身份认证技术的新手段.pdfVIP

身份认证技术的新手段 方勇乇风池亚萍 (北京电子科技学院) 摘要：本文论述了口令身份认证技术存在的问题，对身份认证技术进行了详细分类， 重点描述了usBkev的技术性能、特点及应用方法，及其在身份认证中的应用优势。 一、前言 身份认证是用来识别合法用户和非法用户的唯一技术，是赋予用户访问权限的依据， 是进入网络的第一道关卡，所以身份认证技术，是网络安全技术的核心技术，长期以来． 人们一直在努力改进和发明新的身份认证技术。 二、口令身份认证 口令身份认证是最古老也是最实用的身份认证技术．也是攻击者最容易攻击的目标， 因为用户经常用用户名(帐号)作为口令．用户名(帐号)的变换形式作为口令，使用生日作为 口令，用常用的英文单词作为口令，用5位或5位以下的字符作为口令，很多黑客都以此 作为突破口，有很多口令破译的黑客软件。 所以用户在设置口令时应遵循如下原则：口令应该包括大小写字母，有控制符更好；口令 不要太常规疸保守口令秘密并经常改变口令：最糟糕的口令是具有明显特征的口令，不要循 环使用旧的口令：至少每九十天把所有的口令改变一次．对于那些具有高安全特权的口令更应 该经常地改变：应把所有的缺省都从系统中去掉，如果服务器是有某个服务公司建立的，要 注意找出类似GuEs 个错误的口令就应断开系统连接：应及时取消谓离或停止工作的雇员的帐号以及无用的帐 号；验证过程中．口令不得以明文方式传输；口令不得以明文方式存放在系统中，确保口令以 加密的形式写在硬盘上并包含口令的文件是只读的；用户输入的明文口令，在内存逗留的时间 尽可能缩短，用后及时销毁；一次身份验证只限于当次登录(109in)，其寿命于会话长度相等；除 用户输入口令准备登录外，网络中的其他验证过程对用户是透明的。 我们之所以如此强调口令设置的重要性，是因为关于网站安全调查的结果表明：超过 80％的安全侵犯都是由于选用了拙劣的口令而导致的。这样．我们可以推断，80％的入侵可 以通过选择好的口令来阻止。 口令身份认证技术是最基本，也是比较有效的方法，但在某些场合．采用简单的口令 身份认证技术就显得事单力薄，还必须采用更加有效的身份认证技术措施。 三、身份认证技术分类 身份认证技术技术可以分为三大类： 固定密码的身份认证 动态密码身份认证 数字证书认证 固定密码的身份认证有多种技术实现，如前面提到的口令认证协议PAP(P∞s、vord atlon Authentic ProtocoI)，人体指纹等生理认证方式等：动态密码身份认证现在协议较多， 如动态口令，cHAP，EcHAP等：数字证书认证是当今电子商务核心技术。 不R的j立用场合应采用不同的身份认证技术。固定密码身份认证与动态密码身份认证 主要用于政府企业内部网络或借助于互连网连接的专用网络(不需要经过第三方认证的系 统)，而数字证书认证能够解决跨部门、跨企业的业务往来(需要第三方认证仲裁)的认证 问题。固定密码身份认证技术优点在于其协议简单，容易实现，易于管理．而其缺点是在 同一系统内．预先在认证中心登记。认证中心保留与用户相同的秘密信息，容易遭受穷举 i73 令．动态密码身份认证技术优点在于可靠：用户每一次登录网络的密码都不一样，杜绝了 因在网络上窃听密码而造成的系统不安全。其缺点是在同一系统内．预先在认证中心登记． 。 认证中心保留与用户相同的秘密信息。 数字证书身份认证技术优点比较明显：相互通信的双方不需要预先有任何的约定．更 适用于电子商务环境．数字证书身份认证的关键是建立证书中心(cA)．即公钥密码证书 管理中心。是公钥密码技术得以大规模应用的前提条件。公钥密码算法在密钥自动管理、 数字签名、身份识别等方面是传统对称密码算法所不可代替的一项关键技术。尤其在当前 迅猛发展的电子商务中，数字签名是电子商务安全的核心部分。公钥密码算法用于数字签 名时须借助可信的第三方对签名者的公开密钥提供担保，这个可信的第三方就是cA。因 此，建立cA是开展电子商务的先决条件。另外，cA还可为各种基于公钥密码算法建立的