新技术讲座——身份认证技术 学号:姓名: 身份认证技术是在计算机网络中确认操作者身份的过程而产生的解决方法。计算机网络世界中一切信息包括用户的身份信息都是用一组特定的数据来表示的,计算机只能识别用户的数字身份,所有对用户的授权也是针对用户数字身份的授权。如何保证以数字身份进行操作的操作者就是这个数字身份合法拥有者,也就是说保证操作者的物理身份与数字身份相对应,身份认证技术就是为了解决这个问题,作为防护网络资产的第一道关口,身份认证有着举足轻重的作用。 密码学 密码学是研究编制密码和破译密码的技术科学。研究密码变化的客观规律,应用于编制密码以保守通信秘密的,称为编码学;应用于破译密码以获取通信情报的,称为破译学。总称密码学。 密码学是研究如何隐密地传递信息的学科。在现代特别指对信息以及其传输的数学性研究,常被认为是数学和计算机科学的分支,和信息论也密切相关。著名的密码学者Ron Rivest解释道:“密码学是关于如何在敌人存在的环境中通讯”,自工程学的角度,这相当于密码学与纯数学的异同。密码学是信息安全等相关议题,如认证、访问控制的核心。密码学的首要目的是隐藏信息的涵义,并不是隐藏信息的存在。密码学也促进了计算机科学,特别是在于电脑与网络安全所使用的技术,如访问控制与信息的机密性。密码学已被应用在日常生活:包括自动柜员机的芯片卡、电脑使用者存取密码、电子商务等等。 身份认证方法 在真实世界,对用户的身份认证基本方法可以分为这三种: (1) 根据你所知道的信息来证明你的身份; (2) 根据你所拥有的东西来证明你的身份; (3) 直接根据独一无二的身体特征来证明你的身份,如指纹面貌等。 在网络世界中手段与真实世界中一致,为了达到更高的身份认证安全性,某些场景会将上面3种挑选2中混合使用,即所谓的双因素认证。 静态密码 用户的密码是由用户自己设定的。在网络登录时输入正确的密码,计算机就认为操作者就是合法用户。实际上,由于许多用户为了防止忘记密码,经常采用诸如生日、电话号码等容易被猜测的字符串作为密码,或者把密码抄在纸上放在一个自认为安全的地方,这样很容易造成密码泄漏。如果密码是静态的数据,在验证过程中需要在计算机内存中和传输过程可能会被木马程序或网络中截获。因此,静态密码机制无论是使用还是部署都非常简单,但从安全性上讲,用户名/密码方式一种是不安全的身份认证方式。 智能卡(IC卡) 一种内臵集成电路的芯片,芯片中存有与用户身份相关的数据,智能卡由专门的厂商通过专门的设备生产,是不可复制的硬件。智能卡由合法用户随身携带,登录时必须将智能卡插入专用的读卡器读取其中的信息,以验证用户的身份。
网络身份认证技术的应用及其发展 随着全球化经济模式的出现以及科学技术的高速发展,网络技术应用越来越广泛。随着网民数量越来越多,网络越来越普及,出现网络安全问题也随之增多,怎样保证网民个人信息安全和保证网络数据的机密性、完整性等,是我们必须要重点解决的问题。而网络技术的不断发展进步,也让网络安全受到更多的关注,在安全系统中重点技术就是使用身份认证技术。本文主要分析了几种身份认证的技术和方式,目的在于让广大读者了解网络安全系统中的身份认证技术应用及其发展。 如今全球信息化的速度越来越快,全球的信息产业越来越重视信息安全,特别是现在信息网络化正是发达的时期,信息产业的发展离不开网络安全,如何在网络环境中建立起一个完善的安全系统,身份认证技术就成为了在网络安全中首先要解决的问题。 身份认证技术就是通过计算机网络来确定使用者的身份,重点是为了解决网络双方的身份信息是否真实的问题,使通讯双方在进行各种信息交流可以在一个安全的环境中。在信息安全里,身份认证技术在整个安全系统中是重点,也是信息安全系统首要“看门人”。因此,基本的安全服务就是身份认证,另外的安全服务也都需要建立在身份认证的基础上,使身份认证系统具有了十分重要的地位,但也最容易受到攻击。
一、身份认证的含义 身份认证技术简单意义上来讲就是对通讯双方进行真实身份鉴别,也是对网络信息资源安全进行保护的第一个防火墙,目的就是验证辨识网络信息使用用户的身份是否具有真实性和合法性,然后给予授权才能访问系统资源,不能通过识别用户就会阻止其访问。由此可知,身份认证在安全管理中是个重点,同时也是最基础的安全服务。 (一)身份认证技术的应用 信息安全中身份认证是最重要的一门技术,也是在网络安全里的第一道防线,可以很好的识别出访问的用户是否具有访问的权限,允许通过识别的用户进行访问操作,并进行一定的监督,防止出现不正当的操作情况,同时也是保护计算机不受病毒和黑客入侵的一个重要方法。使用者在进入网络安全系统的时候,先需要让身份认证系统识别出自己的身份,通过了身份认证系统识别以后,再依据使用者的权限、身份级别来决定可以访问哪些系统资源和可以进行哪些系统操作权限。与此同时,进入安全系统时,检测系统需要进行登记,包括记录、报警等,对用户的行为和请求进行记录,并识别出是否入侵了安全系统。 (二)基于网络的身份认证 身份认证系统在安全系统中非常重要,虽然它是最基础的安全服务,但是另外的安全服务都需要它才能完成,只要身份认证系统受到攻击入侵,就会导致系统里的安全措施都无法产生作用,而黑客入侵的首要目标一般都是先攻破身份认证系统。但是因为网络连接具有复
身份认证技术百科名片 动态口令牌身份认证技术是在计算机网络中确认操作者身份的过程而产生的解决方法。计算机网络世界中一切信息包括用户的身份信息都是用一组特定的数据来表示的,计算机只能识别用户的数字身份,所有对用户的授权也是针对用户数字身份的授权。如何保证以数字身份进行操作的操作者就是这个数字身份合法拥有者,也就是说保证操作者的物理身份与数字身份相对应,身份认证技术就是为了解决这个问题,作为防护网络资产的第一道关口,身份认证有着举足轻重的作用。 身份认证方法 在真实世界,对用户的身份认证基本方法可以分为这三种:(1) 根据你所知道的信息来证明你的身份(what you know ,你知道什么) ;(2) 根据你所拥有的东西来证明你的身份(what you have ,你有什么) ;(3) 直接根据独一无二的身体特征来证明你的身份(who you are ,你是谁) ,比如指纹、面貌等。在网络世界中手段与真实世界中一致,为了达到更高的身份认证安全性,某些场景会将上面3种挑选2中混合使用,即所谓的双因素认证。 以下罗列几种常见的认证形式: 静态密码 用户的密码是由用户自己设定的。在网络登录时输入正确的密码,计算机就认为操作者就是合法用户。实际上,由于许多用户为了防止忘记密码,经常采用诸如生日、电话号码等容易被猜测的字符串作为密码,或者把密码抄在纸上放在一个自认为安全的地方,这样很容易造成密码泄漏。如果密码是静态的数据,在验证过程中需要在计算机内存中和传输过程可能会被木马程序或网络中截获。因此,静态密码机制如论是使用还是部署都非常简单,但从安全性上讲,用户名/密码方式一种是不安全的身份认证方式。它利用what you know方法。 智能卡(IC卡) 一种内置集成电路的芯片,芯片中存有与用户身份相关的数据,智能卡由专门的厂商通过专门的设备生产,是不可复制的硬件。智能卡由合法用户随身携带,登录时必须将智能卡插入专用的读卡器读取其中的信息,以验证用户的身份。智能卡认证是通过智能卡硬件不可复制来保证用户身份不会被仿冒。然而由于每次从智能卡中读取的数据是静态的,通过内存扫描或网络监听等技术还是很容易截取到用户的身份验证信息,因此还是存在安全隐患。它利用what you have方法。 短信密码 短信密码以手机短信形式请求包含6位随机数的动态密码,身份认证系统以短信形式发送随机的6位密码到客户的手机上。客户在登录或者交易认证时候输入此动态密码,从而确保系统身份认证的安全性。它利用what you have方法。具有以下优点:(1)安全性由于手机与客户绑定比较紧密,短信密码生成与使用场景是物理隔绝的,因此密码在通路上被截取几率降至最低。(2)普及性只要会接收短信即可使用,大大降低短信密码技术的使用门槛,学习成本几乎为0,所以在市场接受度上面不会存在阻力。(3)易收费由于移动互联网用户天然养成了付费的习惯,这和PC时代互联网截然不同的理念,而且收费通道非常的发达,如果是网银、第三方支付、电子商务可将短信密码作为一项增值业务,每月通过SP收费不会有阻力,因此也可增加收益。(4)易维护由于短信网关技术非常成熟,大大降低短信密码系统上马的复杂度和风险,短信密码业务后期
信息安全技术及应用 ————————身份认证技术与应用 当今,信息安全越来越受到人们的重视。建立信息安全体系的目的就是要保证存储在计算机及网络系统中的数据只能够被有权操作 的人访问,所有未被授权的人无法访问到这些数据。这里说的是对“人”的权限的控制,即对操作者物理身份的权限控制。不论安全性要求多高的数据,它存在就必然要有相对应的授权人可以访问它,否则,保存一个任何人都无权访问的数据有什么意义?然而,如果没有有效的身份认证手段,这个有权访问者的身份就很容易被伪造,那么,不论投入再大的资金,建立再坚固安全防范体系都形同虚设。就好像我们建造了一座非常结实的保险库,安装了非常坚固的大门,却没有安装门锁一样。所以身份认证是整个信息安全体系的基础,是信息安全的第一道关隘。 1.身份认证技术简介 相信大家都还记得一个经典的漫画,一条狗在计算机面前一边打字,一边对另一条狗说:“在互联网上,没有人知道你是一个人还是一条狗!”这个漫画说明了在互联网上很难识别身份。 身份认证是指计算机及网络系统确认操作者身份的过程。计算机系统和计算机网络是一个虚拟的数字世界,在这个数字世界中,一切
信息包括用户的身份信息都是用一组特定的数据来表示的,计算机只能识别用户的数字身份,所有对用户的授权也是针对用户数字身份的授权。而我们生活的现实世界是一个真实的物理世界,每个人都拥有独一无二的物理身份。如何保证以数字身份进行操作的操作者就是这个数字身份合法拥有者,也就是说保证操作者的物理身份与数字身份相对应,就成为一个很重要的问题。身份认证技术的诞生就是为了解决这个问题。 如何通过技术手段保证用户的物理身份与数字身份相对应呢?在真实世界中,验证一个人的身份主要通过三种方式判定,一是根据你所知道的信息来证明你的身份(你知道什么),假设某些信息只有某个人知道,比如暗号等,通过询问这个信息就可以确认这个人的身份;二是根据你所拥有的东西来证明你的身份(你有什么) ,假设某一个东西只有某个人有,比如印章等,通过出示这个东西也可以确认这个人的身份;三是直接根据你独一无二的身体特征来证明你的身份(你是谁),比如指纹、面貌等。 所谓“没有不透风的墙”,你所知道的信息有可能被泄露或者还有其他人知道,杨子荣就是掌握了“天王盖地虎,宝塔镇河妖”的接头暗号成功的伪造了自己的身份。而仅凭借一个人拥有的物品判断也是不可靠的,这个物品有可能丢失,也有可能被人盗取,从而伪造这个人的身份。只有人的身体特征才是独一无二,不可伪造的,然而这需要我们对这个特征具有可靠的识别能力。
身份认证技术的发展与展望 Internet迅猛发展带来了信息共享与安全这对矛盾共同体,加强网络安全建设、保障网络的安全运行成为网络存在的根本之道。网络身份认证技术发展到今天已经成为信息管理系统中必不可少的一部分,扮演着网络系统“看门人”的角色。 针对不同的安全威胁,目前存在多种主机安全技术和相关安全产品,如防病毒技术、个人防火墙、安全应用程序(如文件加密程序)、安全操作系统等。这些技术和产品在一定程度上满足人们的安全需求,却没有很好地解决以下两个问题: (1)系统访问,即开机时的保护问题,目前普遍采用的是基于口令的弱身份认证技术,很容易被攻破而造成泄密; (2)运行时保护,即在合法用户进入系统后因某种原因暂时离开计算机,此时任何人员均可在此系统之上进行操作,从而造成泄密。
将密码写在记事本上挂在电脑旁边,这样的事情相信很多公司的员工都曾经为之。出于安全的要求,现在公司的安全策略普遍要求员工的登陆密码要定期更换,而且不能重复,这使得想出一个自己能记住的长串密码成为一件让员工头疼的事情。为了便于记忆,员工往往会选择常用词或者号码作为密码,如果攻击者使用“字典攻击法”或者穷举尝试法来破译,很容易被穷举出来。传统的账号加密码的形式,账号基本上都是公开的,密码容易被猜中,容易忘记,也容易被盗。据统计,一个人平均下来要记15到20个密码。静态密码的隐患显而易见,尤其是在证券、银行等行业,轰动一时的“银广夏盗卖案”早就为业界敲响了警钟。 为了解决静态密码的安全问题,一种方式是同一个人员使用不同的密码进入不同的应用系统,避免所有的鸡蛋都在一个篮子里面的问题,然而需要记忆多个密码;第二种方式,采用软件VPN方式,登陆前先要使用VPN连接,这样可以面向一部分机器开放,但是第一次使用时下载VPN软件,每次访问
身份认证技术 计算机系统和计算机网络是一个虚拟的数字世界,在这个数字世界中,一切信息包括用户的身份信息都是用一组特定的数据来表示的,如用户名Alice、电子邮件Alice@cqut.edu.cn或者IP地址172.16.0.10等。计算机只能识别用户的数字身份,所有对用户的授权也是针对用户数字身份的授权。如何保证以数字身份进行操作的操作者就是这个数字身份合法拥有者,也就是说保证操作者的物理身份与数字身份相对应,就成为一个很重要的问题。身份认证技术的诞生就是为了解决这个问题。 常用的身份认证方式及应用: 1.静态密码,是最简单也是最常用的身份认证方法。每个用户的密码是由这个用户自己设定的,只有他自己才知道,因此只要能够正确输入密码,计算机就认为他就是这个用户。由于密码是静态的数据,并且在验证过程中需要在计算机内存中和网络中传输,而每次验证过程使用的验证信息都是相同的,很容易被驻留在计算机内存中的木马程序或网络中的监听设备截获。因此,静态密码是一种极不安全的身份认证方式。 2.动态口令技术是一种让用户的密码按照时间或使用次数不断动态变化,每个密码只使用一次的技术,根据当前时间或使用次数生成当前密码并显示。认证服务器采用相同的算法计算当前的有效密码。由于户每次使用的密码都不相同,即使黑客截获了一次密码,也无法利用这个密码来仿冒合法用户的身份。
3.短信密码以手机短信形式请求包含6位随机数的动态密码,身份认证系统以短信形式发送随机的6位密码到客户的手机上。客户在登录或者交易认证时候输入此动态密码,从而确保系统身份认证的安全性。 4.生物识别技术是指采用每个人独一无二的生物特征来验证用户身份的技术。常见的有指纹识别、虹膜识别等。从理论上说,生物特征认证是最可靠的身份认证方式,因为它直接使用人的物理特征来表示每一个人的数字身份,不同的人具有相同生物特征的可能性可以忽略不计,因此几乎不可能被仿冒。 当今社会是一个网络信息的社会,通过对身份认证技术的学习与掌握,随着网络资源的普及与发展,身份认证技术是一种十分重要的网络安全技术,我们要深刻的认识它,防止我们的信息丢失或被窃取,以免造成重大的损失。
浙江财经大学东方学院学年论文论文题目:浅析身份认证技术 学生姓名戚佳佳指导教师张琼妮 分院信息专业名称计算机科学与技术班级11计算机(2)班学号 1120410211 2014 年 4 月 6 日
浅析身份认证技术 摘要:在这个信息化社会,计算机技术的发展使得信息安全问题倍受关注。为了保证信息的保密性以及信息的完整性和有效性,认证技术在日新月异的生活中引申了出来。数字签名技术在身份识别和认证、数据完整性、抗抵赖等方面具有其它技术所无法替代的作用,在这个高科技时代,出现了许多身份认证技术。身份认证技术也在不断的发展和改进。 关键词:身份认证;信息技术;物理身份认证;生物认证技术 1.身份认证技术的定义 身份认证是指计算机及网络系统确认操作者身份的过程。计算机系统和计算机网络是一个虚拟的数字世界,在这个数字世界中,一切信息包括用户的身份信息都是用一组特定的数据来表示的,计算机只能识别用户的数字身份,所有对用户的授权也是针对用户数字身份的授权。而我们生活的现实世界是一个真实的物理世界,每个人都拥有独一无二的物理身份。如何保证以数字身份进行操作的操作者就是这个数字身份合法拥有者,也就是说保证操作者的物理身份与数字身份相对应,就成为一个很重要的问题。身份认证技术的诞生就是为了解决这个问题。 身份认证技术是在计算机网络中确认操作者身份的过程而产生的解决方法。所谓“没有不透风的墙”,你所知道的信息有可能被泄露或者还有其他人知道,杨子荣就是掌握了“天王盖地虎,宝塔镇河妖”的接头暗号成功的伪造了自己的身份。而仅凭借一个人拥有的物品判断也是不可靠的,这个物品有可能丢失,也有可能被人盗取,从而伪造这个人的身份。只有人的身体特征才是独一无二,不可伪造的,然而这需要我们对这个特征具有可靠的识别能力。 认证是指核实身份的过程,是防止主动攻击的重要技术。认证不能自动地提
身份认证系统技术方案
目录
1. 概述 前言 随着网络技术的高速发展,个人和企业将越来越多地把业务活动放到网络上,因此网络的安全问题就更加关键和重要。据统计,在全球范围内,由于信息系统的脆弱性而导致的经济损失,每年达数十亿美元,并且呈逐年上升的趋势。 利用数字证书、PKI、对称加密算法、数字签名、数字信封等加密技术,可以建立起安全程度极高的身份认证系统,确保网上信息有效、安全地进行,从而使信息除发送方和接收方外,不被其他方知悉(保密性);保证传输过程中不被篡改(完整性和一致性);发送方确信接收方不是假冒的(身份的真实性和不可伪装性);发送方不能否认自己的发送行为(不可抵赖性)。 本方案根据*****的业务流程、管理模式的实施方案,充分运用现代网络信息技术及CA认证体系,建立*****身份认证系统,并可作为公务网CA的配套系统。 身份认证系统用户认证需求描述 在*****业务发展过程中,为了更好的实现数据资源共享,充分发挥信息化对***系统发展的促进作用,将综合开发一套身份认证系统对目前的用户身份进行管理,为社会、相关职能部门以及各级机构提供服务。 在此系统的开发应用过程中,一个重要的任务是解决如何对应用系统用户进行身份认证从而确保数据的安全。下面将针对在此系统的开发应用中对用户身份认证所做的需求加以说明。 整个系统的逻辑结构如图1所示: 图1:系统逻辑结构示意图 如图1示,整个系统涉及了应用服务器、证书服务器以及相应的客户端。
系统运作流程简述如下: 客户端访问应用服务器,应用服务器向认证服务器发出认证请求; 认证服务器完成对用户身份的认证并将与该用户相对应的认证信息 返回相应的应用服务器; 用户在通过认证之后获得在应用服务器获得相应的授权,从而可以 对应用系统进行相应的访问。 所提交的认证系统在满足上述流程之外需要提供应用开发接口,满足与应用服务器之间的交互。这是将认证系统集成到整个身份认证系统的基础条件,使得后续的开发工作能够利用认证信息做进一步的数据处理。考虑到平台的兼容性,应用系统开发方可以开发一个统一的接口程序与认证系统进行交互。另外还有如下几点要求需注意: 认证服务器的用户信息需要依据数据库服务器中的用户信息为基 础; 对于客户端的身份认证最好采用硬件方式; 客户端通过广域网连接到认证服务器,要求认证服务器是能够面向 广域网用户的; 客户端数量可以按250用户计算; 提供认证系统的安全模式说明,详细介绍如何确保系统的安全; 系统对认证系统的操作系统平台无特殊要求。 身份认证系统认证解决之道 根据身份认证系统的设计原则,系统安全需要解决如下几个方面的问题:数据的保密性。包括数据静态存储的保密性和数据传输过程中的保 密性; 有效的身份认证和权限控制。系统中的各个授权人员具有其特定级 别的权限,可以进行该权限的操作,无法越权操作;操作者事后无 法否认其进行的操作;未授权人员无法进入系统。 我们建议利用业界行之有效的高强度的加解密技术和身份认证技术保证身
网络安全认证技术概述 网络安全认证技术是网络安全技术的重要组成部分之一。认证指的是证实被认证对象是否属实和是否有效的一个过程。其基本思想是通过验证被认证对象的属性来达到确认被认证对象是否真实有效的目的。被认证对象的属性可以是口令、数字签名或者像指纹、声音、视网膜这样的生理特征。认证常常被用于通信双方相互确认身份,以保证通信的安全。一般可以分为两种: (1)身份认证:用于鉴别用户身份。 (2)消息认证:用于保证信息的完整性和抗否认性;在很多情况下,用户要确认网上信息是不是假的,信息是否被第三方修改或伪造,这就需要消息认证。 1.身份认证技术 认证(Authentication)是证实实体身份的过程,是保证系统安全的重要措施之一。当服务器提供服务时,需要确认来访者的身份,访问者有时也需要确认服务提供者的身份。 身份认证是指计算机及网络系统确认操作者身份的过程。计算机网络系统是一个虚拟的数字世界。在这个数字世界中,一切信息包括用户的身份信息都是用一组特定的数据来表示的,计算机只能识别用户的数字身份,所有对用户的授权也是针对用户数字身份的授权。而现实世界是一个真实的物理世界,每个人都拥有独一无二的物理身份。如何保证以数字身份进行操作的操作者就是这个数字身份合法拥有者,也就是说,保证操作者的物理身份与数字身份相对应,就成为一个很重要的问题。身份认证技术的诞生就是为了解决这个问题。 如何通过技术手段保证用户的物理身份与数字身份相对应呢?在真实世界中,验证一个人的身份主要通过三种方式判定:一是根据你所知道的信息来证明你的身份(what you know),假设某些信息只有某个人知道,比如暗号等,通过询问这个信息就可以确认这个人的身份;二是根据你所拥有的东西来证明你的身份(what you have),假设某一个东西只有某个人有,比如印章等,通过出示这个东西也可以确认个人的身份;三是直接根据你独一无二的身体特征来证明你的身份(who you are),比如指纹、面貌等。在信息系统中,一般来说,有三个要素可以用于认证过程,即:用户的知识(Knowledge),如口令等;用户的物品(Possession),如IC卡等;用户的特征(Characteristic),如指纹等。 现在计算机及网络系统中常用的身份认证方法如下: 身份认证技术从是否使用硬件来看,可以分为软件认证和硬件认证;从认证需要验证的条件来看,可以分为单因子认证和双因子认证;从认证信息来看,可以分为静态认证和动态认证。身份认证技术的发展,经历了从软件认证到硬件认证,从单因子认证到双因子认证,从静态认证到动态认证的过程。下面介绍常用的身份认证方法。 (1)基于口令的认证方法
课程论文 () 数字证书与令牌身份认证的比较研究 院系:软件学院 专业:软件工程 姓名: 完成日期:2012年12月18日
目录 一、引言 (2) 二、简介及认证原理 (3) (一)数据证书认证方式简介 (3) (二)令牌认证方式简介 (3) 三、比较分析 (4) (一)适用范围方面 (4) (二)可靠性方面 (5) (三)易用性方面 (5) (四)标准化程度 (5) (五)管理和维护难度 (6) 四、总结 (6) 参考文献 (6) 一、引言 随着计算机技术、网络技术以及信息技术的发展,各种应用系统也随之快速发展,从小到个人计算机系统,大到银行、证券、保险、电力、石油、医疗、税务、公安等大型的应用系统。为了保护应用系统的所有者和用户的合法权益,这些应用系统一般都提供了身份认证功能,以确保只有合法的用户才能够访问应用系统,应用系统中的用户信息不会被泄露。 在应用系统的早期阶段中,普遍采用静态密码作为身份认证技术,由于当时技术环境和应用环境的简单化,使用静态密码作为身份认证技术已经完全能够保护应用系统的安全。但是随着技术环境和应用环境的改变,特别是熟悉相关技术的人越来越多,各种攻击技术、破解技术以及攻击工具和破解工具通过互联网广泛传播的情况下,静态密码的安全性和弱点就显露出来。此时非常需要有新的身份认证技术来提高系统的身份认证安全。 目前常见的身份认证有:数字证书认证、令牌认证、短信认证、生物特征认证,本文将重点研究比较数字证书认证和令牌认证,从原理、认证机制、优缺点等方面进行介绍。
二、简介及认证原理 (一)数据证书认证方式简介 PKI是Public Key Infrastructure的缩写,就是基于公钥理论和技术为网络提供安全服务的基础设施。公钥体制是目前应用最广泛的一种加密体制,在这一体制中,加密密钥与解密密钥各不相同。公钥加密、私钥解密可以实现对数据的加密保护,私钥签名、公钥验证可以实现对数据的数字签名。这种方式既保证了信息的机密性,又能保证信息具有不可抵赖性。目前,公钥体制广泛地用于CA认证、数字签名和密钥交换等领域。 CA(Certification Authority,认证中心)是确保信任度的权威实体,它的主要职责是颁发数字证书、验证用户身份的真实性。 其工作的基本原理见图(一),常见的表现形式有Ukey、文件等。 图(一) (二)令牌认证方式简介 令牌认证通常采用动态口令技术。所谓动态口令技术是对传统的静态口令技术的改进,用户要拥有一些东西如系统颁发的Token,Token上的数字是不断变化的,而且与认证服务器是同步的,因此用户登录到系统的口令也是不断地变化的(即所谓的“一次一密”)。 动态口令技术有两种同步方案:时间同步、事件同步。 1.时间同步 是指Token采用时间作为动态口令的一个种子,服务器端通过采用时间作为一个种子验
JIANGSU UNIVERSITY 信息安全 身份认证技术分析 姓名: 学院: 专业班级: 学号: 二〇一一年十二月
摘要:本文总结并分析了身份认证的理论和应用,列举了一些对身份认证的攻击方法,并根据课堂学习和课后阅读,自己设计了一个利用数字签名实现的简单的身份认证方案。认证技术是信息安全中的一个重要内容,在“网络与信息安全”课程中我们学习了两种认证技术:消息认证与身份认证,消息认证用于保证信息的完整性与抗否认性,身份认证则用于鉴别用户身份。在网上商务日益火爆的今天,从某种意义上说,认证技术可能比信息加密本身更加重要。因为,很多情况下用户并不要求购物信息保密,只要确认网上商店不是假冒的(这就需要身份认证),自己与网上商店交换的信息未被第三方修改或伪造,并且网上商家不能赖帐(这就需要消息认证),商家也是如此。由于认证技术是一项包含很广泛的技术,集中于某一方面可能更有针对性,所以,在这篇论文中我没有涉及消息认证技术。运用课堂学到的理论、课后阅读获得的知识根据自己的分析,我对身份认证技术作了总结分类,并针对每一种认证技术分析了优点和漏洞,然后剖析了一些应用,最后提出了自己想到的一个简单的利用数字签名实现的身份认证方案。本文综合评价了某些认证机制和方案的优劣,并分析了身份认证的理论和应用,列举了一些对身份认证的各种实现方法、技术现状及发展趋势,同时设计了一个利用数字签名实现的简单的身份认证方案。 关键词:身份认证技术分析比较运用信息安全加密 身份认证系统的组成:出示证件的人,称作示证者P(Prover),又称声称者(Claimant)。验证者V(Verifier),检验声称者提出的证件的正确性和合法性,决定是否满足要求。第三方是可信赖者TP(Trusted third party),参与调解纠纷。在许多应用场合下没有第三方。 身份认证的物理基础:标识与认证是计算机网络系统中进行身份认证(主体识别)的基础,可识别用户身份、设备真伪。标识与认证是身份认证的两个部分。标识——用来表明用户的身份,确保用户在系统中的唯一性,可辨认性。以用户名+标识符ID来标明公开的明码信息 认证——对用户身份的真实性进行鉴别。认证信息不公开,难以仿造。认证信息有口令(密码);指纹;视网膜;智能IC卡等,声波等。 身份认证方式:单向认证(One-way Authentication)双向认证(Two-way Authentication)信任的第三方认证(Trusted Third-party Authentication)。随着网络时代的到来,人们可以通过网络得到各种各样的信息。但由于网络的开放性,它正面临着如计算机病毒、人为的恶意攻击、网络软件的漏洞和“后门”、非授权访问等安全威胁。因此,网络安全越来越受到重视。作为网络安全的第一道防线,亦即是最重要的一道防线,身份认证技术受到普遍关注。 一、基于秘密信息的身份认证方法口令核对 口令核对是系统为每一个合法用户建立一个用户名/口令对,当用户登录系统或使用某项功能时,提示用户输入自己的用户名和口令,系统通过核对用户输入的用户名、口令与系统内已有的合法用户的用户名/口令对(这些用户名/口令对在系统内是加密存储的)是否匹配,如与某一项用户名/口令对匹配,则该用户的身份得到了认证。 缺点:其安全性仅仅基于用户口令的保密性,而用户口令一般较短且是静态数据,容易猜测,且易被攻击,采用窥探、字典攻击、穷举尝试、网络数据流窃听、重放攻击等很容易攻破该认证系统。 2、单向认证
强身份认证相关技术及应用 一、应用系统现存问题 问题1:身份认证问题 弱口令问题:存在各种弱口令、口令生命周期等各种安全问题,安全性低 不可追究性:无法也不可能真实实现将用户与其本人真实身份一一对应起来 易被监听窃取:采用明文传输,容易被截获破解并冒用,降低了系统的安全性 问题2:权限管理问题 权限:如何根据职能与工作需要为信息网上的每个用户合理的划分使用范围与访问权限 角色:多个系统,多种应用多个角色群体如何合理的分配、设定、并与应用系统有机的结合 问题3:访问控制问题 ①不同的信息应用采用了不同的授权模式,各系统的授权信息只在本系统内有 效,不能共享 ②无法在非安全的、分布式环境中使用 ③难以满足各部门对跨地区、跨部门的信息共享和综合利用的需求 二
三、技术方案 双因子认证和单点登录(SSO,Single Sign-On) 现有系统和新建系统单点登录方案 四、强身份认证技术 强身份认证技术包括:静态口令识别、智能卡识别、生物识别 优点: 1、双因子(2-factor)或者多因子认证,有效防止冒充,增强可靠性; 2、避免每种认证的缺陷,综合多种认证的优点; 五、强身份认证产品 1、强身份认证产品能解决哪些问题 ? 应用于企业应用系统的安全身份认证(防止口令密码被猜测或复制) ? 用于增强公网访问应用系统的安全性(从互联网访问的应用系统) ? 用于增强应用系统数据传输安全(用户可使用安全链接访问应用系统) ? 用于提升关键操作的安全性(用户关键操作要求额外认证) 2、强身份认证功能 ? CA认证(数字证书/USB智能卡) ? 动态令牌认证 ? 指纹认证 ? 手机短信动态密码认证 3、单点登录功能 ? 插件方式 ? 代理方式 ? 反向代理方式 ? 多种主流产品的单点登录适配器 UAP统一身份认证及访问控制产品 目标客户群 ? 需要整合多个应用系统方便用户访问的单位与公司
身份认证技术 摘要:当今,信息安全越来越受到人们的重视。建立信息安全体系的目的就是要保证存储在计算机及网络系统中的数据只能够被有权操作的人访问,所有未被授权的人 无法访问到这些数据。身份认证技术是在计算机网络中确认操作者身份的过程而 产生的解决方法。计算机网络世界中一切信息包括用户的身份信息都是用一组特 定的数据来表示的,计算机只能识别用户的数字身份,所有对用户的授权也是针 对用户数字身份的授权。如何保证以数字身份进行操作的操作者就是这个数字身 份合法拥有者,也就是说保证操作者的物理身份与数字身份相对应,身份认证技 术就是为了解决这个问题,作为防护网络资产的第一道关口,身份认证有着举足 轻重的作用。通过认识,掌握身份认证技术,使自己的网络信息资源得到更好的 保障。本文主要介绍了身份认证技术的概念、常见的几种身份认证方式及身份认 证技术的应用。 关键词:身份认证技术身份认证方法身份认证方式认证应用身份识别 正文: 一、身份认证技术简介 相信大家都还记得一个经典的漫画,一条狗在计算机面前一边打字,一边对另一条狗说:“在互联网上,没有人知道你是一个人还是一条狗!”这个漫画说明了在互联网上很难识别身份。 身份认证是指计算机及网络系统确认操作者身份的过程。计算机系统和计算机网络是一个虚拟的数字世界,在这个数字世界中,一切信息包括用户的身份信息都是用一组特定的数据来表示的,计算机只能识别用户的数字身份,所有对用户的授权也是针对用户数字身份的授权。而我们生活的现实世界是一个真实的物理世界,每个人都拥有独一无二的物理身份。如何保证以数字身份进行操作的操作者就是这个数字身份合法拥有者,也就是说保证操作者的物理身份与数字身份相对应,就成为一个很重要的问题。身份认证技术的诞生就是为了解决这个问题。 身份认证技术是在计算机网络中确认操作者身份的过程而产生的解决方法。 所谓“没有不透风的墙”,你所知道的信息有可能被泄露或者还有其他人知道,杨子荣就是掌握了“天王盖地虎,宝塔镇河妖”的接头暗号成功的伪造了自己的身份。而仅凭借一个人拥有的物品判断也是不可靠的,这个物品有可能丢失,也有可能被人盗取,从而
第五章 一、填空: 1. 消息认证中认证符的产生有哪两大类________________和_________________ 2. 消息认证码和杂凑函数的算法都是公开的,其根本区别是_________________ 3. MAC与加密算法的区别在于_____________________ 4. 某MAC算法输出长度为64bit,认证密钥为160bit,则对MAC的穷搜索攻击至少需要____轮 5. 采用先hash再对称加密的方法对消息进行认证,设密钥为k,hash函数为H,加密算法为E, 认证的消息为M,则在考虑和不考虑消息保密性的条件下,认证消息分别可表示为__________ 6. 杂凑函数的单向性是指_____________ 强单向散列函数是指__________________________ 7. 已知杂凑函数的数出值为m比特,则第I类生日攻击的复杂度为_____,第II类生日攻击的复 杂度为____ 8. MD5算法的分组长度为______输出长度为________,轮数为_______所以用穷搜索攻击寻找具 有给定消息摘要的消息的复杂度为_______以大于0.5的概率用穷搜索攻击找出具有相同消息摘要的两个不同消息的复杂度为_____________ 9. SHA算法的分组长度为______输出长度为________,轮数为_______所以用穷搜索攻击寻找具 有给定消息摘要的消息的复杂度为_______以大于0.5的概率用穷搜索攻击找出具有相同消息摘要的两个不同消息的复杂度为_____________ 10. 假设消息的长度为x,则MD5、SHA-1、SHA-3对消息的填充算法分别是__________________ 11. MD5以little-endian方式存储数据,那么十六进制数20347AB1的实际存储是_____________ 12. HMAC需要调用_______次hash运算,其输出长度由____________决定。 13. 对于一个长度为n的MAC码算法C K(M),随机选取两个消息M、M',当Pr[C K(M)=C K(M')]=____ 时,C K(M)是均匀分布的。 二、选择:每一项有1个或多个选项是正确的 1. 以下哪些属性是消息认证能够完成的( ). A.真实性; B.完整性; C.时间性和顺序性;D不可否认性;E保密性 2. 设杂凑函数H( )的输出长度为m比特,已知H(x),找到y≠x满足H(y)=H(x)的复杂度_____, 若 找到y≠x满足H(y)=H(x)的概率大于0.5则复杂度为_____ A. O(2m) B. O(2m-1) C. O(2m/2) D. O(2m-1) 3. E K[M||H(M)]提供了哪些安全服务_______________________ A. 保密性 B. 完整性 C. 认证性 D. 不可否认性 4. M||SK(H(M))提供了哪些安全服务_______________________,其中SK是签名私钥 A. 保密性 B. 完整性 C. 认证性 D. 不可否认性
身份认证技术 文稿归稿存档编号:[KKUY-KKIO69-OTM243-OLUI129-G00I-FDQS58-
身份认证技术 摘??要:当今,信息安全越来越受到人们的重视。建立信息安全体系的目的就是要保证存储在计算机及网络系统中的数据只能够被有权操作的 人访问,所有未被授权的人无法访问到这些数据。身份认证技术是 在计算机网络中确认操作者身份的过程而产生的解决方法。计算机 网络世界中一切信息包括用户的身份信息都是用一组特定的数据来 表示的,计算机只能识别用户的数字身份,所有对用户的授权也是 针对用户数字身份的授权。如何保证以数字身份进行操作的操作者 就是这个数字身份合法拥有者,也就是说保证操作者的物理身份与 数字身份相对应,身份认证技术就是为了解决这个问题,作为防护 网络资产的第一道关口,身份认证有着举足轻重的作用。通过认 识,掌握身份认证技术,使自己的网络信息资源得到更好的保障。 本文主要介绍了身份认证技术的概念、常见的几种身份认证方式及 身份认证技术的应用。 关键词:身份认证技术身份认证方法身份认证方式认证应用身份识别 正文: 一、身份认证技术简介 相信大家都还记得一个经典的漫画,一条狗在计算机面前一边打字,一边对另一条狗说:“在互联网上,没有人知道你是一个人还是一条狗!”这个漫画说明了在互联网上很难识别身份。
身份认证是指计算机及网络系统确认操作者身份的过程。计算机系统和计算机网络是一个虚拟的数字世界,在这个数字世界中,一切信息包括用户的身份信息都是用一组特定的数据来表示的,计算机只能识别用户的数字身份,所有对用户的授权也是针对用户数字身份的授权。而我们生活的现实世界是一个真实的物理世界,每个人都拥有独一无二的物理身份。如何保证以数字身份进行操作的操作者就是这个数字身份合法拥有者,也就是说保证操作者的物理身份与数字身份相对应,就成为一个很重要的问题。身份认证技术的诞生就是为了解决这个问题。 身份认证技术是在计算机网络中确认操作者身份的过程而产生的解决方法。 所谓“没有不透风的墙”,你所知道的信息有可能被泄露或者还有其他人知道,杨子荣就是掌握了“天王盖地虎,宝塔镇河妖”的接头暗号成功的伪造了自己的身份。而仅凭借一个人拥有的物品判断也是不可靠的,这个物品有可能丢失,也有可能被人盗取,从而伪造这个人的身份。只有人的身体特征才是独一无二,不可伪造的,然而这需要我们对这个特征具有可靠的识别能力。 二、身份认证方法 在真实世界,对用户的身份认证基本方法可以分为这三种: 1) 根据你所知道的信息来证明你的身份 (你知道什么); 2) 根据你所拥有的东西来证明你的身份 (你有什么);
第3章信息认证技术 本章学习目标 本章介绍认证的概念、认证模式与认证方式、数字签名及一些认证的方法和技术。认证的方法从两个方面进行介绍:身份认证和消息认证。通过本章的学习,应该达到如下目标: 掌握:数字签名的基本原理,哈希函数的基本概念。 理解:认证的概念与作用,消息认证和身份认证的基本原理。 了解:认证模式与认证方式,常用的数字签名体制和身份认证机制。 任务提出 设有A公司的老板名叫Alice,B公司的老板名叫Bob,现Alice想传送一份标书File BS 给Bob,而公司C的老板想要假冒Alice的名义发另一份标书给Bob,以达到破坏A公司中标的目的。怎样做才能使Bob确认标书的来源,并且在传输过程中未被修改过? 3.1 认证概述 在信息安全领域中,一方面是保证信息的保密性,防止通信中的机密信息被窃取和破译,防止对系统进行被动攻击;另一方面是保证信息的完整性、有效性,即要确认与之通信的对方身份的真实性,信息在传输过程中是否被篡改、伪装和抵赖,防止对系统进行主动攻击。 认证(Authentication)是防止对信息系统进行主动攻击(如伪造、篡改信息等)的重要技术,对于保证开放环境中各种信息系统的安全性有重要作用。认证的目的有两个方面:一是验证信息发送者是合法的,而不是冒充的,即实体验证,包括信源、信宿等的认证和识别;二是验证信息的完整性以及数据在传输或存储过程中是否被篡改、重放或延迟等。 图3-1 纯认证系统模型
·2·信息安全技术 认证不能自动地提供保密性,而保密也不能自然地提供认证功能。一个纯认证系统的模型如图3-1所示。在这个系统中发送者通过一个公开信道将信息传送给接收者,接收者不仅想收到消息本身,还要通过认证编码器和认证译码器验证消息是否来自合法的发送者及消息是否被篡改。 系统中的密码分析者不仅可截获和分析信道中传送的密文,而且可伪造密文送给接收者进行欺诈,他不再像保密系统中的分析者那样始终出于被动地位,而是可发动主动攻击,因此常称为系统的串扰者(tamper)。 3.2 数字签名技术 数字签名是由公钥密码发展而来,在身份认证、数据完整性、不可否认性以及匿名性等方面有重要应用,特别是在大型网络安全通信中的密钥分配、认证及电子商务系统中具有重要作用。数字签名是实现认证的重要工具。 3.2.1 数字签名基本概念 政治、军事、外交等的文件、命令和条约,商业中的契约以及个人之间的书信等,传统上采用亲笔签名或印章,以便在法律上能认证、核准和生效。随着计算机网络的发展,人们更希望通过电子设备实现快速、远距离的交易,数字(或电子)签名便应运而生,并开始用于商业通信系统。 1.什么是数字签名 数字签名就是一种防止源点和终点否认的认证技术,一个数字签名必须保证以下3点:(1)接收者能够核实发送者对报文的签名; (2)发送者事后不能抵赖对报文的签名; (3)接收者不能伪造发送者对报文的签名。 一般数字签名的格式为:用户A向B用明文送去消息m,为了让B确信消息m是A送来的,没有篡改,可在m的后面附上固定长度(比如60bit或128bit)的数码。B收到后,可通过一系列的步骤验证,然后予以确认或拒绝消息m。图3-2是数字签名的一个基本过程。 在公钥体制下,数字签名是通过一个单向函数对要传送的报文进行处理,得到用以核实报文是否发生变化的一个字母数字串。该字母数字串成为该消息的消息摘要,用户用自己的私钥对消息摘要进行加密,然后信息接收者使用信息发送者的公钥对附在原始信息后的数字签名进行解密后获得哈希摘要,并通过与用自己收到的原始数据产生的哈希摘要对照,便可确信原始信息是否被篡改,同时也保证了数据传输的不可否认性。
消息认证码实现原理 一般密码相关的算法,个人是很难实现的,我们可以参照权威机构提供的方案,我想说美国标准与技术研究院,NIST(National Institute of Standards and Technology)。 今天谈到的MAC,使用NIST提供的公开800-38B算法文档。这个MAC算法是基于对称密钥块算法,故称之为CMAC,还是使用了AES。 算法原理: 1,根据输入的key,产生两个子key 2,产生MAC值。 具体步骤: 产生sub key1与key2过程 1. Let L = CIPHK(0b). 2. If MSB1(L) = 0, then K1 = L << 1;Else K1 = (L << 1) ⊕ Rb; see Sec. 5.3 for the definition of Rb. 3. If MSB1(K1) = 0, then K2 = K1 << 1;Else K2 = (K1 << 1) ⊕ Rb. 4. Return K1, K2. 其中CIPHK就是就是利用key对16字节的0进行对称加密。 产生CMAC的过程 1. Apply the subkey generation process in Sec. 6.1 to K to produce K1 and K 2. 2. If Mlen = 0, let n = 1; else, let n = ?Mlen/b?. 3. Let M1, M2, ... , Mn-1, Mn * denote the unique sequence of bit strings such that M =M1 || M2 || ... || Mn-1 || Mn*, where M1, M2,..., Mn-1 are complete blocks.2 4. If Mn* is a complete block, let Mn = K1 ⊕ Mn*; else, let Mn = K2 ⊕ (Mn*||10j),where j = nb-Mlen-1. 5. Let C0 = 0b. 6. For i = 1 to n, let Ci = CIPHK(Ci-1 ⊕ Mi). 7. Let T = MSBTlen(Cn). 8. Return T.
