身份認證技術

文稿歸稿存檔編號：[KKUY-KKIO69-OTM243-OLUI129-G00I-FDQS58-MG129]文稿歸稿存檔編號：[KKUY-KKIO69-OTM243-OLUI129-G00I-FDQS58-MG129]身份認證技術身份認證技術摘??要：當今，信息安全越來越受到人們的重視。建立信息安全體系的目的就是要確保存儲在計算機及網(wǎng)絡系統(tǒng)中的數(shù)據(jù)只能夠被有權操作的人訪問，全部未被授權的人無法訪問到這些數(shù)據(jù)。身份認證技術是在計算機網(wǎng)絡中確認操作者身份的過程而產生的解決辦法。計算機網(wǎng)絡世界中一切信息涉及顧客的身份信息都是用一組特定的數(shù)據(jù)來表達的，計算機只能識別顧客的數(shù)字身份，全部對顧客的授權也是針對顧客數(shù)字身份的授權。如何確保以數(shù)字身份進行操作的操作者就是這個數(shù)字身份正當擁有者，也就是說確保操作者的物理身份與數(shù)字身份相對應，身份認證技術就是為理解決這個問題，作為防護網(wǎng)絡資產的第一道關口，身份認證有著舉足輕重的作用。通過認識，掌握身份認證技術，使自己的網(wǎng)絡信息資源得到更加好的保障。本文重要介紹了身份認證技術的概念、常見的幾個身份認證方式及身份認證技術的應用。核心詞:身份認證技術身份認證辦法身份認證方式認證應用身份識別正文：一、身份認證技術介紹相信大家都還記得一種典型的漫畫，一條狗在計算機面前一邊打字，一邊對另一條狗說：“在互聯(lián)網(wǎng)上，沒有人懂得你是一種人還是一條狗！”這個漫畫闡明了在互聯(lián)網(wǎng)上很難識別身份。身份認證是指計算機及網(wǎng)絡系統(tǒng)確認操作者身份的過程。計算機系統(tǒng)和計算機網(wǎng)絡是一種虛擬的數(shù)字世界，在這個數(shù)字世界中，一切信息涉及顧客的身份信息都是用一組特定的數(shù)據(jù)來表達的，計算機只能識別顧客的數(shù)字身份，全部對顧客的授權也是針對顧客數(shù)字身份的授權。而我們生活的現(xiàn)實世界是一種真實的物理世界，每個人都擁有獨一無二的物理身份。如何確保以數(shù)字身份進行操作的操作者就是這個數(shù)字身份正當擁有者，也就是說確保操作者的物理身份與數(shù)字身份相對應，就成為一種很重要的問題。身份認證技術的誕生就是為理解決這個問題。身份認證技術是在計算機網(wǎng)絡中確認操作者身份的過程而產生的解決辦法。所謂“沒有不透風的墻”，你所懂得的信息有可能被泄露或者尚有其別人懂得，楊子榮就是掌握了“天王蓋地虎，寶塔鎮(zhèn)河妖”的接頭暗號成功的偽造了自己的身份。而僅憑借一種人擁有的物品判斷也是不可靠的，這個物品有可能丟失，也有可能被人盜取，從而偽造這個人的身份。只有人的身體特性才是獨一無二，不可偽造的，然而這需要我們對這個特性含有可靠的識別能力。二、身份認證辦法在真實世界，對顧客的身份認證基本辦法能夠分為這三種：1)根據(jù)你所懂得的信息來證明你的身份(你懂得什么)；2)根據(jù)你所擁有的東西來證明你的身份(你有什么)；3)直接根據(jù)獨一無二的身體特性來證明你的身份(你是誰)，例如指紋、面貌等。三、慣用的身份認證方式及應用1、靜態(tài)密碼：靜態(tài)密碼，是最簡樸也是最慣用的身份認證辦法，它是基于“你懂得什么”的驗證手段。每個顧客的密碼是由這個顧客自己設定的，只有他自己才懂得，因此只要能夠對的輸入密碼，計算機就認為他就是這個顧客。然而事實上，由于許多顧客為了避免忘記密碼，經常采用諸如自己或家人的生日、電話號碼等容易被別人猜想到的故意義的字符串作為密碼，或者把密碼抄在一種自己認為安全的地方，這都存在著許多安全隱患，極易造成密碼泄露。即使能確保顧客密碼不被泄漏，由于密碼是靜態(tài)的數(shù)據(jù)，并且在驗證過程中需要在計算機內存中和網(wǎng)絡中傳輸，而每次驗證過程使用的驗證信息都是相似的，很容易被駐留在計算機內存中的木馬程序或網(wǎng)絡中的監(jiān)聽設備截獲。因此，靜態(tài)密碼是一種極不安全的身份認證方式。能夠說基本上沒有任何安全性可言。2、動態(tài)口令：動態(tài)口令技術是一種讓顧客的密碼按照時間或使用次數(shù)不停動態(tài)變化，每個密碼只使用一次的技術，它是基于“你有什么”的驗證手段。它采用一種稱之為動態(tài)令牌的專用硬件，內置電源、密碼生成芯片和顯示屏，密碼生成芯片運行專門的密碼算法，根據(jù)現(xiàn)在時間或使用次數(shù)生成現(xiàn)在密碼并顯示在顯示屏上。認證服務器采用相似的算法計算現(xiàn)在的有效密碼。顧客使用時只需要將動態(tài)令牌上顯示的現(xiàn)在密碼輸入客戶端計算機，即可實現(xiàn)身份確實認。由于每次使用的密碼必須由動態(tài)令牌來產生，只有正當顧客才持有該硬件，因此只要密碼驗證通過就能夠認為該顧客的身份是可靠的。而顧客每次使用的密碼都不相似，即使黑客截獲了一次密碼，也無法運用這個密碼來仿冒正當顧客的身份。

動態(tài)口令技術采用一次一密的辦法，有效地確保了顧客身份的安全性。但是如果客戶端硬件與服務器端程序的時間或次數(shù)不能保持良好的同時，就可能發(fā)生正當顧客無法登陸的問題。并且顧客每次登錄時還需要通過鍵盤輸入一長串無規(guī)律的密碼，一旦看錯或輸錯就要重新來過，顧客的使用非常不方便，廣泛應用在VPN、網(wǎng)上銀行、電子政務、電子商務等領域。3、短信密碼：短信密碼以手機短信形式請求包含6位隨機數(shù)的動態(tài)密碼，身份認證系統(tǒng)以短信形式發(fā)送隨機的6位密碼到客戶的手機上?？蛻粼诘卿浕蛘呓灰渍J證時候輸入此動態(tài)密碼，從而確保系統(tǒng)身份認證的安全性。它運用“你有什么”辦法。含有下列優(yōu)點：1）安全性：由于手機與客戶綁定比較緊密，短信密碼生成與使用場景是物理隔絕的，因此密碼在通路上被截取幾率降至最低。2）普及性：只要會接受短信即可使用，大大減少短信密碼技術的使用門檻，學習成本幾乎為0，因此在市場接受度上面不會存在阻力。3）易收費：由于移動互聯(lián)網(wǎng)顧客天然養(yǎng)成了付費的習慣，這和PC時代互聯(lián)網(wǎng)截然不同的理念，并且收費通道非常的發(fā)達，如果是網(wǎng)銀、第三方支付、電子商務可將短信密碼作為一項增值業(yè)務，每月通過SP收費不會有阻力，因此也可增加收益。4）易維護：由于短信網(wǎng)關技術非常成熟，大大減少短信密碼系統(tǒng)上馬的復雜度和風險，短信密碼業(yè)務后期客服成本低，穩(wěn)定的系統(tǒng)在提高安全同時也營造良好的口碑效應，這也是現(xiàn)在銀行也大量采納這項技術很重要的因素。

4、USB?Key認證：基于USB?Key的身份認證方式是近幾年發(fā)展起來的一種方便、安全、經濟的身份認證技術，它采用軟硬件相結合一次一密的強雙因子認證模式，較好地解決了安全性與易用性之間的矛盾。USB?Key是一種USB接口的硬件設備，它內置單片機或智能卡芯片，能夠存儲顧客的密鑰或數(shù)字證書，運用USB?Key內置的密碼學算法實現(xiàn)對顧客身份的認證?；赨SB?Key身份認證系統(tǒng)重要有兩種應用模式：一是基于沖擊/對應的認證方式，二是基于PKI體系的認證方式。1）基于沖擊/響應的雙因子認證方式當需要在網(wǎng)絡上驗證顧客身份時，先由客戶端向服務器發(fā)出一種驗證請求。服務器接到此請求后生成一種隨機數(shù)并通過網(wǎng)絡傳輸給客戶端（此為沖擊）。客戶端將收到的隨機數(shù)通過USB接口提供應ePass，由ePass使用該隨機數(shù)與存儲在ePass中的密鑰進行MD5-HMAC運算并得到一種成果作為認證證據(jù)傳給服務器（此為響應）。與此同時，服務器也使用該隨機數(shù)與存儲在服務器數(shù)據(jù)庫中的該客戶密鑰進行MD5-HMAC運算，如果服務器的運算成果與客戶端傳回的響應成果相似，則認為客戶端是一種正當顧客。密鑰運算分別在ePass硬件和服務器中運行，不出現(xiàn)在客戶端內存中，也不在網(wǎng)絡上傳輸，由于MD5-HMAC算法是一種不可逆的算法，就是說懂得密鑰和運算用隨機數(shù)就能夠得到運算成果，而懂得隨機數(shù)和運算成果卻無法計算出密鑰，從而保護了密鑰的安全，也就保護了顧客身份的安全。2）基于PKI體系的認證方式隨著PKI技術日趨成熟，許多應用中開始使用數(shù)字證書進行身份認證與數(shù)字加密。數(shù)字證書是由權威公正的第三方機構即CA中心簽發(fā)的，以數(shù)字證書為核心的加密技術，能夠對網(wǎng)絡上傳輸?shù)男畔⑦M行加密和解密、數(shù)字簽名和簽名驗證，確保網(wǎng)上傳遞信息的機密性、完整性，以及交易實體身份的真實性，簽名信息的不可否認性，從而保障網(wǎng)絡應用的安全性。USBKey作為數(shù)字證書的存儲介質，能夠確保數(shù)字證書不被復制，并能夠實現(xiàn)全部數(shù)字證書的功效?，F(xiàn)在重要運用在電子政務、網(wǎng)上銀行。5、IC卡認證：IC卡是一種內置集成電路的卡片，卡片中存有與顧客身份有關的數(shù)據(jù)，?IC卡由專門的廠商通過專門的設備生產，能夠認為是不可復制的硬件。IC卡由正當顧客隨身攜帶，登錄時必須將IC卡插入專用的讀卡器讀取其中的信息，以驗證顧客的身份。IC卡認證是基于“你有什么”的手段，通過IC卡硬件不可復制來確保顧客身份不會被仿冒。IC卡廣泛地應用于金融財務、社會保險、交通旅游、醫(yī)療衛(wèi)生、政府行政、商品零售、休閑娛樂、學校管理及其它領域。

6、生物識別技術：

生物識別技術是指采用每個人獨一無二的生物特性來驗證顧客身份的技術。常見的有指紋識別、虹膜識別等。從理論上說，生物特性認證是最可靠的身份認證方式，由于它直接使用人的物理特性來表達每一種人的數(shù)字身份，不同的人含有相似生物特性的可能性能夠無視不計，因此幾乎不可能被仿冒。生物特性認證基于生物特性識別技術，受到現(xiàn)在的生物特性識別技術成熟度的影響，采用生物特性認證還含有較大的局限性。首先，生物特性識別的精確性和穩(wěn)定性尚有待提高，特別是如果顧客身體受到傷病或污漬的影響，往往造成無法正常識別，造成正當顧客無法登陸的狀況。另首先，由于研發(fā)投入較大和產量較小的因素，生物特性認證系統(tǒng)的成本非常高，現(xiàn)在只適合于某些安全性規(guī)定非常高的場合如銀行、部隊等使用，還無法做到大面積推廣。

7、數(shù)字簽名：數(shù)字簽名又稱電子加密，能夠分辨真實數(shù)據(jù)與偽造、被篡改正的數(shù)據(jù)。這對于網(wǎng)絡數(shù)據(jù)傳輸，特別是電子商務是極其重要的，普通要采用一種稱為摘要的技術，摘要技術重要是采用HASH函數(shù)（HASH（哈希）函數(shù)提供了這樣一種計算過程：輸入一種長度不固定的字符串，返回一串定長度的字符串，又稱HASH值）將一段長的報文通過函數(shù)變換，轉換為一段定長的報文，即摘要。簽名過程是報文的發(fā)送方用一種哈希函數(shù)從報文文本中生成報文摘要（散列值），發(fā)送方用自己的私人密鑰對這個散列值進行加密。然后，這個加密后的散列值將作為報文的附件和報文一起發(fā)送給報文的接受方。報文的接受方首先用與發(fā)送方同樣的哈希函數(shù)從接受到的原始報文中計算出報文摘要，接著再用發(fā)送方的公用密鑰來對報文附加的數(shù)字簽名進行解密。如果兩個散列值相似、那么接受方就能確認該數(shù)字簽名是發(fā)送方的。通過數(shù)字簽名能夠實現(xiàn)對原始報文的鑒別。數(shù)字簽名有兩種功效：一是能擬定消息確實是由發(fā)送方簽名并發(fā)出來的，由于別人假冒不了發(fā)送方的簽名。二是數(shù)字簽名能擬定消息的完整性。由于數(shù)字簽名的特點是它代表了文獻的特性，文獻如果發(fā)生變化，數(shù)字簽名的值也將發(fā)生變化。不同的文獻將得到不同的數(shù)字簽名。一次數(shù)字簽名涉及到一種哈希函數(shù)、發(fā)送者的公鑰、發(fā)送者的私鑰。身份識別是指顧客向系統(tǒng)出示自己身份證明的過程，重要使用商定口令、智能卡和顧客指紋、視網(wǎng)膜和聲音等生理特性。數(shù)字證明機制提供運用公開密鑰進行驗證的辦法。重要應用電子商務，網(wǎng)上銀行等領域。四、體會當今社會是一種網(wǎng)絡信息的社會，通過對身份認證技術的學習與掌握，隨著網(wǎng)絡資源的普及與發(fā)展，網(wǎng)絡安全問題顯得尤為重要，我們要學習好有關網(wǎng)絡安全的知識，身份認證技術是一種十分重要的網(wǎng)絡安全技術，我們要深刻的認識它，避免我們的信息丟失或被竊取，以免造成重大的損失。我認為我們能夠將兩種認證辦法結合起來，進一步加強認證的安全性。例如，動態(tài)口令牌+靜態(tài)密碼，USBKEY+靜態(tài)密碼，等等。五、總結綜上，闡明了有關身份認證技術的介紹，身份認證辦法，慣用的身份認證方式及應用：靜態(tài)密碼，動態(tài)口令，短信密碼，USB?Key認證，IC卡認證，生物識別技術，數(shù)字簽名。如今，社會的發(fā)展與進步時時刻刻離不開網(wǎng)絡，網(wǎng)絡信息的安全是個舉足輕重的課題，掌握、運用身份認證技術在我們這個網(wǎng)絡信息時代占據(jù)著相稱重要的