李 黎

鐵嶺市信息工程學(xué)校

淺談網(wǎng)絡(luò)安全中的身份認(rèn)證技術(shù)

李 黎

鐵嶺市信息工程學(xué)校

隨著全球化經(jīng)濟(jì)模式的出現(xiàn)以及科學(xué)技術(shù)的高速發(fā)展，網(wǎng)絡(luò)技術(shù)應(yīng)用越來(lái)越廣泛。如何應(yīng)對(duì)網(wǎng)絡(luò)快速普及、網(wǎng)民數(shù)量迅速膨脹帶來(lái)的網(wǎng)絡(luò)安全問(wèn)題，怎樣保證網(wǎng)民個(gè)人信息安全等，是我們必須要重點(diǎn)解決的問(wèn)題。本文從網(wǎng)絡(luò)安全出發(fā)，主要分析了幾種身份認(rèn)證的方法和技術(shù)，使人們了解身份認(rèn)證技術(shù)應(yīng)用及其發(fā)展，促進(jìn)互聯(lián)網(wǎng)的健康發(fā)展。

網(wǎng)絡(luò)安全、身份認(rèn)證、口令、生物特征、Kerberos、PKI

引言：網(wǎng)絡(luò)技術(shù)的普及和發(fā)展、信息的共享和應(yīng)用給人們的工作和生活帶來(lái)深遠(yuǎn)的影響。在帶來(lái)巨大便利的同時(shí)，網(wǎng)絡(luò)安全問(wèn)題也日益突出而且越來(lái)越復(fù)雜。身份認(rèn)證技術(shù)就是通過(guò)計(jì)算機(jī)網(wǎng)絡(luò)來(lái)確定使用者的身份，使通訊雙方的各種信息交流可以在一個(gè)安全的環(huán)境中。

一、身份認(rèn)證的含義

在網(wǎng)絡(luò)安全里，身份認(rèn)證技術(shù)是保護(hù)網(wǎng)絡(luò)信息安全的第一道防線，是最基本的安全服務(wù)，是其他安全機(jī)制的基礎(chǔ)。身份認(rèn)證是系統(tǒng)證實(shí)用戶真實(shí)身份與其所聲稱的身份是否相符的過(guò)程，從而確定該用戶是否具有對(duì)某種資源的訪問(wèn)和使用權(quán)限。

驗(yàn)證一個(gè)用戶的身份主要通過(guò)以下三種方式：用戶所知：如密碼、口令等。

用戶所有：如身份證、護(hù)照、密鑰等。

用戶本身的特征：如人的指紋、筆跡、DNA、視網(wǎng)膜及身體的特殊標(biāo)志等。

二、身份認(rèn)證常用的技術(shù)

身份認(rèn)證的基本方法就是由被認(rèn)證方提交登陸用戶獨(dú)有的具有保密性難以偽造的信息來(lái)表明自己的合法身份和權(quán)限。常用的方式有：

1、口令機(jī)制：

（1）簡(jiǎn)單口令機(jī)制：PAP認(rèn)證。系統(tǒng)保存用戶的二元信息組（ID，PW），進(jìn)入系統(tǒng)時(shí)，由請(qǐng)求認(rèn)證者輸入ID和PW，系統(tǒng)根據(jù)保存的用戶賬號(hào)信息和個(gè)人信息，來(lái)確認(rèn)用戶身份是否合法。這種口令機(jī)制是一般是靜態(tài)的、不變的，容易記憶但也容易泄密，用于不太重要的場(chǎng)合或者保密性質(zhì)不高的環(huán)境中。

（2）一次性口令機(jī)制：一次性口令OTP（One-timePassword），在用戶需要登錄的時(shí)候，驗(yàn)證服務(wù)器就利用密碼產(chǎn)生器產(chǎn)生一個(gè)一次性密碼，一般分為計(jì)次使用以及計(jì)時(shí)使用兩種。是用戶身份的數(shù)字化憑證，是安全系統(tǒng)鑒別用戶身份合法性的依據(jù)。根據(jù)其生成方式不同可分為令牌卡、軟件令牌、智能卡等。

2、Kerberos協(xié)議

Kerberos是由美國(guó)麻省理工學(xué):提出的基于可信賴的第三方的認(rèn)證系統(tǒng)。其基本思想是：能正確對(duì)信息進(jìn)行解密的用戶就是合法用戶。用戶在對(duì)應(yīng)用服務(wù)器進(jìn)行訪問(wèn)之前，必須先從第三方（Kerberos服務(wù)器）獲取該應(yīng)用服務(wù)器的訪問(wèn)許可證（ticket）。在認(rèn)證過(guò)程中，?Kerberos采用對(duì)稱密鑰體制對(duì)信息進(jìn)行加密。

3、PKI(Public Key Infrastructure)技術(shù)

公鑰基礎(chǔ)設(shè)施PKI是提供公鑰加密和數(shù)字簽名服務(wù)的系統(tǒng)，目的是為了管理密鑰和證書，保證網(wǎng)上數(shù)字信息傳輸?shù)臋C(jī)密性、真實(shí)性，完整性和不可否認(rèn)性。PKI主要包括數(shù)字證書、認(rèn)證中心（CA）、注冊(cè)機(jī)構(gòu)（RA）、存儲(chǔ)和發(fā)布這些證書的電子目錄服務(wù)器等等，其中數(shù)字證書是其核心部件。

4、生物認(rèn)證

所謂生物識(shí)別技術(shù)，是指通過(guò)計(jì)算機(jī)利用人體固有的物理特征或行為特征鑒別身份。由于生物識(shí)別技術(shù)具有不易遺忘、防偽性能好、不易偽造或被盜、隨身“攜帶”和隨時(shí)隨地可用等優(yōu)點(diǎn)，因此得到廣泛而深入的研究和應(yīng)用。目前常見(jiàn)的生物特征有面像、指紋、虹膜、掌紋、靜脈、語(yǔ)音、步態(tài)、簽名等。

三、用戶身份認(rèn)證的發(fā)展趨勢(shì)

1、生物特征鑒別：如采集清晰的指紋、識(shí)別臉部輪廓、提取語(yǔ)音、筆跡、步態(tài)等。提高識(shí)別正確率將是未來(lái)的研究熱點(diǎn)。

2、多因素融合認(rèn)證：有效地結(jié)合各種單因素認(rèn)證技術(shù)，可以提高身份認(rèn)證的安全性能。如口令認(rèn)證與手機(jī)短信確認(rèn)相結(jié)合已在應(yīng)用中；多生物特征的融合識(shí)別技術(shù)也將是未來(lái)的研究方向。

3、屬性認(rèn)證：屬性認(rèn)證技術(shù)，把屬性證書的授權(quán)方案和認(rèn)證技術(shù)相結(jié)合，解決分布式網(wǎng)絡(luò)環(huán)境中身份認(rèn)證與權(quán)限分配問(wèn)題。

結(jié)束語(yǔ)

總之，以上各種身份認(rèn)證技術(shù)都有不足之處，在實(shí)際的應(yīng)用中，應(yīng)該從用戶實(shí)際需求和認(rèn)證方式的安全性能兩個(gè)方面來(lái)綜合考慮，能滿足用戶需求的才是最好的。相信隨著計(jì)算機(jī)技術(shù)的快速發(fā)展和身份認(rèn)證技術(shù)的不斷成熟，未來(lái)會(huì)出現(xiàn)更多、更安全、效能更高的身份認(rèn)證技術(shù)，計(jì)算機(jī)安全和用戶信息的安全會(huì)得到更加周密的保障。

【1】徐國(guó)愛(ài)張淼彭俊好《網(wǎng)絡(luò)安全》2006.05