淺談網絡安全中的身份認證技術

李 黎

鐵嶺市信息工程學校

淺談網絡安全中的身份認證技術

李 黎

鐵嶺市信息工程學校

隨著全球化經濟模式的出現以及科學技術的高速發展，網絡技術應用越來越廣泛。如何應對網絡快速普及、網民數量迅速膨脹帶來的網絡安全問題，怎樣保證網民個人信息安全等，是我們必須要重點解決的問題。本文從網絡安全出發，主要分析了幾種身份認證的方法和技術，使人們了解身份認證技術應用及其發展，促進互聯網的健康發展。

網絡安全、身份認證、口令、生物特征、Kerberos、PKI

引言：網絡技術的普及和發展、信息的共享和應用給人們的工作和生活帶來深遠的影響。在帶來巨大便利的同時，網絡安全問題也日益突出而且越來越復雜。身份認證技術就是通過計算機網絡來確定使用者的身份，使通訊雙方的各種信息交流可以在一個安全的環境中。

一、身份認證的含義

在網絡安全里，身份認證技術是保護網絡信息安全的第一道防線，是最基本的安全服務，是其他安全機制的基礎。身份認證是系統證實用戶真實身份與其所聲稱的身份是否相符的過程，從而確定該用戶是否具有對某種資源的訪問和使用權限。

驗證一個用戶的身份主要通過以下三種方式：用戶所知：如密碼、口令等。

用戶所有：如身份證、護照、密鑰等。

用戶本身的特征：如人的指紋、筆跡、DNA、視網膜及身體的特殊標志等。

二、身份認證常用的技術

身份認證的基本方法就是由被認證方提交登陸用戶獨有的具有保密性難以偽造的信息來表明自己的合法身份和權限。常用的方式有：

1、口令機制：

（1）簡單口令機制：PAP認證。系統保存用戶的二元信息組（ID，PW），進入系統時，由請求認證者輸入ID和PW，系統根據保存的用戶賬號信息和個人信息，來確認用戶身份是否合法。這種口令機制是一般是靜態的、不變的，容易記憶但也容易泄密，用于不太重要的場合或者保密性質不高的環境中。

（2）一次性口令機制：一次性口令OTP（One-timePassword），在用戶需要登錄的時候，驗證服務器就利用密碼產生器產生一個一次性密碼，一般分為計次使用以及計時使用兩種。是用戶身份的數字化憑證，是安全系統鑒別用戶身份合法性的依據。根據其生成方式不同可分為令牌卡、軟件令牌、智能卡等。

2、Kerberos協議

Kerberos是由美國麻省理工學:提出的基于可信賴的第三方的認證系統。其基本思想是：能正確對信息進行解密的用戶就是合法用戶。用戶在對應用服務器進行訪問之前，必須先從第三方（Kerberos服務器）獲取該應用服務器的訪問許可證（ticket）。在認證過程中，?Kerberos采用對稱密鑰體制對信息進行加密。

3、PKI(Public Key Infrastructure)技術

公鑰基礎設施PKI是提供公鑰加密和數字簽名服務的系統，目的是為了管理密鑰和證書，保證網上數字信息傳輸的機密性、真實性，完整性和不可否認性。PKI主要包括數字證書、認證中心（CA）、注冊機構（RA）、存儲和發布這些證書的電子目錄服務器等等，其中數字證書是其核心部件。

4、生物認證

所謂生物識別技術，是指通過計算機利用人體固有的物理特征或行為特征鑒別身份。由于生物識別技術具有不易遺忘、防偽性能好、不易偽造或被盜、隨身“攜帶”和隨時隨地可用等優點，因此得到廣泛而深入的研究和應用。目前常見的生物特征有面像、指紋、虹膜、掌紋、靜脈、語音、步態、簽名等。

三、用戶身份認證的發展趨勢

1、生物特征鑒別：如采集清晰的指紋、識別臉部輪廓、提取語音、筆跡、步態等。提高識別正確率將是未來的研究熱點。

2、多因素融合認證：有效地結合各種單因素認證技術，可以提高身份認證的安全性能。如口令認證與手機短信確認相結合已在應用中；多生物特征的融合識別技術也將是未來的研究方向。

3、屬性認證：屬性認證技術，把屬性證書的授權方案和認證技術相結合，解決分布式網絡環境中身份認證與權限分配問題。

結束語

總之，以上各種身份認證技術都有不足之處，在實際的應用中，應該從用戶實際需求和認證方式的安全性能兩個方面來綜合考慮，能滿足用戶需求的才是最好的。相信隨著計算機技術的快速發展和身份認證技術的不斷成熟，未來會出現更多、更安全、效能更高的身份認證技術，計算機安全和用戶信息的安全會得到更加周密的保障。

【1】徐國愛張淼彭俊好《網絡安全》2006.05