网络通信中身份认证机制地研究.pdfVIP

V01．45 第45卷增刊 中山大学学报(自然科学版) Sup． ACTA NATURALIUMuNIVERSITArI’ISSUNYATSENI 2006 2006年5月 SCIENTIARUM May 网络通信中身份认证机制的研究+ 李冬冬，童新海，吴科科 (北京电子科技学院电子信息工程系，北京100070) 摘 要：身份认证是实现网络通信安全的重要机制之一。在安全的网络通信中，涉及的通信各方必须通过某种 形式的身份验证机制来证明他们的身份，验证用户的身份与所宣称的是否一致，然后才能实现对于不同用户的 访问控制和记录。本文首先介绍身份认证的基本思想，接下来讨论了动态口令、kerberos、数字证书等身份认证 机制，并对其安全性进行分析。 关键词：网络安全；身份认证；动态口令；Kerberos协议；数字证书 中图分类号：TP393文献标识码：A 文章编号：0529-6579(2006)S1-0176-04 随着互联网技术的不断发展和各种网上业务 为了解决传统的基于静态口令的认证方法中存 (例如电子商务和电子政务)的广泛开展，越来越 在的安全问题，人们提出了双因子身份认证机制， 多的人通过计算机网络通信来获得服务或者提供服 即在静态密码的基础上，增加一个物理因素，从而 务。在这种网络通信环境中，如何确定通信各方的 构成一个他人无法复制和识破的安全密码。最常见 身份避免网络欺骗行为的发生是需要考虑的最基本 的物理因素有：生物特征和智能卡。前者因技术及 的问题。 设备的复杂性而只在某些特殊的领域中使用；后者 在安全的网络通信中，涉及通信的各方必须通 是目前应用的最广泛的双因子身份验证机制，又称 过某种形式的身份验证机制来证明他们的身份。这 动态口令验证机制。 1．2身份认证协议 个证明过程包含身份识别(Identification)和身份 在计算机网络通信中，认证通常由认证协议来 认证(Authentication)两项工作，身份识别是指用 户向系统出示自己的身份证明过程，身份认证是系 实现。一个认证协议是一个精确定义的通信和计算 统查核用户的身份证明过程，即证实主体的真实身 步骤的序列，其中通信步骤把消息从发送方传到接 份与其所声称的身份是否相符的过程。通俗的讲就 受方，计算步骤更新通信方内部的状态。在协议完 是出示身份证明和验证身份的过程。这个过程必须 成时，即可确定是验证成功还是验证失败…。 做到准确无误地将通信的对方辨认出来，同时还应 认证协议可以分为双向认证协议和单向认证协 该提供双向的认证，即相互证明自己的身份。 议。双向认证协议是最常用的协议，它使得通信双 方互相认证对方的身份。单向认证协议是通信的一 1 身份认证的基本思想 方认证另一方的身份，比如服务器在提供用户申请 1．1 身份认证的基本方法 的服务之前，先要认证用户是否是这项服务的合法 对用户的身份认证通常有三种基本方法：验证 用户，但是不需要向