学号:20125101240
学年论文(设计)
学 院 计算机与信息技术学院 专 业 计算机科学与技术 年 级 2012级网络工程 姓 名 许艳峰 论文(设计)题目 基于身份认证技术的研究 指导教师 郭颂 职称 成 绩
2015 年 6 月 13 日
目 录
摘要................................................................................................................................ 1
Abstract...................................................................................................................... 1
1 身份认证的概念........................................................................................................ 2 2基于密码的身份认证................................................................................................. 2 2.1密码认证的特点............................................................................................... 2 2.2密码认证中的相关问题................................................................................... 3 3基于不同方式的身份认证......................................................................................... 3 3.1地址与身份认证............................................................................................... 3 3.2生物特征身份认证........................................................................................... 4 3.3零知识证明身份认证....................................................................................... 4 4身份认证协议............................................................................................................. 5 4.1 Kerberos协议................................................................................................. 5 4.2 SSL协议........................................................................................................... 6 5 结束语........................................................................................................................ 7 6 参考文献.................................................................................................................... 7 摘要: 身份认证是信息安全理论的重要组成部分。以密码理论为基础的身份认证是访问控
制和审计的前提,因此对网络环境的信息安全尤其为重要。认证协议可以分为双向认证协议和单向的认证协议。双向认证协议是最常用的协议,他使得通信双方互相认证对方的身份。单向认证协议是通信的一方认证另一方的身份,比如服务器在提供用户申请的服务之前,先拿要认证用户是否是这项服务的合法用户,但是不需要向用户证明自己的身份。在本文中简要的介绍下几种不同类别的身份认证以及身份认证中的协议。
Abstract: Identity authentication is an important part of information security theory.. The identity authentication based on password theory is the premise of access control and audit, so it is especially important for the information security of the network environment.. The authentication protocol can be divided into two way authentication protocol and one way authentication protocol.. Two way authentication protocol is the most common protocol, he makes the communication parties each other authentication identity. Unilateralism authentication protocol
1
is a communication party authentication the identity of the other party, such as server before providing the user application service, take to whether the authenticated user is the legitimate users of the service, but without the need to prove their identity to the user. In this paper, a brief introduction of several different categories of identity authentication and authentication protocols is presented.
关键词: 身份认证 基于密码 基于地址 生物特征 零知识 Kerberos SSL
Key words: Identity authentication-password based -address based-biometric zero knowledge Kerberos SSL
1 身份认证的概念
身份认证是系统审查用户身份的过程,从而确定该用户是否具有对某种资源的访问和使用权限。身份认证通过标识和鉴别用户的身份,提供一种判别和确认用户身份的机制。 计算机网络中的身份认证是通过将一个证据与实体身份绑定来实现的。实体可能是用户、主机、应用程序甚至是进程。
身份认证技术在信息安全中处于非常重要的地位,是其他安全机制的基础。只有实现了有效的身份认证,才能保证访问控制、安全审计、入侵防范等安全机制的有效实施。 在真实世界中,验证一个用户的身份主要通过以下三种方式: (1)所知道的。根据用户所知道的信息来证明用户的身份。 (2)所拥有的。根据用户所拥有的东西来证明用户的身份。
(3)本身的特征。直接根据用户独一无二的体态特征来证明用户的身份,例如人的指纹、笔迹、DNA、视网膜及身体的特殊标志等。
2基于密码的身份认证
2.1密码认证的特点
密码是用户与计算机之间以及计算机与计算机之间共享的一个秘密,在通信过程中其中一方向另一方提交密码,表示自己知道该秘密,从而通过另一方的认证。密码通常由一组字符串来组成,为便于用户记忆,一般用户使用的密码都有长度的限制。但出于安全考虑,在使用密码时需要注意以下几点:(1) 不使用默认密码、(2)设置足够长的密码、(3)不要使用结构简单的词或数字组合、(4)增加密码的组合复杂度、(5) 使用加密、(6)避免共享
2
密码 、(7)定期更换密码
就密码的安全使用来说,计算机系统应该具备下列安全性:
(1)入侵者即使取得储存在系统中的密码也无法达到登录的目的。这需要在密码认证的基础上再增加其他的认证方式,如地址认证。
(2)通过监听网络上传送的信息而获得的密码是不能用的。最有效的方式是数据加密。 (3)计算机系统必须能够发现并防止各类密码尝试攻击。可使用密码安全策略。
2.2密码认证中的相关问题
1. 社会工程学:社会工程学(Social Engineering)是一种通过对受害者心理弱点、本能反应、好奇心、信任、贪婪等心理陷阱进行的诸如欺骗、伤害等危害手段,取得自身利益的手法,近年来已成迅速上升甚至滥用的趋势。
2. 按键记录软件: 按键记录软件是一种间谍软件,它以木马方式值入到用户的计算机后,可以偷偷地记录下用户的每次按键动作,并按预定的计划把收集到的信息通过电子邮件等方式发送出去。
3. 搭线窃听:攻击者通过窃听网络数据,如果密码使用明文传输,可被非法获取。目前,在IP网络中Telnet、FTP、HTTP等大量的通信协议来用明文来传输密码,这意味着在客户端和服务器端之间传输的所有信息(其中包括明文密码和用户数据)都有可能被窃取。 4. 字典攻击:攻击者可以把所有用户可能选取的密码列举出来生成一个文件,这样的文件被称为“字典”。当攻击者得到了一些与密码有关的可验证信息后,就可以结合字典进行一系列的运算,来猜测用户可能的密码,并利用得到的信息来验证猜测的正确性。 5. 暴力破解:暴力破解也称为“蛮力破解”或“穷举攻击”,是一种特殊的字典攻击。在暴力破解中所使用的字典是字符串的全集,对可能存在的所有组合进行猜测,直到得到正确的信息为止。
6. 窥探:窥探是攻击者利用与被攻击系统接近的机会,安装监视设备或亲自窥探合法用户输入的账户和密码。窥探还包括攻击者在用户计算机中植入的木马。
7. 垃圾搜索:垃圾搜索是攻击者通过搜索被攻击者的废弃物(如硬盘、U盘、光盘等),得到与攻击系统有关的信息。
3基于不同方式的身份认证
3.1地址与身份认证
(1)基于IP地址的身份认证:不可靠,也不可取
3
(2)基于物理地址(如MAC地址)的身份认证较为可靠,目前在计算机网络中的应用较为广泛。
(3)智能卡认证 :智能卡也称IC卡,是由一个或多个集成电路芯片组成的设备,可以安全地存储密钥、证书和用户数据等敏感信息,防止硬件级别的窜改。智能卡芯片在很多应用中可以独立完成加密、解密、身份认证、数字签名等对安全较为敏感的计算任务,从而能够提高应用系统抗病毒攻击以及防止敏感信息的泄漏。
(4)双因素身份认证:简单地讲是指在身份认证过程中至少提供两个认证因素,如“密码+PIN”等。双因素认证与利用ATM取款很相似:用户必须利用持银行卡,再输入密码,才能提取其账户中的款项。双因素认证提供了身份认证的可靠性。
3.2生物特征身份认证
1. 生物特征认证的概念
生物特征认证又称为“生物特征识别”,是指通过计算机利用人体固有的物理特征或行为特征鉴别个人身份。在信息安全领域,推动基于生物特征认证的主要动力来自于基于密码认证的不安全性,即利用生物特征认证来替代密码认证。人的生理特征与生俱来,一般是先天性的。
2.满足以下条件的生物特征才可以用来作为进行身份认证的依据: 普遍性。即每一个人都应该具有这一特征。 唯一性。即每一个人在这一特征上有不同的表现。
稳定性。即这一特征不会随着年龄的增长和生活环境的改变而改变。 易采集性。即这一特征应该便于采集和保存。 可接受性。即人们是否能够接受这种生物识别方式。
3.3零知识证明身份认证
1.零知识证明身份认证的概念
零知识证明是由在20世纪80年代初出现的一种身份认证技术。零知识证明是指证者能够在不向验证者提供任何有用信息的情况下,使验证者相信某个论断是正确的。零知识证明实质上是一种涉及两方或多方的协议,即两方或多方完成一项任务所需采取的一系列步骤。证明者向验证者证明并使验证者相信自己知道某一消息或拥有某一物品,但证明过程不需要向验证者泄漏。零知识证明分为交互式零知识证明和非交互式零知识证明两种类型。
4