劉洪偉 韓曉靜 余堃 邵鄒 韓曉峰

摘 要：為了解決網絡環(huán)境下的身份認證問題，在系統(tǒng)分析常見的身份認證技術基礎上，給出一個基于公鑰的身份認證系統(tǒng)實例，介紹了其部署模式和所采用的安全協(xié)議進行，相關成果可作為信息網絡安全防護體系建設的參考。

關鍵詞：身份認證技術；信息安全；公鑰基礎設施

中圖分類號：TP393.08 文獻標識碼：A 文章編號：2095-7394（2017）02-0060-04

在開放式的網絡環(huán)境中，身份認證指的是用戶身份的確認技術，它是網絡安全的第一道防線，也是最重要的一道防線。網絡中的各種應用和計算機系統(tǒng)都需要通過身份認證來確認用戶的合法性然后確定這個用戶的個人數(shù)據和特定權限[1]。

網絡安全存在各種形式的威脅，加密技術可以保證網絡中數(shù)據傳輸?shù)臋C密性，防止被動攻擊，而僅有機密性還不能保證數(shù)據傳輸?shù)陌踩浴＠?，在實際應用中，信息系統(tǒng)內機密信息的授權訪問，首要的問題就是確認訪問者是誰，才能確定其權限，完成訪問控制；陌生用戶A和B之間雖然可以有一條安全的秘密信道，但未解決對方是誰的情況下，機密的數(shù)據就有可能傳送給錯誤的對象，造成系統(tǒng)的異常。

這類確認實體身份的技術就是身份認證技術，身份認證對抗的主要安全威脅是實體身份的“冒充”攻擊和實體標識的“重放”攻擊，其根本目的是為了區(qū)分實體身份，防止其它實體占用被認證實體的身份。所以，要解決實體身份的鑒別問題，應滿足以下目標：

（a）身份認證性：即對于誠實方A和B而言，A通過成功的證明自己的身份，同時B成功的接受A的身份。

（b）不可傳遞性：B不能用A的身份信息向第三方C認證A的身份。

（c）不可偽造性：任何不同于A的主體C執(zhí)行協(xié)議擔當A的角色并成功完成認證不可能（概率非常?。?。

認證是一種重要的、常用的安全服務，被廣泛的應用于各類信息系統(tǒng)中。

1 常見的身份認證技術

目前信息網絡中常見的身份認證技術有基于口令的認證、基于雜湊處理的認證、基于地址的認證、基于生物特征的認證和基于公鑰的認證等。下面對各種身份認證技術進行介紹。

1.1 基于口令的認證方式

口令認證方式是一種常用的主動認證方式，其基本思路為系統(tǒng)中的每一個用戶都共享一個關聯(lián)口令，作為用戶與認證系統(tǒng)共享的秘密。在系統(tǒng)啟動時，直接對比用戶輸入的口令與認證系統(tǒng)中前期設定的口令是否一致來判斷用戶的合法性。由于口令實現(xiàn)簡單，在應用系統(tǒng)終端本地認證中被廣泛采用。

但是，基于口令的認證方式存在嚴重的安全隱患。用戶所設定的口令往往容易猜測，容易泄露，攻擊者會首先猜測用戶口令進而獲取系統(tǒng)認證；口令認證容易遭受被動攻擊，攻擊者利用一些技術手段可以從信息系統(tǒng)中獲取口令，比如利用系統(tǒng)存儲的口令文件恢復口令，在系統(tǒng)運行時從內存中dump得到正確的口令等。因此，基于口令的身份認證方式無法滿足信息系統(tǒng)的安全性要求。

1.2 基于雜湊處理的認證方式

所謂雜湊技術就是利用雜湊函數(shù)把任意長的輸入字符串轉化為定長的輸出字符串的一種方法，又稱哈希技術或信息摘要技術，在信息的保密性、完整性、確認性等方面發(fā)揮了重要的作用[2]。

基于雜湊處理的身份認證方式，其基本思想是利用雜湊函數(shù)的密碼學性質對用戶的口令進行雜湊函數(shù)的處理。在信息系統(tǒng)中，系統(tǒng)存儲用戶口令的雜湊值，當用戶登錄時，用戶輸入的口令經過雜湊變換后傳遞到系統(tǒng)進行比對，以確定用戶是否合法。

此種認證方式的安全性依賴于雜湊函數(shù)的安全性，如果雜湊函數(shù)安全性高，則通過破譯雜湊函數(shù)摘要逆向推出口令，或是尋找雜湊值碰撞在計算上是不可行的，具有一定的安全性。但現(xiàn)有的雜湊算法的安全性沒有在數(shù)學上證明，有可能存在安全隱患，基于雜湊處理的典型代表是Windows操作系統(tǒng)，目前Windows操作系統(tǒng)的本地用戶賬戶口令字及域賬戶口令字都是先進行128位雜湊處理，再把處理結果分別保存于安全賬戶數(shù)據管理器（SAM）或活動目錄（AD）中，雖然在Windows運行期間內核對SAM文件加上了一個持久性的文件鎖，即使是Administrator賬戶也無法直接讀取SAM，但非法用戶可以從內存中以dump方式將密文提取，并進一步進行離線暴力破解。Windows網絡身份認證是由系統(tǒng)LSASS服務的Netlogon模塊主導完成，Windows客戶端訪問遠程Windows服務器資源時，客戶端LSASS服務的Netlogon模塊會與服務器端的Netlogon進行“質詢-應答式”的身份驗證協(xié)議以驗證客戶端的身份。NT4.x版本的Windows使用LANMAN協(xié)議來完成這一過程，但LANMAN協(xié)議有重大安全弱點，從使用LANMAN協(xié)議加密的密文中很容易破解出Windows用戶賬戶口令，因此NT 4.0SP3與5.x早期版本的Windows中使用NTLM協(xié)議來代替LANMAN協(xié)議，并在NT4.0SP4與5.x大多數(shù)版本中升級至NTLMv2。2010年2月，Amplia公司發(fā)現(xiàn)MTLM認證協(xié)議存在安全漏洞，因此目前Windows在域環(huán)境中建議使用在線認證協(xié)議Kerberos。但在目前未使用域的網絡環(huán)境里，Windows仍依賴NTLM完成網絡身份認證，這就為攻擊者實施針對Windows的遠程口令監(jiān)聽與破解提供了可乘之機?；诳诹钫J證的另一典型代表是802.1x認證機制，該認證機制廣泛應用于以太網環(huán)境當中，主要采用EAP-MD5認證方式，相關研究表明，MD5加密強度不夠，無法對抗字典攻擊。

此外，基于雜湊處理的認證還不能抵御重放攻擊，即攻擊者只要得到用戶的口令摘要就可以偽裝成用戶。

1.3 基于地址的認證方式

在網絡通信中，通信數(shù)據中包括發(fā)送者的源地址，這為認證提供了一種機制，網絡服務器可以根據數(shù)據分組的源地址進行認證。該方法廣泛應用在數(shù)字圖書館或文獻數(shù)據庫服務的認證中，另外交換機中IP及MAC地址與端口的綁定也是屬于該類認證方式。但該認證方式安全性較差，攻擊者可以通過偽造IP地址及MAC地址的方式進行攻擊[3]。

1.4 基于生物特征的認證方式

生物特征識別是利用人體的生物特征進行人的身份識別過程，常用的生物特征包括手形、指紋、語音、視網膜、虹膜、臉形、DNA等。生物特征識別的對象是人，而主體是機器系統(tǒng)或者計算機系統(tǒng)。身份識別的特征具有普遍性、唯一性、穩(wěn)定性、可采集性等特點，在實際應用中，生物的特征的公眾接受度、可信度、不易偽造、設備成本等也是其重要的特點。

基于生物的特征的身份認證是一類新興的身份認證技術，可以作為傳統(tǒng)的口令或身份識別卡認證的替代技術或有效的補充。生物特征可以唯一的確定使用者的身份，偽造非常困難，不容易丟失或忘記，可以克服傳統(tǒng)認證的很多不足，如口令和密鑰容易忘記、容易被攻擊和容易泄露等；標識物品或身份證件等易被盜、易丟失和易被偽造或冒用等。

生物特征通常直接應用于終端認證，在網絡認證時，特征信息傳輸時需要其它安全認證協(xié)議支持，否則容易受到重放攻擊[4]。

1.5 基于公鑰的認證方式

利用公鑰技術實現(xiàn)認證的基本思路是由可信第三方為用戶分配私鑰，私鑰唯一，只有用戶本人掌握，充當用戶的秘密信息，任何人如果要驗證用戶身份，可以使用第三方公鑰查詢服務獲取該用戶的公鑰以驗證其身份，完成認證。其中，可信的第三方機構稱為CA，公鑰和私鑰以及其它的用戶信息以證書的形式分發(fā)。基于公鑰證書的認證機制得到了廣泛的應用，以CA為核心的公鑰基礎設施（PKI）服務體系已基本建立。

基于公鑰的身份認證技術每個用戶最少可以分配一對公私密鑰對，可以避免大量的對稱密鑰，密鑰量小，可以支持大規(guī)模系統(tǒng)；認證協(xié)議設計簡單，直接運用簽名技術即可完成身份確認，而且驗證過程安全高效，可以支持在線或離線認證。

2 一種基于公鑰的身份認證系統(tǒng)

從第2部分的分析可以看出，基于公鑰的身份認證方式安全性好、易于部署、密鑰量小、能夠支持大規(guī)模應用，與基于口令、基于雜湊和基于生物特征的認證方式相比具有明顯優(yōu)勢。為解決網絡環(huán)境下身份認證問題，我們設計了一種基于公鑰的身份認證系統(tǒng)，該系統(tǒng)能夠對應用系統(tǒng)服務器或服務器群進行基于數(shù)字證書的身份認證、粗粒度的訪問控制和報文完整性保護，下面從典型部署、身份認證協(xié)議設計兩個方面進行簡要介紹[5-6]。

2.1 典型部署模式

該系統(tǒng)由認證客戶端和網關服務器兩部分構成，網關服務器部署在應用服務器（群）的前端，認證客戶端部署在用戶終端上，配置終端認證設備。

由數(shù)字證書系統(tǒng)為網關服務器和認證客戶端制作相應的數(shù)字證書，并作為第三方認證機構提供證書服務。首先網關服務器與認證客戶端按照握手協(xié)議完成相互之間的認證，建立基于SSL安全認證協(xié)議的安全VPN通道。此時，客戶端即可通過VPN通道，經由網關服務器的安全傳輸代理，訪問安全區(qū)域內的應用服務器（群）。

同時，網關服務器還為其保護的應用系統(tǒng)提供身份認證和信息服務接口、粗粒度訪問控制、報文完整性保護和安全審計等服務。

2.2 身份認證協(xié)議設計

身份認證協(xié)議用于確保網絡環(huán)境下客戶端到服務端的身份認證安全可靠，基本流程可以分為4個階段（如圖1所示）。

具體描述如下：

（1）建立安全能力階段

即客戶端發(fā)出消息等待服務端確認的過程，成功則連接建立。

（2）服務器鑒別和密鑰交換階段

服務器發(fā)送證書和消息并要求客戶端進行自身驗證，服務器進入等待響應階段，客戶端準備開始響應。

（3）客戶端鑒別和密鑰交換階段

客戶端發(fā)送證書和密鑰向服務器端，并進行驗證。

（4）結束階段

建立連接，客戶端發(fā)送Change_Cipher_Spec消息和complete消息。服務器為了響應這兩條消息也將發(fā)送Change_Cipher_Spec消息，此時雙方可以正常交互數(shù)據。

該系統(tǒng)運用公鑰密碼算法和雜湊算法，通過身份認證協(xié)議為業(yè)務信息系統(tǒng)提供身份認證和報文認證服務。公鑰密碼算法所依據的數(shù)學問題相對于當前計算技術而言是不可解的，能夠抵抗已知針對公鑰密碼算法的邏輯攻擊。

3 結語

高強度的身份認證機制是訪問控制、應用審計等安全防護手段的基礎，也是目前信息網絡中各類應用系統(tǒng)都要解決的共性問題。通過對該身份認證系統(tǒng)的實際使用我們發(fā)現(xiàn)，當前信息網絡中的各應用系統(tǒng)大都各自獨立開發(fā)應用認證模塊，開發(fā)成本高、使用效率低。雖然當前可用的身份認證手段種類繁多，但基于公鑰密碼技術來解決網絡環(huán)境下的身份認證問題已被證明是最為安全和有效的一種方式。通過規(guī)范身份認證接口標準，以數(shù)字證書為基礎，采用安全認證協(xié)議，將傳輸層和應用層身份認證信息進行信任鏈傳遞，可大大提高應用系統(tǒng)的身份認證強度，還可為應用系統(tǒng)實現(xiàn)細粒度的訪問控制提供有力支撐。

參考文獻：

[1] 張麗，趙洋.身份認證技術的研究與安全性分析[J]，計算機與現(xiàn)代化，2007（5）：48-50.

[2] 王育民，劉建偉.通訊網的安全——理論與技術[M].西安電子科技大學出版社，1999.

[3] W·斯托林斯.密碼編碼學與網絡安全原理與實踐[M].5版.北京：電子工業(yè)出版社，2013.

[4] 王景中.通信網安全與保密[M].西安：西安電子科技大學出版社，2008.

[5] STRAND L. 802.1X Port-Based Authentication HOWTO [EB/OL].（2004-10-18）[2012-5-27]. http：//tldp.org/HOWTO/html_single/8021X-HOWTO/.

[6] Internet Engineering Task Force （IETF）. RFC6101： The secure sockets layer （SSL） protocol version 3.0[S]. 2011： August 2011.

The Classification and Application Research of Identity Authentication Technology

LIU Hong-wei ， HAN Xiao-jing， YU kun， JIN Xiu ， HUANG Jian-guo ， HAN Xiao-feng

（NO. 61741 Army Forces， Beijing 100094， China）

Abstract： In order to solve the problem of identity authentication in network environment， in this paper， based on the analysis of common identify authentication technology， a public key-based authentication system is proposed.The paper introduces the deployment pattern and the security protocols used. The relevant results can be used as reference for the construction of information network security protection system.

Key words： identify authentication technology； information security； public key infras

責任編輯 祁秀春