身份认证技术论文.doc

身份认证技术 摘要: 身份认证是实现信息安全基础技术, 在本文中简明介绍下多个不一样类别身份认证以及身份认证中协议。 关键词: 身份认证 基于密码 基于地址 生物特征 零知识 Kerberos SSL 正文: 引言: 现今已经是信息化社会, 信息技术成为了我们生活不可缺乏部分, 所以信息安全就成为了我们不得不关注问题, 而身份认证则是实现安全通信关键手段, 所以在这里简明介绍下身份认证技术。 论文正文: 身份认证概念 身份认证是系统审查用户身份过程, 从而确定该用户是否含有对某种资源访问和使用权限。身份认证经过标识和判别用户身份, 提供一个判别和确定用户身份机制。 计算机网络中身份认证是经过将一个证据与实体身份绑定来实现。实体可能是用户、 主机、 应用程序甚至是进程。 身份认证技术在信息安全中处于非常关键地位, 是其她安全机制基础。只有实现了有效身份认证, 才能确保访问控制、 安全审计、 入侵防范等安全机制有效实施。 在真实世界中, 验证一个用户身份关键经过以下三种方法: 所知道。依据用户所知道信息来证实用户身份。 所拥有。依据用户所拥有东西来证实用户身份。 本身特征。直接依据用户独一无二体态特征来证实用户身份, 比如人指纹、 字迹、 DNA、 视网膜及身体特殊标志等。 基于密码身份认证: 密码认证特点 密码是用户与计算机之间以及计算机与计算机之间共享一个秘密, 在通信过程中其中一方向另一方提交密码, 表示自己知道该秘密, 从而经过另一方认证。密码通常由一组字符串来组成, 为便于用户记忆, 通常见户使用密码都有长度限制。但出于安全考虑, 在使用密码时需要注意以下几点: （1） 不使用默认密码、 （2）设置足够长密码、 （3）不要使用结构简单词或数字组合、 （4）增加密码组合复杂度、 （5） 使用加密、 （6）避免共享密码 、 （7）定时更换密码 就密码安全使用来说, 计算机系统应该含有下列安全性: （1）入侵者即使取得储存在系统中密码也无法达成登录目。这需要在密码认证基础上再增加其她认证方法, 如地址认证。 （2）经过监听网络上传送信息而取得密码是不能用。最有效方法是数据加密。 （3）计算机系统必需能够发觉并预防各类密码尝试攻击。可使用密码安全策略。 密码认证中其它问题: 1． 社会工程学 社会工程学（Social Engineering）是一个经过对受害者心理弱点、 本能反应、 好奇心、 信任、 贪婪等心理陷阱进行诸如欺骗、 伤害等危害手段, 取得本身利益手法, 多年来已成快速上升甚至滥用趋势。 2． 按键统计软件 按键统计软件是一个间谍软件, 它以木马方法值入到用户计算机后, 能够偷偷地统计下用户每次按键动作, 并按预定计划把搜集到信息经过电子邮件等方法发送出去。 3． 搭线窃听 攻击者经过窃听网络数据, 假如密码使用明文传输, 可被非法获取。现在, 在IP网络中Telnet、 FTP、 HTTP等大量通信协议来用明文来传输密码, 这意味着在用户端和服务器端之间传输全部信息（其中包含明文密码和用户数据）都有可能被窃取。 4． 字典攻击 攻击者能够把全部用户可能选择密码列举出来生成一个文件, 这么文件被称为“字典”。当攻击者得到了部分与密码相关可验证信息后, 就能够结合字典进行一系列运算, 来猜测用户可能密码, 并利用得到信息来验证猜测正确性。 5． 暴力破解 暴力破解也称为“蛮力破解”或“穷举攻击”, 是一个特殊字典攻击。在暴力破解中所使用字典是字符串全集, 对可能存在全部组合进行猜测, 直到得到正确信息为止。 6． 窥探 窥探是攻击者利用与被攻击系统靠近机会, 安装监视设备或亲自窥探正当用户输入账户和密码。窥探还包含攻击者在用户计算机中植入木马。 7． 垃圾搜索 垃圾搜索是攻击者经过搜索被攻击者废弃物（如硬盘、 U盘、 光盘等）, 得到与攻击系统相关信息。 基于地址身份认证: 地址与身份认证 基于IP地址身份认证: 不可靠, 也不可取 基于物理地址（如MAC地址）身份认证较为可靠, 现在在计算机网络中应用较为广泛。 智能卡认证 智能卡也称IC卡, 是由一个或多个集成电路芯片组成设备, 能够安全地存放密钥、 证书和用户数据等敏感信息, 预防硬件等级窜改。智能卡芯片在很多应用中能够独立完成加密、 解密、 身份认证、 数字署名等对安全较为敏感计算任务, 从而能够提升应用系统抗病毒攻击以及预防敏感信息泄漏。 双原因身份认证, 简单地讲是指在身份认证过程中最少提供两个认证原因, 如“密码+PIN”等。双原因认证与利用ATM取款很相同: 用户必需利用持银行卡, 再输入密码, 才能提取其账户中款项。双原因认证提供了身份认证可靠性。 生物特征身份认证: 生物特征认证概念 生物特征认证又称为“生物特征识别”, 是指经过计算机利用人体固有物理特征或行为特征判别个人身份。在信息安全领域, 推进基于生物特征认证关键动力来自于基于密码认证不安全性, 即利用生物特征认证来替换密码认证。人生理特征与生俱来, 通常是先天性。 满足以下条件生物特征才能够用来作为进行身份认证依据: 普遍性。即每一个人都应该含有这一特征。 唯一性。即每一个人在这一特征上有不一样表现。 稳定性。即这一特征不会伴随年纪增加和生活环境改变而改变。 易采集性。即这一特征应该便于采集和保留。 可接收性。即大家是否能够接收这种生物识别方法。 零知识证实身份认证: 零知识证实身份认证概念 零知识证实是由在20世纪80年代初出现一个身份认证技术。零知识证实是指证实者能够在不向验证者提供任何有用信息情况下, 使验证者相信某个论断是正确。 零知识证实实质上是一个包含两方或多方协议, 即两方或多方完成一项任务所需采取一系列步骤。证实者向验证者证实并使验证者相信自己知道某一消息或拥有某一物品, 但证实过程不需要向验证者泄漏。零知识证实分为交互式零知识证实和非交互式零知识证实两种类型。 交互式零知识证实: 零知识证实协议可定义为证实者（Prover, 简称P）和验证者（Verifier, 简称V）。交互式零知识证实是由这么一组协议确定: 在零知识证实过程结束后, P只告诉V相关某一个断言成立信息, 而V不能从交互式证实协议中取得其她任何信息。即使在协议中使用欺骗手段, V也不可能揭露其信息。这一概念其实就是零知识证实定义。 假如一个交互式证实协议满足以下3点, 就称此协议为一个零知识交互式证实协议: 完备性。假如P声称是真, 则V以绝对优势概率接收P结论。 有效性。假如P声称是假, 则V也以绝对优势概率拒绝P结论。 零知识性。不管V采取任何手段, 当P声称是真, 且P不违反协议时, V除了接收P结论以外, 得不到其它额外信息。 非交互式零知识证实: 在非交互式零知识证实中, 证实者P公布部分不包含她本人任何信息秘密消息, 却能够让任何人相信这个秘密消息。在这一过程中, 起关键作用原因是一个单向Hash函数。假如P要进行欺骗, 她必需能够知道这个Hash函数输出值。但实际上因为她不知道这个单向Hash函数具体算法, 所以她无法实施欺骗。也就是说, 这个单向Hash函数在协议中是V替换者。 身份认证协议: Kerberos协议 Kerberos协议介绍 Kerberos是为基于TCP/IPInternet和Intranet设计安全认证协议, 它工作在Client/Server模式下, 以可信赖第三方KDC（密钥分配中心）实现用户身份认证。在认证过程中, Kerberos使用对称密钥加密算法, 提供了计算机网络中通信双方之间身份认证。 Kerberos设计目是处理在分布网络环境中用户访问网络资源时安全问题。 因为Kerberos是基于对称加密来实现认证, 这就包含到加密密钥对产生和管理问题。在Kerberos中会对每一个用户分配一个密钥对, 假如网络中存在N个用户, 则Kerberos系统会保留和维护N个密钥对。同时, 在Kerberos系统中只要求使用对称密码, 而没有对具体算法和标准作限定, 这么便于Kerberos协议推广和应用。 Kerberos已广泛应用于Internet和Intranet服务安全访问, 含有高度安全性、 可靠性、 透明性和可伸缩性等优点。 Kerberos系统组成 一个完整Kerberos系统关键由以下多个部分组成: （1）用户端 （2）服务器端 （3）密钥分配中心 （4）认证服务器 （5）票据分配服务器 （6）票据 （7）时间戳 Kerberos基础认证过程 SSL协议: SSL协议概述 SSL是一个点对点之间结构安全通道中传输数据协议, 它运行在传输层之上、 应用层之下, 是一个综合利用对称密钥和公开密钥技术进行安全通信工业标准。在通信过程中, 许可一个支持SSL协议服务器在支持SSL协议用户端使协议本身取得信任, 使用户端得到服务器信任, 从而在两台机器间建立一个可靠传输连接。SSL协议关键提供了3个方面安全服务。 认证。利用数字证书技术和可信第三方认证机构, 为用户机和服务器之间通信提供身份认证功效, 方便于相互之间进行身份识别。 机密性。在SSL用户机和服务器之间传输全部数据都经过了加密处理, 以预防非法用户进行窃取、 篡改和冒充。 完整性。SSL利用加密算法和Hash函数来确保用户机和服务器之间传输数据完整性。 SSL协议分为上下两部分: 上层为SSL握手协议, 下层为SSL统计协议。其中SSL握手协议关键用来建立用户机与服务器之间连接, 并协商密钥; 而SSL统计协议则定义了数据传输格式。 SSL握手协议 SSL握手协议提供了用户机与服务器之间相互认证, 协商加密算法, 用于保护在SSL统计中发送加密密钥。握手协议在任何应用程序数据传输之前进行。如图4-9描述了SSL握手协议一次握手操作过程。 SSL统计协议 SSL统计协议建立在可靠传输层协议之上, 为高层协议提供数据封装、 压缩、 加密等基础功效支持。 SSL协议特点 SSL是一个通信协议。为了实现安全性, SSL协议描述比较复杂, 含有较完备握手过程。这也决定了SSL不是一个轻量级网络协议。另外, SSL还包含到大量计算密集型算法: 非对称加密算法, 对称加密算法和数据摘要算法。 结束语: 身份认证技术是信息安全中一个关键内容, 在现在信息化社会, 电子商务等已经逐步融入了我们生活, 所以身份认证技术显得比信息加密本身更关键, 期望经过本文对身份认证技术简明介绍使我们对身份认证有一个愈加深刻了解。