网络设备身份认证机制
一种基于数字证书的网络设备身份认证机制
高能,向继,冯登国
摘要:提出一种基于数字证书的网络设备身份认证机制,该机制利用一种新型的装置——“设备认证开关”对网络设备进行认证,对通过认证的网络设备接通网络连接,并对流经它的网络数据进行实时监控,保证合法连接不被盗用。认证方法则采用了目前最先进的PKI技术。与现有的网络身份认证技术和系统相比,基于设备认
证开关的网络设备认证机制将保护的边界拓展到了内部网络的最边缘,通过在网络设备的数字证书中嵌入简单的权限信息,可以自动地管理网络物理接口的使用。
1、概述
随着计算机网络的迅猛发展,网络违法犯罪、黑客攻击、有害信息传播等方面的问题日趋严重,网络安全保护已经成为刻不容缓的问题。特别是内部网络的安全保护尤为突出。内部网络的物理接口遍布在若干个房间,甚至是一座大楼之中。任何能够进入该区域的人员,都可能利用这些暴露的物理接口。黑客可以将自己的机器轻易地接入内部网络,探听内部网络的流量,甚至发起攻击。
目前通用的一些安全措施,如防火墙、虚拟专用网、加密技术以及入侵检测系统等,虽然可以有效地防止来自外部网络的攻击,但对防止来自网络内部攻击的效果却不明显。内部网络安全保护的一个重要的手段就是实现网络身认证,即对连入网络的用户和设备的身份进行认证,只有那些具有合法身份的用户和设备才能访问网络资源。网络身份认证的目标是保护内部网络中的关键服务器资源,但是一个没有通过身份认证的用户依然可以使用其它的内部网络资源,这是一个潜在的安全威胁。因而人们希望通过对网络设备进行认证,从而确保内部网络的安全。
2、网络身份认证
网络身份认证通常包括对网络用户身份和网络设备身份的认证。
2.1、用户身份认证
绝大多数的网络身份认证都只采用用户身份认证这种手段,通用的方法是一台认证服务器专门认证用户的身份,并赋予用户访问特定网络资源的能力。这样的用户认证系统包括Kerberos系统和基于用户证书的PK认证系统等。
单纯使用用户身份认证等于假定网络设备(计算机)是完全可信的,这种假定在安全性上存在不少的问题。首先,即使用户没有通过认证,它仍然能够访问一定的网络资源,利用这些资源可以发起各种攻击。例如,攻击者即使不能通过认证访问存有关键数据的服务器,但他仍然能够利用网络连接向服务器发起拒绝服务攻击。其次,一个非法的网络设备即使没有人为操纵,把它接在内部网络上仍然是十分危险
的,例如它可以向网络内散布各种病毒,也可以监听网络以窃取含有关键信息的流量。
显然,单纯基于用户身份认证的认证服务已经不能满足实际内部网络的安全需求。为了保护内部网络的资源,为了保证只有合法的网络设备才能接入内部网络,为了保护开放于内部的物理网络接口不被非法的网络设备效用,为了保护内部网络的最外缘,网络身份认证机制中必须增加对网络设备的身份认证。
2.2、设备身份认证
网络设备身份认证是保护内部网络安全的一个重要的安全机制,它的思想是对所有接入内部网络的网络设备的身份进行认证,通过认证的网络设备被认为是合法的,否则被认为是非法的,只有合法的网络设备才能够使用内部网络的各种资源,这里的资源主要是指网络连接。同时网络设备身份认证还必须保护合法设备的资源(网络连接)不被非法的设备所盗用。
仅利用日前的内部网络条件对网络设备进行身份认证是不可能的,在一般情况下,内部网络是开放的、无管理的。网络接口遍布于各个房间,内部网络无法对网络设备进行认证,任何网络设备只要接入空余的网络接口就可以获得网络连接,而且非法设备可以很容易地盗用合法设备的网络接口。所以为了实现网络设备身份认证,必须在内部网络中增加新的安全装置。
为了对网络设备进行身份认证,因内外专家提出了不同的思想,并且生产出了各种各样的产品。例如美国Alberta大学的Robert Beck在1999年于美国华盛顿召开的第13届系统管理(LISA)会议上,发表了一篇题为“Dealing with Public Ethernet Jacks Switched, Gateways, and Authentication”(公用以太网接口——交换机和网关的处理及认证)的文章,提出了网络设备认证的初步思想。在实际产品方面美国凤凰科技公司的Device Connect设备端认证技术、北京东方龙马公司的用户认证网关产品、上海给维佳公司的公开密钥基础设施(PKI)网管服务器等,都已经不同程度地得到了广泛应用。这些产品和技术在具体表现上各有不同,但实际上都是基于认证服务器的模式,这种模式的网络配置示意图如图所示。
(图1、认证服务器模式的网络配置示意图)
认证服务器是一种网络服务器,它将整个内部网络为受保护的网络A和未受保护的网络B,如同一座桥梁连接着这两部分。如果未受保护的网络中的一个网络设备想要访问受保护的网络,网络服务器首先对该设备进行认证,如果认证通过则允许它访问,否则拒绝访问。虽然这种方法可以实现网络设备的身份认证,但是由于它只是简单继承了用户身份认证的机制,存在以下几个明显的缺陷:
(1)片面性,它只提供了一种片面的安全保护,未通过认证的攻击者仍然可以利用网络连接来散布病毒,或进行拒绝服务攻击;
(2)安全配置复杂,它的配置需要改变内部网络的网络结构,重新分配IP地址,操作比较复杂;
(3)可用性,它本身存在被攻击的危险,例如攻击者可以对认证服务器发起拒绝服务攻击,致使合法的用户不能访问受保护的网络;
(4)网络性能,它同时也是网络性能上的一个瓶颈,当很多用户同时访问受保护的网络时,网络性能就会下降,特别是对于那些提供存储服务的服务器。
可见,认证服务器模式没有完全解决对设备的认证问题,因为存在不被认证的主机能够访问内部网络的问题,如图1中的攻击主机,虽然它无法通过认证服务器的
认证,但是它依然可以访问网络B内的其它主机,是具有网络连接的。鉴于目前
网络设备身份认证方法所存在的缺陷,我们提出了一种新型的网络设备身份认证的方法,它在内部网络中引入了一种新的装置——“设备认证开关”,由它专门对网络设备进行认证和管理,认证采用基于PKI的数字证书实现,该方法在安全性和性
能上很好地满足了内部网络设备身份认证的需求,将保护的范围扩展到了整个内部网络,在其最外缘形成了一道安全保护的边界。
3、一种网络设备身份认证的装置和方法
3.1、设备认证开关
设备认证开关(Device Authentication Switch,DAS)正是针对内部攻击开发的一种
新型的网络安全产品,它位于集线器(Hub)的前端,采用透明的传输方式,即本
身不具有网络地址,采用了数字签名技术,提供安全级别更高的网络设备身份认证。设备认证开关的主要功能是对没有通过认证的设备关闭网络连接(如PC的以太网
卡和集线器之间的连接),对通过认证的设备接通网络连接,并对接通的通信进行实时的监控,保证合法连接不被盗用。设备认证开关的网络配置示意图如图2。
(图2、设备认证开关网络配置示意图)
通过在内部网络的每个物理网络接口的后端安装和配置设备认证开关,从而保证每一个接入内部网络的设备都具有合法的身份。与传统的利用认证服务器实现网络设备身份认证的方法相比,基于设备认证开关的网络设备身份认证是一种全面保护内部网络的技术,将保护的边界拓展到了内部网络的最外缘,它的优点在于:
(1)由于其本身不具有网络地址,它的配置和使用对于客户机是完全透明的,在不需要改变现有的内部网络的结构的前提下,可以直接安装和使用;
(2)对于攻击者是不可见的,不易遭受拒绝服务攻击;
(3)采用分布式认证技术,消除了中心服务器认证产生的网络处理瓶颈问题。
3.2、使用数字证书实现认证
为了实现对网络设备身份的认证,我们引入了先进的PKI技术。PKI(Public Key Infrastructure)即公开密钥基础设施,它是一个用公钥概念与技术来实施和提供安全服务的具有普适性的安全基础设施。在PKI系统中,CA(Certificate Authority)是一个域中的信任中心,其他设备或人之间的通信和验证都依赖于CA所颁发的数字证书。数字证书也就是一个公开密钥和身份信息绑在一起,用CA的私钥签名后得到的数据结构。在网络通信中,数字证书就是标志通信各方身份信息的一系列数据,它提供了一种验证身份的方式,其作用类似于日常生活中的身份证。
(1)网络设备的身份信息
如何标识一台网络设备呢?最容易想到的就是设备的IP地址和MAC地址。如果使用网络设备的IP地址作为身份标识,存在两个问题:首先,网络设备的IP地址可能改变,例始内部网络的IP管理的需要;另一方面,IP地址是可以冒充的,恶意的攻击者可以伪装成合法用户的IP地址访问网络。因而,我们选用设备的MAC地址作为身份信息,只要在证书的Common Name(通用名)域填写设备的MAC地址即可。申请证书的计算机的以太网网卡地址必须是通过网络管理员认可的、合法的、可以在局域网内安全使用的网卡地址,例如,必须具有网络管理员出具的证明。
(2)网络设备的简单权限信息
在实际应用中特别是政府的内部网络,由于某些网络设备存有敏感信息,是不允许接入外网的(例如Internet),但是使用者有时可能会忽略这种限制,导致违规的操作,因而现有的解决方案是禁止这类设备连入内部网络,进行完全物理隔离。但是随着信息化的发展,物理隔离虽然可能是一个可靠的安全选择,但是却阻碍了信息的交换和共享,是否能够自动地识别接入内部网络的设备的权限,自动保证存有敏感信息的设备只能接入内网?使用设备认证开关是一个简单有效的解决方案。
在网络设备申请证书时,可以在证书主题域的OU域中填写访问权限信息,特别是一些简单的开关信息,例如,该开关信息限制将该网络设备标志为“内部网络登录组”,限制其只能接入内部网络而不允许接入外部网络。权限的设置和分配在申请证书时由网络管理员出示证明。图3是这类证书的一个例子。
(图3、网络设备证书实例)
通过网络设备发放带有简单权限信息的证书,利用设备认证开关可以实现对遍布在内部的物理网络接口的自动控制。当一台计算机接入物理网络接口时,设备认证开关根据证书的主题信息,可以判断该计算机是否具有登录内部网络或者外部网络的权限,对于具有相应权限的计算机,设备认证开关准许其接入,相反拒绝其接入。
完全物理隔离需要将外部网络接口和内部网络接口完全分开,而且对于存有敏感信息的网络设备必须物理隔离,避免因为人员的误操作将其接入外网。然而,采用设备认证开关的物理网络接口保护方案,不需要人为地区分外部网络接口和内部网络接口,根据证书内容自动识别访问权限,有利于网络篁接口的保护和管理,有效阻止了因为人员疏忽将存有敏感信息的网络设备接入外部网络的操作。
(3)网络设备认证协议
设备认证模块的设计采用挑战响应机制实现主机和设备认证模块之间的认证,采用PKI技术实现数字签名和证书管理,如图4所示。
(图4、认证示意图)
具体步骤如下:
1)DAS产生随机数Rb,发送给Host;
2)Host产生随机数Ra,使用网络设备证书对Ra、Rb签名,将证书CertA、Ra以
及签名结果发送给DAS;
3)DAS验证签名结果。
如果网络设备通过设备认证开关的认证,即该设备是合法的,那么打开设备与Hub (或者交换机)之间的连接,实现透明的转发,否则拒绝该设备访问网络。
这是一个简单的基于挑战机制的认证协议,协议的安全性是已经得到了证明的。
3.3、安全性分析
采用设备认证开关保护网络物理接口,有效解决了内部网络遗留的一些安全隐患:
(1)所有的从可疑的网络接口接入的网络设备都需要进行认证,只对部分的网络
设备进行认证没有意义;
(2)网络设备在通过认证之前,不能够拥有任何网络资源,即没胡网络连接,否
则它可以利用有限的网络资源发起攻击;
(3)网络设备的认证对用户是透明的,同时保证合法的网络设备所使用的资源不
会比在使用认证机制之前有明显的降低。
4、未来工作
目前,设备认证开关主要用来保护遍布在公司、企业、政府等内部的物理网络接口,很好地解决了一些简单的权限控制问题。随着内部网络结构复杂化和重点保护关键服务器的需求,可以引入属性证书结合设备认证开关进一步充分解决访问控制的问题。另一方面,由于设备认证开关是对网络物理接口的全面保护,因而可以作为监控网络的平台,在此基础上可以搭建控制中心,实现对网络的实时监控。
身份认证和访问控制实现原理
身份认证和访问控制实现原理 身份认证和访问控制的实现原理将根据系统的架构而有所不同。对于B/S架构,将采用利用Web服务器对SSL(Secure Socket Layer,安全套接字协议)技术的支持,可以实现系统的身份认证和访问控制安全需求。而对于C/S架构,将采用签名及签名验证的方式,来实现系统的身份认证和访问控制需求。以下将分别进行介绍: 基于SSL的身份认证和访问控制 目前,SSL技术已被大部份的Web Server及Browser广泛支持和使用。采用SSL技术,在用户使用浏览器访问Web服务器时,会在客户端和服务器之间建立安全的SSL通道。在SSL会话产生时:首先,服务器会传送它的服务器证书,客户端会自动的分析服务器证书,来验证服务器的身份。其次,服务器会要求用户出示客户端证书(即用户证书),服务器完成客户端证书的验证,来对用户进行身份认证。对客户端证书的验证包括验证客户端证书是否由服务器信任的证书颁发机构颁发、客户端证书是否在有效期内、客户端证书是否有效(即是否被窜改等)和客户端证书是否被吊销等。验证通过后,服务器会解析客户端证书,获取用户信息,并根据用户信息查询访问控制列表来决定是否授权访问。所有的过程都会在几秒钟内自动完成,对用户是透明的。 如下图所示,除了系统中已有的客户端浏览器、Web服务器外,要实现基于SSL的身份认证和访问控制安全原理,还需要增加下列模块: 基于SSL的身份认证和访问控制原理图 1.Web服务器证书 要利用SSL技术,在Web服务器上必需安装一个Web服务器证书,用来表明服务器的身份,并对Web服务器的安全性进行设置,使能SSL功能。服务器证书由CA 认证中心颁发,在服务器证书内表示了服务器的域名等证明服务器身份的信息、Web 服务器端的公钥以及CA对证书相关域内容的数字签名。服务器证书都有一个有效 期,Web服务器需要使能SSL功能的前提是必须拥有服务器证书,利用服务器证书 来协商、建立安全SSL安全通道。 这样,在用户使用浏览器访问Web服务器,发出SSL握手时,Web服务器将配置的服务器证书返回给客户端,通过验证服务器证书来验证他所访问的网站是否真
身份认证技术的发展与展望
身份认证技术的发展与展望 Internet迅猛发展带来了信息共享与安全这对矛盾共同体,加强网络安全建设、保障网络的安全运行成为网络存在的根本之道。网络身份认证技术发展到今天已经成为信息管理系统中必不可少的一部分,扮演着网络系统“看门人”的角色。 针对不同的安全威胁,目前存在多种主机安全技术和相关安全产品,如防病毒技术、个人防火墙、安全应用程序(如文件加密程序)、安全操作系统等。这些技术和产品在一定程度上满足人们的安全需求,却没有很好地解决以下两个问题: (1)系统访问,即开机时的保护问题,目前普遍采用的是基于口令的弱身份认证技术,很容易被攻破而造成泄密; (2)运行时保护,即在合法用户进入系统后因某种原因暂时离开计算机,此时任何人员均可在此系统之上进行操作,从而造成泄密。
将密码写在记事本上挂在电脑旁边,这样的事情相信很多公司的员工都曾经为之。出于安全的要求,现在公司的安全策略普遍要求员工的登陆密码要定期更换,而且不能重复,这使得想出一个自己能记住的长串密码成为一件让员工头疼的事情。为了便于记忆,员工往往会选择常用词或者号码作为密码,如果攻击者使用“字典攻击法”或者穷举尝试法来破译,很容易被穷举出来。传统的账号加密码的形式,账号基本上都是公开的,密码容易被猜中,容易忘记,也容易被盗。据统计,一个人平均下来要记15到20个密码。静态密码的隐患显而易见,尤其是在证券、银行等行业,轰动一时的“银广夏盗卖案”早就为业界敲响了警钟。 为了解决静态密码的安全问题,一种方式是同一个人员使用不同的密码进入不同的应用系统,避免所有的鸡蛋都在一个篮子里面的问题,然而需要记忆多个密码;第二种方式,采用软件VPN方式,登陆前先要使用VPN连接,这样可以面向一部分机器开放,但是第一次使用时下载VPN软件,每次访问
身份认证技术分析
JIANGSU UNIVERSITY 信息安全 身份认证技术分析 姓名: 学院: 专业班级: 学号: 二〇一一年十二月
摘要:本文总结并分析了身份认证的理论和应用,列举了一些对身份认证的攻击方法,并根据课堂学习和课后阅读,自己设计了一个利用数字签名实现的简单的身份认证方案。认证技术是信息安全中的一个重要内容,在“网络与信息安全”课程中我们学习了两种认证技术:消息认证与身份认证,消息认证用于保证信息的完整性与抗否认性,身份认证则用于鉴别用户身份。在网上商务日益火爆的今天,从某种意义上说,认证技术可能比信息加密本身更加重要。因为,很多情况下用户并不要求购物信息保密,只要确认网上商店不是假冒的(这就需要身份认证),自己与网上商店交换的信息未被第三方修改或伪造,并且网上商家不能赖帐(这就需要消息认证),商家也是如此。由于认证技术是一项包含很广泛的技术,集中于某一方面可能更有针对性,所以,在这篇论文中我没有涉及消息认证技术。运用课堂学到的理论、课后阅读获得的知识根据自己的分析,我对身份认证技术作了总结分类,并针对每一种认证技术分析了优点和漏洞,然后剖析了一些应用,最后提出了自己想到的一个简单的利用数字签名实现的身份认证方案。本文综合评价了某些认证机制和方案的优劣,并分析了身份认证的理论和应用,列举了一些对身份认证的各种实现方法、技术现状及发展趋势,同时设计了一个利用数字签名实现的简单的身份认证方案。 关键词:身份认证技术分析比较运用信息安全加密 身份认证系统的组成:出示证件的人,称作示证者P(Prover),又称声称者(Claimant)。验证者V(Verifier),检验声称者提出的证件的正确性和合法性,决定是否满足要求。第三方是可信赖者TP(Trusted third party),参与调解纠纷。在许多应用场合下没有第三方。 身份认证的物理基础:标识与认证是计算机网络系统中进行身份认证(主体识别)的基础,可识别用户身份、设备真伪。标识与认证是身份认证的两个部分。标识——用来表明用户的身份,确保用户在系统中的唯一性,可辨认性。以用户名+标识符ID来标明公开的明码信息 认证——对用户身份的真实性进行鉴别。认证信息不公开,难以仿造。认证信息有口令(密码);指纹;视网膜;智能IC卡等,声波等。 身份认证方式:单向认证(One-way Authentication)双向认证(Two-way Authentication)信任的第三方认证(Trusted Third-party Authentication)。随着网络时代的到来,人们可以通过网络得到各种各样的信息。但由于网络的开放性,它正面临着如计算机病毒、人为的恶意攻击、网络软件的漏洞和“后门”、非授权访问等安全威胁。因此,网络安全越来越受到重视。作为网络安全的第一道防线,亦即是最重要的一道防线,身份认证技术受到普遍关注。 一、基于秘密信息的身份认证方法口令核对 口令核对是系统为每一个合法用户建立一个用户名/口令对,当用户登录系统或使用某项功能时,提示用户输入自己的用户名和口令,系统通过核对用户输入的用户名、口令与系统内已有的合法用户的用户名/口令对(这些用户名/口令对在系统内是加密存储的)是否匹配,如与某一项用户名/口令对匹配,则该用户的身份得到了认证。 缺点:其安全性仅仅基于用户口令的保密性,而用户口令一般较短且是静态数据,容易猜测,且易被攻击,采用窥探、字典攻击、穷举尝试、网络数据流窃听、重放攻击等很容易攻破该认证系统。 2、单向认证
身份认证
身份认证 身份认证是在计算机网络中确认操作者身份的过程。身份认证可分为用户与主机间的认证和主机与主机之间的认证,下面主要介绍用户与主机间的身份认证。 在真实世界,对用户的身份认证基本方法可以分为这三种: (1) 根据你所知道的信息来证明你的身份(你知道什么) :例如口令、密码等; (2) 根据你所拥有的东西来证明你的身份(你有什么) :例如印章、智能卡等; (3) 直接根据独一无二的身体特征来证明你的身份(你是谁) ,比如指纹、声音、视网膜、签字、笔迹等等。 在网络世界中手段与真实世界中一致,为了达到更高的身份认证安全性,某些场景会将上面3种挑选2中混合使用,即所谓的双因素认证。 以下罗列几种常见的认证形式: 1.口令 1.1静态口令 1.1.1 简单静态口令 用户的口令由自己设定,当被认证对象要求访问服务系统时,提供服务的认证方要求被认证对象提交其口令,认证方收到口令后,与系统中存储的用户口令进行比较,以确认被认证对象是不是合法访问者。 这种方法的优点是:一般的系统(如UNIX, Windows NT,NetWare等)都提供了对口令认证的支持,对于封闭的小型系统来说不失为一种简单可行的方法。 然而,基于口令的认证方法存在下列不足: 1)用户每次访问系统时都要以明文方式输入口令,容易泄密。 2)口令在传输过程中可能被截获。 3)用户访问多个不同安全级别的系统时,都要求用户提供口令,用户为了记忆方便,往往采用相同的口令。 1.1.2 使用消息摘要算法的口令认证 认证过程: (1)存储用户ID和对应的口令摘要值在服务器数据库中; (2)当进行认证时,用户输入ID和口令,口令会在客户端上被计算出摘要值; (3)用户ID和摘要结果会被传输到服务器端进行认证; (4)服务器接收到用户ID和摘要结果后,认证程序会到数据库中根据用户ID获取已存储的相应的口令摘要,两个摘要比较的结果会返回到客户端通知用户认证成功与否。 缺点:因为相同口令的摘要值始终是一样的,但是为了防止重放攻击,应当保证客户端和服务器端的交换信息任何两次都是不同的,这就需要使用随机数技术来解决这个问题。 1.1.3 使用随机数的口令认证 认证过程: (1)存储用户ID和对应的口令摘要值在服务器数据库中; (2)用户输入ID,客户端将上传用户ID; (3)服务器在收到用户的认证请求,即仅包含用户ID的信息以后,认证程序检查ID是否已在数据库中注册,如果没有,将发送相应的错误信息给客户端。如果有,服务器将生成一个随机数以明文的形式回送到客户端; (4)客户端显示输入口令的用户界面,用户输入口令以后,口令会在客户端上被计算出摘要值。这个摘要值将作为密钥用于加密收到的随机数,加密采用对称算法; (5)服务器端接收到用随机数加密的口令摘要密文后,认证程序可以通过用户ID查找到对应存储在数据库中的口令摘要,用口令摘要解密收到的密文,解出的明文如果和数据库中存储的随机数一致,则认证通过; (6)服务器端将认证成功或失败的结果返回给客户端,完成身份认证。 静态口令认证的缺点:为了提高安全性,专门制定了口令政策以约束最终的用户,比如:口令长度至少8位;不能包含空格;口令必须以字母开头。这种方式可以有效地防范黑客的字典攻击,然而,这无疑增加了最终用户记忆口令的难度,致使很多人把复杂的口令记录在各种不安全的地方。因此有人提出了动态口令。
XX系统身份认证方案2001
XX信息网络 身份认证系统设计方案 1.系统建设的目标 XX信息系统是重要的涉密计算机信息系统,因此其对安全保密的要求非常高,在有必要对该系统的身份认证机制采用强化措施。 XX系统安全方案的目的是:解决①用户口令、数据通过网络时容易被截获、窃取、篡改的安全风险;②用户与涉密服务器在网上有可能无法正确确认对方的身份,从而被假冒访问的风险;③访问完成后用户的抵赖行为等安全危害。 XX系统安全方案的建设目标:是建立一个符合国家安全保密规定和技术要求、安全可靠、技术先进成熟、运行稳定、适用于多种运行环境的、统一的身份认证体系。 XX系统身份认证安全方案至少应可实现以下安全功能: ●强的身份认证、鉴别机制 ●数据处理、传输、访问的安全可信 ●数据处理、传输、访问的机密保护 ●数据处理、传输、访问的完整性 ●完善的安全审计功能 ●完善的CA证书及密钥管理
2.XX信息系统安全风险分析 建议在具体方案实施时,结合组织人事信息系统开发商、管理员一同进行。具体包括: 2.1系统安全风险分析 2.2系统安全需求分析 3.常见身份认证、鉴别技术简要介绍 3.1口令字 口令字是最常用且最经济的鉴别、认证方法,但口令字也是最不安全的方法,绝大部分的攻击都是从猜口令开始的,同时未经加密处理的口令字在传输过程中,也极易被截获,因而,口令字的身份认证机制对安全强度要求较高的系统是远远不够的。 3.2 IC卡 其基本原理是基于非对称加密体制,使用较低位RSA算法来实现的,因而其安全强度也不够高,且我国自身在IC方面自主技术还较落后,不可完全依赖IC卡来作为较强安全手段使用。 3.3动态口令(Sec ID) 动态口令牌,目前国内较多使用于银行等部门,且大部分是国外
身份认证技术与实现
身份认证技术与实现 为了确保通信机制的完整性和安全性,身份认证是首先要要完成的一项工作。身份认证机制可以的识别网络中各实体的真实身份,防止出现身份欺诈,保证参与通信的实体之间身份的真实性。下面就从身份认证的概念、意义及目前实现各种身份认证的技术这么三个大的方向来谈谈我对身份认证的认识。 一.身份认证的概念 身份认证就是系统审查用户身份的过程,从而来确定该用户是否有对某项资源的访问和使用权限。身份认证通过标识和鉴别用户的身份,提供一种判别确和认用户身份的机制。它是需要依赖于其他的技术,确认系统访问者的身份和权限,使计算机和网络的访问能够可靠、有效地执行,防止攻击者假冒合法用户获得资源的访问权限,从而保证了系统与数据的安全,以及授权访问者的合法利益。 计算机网络中的身份认证是通过将一个证据与实体身份绑定来实现的。实体包括用户、主机也可以是进程。证据与身份之间是一一对应的关系,双方通信过程中,一方实体想另一方实体提供这个证据来证明自己的身份,另一方通过相关机制来验证证据,确保实体与证据是否一致。 在验证的过程当中,我们常常有三种方式: (1)所知道的。根据用户所知道的某项信息来验证用户身份的真实性。 (2)所拥有的。根据用户所拥有的东西来验证用户身份的真实性。 (3)本身的特征。根据用户本身独一无二的特征来验证用户身份的真实性。 其中本身的特征是最具有安全保证的一种验证方式。其他的两种都是可以被伪造的,存在一定的不真实性和危险性。 二.实现身份认证的技术 就目前而言的身份认证技术,大体上可以分为两大类:生物身份认证技术和非生物身份技术。这两大类的认证技术相比较原来传统的认证技术而言具有很大的优势,它采用的我上述的第三种认证方式,它唯一而转悠的个人特点使得认证过程更具有安全保证和可靠性。下面我先来谈谈生物认证技术。 ①生物认证技术 生物认证技术的概念:通过计算机利用人体固有的胜利特征或行为特征来鉴别个人身份。利用了生物特征认证来替代密码认证。常用到的技术:指纹身份认证技术、视网膜身份认证技术、语音身份认证技术。 指纹身份认证技术:利用了人的指纹和掌纹作为合同签名的一种形式。现在广泛普及的指纹鉴定机构和指纹数据库更是扩大了指纹比对鉴定的运用。 指纹识别过程的实现:指纹注册过程和指纹比对过程。 这个图像是简易的描述了指纹身份认证的一般过程,上面两个大的方向走向,分别是事先采集指纹存档。后者是采集指纹与数据库信息比对,进行身份认证。
ESMTP身份验证的机制
ESMTP身份验证的机制有很多种,最常见的是LOGIN机制,类似于POP3的身 份验证方式,即分两步输入账号和密码。在所有的验证机制中,信息全部采用 Base64编码。 例如,用https://www.360docs.net/doc/8112080516.html,邮件服务器发送邮件,从开始连接到身份验证的过程如 下(红色和蓝色分别代表客户端和服务器): (连接到https://www.360docs.net/doc/8112080516.html,:25) 220sp1ESMTPv2.1 EHLOABCDEFG https://www.360docs.net/doc/8112080516.html, 250-PIPELINING 250-SIZE20480000 250-ETRN 250-AUTHLOGINPLAINDIGEST-MD5CRAM-MD5(支持的身份验证机制种 类:LOGIN,PLAIN等) 2508BITMIME AUTHLOGIN 334VXNlcm5hbWU6(Base64解码后:Username:) Ymh3YW5n(Base64编码前:bhwang) 334UGFzc3dvcmQ6(Base64解码后:Password:) bXlwYXNzd29yZCFteXBhc3N3b3JkISE=(Base64编码前:********) 235Authenticationsuccessful 另外一种较常见的机制是PLAIN。与LOGIN机制的不同之处在于一次性输入账号 和密码,格式为“
基于动态口令的身份认证机制及其安全性分析
一种基于动态口令的身份认证系统研究 傅德胜1,陈 昕2 (南京信息工程大学 计算机与软件学院, 江苏 南京 210044) 摘 要:身份认证在信息安全中起着非常重要的作用,建立安全的身份认证机制成为终端安全的关键之一。作为一种新型的认证模式,动态口令比传统的静态口令更加安全、可靠。本文阐述了动态口令的原理及现有动态口令方案的缺点,设计了一种新型的身份认证系统,并对其有效性进行了分析。 关键词:动态口令;身份认证;安全性 中图法分类号:TP309文献标识码: A A Study of Authentication System based on Dynamic Password FU De-sheng1, CHEN Xin2 (Department of Computer & software, Nanjing University of Information Science & Technology, Nanjing Jiangsu 210044, China) Abstract: Identity authentication plays a very important role in the system security, establishing a secure authentication mechanism becomes one of the keys in the terminal security. As a new mode of authentication,dynamic password is more secure and reliable than traditional static password. This paper describes the principle of dynamic password and disadvantages of the existing dynamic protocols,designs a new type of authentication system and analyzes the effectiveness of it. Key words: dynamic password; identity authentication; security 0 引言 身份认证是系统安全中最重要的问题,只有在进行安全可靠的身份认证的基础上,各种安全产品才能最有效地发挥安全防护作用;也只有完成了身份认证,网络系统才可能安全、高效地开放和共享各种网络资源、系统资源、信息资源。 目前大部分网络系统所使用的访问控制方法是传统的静态口令认证技术,通过用户名和口令的匹配来确认用户的合法性。但是,随着网络技术的进一步发展,以静态口令为基础的认证方式面临着很多的安全问题,渐渐无法满足用户的需求。动态口令的概念就是在这样的情况下产生的,它采用了基于同步或者异步方式而产生的一次性口令来代替传统的静态口令,从而避免了口令泄密带来的安全隐患。目前,基于动态口令的身份认证系统已应用在电子商务,电子政务,银行,证券等诸多领域。 1 传统的身份认证方式 传统的身份认证方式就是用户名口令核对法:系统为每一个合法用户建立一个ID/PW 对,当用户登录系统时,提示用户输入自己的用户名和口令,系统通过核对用户输入的用户名,口令与系统内已有的合法用户的ID/PW是否匹配,来验证用户的身份。 这种静态口令认证方式存在很多问题,最常见的是网络数据流窃听、截取/重放、暴力破解、窥探等攻击方式。静态口令的不安全因素是信息系统普遍存在的隐患。基于口令认证的身份鉴别的安全性成为信息安全中迫切需要解决的一个问题,动态口令认证方式应运而1傅德胜,男(1950--),教授,主要研究领域:信息安全 2陈昕,女(1984--),在读硕士研究生,主要研究领域:信息安全
身份认证方案
**部 身份认证规划方案
目录 第一章背景........................................错误!未定义书签。 1.1.信息系统现状................................ 错误!未定义书签。 ............................................ 错误!未定义书签。 应用系统................................... 错误!未定义书签。 目前现状................................... 错误!未定义书签。 1.2.**部安全需求................................ 错误!未定义书签。 1.3.要求........................................ 错误!未定义书签。 功能要求................................... 错误!未定义书签。 性能要求................................... 错误!未定义书签。第二章**部身份认证设计原则、设计依据和产品特点...错误!未定义书签。 2.1设计原则.................................... 错误!未定义书签。 2.2选用的身份认证产品特点和产品遵循的标准...... 错误!未定义书签。 2.3设计依据.................................... 错误!未定义书签。第三章**部身份认证系统的整体规划和部署............错误!未定义书签。 3.1 整体身份认证认证体系系统建设方案............ 错误!未定义书签。 ............................................ 错误!未定义书签。 3.1.2 **部证书类型和申请方式设计............ 错误!未定义书签。 3.1.3 证书申请流程.......................... 错误!未定义书签。 3.1.4 证书查询系统/认证服务器并发处理能力、证书验证和查询CRL 的时间...................................... 错误!未定义书签。第四章产品功能介绍和性能指标.......................错误!未定义书签。 4.1认证注册系统设计产品功能要求................ 错误!未定义书签。 4.1.1 密钥管理中心技术说明.................. 错误!未定义书签。 4.1.2 OCSP系统功能设计..................... 错误!未定义书签。 4.1.3 时间戳服务功能设计.................... 错误!未定义书签。 4.1.4 与其他CA认证中心的相互认证........... 错误!未定义书签。 ............................................ 错误!未定义书签。第五章身份认证与应用系统的结合.....................错误!未定义书签。
网络身份认证机制的分析与研究
宝鸡文理学院学报(自然科学版),第28卷,第3期,第2342236页,2008年9月 Jour na l of Baoji Univer sity of Arts and Sciences(Natur al Science),Vol.28,No.3,pp.2342236,Sept.2008 网络身份认证机制的分析与研究* 王西锋,张晓孪 (宝鸡文理学院计算机科学系,陕西宝鸡721007) 摘要:目的为设计安全系统中的认证机制提供一定的参考依据。方法分析比较几种典型的身份认证方式、协议及其安全性。结果认证机制提高了网络访问的安全性,统一身份认证是认证机制的一个重要趋势。结论认证机制的选取应从安全性和经济性等多方面考虑。 关键词:网络安全;身份认证;统一身份认证 中图分类号:T P309.2文献标志码:A文章编号:100721261(2008)0320234203 The analysis and study of the network identification mechanism WANG Xi2feng,ZH ANG Xiao2luan (https://www.360docs.net/doc/8112080516.html,puter Sci.,Baoji Univ.Arts&Sci.,Baoji721007,Shaanxi,China) Abstr act:Aim A frame of reference for the design of the authentication mechanism of safety sys2 tems is provided.Methods The features and its safety features of the typical ways and agreements are analyzed and compared deeply.Results Authentication mechanisms increase the security of the net2 work resources;unified identity authentication mechanism is an important tr end in this field.Conclu2 sion Security and economic aspects ar e consider ed when people selected authentication mechanisms. Key words:network secur ity;identity authentication;unified identity authentication 1引言 随着计算机技术和通信技术的快速发展,网络被广泛地应用于网上银行、网上购物、电子商务、远程教育和企业管理信息化等众多领域。但是,当前的互连网建立在TCP/IP协议体系的基础上,缺乏相应的安全功能,从而面临着自然或人为因素带来的各种安全威胁[1]。作为网络安全的重要组成部分,身份认证不但可以防止数据被窃听、修改、替换,还能限制非法用户访问网络资源。因此,身份认证的作用越来越重要。 2网络身份认证的过程 身份认证就是在网络系统中通过某种手段确认操作者身份的过程,其目的在于判明和确认通信双方和信息内容的真实性[1,2]。一般情况下,用户在访问系统之前,首先要经过身份认证系统来识别身份,然后才能访问监视器,根据用户的身份和授权数据库来决定用户是否有权访问某个资源,审计系统记录用户的请求和行为,同时入侵检测系统实时或非实时地检测是否有入侵行为。图1给出了网络安全 系统架构中用户访问网络资源的过程。 图1用户访问网络资源的流程 从图1可以明显看出,身份认证是网络安全体系中的第一道关卡,其它的安全服务如访问控制、审计等都要依赖于它,一旦非法用户通过了身份认证,就会对系统和资源的安全构成极大的威胁。因此,身份认证是网络安全中的一个重要环节。 3常见的身份认证方式与协议分析 在网络中,通信各方必须通过某种形式的身份认证方式和协议来证明其身份,然后才能实现不同 *收稿日期:2008203203,修回日期:2008203226.E2mail:1w2x3f@https://www.360docs.net/doc/8112080516.html, 基金项目:宝鸡文理学院重点科研项目(ZK07118) 作者简介:王西锋(19782),男,陕西渭南人,讲师,硕士,研究方向:计算机网络应用技术与安全.