[关键词] gina winlogon
一、身份认证技术分析
身份认证是指用户必须提供他是谁的证明。认证的目的就是弄清楚他是谁,具有什么特征,知道什么可用于识别他的东西。这种证实客户的真实身份与其所声称的身份是否相符合的过程是为了限制非法用户访问网络资源,是其他安全机制的基础。
认证技术是信息安全理论与技术的一个重要方面。身份认证是安全系统中的第一道关卡,用户在访问安全系统之前,首先经过身份认证系统识别身份,然后访问监控器, 根据用户的身份和授权数据库决定用户是否能够访问某个资源。授权数据库由安全管理员按照需要进行配置。审计系统根据审计设置记录用户的请求和行为,同时如情监测系统实时或非实时地检测是否有入侵行为。访问控制和审计系统都要依赖于身份认证系统提供的“信息”即用户的身份。一旦身份认证系统被攻破,那么系统的所有安全措施将形同虚设。黑客攻击的目标往往就是身份认证系统,下面要讨论的是单机状态下的身份认证。
二、单机状态下的身份认证
单机状态下的用户登录计算机,一般有以下几种形式验证用户身份:用户所知道的东西,如口令,密码;用户所拥有的东西,如智能卡,身份证,护照,密钥盘;用户所具有的生物特征,如指纹,声音,视网膜扫描,DNA等。
1.基于口令的认证方式
基于口令的认证方式是最常用的一种技术。用户输入自己的口令,计算机验证并给予用户相应的权限。这种方式中很重要的问题是口令的存储,一般有两种方法:
(1)直接明文存储口令。这种方式有很大风险,任何人只要得到存储口令的数据库,就可以得到全体人员的口令。
(2)Hash散列存储口令。散列函数的目的是为文件,报文或其他分组数据产生”指纹”。
2.基于智能卡的认证方式
智能卡又称集成电路卡,即IC卡。智能卡具有硬件加密性能,有较高的安全性。智能卡存储用户个性化的秘密信息,同时在验证服务器中也存放该信息。进行认证时,用户输入个人身份识别码,智能卡认证成功后,即可读出智能卡中的秘密信息,从而防止秘密信息的泄露。
3.基于生物特征的认证方式
基于生物认证的方式是以人体惟一的、可靠的、稳定的生物特征(如指纹,虹膜,掌纹等)为依据,采用计算机的强大的计算功能和网络技术进行图像处理和模式识别。该技术具有很好的安全性,可靠性和有效性,与传统的身份确认手段相比,无疑产生了质的飞跃。
生物认证的过程分为四个阶段:抓图,抽取特征,比较和匹配。本文要讨论的是在单机状态下基于智能卡的认证方式,设计工作中将用到的智能卡(安全芯)。安全芯的主体是具有运算功能的单片机,通过USB接口同PC 主机通讯。安全芯在不做任何处理时就可以完成一些软件加密的任务。
三、身份认证系统实现
1.系统需求
应用要求:在用户登录成功状态下,按下Ctrl+Alt+Del时系统不再弹出“Widows安全”对话框。由于并不需要改变用户名、密码这种标准的认证模式,所以可以仍然使用msgina.dll中导出的函数接口,而对WlxLoggedOnSAS函数的实现进行必要的改变。
开发环境:Windows 2000,PII 400。
开发工具:Microsoft Visual C++ 6.0。
2.开发步骤
(1)新建项目,选择MFC AppWizard(dll),项目名输入为MyGina。按下“OK”后,选择Regular DLL with MFC statically linked,按下“Finish”。
(2)使用View->ClassWizard为CmyGinaApp增加InitInstance和ExitInstance两个函数的覆盖。注意在Stdafx.h中加入#include 。
(3)由于要导入msgina.dll的接口函数,所以在MyGina.h中定义接口函数变量类型,并在类CmyGinaApp中定义成员变量。
(4)在MyGina.cpp中,实现InitInstance。
(5)实现接口函数。由于本应用仍然保持msgina.dll的大部分操作,所以MyGina.dll的接口函数的实现较为简单,需要注意的是WlxLoggedOnSAS函数的实现,当在成功登录状态下,不管接收到什么SAS事件,该函数直接返回WLX_SAS_ACTION_NONE而不做其他处理。
四、结束语
随着计算机技术的不断发展,计算机的安全问题日益被人们越来越关注,尤其是网络技术的飞速发展,使得计算机被攻击与破坏事件层出不穷,所以安全问题已经引起许多国家的重视。身份认证技术是信息安全理论与技术的一个重要方面。开发和研究身份认证技术无疑是一项前景光明的事业。
参考文献:
关键词:身份认证;安全性
中图分类号:TP393.08 文献标识码:A文章编号:1007-9599 (2011) 19-0000-01
Some Misconceptions on the Security of Authentication Technology
Xu Qiang
(College of Information Engineering,Zhengzhou University,Zhengzhou450001,China)
Abstract:Authentication technology is the basis of the information security system.All kinds of authentication technologies have its own advantages and disadvantages,This paper focuses on the security of authentication technologies that exist in some of the misconceptions.
Keywords:Authentication;Security
一、引言
身份认证技术是指系统确认使用者身份的过程所应用的技术手段,是信息安全的第一道关口,是所有安全的基础。身份认证主要分为三大类:(1)基于所知的认证,如文字列密码等;(2)基于所持物的认证,如IC卡、令牌等;(3)基于生物体征的认证,如指纹、静脉等。每种认证技术都有着各自的优点和缺点,现实中,在一些身份认证技术的安全性上还存在着一定的误解。
二、存在的误解
(一)一次性密码是文字列密码的安全改进技术
为了解决文字列密码的脆弱性问题(容易记的密码容易被攻击者猜测,不易被猜测到的密码往往又难以记忆),提出了很多管理和运用密码的建议。其中,一次性密码方案很好的解决了文字列密码的脆弱性问题。现在主流的一次性密码方案多采用动态密码的方法,用户手持用来生成动态密码的终端,基于时间与认证系统同步方式,间隔固定时间段后生成一次随机密码,密码在一定时间内有效,超时后废弃。
看似一次性密码是优于文字列密码的身份认证技术,其实不然,文字列密码是基于所知的认证技术,而现在主流的一次性密码是基于所持物的认证技术。虽然一次性密码难以被猜测,但是有着所持物认证技术固有的缺点:所持物遗失或者被盗所带来的问题。所以,一次性密码并非文字列密码的改进技术,而是不同类别的身份认证技术。
(二)PKI卡身份认证由于使用了PKI技术,所以比文字列密码安全
PKI是Public Key Infrastructure的缩写,就是利用公开密钥理论和技术建立的提供安全服务的基础设施。PKI卡就是支持公开钥体系的IC卡。
PKI卡身份认证方式比文字列密码的身份认证方式的安全性要高是可以肯定的,这是因为PKI卡身份认证方式属于两要素认证方式(基于所知加上基于所持物的认证),当然比仅基于所知的文字列密码认证方式的安全性要高。虽然PKI技术可以完成加密、数字签名、数据完整性机制、数字信封等功能,但是在身份认证上,PKI卡比文字列密码更安全却并非受益于PKI技术。
(三)不同的认证方式并行使用,可在不降低安全性的同时提高便利性
身份认证需要考虑安全性的同时还要考虑用户认证的可用性和便利性。但是不应该为了提高便利性而降低认证的安全性。
例如,指纹认证与文字列密码认证并用的情况下,比单纯的文字列密码认证要便利。指纹认证不需要记忆难记的密码,认证时,指纹认证也更方便。当指纹认证出现本人据否的情况下,还可以使用文字列密码进行身份认证。扩大了用户的选择,也改善了基于生物体征的认证技术的本人拒否问题,但是,由此带来的后果是安全强度的下降。
多种认证方式并用时,依据“短板理论”,对于不同种类的攻击,安全性由这几种方式中对该种类攻击防御最低的认证方式决定。因此,整体安全强度取这几种方式中的单项最低值,结果是比其中任何一种认证方式的整体安全强度都要低。
(四)图像认证方式在防御窥探攻击和猜测攻击方面不如文字列密码认证方式
在窥探攻击方面,由于图像认证方式使用色彩鲜明的较大的图像作为密码,给人的感觉是比文字列更容易被攻击者偷窥到。实际上,图像认证方式可以利用密码输入方式或模糊图像方式来很好的防御窥探攻击。
在猜测攻击方面,由于感觉图像认证方式中给出的作为密码的图像数比可作为文字列密码的文字数要少,所以认为图像认证方式在猜测攻击方面不如文字列密码认证方式。实际上,是由于文字列密码的脆弱性问题导致了文字列密码易被猜测出,与可用文字数无关。而图像认证方式虽然也有弱密码的问题,但是不存在类似文字列密码的脆弱性问题。另外,在不影响图像识别度的前提下,缩小图像的大小可以增加可用图像的数量,使猜测攻击更难成功。
三、结语
本文立足于各种认证技术的优缺点,着眼于身份认证技术的安全性,对一些容易存在误解的问题进行了探讨。
参考文献:
关键词:信息安全;身份认证;生物特征;组合认证;解决方案;性能分析
中图分类号:TP393.08 文献标识码:A文章编号:1007-9599 (2011) 16-0000-02
Authentication Technology Research Overview
Zhang Yao
(Harbin Normal University,Computer Science and Information Engineering College,Harbin150025,China)
Abstract:Authentication technology is capable of sending and receiving side of information technology to identify the true identity,is to identify,verify that the network information system in the legitimacy and authenticity of the user identity,according to mandate access to system resources,and shut out illegal visitors.This article discusses the field of information security authentication technology status and development trend,for further improving the work has a certain theoretical significance.
Keywords:Information security;Authentication;Biometrics;
Combination of certification;Solutions;Performance analysis
网络认证技术是网络安全技术的重要组成部分之一。认证指的是证实被认证对象是否属实和是否有效的一个过程,常常被用于通信双方互相确认身份,以保证通信的安全。认证技术一般包括两个方面的内容,分别是身份认证和信息认证。身份认证主要是通过对用户身份的鉴别来实现对用户权限的识别,限制低权限或者非法用户的入侵。信息认证主要是用于验证信息是否完整。本论文的研究主要偏重于对身份认证技术及其分析。主要侧重以下几个方面做分析。
一、身份认证的方法分析
身份认证主要是通过分析被认证者的身份、权限等相关的信息。除了认证者本人,任何其他人都无法进行仿造或者伪造身份。如果经过认证,被认证者拥有相关的权限和秘密,那么他就获得了认证。身份认证的主要依据就是被认证方用于证明身份所用有的秘密。每个被认证者所拥有的身份认证秘密不同。常见的身份认证有两种,第一种是基于物理安全性的身份认证方法。第二种是基于秘密信息的身份认证方法。
(一) 基于物理安全的身份认证方法
不同的身份认证方法基于不同的理论,但这些认证方法的共同点就是依据用户知道的秘密信息。和这种认证方法相对照,另外一种利用用户的特殊信息或者硬件信息来进行身份认证的。比如说从生物学角度考虑,利用声音识别进行身份验证,利用指纹进行身份验证,利用人眼的虹膜进行身份验证等。从硬件的角度考虑,常用的认证方法有通过智能卡来进行验证,只有认证者拥有正确的卡,才可以被认证。当然,这种方法也有优缺点,这种智能卡可以有效的阻止和避免人为乱猜口令导致的密码被破解,但也存在着只认卡不认人的缺陷,一旦智能卡因丢失被其他人捡到,则很容易被盗取身份。为防止出现这种情况,现在一般采用智能卡和口令结合的方式,比如现在最常用的银行卡就是这种。
(二)基于秘密信息的身份认证方法
常见的有以下几个方式:
1.通过进行用户口令认证来核对身份信息,在刚建立系统的时候,系统已经预先为具有合法权限的用户设定了用户口令和密码。当用户通过登录界面登录时,登录界面显示用户名和密码输入。客户输入用户名和密码以后,系统会对输入的账户和密码与系统原有的密码进行核对如果完全一致,则认为是合法用户,用户身份得到认证。否则,就提示账户名或者密码错误。用户身份得不到认证。
2.单项认证,所谓单项认证,就是进行通信的双方中,只有一方需要进行身份认证。上面所阐述的口令核对法本质上也是一种单项认证。只是这种认证方法还比较低级,没有进行相应的密钥分发操作。常见的涉及到密钥分发操作的认证方案有两类。分别是对称密钥加密方案和非对称密钥加密方案。对称密钥加密方案是指依靠第三方来进行认证,第三方就是一个统一的密钥分发中心。通信双方的密钥分发和身份认证都要通过第三方来实现。另一种没有第三方参与的加密体制成为非对称密钥加密体制。
3.双向认证。双向认证,是指需要通信双方相互认证才可以实现双方通信,通信双方必须相互鉴别彼此的身份,并且经双方验证正确以后,才可以实现双方的通信。在双向认证中,最典型的就是Needham/Schroeder协议。
[1]Needham/Schroeder Protocol[1978]
AKDC:IDA||IDB||N1
KDCA:EKa[Ks||IDB||N1||EKb[Ks||IDA]]
AB:EKb[Ks||IDA]
BA:EKs[N2]
AB:EKs[f(N2)]
(其中f(N2)为N2的某一个函数,其他符号约定同上。)
4.身份的零知识证明通常在进行身份认证时,需要进行身份信息或者口令的传输。要想不传输这些信息就可以进行身份认证,就需要采用身份的零知识证明技术。所谓零知识证明就是指在进行用户身份认证时,不需要传输相关的信息。这种认证机制就是当被认证的甲方为了让认证方乙方确信自己的身份和权限但同时又不让乙方得到自己的秘密信息而采用的一种机制。这种认证方法可以非常有效的防治第三方窃取信息。
二、身份认证的应用
(一)Kerberos认证服务
Kerberos是一种基于Needham和Schroeder[1978]模型的第三方认证服务Kerberos可信任的第三方就是Kerberos认证服务器。它通过把网络划分成不同的安全区域,并且在每个区域设立自己的安全服务器来实现相应的安全策略。在这些区域的认证具体实现过程如下:Kerberos通过向客户和服务提供票和通信双方的对话密钥来证明自己的身份权限。其中Kerberos认证服务器负责签发初始票,也就是客户第一次得到的票。其他票都是由发票服务器负责签发。同一个票可以在该票过期之前反复使用。当客户需要让服务方提供服务的时候,不但要自己生成仅可以使用一次的证,而且需要向服务方发送由发票服务器分发的。这两个需要同时发送。
(二)HTTP中的身份认证
HTTP中的身份认证现在主要由三个常用的版本。分别是HTTP协议目前已经有了三个版本HTTP0.9、HTTP 1.0和HTTP 1.1,其中HTTP 0.9功能简单,主要用来实现最基本的请求协议和回答协议。HTTP 1.0是目前应用比较广泛的一个版本,它的功能相对来说非常完善。而且,通过Web服务器,就可以实现身份认证来实现访问和控制。如果用户向某个页面发出请求或者运行某个CGI程序时,将会有访问控制文件告诉用户哪些可以访问,哪些不可以访问,访问对象文件通常存在于访问对象所在的目录下面的。通过服务器读取访问控制文件,从而获得相应的访问控制信息。并且要求客户通过输入用户名和口令进行身份验证。通过访问控制文件,Web服务器获得相应的控制信息,用户根据要求输入用户名和口令,如果经过编码并且验证以后,如果身份合法,服务方才发送回所请求的页面或执行CGI程序。HTTP 1.1新增加的很多的报头域。如果进行身份认证,不是以明文的方式进行传递口令,而是把口令进行散列变换,把口令转化以后对它的摘要进行传送。通过这种认证机制,可以避免攻击者通过某种攻击手段来获取口令。即使经过多次攻击,也无法进行破译。即使是这样,仍然不能保证摘要认证的足够安全。和普通的认证方法一样,这种方法也可能受到中间者的攻击。要想更进一步确保口令安全,最好就是把HTTP的安全认证方式与Kerberos服务方式充分结合起来。
(三)IP中的身份认证
IP中的身份认证IP协议出于网络层,因此不能获取更高层的信息,IP中的身份认证无法通过基于用户的身份认证来实现。主要是通过用户所在IP地址的身份认证来实现。IP层的认证机构既要确保信息在传递过程中的数据完整性,又要确保通过数据组抱头传递的信息的安全性。IPSec就是IP安全协议的简称,主要功能就是维护网络层的安全和网络成以下层的安全。通常情况下,它提供两种安全机制。第一种是认证机制,通过这种认证机制,可以确保数据接收方能够识别发送方的身份是否合法。而且还可以发现信息在传输过程中是否被恶意篡改;第二种是加密机制,通过对传输数据进行数据编码来实现数据的加密机制。从而可以保证在信息的传递过程中,不会被他人窃取。IPSec的认证报头(Authentication Header AH)协议定义了认证的应用方法,封装安全负载(Encapsu-lating Security Payload,ESP)协议定义了加密和可选认证的应用方法。应用到具体的通信中去,需要根据实际情况选择不同的加密机制和加密手段。AH和ESP都可以提供认证服务,相比较而言,AH提供的认证服务要强于ESP。
三、身份认证技术讨论
身份认证技术讨论,在前面几部分内容中,对身份认证技术进行了理论分析和总结,并对他们的原理、机制和优缺点进行了比较。这里将根据自己的理解,深入考虑通过其他途径来实现身份认证。数字签名首先要保证身份验证者信息的真实性,就是要确保信息不能伪造,这种方法非常类似于身份认证。身份认证的主要目的是要确保被认证者的身份和权限符合。因此,这里考虑通过数字签名来实现身份认证。这里的技术难点就是必须要预先进行分发密钥。如果不能提前进行密钥分发,就不可能实现数字签名。综上可以看出,身份认证在整个安全要求中是首先要解决的技术问题。
参考文献:
[1]William Stallings,孟庆树等.密码编码学与网络安全――原理与实践(第四版)[M].电子工业出版社,2006,11
[2]袁德明.计算机网络安全[M].电子工业出版社,2007,6
[3]杨英鹏.计算机网络原理与实践[M].电子工业出版社,2007,9
[4]李忠献.认证理论与技术的发展[J].电子学报,1999
关键词:身份认证 手机 数字证书 蓝牙传输协议
中图分类号:TP39文献标识码:A 文章编号:1007-3973 (2010) 05-044-02
1前 言
随着信息与计算机网络技术的发展,人类已经迎来了信息时代。互连网的发展大大的改变了人们的生活。然而随着这些新技术的日益普及,爆发出来的信息安全问题也越来越突出。在享受互连网带给人们便捷的同时,这把双刃剑也让人们感受到了严峻的考验。大量的通过计算机网络所实施的犯罪行为,让人们防不胜防。人们有必要对采用更为安全的技术手段来保护自己的敏感信息和交易不被未经过授权的他人截获和盗取。其中最重要的一个措施就是采用身份认证技术。
2 常见身份认证方式分析
身份认证的范围较广,没有统一的分类方法,根据身份认证的发展情况和认证方式的不同可以大致分为以下几类:
2.1用户名+口令的认证方式
这是最简单,最容易实现的认证技术,其优点在于操作简单,不需要任何附加设施,且成本低速度快。但是其缺点是安全性差,属于单因子软件认证的方式。抗猜测攻击性差,系统保存的是口令的明文形式,一旦被攻破,系统将受大极大威胁。这种认证方式属于弱认证方式。
2.2 依靠生物特征识别的认证方式
生物特征识别的认证方式,是为了进行身份识别而采用自动化技术测量人的生物特征,并将该特征与数据库的特征数据进行比较,从而完成身份识别的方式。因为不同的人具有的相同的生物特征的可能性是可以忽略不计的。所以从理论上来说,生物特征识别方式是最可靠的身份识别方式。它是以人的唯一的,可靠的,稳定的特征为依据的。目前比较成熟的可用于计算机系统的生物特征识别技术有:
(1)指纹身份认证技术。通过分析指纹的全局或者局部特征,抽取详尽的特征值来确认身份;
(2) 声纹身份识别技术。也称语音身份识别技术;
(3)虹膜身份认证技术。虹膜是人眼瞳孔和眼白之间的环壮组织。是人眼的可视部分。是最可靠的人体终身身份标识。虹膜识别在采集和精准度方式具有明显的优势;
(4)签名身份认证技术。是将人的手写速度,笔顺,压力和图象等人的个性化特征进行比对。是全新的生物特征认证技术。它不用记忆,方便,易为人接受。可用于计算机登录,信息网如网,信用卡签字等等。
生物特征识别的认证方式,虽然具有,不易遗忘丢失,防伪性能好,随是随地可用,不易伪造或者被盗等优点。但是它还有一系列暂时不能克服的缺点。表现在;技术不完全成熟,生物识别的准确性和稳定性急待提高。研发成本高,产量小和识别设备成本高,现阶段难以推广和大规模应用,对识别正确率没有确切的结论,难以做到真正的唯一性,和安全性。
2.3基于Kerberos的认证方式
Kerberos是一种秘密密钥网络认证协议。是由美国麻省理工学院(MIT)开发的一项身份认证技术。它的思路对后来的身份认证研究产生了很大的影响。它使用了数据加密标准DES(Data Encryption Standard)加密算法来进行加密和认证。Kerberos 设计的主要目的是解决在分布网络环境下,服务器如何对使用某台工作站接入的用户进行身份认证。Kerberos的安全不依赖于用户登录的主机,而是依赖于几个认证服务器。分别是:认证服务器(AS),用于验证用户登录时的身份。票据发放服务器(TGS),发放身份许可证明。服务提供服务器(Server),客户请求工作的执行者。
如下图所示:
基于Kerberos认证方式的缺点:
(1) 它是以对称的DES加密算法为基础,这使得在密钥的交换,保存,管理上存在着较大的安全隐患。
(2)Kerberos不能有效的防止字典攻击。并且防止口令猜测攻击的能力是很弱的。因为Kerberos的协议模型未对口令提供额外的保护。黑客或者攻击者可以收集大量的许可证,通过有些计算和密钥分析,进行口令猜测。倘若用户选择的口令不强,则容易被攻破。
(3)Kerberos协议最初设计是用来提供认证和密钥交换的。不能用它来进行数字签名,没有提供不可抵赖性的机制。
(4)在分布式系统中,认证中心错终复杂,域间的会话密钥太多,给密钥的管理,分配带来麻烦。
2.4基于PKI的身份认证方式
PKI(Pubic Key Infrastructure)公钥基础设施是一种遵循一定标准的密钥管理平台。能够为目前所有的网络应用透明的提供采用加密和数字签名等密码服务所必需的密钥管理和证书管理。它是现代电子商务和信息安全系统的主要技术之一。PKI做为新发展的安全技术和安全服务规范。不仅能确保网络数据的机密性,完整性,可用性,同时也可以解决通信双方身份的真实性问题。基于PKI的数字证书认证方式可以有效的保护用户的身份安全和数据安全。在基于证书的安全通信中,数字证书是证明用户身份合法和提供合法公钥的凭证。是建立保密通信的基础。因此数字证书的存储与管理显得非常重要。本文正是在PKI体系的基础上利用手机做为数字证书的载体,来实现对用户身份的认证。
3基于手机的身份认证方式
基于手机的身份认证是基于PKI的身份认证方式的一种改进或者说发展。为了更方便的说明这种认证方式的意义以及原理,特从以下几个方面进行分析。
3.1现实需求分析
基于PKI的身份认证方式是现阶段公认的保障信息网络社会安全的最佳体系,是信息安全的核心。数字证书的权威性和不可否任是PKI体系的基础。目前,国内外通常的做法是利用USBKey 做为数字证书的载体。例如中国建设银行使用的网银盾,中国工商银行推出的U盾等。他们都是将数字证书存储在USB Key中。其优点是较为安全可靠。但其缺点是管理较为麻烦,携带起来容易丢失。另外由于其工作原理是将数字证书固化在U盘里,证书不能实现远距离更新,实际使用起来,还是比较麻烦。目前很多公司和机构都开始研究下一代的证书存储工具。本论文正是在这样一个现状探索性采用人们常用的手机来作为数字证书的存储和管理工具。并以此展开思考和研究。
3.2理论基础
PKI(Public Key Infrastructure )公钥基础设施,它是一种遵循既定标准的密钥管理平台,它能够为所有网络应用提供数据加密和数字签名等密码服务及所必需的密钥和证书管理体系一种重要的身份认证技术。是简单来说,PKI就是利用公钥理论和技术建立的提供安全服务的基础设施。PKI技术是信息安全技术的核心,也是电子商务的关键和基础技术。PKI以公钥密码技术为基础,数字证书为媒介,结合对称加密和非对称加密技术,将个人的标识信息与各自的公钥绑在一起,其主要目的是通过管理密钥和证书,为用户建立起一个安全、可信的网络运行环境,使用户可以在多种应用环境下方便地使用加密和数字签名技术在客户端上验证用户的身份,从而保证了互联网上所传输信息的真实性、完整性、机密性和不可否认性。
3.3 研究方案及系统组成
计算机要能准确认证用户的身份,必须能准确的识别用户手机中的数字证书。其中将数字证书从手机中导入到计算机上中是借助蓝牙技术(也可以是红外技术)提供的数据传输通道。并且因为数字证书是通过蓝牙技术无线传输的,必须给这个通道加密,防止被非法用户窃取。系统组成如下图所示:
3.4关键问题及其解决方案
3.4.1系统中的关键问题
基于手机的身份认证是依赖于手机这个载体,以数字证书为媒介,最终需要保证计算机对手机中的数字证书准确识别。并且整个信息交换不被非授权的第三方截获。因此整个系统有以下两个关键问题。
(1)数字证书在手机中的安全性问题。数字证书是存放在手机的SD卡上的,要保证数字证书能方便的写入到SD卡中,并使其具有加密功能,在遗失,被盗的情况下仍能确保数字证书不被非法利用。
(2)计算机要识别手机上的数字证书,或者说信息要在手机和计算机之间安全传递,必须有一个安全的通道。虽然可以借助他们本身都带有的蓝牙功能,并且蓝牙具有抗干扰性强,成本低的特点。但是仍不能保证信息传递的绝对安全。还需要设计一传输协议来给他们之间的信息传递提供一个安全通道。
3.4.2关键问题的解决方案
(1)对于数字证书在手机中安全存储的问题,可以考虑采用加密SD卡的方法。Sandisk 公司近期研发了一种称为TrustedFlash 的新技术,可以在SD,Micro SD卡上实现加密。
a.安全加密:根据需要,可设定不同的加密方式和权限,支持采用AES,DESB和3DES的对称密钥身份验证及基于X。509证书链的RSAC非对称密钥身份验证。
b.支持数字版权管理(DRM):可在支持硬件加密技术的不同主机间实现移动。
c.具有硬件加密技术的主机向下兼容常规的存储卡,而硬件加密卡在非保护区域也可作为常规卡使用。
d.主机(如手机)只需要升级软件来支持硬件加密技术,不需要增加和更改硬件。主要应用于数据安全存取,身份认证及移动电子商务。
(2) 对于传输通道的设计。可以借鉴当前的密码协议SSL协议。SSL即安全套接字层(Secure Socket Layer)。它是网景公司(Netscape)开发的,主要应用于保障Internet上数据传输之安全。SSL协议可以分为两层:SSL记录协议和SSL握手协议。提供主要服务有:①认证用户和服务器,确保数据发送到正确的客户机和服务器;②加密数据以防止数据中途被窃取;③维护数据的完整性,确保数据在传输过程中不被改变。认证工作流程为:1)客户端(C)向服务器(S)发送一个会话请求信息“你好”2)服务器根据客户的信息确定是否需要生成新的主密钥,如需要则服务器在响应客户的“你好”信息时将包含生成主密钥所需的信息;3)客户根据收到的服务器响应信息,产生一个主密钥,并用服务器的公开密钥加密后传给服务器;4)服务器恢复该主密钥,并返回给客户一个用主密钥认证的信息,以此让客户认证服务器。同样手机和计算机之间的通信过程和上面相似。只是SSL是同过有线连接传递数据,而本系统是通过蓝牙技术无线传递,其工作原理完全相同。
4小结与展望
本文开头阐述了常见的身份认证的方式,并分析了它们的优缺点。 目的是为了说明基于手机的身份认证在整个身份认证体系中所在的位置。随着手机业务的不断发展。现在的手机已经不仅是局限于传统的通话业务。越来越多的智能手机投入市场。它们大多可以安装小型的操作系统具有较强的处理能力,如Symbian 、Windows mobile、Linux等手机操作系统。这就为基于手机的身份认证提供了很好的工具和平台。可以预见USBKEY的功能将会被手机取代。基于手机的身份认证技术将能更好的服务于人民的生活。
参考文献:
[1]冯国柱. PKI关键技术研究及其应用[D].长沙:国防科学技术大学,2006.
[2]赵小沫. 基于SSL的数据库安全研究及实现[D]. 武汉:武汉理工大学,2009.
关键词:口令认证;智能卡;生物特征;身份认证技术;事件同步技术
中图分类号:TP316
文献标识码:A
文章编号:1009-2374(2011)22-0036-02
身份认证是网络安全的第一道防线,也是最重要的屏障,网络中的各种应用和计算机系统都需要通过身份认证来判断当前用户是否合法,确定用户的身份,从而使合法用户获得的相应访问权限。对于不合法用户则拒绝访问。本文主要针对身份认证技术和优劣作简要分析。
一、身份认证的原理分析
身份认证技术主要是基于这四个要素:
“你所知道的”,如密码、口令、知识等;“你所拥有的”,如一个动态口令卡、一个IC卡、令牌或USBKEY等;“你是谁”,如指纹、脸像、虹膜、声音、笔迹等;“你所处得位置”,如地理位置、IP地址等。
本文讨论的动态口令身份认证、智能卡身份认证、基于地址的认证、IBE身份认证、生物特征识别技术,都是基于这几个要素或是在这几个要素的基础之上,相互结合发展而来。
(一)简单口令认证
简单口令认证是基于“你所知道的”最常见的认证技术,它以用户名/密码形式来对用户进行身份认证,只要用户输入正确密码,就判断为合法用户,如图1所示:
简单口令认证大多采用的是静态密码作为认证的基本因素,静态密码适用在对安全性要求不高的环境中,对于封闭的小型系统来说不失为一种简单可行的方法。
(二)动态口令认证
动态口令认证是一种一次性口令,为了解决静态口令安全性问题,动态口令技术让用户的密码按照时间或使用次数不断动态变化,每个密码只使用一次。动态口令技术主要分两种:同步口令技术和异步口动态令牌,其中同步口令技术又分为时问同步和异步口令技术。
时间盟同步技术采用动态令牌的专用硬件、内置、密码生成芯片和显示屏,密码生成芯片运行专门的密码算法,根据当前时问或使用次数生成当前密码并显示在显示屏上,认证服务器采用相同的算法计算当前的有效密码。用户使用时只需要将动态令牌显示的当前密码输入客户端计算机即可实现身份的确认。由于每次使用的密码验证通过就可以认为该用户是可靠的,用户每次使用的密码都不相同,即使黑客截获了一次密码,也无法利用这个密码仿冒合法用户的身份,动态口令技术采用一次一密的方法,有效地保证了用户身份的安全性。
事件同步技术,它不同于时间同步技术,它通过某一特定的事件次序及相同的种子值作为输入,在算法中运算出一致的密码,事件动态口令技术让用户的密码按照使用次数不断动态变化,用户每按下一次令牌就产生一次密码。
如图2所示,用户令牌用预设的密钥与用户按键的次数通过密码算法生成所需的口令,认证服务器同时根据每次用户登录事件计算出相同密码,与传过来的口令进行比较,以确认登录人的身份。
(三)基于智能卡的身份认证
已经应用很广泛,如USBKEY、SIM卡、SD卡等。智能卡的身份认证主要是利用了智能卡本身具有的运算能力以及智能卡与外界隔离的存储。下面以USBKEY讲述智能卡认证方式,当需要在网络中验证客户身份时,先由客户端向服务器发出一个验证请随机数求,服务器收到此请求后,生成一个随机数,将此随机数传给客户端,客户端将此随机数通过USB接口传给USBKEY硬件,USBKEY将此随机数与本身存储的密钥和在一起,进行散列运算得到一个结果,再将该结果作为认证数据传送给认证服务器;与此同时服务器也将产生的随机数与存放在服务器端的客户密钥进行相同的散列运算,并将得到的结果与客户端传送来的结果进行比较,如果相同则认为客户端是一个合法用户。
由于散列的运算及密钥读取等相关操作只会在USBKEY设备和服务器中进行,不会在客户端留下任何痕迹,同时,所使用的算法是不可逆算法,也就不用担心在客户端木马病毒、黑客等因素。密钥的安全性取决于算法的强度,又由于使用了动态密码算法,因此,大大提高了这种应用的安全性。但此种方式仍然无法保护用户数据网络传输过程的安全。
(四)生物特征识别技术
生物识别技术是利用每个人所具有的唯一生理特征。一般可用于身份识别的特征有指纹、脸像,虹膜、掌纹、声音、视网膜和DNA等人体的生理特征,以及签名、步态等行为特征。
这些生物特征具有稳定性、唯一性、方便性、不易遗忘等特点。不同的生物识别认证的原理大致相同,一般的结构如图3所示。模板数据库中存放了被认证方的特征数据。用户登录时,由传感器对用户的特征进行采集、量化,通过特征提取模块提取用户的特征码,再与模板数据库中存放的掌纹数据以某种算法进行比较,如果相符,则认证通过。
二、不同技术的优势
简单口令认证的优点简单易行,尤其成本低,适合安全性要求不高的小型系统。动态口令是随机的,口令不可预测并且口令不能重复使用,即使被窃听,也不会造成很大的损失。不过动态口令实现复杂,应用技术不够成熟,在解决同步问题上不够完美。智能卡实现成本低,使用方便、可靠性强,可以很好的与现有的其它认证技术相结合。生物特征识别的优点:不易遗忘,不易丢失;防伪性能好,不易伪造;使用方便,
“随身携带”,随时随地都可以使用。
三、结语
本文讨论目前比较主流的几种身份认证技术,分析了每种技术的优势,身份认证技术在网络安全中发挥着重要的作用,随着internet的发展,尤其电子商务和电子政务的迅速发展,对通信安全的要求越来越高,认证技术在理论和技术上将得以更快、更好的发展。
参考文献
[1]刘知贵.基于事件同步及异步的动态口令身份认证技术
研究[J]计算机应用研究,2006,(6).
[2]罗斌.网络身份认证新技术[J].计算机安全,2005,(1).
[3]吴东生以指纹特征为基础的网上金融及商务身份认证
关键词 身份认证 PKI IBC
中图分类号:TP393.08 文献标识码:A
身份认证是一个系统安全最为重要的问题。只有在通过安全的身份认证基础上,才可能进行安全可靠地传递信息和共享网络资源。用户和系统一般是通过三种方法来证明他们的身份,即用户所知道的、用户所拥有的和用户的特征。身份认证根据其实现方式的不同可以分为三类,即单向认证(One-Way Authentication)、双向认证(Two-Way Authentication)和信任的第三方认证(Trusted Third-Party Authentication)。每一种实现方式又根据所基于的密码体制不同采用对称密码或非对称密码来实现。下面重点分析和讨论非对称密码体制下基于PKI(Public Key Infrastructure,公钥基础设施)和基于IBC(Identity-Based Cryptography,基于身份的密码技术)的身份认证技术。
1 基于PKI的认证技术
PKI是指用公钥的概念和技术来实施和提供安全服务的具有普适性的安全基础设施。在PKI中,通过CA认证中心将用户的身份标识信息(用户名称、身份证号等)与其公钥绑定到一起,从而可以实现网络环境中身份认证的功能。PKI提供一系列支持公钥密码的应用(加密、解密、签名与验证等)。其所能支持的安全服务功能主要有:身份认证、数据完整性验证、数据机密性以及不可抵赖性等。PKI的目标就是通过借助公钥密码学的理论基础,管理密钥的生成、存储以及公钥证书的安全性等,为各种网络应用提供全面的安全服务,从而能够有效地实现用户身份的认证性和数据的机密性、完整性、有效性等。一个完整的PKI系统,其逻辑结构如图1所示。
2 基于IBC的认证技术
基于身份的公钥密码技术IBC(Identity-Based Cryptography)是Shamir首次提出的,与基于PKI和数字证书等认证方案不同,IBC认证技术的核心思想是系统中不再使用证书,而是通过三种密钥,即系统主密钥、用户公钥和私钥,即可完成认证。用户的公钥是通过提取用户的身份信息,如姓名、IP地址、邮箱地址等生成的,私钥可由称为私钥生成器PKG(Private Key Generator)的可信第三方计算得到并通过安全信道传送给用户。这种身份认证思想实现了公钥与认证实体身份进行绑定,使得认证双方在不需交换公钥的情况下即可完成认证,简化了传统公钥密码系统中密钥管理及其带来的成本开销问题。IBC密码技术可以广泛的应用在云计算、物联网、电子商务、电子政务等领域。在国外,IBC技术被广泛用于世界五百强企业的加密电子邮件。IBC在美国的电子商务领域已经成为销售终端POS(Point of Sale)和清算中心间保护信用卡信息的主流技术之一。一个简单的IBC系统结构如图2所示。
3 基于PKI与基于IBC认证的比较
基于PKI和基于IBC的认证虽然都是基于公钥密码体制下的认证技术,但是两者在很多方面具有很大的差异。基于IBC的认证方案和基于PKI的认证方案相比有几个显著的特点:无证书、基于身份的密码机制、密钥使用和管理的便捷性。两者在很多方面还存在很大的差异,具体差异对比如表1所示。
参考文献
关键词:智能电网;身份认证技术;访问控制技术;信息安全
中图分类号:TP393.08;TM76
在提出的“智慧能源”这种新形势下,智能电网在快速发展的同时,确保设备的有效接入控制从而实现整个系统的信息安全成为了一个关键点。
早在1997年,IEC就意识到安全问题的重要性,创建了组织并开始进行主题为“电力系统控制及其相关的通信问题数据和通信的安全性”的研究。该组织于2007年了IEC62351,并把它作为电力系统运行的数据和通信安全方面的标准,其中涵盖消息认证和访问控制相关的技术。随着知识的丰富和技术的发展,国内外涌现出一些把新型技术应用于智能电网从而在保证系统安全的同时有效提高设备利用率,降低网络带宽的想法和理论,身份认证和访问控制技术随之得到了的发展。
1 信息安全技术
1.1 身份认证技术
身份认证技术主要通过对于接入的用户进行身份认证来保证接入的可靠性和安全性,其主要分为两大类:基于实体的身份认证和基于密码学的身份认证[1]。
基于实体身份认证在局域网或单机上比较安全,主要有口令认证、动态口令认证、智能卡认证和生物特征认证等。
基于密码学的身份认证技术其研究成果主要有对称加密技术、公钥基础设施技术、基于身份的加密算法技术和基于分层的身份加密算法技术等。
1.2 访问控制技术
访问控制技术主要用来通过某种途径,允许或限制访问能力以及其范围。访问控制模型[2]已经有了一段发展历程。自主访问控制(DAC)模型、强制访问控制(MAC)模型以及基于角色的访问控制(RBAC)模型及为最早期的研究成果。
随着数据库、网络和分布式计算的发展,学者对于基于任务的访问控制(TBAC)模型、基于分布式和跨域的访问控制模型和基于时空的访问控制模型进行研究,它们均为发展中的访问控制模型。现如今,一些新型的访问控制模型进入人们的视线,其大致分为基于信任的访问控(TrustBAC)模型、基于属性的访问控制(AtBAC)模型和基于行为的访问控制(AcBAC)模型。
2 身份认证和访问控制技术在智能电网中的应用
国家电网把电力系统信息化应用大致分为三个大类[3]:安全控制区、信息管理区和公共服务区。
2.1 身份认证和访问控制技术在智能电网系统的应用领域
在安全区I中,通常使用身份认证与访问控制技术来保证对电网进行监视、分析和控制的安全。例如智能变电站与主站调度自动化系统、光伏发电机配网系统中前置机与主站配网自动化系统等通信,系统均要进行双向身份认证;当配网自动化系统中通信主站与子站以及子站与终端进行通信时,系统会进行身份认证和访问授权控制。
信息管理区的各子系统中分别设计安全接入平台[4](系统和安全接入平台的接入与组成如图1所示)。其中,安全接入网关系统使用身份认证和访问控制保证终端接入的安全,身份认证服务器进行身份认证的仲裁且担负访问控制权限下发的责任。
2.2 一种新型的基于Chebyshev多项式身份认证方案设计
在智能电网中,根据加密方式的不同以及密钥管理控制的不同出现多种身份认证方案,本文基于文献[5]介绍的身份认证算法设计了一种基于Chebyshev多项式的身份认证技术,试将其应用到智能电网中。在其结合硬件,应用在智能电网的安全平台接入区时的具体流程如图2所示。
此种身份认证应用在智能电网之后:
(1)客户端和服务器端会话密钥的生成时基于Chebyshev多项式的半群特性,密钥在身份认证的过程中即可自动生成,解决了密钥分发为电力系统带来的超负荷,提高了系统的运行效率。
(2)因网络时延,原始系统得不到认证之后会不停的发送访问请求数据;新方案采用时钟同步的方法,不会产生上述现象,在一定程度上降低了网络带宽。
(3)原始方案中在已加密文字的情况下,会有进行穷举攻击等现象发生的可能性。新方案可以抵抗多类型攻击,提高了智能电网的信息安全性。
3 总结与展望
本文在已有的智能电网中身份认证和访问控制方案的前提下,提出了一种新型改进的设计方案,理论上改进后的方案能够有效的保证智能电网的信息安全。但该方案的提出并未得到广泛的应用实现,在实际的工作中,我们仍需从多方面来设计更为安全可靠的方案,实现智能电网的信息安全。
参考文献:
[1]Leslie Lamport. Password Authentication with Insecure munications of the ACM,1981,24(11):770-772.
[2]任海鹏.访问控制模型研究现状及展望[J].计算机与数字工程,2013,41.
[3]梁潇,白云,李旻,柴继文.基于公网的智能电网业务系统信息安全研究[Z].2012年电力通信管理暨智能电网通信技术论坛,北京,2012.
[4]于翔.扬州智能电网信息平台的安全防护研究[D].北京:华北电力大学,2012.
[5]李旭飞,赵耿,孙锦慧,陶涛.新型基于Chebyshev多项式的身份认证方案[J].计算机应用研究,2013(6):1841-1846.
