基于網絡安全中身份認證技術的探討

朱珠

(調峰調頻發電公司,廣東 廣州 510000)

隨著網絡規模及其應用的飛速發展，對包括身份認證在內的一體化網絡管理，提出了日益緊迫的要求。我們在盡情享受互聯網所帶來的好處的同時，必須要清醒地認識到。網絡存在著許多漏洞.網絡安全存在著許多威脅。作為網絡安全的第一道防線，身份認證有著至關重要的作用。

一、身份認證技術

1.基于口令的認證方式。傳統的認證技術主要采用基于口令的認證方法。這種認證方法很簡單，系統事先保存每個用戶的二元組信息fID，PW)。進入系統時用戶輸入ID和PW，系統根據保存的用戶信息和用戶輸入的信息相比較。從而判斷用戶身份的合法性。這種認證方法的優點在于：一般的系統(如UNIX，WindowsNT等)都提供了對口令認證的支持，對于封閉的小型系統來說不失為一種簡單可行的方法。但由于用戶經常選擇姓名、生日等易被猜測破解的口令。使得這種技術變得極不安全；口令以明文形式在網絡傳輸。使得攻擊者很容易通過搭線竊聽獲取用戶口令；另外，攻擊者可能利用系統漏洞獲取并破解系統保留的用戶口令文件，整個系統的安全性就受到了威脅。為提高該技術的安全強度，通常使用密碼算法對口令進行加密保存和加密傳輸，但對重傳和假冒攻擊也毫無抵抗能力。

2.基于物理證件的認證方式。基于物理證件的認證方式是一種利用用戶所擁有的某種東西進行認證的方式。主要的物理證件有智能卡和目前流行的USBKey等。智能卡具有硬件加密功能，有較高的安全性。基于智能卡的用戶身份認證方式結合了用戶所知和用戶所擁有兩個方面，用戶信息(ID，PW)存在物理證件中，AS中存入某個事先由用戶選擇的某個隨機數。用戶訪問系統資源時，用戶輸入(ID，PW)。系統首先判斷智能卡的合法性，然后由智能卡鑒別用戶身份，若用戶身份合法。再將智能卡中的隨機數送給AS作進一步認證。

3.基于硬件信息的認證方式。基于硬件信息的認證方式是最新發展起來的。它是通過計算機本身的唯一硬件特征來標識使用者的身份。結合PIN碼的使用.可以實現一種高強度的雙因子認證。這種認證依然是建立在公鑰密碼體制之上的。它的基本假定就是：對于固定的用戶，其使用的計算機也是相對固定的(在公用的計算機上是不應該執行任何涉及個人機密的操作的，否則安全根本得不到任何保障)，那么，通過對這臺計算機的識別，加上對當時使用計算機的用戶識別，就可以實現對用戶的遠程認證。其難點和重點在于識別計算機的唯一硬件特征。我們使用的網卡都有一個全球唯一的MAC地址，網卡生產商都遵循統一的規定，按照統一的分配來給自己生產的網卡指定MAC地址。同樣的，對于CPU、硬盤、主板等其他計算機部件，都存在著相應的協議和規范。而這些參數的聯合，足夠構成一個全球唯一的硬件標識號碼。

其工作原理是：首先對合法用戶的計算機進行硬件特征采集。通過對于硬件標識號碼的實時獲取，可以實時地認證一臺具有唯一特征值的計算機是否是已經注冊的合法使用者。

二、一次性口令認證技術

1.設計思想與特點

（用戶PIN─USBkey─USB接口─IPM）身份代碼和某種不確定因素作為密碼算法的輸入參數。經過算法變換得到一個變化的結果，即一次性口令，將其作為用戶的登錄口令；認證服務器端使用相應的算法進行計算，并將計算結果與用戶的登錄口令進行匹配，若合法則接受登錄。由此得到變化的、不重復的一次性口令，且無需用戶記憶，一個口令只能使用一次，重復使用將被拒絕接受。例如：登錄口令=MD5(用戶名+密碼+登錄時間)，系統接收到登錄I=l令后做一次驗算即可驗證用戶的合法性

2.技術的實現方式

目前，一次性口令認證技術主要有以下四種實現方式：Lamport方式也稱為哈希鏈(Hash chains)方式。在初始化階段選取一個口令PW和一個迭代數N，及一個單向散列函數F，計算Y=Fn(PW)(Fn()表示進行n次散列運算)，并把Y和N的值存到服務器上。用戶端計算Y/=Fn-1(PW)的值，再提交給服務器。服務器則計算Z=F(Y/)，最后服務器將z值同服務器上保存的Y/進行比較。如果Z=Y/，則驗證成功，然后用Y/的值取代服務器上Y的值，同時N的值遞減1。通過Lamport方式，用戶每次登錄到服務器端的口令都不相同。這種方案易于實現，且無須特殊硬件的支持。但其安全性依賴于單向散列函數F，不宜在分布式的網絡環境下使用。

時間同步方式(TimeSynchronization)每個用戶都持有相應的時間同步令牌(Token)。令牌內置時鐘、種子密鑰和加密算法。時間同步令牌根據當前時間和種子密鑰每分鐘動態生成一個一次性口令。用戶需要訪問系統時，將令牌生成的動態口令傳送到認證服務器。服務器通過其種子密鑰副本和當前時問計算出所期望的輸出值。對用戶進行驗證。如果相匹配，則登錄通過。時間同步方式的關鍵在于認證服務器和令牌的時鐘要保持同步，這樣在同一時鐘內兩者才能計算出相同的動態口令。挑戰，

應答方式(Challenge／Response)每個用戶同樣需要持有相應的挑戰，應答令牌。令牌內置種子密鑰和加密算法。用戶在訪問系統時，服務器隨機生成一個挑戰(Challenge)數據，并將挑戰數據發送給用戶，用戶將收到的挑戰數據手工輸入到挑戰，應答令牌中，挑戰，應答令牌利用內置的種子密鑰和加密算法計算出相應的應答((Re—sponse)數據。用戶再將應答數據上傳給服務器。服務器根據該用戶存儲的種子密鑰和加密算法計算出相應的應答數據，再和用戶上傳的應答數進行比較來實施認證。該方式可以保證很高的安全性。是目前最可靠有效的認證方式。但該方式直接應用在網絡環境下還存在一些缺陷：需要特殊硬件(挑戰，應答令牌)的支持，增加了該方式的實現成本；用戶需多次手工輸入數據，易造成較多的輸入失誤，使用起來不方便；用戶的身份ID直接在網絡上明文傳輸.攻擊者可能很容易地截獲它，留下了安全隱患；沒有實現用戶和服務器間的相互認證，不能抵抗來自服務器端的假冒攻擊；挑戰數據每次都由服務器隨機生成，造成了服務器開銷過大。

異或運算方式將異或運算、加法運算等低復雜度的運算與散列運算相結合，認證雙方通過這些運算方式計算雙方交換的認證數據進行一次性口令身份認證。這種方式的特點是設計簡單、運算量較小。而且實施的成本也較低。

結束語

總之，身份認證是信息安全技術的一個重要方面,是其他安全機制的基礎。而目前在網絡應用系統中應用最為廣泛的技術是靜態口令的身份認證技術。這種身份認證方法操作十分簡單，但同時又最不安全，因為其安全性僅僅基于用戶口令的保密性，而用戶口令一般較短且容易猜測，同時由于口令的明文傳輸使得系統攻擊者很容易通過搭線竊聽方法竊取用戶口令。

[1]曲毅.絡安全中身份認證技術的研究[J].淮海工學院學報，2001.10.

[2]劉鳳貴，鄭睿，高翔云.網絡安全中身份認證技術研究[J].電腦知識與技術，2008.S1.