浅谈常见身份认证技术.docVIP

浅谈常见身份认证技术 　　摘要：随着internet的发展，对通信安全的要求越来越高，身份认证技术也越来越受到重视。身份认证是网络安全的重要保障，文章针对几种主流身份认证技术原理进行了分析，并比较了其具备的优势和所存在的问题。 　　关键词：口令认证；智能卡；生物特征；身份认证技术；事件同步技术 　　中图分类号：TP316 　　文献标识码：A 　　文章编号：1009-2374(2011)22-0036-02 　　身份认证是网络安全的第一道防线，也是最重要的屏障，网络中的各种应用和计算机系统都需要通过身份认证来判断当前用户是否合法，确定用户的身份，从而使合法用户获得的相应访问权限。对于不合法用户则拒绝访问。本文主要针对身份认证技术和优劣作简要分析。 　　一、身份认证的原理分析 　　身份认证技术主要是基于这四个要素： 　　“你所知道的”，如密码、口令、知识等；“你所拥有的”，如一个动态口令卡、一个IC卡、令牌或USBKEY等；“你是谁”，如指纹、脸像、虹膜、声音、笔迹等；“你所处得位置”，如地理位置、IP地址等。 　　本文讨论的动态口令身份认证、智能卡身份认证、基于地址的认证、IBE身份认证、生物特征识别技术，都是基于这几个要素或是在这几个要素的基础之上，相互结合发展而来。 　　(一)简单口令认证 　　简单口令认证是基于“你所知道的”最常见的认证技术，它以用户名／密码形式来对用户进行身份认证，只要用户输入正确密码，就判断为合法用户，如图1所示： 　　 　　简单口令认证大多采用的是静态密码作为认证的基本因素，静态密码适用在对安全性要求不高的环境中，对于封闭的小型系统来说不失为一种简单可行的方法。 　　(二)动态口令认证 　　动态口令认证是一种一次性口令，为了解决静态口令安全性问题，动态口令技术让用户的密码按照时间或使用次数不断动态变化，每个密码只使用一次。动态口令技术主要分两种：同步口令技术和异步口动态令牌，其中同步口令技术又分为时问同步和异步口令技术。 　　时间盟同步技术采用动态令牌的专用硬件、内置、密码生成芯片和显示屏，密码生成芯片运行专门的密码算法，根据当前时问或使用次数生成当前密码并显示在显示屏上，认证服务器采用相同的算法计算当前的有效密码。用户使用时只需要将动态令牌显示的当前密码输入客户端计算机即可实现身份的确认。由于每次使用的密码验证通过就可以认为该用户是可靠的，用户每次使用的密码都不相同，即使黑客截获了一次密码，也无法利用这个密码仿冒合法用户的身份，动态口令技术采用一次一密的方法，有效地保证了用户身份的安全性。 　　事件同步技术，它不同于时间同步技术，它通过某一特定的事件次序及相同的种子值作为输入，在算法中运算出一致的密码，事件动态口令技术让用户的密码按照使用次数不断动态变化，用户每按下一次令牌就产生一次密码。 　　如图2所示，用户令牌用预设的密钥与用户按键的次数通过密码算法生成所需的口令，认证服务器同时根据每次用户登录事件计算出相同密码，与传过来的口令进行比较，以确认登录人的身份。 　　 　　(三)基于智能卡的身份认证 　　已经应用很广泛，如USBKEY、SIM卡、SD卡等。智能卡的身份认证主要是利用了智能卡本身具有的运算能力以及智能卡与外界隔离的存储。下面以USBKEY讲述智能卡认证方式，当需要在网络中验证客户身份时，先由客户端向服务器发出一个验证请随机数求，服务器收到此请求后，生成一个随机数，将此随机数传给客户端，客户端将此随机数通过USB接口传给USBKEY硬件，USBKEY将此随机数与本身存储的密钥和在一起，进行散列运算得到一个结果，再将该结果作为认证数据传送给认证服务器；与此同时服务器也将产生的随机数与存放在服务器端的客户密钥进行相同的散列运算，并将得到的结果与客户端传送来的结果进行比较，如果相同则认为客户端是一个合法用户。 　　由于散列的运算及密钥读取等相关操作只会在USBKEY设备和服务器中进行，不会在客户端留下任何痕迹，同时，所使用的算法是不可逆算法，也就不用担心在客户端木马病毒、黑客等因素。密钥的安全性取决于算法的强度，又由于使用了动态密码算法，因此，大大提高了这种应用的安全性。但此种方式仍然无法保护用户数据网络传输过程的安全。 　　(四)生物特征识别技术 　　生物识别技术是利用每个人所具有的唯一生理特征。一般可用于身份识别的特征有指纹、脸像，虹膜、掌纹、声音、视网膜和DNA等人体的生理特征，以及签名、步态等行为特征。 　　这些生物特征具有稳定性、唯一性、方便性、不易遗忘等特点。不同的生物识别认证的原理大致相同，一般的结构如图3所示。模板数据库中存放了被认证方的特征数据。用户登录时，由传感器对用户的特征进行采集、量化，通过特征提取模块提取用户的特征码