摘要:身份认证技术是能够对信息收发方进行真实身份鉴别的技术,是识别,验证网络信息系统中用户身份的合法性和真实性,按授权访问系统资源,并将非法访问者拒之门外。本文论述了信息安全领域中身份认证技术的现状及发展趋势,对于进一步做好该工作具有一定的理论指导意义。
关键词:信息安全;身份认证;生物特征;组合认证;解决方案;性能分析
中图分类号:TP393.08 文献标识码:A文章编号:1007-9599 (2011) 16-0000-02
Authentication Technology Research Overview
Zhang Yao
(Harbin Normal University,Computer Science and Information Engineering College,Harbin150025,China)
Abstract:Authentication technology is capable of sending and receiving side of information technology to identify the true identity,is to identify,verify that the network information system in the legitimacy and authenticity of the user identity,according to mandate access to system resources,and shut out illegal visitors.This article discusses the field of information security authentication technology status and development trend,for further improving the work has a certain theoretical significance.
Keywords:Information security;Authentication;Biometrics;
Combination of certification;Solutions;Performance analysis
网络认证技术是网络安全技术的重要组成部分之一。认证指的是证实被认证对象是否属实和是否有效的一个过程,常常被用于通信双方互相确认身份,以保证通信的安全。认证技术一般包括两个方面的内容,分别是身份认证和信息认证。身份认证主要是通过对用户身份的鉴别来实现对用户权限的识别,限制低权限或者非法用户的入侵。信息认证主要是用于验证信息是否完整。本论文的研究主要偏重于对身份认证技术及其分析。主要侧重以下几个方面做分析。
一、身份认证的方法分析
身份认证主要是通过分析被认证者的身份、权限等相关的信息。除了认证者本人,任何其他人都无法进行仿造或者伪造身份。如果经过认证,被认证者拥有相关的权限和秘密,那么他就获得了认证。身份认证的主要依据就是被认证方用于证明身份所用有的秘密。每个被认证者所拥有的身份认证秘密不同。常见的身份认证有两种,第一种是基于物理安全性的身份认证方法。第二种是基于秘密信息的身份认证方法。
(一)基于物理安全的身份认证方法
不同的身份认证方法基于不同的理论,但这些认证方法的共同点就是依据用户知道的秘密信息。和这种认证方法相对照,另外一种利用用户的特殊信息或者硬件信息来进行身份认证的。比如说从生物学角度考虑,利用声音识别进行身份验证,利用指纹进行身份验证,利用人眼的虹膜进行身份验证等。从硬件的角度考虑,常用的认证方法有通过智能卡来进行验证,只有认证者拥有正确的卡,才可以被认证。当然,这种方法也有优缺点,这种智能卡可以有效的阻止和避免人为乱猜口令导致的密码被破解,但也存在着只认卡不认人的缺陷,一旦智能卡因丢失被其他人捡到,则很容易被盗取身份。为防止出现这种情况,现在一般采用智能卡和口令结合的方式,比如现在最常用的银行卡就是这种。
(二)基于秘密信息的身份认证方法
常见的有以下几个方式:
1.通过进行用户口令认证来核对身份信息,在刚建立系统的时候,系统已经预先为具有合法权限的用户设定了用户口令和密码。当用户通过登录界面登录时,登录界面显示用户名和密码输入。客户输入用户名和密码以后,系统会对输入的账户和密码与系统原有的密码进行核对如果完全一致,则认为是合法用户,用户身份得到认证。否则,就提示账户名或者密码错误。用户身份得不到认证。
2.单项认证,所谓单项认证,就是进行通信的双方中,只有一方需要进行身份认证。上面所阐述的口令核对法本质上也是一种单项认证。只是这种认证方法还比较低级,没有进行相应的密钥分发操作。常见的涉及到密钥分发操作的认证方案有两类。分别是对称密钥加密方案和非对称密钥加密方案。对称密钥加密方案是指依靠第三方来进行认证,第三方就是一个统一的密钥分发中心。通信双方的密钥分发和身份认证都要通过第三方来实现。另一种没有第三方参与的加密体制成为非对称密钥加密体制。
3.双向认证。双向认证,是指需要通信双方相互认证才可以实现双方通信,通信双方必须相互鉴别彼此的身份,并且经双方验证正确以后,才可以实现双方的通信。在双向认证中,最典型的就是Needham/Schroeder协议。
[1]Needham/Schroeder Protocol[1978]
A→KDC:IDA||IDB||N1
KDC→A:EKa[Ks||IDB||N1||EKb[Ks||IDA]]
A→B:EKb[Ks||IDA]
B→A:EKs[N2]
A→B:EKs[f(N2)]
(其中f(N2)为N2的某一个函数,其他符号约定同上。)
4.身份的零知识证明通常在进行身份认证时,需要进行身份信息或者口令的传输。要想不传输这些信息就可以进行身份认证,就需要采用身份的零知识证明技术。所谓零知识证明就是指在进行用户身份认证时,不需要传输相关的信息。这种认证机制就是当被认证的甲方为了让认证方乙方确信自己的身份和权限但同时又不让乙方得到自己的秘密信息而采用的一种机制。这种认证方法可以非常有效的防治第三方窃取信息。
二、身份认证的应用
(一)Kerberos认证服务
Kerberos是一种基于Needham和Schroeder[1978]模型的第三方认证服务Kerberos可信任的第三方就是Kerberos认证服务器。它通过把网络划分成不同的安全区域,并且在每个区域设立自己的安全服务器来实现相应的安全策略。在这些区域的认证具体实现过程如下:Kerberos通过向客户和服务提供票和通信双方的对话密钥来证明自己的身份权限。其中Kerberos认证服务器负责签发初始票,也就是客户第一次得到的票。其他票都是由发票服务器负责签发。同一个票可以在该票过期之前反复使用。当客户需要让服务方提供服务的时候,不但要自己生成仅可以使用一次的证,而且需要向服务方发送由发票服务器分发的。这两个需要同时发送。
(二)HTTP中的身份认证
HTTP中的身份认证现在主要由三个常用的版本。分别是HTTP协议目前已经有了三个版本HTTP0.9、HTTP 1.0和HTTP 1.1,其中HTTP 0.9功能简单,主要用来实现最基本的请求协议和回答协议。HTTP 1.0是目前应用比较广泛的一个版本,它的功能相对来说非常完善。而且,通过Web服务器,就可以实现身份认证来实现访问和控制。如果用户向某个页面发出请求或者运行某个CGI程序时,将会有访问控制文件告诉用户哪些可以访问,哪些不可以访问,访问对象文件通常存在于访问对象所在的目录下面的。通过服务器读取访问控制文件,从而获得相应的访问控制信息。并且要求客户通过输入用户名和口令进行身份验证。通过访问控制文件,Web服务器获得相应的控制信息,用户根据要求输入用户名和口令,如果经过编码并且验证以后,如果身份合法,服务方才发送回所请求的页面或执行CGI程序。HTTP 1.1新增加的很多的报头域。如果进行身份认证,不是以明文的方式进行传递口令,而是把口令进行散列变换,把口令转化以后对它的摘要进行传送。通过这种认证机制,可以避免攻击者通过某种攻击手段来获取口令。即使经过多次攻击,也无法进行破译。即使是这样,仍然不能保证摘要认证的足够安全。和普通的认证方法一样,这种方法也可能受到中间者的攻击。要想更进一步确保口令安全,最好就是把HTTP的安全认证方式与Kerberos服务方式充分结合起来。
(三)IP中的身份认证
IP中的身份认证IP协议出于网络层,因此不能获取更高层的信息,IP中的身份认证无法通过基于用户的身份认证来实现。主要是通过用户所在IP地址的身份认证来实现。IP层的认证机构既要确保信息在传递过程中的数据完整性,又要确保通过数据组抱头传递的信息的安全性。IPSec就是IP安全协议的简称,主要功能就是维护网络层的安全和网络成以下层的安全。通常情况下,它提供两种安全机制。第一种是认证机制,通过这种认证机制,可以确保数据接收方能够识别发送方的身份是否合法。而且还可以发现信息在传输过程中是否被恶意篡改;第二种是加密机制,通过对传输数据进行数据编码来实现数据的加密机制。从而可以保证在信息的传递过程中,不会被他人窃取。IPSec的认证报头(Authentication Header AH)协议定义了认证的应用方法,封装安全负载(Encapsu-lating Security Payload,ESP)协议定义了加密和可选认证的应用方法。应用到具体的通信中去,需要根据实际情况选择不同的加密机制和加密手段。AH和ESP都可以提供认证服务,相比较而言,AH提供的认证服务要强于ESP。
三、身份认证技术讨论
身份认证技术讨论,在前面几部分内容中,对身份认证技术进行了理论分析和总结,并对他们的原理、机制和优缺点进行了比较。这里将根据自己的理解,深入考虑通过其他途径来实现身份认证。数字签名首先要保证身份验证者信息的真实性,就是要确保信息不能伪造,这种方法非常类似于身份认证。身份认证的主要目的是要确保被认证者的身份和权限符合。因此,这里考虑通过数字签名来实现身份认证。这里的技术难点就是必须要预先进行分发密钥。如果不能提前进行密钥分发,就不可能实现数字签名。综上可以看出,身份认证在整个安全要求中是首先要解决的技术问题。
参考文献:
[1]William Stallings,孟庆树等.密码编码学与网络安全——原理与实践(第四版)[M].电子工业出版社,2006,11
[2]袁德明.计算机网络安全[M].电子工业出版社,2007,6
[3]杨英鹏.计算机网络原理与实践[M].电子工业出版社,2007,9
[4]李忠献.认证理论与技术的发展[J].电子学报,1999
[5]陆明,叶凡,胡道元.WWW安全机制研究[J].电子科技导报,1998,1:14-19
[作者简介]张瑶(1989.3-),女,就读于哈尔滨师范大学计算机科学与信息工程学院,本科生,研究方向为计算机科学与技术。
