基于網(wǎng)絡(luò)安全中身份認(rèn)證技術(shù)的探討

朱珠

(調(diào)峰調(diào)頻發(fā)電公司,廣東 廣州 510000)

隨著網(wǎng)絡(luò)規(guī)模及其應(yīng)用的飛速發(fā)展，對(duì)包括身份認(rèn)證在內(nèi)的一體化網(wǎng)絡(luò)管理，提出了日益緊迫的要求。我們?cè)诒M情享受互聯(lián)網(wǎng)所帶來(lái)的好處的同時(shí)，必須要清醒地認(rèn)識(shí)到。網(wǎng)絡(luò)存在著許多漏洞.網(wǎng)絡(luò)安全存在著許多威脅。作為網(wǎng)絡(luò)安全的第一道防線，身份認(rèn)證有著至關(guān)重要的作用。

一、身份認(rèn)證技術(shù)

1.基于口令的認(rèn)證方式。傳統(tǒng)的認(rèn)證技術(shù)主要采用基于口令的認(rèn)證方法。這種認(rèn)證方法很簡(jiǎn)單，系統(tǒng)事先保存每個(gè)用戶的二元組信息fID，PW)。進(jìn)入系統(tǒng)時(shí)用戶輸入ID和PW，系統(tǒng)根據(jù)保存的用戶信息和用戶輸入的信息相比較。從而判斷用戶身份的合法性。這種認(rèn)證方法的優(yōu)點(diǎn)在于：一般的系統(tǒng)(如UNIX，WindowsNT等)都提供了對(duì)口令認(rèn)證的支持，對(duì)于封閉的小型系統(tǒng)來(lái)說(shuō)不失為一種簡(jiǎn)單可行的方法。但由于用戶經(jīng)常選擇姓名、生日等易被猜測(cè)破解的口令。使得這種技術(shù)變得極不安全；口令以明文形式在網(wǎng)絡(luò)傳輸。使得攻擊者很容易通過(guò)搭線竊聽(tīng)獲取用戶口令；另外，攻擊者可能利用系統(tǒng)漏洞獲取并破解系統(tǒng)保留的用戶口令文件，整個(gè)系統(tǒng)的安全性就受到了威脅。為提高該技術(shù)的安全強(qiáng)度，通常使用密碼算法對(duì)口令進(jìn)行加密保存和加密傳輸，但對(duì)重傳和假冒攻擊也毫無(wú)抵抗能力。

2.基于物理證件的認(rèn)證方式。基于物理證件的認(rèn)證方式是一種利用用戶所擁有的某種東西進(jìn)行認(rèn)證的方式。主要的物理證件有智能卡和目前流行的USBKey等。智能卡具有硬件加密功能，有較高的安全性。基于智能卡的用戶身份認(rèn)證方式結(jié)合了用戶所知和用戶所擁有兩個(gè)方面，用戶信息(ID，PW)存在物理證件中，AS中存入某個(gè)事先由用戶選擇的某個(gè)隨機(jī)數(shù)。用戶訪問(wèn)系統(tǒng)資源時(shí)，用戶輸入(ID，PW)。系統(tǒng)首先判斷智能卡的合法性，然后由智能卡鑒別用戶身份，若用戶身份合法。再將智能卡中的隨機(jī)數(shù)送給AS作進(jìn)一步認(rèn)證。

3.基于硬件信息的認(rèn)證方式?；谟布畔⒌恼J(rèn)證方式是最新發(fā)展起來(lái)的。它是通過(guò)計(jì)算機(jī)本身的唯一硬件特征來(lái)標(biāo)識(shí)使用者的身份。結(jié)合PIN碼的使用.可以實(shí)現(xiàn)一種高強(qiáng)度的雙因子認(rèn)證。這種認(rèn)證依然是建立在公鑰密碼體制之上的。它的基本假定就是：對(duì)于固定的用戶，其使用的計(jì)算機(jī)也是相對(duì)固定的(在公用的計(jì)算機(jī)上是不應(yīng)該執(zhí)行任何涉及個(gè)人機(jī)密的操作的，否則安全根本得不到任何保障)，那么，通過(guò)對(duì)這臺(tái)計(jì)算機(jī)的識(shí)別，加上對(duì)當(dāng)時(shí)使用計(jì)算機(jī)的用戶識(shí)別，就可以實(shí)現(xiàn)對(duì)用戶的遠(yuǎn)程認(rèn)證。其難點(diǎn)和重點(diǎn)在于識(shí)別計(jì)算機(jī)的唯一硬件特征。我們使用的網(wǎng)卡都有一個(gè)全球唯一的MAC地址，網(wǎng)卡生產(chǎn)商都遵循統(tǒng)一的規(guī)定，按照統(tǒng)一的分配來(lái)給自己生產(chǎn)的網(wǎng)卡指定MAC地址。同樣的，對(duì)于CPU、硬盤(pán)、主板等其他計(jì)算機(jī)部件，都存在著相應(yīng)的協(xié)議和規(guī)范。而這些參數(shù)的聯(lián)合，足夠構(gòu)成一個(gè)全球唯一的硬件標(biāo)識(shí)號(hào)碼。

其工作原理是：首先對(duì)合法用戶的計(jì)算機(jī)進(jìn)行硬件特征采集。通過(guò)對(duì)于硬件標(biāo)識(shí)號(hào)碼的實(shí)時(shí)獲取，可以實(shí)時(shí)地認(rèn)證一臺(tái)具有唯一特征值的計(jì)算機(jī)是否是已經(jīng)注冊(cè)的合法使用者。

二、一次性口令認(rèn)證技術(shù)

1.設(shè)計(jì)思想與特點(diǎn)

（用戶PIN─USBkey─USB接口─IPM）身份代碼和某種不確定因素作為密碼算法的輸入?yún)?shù)。經(jīng)過(guò)算法變換得到一個(gè)變化的結(jié)果，即一次性口令，將其作為用戶的登錄口令；認(rèn)證服務(wù)器端使用相應(yīng)的算法進(jìn)行計(jì)算，并將計(jì)算結(jié)果與用戶的登錄口令進(jìn)行匹配，若合法則接受登錄。由此得到變化的、不重復(fù)的一次性口令，且無(wú)需用戶記憶，一個(gè)口令只能使用一次，重復(fù)使用將被拒絕接受。例如：登錄口令=MD5(用戶名+密碼+登錄時(shí)間)，系統(tǒng)接收到登錄I=l令后做一次驗(yàn)算即可驗(yàn)證用戶的合法性

2.技術(shù)的實(shí)現(xiàn)方式

目前，一次性口令認(rèn)證技術(shù)主要有以下四種實(shí)現(xiàn)方式：Lamport方式也稱為哈希鏈(Hash chains)方式。在初始化階段選取一個(gè)口令PW和一個(gè)迭代數(shù)N，及一個(gè)單向散列函數(shù)F，計(jì)算Y=Fn(PW)(Fn()表示進(jìn)行n次散列運(yùn)算)，并把Y和N的值存到服務(wù)器上。用戶端計(jì)算Y/=Fn-1(PW)的值，再提交給服務(wù)器。服務(wù)器則計(jì)算Z=F(Y/)，最后服務(wù)器將z值同服務(wù)器上保存的Y/進(jìn)行比較。如果Z=Y/，則驗(yàn)證成功，然后用Y/的值取代服務(wù)器上Y的值，同時(shí)N的值遞減1。通過(guò)Lamport方式，用戶每次登錄到服務(wù)器端的口令都不相同。這種方案易于實(shí)現(xiàn)，且無(wú)須特殊硬件的支持。但其安全性依賴于單向散列函數(shù)F，不宜在分布式的網(wǎng)絡(luò)環(huán)境下使用。

時(shí)間同步方式(TimeSynchronization)每個(gè)用戶都持有相應(yīng)的時(shí)間同步令牌(Token)。令牌內(nèi)置時(shí)鐘、種子密鑰和加密算法。時(shí)間同步令牌根據(jù)當(dāng)前時(shí)間和種子密鑰每分鐘動(dòng)態(tài)生成一個(gè)一次性口令。用戶需要訪問(wèn)系統(tǒng)時(shí)，將令牌生成的動(dòng)態(tài)口令傳送到認(rèn)證服務(wù)器。服務(wù)器通過(guò)其種子密鑰副本和當(dāng)前時(shí)問(wèn)計(jì)算出所期望的輸出值。對(duì)用戶進(jìn)行驗(yàn)證。如果相匹配，則登錄通過(guò)。時(shí)間同步方式的關(guān)鍵在于認(rèn)證服務(wù)器和令牌的時(shí)鐘要保持同步，這樣在同一時(shí)鐘內(nèi)兩者才能計(jì)算出相同的動(dòng)態(tài)口令。挑戰(zhàn)，

應(yīng)答方式(Challenge／Response)每個(gè)用戶同樣需要持有相應(yīng)的挑戰(zhàn)，應(yīng)答令牌。令牌內(nèi)置種子密鑰和加密算法。用戶在訪問(wèn)系統(tǒng)時(shí)，服務(wù)器隨機(jī)生成一個(gè)挑戰(zhàn)(Challenge)數(shù)據(jù)，并將挑戰(zhàn)數(shù)據(jù)發(fā)送給用戶，用戶將收到的挑戰(zhàn)數(shù)據(jù)手工輸入到挑戰(zhàn)，應(yīng)答令牌中，挑戰(zhàn)，應(yīng)答令牌利用內(nèi)置的種子密鑰和加密算法計(jì)算出相應(yīng)的應(yīng)答((Re—sponse)數(shù)據(jù)。用戶再將應(yīng)答數(shù)據(jù)上傳給服務(wù)器。服務(wù)器根據(jù)該用戶存儲(chǔ)的種子密鑰和加密算法計(jì)算出相應(yīng)的應(yīng)答數(shù)據(jù)，再和用戶上傳的應(yīng)答數(shù)進(jìn)行比較來(lái)實(shí)施認(rèn)證。該方式可以保證很高的安全性。是目前最可靠有效的認(rèn)證方式。但該方式直接應(yīng)用在網(wǎng)絡(luò)環(huán)境下還存在一些缺陷：需要特殊硬件(挑戰(zhàn)，應(yīng)答令牌)的支持，增加了該方式的實(shí)現(xiàn)成本；用戶需多次手工輸入數(shù)據(jù)，易造成較多的輸入失誤，使用起來(lái)不方便；用戶的身份ID直接在網(wǎng)絡(luò)上明文傳輸.攻擊者可能很容易地截獲它，留下了安全隱患；沒(méi)有實(shí)現(xiàn)用戶和服務(wù)器間的相互認(rèn)證，不能抵抗來(lái)自服務(wù)器端的假冒攻擊；挑戰(zhàn)數(shù)據(jù)每次都由服務(wù)器隨機(jī)生成，造成了服務(wù)器開(kāi)銷過(guò)大。

異或運(yùn)算方式將異或運(yùn)算、加法運(yùn)算等低復(fù)雜度的運(yùn)算與散列運(yùn)算相結(jié)合，認(rèn)證雙方通過(guò)這些運(yùn)算方式計(jì)算雙方交換的認(rèn)證數(shù)據(jù)進(jìn)行一次性口令身份認(rèn)證。這種方式的特點(diǎn)是設(shè)計(jì)簡(jiǎn)單、運(yùn)算量較小。而且實(shí)施的成本也較低。

結(jié)束語(yǔ)

總之，身份認(rèn)證是信息安全技術(shù)的一個(gè)重要方面,是其他安全機(jī)制的基礎(chǔ)。而目前在網(wǎng)絡(luò)應(yīng)用系統(tǒng)中應(yīng)用最為廣泛的技術(shù)是靜態(tài)口令的身份認(rèn)證技術(shù)。這種身份認(rèn)證方法操作十分簡(jiǎn)單，但同時(shí)又最不安全，因?yàn)槠浒踩詢H僅基于用戶口令的保密性，而用戶口令一般較短且容易猜測(cè)，同時(shí)由于口令的明文傳輸使得系統(tǒng)攻擊者很容易通過(guò)搭線竊聽(tīng)方法竊取用戶口令。

[1]曲毅.絡(luò)安全中身份認(rèn)證技術(shù)的研究[J].淮海工學(xué)院學(xué)報(bào)，2001.10.

[2]劉鳳貴，鄭睿，高翔云.網(wǎng)絡(luò)安全中身份認(rèn)證技術(shù)研究[J].電腦知識(shí)與技術(shù)，2008.S1.