成;向认证机构提交公钥和公共参数申请并注册公钥证书;用户甲使用私钥对明文进行加密,形成具有签名效用的密文,通常要采用HASH函数进行压缩;用户甲将公钥证书以及经过数字签名的密文发送给用户乙;用户乙使用用户甲的公钥鉴别密文的数字签名;如果用户乙对用户甲的公钥证书产生质疑,可以提交用户甲的公钥证书给认证中心进行认证,认证中心对提交的公钥证书的真实性、有效性进行认证,并将认证结果返回用户乙。由于数字身份与数字签名的特殊性,提供认证服务的机构不应该是一个商业化的机构,而应该是具有政府职能的部门,例如:颁发身份证的公安局、颁发驾照的交管局、颁发护照的外交部等。在笔者设计的模型中,公安局替代传统的认证中心;针对被认证的公钥证书与持有者缺乏直接的关联,在认证结果的信息中,笔者设计增加所有者的详细信息资料,从而可以通过认证结果来鉴别持有者的真实身份。
改造后的RSA应用模型
由公安局为用户甲颁发一个公钥;用户甲自己选择公共参数,并生成私钥;用户甲将公钥、公共参数及个人的详细资料(居住地址、传统身份证号、联系电话、照片、指纹等)提交给公安局,申请并注册数字身份证(即公钥证书),数字身份证的鉴别编号由公钥和公共参数组合而成;用户甲使用私钥对明文进行加密,形成具有签名效用的密文;用户甲将签字密文、数字身份证发送给用户乙;用户乙使用用户甲的公钥鉴别密文的数字签名,并恢复密文为明文;如果用户乙对用户甲的公钥证书产生质疑,可以提交用户甲的公钥证书给认证中心进行认证,认证中心可以根据不同认证的级别返回不同的认证结果。
在新的模型中,认证将分为三级认证。一级认证,返回所有者的身份证号、住址、联系电话;二级认证,在一级认证基础之上附加返回所有者的照片;三级认证,在二级认证基础之上附加返回所有者的指纹。
具体选择哪一种级别认证,取决于应用的性质。如果是签署网络协议可以采用一级认证,如果是在线支付可以选择二级或三级认证。这样可以通过认证的结果(联系电话、照片、指纹)来鉴别持有者与所有者身份是否相符。
RSA在刷卡中的应用
身份认证技术论文篇(3)
中图分类号:D63 文献标识码:A
1CA认证概述
随着Internet的发展,电子商务的兴起,经常需要在开放网络环境中不明身份的实体之间通信,安全问题也因此日益突出。为确保网上电子商务交易的顺利进行,必须在通信网络中建立并维持一种可信任的安全环境和机制。一个完整的电子商务系统主要包括商家、支付系统和认证机构,而认证机构是整个电子商务系统的关键。认证机构主要通过发放数字证书来识别网上参与交易各方的身份,并通过加密证书对传输的数据进行加密,从而保证信息的安全性、完整性和交易的不可抵赖性。
为了解决在Internet上开展电子商务的安全问题,切实保障网上交易和支付的安全,世界各国在经过多年研究后,初步形成了一套完整的解决方案,其中最重要的内容就是建立一套完整的电子商务安全认证体系。电子商务安全认证体系的核心机构就是认证中心(CA)。认证中心作为一个权威、公正、可信的第三方机构,它的建设是电子商务最重要的基础设施之一,也是电子商务大规模发展的根本保证。
所谓CA(Certificate Authority)认证中心,它是采用PKI(Public key Infrastructure)公开密钥基础架构技术,专门提供网络身份认证服务,负责签发和管理数字证书,且具有权威性和公正性的第三方信任机构,它的作用就像我们现实生活中颁发证件的公司,如护照办理机构。目前国内的CA认证中心主要分为区域性CA认证中心和行业性CA认证中心两大类。
一个典型的CA系统包括安全服务器、注册机构RA、CA服务器、LDAP目录服务器和数据库服务器等。
2CA认证技术在电子政务上的应用
网络认证技术是网络安全技术的重要组成部分之一。其基本思想是通过验证被认证对象的属性来达到确认被认证对象是否真实有效的目的,被认证对象的属性可以是口令、数字签名或者像指纹、声音、视网膜这样的生理特征。以下介绍CA认证系统的有关技术及其典型应用。
2.1公钥基础设施PKI
公钥基础设施PKI(Public Key Infrastructure)又叫公钥体系,是一种利用公钥加密技术为电子商务的开展提供一套安全基础平台的技术和规范,从广义上讲,所有提供公钥加密和数字签名服务的系统,都可以叫做PKI系统。PKI的主要目的是通过自动管理密钥和数字证书,来为用户建立起一个安全的网络运行环境,使用户可以在多种应用环境下方便地使用加密和数字签名技术,从而保证网上数据的机密性、完整性、有效性。PKI由公开密钥加密技术、数字证书、认证机构CA及相关的安全策略等基本成分共同组成。一个典型、完整、有效的PKI应用系统至少应包含如下几个部分:(1)CA认证机构,(2)X.500目录服务器,(3)具有高强度密码算法(如SSL)的安全www服务器,(4)Web安全通信平台,(5)自行开发的安全应用系统,综上所述,在PKI中最重要的核心部分就是认证机构CA。
CA身份认证系统基于PKI理论体系构建,由认证服务器、管理服务器、客户端安全认证组件和SecurSecureKey(USB智能卡)组成,支持B/S结构和C/S结构的应用系统。系统中每一个用户发一个SecurSecureKey,其中存储有代表用户身份的数字证书和私钥文件,用户在登录系统时,插上SecurSecureKey,通过安全加密通讯信道与远程身份认证服务器通讯,由认证服务器完成对用户身份的认证,并得到当前用户的身份以及系统的授权信息。
(1)用户在计算机USB接口上插入包含自己证书和私钥的SecurSecureKey,访问系统登录页面。
(2)服务器接受登录请求,并产生一个临时随机数,发送到客户端。
(3)用户输入SecurSecureKey访问口令,点击“登录”按钮。
(4)客户端对服务器发来的随机数以及用户的身份信息利用SecurSecureKey硬件进行加密,并对加密结果做数字签名,将结果发送到服务器。
(5)应用服务器接收到客户端发来的数据后,执行验证过程。
(6)应用服务器根据认证服务器的返回结果决定登录是否成功。
2.2系统功能特点
(1)安全有效的身份认证
(2)易于操作和使用
(3)自动检测并加密指定关键信息
2.3 CA认证技术在电子政务中应用
在某区电子政务的一站式访问系统中,网上申请驾照、网上申请准生证等模块,都用到了基于CA认证技术实现身份认证的技术。
(1)基于CA认证技术实现身份认证的前提条件
首先要有认证中心CA实施的支持,即交易各方能够申请到自己的数字证书,能够从认证中心获得证书库信息和证书撤销列表,并对其进行有效性和完整性验证,交易各方面都能够支持系统所需的加密算法,摘要算法等。
(2)建立通信模型
在传输文件前,首先进行身份认证和密钥协商、身份认证,一是验证对方的证书是否有效,即证书是否过期,是否已被撤销等;二是要评估当前用户,在文件传输中的访问权限。
(3)加载数字证书身份认证模块的程序设计
对于安全认证系统来说,在程序设计中加载数字证书,来实现其通信各方面的身份认证和发送者行为的时候无法否认性,在如下方案中采用了安全套接层(SSL)传输方式。
加载数字证书的身份认证模块:
①创建会话连接使用的协议。
②申请SSL会话的环境CTX。
③SSL使用TCP协议,需要把SSL attach捆绑到已经连接的套接层上。
④SSL握手协议。
⑤握手成功后,得到对方的数字证书,与从认证中心CA获得的数字证书比较。两个证书如果不同,断开连接请求,结束会话;如果相同,对方的身份得到确认。
⑥通讯结束后,需要释放前面申请的SSL资源。
(4)系统安全认证分析(单向认证)
①通信身份的认证
通信过程开始时,服务器向浏览器发送自己的数字证书,浏览器从认证中心CA获取数字证书,浏览器使用认证中心CA系统的公开密钥解开服务器的数字证书,从而得到服务器的身份和公开密钥,二者进行比较后,确认服务器是否为真,完成身份认证。
②不可否认性
通信过程中,信息的摘要要是使用发送方自己的私有密钥进行签字的,除发送者自己以外,其他人无法知道签名者的私有密钥,所以确定了发送的行为无法再事后否认。
身份认证技术论文篇(4)
1 引言
口令是计算机用户普遍使用的一种认证方式,被普遍应用于Web系统中。一般的认证体系是使用静态口令进行用户身份验证,即用户网上传输的是重复使用同一个口令登录到系统中。但这种方法还存在许多缺陷,如易猜测、易被窃取、若不加密,能清楚地被看到明文。一次性口令验证方案就是在登录过程中加入不确定因素,使用户每次登录系统时传送的口令都不一样。
GJ.Simmons在1984年提出了认证系统的信息理论,为认证系统的研究奠定了理论基础。认证理论有两个主要目标:一个是推导出欺骗者成功的概率降低;另一个是构造欺骗者成功概率尽可能最小的认证码。一个安全的身份认证系统一般必备几个特征:1)验证者正确识别合法用户的概率极大;2)攻击者伪装成合法用户骗取验证者新人的成功率极小;3)通过重放认证信息进行欺骗和伪装的成功率极小;4)秘密参数能够安全储存;5)第三方可信赖。
身份认证的核心在于主体身份的验证。根据被认证方证明自己身份的不同,现有的身份认证技术都可以从三个方面研究:主体所掌握的秘密信息、主体所拥有的信物信息、主体本身具有独一无二的特征或能力。
目前,已有的身份认证系统有Kerberors认证系统、S/Key认证系统、智能卡认证系统、USBKey认证系统、指纹认证系统等。这些身份认证系统所采用的技术主要有几种。
静态口令。基于文本的用户名/密码方式是目前身份认证系统中应用最普通的认证技术。该技术的主要特点是操作简单、方便易用,并且也有一定的安全性,不便记忆和密码静态不变是这种认证方式的最大弊端。许多用户为了防止忘记密码,偏向于使用易被人联想到字符串作为密码,如名字拼音、电话号码、生日等。这在网络传输中很容易被窃听、截获及冒用。从安全性上来说,这种认证技术是极不安全的。
PKI认证技术。PKI认证的基础是公开密匙加密技术,能够保证传输信息的机密性、真实性、完整性、不可抵赖性,核心是证书的管理,理论是安全的。但PKI系统建设成本高,使用复杂,且存在证书保存的安全问题。
一次性口令。一次性口令OTP的基本原理是在登录过程中加入不确定因素,使每次登录过程中计算所得的密码都不一样。这是当前被认为是最安全的身份认证方式,在每次认证过程中,网络上传输的认证信息都是动态变化的,因此能有效地避免重放攻击,使静态密码在传输过程避免被窃取。但用户密码管理依旧是一次性口令无法忽视的问题,用户一旦不小心泄露了秘密通行短语,非法用户就可以伪装成合法用户的身份进行客户端登录。
生物识别技术。生物识别技术主要是通过可测量的身体或行为等特征进行身份认证的一种技术。生物特征是指唯一可以测量或可自动识别和验证的特征或行为方式。从理论上来说,生物特征认证是最可靠的身份认证方式,因为它直接使用人的物理特征来表示每一个人的数字身份,几乎不可能被仿冒。
相比于传统的身份认证方式,生物识别技术具有无法比拟的优点。生物识别技术使用方便,可不必再记忆和设置密码。其中指纹识别技术是目前发展最成熟的生物识别技术。正是由于生物特征的唯一性,不宜直接使用生物特征进行身份识别,因为一旦生物特征泄露,就会造成个人信息丢失的严重后果。而且,容易受到干扰是单一的生物特征在网络传输和匹配时最大的不足。
2 脚本语言的描述
脚本语言(Script Languages)是为了缩短传统的编写-编译-链接-运行过程而创建的计算机编程语言。早期的脚本语言经常被称为批量处理语言或工作控制语言。一个脚本通常是解释运行而非编译。虽然许多脚本语言都超越了计算机简单任务自动化的领域,成熟到可以编写精巧的程序,但仍然还是被称为脚本。几乎所有计算机系统的各个层次都有一种脚本语言。包括操作系统层,如计算机游戏、网络应用程序、字处理文档、网络软件等。在许多方面,高级编程语言和脚本语言之间互相交叉,二者之间没有明确的界限。一个脚本可以使得本来要用键盘进行的相互操作自动化。一个Shell脚本主要由原本需要在命令行输入的命令组成,或在一个文本编辑器中,用户可以使用脚本来把一些常用的操作组合成一组序列。很多脚本语言实际上已经超过简单的用户命令序列的指令,还可以编写更复杂的程序。
常见的有脚本语言有Java Script、VB Script、Perl、PHP、Python、Ruby、Lua。
脚本语言的特点是语法简单,一般以文本形式保存,并且不需要编译成目标程序,在调用的时候直接解释。这可以是脚本语言的判断标准,比如说JavaScript,你只需要用记事本新建一个Html文件,在里面加上一段脚本就可以了,在浏览器打开Html文件时自然会调用JS脚本。
脚本语言开发速度快、容易部署、易学易用,同已有技术的集成而能够有效地利用代码。
3 基于脚本的一次性口令实现
在网络应用系统中,身份验证是所有涉及安全性的一个必须环节。网站开发时可以利用以下方法来实现身份验证。
在身份验证的页面中设计一个表单,其中包含用户名和密码两个域。提交表单时浏览器将用户名和密码信息传给服务器,通过验证用户名和密码来判断该用户是否合法。这是最常见也是最简单的一种方案,但是安全性极低。因为使用这种方法时,用户名和密码都是以明文的形式在网上传输。一个在网络上运行的嗅探器很容易其网段的所有数据报文捕获,也包括用户的密码。
在使用一次性口令实现上面的过程之前,需将用户的相关信息保存到服务器端,其中包括用户ID的哈希值和秘密通行短语。一次性口令的认证过程需要在客户端进行很多的运算,这些运算将在客户端通过嵌入在HTML页面中的JavaScript代码计算实现,包括随机数产生、异或运算和哈希值。
挑战/应答方式是动态口令身份认证的方式之一。作为动态的身份认证,必须有一个动态因子:对挑战/应答方式来说就是客户向认证服务器发出请求,要求进行身份认证(登录);当服务器接收到用户发来的请求信息后产生一个挑战信息(随机数)发给用户,用户在客户端输入秘密通行短语并由一次性口令计算器产生一个OTP,服务器通过此OTP验证用户,验证成功后,下次验证则使用新生成的OTP。虽然挑战/应答方案存在一些不足,但其优点明显:易于在网络环境下用纯软件方式实现;可以通过秘密密钥鉴别,密钥不用在网络传送;认证机制灵活。
4 一次性口令的安全性分析
一次性口令对于用户口令泄露有很好的防范作用。在用户每次登录时,虽然用户在键盘上输入的内容是固定的用户密码,但每次网上传送的用户口令都会改变,。这种相对安全的用户登录模式让口令在网络的传输过程中的验证信息不会重复。
在一次性口令系统中,用户登录过程中所使用的口令是不重复的,每次都不一样。既避免了截取/重放攻击的威胁,又能缓解用户某一次登录时口令泄露带来的危险。
用户登录时的身份验证需要同时具备用户ID、用户口令、以及由一次性口令产生器提供的额外验证码等几个条件,实际上就是把用户身份验证信息进行分解。服务器收到用户ID、口令之后按照确定的算法进行验算,将用户提供的条件合并,最终得出用户身份合法或不合法的结果。
首先,一次性口令的实现是用户在登录时产生的登录认证信息每次都不一样,为了使认证信息产生变化,我们引入一些随机因素,它可以是时间、也可以是系统产生的随机数。
其次,为了防止用户口令通过网络泄露而引发各种安全问题,在每次登录后,使用户的口令产生变化。攻击者在得到用户的口令后,由于口令只能使用一次,他就无法将得到的口令直接用于登录系统。
最后,在用户向系统提交验证信息时,系统将对验证信息进行验算,并将验算结果传送到服务器端。服务器在收到用户提交的运算值后,进行相同的运算后将得出的值进行比较,若符合则表示用户合法,允许其登录。
整个系统的特点是在认证用户身份和同步一次性口令的过程中运用了单向函数,对口令及其密钥进行保护。窃听者得到正确口令或密钥的方法只有对该函数进行攻击,但是基于该函数的单向性特点,这项工作是很难完成的。经过多重的函数运算后,要求解出正确的函数是基本不可能的。
在系统中,对用户的认证信息进行了分解,将其分成了两部分:即用户口令和密钥,他们的合并是通过随机数函数运算完成的。攻击者在得到其中的一部分之后,都必须想办法得到另一部分才能通过服务器验证。这样,就提高了系统对用户认证的安全性。
程序实现了单机环境下,用户使用一次性口令登录,以及密钥文件的自动同步。对于系统中客户口令及密钥文件的储存方式、用户口令的更改,因涉及到具体的不同系统中,因此可采用多种方式来实现。
5 结束语
一个系统的安全性不仅体现在其运行时,还体现在其是否有完备的认证机制。一个好的口令对于保证用户数据的完整性、可靠性以及安全性都十分重要。
口令是广泛采用的认证形式之一,本文通过分析身份认证的一般实现方式,提出了基于脚本的一次性口令系统研究与实现的新的设计理念,提高了Web应用系统的安全性。
参考文献
[1] 百度百科.
[2] 方 俊. 一种基于挑战/应答模式的身份认证系统的研究与实现. 计算机时代,2009. 04.
[3] 雷超,雷劲.基于脚本级的一次性口令系统的实现.计算机应用, 2001年07期.
[4] 吴和生,范训礼,谢俊元. 环境下一次性口令身份认证的研究与实现.计算机科学.,2003.
[5] 卢开澄.计算机密码学—计算机网络中的数据保密与安全.清华大学出版社,2003.
[6] 王勇.随机函数及其在密码学中的应用研究[J].信息网络安全,2012,(03):17-18.
[7] 余幸杰,高能,江伟玉.云计算中的身份认证技术研究[J].信息网络安全,2012,(08):71-74.
身份认证技术论文篇(5)
随着网络时代的到来,人们可以通过网络得到各种各样的信息。但由于网络的开放性,它正面临着如计算机病毒、人为的恶意攻击、网络软件的漏洞和“后门”、非授权访问等安全威胁。因此,网络安全越来越受到重视。作为网络安全的第一道防线,亦即是最重要的一道防线,身份认证技术受到普遍关注。
一、基于秘密信息的身份认证方法
1、口令核对
口令核对是系统为每一个合法用户建立一个用户名/口令对,当用户登录系统或使用某项功能时,提示用户输入自己的用户名和口令,系统通过核对用户输入的用户名、口令与系统内已有的合法用户的用户名/口令对(这些用户名/口令对在系统内是加密存储的)是否匹配,如与某一项用户名/口令对匹配,则该用户的身份得到了认证。
缺点:其安全性仅仅基于用户口令的保密性,而用户口令一般较短且是静态数据,容易猜测,且易被攻击,采用窥探、字典攻击、穷举尝试、网络数据流窃听、重放攻击等很容易攻破该认证系统。
2、单向认证
如果通信的双方只需要一方被另一方鉴别身份,这样的认证过程就是一种单向认证,即前面所述口令核对法就算是一种单向认证,只是这咱简单的单向认证还没有与密?分发相结合。
与密?分发相结合的单向认证主要有两类方案:一类采用对密?加密体制,需要一个可信赖的第三方???通常称为kdc(密?分发中心)或as (认证服务器),同这个第三方来实现通信双方的身份认证和密?分发如des算法,优点运算量小、速度快、安全度高,但其密?的秘密分发难度大;另一类采用非对称密?加密体制,加密和解密使用不同的密?sk,无需第三方参与,典型的公?加密算法有rsa。认证优点能适应网络的开放性要求,密?管理简单,并且可方便地实现数字签名和身份认证等功能,是目前电子商务等技术的核心基础。其缺点是算法复杂。
3、双向认证
双向认证中,通信双方需要互相鉴别各自的身分,然后交换会话密?,典型方案是needham/schroeder协议。优点保密性高但会遇到消息重放攻击。
4、身份的零知识证明
通常的身份认证都要求传输口令或身份信息,但如果能够不传输这些信息身份也得到认证就好了。零知识证明就是这样一种技术:被认证方a掌握某些秘密信息,a想设法让认证方b相信他确实掌握那些信息,但又不想让认证方b知道那些信息。
如著名的feige-fiat-shamir零知识身份认证协议的一个简化方案。
假设可信赖仲裁选定一个随机模数n,n为两个大素乘积,实际中至少为512位或长达1024位。仲裁方产生随机数v,使x2=v mod n,即v为模n的剩余,且有v-1mod n存在。以v作为证明者的公?,而后计算最小的整数s:s=sqrt(v-1)mod n作为被认证方的私?。实施身份证明的协议如下:被认证方a取随机数r,这里r<m,计算x=r2 mod m,把x送给认证方b;若b=1,则a将y=rs送给b;若b=0,则b验证x=r2 mod m,从而证实a知道sqrt(x);若b=1,则b验证x=y2.v mod m,从而证实a知道s。
这是一轮鉴定,a和b可将此协议重复t次,直到a相信b知道s为止。
二、基于物理安全性的身份认证方法
尽管前面提到的身份认证方法在原理上有很多不同,但他们有一个共同的特点,就是只依赖于用户知道的某个秘密的信息。与此对照,另一类身份认证方案是依赖于用户特有的某些生物学信息或用户持有的硬件。
基于生物学的方案包括基于指纹识别的身份认证、基于声音识别身份认证以及基于虹膜识别的身份认证等技术。该技术采用计算机的强大功能和网络技术进行图像处理和模式识别,具有很好的安全性、可靠性和有效性,与传统的身份确认手段相比,无疑产生了质的飞跃。近几年来,全球的生物识别技术已从研究阶段转向应用阶段,对该技术的研究和应用如火如茶,前景十分广阔。
三、身份认证的应用
1、kerberos是mit为分布式网络设计的可信第三方认证协议。网络上的kerberos服务起着可信仲裁者的作用,它可提供安全的网络认证,允许个人访问网络中不同的机器。kerberos基于对称密码技术(采用des进行数据加密,但也可用其他算法替代),它与网络上的每个实体分别共享一个不同的密?,是否知道该密?便是身份的证明。其设计目标是通过密?系统为客户/服务器应用程序提供强大的认证服务。该认证过程的实现不依赖于主机操作系统的认证,无需基于主机地址的信任,不要求网络上所有主机的物理安全,并假定网络上传送的数据包可以被任意地读取、修改和插入数据。
kerberos也存在一些问题: kerberos服务服务器的损坏将使得整个安全系统无法工作;as在传输用户与tgs间的会话密?时是以用户密?加密的,而用户密?是由用户口令生成的,因此可能受到口令猜测的攻击;kerberos 使用了时间戳,因此存在时间同步问题;要将kerberos用于某一应用系统,则该系统的客户端和服务器端软件都要作一定的修改。
2、http中的身份认证
http提供了一个基于口令的基本认证方法,目前,所有的web服务器都可以通过“基本身份认证”支持访问控制。当用户请求某个页面或运行某个cgi程序时,被访问访问对象所在目录下有访问控制文件(如ncsa用.haaccess文件)规定那些用户可以访问该目录,web服务器读取该访问控制文件,从中获得访问控制信息并要求客户提交用户名和口令对经过一定的编码(一般是base64方式),付给服务方,在检验了用户身份和口令后,服务方才发送回所请求的页面或执行egi程序。所以,http采用的是一种明文传输的口令核对方式(传输过程中尽管进行了编码,但并没有加密),缺少安全性。用户可以先把使用ssi建立加密信道后再采用基本身份认证方式进行身份认证,而是基于ip地址的身份认证。
3、ip中的身份认证
ip协议由于在网络层,无法理解更高层的信息,所以ip协议中的身份认证实际不可能是基于用户的身份认证,而是基于ip地址的身份认证。
四、身份认证技术讨论
在计算机网络中身份认证还有其他实现途径,如数字签名技术。传送的报文用数字签名来证明其真实性,简单实例就是直接利用rsa算法和发送方的秘密密?。
由于数字签名有一项功能是保证信息发出者的身份真实性,即信息确实是所声称的签名人签名的,别人不能仿造,这和身份认证的情形有些相似;身份认证的核心是要确认某人确实是他所声称的身份。那么,我想应该能借用数字签名机制实现身份认证,但这可能有一个困难,如果不预先进行密?分发(即使是公?,也要有一个机制将真实的公?信息传递给每一个用户)。可能数字签名也无从实现。
五、结语
在实际应用中,认证方案的选择应当从系统需求和认证机制的安全性能两个方面来综合考虑,安全性能最高的不一定是最好的。如何减少身份认证机制和信息认证机制中的计算量和通信量,而同时又能提供较高的安全性能,也是信息安全领域的研究人员进一步需要研究的课题。
身份认证技术论文篇(6)
随着网络时代的到来,人们可以通过网络得到各种各样的信息。但由于网络的开放性,它正面临着如计算机病毒、人为的恶意攻击、网络软件的漏洞和“后门”、非授权访问等安全威胁。因此,网络安全越来越受到重视。作为网络安全的第一道防线,亦即是最重要的一道防线,身份认证技术受到普遍关注。
一、基于秘密信息的身份认证方法
1、口令核对
口令核对是系统为每一个合法用户建立一个用户名/口令对,当用户登录系统或使用某项功能时,提示用户输入自己的用户名和口令,系统通过核对用户输入的用户名、口令与系统内已有的合法用户的用户名/口令对(这些用户名/口令对在系统内是加密存储的)是否匹配,如与某一项用户名/口令对匹配,则该用户的身份得到了认证。
缺点:其安全性仅仅基于用户口令的保密性,而用户口令一般较短且是静态数据,容易猜测,且易被攻击,采用窥探、字典攻击、穷举尝试、网络数据流窃听、重放攻击等很容易攻破该认证系统。
2、单向认证
如果通信的双方只需要一方被另一方鉴别身份,这样的认证过程就是一种单向认证,即前面所述口令核对法就算是一种单向认证,只是这咱简单的单向认证还没有与密鈅分发相结合。
与密鈅分发相结合的单向认证主要有两类方案:一类采用对密鈅加密体制,需要一个可信赖的第三方―――通常称为KDC(密鈅分发中心)或AS (认证服务器),同这个第三方来实现通信双方的身份认证和密鈅分发如DES算法,优点运算量小、速度快、安全度高,但其密鈅的秘密分发难度大;另一类采用非对称密鈅加密体制,加密和解密使用不同的密鈅SK,无需第三方参与,典型的公鈅加密算法有RSA。认证优点能适应网络的开放性要求,密鈅管理简单,并且可方便地实现数字签名和身份认证等功能,是目前电子商务等技术的核心基础。其缺点是算法复杂。
3、双向认证
双向认证中,通信双方需要互相鉴别各自的身分,然后交换会话密鈅,典型方案是Needham/Schroeder协议。优点保密性高但会遇到消息重放攻击。
4、身份的零知识证明
通常的身份认证都要求传输口令或身份信息,但如果能够不传输这些信息身份也得到认证就好了。零知识证明就是这样一种技术:被认证方A掌握某些秘密信息,A想设法让认证方B相信他确实掌握那些信息,但又不想让认证方B知道那些信息。
如著名的Feige-Fiat-shamir零知识身份认证协议的一个简化方案。
假设可信赖仲裁选定一个随机模数n,n为两个大素乘积,实际中至少为512位或长达1024位。仲裁方产生随机数V,使X2=V mod n,即V为模n的剩余,且有V-1mod n存在。以V作为证明者的公鈅,而后计算最小的整数s:s=sqrt(v-1)mod n作为被认证方的私鈅。实施身份证明的协议如下:被认证方A取随机数r,这里r
这是一轮鉴定,A和B可将此协议重复t次,直到A相信B知道S为止。
二、基于物理安全性的身份认证方法
尽管前面提到的身份认证方法在原理上有很多不同,但他们有一个共同的特点,就是只依赖于用户知道的某个秘密的信息。与此对照,另一类身份认证方案是依赖于用户特有的某些生物学信息或用户持有的硬件。
基于生物学的方案包括基于指纹识别的身份认证、基于声音识别身份认证以及基于虹膜识别的身份认证等技术。该技术采用计算机的强大功能和网络技术进行图像处理和模式识别,具有很好的安全性、可靠性和有效性,与传统的身份确认手段相比,无疑产生了质的飞跃。近几年来,全球的生物识别技术已从研究阶段转向应用阶段,对该技术的研究和应用如火如茶,前景十分广阔。
三、身份认证的应用
1、Kerberos是MIT为分布式网络设计的可信第三方认证协议。网络上的Kerberos服务起着可信仲裁者的作用,它可提供安全的网络认证,允许个人访问网络中不同的机器。Kerberos基于对称密码技术(采用DES进行数据加密,但也可用其他算法替代),它与网络上的每个实体分别共享一个不同的密鈅,是否知道该密鈅便是身份的证明。其设计目标是通过密鈅系统为客户/服务器应用程序提供强大的认证服务。该认证过程的实现不依赖于主机操作系统的认证,无需基于主机地址的信任,不要求网络上所有主机的物理安全,并假定网络上传送的数据包可以被任意地读取、修改和插入数据。
Kerberos也存在一些问题: Kerberos服务服务器的损坏将使得整个安全系统无法工作;AS在传输用户与TGS间的会话密鈅时是以用户密鈅加密的,而用户密鈅是由用户口令生成的,因此可能受到口令猜测的攻击;Kerberos 使用了时间戳,因此存在时间同步问题;要将Kerberos用于某一应用系统,则该系统的客户端和服务器端软件都要作一定的修改。
2、HTTP中的身份认证
HTTP提供了一个基于口令的基本认证方法,目前,所有的Web服务器都可以通过“基本身份认证”支持访问控制。当用户请求某个页面或运行某个CGI程序时,被访问访问对象所在目录下有访问控制文件(如NCSA用.haaccess文件)规定那些用户可以访问该目录,Web服务器读取该访问控制文件,从中获得访问控制信息并要求客户提交用户名和口令对经过一定的编码(一般是Base64方式),付给服务方,在检验了用户身份和口令后,服务方才发送回所请求的页面或执行EGI程序。所以,HTTP采用的是一种明文传输的口令核对方式(传输过程中尽管进行了编码,但并没有加密),缺少安全性。用户可以先把使用SSI建立加密信道后再采用基本身份认证方式进行身份认证,而是基于IP地址的身份认证。
3、IP中的身份认证
IP协议由于在网络层,无法理解更高层的信息,所以IP协议中的身份认证实际不可能是基于用户的身份认证,而是基于IP地址的身份认证。
四、身份认证技术讨论
在计算机网络中身份认证还有其他实现途径,如数字签名技术。传送的报文用数字签名来证明其真实性,简单实例就是直接利用RSA算法和发送方的秘密密鈅。
由于数字签名有一项功能是保证信息发出者的身份真实性,即信息确实是所声称的签名人签名的,别人不能仿造,这和身份认证的情形有些相似;身份认证的核心是要确认某人确实是他所声称的身份。那么,我想应该能借用数字签名机制实现身份认证,但这可能有一个困难,如果不预先进行密鈅分发(即使是公鈅,也要有一个机制将真实的公鈅信息传递给每一个用户)。可能数字签名也无从实现。
五、结语
在实际应用中,认证方案的选择应当从系统需求和认证机制的安全性能两个方面来综合考虑,安全性能最高的不一定是最好的。如何减少身份认证机制和信息认证机制中的计算量和通信量,而同时又能提供较高的安全性能,也是信息安全领域的研究人员进一步需要研究的课题。
身份认证技术论文篇(7)
Security Investigation on the Internet Users’ Accounts and Passwords
Xie Jin 1 Liu Fan-bao 2 Xie Tao 2
(1.The First High School of Changsha HunanChangsha 410005;
2. School of Computer Science, National University of Defense Technology HunanChangsha 410073)
【 Abstract 】 Being directed against the basic problem of information security, i.e. the security of the Internet users’ accounts and their corresponding passwords, an investigation on the security level of inland network identity authentication has been carried on for 3 years. The investigation focuses on testing the security mechanisms applied in the registration (create a new account) and sign-in procedures of some dominant inland Internet Email service providers, and testing the security mechanisms applied in the registration and sign-in procedures of some dominant inland Internet E-Business service providers. To make comparisons on the security mechanism with overseas Internet Email service providers, similar tests have also been carried out on the three dominant Internet Email service providers, namely Hotmail, Gmail and Yahoo!Mail. Research results show that, China’s current information security can be leveled as very severe, so that some emergent measures must be taken to hold up the network security as soon as possible, and the first and foremost remedy is not to send a user’s username\password over the circuit “in the clear” any more.
【 Keywords 】 internet;information security; account password; identity authentication
1 引言
与历史上改变人类生活方式的重大技术革命一样,网络技术已经成为一把名副其实的双刃剑。从模拟信号到数字信号、从有线连接到无线连接、从静止通讯到移动通讯、从单计算机应用到多计算机互联、从人-人互联到人-物与物-物互联,网络技术发展到今天,已经无处不在、不可或缺。但由于因特网的基础协议(TCP/IP)未考虑信息安全因素,使得在网络信息技术飞速发展的今天,安全问题也异常突出。网络账号密码泄密、网络阻塞、网站瘫痪、邮件伪造、黑客入侵、网络欺诈、假冒网站等信息安全问题,已经严重威胁电子金融、电子商务、电子政务、网络媒体、网络社交等互联网络服务的安全与信任问题。
愈演愈烈的“密码危机”已经演变成为对网络技术的信任危机。近年来,互联网用户信息泄露与入侵事件层出不穷,事件日益严重。例如,索尼上亿用户信息泄露,韩国SK通讯公司七成韩国人资料遭泄露,日本爱普生公司泄露3500万用户信息,美国银行与美国花旗银行信用卡信息遭泄露,华盛顿邮报百万用户信息遭泄露…… 近年来,我国也发生了史上最为严重的用户信息泄露事件。2011年12月,CSDN上600万用户资料被公开,知名团购网站美团网的用户账号密码信息也被宣告泄露,天涯社区、开心网、7K7K、猫扑等多个社区和游戏网站的用户数据相继外泄,网上公开暴露的网络账号密码超过1亿个。2013年3月,著名云笔记服务提供商Evernote 5000万用户身份密码遭黑客泄漏。 2014年12月,中国铁路客户服务中心12306用户数据在互联网遭到大量泄漏,包括用户账号、明文密码、身份证以及邮箱等。如何确保互联网上个人、组织、服务和设备之间的虚拟服务具有与现实服务同等的可靠度与诚信度,已成为网络安全行业在信息安全理论、技术、工程与管理上迫在眉睫、义不容辞的责任与使命。
身份认证是网络信息安全的基本保障。网络服务器通过身份认证与访问控制方式对合法注册用户进行授权与管理。用户首先通过注册(账号与密码)成为网络服务器的合法用户,只有通过身份认证的用户才能访问/使用(阅读、修改、下载等)网络服务器相应角色的资源。身份认证与访问控制是网络信息安全的基本技术和基本研究内容。网络信息安全涉及计算机操作系统、互联网络安全协议与密码算法的安全性,其中网络安全协议以密码算法为基础,采用网络协议的形式实现两个以上网络实体之间的远程身份认证、密钥协商以及确保消息的不可抵赖性。安全协议的安全性不仅取决于密码算法自身的安全性,同时也取决于协议形式的安全性。身份认证协议常用攻击方法包括网络监听、重放攻击、中间人攻击、在线攻击、离线攻击等等,一个不安全的身份认证协议可以被黑客利用进行网络攻击。因此,身份认证协议的安全性是确保网络身份认证安全的技术基础。
2 电子邮件系统与商业网站账号安全
我们首先对每个电子邮箱的三种登录方式分别进行了用户账号密码的传输方式测试,包括POP3登录方式、IMAP登录方式以及Web登录方式。然后,对每个电子邮箱注册服务过程中用户注册信息的传输方式进行测试。
2.1 电子邮箱POP3客户端登录安全方式调查
我们在2011年8月的调查结果表明,采用POP3客户端登录方式的所有国内电子邮件服务提供方默认使用明文密码进行用户身份认证,而且其中46%的境内邮件服务提供方(28家中的13家)仅支持明文密码认证。我们在2012年8月的调查结果表明,采用POP3客户端登录方式的所有境内电子邮件服务提供方仍然默认使用明文密码进行用户身份认证,而且其中39%的境内邮件服务提供方(28家中的11家)仅支持明文密码认证。一年期间,中国移动的139mail新增HTTPS支持,Tommail新增Login支持。此点说明,已经有境内电子邮件服务提供方开始认识到用户登录身份认证安全的重要性。调查统计结果如图1(a)所示。
2.2 电子邮箱IMAP客户端登录安全方式调查
我们在2012年8月的调查结果表明,25%的境内邮件服务提供方(28家中的7家)不支持IMAP客户端登录。在支持IMAP客户端登录的境内电子邮件服务提供方中,所有提供方默认使用明文密码进行用户身份认证,其中33%的提供方(21家中的7家)仅支持明文密码认证。调查统计结果如图1(b)所示。
2.3 电子邮箱Web页面注册与登录安全方式调查
我们在2012年8月的调查结果表明,除亿邮(eyou.mail)关闭了注册功能外,所有境内邮件服务提供方在用户注册过程中均将注册信息(包括账号与密码)以明文方式传输至注册服务器。在已调查的28个境内知名邮件服务提供方中有19个(比例为67.9%)为收费邮件服务(每月收取服务费用从五元至上百元不等),有9个(比例为32.1%)提供免费电子邮件服务。调查结果表明,境内邮件服务商信息安全意识不强,对用户私密信息缺乏足够安全保护。令人震惊的是,19家收费电子邮件系统中竟有16家(比例为84.2%)默认使用明文密码进行登录认证,仅有3家提供非明文密码的登录认证方式,而且其中一家仅仅采用极其简单的线性掩码变换方式对登录密码进行保护,另外两家则采用安全的HTTPS方式对登录过程中的密码传输进行加密保护。由此可见,境内电子邮件系统安全性十分脆弱。在9家免费电子邮件系统中,仅有搜狐旗下的4家提供安全的HTTPS对登录过程的密码传输进行加密保护,另外三个使用用户明文密码进行登录认证,剩余两家使用单向挑战响应认证方式对用户账号密码进行有限保护。根据轻量级(非公开密钥密码系统)动态身份认证方式中认证服务器数据库账号密码必须与用户登录密码一致的原理,可以推定其中使用单向挑战响应认证方式的两家邮件服务商均采用明文密码数据库,因此容易遭受因认证数据库泄密导致的集中泄密风险。调查统计结果如图2所示。
2.4 国外电子邮箱系统安全性调查
作为安全性比较分析,我们对境外三大电子邮箱服务器Hotmail、Gmail和Yahoo!Mail的安全身份认证方式进行了同样的测试工作,结果发现这些邮箱的注册与登录过程全部以安全HTTPS协议方式对用户账号密码信息进行加密传输,基本上没有明文账号密码传输认证方式选项。
境内电子邮件服务提供方仅采用最低安全级别的明文密码传输方式进行身份认证,而境外电子邮件服务方一般提供安全级别很高的口令密码加密传输保护方式。因此,境内电子邮件系统极易受到境内外黑客或者情报部门攻击,并利用用户个人私密信息进行商业牟利或政治与军事渗透活动。重视账号和内容安全的国内电子邮件用户因而转投境外电子邮件提供方。由于我们无法控制国外邮件服务器,而境外情报部门却能轻易控制并利用境内的电子邮箱信息,致使我国在网络信息安全技术领域处于不对称的弱势地位。此外,我国现有网络服务器等网络核心设备一般采用国外主机与操作系统,由网络设备制造方预设的硬件后门和软件后门所导致的安全风险也不容小觑。
2.5 商业网站账号安全性调查
名目繁多的境内互联网商业网站为用户提供购物、旅游、聊天、交友等系列服务,极大便利了广大用户的生活。这些网站数据库中留下了用户的各种私密信息(爱好、消费内容和习惯、交往人群等),如果这些用户信息发生集中泄露事件,用户就毫无隐私可言。2011年12月期间我国系列网站账号数据库集中泄露事件表明,境内商业网站的账号与密码的安全性令人质疑。
2012年8月我们集中调查了30家知名商业网站的账号密码安全性。受调查的商业网站涵盖生活、招聘、交友、团购、购物、旅游和视频等方面,在一定程度上代表了当前服务性商业网站的主流应用。我们主要通过监控用户注册过程和用户登录过程,检查网站是否提供必要的安全技术对用户的账号密码进行保护。其中29家商业网站在用户提交注册信息(包含账号密码)的过程中均未提供任何安全保护,包括知名购物网站淘宝网,用户设定的账号和密码通过明文方式经过不安全的互联网传送至网站服务器。京东商城使用HTTPS对注册和登录过程进行保护。
26家商业网站(比例86.7%)对用户的登录认证过程未提供任何安全保护,仅仅采用明文密码认证方式,包括知名团购网站拉手网和美团网以及三大招聘网站,如图3所示。仅有淘宝和京东商城提供了安全的HTTPS对用户登录认证过程的密码传输进行加密保护,另有三家网站(58同城、开心网和新浪微博)采用单向挑战响应认证方式对用户在登录认证过程中的密码传输进行了有限的保护。根据动态身份认证方式中认证服务器数据库账号密码必须与用户登录密码一致的原理,可以推定其中使用单向挑战响应认证方式的三家商业网站服务商采用明文密码数据库,因此容易遭受因认证数据库泄密导致的集中泄密风险。调查统计结果如图3所示。2014年8月,我们再一次对此30家知名商业网站的账号密码安全性进行复查,发现58同城网、CSDN论坛网、美团购物网、大公点评网以及去哪儿旅游网等几家商业或社交网站的注册与登录信息传输已经采用HTTPS安全协议进行了加密封装,其它网站仍然没有进行必要的安全升级。
3 调查结论与建议
3.1 调查结论
(1)境内互联网服务提供方用户的身份注册与登录认证过程普遍默认采用静态身份认证方式。虽然认证数据库用户的账号密码存储方式不明,但用户的账号密码却几乎全部采用明文密码传输方式。因此,容易遭受网络监听泄密风险。这是导致近几年国内外商业数据库账号密码泄密的主要技术原因。
(2)绝大部分境内互联网服务提供方的用户注册信息(账号与密码)传输仅仅提供唯一的明文传输方式,近半数境内互联网服务提供方用户登录身份认证的账号密码传输仅仅提供唯一的明文传输方式。因此,非常容易遭受网络监听泄密风险。这是导致近几年国内外商业数据库账号密码泄密的主要技术原因。
(3)境外互联网几大专业电子邮箱服务器Hotmail、Gmail和Yahoo!Mail均采用SSL\TLS协议对口令实施加密传输动态认证,防止账号口令密码网络明文传输泄密风险;认证服务器数据库则采用账号口令散列值加密方式,预防数据库内部集中泄密风险。
(4)为了确保网络身份认证数据库安全与认证过程中认证信息传输的安全性,无论是国际互联网还是包括军网在内的各种内部专网,必须采用SSL\TLS协议将网络身份认证过程加密封装,在口令密码散列值加密存储方式下实现非对称密码体制下的动态身份认证。
(5)密码算法、安全协议与网络工程以及操作系统各专业研究领域必须紧密合作,才能保证一项互联网应用工程中的信息安全。我国互联网普遍存在用户账号密码明文传输的不安全静态认证方式,根本原因在于互联网应用工程设计人员网络安全意识不强,对网络安全协议缺少研究,对常规网络攻击方法与行为缺乏了解,对潜在的网络攻击新理论与新技术更缺少关心。
根据轻量级动态身份认证的一致性原理可以推定,采用轻量级动态身份认证方式的认证数据库一般采用用户账号密码的明文存储方式。根据一致性原理同时可以推定,安全的认证数据库一般采用用户账号密码的单向散列值影子文件加密保护,而采用SSL/TLS安全协议将静态认证的明文密码传输转换成重量级动态认证的加密传输方式。这样,网络身份认证才能既可防止认证数据库的内部集中泄密风险,又能防止外部网络监听的重放攻击。
3.2 应急建议
(1)尽快对我国互联网开展一次用户身份认证方式的普查工作,检查认证数据库用户的账号密码存储方式与身份认证中账号密码的网络传输方式。
(2)尽快对我国各行业内部专用互联网(内部信息专网、政府办公专网、金融专网、邮电专网、铁路专网等等)开展一次用户身份认证方式的普查工作,检查认证数据库用户的账号密码存储方式与身份认证中账号密码的网络传输方式。
(3)采用SSL\TLS协议对我国互联网用户身份认证过程实现加密封装,确保身份认证过程的动态性。
(4)加强网络信息安全意识,建立互联网攻防新技术专业实验室,为复杂信息化环境下的军事斗争加紧培养既精通密码算法与安全协议的分析方法又通晓操作系统与网络工程技术的复合型高级专门技术人才。
参考文献
[1] 谢涛,陈火旺,康立山. 幻方身份双向认证与密约传输一体化方法.中国知识产权局,发明专利号:331608,2007年6月.
[2] 谢涛. 一种用于身份真伪鉴别的幻方签名方法.中国知识产权局,发明专利号:695757,2010年11月.
[3] Freier A, Karlton P, Kocher P. The Secure Sockets Layer (SSL)Protocol Version 3.0. RFC 6101 (Historic). August 2011. http:///rfc/rfc6101.txt.
[4] Dierks T, Rescorla E. The Transport Layer Security (TLS) Protocol Version 1.2. RFC 5246 (Proposed Standard). August 2008. Updated by RFCs 5746, 5878, 6176, http:///rfc/rfc5246.txt.
[5] Rescorla E. HTTP Over TLS. RFC 2818 (Informational). May 2000. Updated by RFC 5785, http:///rfc/rfc2818.txt.
[6] Fielding R, Gettys J, Mogul J, et al. Hypertext Transfer Protocol-HTTP/1.1. RFC 2616 (Draft Standard). June 1999. Updated by RFCs 2817, 5785, 6266, http:///rfc/rfc2616.txt.
[7] Crispin M. INTERNET MESSAGE ACCESS PROTOCOL - VER- SION 4rev1. RFC 3501 (Proposed Standard). March 2003. Updated by RFCs 4466, 4469, 4551, 5032, 5182, 5738, 6186, http:///rfc/rfc3501.txt.
基金项目:
本文工作得到国家自然科学基金项目NSF.61070228与 NSF.61472476的连续资助以及国防科技大学XXX实验室的大力支持。
作者简介:
身份认证技术论文篇(8)
随着通信网络技术的快速发展,电子商务给人们的工作和生活带来了新的尝试和便利,也带来了一些问题,由于网络本身的开放性,使电子商务面临种种风险,也由此提出了安全控制要求。客户认证是保证电子商务交易安全的一项重要技术,主要包括身份认证和信息认证。身份认证用于鉴别用户身份,而信息认证用于保证通信双方的不可抵赖性和信息的完整性。在某此情况下,信息认证显得比信息保密更为重要。
一、身份认证
身份认证是通过身份识别技术及其他附加程序对用户的身份进行确认的全部过程。要在网上使交易安全、成功,首先要能够确认对方的身份。电子商务环境对身份识别技术的基本要求有: 1.身份的认证必须数字化;2.安全、健康,对人的身体不会造成伤害;3.快速、方便、易使用;4.性能价格比高,适合普及推广。用于身份认证的技术较多,最常用的是密码,使用身份标识码加密码来进行安全防范,如用户口令;还有使用物理载体的方式,例如使用证件、钥匙、各种卡等有形的载体来识别身份;另外还有生物特征身份识别方式,使用指纹、面像、视网膜、DNA、语音等特征来识别身份。
二、信息认证
信息认证的目的是防止信息被篡改、伪造,或信息接收方事后否认。确保电子商务的安全、可靠、一致性十分重要。信息认证技术是电子商务系统中的重要组成部分。由于网络上的信息是容易修改、复制的,通过电子数据方式达成的交易文件是不能被否认的,因此确保电子交易的信息都必须是不可否认的、不可被修改的,否则网上的交易就没有严肃和公正性。为实现这一目标,除了采用身份认证起到确保网上交易者身份的真实可信外,信息认证就用来确保交流的信息完整、不可抵赖性,以及信息访问的权限控制。
信息认证主要有两种方式:信息加密和数字签名。而实现这些技术都要应用数据加密技术。
1.加密技术
加密技术是保证电子商务安全的重要手段,它包括私钥加密和公钥加密。私钥加密又称对称密钥加密,即信息的发送方和接收方用一个密钥去加密和解密数据,目前常用的私钥加密算法包括DES和IDEA等。对称加密技术的最大优势是加密或解密速度快,适合于对大数据量进行加密,但密钥管理困难。公钥密钥加密,又称非对称密钥加密系统,它需要两个密钥——公开密钥(Public-Key)和私有密钥(Private-Key)。如果用公开对密钥进行加密,只有用对应的私有密钥才能进行解密;如果用私有密钥对数据进行加密,那么只有用对应的公开才能解密。非对称加密常用的算法是RSA。RSA算法利用两个足够大的质数与被加密原文相乘生产的积来加密或解密。这两个质数无论是用哪一个与被加密的原文相乘(模乘),即对原文件加密,均可由另一个质数再相乘来进行解密。但是求解几乎是不可能的。非对称加密算法的保密性比较好,消除了最终用户交换密钥的需要,但加密和解密花费时间长、速度慢,不适合对文件加密而只适用于对少量数据进行加密。
信息发送方采用对称来加密信息,然后将对称密钥用接收方的公开密钥来加密,这部分称为数字信封(Digital Envelope)。之后,再分别和密文一起发送给接收方。接收方先用自己的私钥打开数字信封,得到对称密钥,然后使用对称密钥解开信息。
2.数字签名技术
对信息进行加密只解决了电子商务安全的第一个问题,而要防止他人破坏传输的数据,还要确定发送信息人的身份,这就需要采取另外一种手段——数字签名。数字签名采用了双重加密的方法来实现防伪、防抵赖。
把HASH函数和公钥算法结合起来,可以在提供数据完整性的同时,也可以保证数据的真实性。完整性保证传输的数据没有被修改,而真实性则保证是由确定的合法者产生的HASH。把这两种机制结合起来就可以产生所谓的数字签名(Digital Signature)。将报文按双方约定的HASH算法计算得到一个固定位数的报文摘要(Mes-sage Digest)值。只要改动报文的任何一位,重新计算出的报文摘要就会与原先值不符。然后把该报文的摘要值用发送者的私人密钥加密,将该密文同原报文一起发送给接收者,所产生的报文即称数字签名。
在电子商务的发展过程中,数字签名技术也有所发展,以适应不同的需要。数字时间戳就是一种变种的应用。在交易文件中,时间是十分重要的信息,在书面合同中,文件签署的日期和签名一样均是十分重要的防止文件被和篡改的关键内容。时间戳是一个经过加密后形成的凭证文档,它包括三个部分:需加时间戳的文件的摘要,DTS收到文件的日期和时间及DTS的数字签名。
身份认证技术论文篇(9)
一、前言
由于移动互联网的强劲发展,移动电子商务也逐渐凭借技术和应用上的优越性,显示出了强大的生命力和发展潜力。而影响移动支付业务发展的关键问题是安全性。相对于有线网络的连接方式,无线网络没有特定的界限,窃听者无需进行搭线就可以轻易获得无线网络信号。因此相对于传统的电子商务模式,移动电子商务的安全性更加薄弱。如何保护用户的个人信息不受侵犯,除了需要加密措施外,还需要强有力的身份认证,使得窃听者无从盗用用户权限。
二、身份认证的概念
身份认证系统是认证、授权与访问控制三个系统相结合的产物。认证是指检测用户或设备所声称身份是否有效的过程;授权是赋予用户、用户组对于特定系统访问权限的过程;访问控制指把来自系统资源的信息流限制到网络中被授权的人或系统。授权和访问大多数情况下都是在成功的认证之后进行的。
因此,身份认证技术主要基于以下要素:
(1)“What you know”,如密码和身份证号码等;
(2)“What you have”,如一个动态口令卡、一个IC卡或USBKey等;
(3)“Who are you”,根据被认证对象身上所具有的特征,如指纹、瞳孔等;
(4)“Where are you”,根据被认证方所在的位置如地理位置、IP地址等
三、移动支付中安全问题的现状
(一)信息的泄露。用户在使用手机进行支付时,加密等安全措施保护力度不高,黑客们就可以通过钓鱼网站、木马程序等手段窃取用户信息,将被移动支付功能进行非法复制,从而造成用户的损失。
(二)商家和消费者合法身份的确认。移动支付将银行、商家、消费者紧密地联系起来,并涉及大量的现金往来,如何解决合法身份认证就显得尤为重要。
(三)用户信用体系的建设和完善。通常一些小额支付业务可以通过扣除手机话费的方式进行付费交易,于是就可能产生手机话费透支、恶意拖欠等现象。同时,由于我国手机号管理不够完善,许多手机号购买时尚未采取实名制管理,由此可能造成恶意透支现象发生。
(四)移动终端丢失给移动支付用户带来的损失。移动支付通常是手机卡与银行卡、信用卡相关联,由此可能存在用户在丢失手机后自己的移动支付帐户被他人冒用的风险。
四、常用身份认证技术
(一)静态口令认证技术
静态口令认证是指用户设置登录的用户名和密码,电子商务系统通过验证用户名和密码来确认用户的身份。这种认证机制方法表面看来比较简单,开销小,但实际上,由于许多用户为了防止忘记密码,经常采用诸如生日、电话号码等容易被猜测的字符串作为密码,或者把密码抄写在某个自认为安全的地方,这样很容易造成密码泄漏。
为提高静态口令的安全性,通常会控制口令的内容。例如,对口令长度和内容的限制(如要求口令长度达到一定长度,要多种符号混合输入等)、要求定期更换口令、不同系统功能采用不同的口令等。采用这些方法可以从口令的复杂程度上提高系统的安全性,但是并不能从根本上解决安全问题,同时也造成用户使用的不方便。但对于安全性要求不是很高的领域,静态口令认证仍然是一种可取的方式。
(二)动态口令认证技术
以一次性动态口令登录,每次登录的认证信息都不相同。由于每个正确的动态口令只能使用一次,即使非法用户截获了己经通过验证的正确口令,再次提交到认证服务器也不能通过验证,因此不必担心口令在传输认证期间被第三方监听到,从而提高登录过程的安全性。
(三)基于数字证书的认证技术
数字证书包含用户身份信息、用户公钥以及证书发行机构对该证书的数字签名信息。证书发行机构的数字签名可以确保证书信息的真实性,用户公钥信息可以保证数字信息的完整性,用户的数字签名可以保证数字信息的不可抵赖性。
基于X.509证书的认证技术适用于开放式网络环境下的身份认证,该技术已被广泛接受,许多网络安全程序都可以使用X.509证书,如IPsec、SSL、SET、S/MIME等)。但它不可避免地存在着某些缺陷,如:在最初的证书时,CA如何验证一个远程用户提供的信息的真实性问题;用户私有密钥保存的安全问题;用户用于取出私钥的通行字的质量问题等等。此类问题在理论上虽不难解决,但在具体实施中却很困难。
(四)基于智能卡认证技术
智能卡(Smart Card)是一种集成的带有智能的电路卡,它不仅具有读写和存储数据的功能,而且能对数据进行处理。智能卡由于其硬件软件的多种措施的保护,保证了卡内的个人信息不会轻易的被第三方窃取,且其内部自带的数据处理功能可以使得对于关键信息的操作在卡内完成,而不必读取卡中的内容,从而防止了信息在读取过程中泄露的可能性。此外,智能卡可以提供唯一的ID号,系统通过此ID号可以识别使用系统的用户身份。
因此,智能卡认证技术被认为是最安全可靠的认证技术之一。智能卡一般是形状与信用卡类似的矩形塑料片,但也有许多其它的形式。近年来出现了许多将智能卡与身份认证相结合的技术,其中,基于USBKey的身份认证是目前比较流行的智能卡身份认证方式。USBKey结合了现代密码学技术、智能卡技术和USB技术,是新一代身份认证技术。
(五)基于生物识别的认证技术
生物识别这种认证方式是将人体固有的生理或行为特征收集并用电脑进行处理,由此用于个人身份鉴定的技术。基于生物特征的身份认证技术具有以下优点:①没有复杂的密码口令,不易遗忘或丢失;②利用了个人特征的独特性,不易伪造或被盗;③利用了人体本身,无需增加复杂的装置,方便实用。
目前,己有的生物特征识别技术主要有指纹识别、掌纹识别、手形识别、人脸识别、虹膜识别、视网膜识别、声音识别和签名识别等。其中,指纹识别是最早研究并利用的,由于人类指纹的唯一性,指纹识别是最方便、最可靠的生物识别技术之一。此外,声音、虹膜、视网膜、脸部特征识别,都是非接触方式进行,易于被用户接受。但目前多数识别技术仍处于研究实验或小范围应用阶段,由于识别设备成本高、对识别正确率没有确切结论、采取的特征会由于某些因素呈现不稳定性等原因,目前还很难真正推广到应用中。
参考文献:
[1]王秦、支芬和. 移动商务身份认证评价指标体系研究[N] 技术管理与经济研究 2012.04
[2]崔媛媛. 手机数字签名_移动支付业务的安全保障[N] 电信网技术 2010.02(2)
身份认证技术论文篇(10)
关键词:
高职院校;统一身份管理;建设分析;技术探讨
1概述
据不完全统计,在高职院校,绝大多数职能部门都自己独立的资源系统或者平台。教务处为了方便教学管理和教务管理,搭建了教务系统和排课系统,为了方便开展毕业生论文答辩,搭建了毕业论文管理系统,为了方便顶岗实训,又搭建了顶岗实训系统;学生工作处为了方便学生的管理和宿舍的检查,搭建了学生管理平台和宿舍管理平台;科技处为了统计教师每年的课题和科研工作量,搭建了自己的科技量统计平台;人事处为了随时能够了解教职工的学历提升情况、师资建设情况,搭建了自己的人事管理系统;有些高职院校,为迎接各种示范建设或者骨干建设,还成立了示范建设办公室,这个办公室为了能够快速收齐相关的资料,也会搭建自己的平台。
每个职能部门,自己搭建的平台都是相对独立的,完全不共享,是孤立的,独立存在的,数据不是共享的。这样会导致很多不良的后果,比如:同一个高职院校的同一名教师,手里面可能有数十个由各个系统分配过来的账户和密码,不便于管理;再比如,因为各职能部门的系统是完全独立,数据没有得到共享,如果教师在教务系统里面填制了一次个人信息,到人事系统、毕业系统、顶岗实训系统、科研系统、学工系统等其他系统里面又要重新填制一次甚至数十次的个人信息,看似为了提高工作效率的的系统,到了真正实施起来的时候,却变成了累赘、鸡肋。再比如,各个职能部门的系统分别由不同的厂家开发,研发的标准是完全不一样的,在没有形成统一的身份认证之前,系统之间都是不通气的,会形成大面积的资源浪费。为了解决以上这些繁琐的问题,我们提出了针对高职院校的统一身份管理系统建设。
2建设分析
统一身份管理平台,在设计之初,就应该充分考虑高职院校信息化建设的应用需求和未来发展,同时要降低系统的总体拥有成本。在系统设计、新系统开发和业务系统集成整个流程中,尽量减少身份管理平台对其他应用系统在技术上的依赖,确保身份管理平台(或功能模块)在未来发生变化(减少、增加和变更)时,能够快速方便地进行功能模块组合或修改(二次开发),以适应学校管理的新变化,将整个系统内部在技术上的相互依赖性减至最低,同时,不影响其他应用系统和整个信息化校园基础平台的运行。身份管理平台,要求采用B/S结构,可运行于Unix、Linux等高安全性操作系统。开发技术应遵循J2EE标准、组件技术及在数据交换上对XML的支持,整体架构采用SOA架构来实现,各个信息管理系统通过一个基于总线的核心基础平台有机的集成到SOA架构中。所有的服务都能通过标准的Web服务提供,采用SOAP协议传输。所有的服务通过基础平台实现统一的注册、、注销、管理等,所有的应用系统之间的整合都是通过调用基础平台的服务来实现统一的数据交换。各个应用系统要充分利用现有先进技术手段,尽可能采用相同的体系结构和运行平台,基于多层架构和组件技术进行构建,做到系统结构层次清晰合理。身份管理平台应能实现身份数据的统一存储、统一管理,实现高职院校各类应用的单点登陆,以及各类访问与操作安全审计。平台建设主要包括基础服务、集成接口、身份管理控制台三个方面。
2.1基础服务1)SSO认证服务;2)身份数据存储;3)账号数据同步服务;4)账号初始化密码服务;5)采取分级授权。
2.2集成接口1)集成接口;2)目录服务;3)集成方案:提供blackboard、sharepoint等第三方产品的集成认证方案;4)与中国移动网络或者中国联通无线网认证集成。提供解决方案,并在后期完成于网络认证系统的对接,使得无线认证通过与统一身份认证进行身份数据对接,身份数据用户名密码通过统一身份认证平台同步到无线网认证数据库中,当用户修改个人密码,身份认证管理员增加账号等操作的时候,身份数据通过身份认证的对外同步接口同步到无线网中,实现统一认证。能够实现认证平台与学校各应用系统的无缝对接。
2.3身份管理控制台1)负载均衡;2)身份自助服务;3)图形展示;4)帐号管理;5)认证管理;6)授权管理;7)审计管理;8)监控管理:监控内容包括总体状态、会话状态、进程状态、服务器状态和监控配置功能;9)系统管理:包括操作日志管理、管理员管理和配置管理功能;10)对外服务:提供对外的账号同步和对外密码同步插件,如果需要对外实行同步操作,通过开发并注册相关的插件即可完成,插件的注册和启动支持热拔插。另外,还为REST身份管理接口提供安全访问和授权的管理功能,从而保证了REST接口的安全。
3技术分析
在进行统一身份管理平台建设时,我们不能只是单纯的去考虑系统的实用性或者价廉物美,更要从系统的长远入手,从系统本身的标准化、可集成性、可扩展性、开放性、安全性、高性能、可管理性、高效特性等方面,去考虑系统的后续维护性、持久性和先进性。建设系统的目的,是让系统能更好为学校服务,而不能让系统后期的建设和高额的维护,限制了系统本身的发展。所以,在系统建设之初,规划者就应该把这些不必要的因素考虑进去,做好技术分析,最好是能做好SWOT的全貌分析。本文着重对系统本身的技术层面进行系统分析。
3.1标准化1)采用基于LDAP标准的目录服务器存储身份数据,并提供身份认证。2)平台基于J2EE标准架构,要求在安全认证方面基于JAAS技术。3)遵循CAS2.0协议规范。
3.2可集成性1)提供多种认证接口的异构支持,包括认证和LDAP目录服务接口。2)支持多种语言的接口方式,包括Java、.Net、PHP、C、C++等。3)单点登录从实现技术上基于session、cookie、rewrite技术和采用portal等几种方法,根据用户的情况可以选用其中的任何一种。4)支持Unix、Linux、Windows多种平台,完全支持跨平台的部署。
3.3可扩展性1)身份、授权、认证功能相对独立,可以灵活的与第三方产品对接。2)可实现用户名/口令认证模式,支持动态口令认证接口、CA证书认证接口、智能卡认证接口等认证方式的平滑扩展。3)支持集群、热备、负载均衡集成。4)支持同一个域内的多个应用系统间的单点登录,具有开放的跨平台SSO实现技术。
3.4开放性支持移动设备的无差别接入。包括通过移动设备访问身份认证系统。主流的移动端有三种系统:苹果系统、安卓系统、微软系统,针对这三种系统,进行重点开发。
3.5安全性1)系统需提供用户密码加密功能,支持扩展MD5、SSHA、CRYPT、SHA、RC4等多种密码加密算法,并可以快速扩展用户属性信息。2)对用户的操作行为进行日志记录,以追溯用户的行为过失,确保数据安全。3)用于单点登录的cookie不能在子域中共享。4)账号数据可进行自动备份,确保数据不丢失。5)在服务器端设置相关检测系统,对客户端的浏览端进行木马检测,后门扫描。3.6高性能1)可为数百个应用提供统一身份认证服务的同时保证亚秒
级的认证操作时间。2)支持20万级的用户容量;常用服务器配置下应能,单机部署时支持最大1000人的并发用户数,双机负载均衡部署时支持2000人的并发用户数。3.7高效特性提供灵活的同步策略配置,并通过小工具将权威数据源中新建和变更的用户身份数据同步至身份管理平台。
3.8可管理性1)友好易用的界面,更符合国人的操作习惯。2)集中的身份数据管理,不仅提供用户帐号的维护,还能提供便捷的批量导入、批量迁移等功能。3)平台应提供相关服务器的软硬件环境的监视,发现异常自动发出告警,并通知责任人。4)平台应提供历史事件的查询和认证会话的相关操作,建立完善的事后追溯机制。
4结束语
实现统一身份管理、单点登录,这是高职院校进行数字化校园建设、信息化校园建设、云平台化建设的必经之路,是为了学校更好发展、更快发展的良好铺垫。统一身份的目的,是为了学校管理者、全体教师和学生能够更方便的使用学校的数据资源,盘活学校的资产,创建节约型数字化校园。但在真正的建设和实施的过程中,道路并不是那么平坦,每个学校的建设思路、建设技巧、建设出发点都可能完全不一样,考虑的因素也就随之发生变化。本文针对大部分高职院校针对统一身份认证的通用做法,提出的通用的建设需求分析和技术分析,必然存在不足和瑕疵,这有待后期完善和补充。
参考文献:
[1]高大鹏.企业体系化统一身份管理平台设计[J].信息安全与通信保密,2014(11):126-133.
[2]刑宝存.统一认证与身份管理平台建设方案[J].信息安全与通信保密,2015(10):52-55.
[3]艾飞.数字校园统一身份管理模型及关键技术[J].大连海事大学学报,2010(2):126-128.
[4]李石师.统一身份管理系统的设计与实现[J].中国新技术新产品,2015-08-10.
[5]刘冰张明扬,虞闯.基于目录服务的数字化校园统一身份认证[J].科技创新导报,2007-12-21.
[6]贾峰,王丰.浅析统一身份认证系统的研究及实现[J].科技展望2014-12-10.
[7]陈培君.基于SOA的数字校园综合信息服务平台的研究与设计[D].电子科技大学,2013.
[8]张智秀.基于URP理论的新一代数字化校园建设的研究[D].电子科技大学,2012.
[9]王秋平,赵兰庚,王新艳.高等院校数字化校园建设初探[J].河北工程技术高等专科学校学报,2013(6).
身份认证技术论文篇(11)
所谓电子商务(Electronic Commerce) 是利用计算机技术、网络技术和远程通信技术, 实现整个商务(买卖)过程中的电子化、数字化和网络化。目前,因特网上影响交易最大的阻力就是交易安全问题, 据最新的中国互联网发展统计报告显示, 在被调查的人群中只有2.8%的人对网络的安全性是感到很满意的, 因此,电子商务的发展必须重视安全问题。
一、电子商务安全的要求
1、信息的保密性:指信息在存储、传输和处理过程中,不被他人窃取。
2、信息的完整性:指确保收到的信息就是对方发送的信息,信息在存储中不被篡改和破坏,保持与原发送信息的一致性。
3、 信息的不可否认性:指信息的发送方不可否认已经发送的信息,接收方也不可否认已经收到的信息。
4、 交易者身份的真实性:指交易双方的身份是真实的,不是假冒的。
5、 系统的可靠性:指计算机及网络系统的硬件和软件工作的可靠性。
在电子商务所需的几种安全性要求中,以保密性、完整性和不可否认性最为关键。电子商务安全性要求的实现涉及到以下多种安全技术的应用。
二、数据加密技术
将明文数据进行某种变换,使其成为不可理解的形式,这个过程就是加密,这种不可理解的形式称为密文。解密是加密的逆过程,即将密文还原成明文。
(一)对称密钥加密与DES算法
对称加密算法是指文件加密和解密使用一个相同秘密密钥,也叫会话密钥。目前世界上较为通用的对称加密算法有RC4和DES。这种加密算法的计算速度非常快,因此被广泛应用于对大量数据的加密过程。
最具代表的对称密钥加密算法是美国国家标准局于1977年公布的由IBM公司提出DES (Data Encrypuon Standard)加密算法。
(二)非对称密钥加密与RSA算法
为了克服对称加密技术存在的密钥管理和分发上的问题,1976年产生了密钥管理更为简化的非对称密钥密码体系,也称公钥密码体系(PublicKeyCrypt-system),用的最多是RSA算法,它是以三位发明者(Rivest、Shamir、Adleman)姓名的第一个字母组合而成的。
在实践中,为了保证电子商务系统的安全、可靠以及使用效率,一般可以采用由RSA和DES相结合实现的综合保密系统。
三、认证技术
认证技术是保证电子商务交易安全的一项重要技术。主要包括身份认证和信息认证。前者用于鉴别用户身份,后者用于保证通信双方的不可抵赖性以及信息的完整性
(一)身份认证
用户身份认证三种常用基本方式
1、口令方式
这种身份认证方法操作十分简单,但最不安全,因为其安全性仅仅基于用户口令的保密性,而用户口令一般较短且容易猜测,不能抵御口令猜测攻击,整个系统的安全容易受到威胁。
2、标记方式
访问系统资源时,用户必须持有合法的随身携带的物理介质(如存储有用户个性化数据的智能卡等)用于身份识别,访问系统资源。
3、人体生物学特征方式
某些人体生物学特征,如指纹、声音、DNA图案、视网膜扫描图案等等,这种方案一般造价较高,适用于保密程度很高的场合。
加密技术解决信息的保密性问题,对于信息的完整性则可以用信息认证方面的技术加以解决。在某些情况下,信息认证显得比信息保密更为重要。
(二)数字摘要
数字摘要,也称为安全Hash编码法,简称SHA或MD5 ,是用来保证信息完整性的一项技术。它是由Ron Rivest发明的一种单向加密算法,其加密结果是不能解密的。类似于人类的“指纹”,因此我们把这一串摘要而成的密文称之为数字指纹,可以通过数字指纹鉴别其明文的真伪。
(三)数字签名
数字签名建立在公钥加密体制基础上,是公钥加密技术的另一类应用。它把公钥加密技术和数字摘要结合起来,形成了实用的数字签名技术。
它的作用:确认当事人的身份,起到了签名或盖章的作用;能够鉴别信息自签发后到收到为止是否被篡改。
(四)数字时间戳
在电子交易中,时间和签名同等重要。数字时间戳技术是数字签名技术一种变种的应用,是由DTS服务机构提供的电子商务安全服务项目,专门用于证明信息的发送时间。包括三个部分:需加时间戳的文件的数字摘要;DTS机构收到文件摘要的日期和时间; DTS机构的数字签名。
(五)认证中心
认证中心:(Certificate Authority,简称CA),也称之为电子商务认证中心,是承担网上安全电子交易认证服务,能签发数字证书,确认用户身份的、与具体交易行为无关的第三方权威机构。认证中心通常是企业性的服务机构,主要任务是受理证书的申请、签发和管理数字证书。其核心是公共密钥基础设(PKI)。
我国现有的安全认证体系(CA)在金融CA方面,根证书由中国人民银行管理,根认证管理一般是脱机管理;品牌认证中心采用“统一品牌、联合建设”的方针进行。在非金融CA方面,最初主要由中国电信负责建设。
(六)数字证书
数字证书就是标志网络用户身份信息的一系列数据,用于证明某一主体(如个人用户、服务器等)的身份以及其公钥的合法性的一种权威性的电子文档,由权威公正的第三方机构,即CA中心签发。
以数字证书为核心的加密技术可以对网络上传输的信息进行加密和解密、数字签名和签名验证,确保网上传递信息的机密性、完整性,以及交易实体身份的真实性,签名信息的不可否认性,从而保障网络应用的安全性。
四、电子商务的安全交易标准
(一)安全套接层协议
SSL (secure sockets layer)是由Netscape Communication公司是由设计开发的,其目的是通过在收发双方建立安全通道来提高应用程序间交换数据的安全性,从而实现浏览器和服务器(通常是Web服务器)之间的安全通信。
目前Microsoft和Netscape的浏览器都支持SSL,很多Web服务器也支持SSL。SSL是一种利用公共密钥技术的工业标准,已经广泛用于Internet。
(二)安全电子交易协议
SET (Secure Electronic Transaction)它是由VISA和MasterCard两大信用卡公司发起,会同IBM、Microsoft等信息产业巨头于1997年6月正式制定的用于因特网事务处理的一种标准。采用DES、RC4等对称加密体制加密要传输的信息,并用数字摘要和数字签名技术来鉴别信息的真伪及其完整性,目前已经被广为认可而成了事实上的国际通用的网上支付标准,其交易形态将成为未来电子商务的规范。
五、总结
网络应用以安全为本,只有充分掌握有关电子商务的技术,才能使电子商务更好的为我们服务。然而,如何利用这些技术仍是今后一段时间内需要深入研究的课题。
