第8章身份認證技術(shù),主要內(nèi)容,一、身份認證的定義二、身份認證技術(shù)分類三、幾種主要的身份認證技術(shù)四、身份認證產(chǎn)品五、身份認證技術(shù)的發(fā)展趨勢,一、定義,身份認證是指計算機及網(wǎng)絡(luò)系統(tǒng)確認操作者身份的過程。也就是證實用戶的真實身份與其所聲稱的身份是否符合的過程。在計算機網(wǎng)絡(luò)這個虛擬的數(shù)字世界中，一切信息包括用戶的身份信息都是由一組特定的數(shù)據(jù)表示，計算機只能識別用戶的數(shù)字身份，給用戶的授權(quán)也是針對用戶數(shù)字身份進行的。如何保證以數(shù)字身份進行操作的訪問者就是這個數(shù)字身份的合法擁有者，即如何保證操作者的物理身份與數(shù)字身份相對應(yīng)，就成為一個重要的安全問題。身份認證技術(shù)的誕生解決了這個問題。,二、身份認證技術(shù)分類,一般地，在信息系統(tǒng)中，對于用戶的身份認證手段，身份認證技術(shù)從是否使用硬件可以分為軟件認證和硬件認證；從認證需要驗證的條件可以分為單因子認證和雙因子認證；從認證信息可以分為靜態(tài)認證和動態(tài)認證。身份認證技術(shù)的發(fā)展，經(jīng)歷了從軟件認證到硬件認證，從單因子認證到雙因子認證，從靜態(tài)認證到動態(tài)認證的過程。,根據(jù)被認證方賴以證明身份的認證信息不同，身份認證技術(shù)可以分為：1、基于秘密信息的身份認證技術(shù)所謂的秘密信息指用戶所擁有的秘密知識，如用戶ID、口令、密鑰等。其中用戶名/口令是最常用的方式，也是一種極不安全的方式，口令設(shè)置通常過于簡單，易受到攻擊，口令傳輸也帶來很大風(fēng)險，為解決其安全傳輸，采用加密技術(shù)將其加密傳輸。包括基于帳號和口令的身份認證、基于對稱密鑰的身份認證、基于密鑰分配中心(KDC)的身份認證、基于公鑰的身份認證、基于數(shù)字證書的身份認證等。,2、基于信物的身份認證技術(shù)主要有基于信用卡、智能卡、令牌的身份認證等。智能卡也叫令牌卡，實質(zhì)上是IC卡的一種。智能卡的組成部分與一臺“普通”的電腦是相同的；包括作為智能部件的微處理器、存儲器、輸入/輸出部分和軟件資源。為了更好地提高性能，通常會有一個分離的加密處理器。程序和通用加密算法存放在ROM中。3、基于生物特征的身份認證技術(shù)基于生理特征(如指紋、聲音、虹膜)的身份認證和基于行為特征(如步態(tài)、簽名)的身份認證等。,三、幾種主要的身份認證方式,指紋認證,利用人的生物特征可以實現(xiàn)“以人識人”，其中指紋是人的生物特征的一種重要的表現(xiàn)形式，具有“人人不同”和“終身不變”的特征，以及附屬于人的身體的便利性和不可偽造的安全性。指紋認證的特點如下：獨特性。穩(wěn)定性方便性,圖4-2不同的指紋形狀,如圖所示，指紋識別的過程包括2個子過程：指紋注冊過程和指紋比對過程。其中：指紋采集。圖像增強。提取特征值。是指對指紋圖案上的特征信息進行選擇（如圖所示）、編碼和形成二進制數(shù)據(jù)的過程。特征值模板入庫。比對匹配。,圖4-4指紋圖案信息的選擇,基于密碼的身份認證,密碼認證的特點密碼是用戶與計算機之間以及計算機與計算機之間共享的一個秘密，在通信過程中其中一方向另一方提交密碼，表示自己知道該秘密，從而通過另一方的認證。密碼通常由一組字符串來組成，為便于用戶記憶，一般用戶使用的密碼都有長度的限制。但出于安全考慮，在使用密碼時需要注意以下幾點：（1）不使用默認密碼、（2）設(shè)置足夠長的密碼、（3）不要使用結(jié)構(gòu)簡單的詞或數(shù)字組合、（4）增加密碼的組合復(fù)雜度、（5）使用加密、（6）避免共享密碼、（7）定期更換密碼,就密碼的安全使用來說，計算機系統(tǒng)應(yīng)該具備下列安全性：（1）入侵者即使取得儲存在系統(tǒng)中的密碼也無法達到登錄的目的。這需要在密碼認證的基礎(chǔ)上再增加其他的認證方式，如地址認證。（2）通過監(jiān)聽網(wǎng)絡(luò)上傳送的信息而獲得的密碼是不能用的。最有效的方式是數(shù)據(jù)加密。（3）計算機系統(tǒng)必須能夠發(fā)現(xiàn)并防止各類密碼嘗試攻擊?？墒褂妹艽a安全策略。,密碼認證的安全性,早在1974年，Purdy就提到為了保護密碼的安全，絕對不能以明文的方式儲存密碼，提出將密碼以單向函數(shù)y=f(x)轉(zhuǎn)換后，以加密的方式將密碼與賬戶資料存放在一個驗證表中，單向函數(shù)應(yīng)具有下列特性：知道x可以很容易計算出y。知道y要算出x，在計算上是不可行的。,數(shù)字證書數(shù)字證書是一段包含用戶身份信息、用戶公鑰信息以及身份驗證機構(gòu)數(shù)字簽名的數(shù)據(jù)。身份驗證機構(gòu)的數(shù)字簽名可以確保證書信息的真實性，用戶公鑰信息可以保證數(shù)字信息傳輸?shù)耐暾裕脩舻臄?shù)字簽名可以保證數(shù)字信息的不可否認性。通過使用數(shù)字證書，使用者可以得到如下保證:信息除發(fā)送方和接收方外不被其它人竊取;信息在傳輸過程中不被篡改;發(fā)送方能夠通過數(shù)字證書來確認接收方的身份;發(fā)送方對于自己的信息不能抵賴:信息自數(shù)字簽名后到收到為止未曾作過任何修改，簽發(fā)的文件是真實文件。,在多數(shù)的場合下，最廣泛接受的證書格式是X.509標準，使用最多的就是X.509v3標準。下面是X.509標準第三版證書結(jié)構(gòu)。證書結(jié)構(gòu)一般是通過ASN1(AbstractSyntaxNotationOne，抽象語法符號)來描述和表示的。,X.509v3版本的證書結(jié)構(gòu),3、動態(tài)口令,動態(tài)口令機制是為了解決靜態(tài)口令的不安全問題而提出的，基本思想是用動態(tài)口令代替靜態(tài)口令，其基本原理是：在客戶端登錄過程中，基于用戶的秘密通行短語（SecurePassPhrase，SPP)加入不確定因素，SPP和不確定因素進行變換（如使用MD5信息摘錄)，所得的結(jié)果作為認證數(shù)據(jù)（即動態(tài)口令)，提交給認證服務(wù)器。認證服務(wù)器接收到用戶的認證數(shù)據(jù)后，以事先預(yù)定的算法去驗算認證數(shù)據(jù)，從而實現(xiàn)對用戶身份的認證。由于客戶端每次生成認證數(shù)據(jù)都采用不同的不確定因素值，保證了客戶端每次提交的認證數(shù)據(jù)都不相同，因此動態(tài)口令機制有效地提高了身份認證的安全性。,基于時間同步的動態(tài)口令機制,基于時間同步（TimeSynchronization）的動態(tài)口令機制的特點是選擇單向散列函數(shù)作為認證數(shù)據(jù)的生成算法，以種子密鑰和時間值作為單向散列函數(shù)的輸入?yún)?shù)。由于時間值是不斷變化的，因此散列函數(shù)運算所得的認證數(shù)據(jù)也在不斷變化，保證了每次產(chǎn)生的認證數(shù)據(jù)不相同?；跁r間同步的動態(tài)口令機制的認證過程如下圖所示：,時間同步方式的關(guān)鍵在于認證服務(wù)器和客戶端的時鐘要保持同步，只有在兩端時鐘同步的情況下才能做出正確的判斷。一旦發(fā)生了時鐘偏移，就需要進行時鐘校正。,基于時間同步的動態(tài)口令機制的認證方式,基于事件同步的動態(tài)口令機制,又稱Lamport方式或哈希鏈（HashChains）方式。事件同步機制是以事件（例如使用次數(shù)或序列數(shù)）作為變量。在初始化階段選取一個口令PW和一個跌代數(shù)n，及一個單向散列函數(shù)H，計算Y=Hn(PW)（Hn()表示進行n次散列運算），把Y和n的值存儲于認證服務(wù)器上，客戶端計算Y=Hn-1(PW)，將計算結(jié)果提交給服務(wù)器，服務(wù)器則計算Z=H(Y)，并將Z值于服務(wù)器上保存的Y值進行比較，如果Z=Y，則驗證成功，然后用Y的值取代服務(wù)器上保存的Y值，同時將n的值遞減1。基于時間同步的動態(tài)機制的認證過程如下圖所示：,基于事件同步的動態(tài)口令機制同樣存在失去同步的風(fēng)險，如用戶多次無目的的生成口令就會造成失步。對于事件的失步，認證服務(wù)器可采用增大偏移量的方式進行再同步，即服務(wù)器端自動向后推算一定次數(shù)的密碼。,基于事件同步的動態(tài)口令機制的認證過程,基于挑戰(zhàn)/應(yīng)答的動態(tài)口令機制,基于挑戰(zhàn)/應(yīng)答的動態(tài)口令機制屬于異步方式，其基本原理為：選擇單向散列函數(shù)或加密算法作為口令生成算法。當用戶請求登錄時，認證服務(wù)器產(chǎn)生一個挑戰(zhàn)碼（通常是隨機數(shù)）發(fā)送給用戶；用戶端將口令（密鑰）和挑戰(zhàn)碼作為單向散列函數(shù)的參數(shù)，進行散列運算，得到的結(jié)果（即應(yīng)答數(shù)）作為動態(tài)口令發(fā)送給認證服務(wù)器。認證服務(wù)器用同樣的單向散列函數(shù)做驗算即可驗證用戶身份。其認證過程如下圖所示：,挑戰(zhàn)應(yīng)答機制中的不確定因素是由認證服務(wù)器產(chǎn)生的隨機數(shù)。由于每個隨機數(shù)都是唯一的，因此保證了每次產(chǎn)生的應(yīng)答數(shù)都不相同。相比上兩種方式，挑戰(zhàn)應(yīng)答機制不會出現(xiàn)失步的問題，安全性也更高，但是它的使用過程繁瑣，占用通信帶寬資源較多。,基于挑戰(zhàn)/應(yīng)答的動態(tài)口令機制的認證過程,4、基于生物識別技術(shù)的認證方式,生物識別技術(shù)主要是指通過可測量的身體或行為等生物特征進行身份認證的一種技術(shù)。生物特征是指唯一的可以測量或可自動識別和驗證的生理特征或行為方式。生物特征分為身體特征和行為特征兩類。身體特征包括：指紋、掌型、視網(wǎng)膜、虹膜、人體氣味、臉型、手的血管和DNA等；行為特征包括：簽名、語音、行走步態(tài)等。目前部分學(xué)者將視網(wǎng)膜識別、虹膜識別和指紋識別等歸為高級生物識別技術(shù)；將掌型識別、臉型識別、語音識別和簽名識別等歸為次級生物識別技術(shù)；將血管紋理識別、人體氣味識別、DNA識別等歸為“深奧的”生物識別技術(shù)。,與傳統(tǒng)身份認證技術(shù)相比，生物識別技術(shù)具有以下特點：（1）隨身性：生物特征是人體固有的特征，與人體是唯一綁定的，具有隨身性。（2）安全性：人體特征本身就是個人身份的最好證明,滿足更高的安全需求。（3）唯一性：每個人擁有的生物特征各不相同。（4）穩(wěn)定性：生物特征如指紋、虹膜等人體特征不會隨時間等條件的變化而變化。（5）廣泛性：每個人都具有這種特征。（6）方便性：生物識別技術(shù)不需記憶密碼與攜帶使用特殊工具(如鑰匙)，不會遺失。（7）可采集性：選擇的生物特征易于測量。（8）可接受性：使用者對所選擇的個人生物特征及其應(yīng)用愿意接受。,生物特征模板可以存放在客戶端、服務(wù)端或者可信任第三方(TrustedThirdParty,TTP)?？尚湃蔚谌娇梢允且粋€權(quán)威機構(gòu)，也可能是一個能夠執(zhí)行復(fù)雜計算操作的智能卡。身份認證對比的位置也可以是在客戶端、服務(wù)端或者TTP。,生物特征識別過程,四、身份認證產(chǎn)品,目前比較流行的兩種身份認證硬件產(chǎn)品，USBKey和動態(tài)口令產(chǎn)品。1、USBKeyUSBKey是一種USB接口的小巧的硬件設(shè)備，它內(nèi)置了CPU、存儲器、芯片操作系統(tǒng)（COS），可以存儲用戶的密鑰或數(shù)字證書，利用USBKey內(nèi)置的密碼算法實現(xiàn)對用戶身份的認證。,USBKey的幾種認證模式基于沖擊/響應(yīng)的認證模式實際上就是對基于挑戰(zhàn)/應(yīng)答的動態(tài)口令機制的改進，將密鑰存儲在USBKey中，加密過程也在USBKey中進行，增大了安全性?；赑KI的數(shù)字證書的認證模式USBKey廠家將USBKey與PKI技術(shù)相結(jié)合，開發(fā)了符合PKI標準的安全中間件，利用USBKey來保存數(shù)字證書和用戶私鑰，并對應(yīng)用開發(fā)商提供符合PKI標準的編程接口，以便開發(fā)基于PKI的應(yīng)用程序。由于USBKey本身作為密鑰存儲器，其自身的硬件結(jié)構(gòu)決定了用戶只能通過廠商編程接口訪問數(shù)據(jù)，這就保證了保存在USBKey中的數(shù)字證書無法被復(fù)制。,基于生物識別的認證模式將USBKey與生物識別技術(shù)相結(jié)合，例如指紋USBKey，用指紋代替用戶密鑰。用戶可選擇將指紋模板存儲于KEY中或遠程服務(wù)器端，分別采取1：1或1：N比對模式，也可以兩種認證模式同時采用，即先在KEY中完成首次比對，再于服務(wù)器端完成二次比對，通過雙重指紋認證，進一步提高安全級別。,2、動態(tài)口令產(chǎn)品它采用一種稱之為動態(tài)令牌的專用硬件，內(nèi)置電源、密碼生成芯片和顯示屏。RSASecurID就是采用基于時間同步的動態(tài)口令生成技術(shù)。中國銀行使用的動態(tài)口令產(chǎn)品就是RSASecurID700。,五、身份認證技術(shù)的發(fā)展趨勢,網(wǎng)絡(luò)身份認證技術(shù)在未來的發(fā)展中應(yīng)朝著高安全性、高速度、高穩(wěn)定性、易用性、實用性以及認證終端小型化等方向發(fā)展。其發(fā)展趨勢可從以下幾個方面體現(xiàn)：1、生物認證技術(shù)目前還沒有一種生物特征認證技術(shù)的正確率能達到百分之百。如何通過提高硬件水平和改進識別算法來提高識別的正確率將是未來的研究熱點。,2、多因