身份认证技术

身份认证技术 身份认证的概念 身份认证是系统审查用户身份的过程，从而确定该用户是否具有对某种资源的访问 和使用权限。身份认证通过标识和鉴别用户的身份，提供一种判别和确认用户身份的机 制。 计算机网络中的身份认证是通过将一个证据与实体身份绑定来实现的。实体可能是 用户、主机、应用程序甚至是进程。 身份认证技术在信息安全中处于非常重要的地位，是其他安全机制的基础。只有实 现了有效的身份认证， 才能保证访问控制、 安全审计、 入侵防范等安全机制的有效实施。 在真实世界中，验证一个用户的身份主要通过以下三种方式: 所知道的。根据用户所知道的信息来证明用户的身份。 所拥有的。根据用户所拥有的东西来证明用户的身份。 本身的特征。 直接根据用户独一无二的体态特征来证明用户的身份， 例如人的指纹、 笔迹、DNA、视网膜及身体的特殊标志等。 基于密码的身份认证: 密码认证的特点 密码是用户与计算机之间以及计算机与计算机之间共享的一个秘密，在通信过程 中其中一方向另一方提交密码，表示自己知道该秘密，从而通过另一方的认证。密码通 常由一组字符串来组成，为便于用户记忆，一般用户使用的密码都有长度的限制。但出 于安全考虑，在使用密码时需要注意以下几点: (1) 不使用默认密码、 (2)设置足够长的密码、 (3)不要使用结构简单的词或数字 组合、 (4)增加密码的组合复杂度、 (5) 使用加密、 (6)避免共享密码 、 (7)定期更 换密码 就密码的安全使用来说，计算机系统应该具备下列安全性: (1)入侵者即使取得储存在系统中的密码也无法达到登录的目的。这需要在密码认 证的基础上再增加其他的认证方式，如地址认证。 (2)通过监听网络 上传送的信息而获得的密码是不能用的。最有效的方式是数据加 密。 (3)计算机系统必须能够发现并防止各类密码尝试攻击。可使用密码安全策略。 密码认证中的其它问题: 1( 社会工程学 社会工程学(Social Engineering)是一种通过对受害者心理弱点、本能反应、好奇 心、信任、贪婪等心理陷阱进行的诸如欺骗、伤害等危害手段，取得自身利益的手法， 近年来已成迅速上升甚至滥用的趋势。 2( 按键记录软件 按键记录软件是一种间谍软件，它以木马方式值入到用户的计算机后，可以偷偷 地记录下用户的每次按键动作，并按预定的计划把收集到的信息通过电子邮件等方式发 送出去。 3( 搭线窃听 攻击者通过窃听网络数据，如果密码使用明文传输，可被非法获取。目前，在 IP 网络中 Telnet、FTP、HTTP 等大量的通信协议来用明文来传输密码，这意味着在客户端 和服务器端之间传输的所有信息(其中包括明文密码和用户数据)都有可能被窃取。 4( 字典攻击 攻击者可以把所有用户可能选取的密码列举出来生成一个文件，这样的文件被称 为“字典” 。当攻击者得到了一些与密码有关的可验证信息后，就可以结合字典进行一 系列的运算，来猜测用户可能的密码，并利用得到的信息来验证猜测的正确性。 5( 暴力破解 暴力破解也称为“蛮力破解”或“穷举攻击” ，是一种特殊的字典攻击。在暴力破 解中所使用的字典是字符串的全集，对可能存在的所有组合进行猜测，直到得到正确的 信息为止。 6( 窥探 窥探是攻击者利用与被攻击系统接近的机会，安装监视设备或亲自窥探合法用户 输入的账户和密码。窥探还包括攻击者在用户计算机中植入的木马。 7( 垃圾搜索 垃 圾搜索是攻击者通过搜索被攻击者的废弃物(如硬盘、U 盘、光盘等) ，得到与 攻击系统有关的信息。 基于地址的身份认证: 地址与身份认证 基于 IP 地址的身份认证:不可靠，也不可取 基于物理地址(如 MAC 地址)的身份认证较为可靠，目前在计算机网络中的应用 较为广泛。 智能卡认证 智能卡也称 IC 卡，是由一个或多个集成电路芯片组成的设备，可以安全地存储密 钥、证和用户数据等敏感信息，防止硬件级别的窜改。智能卡芯片在很多应用中可以 独立完成加密、解密、身份认证、数字签名等对安全较为敏感的计算任务，从而能够提 高应用系统抗病毒攻击以及防止敏感信息的泄漏。 双因素身份认证， 简单地讲是指在身份认证过程中至少提供两个认证因素，如“密码+PIN”等。双因 素认证与利用 ATM 取款很相似:用户必须利用持银行卡，再输入密码，才能提取其账 户中的款项。双因素认证提供了身份认证的可靠性。 生物特征身份认证: 生物特征认证的概念 生物特征认证又称为“生物特征识别”，是指通过计算机利用人体固有的物理特征 或行为特征鉴别个人身份。在信息安全领域，推动基于生物特征认证的主要动力 来自于基于密码认证的不安全性，即利用生物特征认证来替代密码认证。人的生 理特征与生俱来，一般是先天性的。 满足以下条件的生物特征才可以用来作为进行身份认证的依据: 普遍性。即每一个人都应该具有这一特征。 唯一性。即每一个人在这一特征上有不同的表现。 稳定性。即这一特征不会随着年龄的增长和生活环境的改变而改变。 易采集性。即这一特征应该便于采集和保存。 可接受性。即人们是否能够接受这种生物识别方式。 零知识证明身份认证: 零 知识证明身份认证的概念 零知识证明是由在 20 世纪 80 年代初出现的一种身份认证技术。零知识证明是指证 明者能够在不向验证者提供任何有用信息的情况下，使验证者相信某个论断是正确的。 零知识证明实质上是一种涉及两方或多方的协议， 即两方或多方完成一项任务所需 采取的一系列步骤。 证明者向验证者证明并使验证者相信自己知道某一消息或拥有某一 物品， 但证明过程不需要向验证者泄漏。 零知识证明分为交互式零知识证明和非交互式 零知识证明两种类型。 交互式零知识证明: 零知识证明协议可定义为证明者(Prover，简称 P)和验证者(Verifier，简称 V) 。 交互式零知识证明是由这样一组协议确定的:在零知识证明过程结束后，P 只告诉 V 关 于某一个断言成立的信息，而 V 不能从交互式证明协议中获得其他任何信息。即使在协 议中使用欺骗手段，V 也不可能揭露其信息。这一概念其实就是零知识证明的定义。 如果一个交互式证明协议满足以下 3 点， 就称此协议为一个零知识交互式证明协议: 完备性。如果 P 的声称是真的，则 V 以绝对优势的概率接受 P 的结论。 有效性。如果 P 的声称是假的，则 V 也以绝对优势的概率拒绝 P 的结论。 零知识性。无论 V 采取任何手段，当 P 的声称是真的，且 P 不违背协议时，V 除了 接受 P 的结论以外，得不到其它额外的信息。 非交互式零知识证明: 在非交互式零知识证明中，证明者 P 公布一些不包括他本人任何信息的秘密消息， 却能够让任何人相信这个秘密消息。 在这一过程中， 起关键作用的因素是一个单向 Hash 数。如果 P 要进行欺骗，他必须能够知道这个 Hash 函数的输出值。但事实上由于他 不知道这个单向 Hash 函数的具体算法，所以他无法实施欺骗。也就是说，这个单向 Hash 函数在协议中是 V 的代替者。 身份认证协议: Kerberos 协议 Kerberos 协议简介 Kerberos 是为基于 TCP/IP 的 Internet 和 Intranet 的安全认证协议，它工作在 Client/Server 模式下，以可信赖的第三方 KDC(密钥分配中心)实现用户身份认证。在 认证过程中，Kerberos 使用对称密钥加密算法，提供了计算机网络中通信双方之间的身 份认证。 Kerberos 设计的目的是解决在分布网络环境中用户访问网络资源时的安全问题。 由于 Kerberos 是基于对称加密来实现认证的，这就涉及到加密密钥对的产生和管理问 题。在 Kerberos 中会对每一个用户分配一个密钥对，如果网络中存在 N 个用户，则 Kerberos 系统会保存和维护 N 个密钥对。 同时， Kerberos 系统中只要求使用对称密码， 在 而没有对具体算法和标准作限定，这样便于 Kerberos 协议的推广和应用。 Kerberos 已广泛应用于 Internet 和 Intranet 服务的安全访问，具有高度的安全性、可靠 性、透明性和可伸缩性等优点。 Kerberos 系统的组成 一个完整的 Kerberos 系统主要由以下几个部分组成: (1)用户端 (2)服务器端 (3)密钥分配中心 (4)认证服务器 (5)票据分配服务器 (6)票据 (7)时间戳 Kerberos 的基本认证过程 SSL 协议: SSL 协议概述 SSL 是一种点对点之间构造的安全通道中传输数据的协议，它运行在传输层之上、 应用层之下，是一种综合利用对称密钥和公开密钥技术进行安全通信的工业标准。在通 信过程中，允许一个支持 SSL 协议的服 务器在支持 SSL 协议的客户端使协议本身获得 信任，使客户端得到服务器的信任，从而在两台机器间建立一个可靠的传输连接。SSL 协议主要提供了 3 个方面的安全服务。 认证。利用数字证书技术和可信第三方认证机构，为客户机和服务器之间的通信提 供身份认证功能，以便于彼此之间进行身份识别。 机密性。在 SSL 客户机和服务器之间传输的所有数据都经过了加密处理，以防止非 法用户进行窃取、篡改和冒充。 完整性。SSL 利用加密算法和 Hash 函数来保证客户机和服务器之间传输的数据的 完整性。 SSL 协议分为上下两部分: 上层为 SSL 握手协议， 下层为 SSL 记录协议。 其中 SSL 握手协议主要用来建立客户机与服务器之间的连接，并协商密钥;而 SSL 记录协议则 定义了数据的传输格式。 SSL 握手协议 SSL 握手协议提供了客户机与服务器之间的相互认证，协商加密算法，用于保护在 SSL 记录中发送的加密密钥。握手协议在任何应用程序的数据传输之前进行。如图 4-9 描述了 SSL 握手协议一次握手的操作过程。 SSL 记录协议 SSL 记录协议建立在可靠的传输层协议之上，为高层协议提供数据封装、压缩、加 密等基本功能的支持。 SSL 协议的特点 SSL 是一个通信协议。为了实现安全性，SSL 的协议描述比较复杂，具有较完备的 握手过程。这也决定了 SSL 不是一个轻量级的网络协议。另外，SSL 还涉及到大量的计 算密集型算法:非对称加密算法，对称加密算法和数据摘要算法。 结束语: 身份认证技术是信息安全中的一个重要的内容，在如今信息化的社会，电子商务 等已经逐渐融入了我们的生活，所以身份认证技术显得比信息加密本身更重要，希望 通过本文对身份认证技术的简要 介绍使我们对身份认证有一个更加深刻的理解。