身份认证技术论文范文
身份认证技术论文范文第1篇
关键词:身份认证;安全性
中图分类号:TP393.08 文献标识码:A文章编号:1007-9599 (2011) 19-0000-01
Some Misconceptions on the Security of Authentication Technology
Xu Qiang
(College of Information Engineering,Zhengzhou University,Zhengzhou450001,China)
Abstract:Authentication technology is the basis of the information security system.All kinds of authentication technologies have its own advantages and disadvantages,This paper focuses on the security of authentication technologies that exist in some of the misconceptions.
Keywords:Authentication;Security
一、引言
身份认证技术是指系统确认使用者身份的过程所应用的技术手段,是信息安全的第一道关口,是所有安全的基础。身份认证主要分为三大类:(1)基于所知的认证,如文字列密码等;(2)基于所持物的认证,如IC卡、令牌等;(3)基于生物体征的认证,如指纹、静脉等。每种认证技术都有着各自的优点和缺点,现实中,在一些身份认证技术的安全性上还存在着一定的误解。
二、存在的误解
(一)一次性密码是文字列密码的安全改进技术
为了解决文字列密码的脆弱性问题(容易记的密码容易被攻击者猜测,不易被猜测到的密码往往又难以记忆),提出了很多管理和运用密码的建议。其中,一次性密码方案很好的解决了文字列密码的脆弱性问题。现在主流的一次性密码方案多采用动态密码的方法,用户手持用来生成动态密码的终端,基于时间与认证系统同步方式,间隔固定时间段后生成一次随机密码,密码在一定时间内有效,超时后废弃。
看似一次性密码是优于文字列密码的身份认证技术,其实不然,文字列密码是基于所知的认证技术,而现在主流的一次性密码是基于所持物的认证技术。虽然一次性密码难以被猜测,但是有着所持物认证技术固有的缺点:所持物遗失或者被盗所带来的问题。所以,一次性密码并非文字列密码的改进技术,而是不同类别的身份认证技术。
(二)PKI卡身份认证由于使用了PKI技术,所以比文字列密码安全
PKI是Public Key Infrastructure的缩写,就是利用公开密钥理论和技术建立的提供安全服务的基础设施。PKI卡就是支持公开钥体系的IC卡。
PKI卡身份认证方式比文字列密码的身份认证方式的安全性要高是可以肯定的,这是因为PKI卡身份认证方式属于两要素认证方式(基于所知加上基于所持物的认证),当然比仅基于所知的文字列密码认证方式的安全性要高。虽然PKI技术可以完成加密、数字签名、数据完整性机制、数字信封等功能,但是在身份认证上,PKI卡比文字列密码更安全却并非受益于PKI技术。
(三)不同的认证方式并行使用,可在不降低安全性的同时提高便利性
身份认证需要考虑安全性的同时还要考虑用户认证的可用性和便利性。但是不应该为了提高便利性而降低认证的安全性。
例如,指纹认证与文字列密码认证并用的情况下,比单纯的文字列密码认证要便利。指纹认证不需要记忆难记的密码,认证时,指纹认证也更方便。当指纹认证出现本人据否的情况下,还可以使用文字列密码进行身份认证。扩大了用户的选择,也改善了基于生物体征的认证技术的本人拒否问题,但是,由此带来的后果是安全强度的下降。
多种认证方式并用时,依据“短板理论”,对于不同种类的攻击,安全性由这几种方式中对该种类攻击防御最低的认证方式决定。因此,整体安全强度取这几种方式中的单项最低值,结果是比其中任何一种认证方式的整体安全强度都要低。
(四)图像认证方式在防御窥探攻击和猜测攻击方面不如文字列密码认证方式
在窥探攻击方面,由于图像认证方式使用色彩鲜明的较大的图像作为密码,给人的感觉是比文字列更容易被攻击者偷窥到。实际上,图像认证方式可以利用密码输入方式或模糊图像方式来很好的防御窥探攻击。
在猜测攻击方面,由于感觉图像认证方式中给出的作为密码的图像数比可作为文字列密码的文字数要少,所以认为图像认证方式在猜测攻击方面不如文字列密码认证方式。实际上,是由于文字列密码的脆弱性问题导致了文字列密码易被猜测出,与可用文字数无关。而图像认证方式虽然也有弱密码的问题,但是不存在类似文字列密码的脆弱性问题。另外,在不影响图像识别度的前提下,缩小图像的大小可以增加可用图像的数量,使猜测攻击更难成功。
三、结语
本文立足于各种认证技术的优缺点,着眼于身份认证技术的安全性,对一些容易存在误解的问题进行了探讨。
参考文献:
身份认证技术论文范文第2篇
关键词:信息安全;身份认证;生物特征;组合认证;解决方案;性能分析
中图分类号:TP393.08 文献标识码:A文章编号:1007-9599 (2011) 16-0000-02
Authentication Technology Research Overview
Zhang Yao
(Harbin Normal University,Computer Science and Information Engineering College,Harbin150025,China)
Abstract:Authentication technology is capable of sending and receiving side of information technology to identify the true identity,is to identify,verify that the network information system in the legitimacy and authenticity of the user identity,according to mandate access to system resources,and shut out illegal visitors.This article discusses the field of information security authentication technology status and development trend,for further improving the work has a certain theoretical significance.
Keywords:Information security;Authentication;Biometrics;
Combination of certification;Solutions;Performance analysis
网络认证技术是网络安全技术的重要组成部分之一。认证指的是证实被认证对象是否属实和是否有效的一个过程,常常被用于通信双方互相确认身份,以保证通信的安全。认证技术一般包括两个方面的内容,分别是身份认证和信息认证。身份认证主要是通过对用户身份的鉴别来实现对用户权限的识别,限制低权限或者非法用户的入侵。信息认证主要是用于验证信息是否完整。本论文的研究主要偏重于对身份认证技术及其分析。主要侧重以下几个方面做分析。
一、身份认证的方法分析
身份认证主要是通过分析被认证者的身份、权限等相关的信息。除了认证者本人,任何其他人都无法进行仿造或者伪造身份。如果经过认证,被认证者拥有相关的权限和秘密,那么他就获得了认证。身份认证的主要依据就是被认证方用于证明身份所用有的秘密。每个被认证者所拥有的身份认证秘密不同。常见的身份认证有两种,第一种是基于物理安全性的身份认证方法。第二种是基于秘密信息的身份认证方法。
(一) 基于物理安全的身份认证方法
不同的身份认证方法基于不同的理论,但这些认证方法的共同点就是依据用户知道的秘密信息。和这种认证方法相对照,另外一种利用用户的特殊信息或者硬件信息来进行身份认证的。比如说从生物学角度考虑,利用声音识别进行身份验证,利用指纹进行身份验证,利用人眼的虹膜进行身份验证等。从硬件的角度考虑,常用的认证方法有通过智能卡来进行验证,只有认证者拥有正确的卡,才可以被认证。当然,这种方法也有优缺点,这种智能卡可以有效的阻止和避免人为乱猜口令导致的密码被破解,但也存在着只认卡不认人的缺陷,一旦智能卡因丢失被其他人捡到,则很容易被盗取身份。为防止出现这种情况,现在一般采用智能卡和口令结合的方式,比如现在最常用的银行卡就是这种。
(二)基于秘密信息的身份认证方法
常见的有以下几个方式:
1.通过进行用户口令认证来核对身份信息,在刚建立系统的时候,系统已经预先为具有合法权限的用户设定了用户口令和密码。当用户通过登录界面登录时,登录界面显示用户名和密码输入。客户输入用户名和密码以后,系统会对输入的账户和密码与系统原有的密码进行核对如果完全一致,则认为是合法用户,用户身份得到认证。否则,就提示账户名或者密码错误。用户身份得不到认证。
2.单项认证,所谓单项认证,就是进行通信的双方中,只有一方需要进行身份认证。上面所阐述的口令核对法本质上也是一种单项认证。只是这种认证方法还比较低级,没有进行相应的密钥分发操作。常见的涉及到密钥分发操作的认证方案有两类。分别是对称密钥加密方案和非对称密钥加密方案。对称密钥加密方案是指依靠第三方来进行认证,第三方就是一个统一的密钥分发中心。通信双方的密钥分发和身份认证都要通过第三方来实现。另一种没有第三方参与的加密体制成为非对称密钥加密体制。
3.双向认证。双向认证,是指需要通信双方相互认证才可以实现双方通信,通信双方必须相互鉴别彼此的身份,并且经双方验证正确以后,才可以实现双方的通信。在双向认证中,最典型的就是Needham/Schroeder协议。
[1]Needham/Schroeder Protocol[1978]
AKDC:IDA||IDB||N1
KDCA:EKa[Ks||IDB||N1||EKb[Ks||IDA]]
AB:EKb[Ks||IDA]
BA:EKs[N2]
AB:EKs[f(N2)]
(其中f(N2)为N2的某一个函数,其他符号约定同上。)
4.身份的零知识证明通常在进行身份认证时,需要进行身份信息或者口令的传输。要想不传输这些信息就可以进行身份认证,就需要采用身份的零知识证明技术。所谓零知识证明就是指在进行用户身份认证时,不需要传输相关的信息。这种认证机制就是当被认证的甲方为了让认证方乙方确信自己的身份和权限但同时又不让乙方得到自己的秘密信息而采用的一种机制。这种认证方法可以非常有效的防治第三方窃取信息。
二、身份认证的应用
(一)Kerberos认证服务
Kerberos是一种基于Needham和Schroeder[1978]模型的第三方认证服务Kerberos可信任的第三方就是Kerberos认证服务器。它通过把网络划分成不同的安全区域,并且在每个区域设立自己的安全服务器来实现相应的安全策略。在这些区域的认证具体实现过程如下:Kerberos通过向客户和服务提供票和通信双方的对话密钥来证明自己的身份权限。其中Kerberos认证服务器负责签发初始票,也就是客户第一次得到的票。其他票都是由发票服务器负责签发。同一个票可以在该票过期之前反复使用。当客户需要让服务方提供服务的时候,不但要自己生成仅可以使用一次的证,而且需要向服务方发送由发票服务器分发的。这两个需要同时发送。
(二)HTTP中的身份认证
HTTP中的身份认证现在主要由三个常用的版本。分别是HTTP协议目前已经有了三个版本HTTP0.9、HTTP 1.0和HTTP 1.1,其中HTTP 0.9功能简单,主要用来实现最基本的请求协议和回答协议。HTTP 1.0是目前应用比较广泛的一个版本,它的功能相对来说非常完善。而且,通过Web服务器,就可以实现身份认证来实现访问和控制。如果用户向某个页面发出请求或者运行某个CGI程序时,将会有访问控制文件告诉用户哪些可以访问,哪些不可以访问,访问对象文件通常存在于访问对象所在的目录下面的。通过服务器读取访问控制文件,从而获得相应的访问控制信息。并且要求客户通过输入用户名和口令进行身份验证。通过访问控制文件,Web服务器获得相应的控制信息,用户根据要求输入用户名和口令,如果经过编码并且验证以后,如果身份合法,服务方才发送回所请求的页面或执行CGI程序。HTTP 1.1新增加的很多的报头域。如果进行身份认证,不是以明文的方式进行传递口令,而是把口令进行散列变换,把口令转化以后对它的摘要进行传送。通过这种认证机制,可以避免攻击者通过某种攻击手段来获取口令。即使经过多次攻击,也无法进行破译。即使是这样,仍然不能保证摘要认证的足够安全。和普通的认证方法一样,这种方法也可能受到中间者的攻击。要想更进一步确保口令安全,最好就是把HTTP的安全认证方式与Kerberos服务方式充分结合起来。
(三)IP中的身份认证
IP中的身份认证IP协议出于网络层,因此不能获取更高层的信息,IP中的身份认证无法通过基于用户的身份认证来实现。主要是通过用户所在IP地址的身份认证来实现。IP层的认证机构既要确保信息在传递过程中的数据完整性,又要确保通过数据组抱头传递的信息的安全性。IPSec就是IP安全协议的简称,主要功能就是维护网络层的安全和网络成以下层的安全。通常情况下,它提供两种安全机制。第一种是认证机制,通过这种认证机制,可以确保数据接收方能够识别发送方的身份是否合法。而且还可以发现信息在传输过程中是否被恶意篡改;第二种是加密机制,通过对传输数据进行数据编码来实现数据的加密机制。从而可以保证在信息的传递过程中,不会被他人窃取。IPSec的认证报头(Authentication Header AH)协议定义了认证的应用方法,封装安全负载(Encapsu-lating Security Payload,ESP)协议定义了加密和可选认证的应用方法。应用到具体的通信中去,需要根据实际情况选择不同的加密机制和加密手段。AH和ESP都可以提供认证服务,相比较而言,AH提供的认证服务要强于ESP。
三、身份认证技术讨论
身份认证技术讨论,在前面几部分内容中,对身份认证技术进行了理论分析和总结,并对他们的原理、机制和优缺点进行了比较。这里将根据自己的理解,深入考虑通过其他途径来实现身份认证。数字签名首先要保证身份验证者信息的真实性,就是要确保信息不能伪造,这种方法非常类似于身份认证。身份认证的主要目的是要确保被认证者的身份和权限符合。因此,这里考虑通过数字签名来实现身份认证。这里的技术难点就是必须要预先进行分发密钥。如果不能提前进行密钥分发,就不可能实现数字签名。综上可以看出,身份认证在整个安全要求中是首先要解决的技术问题。
参考文献:
[1]William Stallings,孟庆树等.密码编码学与网络安全――原理与实践(第四版)[M].电子工业出版社,2006,11
[2]袁德明.计算机网络安全[M].电子工业出版社,2007,6
[3]杨英鹏.计算机网络原理与实践[M].电子工业出版社,2007,9
[4]李忠献.认证理论与技术的发展[J].电子学报,1999
身份认证技术论文范文第3篇
关键词:身份认证 手机 数字证书 蓝牙传输协议
中图分类号:TP39文献标识码:A 文章编号:1007-3973 (2010) 05-044-02
1前 言
随着信息与计算机网络技术的发展,人类已经迎来了信息时代。互连网的发展大大的改变了人们的生活。然而随着这些新技术的日益普及,爆发出来的信息安全问题也越来越突出。在享受互连网带给人们便捷的同时,这把双刃剑也让人们感受到了严峻的考验。大量的通过计算机网络所实施的犯罪行为,让人们防不胜防。人们有必要对采用更为安全的技术手段来保护自己的敏感信息和交易不被未经过授权的他人截获和盗取。其中最重要的一个措施就是采用身份认证技术。
2 常见身份认证方式分析
身份认证的范围较广,没有统一的分类方法,根据身份认证的发展情况和认证方式的不同可以大致分为以下几类:
2.1用户名+口令的认证方式
这是最简单,最容易实现的认证技术,其优点在于操作简单,不需要任何附加设施,且成本低速度快。但是其缺点是安全性差,属于单因子软件认证的方式。抗猜测攻击性差,系统保存的是口令的明文形式,一旦被攻破,系统将受大极大威胁。这种认证方式属于弱认证方式。
2.2 依靠生物特征识别的认证方式
生物特征识别的认证方式,是为了进行身份识别而采用自动化技术测量人的生物特征,并将该特征与数据库的特征数据进行比较,从而完成身份识别的方式。因为不同的人具有的相同的生物特征的可能性是可以忽略不计的。所以从理论上来说,生物特征识别方式是最可靠的身份识别方式。它是以人的唯一的,可靠的,稳定的特征为依据的。目前比较成熟的可用于计算机系统的生物特征识别技术有:
(1)指纹身份认证技术。通过分析指纹的全局或者局部特征,抽取详尽的特征值来确认身份;
(2) 声纹身份识别技术。也称语音身份识别技术;
(3)虹膜身份认证技术。虹膜是人眼瞳孔和眼白之间的环壮组织。是人眼的可视部分。是最可靠的人体终身身份标识。虹膜识别在采集和精准度方式具有明显的优势;
(4)签名身份认证技术。是将人的手写速度,笔顺,压力和图象等人的个性化特征进行比对。是全新的生物特征认证技术。它不用记忆,方便,易为人接受。可用于计算机登录,信息网如网,信用卡签字等等。
生物特征识别的认证方式,虽然具有,不易遗忘丢失,防伪性能好,随是随地可用,不易伪造或者被盗等优点。但是它还有一系列暂时不能克服的缺点。表现在;技术不完全成熟,生物识别的准确性和稳定性急待提高。研发成本高,产量小和识别设备成本高,现阶段难以推广和大规模应用,对识别正确率没有确切的结论,难以做到真正的唯一性,和安全性。
2.3基于Kerberos的认证方式
Kerberos是一种秘密密钥网络认证协议。是由美国麻省理工学院(MIT)开发的一项身份认证技术。它的思路对后来的身份认证研究产生了很大的影响。它使用了数据加密标准DES(Data Encryption Standard)加密算法来进行加密和认证。Kerberos 设计的主要目的是解决在分布网络环境下,服务器如何对使用某台工作站接入的用户进行身份认证。Kerberos的安全不依赖于用户登录的主机,而是依赖于几个认证服务器。分别是:认证服务器(AS),用于验证用户登录时的身份。票据发放服务器(TGS),发放身份许可证明。服务提供服务器(Server),客户请求工作的执行者。
如下图所示:
基于Kerberos认证方式的缺点:
(1) 它是以对称的DES加密算法为基础,这使得在密钥的交换,保存,管理上存在着较大的安全隐患。
(2)Kerberos不能有效的防止字典攻击。并且防止口令猜测攻击的能力是很弱的。因为Kerberos的协议模型未对口令提供额外的保护。黑客或者攻击者可以收集大量的许可证,通过有些计算和密钥分析,进行口令猜测。倘若用户选择的口令不强,则容易被攻破。
(3)Kerberos协议最初设计是用来提供认证和密钥交换的。不能用它来进行数字签名,没有提供不可抵赖性的机制。
(4)在分布式系统中,认证中心错终复杂,域间的会话密钥太多,给密钥的管理,分配带来麻烦。
2.4基于PKI的身份认证方式
PKI(Pubic Key Infrastructure)公钥基础设施是一种遵循一定标准的密钥管理平台。能够为目前所有的网络应用透明的提供采用加密和数字签名等密码服务所必需的密钥管理和证书管理。它是现代电子商务和信息安全系统的主要技术之一。PKI做为新发展的安全技术和安全服务规范。不仅能确保网络数据的机密性,完整性,可用性,同时也可以解决通信双方身份的真实性问题。基于PKI的数字证书认证方式可以有效的保护用户的身份安全和数据安全。在基于证书的安全通信中,数字证书是证明用户身份合法和提供合法公钥的凭证。是建立保密通信的基础。因此数字证书的存储与管理显得非常重要。本文正是在PKI体系的基础上利用手机做为数字证书的载体,来实现对用户身份的认证。
3基于手机的身份认证方式
基于手机的身份认证是基于PKI的身份认证方式的一种改进或者说发展。为了更方便的说明这种认证方式的意义以及原理,特从以下几个方面进行分析。
3.1现实需求分析
基于PKI的身份认证方式是现阶段公认的保障信息网络社会安全的最佳体系,是信息安全的核心。数字证书的权威性和不可否任是PKI体系的基础。目前,国内外通常的做法是利用USBKey 做为数字证书的载体。例如中国建设银行使用的网银盾,中国工商银行推出的U盾等。他们都是将数字证书存储在USB Key中。其优点是较为安全可靠。但其缺点是管理较为麻烦,携带起来容易丢失。另外由于其工作原理是将数字证书固化在U盘里,证书不能实现远距离更新,实际使用起来,还是比较麻烦。目前很多公司和机构都开始研究下一代的证书存储工具。本论文正是在这样一个现状探索性采用人们常用的手机来作为数字证书的存储和管理工具。并以此展开思考和研究。
3.2理论基础
PKI(Public Key Infrastructure )公钥基础设施,它是一种遵循既定标准的密钥管理平台,它能够为所有网络应用提供数据加密和数字签名等密码服务及所必需的密钥和证书管理体系一种重要的身份认证技术。是简单来说,PKI就是利用公钥理论和技术建立的提供安全服务的基础设施。PKI技术是信息安全技术的核心,也是电子商务的关键和基础技术。PKI以公钥密码技术为基础,数字证书为媒介,结合对称加密和非对称加密技术,将个人的标识信息与各自的公钥绑在一起,其主要目的是通过管理密钥和证书,为用户建立起一个安全、可信的网络运行环境,使用户可以在多种应用环境下方便地使用加密和数字签名技术在客户端上验证用户的身份,从而保证了互联网上所传输信息的真实性、完整性、机密性和不可否认性。
3.3 研究方案及系统组成
计算机要能准确认证用户的身份,必须能准确的识别用户手机中的数字证书。其中将数字证书从手机中导入到计算机上中是借助蓝牙技术(也可以是红外技术)提供的数据传输通道。并且因为数字证书是通过蓝牙技术无线传输的,必须给这个通道加密,防止被非法用户窃取。系统组成如下图所示:
3.4关键问题及其解决方案
3.4.1系统中的关键问题
基于手机的身份认证是依赖于手机这个载体,以数字证书为媒介,最终需要保证计算机对手机中的数字证书准确识别。并且整个信息交换不被非授权的第三方截获。因此整个系统有以下两个关键问题。
(1)数字证书在手机中的安全性问题。数字证书是存放在手机的SD卡上的,要保证数字证书能方便的写入到SD卡中,并使其具有加密功能,在遗失,被盗的情况下仍能确保数字证书不被非法利用。
(2)计算机要识别手机上的数字证书,或者说信息要在手机和计算机之间安全传递,必须有一个安全的通道。虽然可以借助他们本身都带有的蓝牙功能,并且蓝牙具有抗干扰性强,成本低的特点。但是仍不能保证信息传递的绝对安全。还需要设计一传输协议来给他们之间的信息传递提供一个安全通道。
3.4.2关键问题的解决方案
(1)对于数字证书在手机中安全存储的问题,可以考虑采用加密SD卡的方法。Sandisk 公司近期研发了一种称为TrustedFlash 的新技术,可以在SD,Micro SD卡上实现加密。
a.安全加密:根据需要,可设定不同的加密方式和权限,支持采用AES,DESB和3DES的对称密钥身份验证及基于X。509证书链的RSAC非对称密钥身份验证。
b.支持数字版权管理(DRM):可在支持硬件加密技术的不同主机间实现移动。
c.具有硬件加密技术的主机向下兼容常规的存储卡,而硬件加密卡在非保护区域也可作为常规卡使用。
d.主机(如手机)只需要升级软件来支持硬件加密技术,不需要增加和更改硬件。主要应用于数据安全存取,身份认证及移动电子商务。
(2) 对于传输通道的设计。可以借鉴当前的密码协议SSL协议。SSL即安全套接字层(Secure Socket Layer)。它是网景公司(Netscape)开发的,主要应用于保障Internet上数据传输之安全。SSL协议可以分为两层:SSL记录协议和SSL握手协议。提供主要服务有:①认证用户和服务器,确保数据发送到正确的客户机和服务器;②加密数据以防止数据中途被窃取;③维护数据的完整性,确保数据在传输过程中不被改变。认证工作流程为:1)客户端(C)向服务器(S)发送一个会话请求信息“你好”2)服务器根据客户的信息确定是否需要生成新的主密钥,如需要则服务器在响应客户的“你好”信息时将包含生成主密钥所需的信息;3)客户根据收到的服务器响应信息,产生一个主密钥,并用服务器的公开密钥加密后传给服务器;4)服务器恢复该主密钥,并返回给客户一个用主密钥认证的信息,以此让客户认证服务器。同样手机和计算机之间的通信过程和上面相似。只是SSL是同过有线连接传递数据,而本系统是通过蓝牙技术无线传递,其工作原理完全相同。
4小结与展望
本文开头阐述了常见的身份认证的方式,并分析了它们的优缺点。 目的是为了说明基于手机的身份认证在整个身份认证体系中所在的位置。随着手机业务的不断发展。现在的手机已经不仅是局限于传统的通话业务。越来越多的智能手机投入市场。它们大多可以安装小型的操作系统具有较强的处理能力,如Symbian 、Windows mobile、Linux等手机操作系统。这就为基于手机的身份认证提供了很好的工具和平台。可以预见USBKEY的功能将会被手机取代。基于手机的身份认证技术将能更好的服务于人民的生活。
参考文献:
[1]冯国柱. PKI关键技术研究及其应用[D].长沙:国防科学技术大学,2006.
[2]赵小沫. 基于SSL的数据库安全研究及实现[D]. 武汉:武汉理工大学,2009.
身份认证技术论文范文第4篇
【关键词】身份认证;MD5算法;分组变序;碰撞;安全
【中图分类号】G420 【文献标识码】A 【论文编号】1009―8097(2010)09―0119―04
一 引言
现代远程教育系统是以计算机软硬件技术为基础,通过互联网向处于不同地域的用户提供教育服务的信息系统。远程用户在获得教育服务之前,通常需要通过系统的身份认证。目前来讲,最常用的身份认证技术是基于用户名/密码的静态认证技术。该身份认证技术起源于上个世纪70年代初[1],认证系统通过登记、注册等方式事先保存合法用户的用户名和密码;认证时,系统将用户输入的用户名和密码与对应合法用户的用户名和密码进行匹配,以此来验证用户身份的合法性。在这种认证技术中,用户名和密码均以明文的方式进行传输和存储,无法抵挡重放攻击[2]。一种解决办法是对密码加密后再传输和存储,只要加密算法够可靠,就可以有效地防止重放攻击。1992年,RIVEST R[3]提出了MD5(Message Digest 5)算法,该算法从理论上讲具有不可逆性、离散型和唯一性[4],因此基于用户名/密码的静态身份认证技术在应用了MD5算法后,其安全性可以得到较大的增强。然而王小云[5]等人在2004年8月召开的国际密码学会议(Crypto 2004)上做了破译MD5、HAVAL-128、 MD4和RIPEMD算法的报告,给出了一种高效的MD5碰撞[6]方法,可以在短时间内找到多个碰撞,这意味着如果攻击者窃取到密文并且展开碰撞攻击,则将有可能绕过认证,这又使得重放攻击变为可能。
针对这个问题,本文提出了一种基于MD5分组变序的动态身份认证技术,该技术通过随机数,对原MD5密文采用分组变序的方法生成伪MD5密文存储到数据库中,并且每次验证成功后,再次生成随机数重新分组变序,产生另一个伪MD5密文替换原伪MD5密文,以此实现了用户密码明文不变,但数据库中密文随认证次数不断变化的功能,进一步增强基于MD5的静态身份认证技术的安全性,从而更安全地保护远程教育系统中的教育资源以及用户的信息。
二 基于MD5分组变序的动态身份认证技术
传统的基于MD5用户名/密码的静态身份认证技术是将用户的密码进行MD5加密,再发送到服务器端进行存储,这种方式的安全性主要取决于MD5算法本身。除了向用户骗取密码以外,要获取真正的密码,只有通过对密文碰撞来获得,然而从理论上来讲,如果要对一个MD5密文使用穷举法进行碰撞破解,用一台运算速度为10亿次/秒的超级计算机,需要 年[6],即使使用效率较高的生日攻击法[5],同样的运算速度,仍需要58年的时间[6],而王小云等人提出的方法则可以在数小时之内找到一对碰撞[7],因此传统的基于MD5用户名/密码的静态身份认证技术已经不再安全。进一步分析,如果碰撞的对象并不是MD5值,那一切针对MD5的碰撞方法将不起作用。本文提出的基于MD5分组变序的动态身份认证技术的核心即在于动态地生成伪MD5密文,使针对MD5值的碰撞攻击无效,从而在原基于MD5的身份认证技术的基础上,进一步增强其安全性。
该身份认证技术的体系结构如图1所示。
从图中可以看出,所有关于用户密码的加密处理全部在客户端完成,在网络中仅传输用户名、密钥和加密后的伪MD5密文,而服务器端则为一个数据库,仅起到存储这些信息的功能,这么做既保证了网络传输的安全性,对用户的密码又做到了消息级的加密[8]。
客户端由密钥生成、MD5加密、密文数组生成、伪MD5密文生成、伪MD5密文分割、密文数组比较六个模块组成,这几个模块的不同组合构成了用户注册和认证过程。
1 用户注册阶段
用户注册主要流程如图2所示。
步骤1:用户输入用户名和密码,客户端首先对密码进行MD5加密操作,得到32位长度的MD5字符串,记为 ;同时执行密钥生成程序,生成随机数,记为 , ,且 为32的因数。
步骤2:执行MD5密文数组生成程序,将 按密钥 的值为长度进行分组,将分组后的字符串存入字符串数组中,该字串符数组记为 。
步骤3:执行伪MD5密文生成程序,随机变换 中元素的顺序,依次把值从变序后的 中取出,生成新字符串,该字符串即伪MD5密文,记为 。
步骤4:客户端将用户名、密钥和伪MD5密文 发送至服务端,并存储到数据库中。
从注册的过程可以看出,该认证技术的动态性体现在密钥 的随机性上, 的不同使密文 分组的位置不同,从而使得最终得到的密文 也是不同的。然而生成的伪MD5字符串 ,来源于标准的MD5字符串,这就为认证提供了依据,但同时又不是MD5字符串,因此任何针对MD5算法进行的破解将不起作用。
2 用户认证阶段
用户认证主要流程如图3所示。
步骤1:待验证用户输入用户名和密码,客户端依然执行MD5程序,将用户输入的密码进行MD5加密,生成待验证密文,记为 ,同时将用户名发送至服务器端。
步骤2:服务器端从数据库中查询是否存在该用户名,不存在则认证失败,存在则取出数据库中的伪MD5密文 和密钥 ,一起传输至客户端。
步骤3:用密钥 对待验证的MD5字符串 执行客户端MD5密文数组生成程序,得到待验证的字符串数组中,该数组记为 ,同时执行伪MD5密文分割程序,以 为每组长度对 进行分组,每 位后加入“,”生成分割后的伪MD5字符串,记为 。
步骤4:执行密文数组比较程序,依次取出数组 中的值与 进行比较,如果 的每个元素都包含在 中,则通过认证,如果有一个不包含,则认证失败。判断的根据在于 本身只是对MD5字符串做了位置上的改变,如果待认证的口令正确,那么 中的每个元素都应该包含在 中的,但只要数组中有一个元素不包含在密文字符串中,就可以判断认证失败。
步骤5:如果验证通过,则对 再重新执行一次分组变序操作,用得到的新的伪MD5密文和新密钥替换原有的密文与密钥,一起存入数据库。
需要说明的是,本文给出的匹配方法并没有直接把数据库中的 和 的元素进行包含比较,而是以“,”分割后再比较,原因在于密文的长度为32,而数组中值的长度小于或等于32,那么不排除数组的值交叉包含于密文中的情况,假设密文是c4ca4238a0b923820dcc509a6f75849b,密钥为16,则数组 的长度为2,再假设数组中的两个值分别为a0b923820dcc509a,20dcc509a6f75849b,虽然这两个值也都包含在密文中,但a0b923820dcc509a处于密文(c4ca4238-a0b923820dcc509a-6f75849b)的中间位置,而20dcc509a6f75849b处于密文(c4ca4238a0b9238-20dcc509a6f 75849b)的后半段,这种情况的出现有可能使匹配算法失效,反而造成认证的不精确。事实上标准的MD5字符串是多个16进制字符串的组合,而“,”是不可能出现在16进制字符串中的,采用“,”分组后再比较则可以有效地避免这种情况。
三 安全性验证
本文为全文原貌 未安装PDF浏览器用户请先下载安装 原版全文
以上认证技术是对单个MD5值进行分组变序,根据不同的 ,除去MD5值本身,每个MD5值能演变出 -1个伪MD5值,记为下式:
(1)
由于随机数的存在,要还原得到真正的MD5值,只能通过暴力破解法来实现,对于单个MD5值,暴力破解的运算量为 ,同样使用一台运算量为10亿次/秒的超级计算机,需要约 年。
由于伪MD5密文和密钥K均在网络中传输,如果攻击者知道该算法,利用密钥K进行攻击,那么最终密文的安全性取决于变换的顺序种类。变换的顺序种类由密钥K确定,K越小,顺序种类越多,破解的运算量越大。
对于单个MD5值,当 时, ,即不存在伪MD5值, 不可取。
当 时, ,暴力破解的运算量仅为1,很容易还原得到原始MD5值,因此密钥为16时,已经存在很大的安全隐患了。
当 时, ,暴力破解的运算量为23。
当 时, ,暴力破解的运算量为40319。
当 时, ,同样使用一台运算量为10亿次/秒的超级计算机,需要约663457年。
当 时,暴力破解的运算量更是巨大的。
更进一步研究,该认证技术同样适合对多个MD5值的组合进行分组变序,假设 为由 个 组成的长度为 的字符串,其中 。这种情况下,暴力破解的运算量为 ,这样的运算量更是天文数字。而在知道该认证算法的情况下,暴力破解的运算量为 , , 可取的值更多,运算量更大。
对于应用该认证技术的系统来讲,运算量仅仅取决于变序算法的复杂度,本文采取经典的洗牌算法[9]作为变序算法,以随机数 作为变序的基础,以保证每次交换顺序后的结果与交换之前的不同,算法复杂度仅为数组的长度,即 。
实际应用时,当 , 时,最终生成的密文的安全性将是相当高的。而当 时,可选择的 更多,安全性则更高,而同时对认证系统的运算量并不会有太大增加。
四 实验分析
本实验选择浏览器/服务器作为运行模式,选择JavaScript作为客户端注册、认证程序编写语言,保证运算均在浏览器端完成,选择Java作为服务器端数据库访问语言,选择MySQL作为测试数据库。假设密码明文为888888,则MD5值为21218CCA77804D2BA1922C33E0151105,对比最终密文、密钥做8次运算,其中第一次为注册,后7次为认证,运算结果对比如表1所示。
从表1可以看出,最终生成的密文已经和原MD5值已经有较大的不同,即使是相同的密钥,由于交换了顺序,密文也是不同的,攻击者即使得到这些密文,也是徒劳的。
五 结束语
本文通过分析目前远程教育系统常用的身份认证技术的优缺点,以基于MD5的用户名/密码的静态身份认证为基础,提出了基于MD5分组变序的动态身份认证技术,该技术通过分组变序随机地产生伪MD5密文,将伪MD5密文在客户端和服务器端之间传输,并存储到数据库中,从而可以有效抵挡碰撞攻击和重放攻击,并且实现了数据库中的密码随认证次数不断变化,而对用户透明的功能,进一步增强了原基于MD5的用户名/密码的静态身份认证的安全性。同时,该技术仅仅是对经MD5加密后的密文进行再处理,与MD5算法本身并有没有很大的关联,因此具有一定的通用性,只要稍做修改,就可以用于任何基于不可逆算法的身份认证技术中,以起到在原有认证技术的基础上,增加其安全性的作用。
参考文献
[1] 曹雪菲.基于身份的认证协议的理论及应用研究[D].西安:电子科技大学,2008.
[2] Carles Garrigues, Nikos Migas, William Buchanan, et al. Protecting mobile agents from external replay attacks[J]. Journal of Systems and Software,2009,82(2):197-206.
[3] RIVEST R.RFC 1321 The MD5 Message-Digest Algorithm[S].Boston: MIT Laboratory for Computer Science and RSA DATA Security, Inc, 1992.
[4] 王津涛,覃尚毅,王冬梅.基于MD5的迭代冗余加密算法[J].计算机工程与设计,2007,28(1):41-42.
[5] Wang Xiaoyun, Feng Dengguo, Lai Xuejia, et al. Collisions for hash functions MD4, MD5 Haval-128 and RIPEMD[R].CRYPTO 2004, Cryptology ePrint Archive, 2004.
[6] Eric Thompson.MD5 collisions and the impact on computer forensics[J].Digital Investigation,2005,2(1): 36-40.
[7] 张裔智,赵毅,汤小斌.MD5算法研究[J].计算机科学, 2008,35(7):295-297.
[8] Paul Kearney.Message level security for web services[J].
Information Security Technical Report, 2005,10(1):41-50.
身份认证技术论文范文第5篇
关键词:互联网;信息传播;信息安全;网络信息安全技术
中图分类号:TP393.08文献标识码:A文章编号:1007-9599 (2012) 05-0000-02
一、引言
随着科技的高速发展、互联网的大力普及,越来越多的人在互联网这个虚拟的世界里面开创了自己的小世界,很多以前只能在日常生活中完成的事情,也都搬到了网上进行。网络不仅成为了人们娱乐休闲的场所,成为了人们的一种职业手段,更成为了人们生活中不可或缺的一部分。在这种情况下,很多私人信息,包括个人及家庭基本信息、银行帐号信息等更加私密的信息,都需要通过互联网进行传输,在这种大背景之下,信息安全技术就显得尤为重要,而其在互联网中的运用也成为了人们不得不考虑的问题。
二、网络环境下信息安全技术简介
单从信息安全来看,其包括的层面是很大的。大到国家军事政治等机密安全,小到如防范商业企业机密泄露、防范青少年对不良信息的浏览、个人信息的泄露等。网络环境下的信息安全体系是保证信息安全的关键,包括计算机安全操作系统、各种安全协议、安全机制(数字签名、信息认证、数据加密等),直至安全系统,其中任何一个安全漏洞便可以威胁全局安全。信息安全技术,从广义上来看,凡是涉及到信息的安全性、完整性、可用性、真实性和可控性的相关理论和技术都是信息安全所要研究的领域。狭义的信息安全技术是指为对抗利用电子信息技术手段对信息资源及软、硬件应用系统进行截获、干扰、篡改、毁坏等恶意破坏行为所采用的电子信息技术的总称[1]。随着互联网热潮的兴起,整个社会对网络的依赖越来越强,信息安全的重要性开始显现。
随着信息安全内涵的不断延伸,信息安全技术也得到了长足的发展,从最初对信息进行保密,发展到现在要保证信息的完整性、可用性、可控性和不可否认性,进而又发展为“攻(攻击)、防(防范)、测(检测)、控(控制)、管(管理)、评(评估)”等多方面的基础理论和实施技术。互联网环境下,信息安全技术可以主要概括为以下几个方面的内容:身份认证技术、加密解密技术、边界防护技术、访问控制技术、主机加固技术、安全审计技术、检测监控技术等。
三、互联网中的信息安全技术
互联网是面向所有用户的,所有信息高度共享,所以信息安全技术在互联网中的应用就显得尤为重要。
(一)信息安全技术之于互联网的必要性
国际互联网十分发达,基本可以联通生活的方方面面,我国的互联网虽不如发达国家先进,但是同作为互联网,其所面临的安全问题都是一样的。网络信息安全有三个重要的目标:完整性、机密性和有效性,对于信息的保护,也便是从这三个方面进行展开,
(二)信息安全技术在互联网中的运用
美国国家安全局对现有的信息安全工程实践和计算机网络系统的构成进行了系统分析和总结,提出了《信息保障技术框架》[2],从空间维度,将分布式的网络信息系统划分为局域计算环境、网络边界、网络传输和网络基础设施四种类型的安全区域,并详细论述了在不同安全域如何应用不同的安全技术要素构建分布式的信息安全系统。所以互联网中对于信息安全技术的使用是有一个应用体系的,不同的网络系统有不同的安全策略,但是不论是何种网络形式,有三项信息安全技术是必须被运用的,它们是:身份认证技术、数据加密技术、防火墙技术。
1.身份认证技术
身份认证是网络安全的第一道防线,也是最重要的一道防线。对于身份认证系统来说,最重要的技术指标是合法用户的身份是否易于被别人冒充。用户身份被冒充不仅可能损害用户自身的利益,也可能损害其他用户和整个系统。所以,身份认证是授权控制的基础[3]。现实生活中,可以通过很多途径来进行身份的认证,就在这种情况下也有人伪造身份,而对于网络虚拟环境,身份应该如何认证确实是一项头疼的技术难题。目前网络上的身份认证方式主要有:密码认证、口令卡认证、u盾认证以及各种技术结合使用等方式,也取得了一定的成效,对于信息安全的保障,起了很大的作用。
2.数据加密解密技术
数据加密技术是互联网中最基本的信息安全技术,因为众所周知,互联网的本质就是进行信息的共享,而有些信息是只对个人或者部分群体才可以共享的,另一方面,裸数据在网络中传播是很容易被窃取的,所以在信息发送端对数据进行加密,接收信息的时候进行解密,针对互联网信息传播的特点,是行之有效的信息安全技术。
3.防火墙技术
防火墙,很多人都很熟悉,它实质上是起到一个屏障的作用,正如其名,可以将有害信息挡在墙外,过滤到不利信息,阻止破坏性的信息出现在用户的计算机。防火墙的基本准则有两种:一切未被禁止的就是允许的;一切未被允许的就是禁止的。这种过来是如何实现的?这就涉及实现防火墙的技术,主要有:数据包过滤、应用网关和服务等。对于互联网而言,一个有效的防火墙,可以帮助用户免除很多有害信息的干扰,也是信息安全技术对于互联网非常大的贡献。
除了使用一些安全技术措施之外,在网络安全中,通过制定相关的规章制度来加强网络的安全管理,对于确保网络顺利、安全、可靠、有序的运行,也会起到十分重要的作用。
四、结束语
本文简要介绍了身份认证技术、数据加密技术、防火墙技术这三项技术对于网络信息安全的重要性及其应用,事实上随着科学技术的飞速发展,互联网的组织形式也在发生极大变化,网络信息安全技术在互联网上应用将会越来越多,但是笔者相信,本文所介绍的三个基本运用,会随着互联网的越来越透明化而得到更大的发展。
参考文献:
[1]黄培生.信息安全技术[J].学科发展,2004,3:19-22.
身份认证技术论文范文第6篇
【 关键词 】 一次性口令;脚本;身份验证
1 引言
口令是计算机用户普遍使用的一种认证方式,被普遍应用于Web系统中。一般的认证体系是使用静态口令进行用户身份验证,即用户网上传输的是重复使用同一个口令登录到系统中。但这种方法还存在许多缺陷,如易猜测、易被窃取、若不加密,能清楚地被看到明文。一次性口令验证方案就是在登录过程中加入不确定因素,使用户每次登录系统时传送的口令都不一样。
GJ.Simmons在1984年提出了认证系统的信息理论,为认证系统的研究奠定了理论基础。认证理论有两个主要目标:一个是推导出欺骗者成功的概率降低;另一个是构造欺骗者成功概率尽可能最小的认证码。一个安全的身份认证系统一般必备几个特征:1)验证者正确识别合法用户的概率极大;2)攻击者伪装成合法用户骗取验证者新人的成功率极小;3)通过重放认证信息进行欺骗和伪装的成功率极小;4)秘密参数能够安全储存;5)第三方可信赖。
身份认证的核心在于主体身份的验证。根据被认证方证明自己身份的不同,现有的身份认证技术都可以从三个方面研究:主体所掌握的秘密信息、主体所拥有的信物信息、主体本身具有独一无二的特征或能力。
目前,已有的身份认证系统有Kerberors认证系统、S/Key认证系统、智能卡认证系统、USBKey认证系统、指纹认证系统等。这些身份认证系统所采用的技术主要有几种。
静态口令。基于文本的用户名/密码方式是目前身份认证系统中应用最普通的认证技术。该技术的主要特点是操作简单、方便易用,并且也有一定的安全性,不便记忆和密码静态不变是这种认证方式的最大弊端。许多用户为了防止忘记密码,偏向于使用易被人联想到字符串作为密码,如名字拼音、电话号码、生日等。这在网络传输中很容易被窃听、截获及冒用。从安全性上来说,这种认证技术是极不安全的。
PKI认证技术。PKI认证的基础是公开密匙加密技术,能够保证传输信息的机密性、真实性、完整性、不可抵赖性,核心是证书的管理,理论是安全的。但PKI系统建设成本高,使用复杂,且存在证书保存的安全问题。
一次性口令。一次性口令OTP的基本原理是在登录过程中加入不确定因素,使每次登录过程中计算所得的密码都不一样。这是当前被认为是最安全的身份认证方式,在每次认证过程中,网络上传输的认证信息都是动态变化的,因此能有效地避免重放攻击,使静态密码在传输过程避免被窃取。但用户密码管理依旧是一次性口令无法忽视的问题,用户一旦不小心泄露了秘密通行短语,非法用户就可以伪装成合法用户的身份进行客户端登录。
生物识别技术。生物识别技术主要是通过可测量的身体或行为等特征进行身份认证的一种技术。生物特征是指唯一可以测量或可自动识别和验证的特征或行为方式。从理论上来说,生物特征认证是最可靠的身份认证方式,因为它直接使用人的物理特征来表示每一个人的数字身份,几乎不可能被仿冒。
相比于传统的身份认证方式,生物识别技术具有无法比拟的优点。生物识别技术使用方便,可不必再记忆和设置密码。其中指纹识别技术是目前发展最成熟的生物识别技术。正是由于生物特征的唯一性,不宜直接使用生物特征进行身份识别,因为一旦生物特征泄露,就会造成个人信息丢失的严重后果。而且,容易受到干扰是单一的生物特征在网络传输和匹配时最大的不足。
2 脚本语言的描述
脚本语言(Script Languages)是为了缩短传统的编写-编译-链接-运行过程而创建的计算机编程语言。早期的脚本语言经常被称为批量处理语言或工作控制语言。一个脚本通常是解释运行而非编译。虽然许多脚本语言都超越了计算机简单任务自动化的领域,成熟到可以编写精巧的程序,但仍然还是被称为脚本。几乎所有计算机系统的各个层次都有一种脚本语言。包括操作系统层,如计算机游戏、网络应用程序、字处理文档、网络软件等。在许多方面,高级编程语言和脚本语言之间互相交叉,二者之间没有明确的界限。一个脚本可以使得本来要用键盘进行的相互操作自动化。一个Shell脚本主要由原本需要在命令行输入的命令组成,或在一个文本编辑器中,用户可以使用脚本来把一些常用的操作组合成一组序列。很多脚本语言实际上已经超过简单的用户命令序列的指令,还可以编写更复杂的程序。
常见的有脚本语言有Java Script、VB Script、Perl、PHP、Python、Ruby、Lua。
脚本语言的特点是语法简单,一般以文本形式保存,并且不需要编译成目标程序,在调用的时候直接解释。这可以是脚本语言的判断标准,比如说JavaScript,你只需要用记事本新建一个Html文件,在里面加上一段脚本就可以了,在浏览器打开Html文件时自然会调用JS脚本。
脚本语言开发速度快、容易部署、易学易用,同已有技术的集成而能够有效地利用代码。
3 基于脚本的一次性口令实现
在网络应用系统中,身份验证是所有涉及安全性的一个必须环节。网站开发时可以利用以下方法来实现身份验证。
在身份验证的页面中设计一个表单,其中包含用户名和密码两个域。提交表单时浏览器将用户名和密码信息传给服务器,通过验证用户名和密码来判断该用户是否合法。这是最常见也是最简单的一种方案,但是安全性极低。因为使用这种方法时,用户名和密码都是以明文的形式在网上传输。一个在网络上运行的嗅探器很容易其网段的所有数据报文捕获,也包括用户的密码。
在使用一次性口令实现上面的过程之前,需将用户的相关信息保存到服务器端,其中包括用户ID的哈希值和秘密通行短语。一次性口令的认证过程需要在客户端进行很多的运算,这些运算将在客户端通过嵌入在HTML页面中的JavaScript代码计算实现,包括随机数产生、异或运算和哈希值。
挑战/应答方式是动态口令身份认证的方式之一。作为动态的身份认证,必须有一个动态因子:对挑战/应答方式来说就是客户向认证服务器发出请求,要求进行身份认证(登录);当服务器接收到用户发来的请求信息后产生一个挑战信息(随机数)发给用户,用户在客户端输入秘密通行短语并由一次性口令计算器产生一个OTP,服务器通过此OTP验证用户,验证成功后,下次验证则使用新生成的OTP。虽然挑战/应答方案存在一些不足,但其优点明显:易于在网络环境下用纯软件方式实现;可以通过秘密密钥鉴别,密钥不用在网络传送;认证机制灵活。
4 一次性口令的安全性分析
一次性口令对于用户口令泄露有很好的防范作用。在用户每次登录时,虽然用户在键盘上输入的内容是固定的用户密码,但每次网上传送的用户口令都会改变,。这种相对安全的用户登录模式让口令在网络的传输过程中的验证信息不会重复。
在一次性口令系统中,用户登录过程中所使用的口令是不重复的,每次都不一样。既避免了截取/重放攻击的威胁,又能缓解用户某一次登录时口令泄露带来的危险。
用户登录时的身份验证需要同时具备用户ID、用户口令、以及由一次性口令产生器提供的额外验证码等几个条件,实际上就是把用户身份验证信息进行分解。服务器收到用户ID、口令之后按照确定的算法进行验算,将用户提供的条件合并,最终得出用户身份合法或不合法的结果。
首先,一次性口令的实现是用户在登录时产生的登录认证信息每次都不一样,为了使认证信息产生变化,我们引入一些随机因素,它可以是时间、也可以是系统产生的随机数。
其次,为了防止用户口令通过网络泄露而引发各种安全问题,在每次登录后,使用户的口令产生变化。攻击者在得到用户的口令后,由于口令只能使用一次,他就无法将得到的口令直接用于登录系统。
最后,在用户向系统提交验证信息时,系统将对验证信息进行验算,并将验算结果传送到服务器端。服务器在收到用户提交的运算值后,进行相同的运算后将得出的值进行比较,若符合则表示用户合法,允许其登录。
整个系统的特点是在认证用户身份和同步一次性口令的过程中运用了单向函数,对口令及其密钥进行保护。窃听者得到正确口令或密钥的方法只有对该函数进行攻击,但是基于该函数的单向性特点,这项工作是很难完成的。经过多重的函数运算后,要求解出正确的函数是基本不可能的。
在系统中,对用户的认证信息进行了分解,将其分成了两部分:即用户口令和密钥,他们的合并是通过随机数函数运算完成的。攻击者在得到其中的一部分之后,都必须想办法得到另一部分才能通过服务器验证。这样,就提高了系统对用户认证的安全性。
程序实现了单机环境下,用户使用一次性口令登录,以及密钥文件的自动同步。对于系统中客户口令及密钥文件的储存方式、用户口令的更改,因涉及到具体的不同系统中,因此可采用多种方式来实现。
5 结束语
一个系统的安全性不仅体现在其运行时,还体现在其是否有完备的认证机制。一个好的口令对于保证用户数据的完整性、可靠性以及安全性都十分重要。
口令是广泛采用的认证形式之一,本文通过分析身份认证的一般实现方式,提出了基于脚本的一次性口令系统研究与实现的新的设计理念,提高了Web应用系统的安全性。
参考文献
[1] 百度百科.
[2] 方 俊. 一种基于挑战/应答模式的身份认证系统的研究与实现. 计算机时代,2009. 04.
[3] 雷超,雷劲.基于脚本级的一次性口令系统的实现.计算机应用, 2001年07期.
[4] 吴和生,范训礼,谢俊元. 环境下一次性口令身份认证的研究与实现.计算机科学.,2003.
[5] 卢开澄.计算机密码学—计算机网络中的数据保密与安全.清华大学出版社,2003.
[6] 王勇.随机函数及其在密码学中的应用研究[J].信息网络安全,2012,(03):17-18.
[7] 余幸杰,高能,江伟玉.云计算中的身份认证技术研究[J].信息网络安全,2012,(08):71-74.
[8] 向永谦,陈建华.一种基于身份的三方认证密钥交换协议[J].信息网络安全,2012,(11):32-35.
身份认证技术论文范文第7篇
[关键词] 电子商务 信息认证 身份认证 数字签名
随着通信网络技术的快速发展,电子商务给人们的工作和生活带来了新的尝试和便利,也带来了一些问题,由于网络本身的开放性,使电子商务面临种种风险,也由此提出了安全控制要求。客户认证是保证电子商务交易安全的一项重要技术,主要包括身份认证和信息认证。身份认证用于鉴别用户身份,而信息认证用于保证通信双方的不可抵赖性和信息的完整性。在某此情况下,信息认证显得比信息保密更为重要。
一、身份认证
身份认证是通过身份识别技术及其他附加程序对用户的身份进行确认的全部过程。要在网上使交易安全、成功,首先要能够确认对方的身份。电子商务环境对身份识别技术的基本要求有: 1.身份的认证必须数字化;2.安全、健康,对人的身体不会造成伤害;3.快速、方便、易使用;4.性能价格比高,适合普及推广。用于身份认证的技术较多,最常用的是密码,使用身份标识码加密码来进行安全防范,如用户口令;还有使用物理载体的方式,例如使用证件、钥匙、各种卡等有形的载体来识别身份;另外还有生物特征身份识别方式,使用指纹、面像、视网膜、DNA、语音等特征来识别身份。
二、信息认证
信息认证的目的是防止信息被篡改、伪造,或信息接收方事后否认。确保电子商务的安全、可靠、一致性十分重要。信息认证技术是电子商务系统中的重要组成部分。由于网络上的信息是容易修改、复制的,通过电子数据方式达成的交易文件是不能被否认的,因此确保电子交易的信息都必须是不可否认的、不可被修改的,否则网上的交易就没有严肃和公正性。为实现这一目标,除了采用身份认证起到确保网上交易者身份的真实可信外,信息认证就用来确保交流的信息完整、不可抵赖性,以及信息访问的权限控制。
信息认证主要有两种方式:信息加密和数字签名。而实现这些技术都要应用数据加密技术。
1.加密技术
加密技术是保证电子商务安全的重要手段,它包括私钥加密和公钥加密。私钥加密又称对称密钥加密,即信息的发送方和接收方用一个密钥去加密和解密数据,目前常用的私钥加密算法包括DES和IDEA等。对称加密技术的最大优势是加密或解密速度快,适合于对大数据量进行加密,但密钥管理困难。公钥密钥加密,又称非对称密钥加密系统,它需要两个密钥――公开密钥(Public-Key)和私有密钥(Private-Key)。如果用公开对密钥进行加密,只有用对应的私有密钥才能进行解密;如果用私有密钥对数据进行加密,那么只有用对应的公开才能解密。非对称加密常用的算法是RSA。RSA算法利用两个足够大的质数与被加密原文相乘生产的积来加密或解密。这两个质数无论是用哪一个与被加密的原文相乘(模乘),即对原文件加密,均可由另一个质数再相乘来进行解密。但是求解几乎是不可能的。非对称加密算法的保密性比较好,消除了最终用户交换密钥的需要,但加密和解密花费时间长、速度慢,不适合对文件加密而只适用于对少量数据进行加密。
信息发送方采用对称来加密信息,然后将对称密钥用接收方的公开密钥来加密,这部分称为数字信封(Digital Envelope)。之后,再分别和密文一起发送给接收方。接收方先用自己的私钥打开数字信封,得到对称密钥,然后使用对称密钥解开信息。
2.数字签名技术
对信息进行加密只解决了电子商务安全的第一个问题,而要防止他人破坏传输的数据,还要确定发送信息人的身份,这就需要采取另外一种手段――数字签名。数字签名采用了双重加密的方法来实现防伪、防抵赖。
把HASH函数和公钥算法结合起来,可以在提供数据完整性的同时,也可以保证数据的真实性。完整性保证传输的数据没有被修改,而真实性则保证是由确定的合法者产生的HASH。把这两种机制结合起来就可以产生所谓的数字签名(Digital Signature)。将报文按双方约定的HASH算法计算得到一个固定位数的报文摘要(Mes-sage Digest)值。只要改动报文的任何一位,重新计算出的报文摘要就会与原先值不符。然后把该报文的摘要值用发送者的私人密钥加密,将该密文同原报文一起发送给接收者,所产生的报文即称数字签名。
在电子商务的发展过程中,数字签名技术也有所发展,以适应不同的需要。数字时间戳就是一种变种的应用。在交易文件中,时间是十分重要的信息,在书面合同中,文件签署的日期和签名一样均是十分重要的防止文件被和篡改的关键内容。时间戳是一个经过加密后形成的凭证文档,它包括三个部分:需加时间戳的文件的摘要,DTS收到文件的日期和时间及DTS的数字签名。
3.认证机构
在电子交易中,无论是数字签字的签别还是数字时间戳服务都不是仅靠交易的双方自己能完成的,需要一个具有权威性和公正性的第三方来帮助实现。认证中心CA就是承担网上安全电子交易的认证服务、签发数字证书、确认用户身份的服务机构。认证中心通常是企业性的服务机构,具有半官方的身份,主要任务是受理数字证书的申请、签发及对数字证书的管理。通过认证机构来认证买卖双方的身份和信息,是保证电子商务交易安全的重要措施。
总之,安全是电子商务的核心和灵魂,没有安全保障的电子商务应用只是虚伪的炒作或欺骗,任何独立的个人或团体都不会愿意让自己的敏感信息在不安全的电子商务流程中传输。而信息认证能够支持电子商务应用的主要模式,确保交易信息的安全性,从而极大地推动电子商务的发展。
参考文献:
[1]傅铅生:电子商务教程[M].国防工业出版社,2006.8
身份认证技术论文范文第8篇
关键词:校园网 规划 信息化
中图分类号:TP393.18 文献标识码:A 文章编号:1007-9416(2016)12-0195-01
引言
在高校校园网建设中,一个好的校园网络接入身份系统是指能够为广大师生提供安全、便捷的接入服务,主要表现三个方面:1)在具有多个校区的网络环境中,能够提供可靠的身份认证服务;2)支持多种认证方式,如支持用户漫游的分布认证、单点登陆认证等多种认证方式,用户无论身处哪个校区,都可以一次接入认证后即可访问校内多个业务系统;3)具备大量的认证用户并发访问认证服务器时系统查以自动调配内存资源的能力(即具备良好的负载均衡能力。随着我国高等职业院校的快速发展,各高职院校不断扩大招生规模,并启动新校区建设。各院校在统筹建设新、老校区网络建设时,也都在研究安全、可靠、负载性能好的身份认证系统。本论文以某高职院校为例,设计了一个基于“三层架构”的校园网身份认证系统,对高职院校开发校园网络身份认证系统具有一定的参考价值。
1 校园网身份认证相关技术
1.1 Kerberosy认证
Kerberosy认证是在上世纪90年代伴随万维网的出现而诞生的经典身份认证技术。它提供了一种利用认证服务器(AS)实现客户端(Client)和服务器端(Server)相互J证的经典思路;为解决一次授权即实现多服务器登陆的问题,Kerberosy认证引入了票据授权服务(TGS - Ticket Granting Service),省去了多次认证的时空开销。因此,Kerberosy认证包括认证服务器(AS),客户端(Client)和普通服务器(Server)、票据授权服务(TGS - Ticket Granting Service) 四个角色。
1.2 LDAP:轻量级目录访问协议
轻量级目录访问协议 ,是一种跨平台的目录服务技术,位于TCP/IP协议的上层,提供标准的服务接口,因此具有平台无关性,采用树状模式存储目录信息,每一条目录信息基于条目(Entry),条目在目录全局中具有唯一的身份标识并包含属性信息(一般比较精短),方便快速检索条目信息。由于身份认证中传递的多数都为短文本(加密)信息,因此LDAP协议的特别适合身份认证的需求,此特性使其在各种身份认证技术中得到广泛应用。
1.3 ICE中间件
Ice是Internet Communications Engine的简称,是一种面向对象的中间件平台,支持面向对象的RPC编程,其最初的目的是为了提供类似CORBA技术的强大功能,又能消除CORBA技术的复杂性。该平台为构建面向对象的客户-服务器应用提供了工具、API和库支持。ICE平台内嵌负载均衡功能,对于分布大多个节点上的应用服务提供多种负载均衡方案,只需要通过XML配置文件即可完成负载均衡配置。配置项包括Type (负载均衡类型)、Sampling interval(负载信息收集间隙)、Number of replicas(返回给客户端的适配器个数)。
2 基于三层架构的校园网身份认证模型
2.1 统一身份认证集成中存在的突出问题
目前,统一身份认证主要有网关模型、模型、经纪人模型等三种模型。网关模型中所有的应用系统都放在认证系统之后,虽然提高了应用系统的安全性,但也导致部分对用户权限要求并不高的应用系统不能很好地被用户访问,比较典型的如各高校专门为学生下载视频资源搭建的FTP应用。因此网关模型对用户访问应用系统资源具有一定的制约性。模型是用户通过服务器访问不同的应用系统,用户的访问权限由服务器控制,但用户的登陆信息在本地存储,存在信息泄露的危险。经纪人模型不存在前两种模型的缺点,但需要生成电子身份标识,认证开销比较大,对认证服务器性能要求较高。
2.2 “三层架构”统一身份认证模型的提出
本文结合某高职院校网络实际,提出了一种基于“应用层、服务层、数据层”的三层统一身份认证模式,该模式结合了LDAP、Kerberosy认证、ICE中间件三种身份认证技术。具体模型结构如图1所示。
应用层主要是用户(Client)端向应用服务器(Service)发出访问请求,应用服务器在收到后,将用户身份信息,通过中间件认证接口发送到认证服务器层,认证服务层采用Kerberosy认证,验证通过的用户可获得数据资源访问授权,通过LDAP技术,实现用户要访问的数据资源目录与LDAP目录同步,减少用户资源访问等待时间。三层架构的优点显而易见,将认服服务器与应用服务器分开,用户不再直接访问认证服务器,减轻了认证服务器的压力;LADP同步技术提高了数据访问效率,提升了用户体验;三层架构更容易配置。
3 结语
本文主要结合某高职院校校园网身份认证的需求,介绍了统一身份身份认证的相关技术,提出了一种基于三层架构的统一身份认证技术,包括应用层、服务层、数据层,具有逻辑结构清晰、访问效率高、配置方便的明显优点。通过在某高职院校校园网统统一身份认证的应用,师生反映校园网登陆等待时间减少,资源访问更加高效,证实该方案对高职院校校园网统一身份证具有重要的参考意义。
参考文献
[1]周苏,王文.高职院校数字化校园的规划及其网络系统的设计[J].信息化建设,2015.
身份认证技术论文范文第9篇
【 关键词 】 互联网;信息安全;账号密码;身份认证
Security Investigation on the Internet Users’ Accounts and Passwords
Xie Jin 1 Liu Fan-bao 2 Xie Tao 2
(1.The First High School of Changsha HunanChangsha 410005;
2. School of Computer Science, National University of Defense Technology HunanChangsha 410073)
【 Abstract 】 Being directed against the basic problem of information security, i.e. the security of the Internet users’ accounts and their corresponding passwords, an investigation on the security level of inland network identity authentication has been carried on for 3 years. The investigation focuses on testing the security mechanisms applied in the registration (create a new account) and sign-in procedures of some dominant inland Internet Email service providers, and testing the security mechanisms applied in the registration and sign-in procedures of some dominant inland Internet E-Business service providers. To make comparisons on the security mechanism with overseas Internet Email service providers, similar tests have also been carried out on the three dominant Internet Email service providers, namely Hotmail, Gmail and Yahoo!Mail. Research results show that, China’s current information security can be leveled as very severe, so that some emergent measures must be taken to hold up the network security as soon as possible, and the first and foremost remedy is not to send a user’s username\password over the circuit “in the clear” any more.
【 Keywords 】 internet;information security; account password; identity authentication
1 引言
与历史上改变人类生活方式的重大技术革命一样,网络技术已经成为一把名副其实的双刃剑。从模拟信号到数字信号、从有线连接到无线连接、从静止通讯到移动通讯、从单计算机应用到多计算机互联、从人-人互联到人-物与物-物互联,网络技术发展到今天,已经无处不在、不可或缺。但由于因特网的基础协议(TCP/IP)未考虑信息安全因素,使得在网络信息技术飞速发展的今天,安全问题也异常突出。网络账号密码泄密、网络阻塞、网站瘫痪、邮件伪造、黑客入侵、网络欺诈、假冒网站等信息安全问题,已经严重威胁电子金融、电子商务、电子政务、网络媒体、网络社交等互联网络服务的安全与信任问题。
愈演愈烈的“密码危机”已经演变成为对网络技术的信任危机。近年来,互联网用户信息泄露与入侵事件层出不穷,事件日益严重。例如,索尼上亿用户信息泄露,韩国SK通讯公司七成韩国人资料遭泄露,日本爱普生公司泄露3500万用户信息,美国银行与美国花旗银行信用卡信息遭泄露,华盛顿邮报百万用户信息遭泄露…… 近年来,我国也发生了史上最为严重的用户信息泄露事件。2011年12月,CSDN上600万用户资料被公开,知名团购网站美团网的用户账号密码信息也被宣告泄露,天涯社区、开心网、7K7K、猫扑等多个社区和游戏网站的用户数据相继外泄,网上公开暴露的网络账号密码超过1亿个。2013年3月,著名云笔记服务提供商Evernote 5000万用户身份密码遭黑客泄漏。 2014年12月,中国铁路客户服务中心12306用户数据在互联网遭到大量泄漏,包括用户账号、明文密码、身份证以及邮箱等。如何确保互联网上个人、组织、服务和设备之间的虚拟服务具有与现实服务同等的可靠度与诚信度,已成为网络安全行业在信息安全理论、技术、工程与管理上迫在眉睫、义不容辞的责任与使命。
身份认证是网络信息安全的基本保障。网络服务器通过身份认证与访问控制方式对合法注册用户进行授权与管理。用户首先通过注册(账号与密码)成为网络服务器的合法用户,只有通过身份认证的用户才能访问/使用(阅读、修改、下载等)网络服务器相应角色的资源。身份认证与访问控制是网络信息安全的基本技术和基本研究内容。网络信息安全涉及计算机操作系统、互联网络安全协议与密码算法的安全性,其中网络安全协议以密码算法为基础,采用网络协议的形式实现两个以上网络实体之间的远程身份认证、密钥协商以及确保消息的不可抵赖性。安全协议的安全性不仅取决于密码算法自身的安全性,同时也取决于协议形式的安全性。身份认证协议常用攻击方法包括网络监听、重放攻击、中间人攻击、在线攻击、离线攻击等等,一个不安全的身份认证协议可以被黑客利用进行网络攻击。因此,身份认证协议的安全性是确保网络身份认证安全的技术基础。
2 电子邮件系统与商业网站账号安全
我们首先对每个电子邮箱的三种登录方式分别进行了用户账号密码的传输方式测试,包括POP3登录方式、IMAP登录方式以及Web登录方式。然后,对每个电子邮箱注册服务过程中用户注册信息的传输方式进行测试。
2.1 电子邮箱POP3客户端登录安全方式调查
我们在2011年8月的调查结果表明,采用POP3客户端登录方式的所有国内电子邮件服务提供方默认使用明文密码进行用户身份认证,而且其中46%的境内邮件服务提供方(28家中的13家)仅支持明文密码认证。我们在2012年8月的调查结果表明,采用POP3客户端登录方式的所有境内电子邮件服务提供方仍然默认使用明文密码进行用户身份认证,而且其中39%的境内邮件服务提供方(28家中的11家)仅支持明文密码认证。一年期间,中国移动的139mail新增HTTPS支持,Tommail新增Login支持。此点说明,已经有境内电子邮件服务提供方开始认识到用户登录身份认证安全的重要性。调查统计结果如图1(a)所示。
2.2 电子邮箱IMAP客户端登录安全方式调查
我们在2012年8月的调查结果表明,25%的境内邮件服务提供方(28家中的7家)不支持IMAP客户端登录。在支持IMAP客户端登录的境内电子邮件服务提供方中,所有提供方默认使用明文密码进行用户身份认证,其中33%的提供方(21家中的7家)仅支持明文密码认证。调查统计结果如图1(b)所示。
2.3 电子邮箱Web页面注册与登录安全方式调查
我们在2012年8月的调查结果表明,除亿邮(eyou.mail)关闭了注册功能外,所有境内邮件服务提供方在用户注册过程中均将注册信息(包括账号与密码)以明文方式传输至注册服务器。在已调查的28个境内知名邮件服务提供方中有19个(比例为67.9%)为收费邮件服务(每月收取服务费用从五元至上百元不等),有9个(比例为32.1%)提供免费电子邮件服务。调查结果表明,境内邮件服务商信息安全意识不强,对用户私密信息缺乏足够安全保护。令人震惊的是,19家收费电子邮件系统中竟有16家(比例为84.2%)默认使用明文密码进行登录认证,仅有3家提供非明文密码的登录认证方式,而且其中一家仅仅采用极其简单的线性掩码变换方式对登录密码进行保护,另外两家则采用安全的HTTPS方式对登录过程中的密码传输进行加密保护。由此可见,境内电子邮件系统安全性十分脆弱。在9家免费电子邮件系统中,仅有搜狐旗下的4家提供安全的HTTPS对登录过程的密码传输进行加密保护,另外三个使用用户明文密码进行登录认证,剩余两家使用单向挑战响应认证方式对用户账号密码进行有限保护。根据轻量级(非公开密钥密码系统)动态身份认证方式中认证服务器数据库账号密码必须与用户登录密码一致的原理,可以推定其中使用单向挑战响应认证方式的两家邮件服务商均采用明文密码数据库,因此容易遭受因认证数据库泄密导致的集中泄密风险。调查统计结果如图2所示。
2.4 国外电子邮箱系统安全性调查
作为安全性比较分析,我们对境外三大电子邮箱服务器Hotmail、Gmail和Yahoo!Mail的安全身份认证方式进行了同样的测试工作,结果发现这些邮箱的注册与登录过程全部以安全HTTPS协议方式对用户账号密码信息进行加密传输,基本上没有明文账号密码传输认证方式选项。
境内电子邮件服务提供方仅采用最低安全级别的明文密码传输方式进行身份认证,而境外电子邮件服务方一般提供安全级别很高的口令密码加密传输保护方式。因此,境内电子邮件系统极易受到境内外黑客或者情报部门攻击,并利用用户个人私密信息进行商业牟利或政治与军事渗透活动。重视账号和内容安全的国内电子邮件用户因而转投境外电子邮件提供方。由于我们无法控制国外邮件服务器,而境外情报部门却能轻易控制并利用境内的电子邮箱信息,致使我国在网络信息安全技术领域处于不对称的弱势地位。此外,我国现有网络服务器等网络核心设备一般采用国外主机与操作系统,由网络设备制造方预设的硬件后门和软件后门所导致的安全风险也不容小觑。
2.5 商业网站账号安全性调查
名目繁多的境内互联网商业网站为用户提供购物、旅游、聊天、交友等系列服务,极大便利了广大用户的生活。这些网站数据库中留下了用户的各种私密信息(爱好、消费内容和习惯、交往人群等),如果这些用户信息发生集中泄露事件,用户就毫无隐私可言。2011年12月期间我国系列网站账号数据库集中泄露事件表明,境内商业网站的账号与密码的安全性令人质疑。
2012年8月我们集中调查了30家知名商业网站的账号密码安全性。受调查的商业网站涵盖生活、招聘、交友、团购、购物、旅游和视频等方面,在一定程度上代表了当前服务性商业网站的主流应用。我们主要通过监控用户注册过程和用户登录过程,检查网站是否提供必要的安全技术对用户的账号密码进行保护。其中29家商业网站在用户提交注册信息(包含账号密码)的过程中均未提供任何安全保护,包括知名购物网站淘宝网,用户设定的账号和密码通过明文方式经过不安全的互联网传送至网站服务器。京东商城使用HTTPS对注册和登录过程进行保护。
26家商业网站(比例86.7%)对用户的登录认证过程未提供任何安全保护,仅仅采用明文密码认证方式,包括知名团购网站拉手网和美团网以及三大招聘网站,如图3所示。仅有淘宝和京东商城提供了安全的HTTPS对用户登录认证过程的密码传输进行加密保护,另有三家网站(58同城、开心网和新浪微博)采用单向挑战响应认证方式对用户在登录认证过程中的密码传输进行了有限的保护。根据动态身份认证方式中认证服务器数据库账号密码必须与用户登录密码一致的原理,可以推定其中使用单向挑战响应认证方式的三家商业网站服务商采用明文密码数据库,因此容易遭受因认证数据库泄密导致的集中泄密风险。调查统计结果如图3所示。2014年8月,我们再一次对此30家知名商业网站的账号密码安全性进行复查,发现58同城网、CSDN论坛网、美团购物网、大公点评网以及去哪儿旅游网等几家商业或社交网站的注册与登录信息传输已经采用HTTPS安全协议进行了加密封装,其它网站仍然没有进行必要的安全升级。
3 调查结论与建议
3.1 调查结论
(1)境内互联网服务提供方用户的身份注册与登录认证过程普遍默认采用静态身份认证方式。虽然认证数据库用户的账号密码存储方式不明,但用户的账号密码却几乎全部采用明文密码传输方式。因此,容易遭受网络监听泄密风险。这是导致近几年国内外商业数据库账号密码泄密的主要技术原因。
(2)绝大部分境内互联网服务提供方的用户注册信息(账号与密码)传输仅仅提供唯一的明文传输方式,近半数境内互联网服务提供方用户登录身份认证的账号密码传输仅仅提供唯一的明文传输方式。因此,非常容易遭受网络监听泄密风险。这是导致近几年国内外商业数据库账号密码泄密的主要技术原因。
(3)境外互联网几大专业电子邮箱服务器Hotmail、Gmail和Yahoo!Mail均采用SSL\TLS协议对口令实施加密传输动态认证,防止账号口令密码网络明文传输泄密风险;认证服务器数据库则采用账号口令散列值加密方式,预防数据库内部集中泄密风险。
(4)为了确保网络身份认证数据库安全与认证过程中认证信息传输的安全性,无论是国际互联网还是包括军网在内的各种内部专网,必须采用SSL\TLS协议将网络身份认证过程加密封装,在口令密码散列值加密存储方式下实现非对称密码体制下的动态身份认证。
(5)密码算法、安全协议与网络工程以及操作系统各专业研究领域必须紧密合作,才能保证一项互联网应用工程中的信息安全。我国互联网普遍存在用户账号密码明文传输的不安全静态认证方式,根本原因在于互联网应用工程设计人员网络安全意识不强,对网络安全协议缺少研究,对常规网络攻击方法与行为缺乏了解,对潜在的网络攻击新理论与新技术更缺少关心。
根据轻量级动态身份认证的一致性原理可以推定,采用轻量级动态身份认证方式的认证数据库一般采用用户账号密码的明文存储方式。根据一致性原理同时可以推定,安全的认证数据库一般采用用户账号密码的单向散列值影子文件加密保护,而采用SSL/TLS安全协议将静态认证的明文密码传输转换成重量级动态认证的加密传输方式。这样,网络身份认证才能既可防止认证数据库的内部集中泄密风险,又能防止外部网络监听的重放攻击。
3.2 应急建议
(1)尽快对我国互联网开展一次用户身份认证方式的普查工作,检查认证数据库用户的账号密码存储方式与身份认证中账号密码的网络传输方式。
(2)尽快对我国各行业内部专用互联网(内部信息专网、政府办公专网、金融专网、邮电专网、铁路专网等等)开展一次用户身份认证方式的普查工作,检查认证数据库用户的账号密码存储方式与身份认证中账号密码的网络传输方式。
(3)采用SSL\TLS协议对我国互联网用户身份认证过程实现加密封装,确保身份认证过程的动态性。
(4)加强网络信息安全意识,建立互联网攻防新技术专业实验室,为复杂信息化环境下的军事斗争加紧培养既精通密码算法与安全协议的分析方法又通晓操作系统与网络工程技术的复合型高级专门技术人才。
参考文献
[1] 谢涛,陈火旺,康立山. 幻方身份双向认证与密约传输一体化方法.中国知识产权局,发明专利号:331608,2007年6月.
[2] 谢涛. 一种用于身份真伪鉴别的幻方签名方法.中国知识产权局,发明专利号:695757,2010年11月.
[3] Freier A, Karlton P, Kocher P. The Secure Sockets Layer (SSL)Protocol Version 3.0. RFC 6101 (Historic). August 2011. http:///rfc/rfc6101.txt.
[4] Dierks T, Rescorla E. The Transport Layer Security (TLS) Protocol Version 1.2. RFC 5246 (Proposed Standard). August 2008. Updated by RFCs 5746, 5878, 6176, http:///rfc/rfc5246.txt.
[5] Rescorla E. HTTP Over TLS. RFC 2818 (Informational). May 2000. Updated by RFC 5785, http:///rfc/rfc2818.txt.
[6] Fielding R, Gettys J, Mogul J, et al. Hypertext Transfer Protocol-HTTP/1.1. RFC 2616 (Draft Standard). June 1999. Updated by RFCs 2817, 5785, 6266, http:///rfc/rfc2616.txt.
[7] Crispin M. INTERNET MESSAGE ACCESS PROTOCOL - VER- SION 4rev1. RFC 3501 (Proposed Standard). March 2003. Updated by RFCs 4466, 4469, 4551, 5032, 5182, 5738, 6186, http:///rfc/rfc3501.txt.
基金项目:
本文工作得到国家自然科学基金项目NSF.61070228与 NSF.61472476的连续资助以及国防科技大学XXX实验室的大力支持。
作者简介:
谢瑾(1997-),女,湖南长沙人, 湖南省长沙市第一中学信息技术组成员;主要研究方向和关注领域:互联网应用创意、文学创作、数学游戏。
身份认证技术论文范文第10篇
1、身份认证技术的含义
身份认证技术是指能够对信息收发方进行真实身份鉴别的技术,是保护网络信息资源安全的第一道大门,它的任务是识别、验证网络信息系统中用户身份的合法性和真实性,按授权访问系统资源,并将非法访问者拒之门外。可见,身份认证在安全系统中的地位极其重要,是最基本的安全服务,其它的安全服务都要依赖于它。
2、用户身份认证的发展趋势
网络身份认证技术在未来的发展中应朝着高安全性、高速度、高稳定性、易用性、实用性以及认证终端小型化等方向发展。其发展趋势可从以下几个方面体现:
2.1生物认证技术
目前还没有一种生物特征认证技术的正确率能达到百分之百。如何通过提高硬件水平和改进识别算法来提高识别的正确率将是未来的研究热点。
2.2多因素认证
有效地结合各种单因素认证技术,可以提高身份认证的安全性能。基于Web的口令认证与手机短信确认相结合双因素认证已在应用中;多种生物特征的多数据融合与识别技术也将是未来的研究方向。
2.3属性认证技术
属性认证技术主要是把基于属性证书的授权方案和认证技术相结合的认证授权方式,可以解决完全分布式的网络环境中身份认证与细粒度的权限分配问题。
3、常用的协议
身份认证是通过身份认证协议来实现的。身份认证协议是一种特殊的通信协议,它定义了所有参与认证服务的通信方在身份认证过程中需要交换的所有信息的格式和这些消息发生的次序以及消息的语义。从目前来看,大多数身份认证协议是基于密码学原理的。常用的身份认证协议有:
3.1SET协议
安全数据交换协议SET(SecureElectronicTransferprotocol)是一种以信用卡为基础的,在Internet上交易的付款协议,是授权业务信息传输的安全标准,它采用RSA密码算法,利用公钥体系对通信双方进行认证,用DES等标准加密算法对信息加密传输,并用散列函数算法来鉴别信息的完整性。SET协议是目前国际上通用的网上支付标准。
3.2SSL协议
安全套接口层协议SSL(SecureSocketsLayer)是由Netscape开发的,SSL可插入到Internet应用协议中,成为运行于InternetTCP/IP网络层协议之上的一个全新应用协议层,可用于保护正常运行于TCP上的任何应用协议,如HTTP,FTP,SMTP和Telnet的通信。SSL保证了Internet上浏览器/服务器会话中三大安全中心内容:机密性、完整性、认证性[1]。
3.3Kerberos协议
Kerberos协议是80年代由MIT开发的一种网络认证协议,它允许一台计算机通过交换加密消息在整个非安全网络上与另一台计算机互相证明身份。一旦身份得到验证,Kerberos协议给这两台计算机提供密钥,以进行安全通讯对话。所以它适合在一个物理网络并不是很安全的环境下使用。
4、身份认证常用的方式
身份认证的基本方法就是由被认证方提交该主体独有的并且难以伪造的信息来表明自己的身份。常用的方式有:
4.1基于PKI(PublicKeyInfrastructure)的数字证书
公钥基础设施PKI是利用公钥密码理论和技术建立的提供安全服务的基础设施。PKI的简单定义是指一系列基础服务,这些服务主要用来支持以公开密钥为基础的数字签名和加密技术的广泛应用[2]。PKI技术是信息安全技术的核心。由于现代远程教育是一种非面对面的、是通过网络进行的教学活动,因而使得电子方式验证信任关系显得至关重要,而PKI技术恰好是一种适合这种活动的密码技术,它能够有效地解决现代远程教育中的保密性、真实性、完整性、不可否认性、访问可控性等安全问题。PKI的部件包括数字证书、签署这些证书的认证机构(CA)、登记机构(RA)、存储和这些证书的电子目录以及证书路径等等,其中数字证书是其核心部件。数字证书(DigitalID)是一种权威性的电子文档。它提供了一种在Internet上验证身份的方式,其作用类似于日常生活中的身份证[3]。它是由一个权威机构——CA证书授权(CertificateAuth-ority)中心发行的,人们可以在互联网交往中用它来识别对方的身份。当然在数字证书认证的过程中,证书认证中心(CA)作为权威的、公正的、可信赖的第三方,其作用是至关重要的。数字证书的格式一般采用的是X.509国际标准。目前的数字证书类型主要包括:个人数字证书、单位数字证书、单位员工数字证书、服务器证书、VPN证书、WAP证书、代码签名证书和表单签名证书。
4.2智能卡
智能卡(SmartCard)是指利用存储设备记忆一些用户信息特征进行的身份认证。它是一个带有微处理器和存储器等微型集成电路芯片的、具有标准规格的卡片。智能卡必须遵循一套标准,ISO7816是其中最重要的一个。ISO7816标准规定了智能卡的外形、厚度、触点位置、电信号、协议等。智能卡根据装载芯片类型的不同、信息通讯方式的不同,又可以分为存储式卡片和微处理器卡片以及接触式卡片、非接触式卡片和双界面卡片等。
4.3静态口令
静态口令是指在某一特定的时间段内没有变化、可反复多次使用的口令。因为是静态的,不变的,在很多情况下如果不慎被泄密,就可能会被他人所用,加上用户总会担心忘记密码,所以一般使用的口令都会有一定的规律可寻,例如:自己的电话号码、自己或家人的生日等等。如果口令是用在与资金帐户或重要信息有关的计算机应用系统中的话,静态口令就很不安全,一些不法分子可能通过不正当手段获取静态口令,如窥视、欺骗、侦听、穷试等。这种方式现一般用于一些不太重要的场合。
4.4动态口令
动态口令是指每次认证时输入的口令都是变化的,且不重复,一次一变,即使被别人知道了,下次也无法再使用。它是用户身份的数字化凭证,是信息系统鉴别用户身份合法性的依据。根据动态口令的产生和认证方法的不同,可以分为交互方式和主动方式两类。
4.5生物特征
生物特征认证是指采用每个人独一无二的生物特征来验证用户身份的技术。常见的生物特征有指纹、虹膜、掌纹、静脉、语音、步态等。从理论上说,生物特征认证是最可靠的身份认证方式,因为它直接使用人的物理特征来表示每一个人的数字身份,不同的人具有相同生物特征的可能性可忽略不计,因此几乎不可能被仿冒。
4.6USBKey认证
身份认证技术论文范文第11篇
随着信息技术发展与应用,信息安全内涵在不断延伸,从最初的信息保密性发展到信息的完整性、可用性、可控性和不可否认性,进而又发展为“攻(攻击)、防(防范)、测(检测)、控(控制)、管(管理)、评(评估)”等多方面基础理论和实施技术。
密码技术是信息安全技术中的核心技术,密码技术涉及信息论、计算机科学和密码学等多方面知识,它的主要任务是研究计算机系统和通信网络内信息的保护方法以实现系统内信息的安全、保密、真实和完整。密码理论与技术主要包括两部分,即基于数学的密码理论与技术包括公钥密码、分组密码、序列密码、认证码、数字签名、Hash函数、身份识别、密钥管理、PKI技术等)和非数学的密码理论与技术(包括信息隐形,量子密码,基于生物特征的识别理论与技术)。
目前,我国在密码技术应用水平方面与国外还有一定差距。因此,我们必须要自主创新,加速发展,要有我们自己的算法,自己的一套标准,自己的一套体系,来应对未来挑战。
公钥密码
项目简介:自从公钥加密问世以来,学者们提出了许多种公钥加密方法,它们安全性都是基于复杂数学难题。根据基于数学难题来分类,有以下三类系统目前被认为是安全和有效的:大整数因子分解系统(代表性的有RSA)、椭园曲线离散对数系统(ECC)和离散对数系统 (代表性的有DSA)。
当前最著名、应用最广泛的公钥系统RSA是由Rivet、Shamir、Adelman提出的(简称为“RSA系统”),它的安全性是基于大整数素因子分解的困难性,而大整数因子分解问题是数学上的著名难题,至今没有有效方法予以解决,因此可以确保RSA算法的安全性。RSA系统是公钥系统的最具有典型意义的方法,大多数使用公钥密码进行加密和数字签名的产品和标准使用的都是RSA算法。RSA方法的优点主要在于原理简单,易于使用。但是,随着分解大整数方法的进步及完善、计算机速度的提高以及计算机网络的发展,作为RSA加解密安全保障的大整数要求越来越大。为了保证RSA使用的安全性,其密钥的位数一直在增加,比如,目前一般认为RSA需要1024位以上的字长才有安全保障。但是,密钥长度的增加导致了其加解密的速度大为降低,硬件实现也变得越来越难以忍受,这对使用RSA的应用带来了很重的负担,对进行大量安全交易的电子商务更是如此,从而使得其应用范围越来越受到制约。
安全性更高、算法实现性能更好的公钥系统椭圆曲线加密算法ECC(Elliptic Curve Cryptography)是基于离散对数的计算困难性。椭圆曲线加密方法与RSA方法相比,具有安全性更高,计算量小,处理速度快,存储空间占用小,宽带要求低等特点,ECC的这些特点使它必将取代RSA,成为通用的公钥加密算法。比如SET协议的制定者已把它作为下一代SET协议中缺省的公钥密码算法。
意义:公钥密码的快速实现是当前公钥密码研究中的一个热点,包括算法优化和程序优化。另一个人们所关注的问题是椭圆曲线公钥密码的安全性论证问题。
序列密码
项目简介:序列密码作用于由若干位组成的一些小型组,通常使用称为密钥流的一个位序列作为密钥对它们逐位应用“异或”运算。有些序列密码基于一种称作“线形 反馈移位寄存器(Linear Feedback Shift Register,LFSR)”的机制,该机制生成一个二进制位序列。
序列密码是由一种专业的密码,Vernam密码(也称为一次性密码本(one-time pad)),发展而来的。序列密码的示例包括 RC4 和“软件优化加密算法(Software Optimized Encryption Algorithm SEAL)”,以及 Vernam 密码或一次性密码本的特殊情形。
序列密码主要用于政府、军方等国家要害部门,尽管用于这些部门的理论和技术都是保密的,但由于一些数学工具(比如代数、数论、概率等)可用于研究序列密码,其理论和技术相对而言比较成熟。从八十年代中期到九十年代初,序列密码的研究非常热,在序列密码的设计与生成以及分析方面出现了一大批有价值的成果,我国学者在这方面也做了非常优秀的工作。虽然,近年来序列密码不是一个研究热点,但有很多有价值的公开问题需要进一步解决,比如自同步流密码的研究,有记忆前馈网络密码系统的研究,混沌序列密码和新研究方法的探索等。另外,虽然没有制定序列密码标准,但在一些系统中广泛使用了序列密码比如RC4,用于存储加密。
意义:目前,欧洲的NESSIE计划中已经包括了序列密码标准的制定,这一举措有可能导致序列密码研究热。
身份认证
项目简介:身份认证是指计算机及网络系统确认操作者身份的过程。身份认证技术从是否使用硬件可以分为软件认证和硬件认证,从认证需要验证的条件来看,可以分为单因子认证和双因子认证。从认证信息来看,可以分为静态认证和动态认证。身份认证技术的发展,经历了从软件认证到硬件认证,从单因子认证到双因子认证,从静态认证到动态认证的过程。现在计算机及网络系统中常用的身份认证方式主要有以下几种:用户名/密码方式,IC卡认证,动态口令,生物特征认证,USB Key认证等。
基于USB Key的身份认证方式是近几年发展起来的一种方便、安全、经济的身份认证技术,它采用软硬件相结合一次一密的强双因子认证模式,很好地解决了安全性与易用性之间的矛盾。USB Key是一种USB接口的硬件设备,它内置单片机或智能卡芯片,可以存储用户的密钥或数字证书,利用USB Key内置的密码学算法实现对用户身份的认证。基于USB Key身份认证系统主要有两种应用模式:一是基于冲击/相应的认证模式,二是基于PKI体系的认证模式。由于USB Key具有安全可靠,便于携带、使用方便、成本低廉的优点,加上PKI体系完善的数据保护机制,使用USB Key存储数字证书的认证方式已经成为目前以及未来最具有前景的主要认证模式。
意义:身份安全是信息安全的基础,身份认证是整个信息安全体系最基础的环节,是信息安全的第一道关隘。
数字签名
所谓数字签名就是附加在数据单元上的一些数据,或是对数据单元所作的密码变换。这种数据或变换允许数据单元的接收者用以确认数据单元的来源和数据单元的完整性并保护数据,防止被人(例如接收者)进行伪造。它是对电子形式的消息进行签名的一种方法,一个签名消息能在一个通信网络中传输。基于公钥密码体制和私钥密码体制都可以获得数字签名,目前主要是基于公钥密码体制的数字签名。包括普通数字签名和特殊数字签名。普通数字签名算法有RSA、ElGamal、Fiat-Shamir、Guillou- Quisquarter、Schnorr、Ong-Schnorr-Shamir数字签名算法、Des/DSA,椭圆曲线数字签名算法和有限自动机数字签名算法等。特殊数字签名有盲签名、签名、群签名、不可否认签名、公平盲签名、门限签名、具有消息恢复功能的签名等,它与具体应用环境密切相关。显然,数字签名的应用涉及到法律问题,美国联邦政府基于有限域上的离散对数问题制定了自己的数字签名标准(DSS)。
数字签名(Digital Signature)技术是不对称加密算法的典型应用。数字签名的应用过程是,数据源发送方使用自己的私钥对数据校验和或其他与数据内容有关的变量进行加密处理,完成对数据的合法“签名”,数据接收方则利用对方的公钥来解读收到的“数字签名”,并将解读结果用于对数据完整性的检验,以确认签名的合法性。数字签名技术是在网络系统虚拟环境中确认身份的重要技术,完全可以代替现实过程中的“亲笔签字”,在技术和法律上有保证。在公钥与私钥管理方面,数字签名应用与加密邮件PGP技术正好相反。在数字签名应用中,发送者的公钥可以很方便地得到,但他的私钥则需要严格保密。
数字签名包括普通数字签名和特殊数字签名。普通数字签名算法有RSA、ElGmal、Fiat-Shamir、Guillou-Quisquarter、Schnorr、Ong-Schnorr-Shamir数字签名算法、Des/DSA,椭圆曲线数字签名算法和有限自动机数字签名算法等。特殊数字签名有盲签名、签名、群签名、不可否认签名、公平盲签名、门限签名、具有消息恢复功能的签名等,它与具体应用环境密切相关。
数字签名技术是将摘要信息用发送者的私钥加密,与原文一起传送给接收者。接收者只有用发送的公钥才能解密被加密的摘要信息,然后用HASH函数对收到的原文产生一个摘要信息,与解密的摘要信息对比。如果相同,则说明收到的信息是完整的,在传输过程中没有被修改,否则说明信息被修改过,因此数字签名能够验证信息的完整性。
数字签名主要的功能是:保证信息传输的完整性、发送者的身份认证、防止交易中的抵赖发生。
意义:目前数字签名的研究内容非常丰富,包括普通签名和特殊签名。特殊签名有盲签名,签名,群签名,不可否认签名,公平盲签名,门限签名,具有消息恢复功能的签名等,它与具体应用环境密切相关。
PKI技术
项目简介:工程学家对PKI是这样定义的:“PKI是一个用公钥概念与技术来实施和提供安全服务的普遍适用的安全基础设施。换句话说,PKI是一个利用非对称密码算法(即公开密钥算法)原理和技术实现的并提供网络安全服务的具有通用性的安全基础设施”。它遵循标准的公钥加密技术,为电子商务、电子政务、网上银行和网上证券业,提供一整套安全保证的基础平台。用户利用PKI基础平台所提供的安全服务,能在网上实现安全地通信。PKI这种遵循标准的密钥管理平台,能够为所有网上应用,透明地提供加解密和数字签名等安全服务所需要的密钥和证书管理。
还有一种是学者们对PKI的定义:“PKI是硬件、软件、策略和人组成的系统,当安全并正确地实施后,能够提供一整套的信息安全保障,这些保障对保护敏感的通信和交易是非常重要的”。换句话说,PKI是创建、颁发、管理和撤消公钥证书所涉及到的所有软件、硬件系统,以及所涉及到的整个过程安全策略规范、法律法规以及人员的集合。安全地、正确地运营这些系统和规范就能提供一整套的网上安全服务。
目前最为人们所关注的实用密码技即是PKI技术。国外的PKI应用已经开始,开发PKI的厂商也有多家。许多厂家,如Baltimore,Entrust等推出了可以应用的PKI产品,有些公司如VerySign等已经开始提供PKI服务。网络许多应用正在使用PKI技术来保证网络的认证、不可否认、加解密和密钥管理等。尽管如此,总的说来PKI技术仍在发展中。按照国外一些调查公司的说法,PKI系统仅仅还是在做示范工程。
意义:IDC公司的Internet安全资深分析家认为:PKI技术将成为所有应用的计算基础结构的核心部件,包括那些越出传统网络界限的应用。B2B电子商务活动需要的认证、不可否认等只有PKI产品才有能力提供这些功能。
IBE技术
项目简介:PKI技术虽然是目前比较成熟的安全解决方案,但是它本身并不是为了解决企业之间进行安全通信而设计的,所以没有考虑持续增长的互联设备之间通信越来越频繁的问题,使得PKI技术在实际应用中日益凸现出很多问题。IBE是最近几年提出来的一种基于身份的加密(Identity-based Encryption)通信机制,不但加密机制简单易用,而且形成了数据加密和身份认证相互独立的一个安全的通信环境。IBE可以解决与数字证书有关的复杂问题(用户注册、证书管理及证书撤销),又能提供公钥加密系统具有的安全性和保密性,因此可以结合到很多的应用中。IBE机制同样也可以和指纹认证技术相结合,如果使用指纹识别来实现身份认证,可以加强IBE的身份认证机制,同时利用IBE本身具有的特性又能克服PKI的弊端。利用指纹对用户进行身份认证,同时基于PKI技术,将数字签名、身份认证、文件加密和证书管理等信息安全技术植入现有的电子商务、电子政务系统,以此保证可靠身份认证和可靠信息传输。
意义:指纹认证技术与IBE技术的结合将具有非常好的应用前景。
量子密码
项目简介:量子密码术用我们当前的物理学知识来开发不能被破获的密码系统,即如果不了解发送者和接受者的信息,该系统就完全安全。
近年来,英、美、日等国的许多大学和研究机构竞相投入到量子密码的研究之中,更大的计划在欧洲进行。到目前为止,主要有三大类量子密码实现方案:一是基于单光子量子信道中测不准原理的;二是基于量子相关信道中Bell原理的;三是基于两个非正交量子态性质的。但有许多问题还有待于研究。比如,寻找相应的量子效应以便提出更多的量子密钥分配协议,量子加密理论的形成和完善,量子密码协议的安全性分析方法研究,量子加密算法的开发,量子密码的实用化等。
意义:目前,量子密码的全部研究还在实验室中,没有进入实用阶段。科学家已经在量子密码的相关研究中得到了一定进展,能在光纤中传递量子密码。但在长距离的光纤传输中,光子的偏振特性会退化,造成误码率的增加。实验中的量子密码的最大传输距离没有超过100公里。一旦这个瓶颈被突破,量子密码将迎来大发展。科学家们表示,保密与窃密就像矛与盾一样形影相随,它们之间的斗争已经持续了几千年,量子密码的出现,将成为这场斗争的终结者。
信息隐藏
项目简介:信息隐藏技术(Information Hiding),也称作数据隐藏(Data Hiding),主要是指将特定的信息嵌入(embedding)数字化宿主信息(如文本、数字化的声音、图像、视频信号等)中,以不引起检查者的注意,并通过网络传递出去。特定的信息一般就是保密信息。
信息加密是隐藏信息的内容,而信息隐藏是隐藏信息的存在性。信息隐藏的目的不在于限制正常的信息存取和访问,而在于保证隐藏的信息不引起监控者的注意和重视,从而减少被攻击的可能性,在此基础上再使用密码术来加强隐藏信息的安全性。因此信息隐藏比信息加密更为安全。应该注意,密码术和信息隐藏技术不是互相矛盾、互相竞争的技术,而是相互补充的技术,他们的区别在于应用的场合不同,对算法的要求不同,但可能在实际应用中需要互相配合。
信息隐藏的方法主要有隐写术、数字水印、可视密码、潜信道、隐匿协议等。
隐写术
(Steganography):隐写术就是将秘密信息隐藏到看上去普通的信息(如数字图像)中进行传送。现有的隐写术方法主要有利用高空间频率的图像数据隐藏信息、采用最低有效位方法将信息隐藏到宿主信号中、使用信号的色度隐藏信息的方法、在数字图像的像素亮度的统计模型上隐藏信息的方法、Patchwork方法等等。
数字水印(Digital Watermark):数字水印就是向被保护的数字对象嵌入某些能证明版权归属或跟踪侵权行为的信息。目前主要有两类数字水印,一类是空间数字水印,另一类是频率数字水印。空间数字水印的典型代表是最低有效位(LSB)算法,其原理是通过修改表示数字图像的颜色或颜色分量的位平面,调整数字图像中感知不重要的像素来表达水印的信息,以达到嵌入水印的目的。频率数字水印的典型代表是扩展频谱算法,其原理是通过时频分析,根据扩展频谱特性,在数字图像的频率域上选择那些对视觉最敏感的部分,使修改后的系数隐含数字水印的信息。
可视密码技术:可视密码技术是Naor和Shamir于1994年首次提出的,其主要特点是恢复秘密图像时不需要任何复杂的密码学计算,而是以人的视觉即可将秘密图像辨别出来。其做法是产生n张不具有任何意义的胶片,任取其中t张胶片叠合在一起即可还原出隐藏在其中的秘密信息。其后,人们又对该方案进行了改进和发展。主要的改进办法有:使产生的n张胶片都有一定的意义,这样做更具有迷惑性;改进了相关集合的构造方法;将针对黑白图像的可视秘密共享扩展到基于灰度和彩色图像的可视秘密共享。
信息隐藏技术的另一重要应用是匿名通信(Anonymity Communication):是指设法隐藏消息的来源。网络匿名划分为发送方匿名和接收方匿名,如网上浏览关心的是接收方的匿名,而电子邮件则关心发送方的匿名,包括匿名重发(Anonymous Remailers)和网络技术。
意义:信息隐藏学是一门新兴的交叉学科 ,在计算机、通讯、保密学等领域有着广阔的应用前景 。
生物特征认证
项目简介:现代社会对于人类自身的身份识别的准确性、安全性与实用性提出了更高的要求。传统的身份识别方法已经远远不能满足这种要求,生物特征认证技术(又称生物识别技术)就是在这种背景下应运而生的身份识别技术。生物特征识别技术是指通过计算机利用人体所固有的生理特征或行为特征来进行个人身份鉴定。生理特征与生俱来,多为先天性的;行为特征则是习惯使然,多为后天性的。我们将生理和行为特征统称为生物特征。常用的生物特征包括: 指纹、掌纹、虹膜、脸像、声音、笔迹、步态等。而其中以指纹识别为代表的生物特征识别技术凭借其独特的优势正在被越来越多地应用到新的领域。基于生物特征的身份认证技术的大发展既是近年来市场需求扩大带来的结果,本质上也是身份认证技术的回归,即依靠人体固有的特征鉴别身份。
意义:利用生物特征的惟一性、稳定性等特点和密码技术相结合,能为信息安全提供更高层次的保障。
指纹认证技术和PKI技术的结合
指纹认证技术和PKI技术的结合应用主要体现在两个方面:
1.强身份认证和安全传输的结合: PKI实现第一重认证,一方面认证数字证书和密钥的统一性和合法性,另一方面建立信息传输安全通道; 指纹认证在此安全通道内进一步确定使用当前证书的用户身份的合法性,即实现数字身份和物理身份的统一。
身份认证技术论文范文第12篇
该文以高职院校为立脚点,对高职院校的统一身份管理平台进行建设分析和技术探讨。并从建设者的角度从基础服务、集成接口、身份管理控制台三个方面进行了深入分析。从技术层面,对标准化、可扩展、集成化、开放性、安全性等方面进行了深入阐述。文章最后提出了进行统一身份认证的必要性。
关键词:
高职院校;统一身份管理;建设分析;技术探讨
1概述
据不完全统计,在高职院校,绝大多数职能部门都自己独立的资源系统或者平台。教务处为了方便教学管理和教务管理,搭建了教务系统和排课系统,为了方便开展毕业生论文答辩,搭建了毕业论文管理系统,为了方便顶岗实训,又搭建了顶岗实训系统;学生工作处为了方便学生的管理和宿舍的检查,搭建了学生管理平台和宿舍管理平台;科技处为了统计教师每年的课题和科研工作量,搭建了自己的科技量统计平台;人事处为了随时能够了解教职工的学历提升情况、师资建设情况,搭建了自己的人事管理系统;有些高职院校,为迎接各种示范建设或者骨干建设,还成立了示范建设办公室,这个办公室为了能够快速收齐相关的资料,也会搭建自己的平台。
每个职能部门,自己搭建的平台都是相对独立的,完全不共享,是孤立的,独立存在的,数据不是共享的。这样会导致很多不良的后果,比如:同一个高职院校的同一名教师,手里面可能有数十个由各个系统分配过来的账户和密码,不便于管理;再比如,因为各职能部门的系统是完全独立,数据没有得到共享,如果教师在教务系统里面填制了一次个人信息,到人事系统、毕业系统、顶岗实训系统、科研系统、学工系统等其他系统里面又要重新填制一次甚至数十次的个人信息,看似为了提高工作效率的的系统,到了真正实施起来的时候,却变成了累赘、鸡肋。再比如,各个职能部门的系统分别由不同的厂家开发,研发的标准是完全不一样的,在没有形成统一的身份认证之前,系统之间都是不通气的,会形成大面积的资源浪费。为了解决以上这些繁琐的问题,我们提出了针对高职院校的统一身份管理系统建设。
2建设分析
统一身份管理平台,在设计之初,就应该充分考虑高职院校信息化建设的应用需求和未来发展,同时要降低系统的总体拥有成本。在系统设计、新系统开发和业务系统集成整个流程中,尽量减少身份管理平台对其他应用系统在技术上的依赖,确保身份管理平台(或功能模块)在未来发生变化(减少、增加和变更)时,能够快速方便地进行功能模块组合或修改(二次开发),以适应学校管理的新变化,将整个系统内部在技术上的相互依赖性减至最低,同时,不影响其他应用系统和整个信息化校园基础平台的运行。身份管理平台,要求采用B/S结构,可运行于Unix、Linux等高安全性操作系统。开发技术应遵循J2EE标准、组件技术及在数据交换上对XML的支持,整体架构采用SOA架构来实现,各个信息管理系统通过一个基于总线的核心基础平台有机的集成到SOA架构中。所有的服务都能通过标准的Web服务提供,采用SOAP协议传输。所有的服务通过基础平台实现统一的注册、、注销、管理等,所有的应用系统之间的整合都是通过调用基础平台的服务来实现统一的数据交换。各个应用系统要充分利用现有先进技术手段,尽可能采用相同的体系结构和运行平台,基于多层架构和组件技术进行构建,做到系统结构层次清晰合理。身份管理平台应能实现身份数据的统一存储、统一管理,实现高职院校各类应用的单点登陆,以及各类访问与操作安全审计。平台建设主要包括基础服务、集成接口、身份管理控制台三个方面。
2.1基础服务1)SSO认证服务;2)身份数据存储;3)账号数据同步服务;4)账号初始化密码服务;5)采取分级授权。
2.2集成接口1)集成接口;2)目录服务;3)集成方案:提供blackboard、sharepoint等第三方产品的集成认证方案;4)与中国移动网络或者中国联通无线网认证集成。提供解决方案,并在后期完成于网络认证系统的对接,使得无线认证通过与统一身份认证进行身份数据对接,身份数据用户名密码通过统一身份认证平台同步到无线网认证数据库中,当用户修改个人密码,身份认证管理员增加账号等操作的时候,身份数据通过身份认证的对外同步接口同步到无线网中,实现统一认证。能够实现认证平台与学校各应用系统的无缝对接。
2.3身份管理控制台1)负载均衡;2)身份自助服务;3)图形展示;4)帐号管理;5)认证管理;6)授权管理;7)审计管理;8)监控管理:监控内容包括总体状态、会话状态、进程状态、服务器状态和监控配置功能;9)系统管理:包括操作日志管理、管理员管理和配置管理功能;10)对外服务:提供对外的账号同步和对外密码同步插件,如果需要对外实行同步操作,通过开发并注册相关的插件即可完成,插件的注册和启动支持热拔插。另外,还为REST身份管理接口提供安全访问和授权的管理功能,从而保证了REST接口的安全。
3技术分析
在进行统一身份管理平台建设时,我们不能只是单纯的去考虑系统的实用性或者价廉物美,更要从系统的长远入手,从系统本身的标准化、可集成性、可扩展性、开放性、安全性、高性能、可管理性、高效特性等方面,去考虑系统的后续维护性、持久性和先进性。建设系统的目的,是让系统能更好为学校服务,而不能让系统后期的建设和高额的维护,限制了系统本身的发展。所以,在系统建设之初,规划者就应该把这些不必要的因素考虑进去,做好技术分析,最好是能做好SWOT的全貌分析。本文着重对系统本身的技术层面进行系统分析。
3.1标准化1)采用基于LDAP标准的目录服务器存储身份数据,并提供身份认证。2)平台基于J2EE标准架构,要求在安全认证方面基于JAAS技术。3)遵循CAS2.0协议规范。
3.2可集成性1)提供多种认证接口的异构支持,包括认证和LDAP目录服务接口。2)支持多种语言的接口方式,包括Java、.Net、PHP、C、C++等。3)单点登录从实现技术上基于session、cookie、rewrite技术和采用portal等几种方法,根据用户的情况可以选用其中的任何一种。4)支持Unix、Linux、Windows多种平台,完全支持跨平台的部署。
3.3可扩展性1)身份、授权、认证功能相对独立,可以灵活的与第三方产品对接。2)可实现用户名/口令认证模式,支持动态口令认证接口、CA证书认证接口、智能卡认证接口等认证方式的平滑扩展。3)支持集群、热备、负载均衡集成。4)支持同一个域内的多个应用系统间的单点登录,具有开放的跨平台SSO实现技术。
3.4开放性支持移动设备的无差别接入。包括通过移动设备访问身份认证系统。主流的移动端有三种系统:苹果系统、安卓系统、微软系统,针对这三种系统,进行重点开发。
3.5安全性1)系统需提供用户密码加密功能,支持扩展MD5、SSHA、CRYPT、SHA、RC4等多种密码加密算法,并可以快速扩展用户属性信息。2)对用户的操作行为进行日志记录,以追溯用户的行为过失,确保数据安全。3)用于单点登录的cookie不能在子域中共享。4)账号数据可进行自动备份,确保数据不丢失。5)在服务器端设置相关检测系统,对客户端的浏览端进行木马检测,后门扫描。3.6高性能1)可为数百个应用提供统一身份认证服务的同时保证亚秒
级的认证操作时间。2)支持20万级的用户容量;常用服务器配置下应能,单机部署时支持最大1000人的并发用户数,双机负载均衡部署时支持2000人的并发用户数。3.7高效特性提供灵活的同步策略配置,并通过小工具将权威数据源中新建和变更的用户身份数据同步至身份管理平台。
3.8可管理性1)友好易用的界面,更符合国人的操作习惯。2)集中的身份数据管理,不仅提供用户帐号的维护,还能提供便捷的批量导入、批量迁移等功能。3)平台应提供相关服务器的软硬件环境的监视,发现异常自动发出告警,并通知责任人。4)平台应提供历史事件的查询和认证会话的相关操作,建立完善的事后追溯机制。
4结束语
实现统一身份管理、单点登录,这是高职院校进行数字化校园建设、信息化校园建设、云平台化建设的必经之路,是为了学校更好发展、更快发展的良好铺垫。统一身份的目的,是为了学校管理者、全体教师和学生能够更方便的使用学校的数据资源,盘活学校的资产,创建节约型数字化校园。但在真正的建设和实施的过程中,道路并不是那么平坦,每个学校的建设思路、建设技巧、建设出发点都可能完全不一样,考虑的因素也就随之发生变化。本文针对大部分高职院校针对统一身份认证的通用做法,提出的通用的建设需求分析和技术分析,必然存在不足和瑕疵,这有待后期完善和补充。
参考文献:
[1]高大鹏.企业体系化统一身份管理平台设计[J].信息安全与通信保密,2014(11):126-133.
[2]刑宝存.统一认证与身份管理平台建设方案[J].信息安全与通信保密,2015(10):52-55.
[3]艾飞.数字校园统一身份管理模型及关键技术[J].大连海事大学学报,2010(2):126-128.
[4]李石师.统一身份管理系统的设计与实现[J].中国新技术新产品,2015-08-10.
[5]刘冰张明扬,虞闯.基于目录服务的数字化校园统一身份认证[J].科技创新导报,2007-12-21.
[6]贾峰,王丰.浅析统一身份认证系统的研究及实现[J].科技展望2014-12-10.
[7]陈培君.基于SOA的数字校园综合信息服务平台的研究与设计[D].电子科技大学,2013.
[8]张智秀.基于URP理论的新一代数字化校园建设的研究[D].电子科技大学,2012.
[9]王秋平,赵兰庚,王新艳.高等院校数字化校园建设初探[J].河北工程技术高等专科学校学报,2013(6).
[10]邱鸣.加快数字校园建设,提升学校核心竞争力[J].中国教育信息化,2008(5).
身份认证技术论文范文第13篇
[关键词]门限E CC电子商务安全加密签名
证书签发系统:负责证书的发放,如可以通过用户自己,或是通过目录服务。目录服务器可以是一个组织中现有的,也可以是PKI方案中提供的。PKI应用:包括在W eb服务器和浏览器之间的通讯、电子邮件、电子数据交换(E DI)、在Internet上的信用卡交易和虚拟专业网(VPN)等。应用接口系统(API):一个完整的PKI必须提供良好的应用接口系统,让用户能够方便地使用加密、数字签名等安全服务,使得各种各样的应用能够以安全、一致、可信的方式与PKI交互,确保所建立起来的网络环境的可信性,降低管理和维护的成本。
基于PKI的电子商务安全体系电子商务的关键是商务信息电子化,因此,电子商务安全性问题的关键是计算机信息的安全性。如何保障电子商务过程的顺利进行,即实现电子商务的真实性、完整性、机密性和不可否认性等。PKI体系结构采用证书管理公钥,通过第三方的可信机构,把用户的公钥和用户的其他标识信息(如用户身份识别码、用户名、身份证件号、地址等)捆绑在一起,形成数字证书,以便在Internet上验证用户的身份。PKI是建立在公钥理论基础上的,从公钥理论出发,公钥和私钥配合使用来保证数据传输的机密性;通过哈希函数、数字签名技术及消息认证码等技术来保证数据的完整性;通过数字签名技术来进行认证,且通过数字签名,安全时间戳等技术提供不可否认性服务。因此PKI是比较完整的电子商务安全解决方案,能够全面保证信息的真实性、完整性、机密性和不可否认性。通常电子商务的参与方一般包括买方、卖方、银行和作为中介的电子交易市场。首先买方通过浏览器登录到电子交易市场的W eb服务器并寻找卖方。当买方登录服务器时,买卖双方都要在网上验证对方的电子身份证,这被称为双向认证。在双方身份被互相确认以后,建立起安全通道,并进行讨价还价,之后买方向卖方提交订单。订单里有两种信息:一部分是订货信息,包括商品名称和价格;另一部分是提交银行的支付信息,包括金额和支付账号。买方对这两种信息进行双重数字签名,分别用卖方和银行的证书公钥加密上述信息。当卖方收到这些交易信息后,留下订货单信息,而将支付信息转发给银行。卖方只能用自己专有的私钥解开订货单信息并验证签名。同理,银行只能用自己的私钥解开加密的支付信息、验证签名并进行划账。银行在完成划账以后,通知起中介作用的电子交易市场、物流中心和买方,并进行商品配送。整个交易过程都是在PKI所提供的安全服务之下进行,实现了真实性、完整性、机密性和不可否认性。综上所述,PKI技术是解决电子商务安全问题的关键,综合PKI的各种应用,我们可以建立一个可信任和足够安全的网络,能够全面保证电子商务中信息的真实性、完整性、机密性和不可否认性。
计算机通信技术的蓬勃发展推动电子商务的日益发展,电子商务将成为人类信息世界的核心,也是网络应用的发展方向,与此同时,信息安全问题也日益突出,安全问题是当前电子商务的最大障碍,如何堵住网络的安全漏洞和消除安全隐患已成为人们关注的焦点,有效保障电子商务信息安全也成为推动电子商务发展的关键问题之一。电子商务安全关键技术当前电子商务普遍存在着假冒、篡改信息、窃取信息、恶意破坏等多种安全隐患,为此,电子商务安全交易中主要保证以下四个方面:信息保密性、交易者身份的确定性、不可否认性、不可修改性。保证电子商务安全的关键技术是密码技术。密码学为解决电子商务信息安全问题提供了许多有用的技术,它可用来对信息提供保密性,对身份进行认证,保证数据的完整性和不可否认性。广泛应用的核心技术有:1.信息加密算法,如DE S、RSA、E CC、M DS等,主要用来保护在公开通信信道上传输的敏感信息,以防被非法窃取。2.数字签名技术,用来对网上传输的信息进行签名,保证数据的完整性和交易的不可否认性。数字签名技术具有可信性、不可伪造性和不可重用性,签名的文件不可更改,且数字签名是不可抵赖的。3.身份认证技术,安全的身份认证方式采用公钥密码体制来进行身份识别。E CC与RSA、DSA算法相比,其抗攻击性具有绝对的优势,如160位E CC与1024位RSA、DSA有相同的安全强度。而210位E CC则是与2048比特RSA、DSA具有相同的安全强度。虽然在RSA中可以通过选取较小的公钥(可以小到3)的方法提高公钥处理速度,使其在加密和签名验证速度上与E CC有可比性,但在私钥的处理速度上(解密和签名),E CC远比RSA、DSA快得多。通过对三类公钥密码体制的对比,E CC是当今最有发展前景的一种公钥密码体制。
椭圆曲线密码系统E CC密码安全体制椭圆曲线密码系统(E lliptic Curve Cry ptosy stem,E CC)是建立在椭圆曲线离散对数问题上的密码系统,是1985年由Koblitz(美国华盛顿大学)和Miller(IBM公司)两人分别提出的,是基于有限域上椭圆曲线的离散对数计算困难性。近年来,E CC被广泛应用于商用密码领域,如ANSI(American National Standards Institute)、IE E E、基于门限E C C的《商场现代化》2008年11月(上旬刊)总第556期84少t个接收者联合才能解密出消息。最后,密钥分配中心通过安全信道发送给,并将销毁。2.加密签名阶段:(1)选择一个随机数k,,并计算,。(2)如果r=O则回到步骤(1)。(3)计算,如果s=O则回到步骤(1)。(4)对消息m的加密签名为,最后Alice将发送给接收者。3.解密验证阶段:当方案解密时,接收者P收到密文后,P中的任意t个接收者能够对密文进行解密。设联合进行解密,认证和解密算法描述如下:(1)检查r,要求,并计算,。(2)如果X=O表示签名无效;否则,并且B中各成员计算,由这t个接收者联合恢复出群体密钥的影子。(3)计算,验证如果相等,则表示签名有效;否则表示签名无效。基于门限椭圆曲线的加密签名方案具有较强的安全性,在发送端接收者组P由签名消息及无法获得Alice的私钥,因为k是未知的,欲从及a中求得k等价于求解E CDL P问题。同理,攻击者即使监听到也无法获得Alice的私钥及k;在接收端,接收者无法进行合谋攻击,任意t-1或少于t-1个解密者无法重构t-1次多项式f(x),也就不能合谋得到接收者组p中各成员的私钥及组的私钥。
结束语为了保证电子商务信息安全顺利实现,在电子商务中使用了各种信息安全技术,如加密技术、密钥管理技术、数字签名等来满足信息安全的所有目标。论文对E CDSA方案进行改进,提出了一种门限椭圆曲线加密签名方案,该方案在对消息进行加密的过程中,同时实现数字签名,大大提高了原有方案单独加密和单独签名的效率和安全性。
参考文献:
[1]Koblitz N.Elliptic Curve Cryprosystems.Mathematicsof Computation,1987,48:203~209
[2]IEEE P 1363:Standard of Public-Key Cryptography,WorkingDraft,1998~08
[3]杨波:现代密码学,北京:清华大学出版社,2003
身份认证技术论文范文第14篇
随着网络的不断普及和电子商务的迅猛发展,电子商务这种商务活动新模式已经逐渐改变了人们的经济活动方式、工作方式和生活本论文由整理提供方式,越来越多的人们开始接受并喜爱网上购物,可是,电子商务发展的瓶颈——安全问题依然是制约人们进行电子商务交易的最大问题,因此,安全问题是电子商务的核心问题,是实现和保证电子商务顺利进行的关键所在。校园电子商务是电子商务在校园环境下的具体应用与实现,其安全性也同样是其发展所不容忽视的关键问题,因此应当着重研究。
1校园电子商务概述
1.1校园电子商务的概念。
校园电子商务是电子商务在校园这个特定环境下的具体应用,它是指在校园范围内利用校园网络基础、计算机硬件、软件和安全通信手段构建的满足于校本论文由整理提供园内单位、企业和个人进行商务、工作、学习、生活各方面活动需要的一个高可用性、伸缩性和安全性的计算机系统。
1.2校园电子商务的特点。
相对于一般电子商务,校园电子商务具有客户群本论文由整理提供稳定、网络环境优良、物流配送方便、信用机制良好、服务性大于盈利性等特点,这些特点也是校园开展电子商务的优势所在。与传统校园商务活动相比,校园电子商务的特点有:交易不受时间空间限制、快捷方便、交易成本较低。
2校园电子商务的安全问题
2.1校园电子商务安全的内容。
校园电子商务安全内容从整体上可分为两大部分:校园网络安全和校园支付交易安全。校园网络安全内容主要包括:计算机网络设备安全、计算机网络系统安全、数据库安全等。校园支付交易安全的内容涉及传统校园商务活动在校园网应用时所产生的各种安全问题,如网上交易信息、网上支付以及配送服务等。
2.2校园电子商务安全威胁。
校园电子商务安全威胁同样来自网络安全威胁与交易安全威胁。然而,网络安全与交易安全并不是孤立的,而是密不可分且相辅相成的,网络安全是基础,是交易安全的保障。校园网也是一个开放性的网络,它也面临许许多多的安全威胁,比如:身份窃取、非本论文由整理提供授权访问、冒充合法用户、数据窃取、破坏数据的完整性、拒绝服务、交易否认、数据流分析、旁路控制、干扰系统正常运行、病毒与恶意攻击、内部人员的不规范使用和恶意破坏等。校园网的开放性也使得基于它的交易活动的安全性受到严重的威胁,网上交易面临的威胁可以归纳为:信息泄露、篡改信息、假冒和交易抵赖。信息泄露是非法用户通过各种技术手段盗取或截获交易信息致使信息的机密性遭到破坏;篡改信息是非法用户对交易信息插入、删除或修改,破坏信息的完整性;假冒是非法用户冒充合法交易者以伪造交易信息;交易抵赖是交易双方一方或否认交易行为,交易抵赖也是校园电子商务安全面临的主要威胁之一。
2.3校园电子商务安全的基本安全需求。
通过对校园电子商务安全威胁的分析,可以本论文由整理提供看出校园电子商务安全的基本要求是保证交易对象的身份真实性、交易信息的保密性和完整性、交易信息的有效性和交易信息的不可否认性。通过对校园电子商务系统的整体规划可以提高其安全需求。
3校园电子商务安全解决方案
3.1校园电子商务安全体系结构。
校园电子商务安全是一个复杂的系统工程,因此要从系统的角度对其进行整体的规划。根据校园电子商务的安全需求,通过对校园人文环境、网络环境、应用系统及管理等各方面的统筹考虑和规划,再结合的电子商务的安全技术,总结校园电子商务安全体系本论文由整理提供结构,如图所示:
上述安全体系结构中,人文环境层包括现有的电子商务法律法规以及校园电子商务特有的校园信息文化,它们综合构成了校园电子商务建设的大环境;基础设施层包括校园网、虚拟专网VPN和认证中心;逻辑实体层包括校园一卡通、支付网关、认证服务器和本论文由整理提供交易服务器;安全机制层包括加密技术、认证技术以及安全协议等电子商务安全机制;应用系统层即校园电子商务平台,包括网上交易、支付和配送服务等。
针对上述安全体系结构,具体的方案有:
(1)营造良好校园人文环境。加强大学生本论文由整理提供的道德教育,培养校园电子商务参与者们的信息文化知识与素养、增强高校师生的法律意识和道德观念,共
同营造良好的校园电子商务人文环境,防止人为恶意攻击和破坏。
(2)建立良好网上支付环境。目前我国高校大都建立了校园一卡通工程,校园电子商务系统可以采用一卡通或校园电子帐户作为网上支付的载体而不需要与银行等金融系统互联,由学校结算中心专门处理与金融机构的业务,可以大大提高校园网上支付的安全性。
(3)建立统一身份认证系统。建立校园统一身份认证系统可以为校园电子商务系统提供安全认证的功能。
(4)组织物流配送团队。校园师生居住地点相对集中,一般来说就在学校内部或校园附近,只需要很少的人员就可以解决物流配送问题,而本论文由整理提供不需要委托第三方物流公司,在校园内建立一个物流配送团队就可以准确及时的完成配送服务。
3.2校园网络安全对策。
保障校园网络安全的主要措施有:
(1)防火墙技术。利用防火墙技术来实现校园局域网的安全性,以解决访问控制问题,使只有授权的校园合法用户才能对校园网的资源进行访问本论文由整理提供,防止来自外部互联网对内部网络的破坏。
(2)病毒防治技术。在任何网络环境下,计算机病毒都具有不可估量的威胁性和破坏力,校园网虽然是局域网,可是免不了计算机病毒的威胁,因此,加强病毒防治是保障校园网络安全的重要环节。
(3)VPN技术。目前,我国高校大都已经建立了校园一卡通工程,如果能利用VPN技术建立校园一卡通专网就能大大提高校园信息安全、保证数据的本论文由整理提供安全传输。有效保证了网络的安全性和稳定性且易于维护和改进。
3.3交易信息安全对策。
针对校园电子商务中交易信息安全问题,可以用电子商务的安全机制来解决,例如数据加密技术、认证技术和安全协议技术等。通过数据加密,可以保证信息的机密性;通过采用数字摘要、数字签名、数字信封、数字时间戳和数字证书等安全机制来解本论文由整理提供决信息的完整性和不可否认性的问题;通过安全协议方法,建立安全信息传输通道来保证电子商务交易过程和数据的安全。
(1)数据加密技术。加密技术是电子商务中最基本的信息安全防范措施,其原理是利用一定的加密算法来保证数据的机密,主要有对称加密和非对称加密。对称加密是常规的以口令为基础的技术,加密运算与解密运算使用同样的密钥。不对称加密,即加密密钥不同于解密密钥,加密密钥公之于众,而解密密钥不公开。
(2)认证技术。认证技术是保证电子商务交易安全的一项重要技术,它是网上交易支付的前提,负责对交易各方的身份进行确认。在校园电子商务本论文由整理提供中,网上交易认证可以通过校园统一身份认证系统(例如校园一卡通系统)来进行对交易各方的身份认证。
(3)安全协议技术。目前,电子商务发展较成熟和实用的安全协议是SET和SSL协议。通过对SSL与SET两种协议的比较和校园电子商务的需求分析,校园电子商务更适合采用SSL协议。SSL位于传输层与应用层之间,能够更好地封装应用层数据,不用改变位于应用层的应用程序,对用户是透明的。而且SSL只需要通过一次“握手”过程就可以建立客户与服务器之间的一条安全通信通道,保证传输数据的安全。
3.4基于一卡通的校园电子商务。
目前,我国高校校园网建设和校园一卡通工程建设逐步完善,使用校园一卡通进行校园电子商务的网上支付可以增强校园电子商务的支付安全,可以避免或降低了使用银行卡支付所出现的卡号被盗的风险等。同时,使用校园一卡通作为校园电子支付载体的安全保障有:
(1)校园网是一个内部网络,它自身已经屏蔽了绝大多数来自公网的黑客攻击及病毒入侵,由于有防火墙及反病毒软件等安全防范设施,来自外部网络人员的破坏可能性很小。同时,校园一卡通中心有着良好的安全机制,使得使用校园一卡通在校内进行网上支付被盗取账号密码等信息的可能性微乎其微。超级秘书网
(2)校园一卡通具有统一身份认证系统,能够对参与交易的各方进行身份认证,各方的交易活动受到统一的审计和监控,统一身份认证能够保证网上工作环境的安全可靠。校园网络管理中对不同角色的用户享有不同级别的授权,使其网上活动受到其身份的限制,有效防止一些恶意事情的发生。同时,由于校内人员身份单一,多为学生,交易中一旦发生纠纷,身份容易确认,纠纷就容易解决。
4结束语
开展校园电子商务是推进校园信息化建设的重要内容,随着我国校园信息化建设的不断深入,目前已有许多高校开展了校园电子商务,它极大的方便了校园内师生员工的工作、学习、生活。可是与此同时,安全问题成为制约校园电子商务发展的障碍。因此,如何建立一个安全、便捷的校园电子商务应用环境,让师生能够方便可靠的进行校园在线交易和网上支本论文由整理提供付,是当前校园电子商务发展要着重研究的关键问题。
身份认证技术论文范文第15篇
[关键词]电子商务信息化网络安全数字证书CA认证加密
企业信息化是现化企业发展的必然趋势,在企业信息化过程中,通过大量采用信息化技术改进和强化了企业物资流、资金流等信息的管理,对企业固有的经营思想和管理模式产生了强烈的冲击,带来了根本性的变革。信息技术与企业管理技术的发展与融合,使企业竞争战略不断创新,企业竞争力不断提高。电子商务是在企业信息化大潮下采用数字化方式,利用计算机网络进行商务数据交换,全面实现在线交易电子化的过程,是企业开展商业活动的新形式。企业电子商务平台不仅是相关企业宣传产品、销售产品、进行售后服务的窗口,也是树立企业形象的前沿。
通常企业电子商务系统会涉及到参与商务活动的各方(买家、服务商、供货商、银行和认证中心(CA)),一个完善的电子商务系统应当包括那些部分,目前还没有权威的论述。从企业电子商务实践来看,企业电子商务系统的系统架构是三层结构的:最底层是计算机网络平台,这一层是电子商务过程中的信息传送的载体和用户接入企业电子商务平台的途径;中间是电子商务基础平台,包括CA认证,支付网关和会员服务中心等内容,这一层主要用于保障网络交易的有效性和安全性;第三层是以电子商务平台为基础的各种各样的电子商务应用系统。
由于电子商务系统基于开放式的Internet平台,而Internet用户数量巨大,各种各样的人都有,这使得网上交易面临着种种危险,因此,电子商务发展的核心和关键问题是交易的安全性问题。电子商务的安全问题,总的来说分为二部分:一是网络安全,二是商务安全。
计算机网络安全主要包括:计算机网络设备安全、计算机网络系统安全、数据库安全等方面,其特征是针对计算机网络本身可能存在的安全问题,实施网络安全增强方案,以保证计算机网络自身的安全性为目标,目前针对计算机网络安全的防护技术主要有数据加密技术、身份识别和验证技术、防火墙技术、虚拟专用网络技术、网络安全扫描技术和网络攻击检测技术等技术。由于对计算机网络安全的研究已经比较深入了,其安全保障技术也比较成熟,这里就不多加讨论了。
商务安全则紧紧围绕传统商务在Internet上应用时产生的各种安全问题,在计算机网络安全的基础上,如何保障电子商务过程的顺利进行,即实现电子商务的保密性(在电子商务系统交易过程中的商务信息均有保密的要求。如信用卡的账号和用户名被人知悉,就可能被盗用,订货和付款的信息被竞争对手获悉,就可能丧失商机)、完整性和一致性(电子交易的过程是一个完整的过程,期间产生的信息是不能被修改的必需保证其一致性)、身份的真实性和不可伪装性(网上交易的双方很可能素昧平生,相隔千里。要使交易成功首先要能确认对方的身份,对商家要考虑客户端不能是骗子,而客户也会担心网上的商店不是一个玩弄欺诈的黑店。因此能方便而可靠地确认对方身份是交易的前提。对于为顾客或用户开展服务的银行、信用卡公司和销售商店,为了做到安全、保密、可靠地开展服务活动,都要进行身份认证的工作。)及不可抵赖性(由于商情的千变万化,交易一旦达成是不能被否认的,否则必然会损害一方的利益。)。
目前,电子商务交易过程中的商务安全性主要是通过CA认证来实现的,下面我们对电子商务过程中与CA认证有关的内容进行具体介绍。
一、CA
数字证书认证中心(CertficateAuthority:CA)就是一个负责发放和管理数字安全证书的权威机构。对于一个大型的应用环境,认证中心往往采用一种多层次的分级结构,各级的认证中心类似于各级行政机关,上级认证中心负责签发和管理下级认证中心的证书,最下一级的认证中心直接面向最终用户。认证中心主要有以下几种功能:证书的颁发;证书的更新;证书的查询;证书的作废;证书的归档。
二、PKI
公钥基础设施PKI(PublicKeyInfrastructure),是一种遵循既定标准的密钥管理平台,它能够为所有网络应用提供加密和数字签名等密码服务及所必需的密钥和证书管理体系,简单来说,PKI就是利用公钥理论和技术建立的提供安全服务的基础设施。PKI技术是信息安全技术的核心,也是电子商务的关键和基础技术。
PKI采用非对称的加密算法,即由原文加密成密文的密钥不同于由密文解密为原文的密钥,以避免第三方获取密钥后将密文解密。
PKI的基础技术包括加密、数字签名、数据完整性机制、数字信封、双重数字签名等。
完整的PKI系统必须具有权威认证机构(CA)、数字证书库、密钥备份及恢复系统、证书作废系统、应用接口(API)等基本构成部分,构建PKI也将围绕着这五大系统来着手构建。
三、数字安全证书
数字安全证书就是标志网络用户身份信息的一系列数据,用来在网络通讯中识别通讯各方的身份。数字安全证书是由权威公正的第三方机构即CA中心签发的,以数字安全证书为核心的加密技术可以对网络上传输的信息进行加密和解密、数字签名和签名验证,确保网上传递信息的机密性、完整性,以及交易实体身份的真实性,签名信息的不可否认性,从而保障网络应用的安全性。
数字安全证书采用公钥密码体制,即利用一对互相匹配的密钥进行加密、解密。每个用户拥有一把仅为本人所掌握的私有密钥(私钥),用它进行解密和签名;同时拥有一把公共密钥(公钥)并可以对外公开,用于加密和验证签名。当发送一份保密文件时,发送方使用接收方的公钥对数据加密,而接收方则使用自己的私钥解密,这样,信息就可以安全无误地到达目的地了,即使被第三方截获,由于没有相应的私钥,也无法进行解密。通过数字的手段保证加密过程是一个不可逆过程,即只有用私有密钥才能解密。
在公开密钥密码体制中,常用的一种是RSA体制。其数学原理是将一个大数分解成两个质数的乘积,加密和解密用的是两个不同的密钥。即使已知明文、密文和加密密钥(公开密钥),想要推导出解密密钥(私密密钥),在计算上是不可能的。按现在的计算机技术水平,要破解目前采用的1024位RSA密钥,需要上千年的计算时间。
公开密钥技术解决了密钥的管理问题,商户可以公开其公开密钥,而保留其私有密钥。购物者可以用人人皆知的公开密钥对发送的信息进行加密,安全地传送给商户,然后由商户用自己的私有密钥进行解密。
用户也可以采用自己的私钥对信息加以处理,由于密钥仅为本人所有,这样就产生了别人无法生成的文件,也就形成了数字签名。采用数字签名,能够确认以下两点:
1.保证信息是由签名者自己签名发送的,签名者不能否认或难以否认;
2.保证信息自签发后到收到为止未曾作过任何修改,签发的文件是真实文件。
数字安全证书的格式一般采用X.509国际标准。它包含了以下几点:数字安全证书拥有者的名称、数字安全证书拥有者的公共密钥、公共密钥的有效期、颁发数字安全证书的单位、数字安全证书的序列号,颁发数字安全证书单位的数字签名等内容。
数字安全证书根据应用领域的不同一般有:个人数字安全证书、机构数字安全证书、个人签名安全证书、机构签名安全证书、设备安全数字证书等几种类型。
个人数字安全证书中包含个人身份信息和个人的公钥,用于标识证书持有人的个人身份。数字安全证书和对应的私钥存储于ikey或IC卡中,用于个人在网上进行合同签定、定单、录入审核、操作权限、支付信息等活动中标明身份。
机构数字安全证书中包含企业信息和企业的公钥,用于标识证书持有企业的身份。数字安全证书和对应的私钥存储于Keynet卡中,可以用于企业在电子商务方面的对外活动,如合同签定、网上证券交易、交易致富信息等方面。
个人签名证书中包含个人身份信息和个人的签名私钥,用于标识证书持有人的个人身份。签名私钥存储于Keynet卡中,用于个人在网上进行合同签定、定单、录入审核、操作权限、支付信息等活动中标明身份。
机构签名证书中包含企业信息和企业的签名私钥,用于标识证书持有企业的身份。签名私钥存储于Keynet卡中,可以用于企业在电子商务方面的对外活动,如合同签定、网上证券交易、交易致富信息等方面。
设备数字安全证书中包含服务器信息和服务器的公钥,用于标识证书持有服务器的身份。数字安全证书和对应的私钥存储于Keynet卡中,用于表征该服务器的身份。主要用于网站交易服务器,目的是保证客户和服务。
数字安全证书由用户向相关的CA机构提供相应资料(不同类型的证书所需提交的资料是不一样的)进行申请并交纳一定费用,然后CA对用户提供资料进行审核,审核通过后由CA向用户颁发数字安全证书,并对数字安全证书进行管理。
数字安全证书可用于:发送安全电子邮件、访问安全站点、网上证券、网上招标采购、网上签约、网上办公、网上缴费、网上税务等网上安全电子事务处理和安全电子交易活动。
四、小结
由于利用Internet作为商务平台的电子商务系统可以提供网上电子交易,使得客户能够极其方便的获得企业和其产品的信息,并进行网上交易,降低了交易成本、提高了交易效率,但同时也增加了对某些敏感或有价值的数据被滥用的风险。电子商务系统必须保障在Internet上进行的一切金融交易运作都是安全可靠的,只有这样才能够使顾客、商家和企业等交易各方对电子商务系统具有绝对的信心,也只有这样电子商务系统才能进一步发展。因此,安全性在整个电子商务系统占据十分重要的地位。
目前,电子商务系统的安全体系结构是主要是通过构建认证中心(CA)证书的信任过程来实现的。
在电子商务应用中主要有以下五个交易参与方:买家、服务商、供货商、银行和认证中心(CA)。电子商务的交易流程主要有以下三个阶段:
第一阶段:认证中心(CA)证书的注册申请。交易各方通过认证中心(CA)获取各自的数字安全证书。
第二阶段:银行的支付中心对买家的数字安全证书进行验证,通过验证后,将买家的所付款冻结在银行中。此时服务商和供应商也相互进行数字安全证书的验证,通过验证后,可以履行交易内容进行发货。
第三阶段:银行验证服务商和供货商的数字安全证书后,将买家冻结在银行中的货款转到服务商和供货商的户头上,完成了此项电子交易。
由于参与交易的各方都持有认证中心(CA)所颁发的数字安全证书,所以,能够保证在交易的过程中参与各方的真实身份、防止他人假冒;也能够保证交易信息的保密性、不可否认性和不可修改性。
参考文献:
[1]石志国等编:计算机网络安全.清华大学出版社出版,2007年1月
[2]张福德编:电子商务网络市场.机械工业出版社,2001年8月
[3]祝凌曦编:电子商务安全.北方交通大学出版社,2006年11月
- 上一篇:人文地理学课程论文范文
- 下一篇:生物专业导论论文范文
