网络安全认证技术概述

网络安全认证技术概述网络安全认证技术概述 网络安全认证技术是网络安全技术的重要组成部分之一 认证指的是证实被认证对象 是否属实和是否有效的一个过程 其基本思想是通过验证被认证对象的属性来达到确认被 认证对象是否真实有效的目的 被认证对象的属性可以是口令 数字签名或者像指纹 声 音 视网膜这样的生理特征 认证常常被用于通信双方相互确认身份 以保证通信的安全 一般可以分为两种 1 身份认证 用于鉴别用户身份 2 消息认证 用于保证信息的完整性和抗否认性 在很多情况下 用户要确认网上信 息是不是假的 信息是否被第三方修改或伪造 这就需要消息认证 1 1 身份认证技术身份认证技术 认证 Authentication 是证实实体身份的过程 是保证系统安全的重要措施之一 当 服务器提供服务时 需要确认来访者的身份 访问者有时也需要确认服务提供者的身份 身份认证是指计算机及网络系统确认操作者身份的过程 计算机网络系统是一个虚拟 的数字世界 在这个数字世界中 一切信息包括用户的身份信息都是用一组特定的数据来 表示的 计算机只能识别用户的数字身份 所有对用户的授权也是针对用户数字身份的授 权 而现实世界是一个真实的物理世界 每个人都拥有独一无二的物理身份 如何保证以 数字身份进行操作的操作者就是这个数字身份合法拥有者 也就是说 保证操作者的物理 身份与数字身份相对应 就成为一个很重要的问题 身份认证技术的诞生就是为了解决这 个问题 如何通过技术手段保证用户的物理身份与数字身份相对应呢 在真实世界中 验证一个 人的身份主要通过三种方式判定 一是根据你所知道的信息来证明你的身份 what you know 假设某些信息只有某个人知道 比如暗号等 通过询问这个信息就可以确认这个人 的身份 二是根据你所拥有的东西来证明你的身份 what you have 假设某一个东西只有 某个人有 比如印章等 通过出示这个东西也可以确认个人的身份 三是直接根据你独一无 二的身体特征来证明你的身份 who you are 比如指纹 面貌等 在信息系统中 一般来 说 有三个要素可以用于认证过程 即 用户的知识 Knowledge 如口令等 用户的物品 Possession 如 IC 卡等 用户的特征 Characteristic 如指纹等 现在计算机及网络系统中常用的身份认证方法如下 身份认证技术从是否使用硬件来看 可以分为软件认证和硬件认证 从认证需要验证的 条件来看 可以分为单因子认证和双因子认证 从认证信息来看 可以分为静态认证和动态 认证 身份认证技术的发展 经历了从软件认证到硬件认证 从单因子认证到双因子认证 从静态认证到动态认证的过程 下面介绍常用的身份认证方法 1 1 基于口令的认证方法基于口令的认证方法 传统的认证技术主要采用基于口令的认证方法 当被认证对象要求访问提供服务的系 统时 提供服务的认证方要求被认证对象提交该对象的口令 认证方收到口令后 将其与 系统中存储的用户口令进行比较 以确认被认证对象是否为合法访问者 这种认证方法的优点在于 一般的系统 如 UNIX Linux Windows NT XP NetWare 等 都提供了对口令认证的支持 对于封闭的小型系统来说不失为一种简单可行的方法 2 2 双因素认证双因素认证 在双因素认证系统中 用户除了拥有口令外 还拥有系统颁发的令牌访问设备 当用 户向系统登录时 用户除了输入口令外 还要输入令牌访问设备所显示的数字 该数字是 不断变化的 而且与认证服务器是同步的 3 3 一次口令机制一次口令机制 一次口令机制其实采用动态口令技术 是一种让用户的密码按照时间或使用次数不断 动态变化 每个密码只使用一次的技术 它采用一种称之为动态令牌的专用硬件 内置电 源 密码生成芯片和显示屏 密码生成芯片运行专门的密码算法 根据当前时间或使用次 数生成当前密码并显示在显示屏上 认证服务器采用相同的算法计算当前的有效密码 用 户使用时只需要将动态令牌上显示的当前密码输入客户端计算机 即可实现身份的确认 由于每次使用的密码必须由动态令牌来产生 只有合法用户才持有该硬件 所以只要密码 验证通过就可以认为该用户的身份是可靠的 而用户每次使用的密码都不相同 即使黑客 截获了一次密码 也无法利用这个密码来仿冒合法用户的身份 4 4 生物特征认证生物特征认证 生物特征认证是指采用每个人独一无二的生物特征来验证用户身份的技术 常见的有 指纹识别 虹膜识别等 从理论上说 生物特征认证是最可靠的身份认证方式 因为它直 接使用人的物理特征来表示每一个人的数字身份 不同的人具有相同生物特征的可能性可 以忽略不计 因此几乎不可能被仿冒 5 USB 5 USB KeyKey 认证认证 基于 USB Key 的身份认证方式是近几年发展起来的一种方便 安全 经济的身份认证 技术 它采用软硬件相结合一次一密的强双因子认证模式 很好地解决了安全性与易用性 之间的矛盾 USB Key 是一种 USB 接口的硬件设备 它内置单片机或智能卡芯片 可以存 储用户的密钥或数字证书 利用 USB Key 内置的密码学算法实现对用户身份的认证 基于 USB Key 身份认证系统主要有两种应用模式 一是基于冲击 响应的认证模式 二是基于 PKI 体系的认证模式 2 2 消息认证技术消息认证技术 随着网络技术的发展 对网络传输过程中信息的保密性提出了更高的要求 这些要求 主要包括 1 对敏感的文件进行加密 即使别人截取文件也无法得到其内容 2 保证数据的完整性 防止截获人在文件中加入其他信息 3 对数据和信息的来源进行验证 以确保发信人的身份 现在业界普遍通过加密技术方式来满足以上要求 实现消息的安全认证 消息认证就 是验证所收到的消息确实是来自真正的发送方且未被修改的消息 也可以验证消息的顺序 和及时性 消息认证实际上是对消息本身产生一个冗余的信息 MAC 消息认证码 消息认证码 是利用密钥对要认证的消息产生新的数据块并对数据块加密生成的 它对于要保护的信息 来说是唯一的 因此可以有效地保护消息的完