身份认证技术论文篇（1）

中图分类号：TP393.08 文献标识码：A文章编号：1007-9599 (2011) 16-0000-02

Authentication Technology Research Overview

Zhang Yao

(Harbin Normal University,Computer Science and Information Engineering College,Harbin150025,China)

Abstract:Authentication technology is capable of sending and receiving side of information technology to identify the true identity,is to identify,verify that the network information system in the legitimacy and authenticity of the user identity,according to mandate access to system resources,and shut out illegal visitors.This article discusses the field of information security authentication technology status and development trend,for further improving the work has a certain theoretical significance.

Keywords:Information security;Authentication;Biometrics;

Combination of certification;Solutions;Performance analysis

网络认证技术是网络安全技术的重要组成部分之一。认证指的是证实被认证对象是否属实和是否有效的一个过程，常常被用于通信双方互相确认身份，以保证通信的安全。认证技术一般包括两个方面的内容，分别是身份认证和信息认证。身份认证主要是通过对用户身份的鉴别来实现对用户权限的识别，限制低权限或者非法用户的入侵。信息认证主要是用于验证信息是否完整。本论文的研究主要偏重于对身份认证技术及其分析。主要侧重以下几个方面做分析。

一、身份认证的方法分析

身份认证主要是通过分析被认证者的身份、权限等相关的信息。除了认证者本人，任何其他人都无法进行仿造或者伪造身份。如果经过认证，被认证者拥有相关的权限和秘密，那么他就获得了认证。身份认证的主要依据就是被认证方用于证明身份所用有的秘密。每个被认证者所拥有的身份认证秘密不同。常见的身份认证有两种，第一种是基于物理安全性的身份认证方法。第二种是基于秘密信息的身份认证方法。

（一） 基于物理安全的身份认证方法

不同的身份认证方法基于不同的理论，但这些认证方法的共同点就是依据用户知道的秘密信息。和这种认证方法相对照，另外一种利用用户的特殊信息或者硬件信息来进行身份认证的。比如说从生物学角度考虑，利用声音识别进行身份验证，利用指纹进行身份验证，利用人眼的虹膜进行身份验证等。从硬件的角度考虑，常用的认证方法有通过智能卡来进行验证，只有认证者拥有正确的卡，才可以被认证。当然，这种方法也有优缺点，这种智能卡可以有效的阻止和避免人为乱猜口令导致的密码被破解，但也存在着只认卡不认人的缺陷，一旦智能卡因丢失被其他人捡到，则很容易被盗取身份。为防止出现这种情况，现在一般采用智能卡和口令结合的方式，比如现在最常用的银行卡就是这种。

（二）基于秘密信息的身份认证方法

常见的有以下几个方式：

1.通过进行用户口令认证来核对身份信息，在刚建立系统的时候，系统已经预先为具有合法权限的用户设定了用户口令和密码。当用户通过登录界面登录时，登录界面显示用户名和密码输入。客户输入用户名和密码以后，系统会对输入的账户和密码与系统原有的密码进行核对如果完全一致，则认为是合法用户，用户身份得到认证。否则，就提示账户名或者密码错误。用户身份得不到认证。

2.单项认证，所谓单项认证，就是进行通信的双方中，只有一方需要进行身份认证。上面所阐述的口令核对法本质上也是一种单项认证。只是这种认证方法还比较低级，没有进行相应的密钥分发操作。常见的涉及到密钥分发操作的认证方案有两类。分别是对称密钥加密方案和非对称密钥加密方案。对称密钥加密方案是指依靠第三方来进行认证，第三方就是一个统一的密钥分发中心。通信双方的密钥分发和身份认证都要通过第三方来实现。另一种没有第三方参与的加密体制成为非对称密钥加密体制。

3.双向认证。双向认证，是指需要通信双方相互认证才可以实现双方通信，通信双方必须相互鉴别彼此的身份，并且经双方验证正确以后，才可以实现双方的通信。在双向认证中，最典型的就是Needham/Schroeder协议。

[1]Needham/Schroeder Protocol[1978]

AKDC：IDA||IDB||N1

KDCA：EKa[Ks||IDB||N1||EKb[Ks||IDA]]

AB：EKb[Ks||IDA]

BA：EKs[N2]

AB：EKs[f（N2）]

（其中f（N2）为N2的某一个函数，其他符号约定同上。）

4.身份的零知识证明通常在进行身份认证时，需要进行身份信息或者口令的传输。要想不传输这些信息就可以进行身份认证，就需要采用身份的零知识证明技术。所谓零知识证明就是指在进行用户身份认证时，不需要传输相关的信息。这种认证机制就是当被认证的甲方为了让认证方乙方确信自己的身份和权限但同时又不让乙方得到自己的秘密信息而采用的一种机制。这种认证方法可以非常有效的防治第三方窃取信息。

二、身份认证的应用

（一）Kerberos认证服务

Kerberos是一种基于Needham和Schroeder[1978]模型的第三方认证服务Kerberos可信任的第三方就是Kerberos认证服务器。它通过把网络划分成不同的安全区域，并且在每个区域设立自己的安全服务器来实现相应的安全策略。在这些区域的认证具体实现过程如下：Kerberos通过向客户和服务提供票和通信双方的对话密钥来证明自己的身份权限。其中Kerberos认证服务器负责签发初始票，也就是客户第一次得到的票。其他票都是由发票服务器负责签发。同一个票可以在该票过期之前反复使用。当客户需要让服务方提供服务的时候，不但要自己生成仅可以使用一次的证，而且需要向服务方发送由发票服务器分发的。这两个需要同时发送。

（二）HTTP中的身份认证

HTTP中的身份认证现在主要由三个常用的版本。分别是HTTP协议目前已经有了三个版本HTTP0.9、HTTP 1.0和HTTP 1.1，其中HTTP 0.9功能简单，主要用来实现最基本的请求协议和回答协议。HTTP 1.0是目前应用比较广泛的一个版本，它的功能相对来说非常完善。而且，通过Web服务器，就可以实现身份认证来实现访问和控制。如果用户向某个页面发出请求或者运行某个CGI程序时，将会有访问控制文件告诉用户哪些可以访问，哪些不可以访问，访问对象文件通常存在于访问对象所在的目录下面的。通过服务器读取访问控制文件，从而获得相应的访问控制信息。并且要求客户通过输入用户名和口令进行身份验证。通过访问控制文件，Web服务器获得相应的控制信息，用户根据要求输入用户名和口令，如果经过编码并且验证以后，如果身份合法，服务方才发送回所请求的页面或执行CGI程序。HTTP 1.1新增加的很多的报头域。如果进行身份认证，不是以明文的方式进行传递口令，而是把口令进行散列变换，把口令转化以后对它的摘要进行传送。通过这种认证机制，可以避免攻击者通过某种攻击手段来获取口令。即使经过多次攻击，也无法进行破译。即使是这样，仍然不能保证摘要认证的足够安全。和普通的认证方法一样，这种方法也可能受到中间者的攻击。要想更进一步确保口令安全，最好就是把HTTP的安全认证方式与Kerberos服务方式充分结合起来。

（三）IP中的身份认证

IP中的身份认证IP协议出于网络层，因此不能获取更高层的信息，IP中的身份认证无法通过基于用户的身份认证来实现。主要是通过用户所在IP地址的身份认证来实现。IP层的认证机构既要确保信息在传递过程中的数据完整性，又要确保通过数据组抱头传递的信息的安全性。IPSec就是IP安全协议的简称，主要功能就是维护网络层的安全和网络成以下层的安全。通常情况下，它提供两种安全机制。第一种是认证机制，通过这种认证机制，可以确保数据接收方能够识别发送方的身份是否合法。而且还可以发现信息在传输过程中是否被恶意篡改；第二种是加密机制，通过对传输数据进行数据编码来实现数据的加密机制。从而可以保证在信息的传递过程中，不会被他人窃取。IPSec的认证报头（Authentication Header AH）协议定义了认证的应用方法，封装安全负载（Encapsu-lating Security Payload，ESP）协议定义了加密和可选认证的应用方法。应用到具体的通信中去，需要根据实际情况选择不同的加密机制和加密手段。AH和ESP都可以提供认证服务，相比较而言，AH提供的认证服务要强于ESP。

三、身份认证技术讨论

身份认证技术讨论，在前面几部分内容中，对身份认证技术进行了理论分析和总结，并对他们的原理、机制和优缺点进行了比较。这里将根据自己的理解，深入考虑通过其他途径来实现身份认证。数字签名首先要保证身份验证者信息的真实性，就是要确保信息不能伪造，这种方法非常类似于身份认证。身份认证的主要目的是要确保被认证者的身份和权限符合。因此，这里考虑通过数字签名来实现身份认证。这里的技术难点就是必须要预先进行分发密钥。如果不能提前进行密钥分发，就不可能实现数字签名。综上可以看出，身份认证在整个安全要求中是首先要解决的技术问题。

参考文献：

[1]William Stallings,孟庆树等.密码编码学与网络安全――原理与实践(第四版)[M].电子工业出版社,2006,11

[2]袁德明.计算机网络安全[M].电子工业出版社,2007,6

[3]杨英鹏.计算机网络原理与实践[M].电子工业出版社,2007,9

身份认证技术论文篇（2）

中图分类号：TP393.08 文献标识码：A

身份认证是一个系统安全最为重要的问题。只有在通过安全的身份认证基础上，才可能进行安全可靠地传递信息和共享网络资源。用户和系统一般是通过三种方法来证明他们的身份，即用户所知道的、用户所拥有的和用户的特征。身份认证根据其实现方式的不同可以分为三类，即单向认证（One-Way Authentication）、双向认证（Two-Way Authentication）和信任的第三方认证（Trusted Third-Party Authentication）。每一种实现方式又根据所基于的密码体制不同采用对称密码或非对称密码来实现。下面重点分析和讨论非对称密码体制下基于PKI（Public Key Infrastructure，公钥基础设施）和基于IBC（Identity-Based Cryptography，基于身份的密码技术）的身份认证技术。

1 基于PKI的认证技术

PKI是指用公钥的概念和技术来实施和提供安全服务的具有普适性的安全基础设施。在PKI中，通过CA认证中心将用户的身份标识信息（用户名称、身份证号等）与其公钥绑定到一起，从而可以实现网络环境中身份认证的功能。PKI提供一系列支持公钥密码的应用（加密、解密、签名与验证等）。其所能支持的安全服务功能主要有：身份认证、数据完整性验证、数据机密性以及不可抵赖性等。PKI的目标就是通过借助公钥密码学的理论基础，管理密钥的生成、存储以及公钥证书的安全性等，为各种网络应用提供全面的安全服务，从而能够有效地实现用户身份的认证性和数据的机密性、完整性、有效性等。一个完整的PKI系统，其逻辑结构如图1所示。

2 基于IBC的认证技术

基于身份的公钥密码技术IBC（Identity-Based Cryptography）是Shamir首次提出的，与基于PKI和数字证书等认证方案不同，IBC认证技术的核心思想是系统中不再使用证书，而是通过三种密钥，即系统主密钥、用户公钥和私钥，即可完成认证。用户的公钥是通过提取用户的身份信息，如姓名、IP地址、邮箱地址等生成的，私钥可由称为私钥生成器PKG（Private Key Generator）的可信第三方计算得到并通过安全信道传送给用户。这种身份认证思想实现了公钥与认证实体身份进行绑定，使得认证双方在不需交换公钥的情况下即可完成认证，简化了传统公钥密码系统中密钥管理及其带来的成本开销问题。IBC密码技术可以广泛的应用在云计算、物联网、电子商务、电子政务等领域。在国外，IBC技术被广泛用于世界五百强企业的加密电子邮件。IBC在美国的电子商务领域已经成为销售终端POS（Point of Sale）和清算中心间保护信用卡信息的主流技术之一。一个简单的IBC系统结构如图2所示。

3 基于PKI与基于IBC认证的比较

基于PKI和基于IBC的认证虽然都是基于公钥密码体制下的认证技术，但是两者在很多方面具有很大的差异。基于IBC的认证方案和基于PKI的认证方案相比有几个显著的特点：无证书、基于身份的密码机制、密钥使用和管理的便捷性。两者在很多方面还存在很大的差异，具体差异对比如表1所示。

身份认证技术论文篇（3）

关键词：数字身份数字签名RSAPKICA

日常生活中人们到商场购物，付款方式一般有两种：采用现金结算或采用银行卡结算。2006年1月4日和1月5日某媒体连续刊登了两篇报道，题目分别为《刷卡签名商家有责辨真伪》、《银行卡被盗刷商家没过错》。这两篇报道代表两个完全对立的观点，但是阐述的内容都具有相当的说服力。这就提出两个问题，第一，当银行卡被盗刷的情况下，由此产生的损失到底应该由“卡”的所有者承担，还是应该由收款的商家承担？第二，能否避免这种损失的发生？笔者对两个问题的回答是：在现有的法制环境、技术手段下，无法准确的判断损失、无法准确的分清责任，也就无法准确的判罚；采用新的安全技术能够避免这种损失，一旦出现被盗刷的情况，可以依法判罚。

传统身份识别、签名识别存在的缺陷

在现有金融支付平台上使用银行卡时，支付过程如下：在银行提供的联网POS机上刷卡，由客户输入密码，密码验证通过后POS机打印银行转账单据，客户在转账单据上签名，客户出示有效身份证明（如身份证），收款员验证客户签名及身份证明，收款员打印销售发票，至此整个支付过程结束。其中收款员验证客户签名及身份证明是非常关键的一个环节，本文所提出的问题就是针对这个环节。

该媒体两篇报道中支持卡所有者的观点认为，使用手写签名是银行卡不被盗刷的基本保障。这样可以鉴别刷卡人是否为卡的所有者。在中国银联颁发的《收单规范》中要求收单商户必须仔细核对签名，以防银行卡被盗刷。因此从卡的所有者角度出发，收单商户有责任对刷卡人的真实身份进行确认，对签名的真伪进行鉴别。如果收单商户不对刷卡人的手写签名进行鉴别，将意味着银行卡所有者的安全大门完全失去了最基本的设防。这种情况是任何合法交易对象，无论是收单商户、还是合法卡的所有者所不愿意看到的，将导致拥有银行卡的用户不再敢使用刷卡的方式消费，也意味着商户将失去一部份客户。

而站在收单商户的立场认为，银行卡被盗刷商家没有过错。商家无权干涉持卡者的消费方式，涉及的银行与银联也没有义务对POS机操作员进行培训，重要的是法院则认为刷卡过程中是否应该对签名进行鉴别、核对，相关法律法规没有做出特别规定，也就是说没有法律依据。所以据此，如果客户的银行卡丢失后没有及时挂失造成的损失，收单商户没有责任。

刷卡是一种非常方便的支付方式，但是要得到人们的认可、在生活中得以推广，必须有一个安全的支付环境和支付工具，使得卡的所有者、收单商户、银行三方的利益都得到充分的保护。

笔者认为，在目前的技术条件下，要求POS机操作员仅仅依靠身份证来识别刷卡人的真实身份，同时要鉴别刷卡人签名时的笔迹是一项非常困难的工作。因为，一方面现在使用的身份证技术含量低，容易伪造；另一方面鉴别签名笔迹是一项技术性非常强的工作，一般人无法胜任，只有行业内的专家才能准确的鉴别，然而在实际工作中不可能为每一台POS机配备一名这样的技术专家。

那么是否能够找到一种在身份鉴别、签名鉴别上都非常方便、快捷、安全、实用的技术，这一问题就是本文论述的核心：RSA非对称加密解密技术应用模型。

RSA加密解密算法论述

RSA是一个非对称加密解密算法，由加密解密算法、公共参数、一对存在数学关系的公钥和私钥构成，其中算法、公共参数、公钥是可以公开的，私钥必须秘密保存。RSA的核心在于，加密时使用私钥，而解密时则使用公钥。

例如：用户甲拥有公共参数PN=14803，公钥PK=151，私钥SK=8871。现有明文PM=1234。

用户甲使用私钥SK对明文PM进行加密得到密文SM。

SM=PMSKMOD(PN)=12348871MDO(14803)=13960用户甲将自己的公共参数PN，公钥PK，以及密文SM发送给用户乙。用户乙进行解密计算得到明文PM。

PM=SMPKMOD(PN)=13960151MDO(14803)=1234

RSA用作数字签名

作为签名必须具备两个特性：防篡改，除签名者以外的其他人对签过名的内容做的任何改动都将被发现；抗抵赖，签名者无法抵赖自己签名的内容。

每一个RSA的用户都将拥有一对公钥和私钥。使用私钥对明文进行加密的过程可以被看作是签名的过程，形成的密文可以被看作是签名。当密文被改动以后就无法使用公钥恢复出明文，这一点体现出作为签名的防篡改特性；使用公钥对密文进行解密的过程可以被看作是验证签名的过程，使用公钥对密文进行解密恢复出明文，因为公钥来自于签名的一方（即用私钥加密生成密文的一方）。因此，签名一方无法否认自己的公钥，抵赖使用自己公钥解密后恢复出的明文，这一点体现出作为签名的抗抵赖特性。

RSA用作数字身份

身份是一个人的社会属性，用于证明拥有者存在的真实性，例如身份证、驾驶证、军官证、护照等。作为身份证明，它必须是一个不会被伪造的，如果被伪造则能够通过鉴别来发现。

将RSA技术应用于身份证明。当一个人获得一对密钥后，为了使利用私钥进行的签名具有法律效力，为了使自己公开的公钥、公共参数能够作为身份被鉴别，一般通过第三方认证来实现。用户要将自己的公钥、公共参数提交给认证中心，申请并注册公钥证书，如果使用过程中有人对用户的公钥证书产生质疑，需要验证持有者身份，可以向认证中心提出认证请求，以确认公钥证书持有者身份的真实性以及公钥证书的有效性。因此，可以把这个公钥证书看作持有者的一个数字身份证。

数字身份、数字签名在线鉴别模型

公钥证书在使用过程中可能会涉及到两个主体，拥有者与持有者。拥有者是公钥证书真正的所有者，而持有者则可能是一个公钥证书及私钥的盗用者。目前，认证机构的认证平台一般是建立在PKI公钥基础设施之上。当收到对某一个公钥证书的认证请求时，认证完成后出具的认证结果仅能够证明公钥证书本身的真实性、与之相关的数字签名的不可抵赖性，却无法证明持有者就是拥有者。RSA的使用则要求私钥必须秘密保存，一旦泄露只能及时挂失，如果在挂失之前被盗用，所产生的损失只能由拥有者自己承担，这种情况与银行卡被盗刷是相同的。尽管数字身份、数字签名、数字认证都是非常新的技术手段，但是就目前的认证方式、认证过程以及认证结果来看，依然没有解决公钥证书和私钥被盗用的问题。

本文针对公钥证书、私钥被盗用的问题设计出“数字身份、数字签名在线鉴别”模型。

传统的数字认证过程中，被认证的公钥证书与持有公钥证书的实体即证书的持有者之间没有任何关联，即使被认证的公钥证书是真实的、有效的，也不能证明持有者就是拥有者，这样就为盗用者提供了可乘之机。因此，必须对鉴别模型重新设计。

传统的RSA应用模型

用户甲可以自己生成非对称密钥对，也可以选择由认证中心生成；向认证机构提交公钥和公共参数申请并注册公钥证书；用户甲使用私钥对明文进行加密，形成具有签名效用的密文，通常要采用HASH函数进行压缩；用户甲将公钥证书以及经过数字签名的密文发送给用户乙；用户乙使用用户甲的公钥鉴别密文的数字签名；如果用户乙对用户甲的公钥证书产生质疑，可以提交用户甲的公钥证书给认证中心进行认证，认证中心对提交的公钥证书的真实性、有效性进行认证，并将认证结果返回用户乙。由于数字身份与数字签名的特殊性，提供认证服务的机构不应该是一个商业化的机构，而应该是具有政府职能的部门，例如：颁发身份证的公安局、颁发驾照的交管局、颁发护照的外交部等。在笔者设计的模型中，公安局替代传统的认证中心；针对被认证的公钥证书与持有者缺乏直接的关联，在认证结果的信息中，笔者设计增加所有者的详细信息资料，从而可以通过认证结果来鉴别持有者的真实身份。

改造后的RSA应用模型

由公安局为用户甲颁发一个公钥；用户甲自己选择公共参数，并生成私钥；用户甲将公钥、公共参数及个人的详细资料（居住地址、传统身份证号、联系电话、照片、指纹等）提交给公安局，申请并注册数字身份证（即公钥证书），数字身份证的鉴别编号由公钥和公共参数组合而成；用户甲使用私钥对明文进行加密，形成具有签名效用的密文；用户甲将签字密文、数字身份证发送给用户乙；用户乙使用用户甲的公钥鉴别密文的数字签名，并恢复密文为明文；如果用户乙对用户甲的公钥证书产生质疑，可以提交用户甲的公钥证书给认证中心进行认证，认证中心可以根据不同认证的级别返回不同的认证结果。

在新的模型中，认证将分为三级认证。一级认证，返回所有者的身份证号、住址、联系电话；二级认证，在一级认证基础之上附加返回所有者的照片；三级认证，在二级认证基础之上附加返回所有者的指纹。

具体选择哪一种级别认证，取决于应用的性质。如果是签署网络协议可以采用一级认证，如果是在线支付可以选择二级或三级认证。这样可以通过认证的结果（联系电话、照片、指纹）来鉴别持有者与所有者身份是否相符。

RSA在刷卡中的应用

身份认证技术论文篇（4）

中图分类号：TP393.08文献标识码：A文章编号：1007-9599 (2012) 05-0000-02

一、引言

随着科技的高速发展、互联网的大力普及，越来越多的人在互联网这个虚拟的世界里面开创了自己的小世界，很多以前只能在日常生活中完成的事情，也都搬到了网上进行。网络不仅成为了人们娱乐休闲的场所，成为了人们的一种职业手段，更成为了人们生活中不可或缺的一部分。在这种情况下，很多私人信息，包括个人及家庭基本信息、银行帐号信息等更加私密的信息，都需要通过互联网进行传输，在这种大背景之下，信息安全技术就显得尤为重要，而其在互联网中的运用也成为了人们不得不考虑的问题。

二、网络环境下信息安全技术简介

单从信息安全来看，其包括的层面是很大的。大到国家军事政治等机密安全，小到如防范商业企业机密泄露、防范青少年对不良信息的浏览、个人信息的泄露等。网络环境下的信息安全体系是保证信息安全的关键，包括计算机安全操作系统、各种安全协议、安全机制（数字签名、信息认证、数据加密等），直至安全系统，其中任何一个安全漏洞便可以威胁全局安全。信息安全技术，从广义上来看，凡是涉及到信息的安全性、完整性、可用性、真实性和可控性的相关理论和技术都是信息安全所要研究的领域。狭义的信息安全技术是指为对抗利用电子信息技术手段对信息资源及软、硬件应用系统进行截获、干扰、篡改、毁坏等恶意破坏行为所采用的电子信息技术的总称[1]。随着互联网热潮的兴起，整个社会对网络的依赖越来越强，信息安全的重要性开始显现。

随着信息安全内涵的不断延伸，信息安全技术也得到了长足的发展，从最初对信息进行保密，发展到现在要保证信息的完整性、可用性、可控性和不可否认性，进而又发展为“攻（攻击）、防（防范）、测（检测）、控（控制）、管（管理）、评（评估）”等多方面的基础理论和实施技术。互联网环境下，信息安全技术可以主要概括为以下几个方面的内容：身份认证技术、加密解密技术、边界防护技术、访问控制技术、主机加固技术、安全审计技术、检测监控技术等。

三、互联网中的信息安全技术

互联网是面向所有用户的，所有信息高度共享，所以信息安全技术在互联网中的应用就显得尤为重要。

（一）信息安全技术之于互联网的必要性

国际互联网十分发达，基本可以联通生活的方方面面，我国的互联网虽不如发达国家先进，但是同作为互联网，其所面临的安全问题都是一样的。网络信息安全有三个重要的目标：完整性、机密性和有效性，对于信息的保护，也便是从这三个方面进行展开，

（二）信息安全技术在互联网中的运用

美国国家安全局对现有的信息安全工程实践和计算机网络系统的构成进行了系统分析和总结，提出了《信息保障技术框架》[2]，从空间维度，将分布式的网络信息系统划分为局域计算环境、网络边界、网络传输和网络基础设施四种类型的安全区域，并详细论述了在不同安全域如何应用不同的安全技术要素构建分布式的信息安全系统。所以互联网中对于信息安全技术的使用是有一个应用体系的，不同的网络系统有不同的安全策略，但是不论是何种网络形式，有三项信息安全技术是必须被运用的，它们是：身份认证技术、数据加密技术、防火墙技术。

1.身份认证技术

身份认证是网络安全的第一道防线，也是最重要的一道防线。对于身份认证系统来说，最重要的技术指标是合法用户的身份是否易于被别人冒充。用户身份被冒充不仅可能损害用户自身的利益，也可能损害其他用户和整个系统。所以，身份认证是授权控制的基础[3]。现实生活中，可以通过很多途径来进行身份的认证，就在这种情况下也有人伪造身份，而对于网络虚拟环境，身份应该如何认证确实是一项头疼的技术难题。目前网络上的身份认证方式主要有：密码认证、口令卡认证、u盾认证以及各种技术结合使用等方式，也取得了一定的成效，对于信息安全的保障，起了很大的作用。

2.数据加密解密技术

数据加密技术是互联网中最基本的信息安全技术，因为众所周知，互联网的本质就是进行信息的共享，而有些信息是只对个人或者部分群体才可以共享的，另一方面，裸数据在网络中传播是很容易被窃取的，所以在信息发送端对数据进行加密，接收信息的时候进行解密，针对互联网信息传播的特点，是行之有效的信息安全技术。

3.防火墙技术

防火墙，很多人都很熟悉，它实质上是起到一个屏障的作用，正如其名，可以将有害信息挡在墙外，过滤到不利信息，阻止破坏性的信息出现在用户的计算机。防火墙的基本准则有两种：一切未被禁止的就是允许的；一切未被允许的就是禁止的。这种过来是如何实现的？这就涉及实现防火墙的技术，主要有：数据包过滤、应用网关和服务等。对于互联网而言，一个有效的防火墙，可以帮助用户免除很多有害信息的干扰，也是信息安全技术对于互联网非常大的贡献。

除了使用一些安全技术措施之外，在网络安全中，通过制定相关的规章制度来加强网络的安全管理，对于确保网络顺利、安全、可靠、有序的运行，也会起到十分重要的作用。

四、结束语

本文简要介绍了身份认证技术、数据加密技术、防火墙技术这三项技术对于网络信息安全的重要性及其应用，事实上随着科学技术的飞速发展，互联网的组织形式也在发生极大变化，网络信息安全技术在互联网上应用将会越来越多，但是笔者相信，本文所介绍的三个基本运用，会随着互联网的越来越透明化而得到更大的发展。

参考文献：

身份认证技术论文篇（5）

0 前言

计算机技术的发展和网络的普及，使得电子商务应运而生，电子商务是指交易当事人或参与人利用现代信息技术和互联网所进行的各类商业活动，包括货物贸易、服务贸易和知识产权贸易等。随着互联网的迅猛发展，加上多媒体与通讯条件的逐渐成熟，电子商务活动越来越普遍。

1 我国电子商务发展现状

网络购物是互联网作为网民实用性工具的重要体现，随着我国整体网络购物环境的改善，网络购物市场的增长趋势明显。目前的网络购物用户人数已经达到6329万人，有25.0%的网民青睐网上购物，跻身十大网络应用之列。而近半年我国网络购物变化情况如下表：

比较国外的发展状况，韩国网民的网络购物比例为57.3%，美国为66%。均高于我国网络购物的使用率，我国应着力推动电子商务的发展。

根据中国互联网发展信息中心的最新有关互联网的发展状况调查报告，网民不愿意进行电子商务交易的主要原因为担心交易安全问题。调查显示只有25.1%的网民表示对电子商务交易安全的可信，而74.9%的网民则表示不可信。因此迫切需要解决电子商务交易中的安全问题。

2 身份认证技术

电子商务交易过程中的安全性问题体现在很多的方面，比如物理网络的安全、计算机的安全、密码的安全等。这里我们最关心的莫过于交易过程中身份认证的密码安全。电子商务的身份认证采用最多的就是静态口令的“用户名＋密码”的方式，这是最为传统的方式，现在很多领域还在沿用。用户名是用户的惟一标识，而密码则是用来保障登录的用户是其本人。但是，在木马和病毒横行无忌的今天，这种基于静态口令的身份认证技术已经暴露出了许多弊端。因此，产生了动态口令身份认证技术。

动态口令（dynamic password）也称一次性口令（one-time password）。动态口令是变动的口令，其变动来源于产生口令的运算因子是变化的。动态口令的产生因子一般都采用双运算因子（two factors）：其一，为用户的私有密钥。它是代表用户身份的识别码，是固定不变的。其二，为变动因子。正是变动因子的不断变化，才产生了不断变动的动态口令。采用不同的变动因子，形成了不同的动态口令认证技术：基于时间同步（time synchronous）认证技术、基于事件同步（event synchronous）认证技术和挑战/应答方式的非同（challenge/response asynchronous）认证技术。在其他许多文献中对后两种动态认证技术做出了深入的分析，而对于第一种认证技术讨论和使用的不是很多。因此，本文重点讨论基于时间同步的动态口令身份认证技术。

3 时间同步

在通信领域，时间同步是指各网络节点设备、应用系统的时钟使用同一时间参考基准———协调世界时（utc），通过某种方式使其时钟的时刻和时间间隔与utc同步。

网络时间协议ntp是用于互联网中时间同步的标准互联网协议。在通常的环境下，ntp提供的时间精确度在wan上为数十毫秒，在lan上则为亚毫秒级或者更高。在专用的时间服务器上，则精确度更高。ntp支持三种时间传送模式：多播模式、客户/服务器模式和对称模式。时间同步过程本文不再赘述。

4 基于时间同步的动态口令身份认证技术

基于时间同步认证技术是把时间作为变动因子，一般以60秒作为变化单位。用户在进行电子商务交易过程中，需要进行身份认证并访问身份认证系统时，整个过程如下图所示：

（1）用户端首先向应用服务器提出认证申请。用户端提出申请的主要目的是要与应用服务器进行时间同步。此时应用服务器应该安装相应的ntp服务器端软件，并且当用户端提出申请后，服务器端应该以插件的形式在用户端安装相应的ntp客户端软件。当用户提出认证申请后，双方使用ntp协议进行时间同步。即使在广域网的环境下，ntp的时间同步精度也能够达到数十毫秒，完全可以满足动态口令身份认证的要求。需要说明的是，应用服务器与认证服务器之间也必须进行时间同步，这样才能保证用户端与认证服务器的时间同步。

（2）用户端根据当前时间连同用户信息（如用户id，输入的口令等）生成的动态口令传送到应用服务器，应用服务器请求认证服务器对客户的身份的合法性和真实性进行认证。

（3）认证服务器调用客户信息，产生与客户信息和时间相关的随机序列，并与客户输入的口令进行比对，判别客户身份的合法性和真实性。

（4）认证服务器将认证结果报告给应用服务器。

（5）应用服务器根据客户身份的合法性和真实性反馈给客户终端，并决定可以提供服务或拒绝服务。

5 结语

本文论述的这种基于时间同步的动态口令身份认证技术的优点为：动态口令一次性使用；操作简单；单向数据传输，只需用户向服务器发送口令数据，而服务器无需向用户回传数据；可以防止重放攻击，所谓重放攻击就是指网络黑客截获客户端传输给服务器的网络数据包后，到其它网络终端上重新向服务器发出该网络数据包从而获得服务器的认证。而时间交流中加入了系统时间信息，通过重放后传输到服务器的数据包由于时间差距而不能得到认证。而且整个认证过程只需与服务器交流一个来回，比服务器主动式交流认证具有更高的运行效率。但由于每个客户端都必须和服务器保持一致的系统时间才能确保时间交流认证正确，所以网络中要维护一台时间服务器。

本方法主要的缺点是用户端需要和应用服务器端进行时间同步，而且若数据传输的时间延迟超过允许值时，可能会对合法用户的登录造成身份认证失败。但是通过反复同步可以解决以上问题。

参考文献

［1］贺鹏，李菁.网络时间同步算法研究与实现［j］.计算机应用，2003，（2）：15-17.

［2］http：//nic.com.cn 中国互联网信息中心第22次中国互联网发展状况调查报告.

［3］蔺聪，黑霞丽.基于动态口令的电子商务身份认证技术［j］.计算机安全，2008，（5）：58-59.

［4］应文兰，李爱平，徐立云.网络化制造系统动态身份认证的研究与现［j］.2008，（6）：1293-1294

身份认证技术论文篇（6）

随着网络时代的到来，人们可以通过网络得到各种各样的信息。但由于网络的开放性，它正面临着如计算机病毒、人为的恶意攻击、网络软件的漏洞和“后门”、非授权访问等安全威胁。因此，网络安全越来越受到重视。作为网络安全的第一道防线，亦即是最重要的一道防线，身份认证技术受到普遍关注。

一、基于秘密信息的身份认证方法

1、口令核对

口令核对是系统为每一个合法用户建立一个用户名/口令对，当用户登录系统或使用某项功能时，提示用户输入自己的用户名和口令，系统通过核对用户输入的用户名、口令与系统内已有的合法用户的用户名/口令对（这些用户名/口令对在系统内是加密存储的）是否匹配，如与某一项用户名/口令对匹配，则该用户的身份得到了认证。

缺点：其安全性仅仅基于用户口令的保密性，而用户口令一般较短且是静态数据，容易猜测，且易被攻击，采用窥探、字典攻击、穷举尝试、网络数据流窃听、重放攻击等很容易攻破该认证系统。

2、单向认证

如果通信的双方只需要一方被另一方鉴别身份，这样的认证过程就是一种单向认证，即前面所述口令核对法就算是一种单向认证，只是这咱简单的单向认证还没有与密?分发相结合。

与密?分发相结合的单向认证主要有两类方案：一类采用对密?加密体制，需要一个可信赖的第三方???通常称为kdc（密?分发中心）或as （认证服务器），同这个第三方来实现通信双方的身份认证和密?分发如des算法，优点运算量小、速度快、安全度高，但其密?的秘密分发难度大；另一类采用非对称密?加密体制，加密和解密使用不同的密?sk，无需第三方参与，典型的公?加密算法有rsa。认证优点能适应网络的开放性要求，密?管理简单，并且可方便地实现数字签名和身份认证等功能，是目前电子商务等技术的核心基础。其缺点是算法复杂。

3、双向认证

双向认证中，通信双方需要互相鉴别各自的身分，然后交换会话密?，典型方案是needham/schroeder协议。优点保密性高但会遇到消息重放攻击。

4、身份的零知识证明

通常的身份认证都要求传输口令或身份信息，但如果能够不传输这些信息身份也得到认证就好了。零知识证明就是这样一种技术：被认证方a掌握某些秘密信息，a想设法让认证方b相信他确实掌握那些信息，但又不想让认证方b知道那些信息。

如著名的feige-fiat-shamir零知识身份认证协议的一个简化方案。

假设可信赖仲裁选定一个随机模数n,n为两个大素乘积，实际中至少为512位或长达1024位。仲裁方产生随机数v，使x2＝v mod n,即v为模n的剩余，且有v－1mod n存在。以v作为证明者的公?，而后计算最小的整数s:s=sqrt(v-1)mod n作为被认证方的私?。实施身份证明的协议如下：被认证方a取随机数r,这里r<m,计算x=r2 mod m,把x送给认证方b；若b=1,则a将y=rs送给b；若b=0,则b验证x=r2 mod m,从而证实a知道sqrt(x);若b=1,则b验证x=y2.v mod m,从而证实a知道s。

这是一轮鉴定，a和b可将此协议重复t次，直到a相信b知道s为止。

二、基于物理安全性的身份认证方法

尽管前面提到的身份认证方法在原理上有很多不同，但他们有一个共同的特点，就是只依赖于用户知道的某个秘密的信息。与此对照，另一类身份认证方案是依赖于用户特有的某些生物学信息或用户持有的硬件。

基于生物学的方案包括基于指纹识别的身份认证、基于声音识别身份认证以及基于虹膜识别的身份认证等技术。该技术采用计算机的强大功能和网络技术进行图像处理和模式识别，具有很好的安全性、可靠性和有效性，与传统的身份确认手段相比，无疑产生了质的飞跃。近几年来，全球的生物识别技术已从研究阶段转向应用阶段，对该技术的研究和应用如火如茶，前景十分广阔。

三、身份认证的应用

1、kerberos是mit为分布式网络设计的可信第三方认证协议。网络上的kerberos服务起着可信仲裁者的作用，它可提供安全的网络认证，允许个人访问网络中不同的机器。kerberos基于对称密码技术（采用des进行数据加密，但也可用其他算法替代），它与网络上的每个实体分别共享一个不同的密?，是否知道该密?便是身份的证明。其设计目标是通过密?系统为客户/服务器应用程序提供强大的认证服务。该认证过程的实现不依赖于主机操作系统的认证，无需基于主机地址的信任，不要求网络上所有主机的物理安全，并假定网络上传送的数据包可以被任意地读取、修改和插入数据。

kerberos也存在一些问题： kerberos服务服务器的损坏将使得整个安全系统无法工作；as在传输用户与tgs间的会话密?时是以用户密?加密的，而用户密?是由用户口令生成的，因此可能受到口令猜测的攻击；kerberos 使用了时间戳，因此存在时间同步问题；要将kerberos用于某一应用系统，则该系统的客户端和服务器端软件都要作一定的修改。

2、http中的身份认证

http提供了一个基于口令的基本认证方法，目前，所有的web服务器都可以通过“基本身份认证”支持访问控制。当用户请求某个页面或运行某个cgi程序时，被访问访问对象所在目录下有访问控制文件（如ncsa用.haaccess文件）规定那些用户可以访问该目录，web服务器读取该访问控制文件，从中获得访问控制信息并要求客户提交用户名和口令对经过一定的编码（一般是base64方式），付给服务方，在检验了用户身份和口令后，服务方才发送回所请求的页面或执行egi程序。所以，http采用的是一种明文传输的口令核对方式（传输过程中尽管进行了编码，但并没有加密），缺少安全性。用户可以先把使用ssi建立加密信道后再采用基本身份认证方式进行身份认证，而是基于ip地址的身份认证。

3、ip中的身份认证

ip协议由于在网络层，无法理解更高层的信息，所以ip协议中的身份认证实际不可能是基于用户的身份认证，而是基于ip地址的身份认证。

四、身份认证技术讨论

在计算机网络中身份认证还有其他实现途径，如数字签名技术。传送的报文用数字签名来证明其真实性，简单实例就是直接利用rsa算法和发送方的秘密密?。

由于数字签名有一项功能是保证信息发出者的身份真实性，即信息确实是所声称的签名人签名的，别人不能仿造，这和身份认证的情形有些相似；身份认证的核心是要确认某人确实是他所声称的身份。那么，我想应该能借用数字签名机制实现身份认证，但这可能有一个困难，如果不预先进行密?分发（即使是公?，也要有一个机制将真实的公?信息传递给每一个用户）。可能数字签名也无从实现。

五、结语

在实际应用中，认证方案的选择应当从系统需求和认证机制的安全性能两个方面来综合考虑，安全性能最高的不一定是最好的。如何减少身份认证机制和信息认证机制中的计算量和通信量，而同时又能提供较高的安全性能，也是信息安全领域的研究人员进一步需要研究的课题。

身份认证技术论文篇（7）

中图分类号：TP393.18 文献标识码：A 文章编号：1007-9416（2016）12-0195-01

引言

在高校校园网建设中，一个好的校园网络接入身份系统是指能够为广大师生提供安全、便捷的接入服务，主要表现三个方面：1）在具有多个校区的网络环境中，能够提供可靠的身份认证服务；2）支持多种认证方式，如支持用户漫游的分布认证、单点登陆认证等多种认证方式，用户无论身处哪个校区，都可以一次接入认证后即可访问校内多个业务系统；3）具备大量的认证用户并发访问认证服务器时系统查以自动调配内存资源的能力（即具备良好的负载均衡能力。随着我国高等职业院校的快速发展，各高职院校不断扩大招生规模，并启动新校区建设。各院校在统筹建设新、老校区网络建设时，也都在研究安全、可靠、负载性能好的身份认证系统。本论文以某高职院校为例，设计了一个基于“三层架构”的校园网身份认证系统，对高职院校开发校园网络身份认证系统具有一定的参考价值。

1 校园网身份认证相关技术

1.1 Kerberosy认证

Kerberosy认证是在上世纪90年代伴随万维网的出现而诞生的经典身份认证技术。它提供了一种利用认证服务器（AS）实现客户端（Client）和服务器端（Server）相互J证的经典思路；为解决一次授权即实现多服务器登陆的问题，Kerberosy认证引入了票据授权服务（TGS - Ticket Granting Service），省去了多次认证的时空开销。因此，Kerberosy认证包括认证服务器（AS），客户端（Client）和普通服务器（Server）、票据授权服务（TGS - Ticket Granting Service） 四个角色。

1.2 LDAP：轻量级目录访问协议

轻量级目录访问协议 ，是一种跨平台的目录服务技术，位于TCP/IP协议的上层，提供标准的服务接口，因此具有平台无关性，采用树状模式存储目录信息，每一条目录信息基于条目（Entry），条目在目录全局中具有唯一的身份标识并包含属性信息（一般比较精短），方便快速检索条目信息。由于身份认证中传递的多数都为短文本（加密）信息，因此LDAP协议的特别适合身份认证的需求，此特性使其在各种身份认证技术中得到广泛应用。

1.3 ICE中间件

Ice是Internet Communications Engine的简称，是一种面向对象的中间件平台，支持面向对象的RPC编程，其最初的目的是为了提供类似CORBA技术的强大功能，又能消除CORBA技术的复杂性。该平台为构建面向对象的客户-服务器应用提供了工具、API和库支持。ICE平台内嵌负载均衡功能，对于分布大多个节点上的应用服务提供多种负载均衡方案，只需要通过XML配置文件即可完成负载均衡配置。配置项包括Type （负载均衡类型）、Sampling interval（负载信息收集间隙）、Number of replicas（返回给客户端的适配器个数）。

2 基于三层架构的校园网身份认证模型

2.1 统一身份认证集成中存在的突出问题

目前，统一身份认证主要有网关模型、模型、经纪人模型等三种模型。网关模型中所有的应用系统都放在认证系统之后，虽然提高了应用系统的安全性，但也导致部分对用户权限要求并不高的应用系统不能很好地被用户访问，比较典型的如各高校专门为学生下载视频资源搭建的FTP应用。因此网关模型对用户访问应用系统资源具有一定的制约性。模型是用户通过服务器访问不同的应用系统，用户的访问权限由服务器控制，但用户的登陆信息在本地存储，存在信息泄露的危险。经纪人模型不存在前两种模型的缺点，但需要生成电子身份标识，认证开销比较大，对认证服务器性能要求较高。

2.2 “三层架构”统一身份认证模型的提出

本文结合某高职院校网络实际，提出了一种基于“应用层、服务层、数据层”的三层统一身份认证模式，该模式结合了LDAP、Kerberosy认证、ICE中间件三种身份认证技术。具体模型结构如图1所示。

应用层主要是用户（Client）端向应用服务器（Service）发出访问请求，应用服务器在收到后，将用户身份信息，通过中间件认证接口发送到认证服务器层，认证服务层采用Kerberosy认证，验证通过的用户可获得数据资源访问授权，通过LDAP技术，实现用户要访问的数据资源目录与LDAP目录同步，减少用户资源访问等待时间。三层架构的优点显而易见，将认服服务器与应用服务器分开，用户不再直接访问认证服务器，减轻了认证服务器的压力；LADP同步技术提高了数据访问效率，提升了用户体验；三层架构更容易配置。

3 结语

本文主要结合某高职院校校园网身份认证的需求，介绍了统一身份身份认证的相关技术，提出了一种基于三层架构的统一身份认证技术，包括应用层、服务层、数据层，具有逻辑结构清晰、访问效率高、配置方便的明显优点。通过在某高职院校校园网统统一身份认证的应用，师生反映校园网登陆等待时间减少，资源访问更加高效，证实该方案对高职院校校园网统一身份证具有重要的参考意义。

参考文献

身份认证技术论文篇（8）

中图分类号:TP393文献标识码:A 文章编号:1009-3044(2009)34-9777-02

The Identification Technique of Digital Library Based on An USB-Key

HUANG Xing-yan, ZHAN Lin

(Anhui University of Science and Technology,Huainan 232001,China)

Abstract: The certification way based on USB-Key is a kind of convenient,safe,reliable identity certification technology ,There is only one key in encrypt process.The safely reliable problem of certification has been well solved.This paper introduce a Internet security appliance using USB-Key,it helps the appliance developing its safe problem.

Key words: USB-Key; digital library; unified attestation

无论数字图书馆技术如何发展,从简单的图书馆网站到未来泛在的综合性数字图书馆,用户在使用数字图书馆资源之前都需要进行登录。只有当数字图书馆接受了一名合法用户的登录后,才能依照权限的设定为其提供相应的信息资源进行查询、浏览、下载等服务。网络环境的复杂使得合法用户在登录数字图书馆的过程中存在严重的安全隐患。如何保证合法用户的登录信息不被盗取、合法身份不被冒用成为一个很重要的安全问题。

1 数字图书馆的运营

数字图书馆是运用当代信息技术,对数字信息资源进行采集、整理和储存,并向所有连接网络的用户提供,为一定的社会政治、经济服务的文化教育机构以及这种机构的组合。数字图书馆建设是以统一的标准和规范为基础,以数字化的各种信息为底层,以分布式海量资源库群为支撑,以智能检索技术为手段,以电子商务为管理方式,以宽带高速网络为传输通道,将丰富多彩的多媒体信息传递到千家万户;这个丰富的多媒体信息平台则包含了数字文化平台、数字教育平台、数字新闻平台、数字商务平台、数字娱乐平台和数字情报中心,从这个意义上看,数字图书馆是以支持全国范围内的文化娱乐、教育科研和情报咨询为主的多功能大型知识库。数字图书馆的最终目的就是采用现代高新技术,为用户提供对网上这个大型知识库的有效访问和利用功能,而且不受时空限制。它涵盖了信息资源的生命全过程(生产、加工、存储、检索、传递、保护、利用、归档、剔除)。

2 网络环境对数字图书馆登录认证提出了新的要求

2.1 数字图书馆的运营模式

从20世纪60年代开始至今,与数字图书馆相关的技术发展突飞猛进:功能日渐强大的个人计算机价格却日渐低廉,与此相适应,电子存储成本也飞速下降;随着高速网络的日益普及,访问数字图书馆也更方便;对信息检索,元数据描述,文本转换,页面描述语言乃至用户界面设计等技术都逐步发展成熟。但对于数字图书馆的商务系统以及信息传输的安全机制,一般数字图书馆仍是采用“会员名+密码”的身份认证方式。读者通过购买读书卡(或预付一定的费用)、下载专用的阅览器、注册为会员,登录时输入自己的用户名和密码,即可阅读下载所需资料的方法,读者阅读的费用已包含在支付过的读书卡费或会员预付费中,读书卡有使用期限,到期后可续费。

2.2 现行论证模式存在的风险

这样的读书卡形同借书证,操作较简单,方便经常阅读的读者。很明显,这种身份认证方法操作十分简单,但同时又最不安全。因为其安全性仅仅基于用户口令的保密性,而用户口令一船较短且容易猜测,因此这种方案不能抵御口令猜测攻击。其次,口令的明文传输使得系统攻击者很容易通过搭线窃听方法获取用户口令。最后,由于系统保存的是口令的明文形式,一方面要求系统管理员是可信赖的,另一方面,一旦攻击者能够访问口令表,整个系统的安全性就受到了威胁。口令方案对重传攻击也毫无抵抗能力。

数字图书馆的计费方式要么按阅读和下载的数量付费,要么采用包月制。用户名与密码被黑客攻破后,不是读者受损失,就是数字图书馆运营商受损失。

为了实现身份认证过程和数字信息流通过程的安全保密,在“用户与各资源站点”之间建立一个统一的安全认证平台,并将USB-Key的身份认证技术应用于该认证平台之中。

3 USB-Key在数字图书馆身份认证中的应用

3.1 建立统一认证平台

数字图书馆不是指某一具体的图书馆电子资源,它是将分布在各地各类型的数字化馆藏集中起来统一进行调度管理。数字图书馆一般是由电子图书、电子期刊、电子音像资源、随书光盘以及其他多媒体等信息资源组成(如图1所示)。

由于数字资源的供应商各自使用的系统不同,每一供应商都有各自的登录认证系统,当读者从不同资源站点下载所需资源时,必须要通过多个信息资源供应商的登录认证系统,取得信息资源供应商的信任后才能获得所需资源。而且由于每个服务器的登录认证系统不尽相同,这样不停的登录认证再获取所需数字资源的方式,不仅给读者带来了不便,同时也不利于将先进的认证技术应用于数字图书馆各数据厂商的认证系统中。

现代数字图书馆要求其拥有一个统一资源检索平台。这样,虽然解决了读者在每一种资源中登录、论证、检索的问题,但未解决认证中的安全性问题。因此,建立一个统一的安全认证网关,采用USB-Key进行身份验证,就可极大地提高数字图书馆的论证安全性、可靠性,有效地保护了读者和运营商的利益(如图2所示)。

3.2采用USB-Key进行身份验证

3.2.1 USB-Key技术

USB-Key的身份认证方式是近几年发展起来的,一种方便、安全、可靠的身份认证技术。它采用一次一密的强双因子认证模式,很好地解决了身份认证的安全可靠问题,并提供了USB接口与现今的电脑通用连接。和单钥的动态密码锁不同的是,USB Key采用双钥(公钥)加密的认证模式,USB Key是一种USB接口的硬件设备,外形跟普通的U盘差不多。它内置单片机或智能卡芯片,有一定的存储空间,可以存储用户的私钥以及数字证书,利用USB Key内置的公钥算法实现对用户身份的认证。由于用户私钥保存在密码锁中,理论上使用任何方式都无法读取,因此保证了用户认证的安全性。

同时,USB Key的硬件和PIN码构成了可以使用证书的两个必要因素。如果用户PIN码被泄漏,只要保存好USB Key的硬件就可以保护自己的证书不被盗用,如果用户的USB Key丢失,获得者由于不知道该硬件的PIN码,也无法盗用用户存在USB Key中的证书。

USB Key的一个最重要的优点就是成本低廉。一些单片机芯片USB Key的成本可以低于10元,很利于大规模普及应用,不过单片机芯片USB Key虽然成本低廉,但是芯片容易被黑客硬件复制。而智能卡芯片的USB Key就不容易被硬件复制,不过带来的是较高的成本,一般智能卡芯片的USB Key的价格都要高于30元。随着芯片技术的发展和生产数量的不断增大,USB的成本会不断下降到一个合理的价位。

3.2.2 USB-Key身份认证流程

1)USB Key内置密钥为S2,认证密钥为S1,认证密钥的加密密钥为S3,认证密钥的解密密钥为K,将K存储于USB Key内。

2)当读者登录数字图书馆认证系统的时候,首先通过USB Key向系统提出申请认证,在电脑上插入USB Key并输入PIN码。用户输入正确的口令认证方可继续,当输入错误口令超过一定次数,用户密码将被锁住,此时必须由管理员来解锁用户密码。

3)认证系统接收到用户的认证申请,由认证服务器产生一随机数(简称C),并将其传给客户端的USB Key。

4)USB Key以(C,S2)为参数,进行HASH(C,S2)运算,将运算结果与认证密钥的解密密钥K一同传送给认证服务器。

5)为了防止攻击者攻击认证的主机,本系统将认证密钥进行了加密存储(即将S1变成S3),认证服务器接收到运算结果及解密密钥K后,首先利用K对S3进行解密,将其变成S1,再以(C,S1)为参数,进行HASH(C,S1)运算。

6)如果HASH(C,S2)=HASH(C,S1),也就说明S2=S1得到认证,即用户身份被成功认证。

7)用户身份被认证后,用户就可以在各资源站点获取所需资源。认证过程如图3所示。

4 结论

由于USB-Key具有安全可靠、便于携带、使用方便、成本低廉的优点,加上PKI体系完善的数据保护机制,使用USB-Key存储数字证书的认证方式已经成为目前主要的认证模式。采用USB-Key进行身份认证,不仅是将先进的认证技术应用到了数字图书馆中,在提高了整个系统安全性的同时,也极大地保护了广大读者的利益,使读者能够更放心地使用数字图书馆的各类资源。同时也保护了数字图书馆运营商的利益,保证其资源不被非法使用。

参考文献:

[1] 汪国安,杨立身.USB Key身份认证系统的设计与实现[J].河南理工大学学报,2005.

身份认证技术论文篇（9）

随着通信网络技术的快速发展，电子商务给人们的工作和生活带来了新的尝试和便利，也带来了一些问题,由于网络本身的开放性，使电子商务面临种种风险，也由此提出了安全控制要求。客户认证是保证电子商务交易安全的一项重要技术，主要包括身份认证和信息认证。身份认证用于鉴别用户身份，而信息认证用于保证通信双方的不可抵赖性和信息的完整性。在某此情况下，信息认证显得比信息保密更为重要。

一、身份认证

身份认证是通过身份识别技术及其他附加程序对用户的身份进行确认的全部过程。要在网上使交易安全、成功，首先要能够确认对方的身份。电子商务环境对身份识别技术的基本要求有： 1.身份的认证必须数字化；2.安全、健康，对人的身体不会造成伤害；3.快速、方便、易使用；4.性能价格比高，适合普及推广。用于身份认证的技术较多，最常用的是密码，使用身份标识码加密码来进行安全防范，如用户口令；还有使用物理载体的方式，例如使用证件、钥匙、各种卡等有形的载体来识别身份；另外还有生物特征身份识别方式，使用指纹、面像、视网膜、DNA、语音等特征来识别身份。

二、信息认证

信息认证的目的是防止信息被篡改、伪造，或信息接收方事后否认。确保电子商务的安全、可靠、一致性十分重要。信息认证技术是电子商务系统中的重要组成部分。由于网络上的信息是容易修改、复制的，通过电子数据方式达成的交易文件是不能被否认的，因此确保电子交易的信息都必须是不可否认的、不可被修改的，否则网上的交易就没有严肃和公正性。为实现这一目标，除了采用身份认证起到确保网上交易者身份的真实可信外，信息认证就用来确保交流的信息完整、不可抵赖性，以及信息访问的权限控制。

信息认证主要有两种方式：信息加密和数字签名。而实现这些技术都要应用数据加密技术。

1.加密技术

加密技术是保证电子商务安全的重要手段，它包括私钥加密和公钥加密。私钥加密又称对称密钥加密，即信息的发送方和接收方用一个密钥去加密和解密数据，目前常用的私钥加密算法包括DES和IDEA等。对称加密技术的最大优势是加密或解密速度快，适合于对大数据量进行加密，但密钥管理困难。公钥密钥加密，又称非对称密钥加密系统，它需要两个密钥——公开密钥(Public-Key)和私有密钥（Private-Key）。如果用公开对密钥进行加密，只有用对应的私有密钥才能进行解密；如果用私有密钥对数据进行加密，那么只有用对应的公开才能解密。非对称加密常用的算法是RSA。RSA算法利用两个足够大的质数与被加密原文相乘生产的积来加密或解密。这两个质数无论是用哪一个与被加密的原文相乘(模乘)，即对原文件加密，均可由另一个质数再相乘来进行解密。但是求解几乎是不可能的。非对称加密算法的保密性比较好，消除了最终用户交换密钥的需要，但加密和解密花费时间长、速度慢，不适合对文件加密而只适用于对少量数据进行加密。

信息发送方采用对称来加密信息，然后将对称密钥用接收方的公开密钥来加密，这部分称为数字信封(Digital Envelope)。之后，再分别和密文一起发送给接收方。接收方先用自己的私钥打开数字信封，得到对称密钥，然后使用对称密钥解开信息。

2.数字签名技术

对信息进行加密只解决了电子商务安全的第一个问题，而要防止他人破坏传输的数据，还要确定发送信息人的身份，这就需要采取另外一种手段——数字签名。数字签名采用了双重加密的方法来实现防伪、防抵赖。

把HASH函数和公钥算法结合起来，可以在提供数据完整性的同时，也可以保证数据的真实性。完整性保证传输的数据没有被修改，而真实性则保证是由确定的合法者产生的HASH。把这两种机制结合起来就可以产生所谓的数字签名（Digital Signature）。将报文按双方约定的HASH算法计算得到一个固定位数的报文摘要(Mes-sage Digest)值。只要改动报文的任何一位，重新计算出的报文摘要就会与原先值不符。然后把该报文的摘要值用发送者的私人密钥加密，将该密文同原报文一起发送给接收者，所产生的报文即称数字签名。

在电子商务的发展过程中，数字签名技术也有所发展，以适应不同的需要。数字时间戳就是一种变种的应用。在交易文件中，时间是十分重要的信息，在书面合同中，文件签署的日期和签名一样均是十分重要的防止文件被和篡改的关键内容。时间戳是一个经过加密后形成的凭证文档，它包括三个部分：需加时间戳的文件的摘要，DTS收到文件的日期和时间及DTS的数字签名。

身份认证技术论文篇（10）

密码技术是信息安全技术中的核心技术，密码技术涉及信息论、计算机科学和密码学等多方面知识，它的主要任务是研究计算机系统和通信网络内信息的保护方法以实现系统内信息的安全、保密、真实和完整。密码理论与技术主要包括两部分，即基于数学的密码理论与技术包括公钥密码、分组密码、序列密码、认证码、数字签名、Hash函数、身份识别、密钥管理、PKI技术等）和非数学的密码理论与技术（包括信息隐形，量子密码，基于生物特征的识别理论与技术）。

目前，我国在密码技术应用水平方面与国外还有一定差距。因此，我们必须要自主创新，加速发展，要有我们自己的算法，自己的一套标准，自己的一套体系，来应对未来挑战。

公钥密码

项目简介：自从公钥加密问世以来，学者们提出了许多种公钥加密方法，它们安全性都是基于复杂数学难题。根据基于数学难题来分类，有以下三类系统目前被认为是安全和有效的：大整数因子分解系统(代表性的有RSA)、椭园曲线离散对数系统(ECC)和离散对数系统 (代表性的有DSA)。

当前最著名、应用最广泛的公钥系统RSA是由Rivet、Shamir、Adelman提出的(简称为“RSA系统”)，它的安全性是基于大整数素因子分解的困难性，而大整数因子分解问题是数学上的著名难题，至今没有有效方法予以解决，因此可以确保RSA算法的安全性。RSA系统是公钥系统的最具有典型意义的方法，大多数使用公钥密码进行加密和数字签名的产品和标准使用的都是RSA算法。RSA方法的优点主要在于原理简单，易于使用。但是，随着分解大整数方法的进步及完善、计算机速度的提高以及计算机网络的发展，作为RSA加解密安全保障的大整数要求越来越大。为了保证RSA使用的安全性，其密钥的位数一直在增加，比如，目前一般认为RSA需要1024位以上的字长才有安全保障。但是，密钥长度的增加导致了其加解密的速度大为降低，硬件实现也变得越来越难以忍受，这对使用RSA的应用带来了很重的负担，对进行大量安全交易的电子商务更是如此，从而使得其应用范围越来越受到制约。

安全性更高、算法实现性能更好的公钥系统椭圆曲线加密算法ECC（Elliptic Curve Cryptography）是基于离散对数的计算困难性。椭圆曲线加密方法与RSA方法相比，具有安全性更高，计算量小，处理速度快，存储空间占用小，宽带要求低等特点，ECC的这些特点使它必将取代RSA，成为通用的公钥加密算法。比如SET协议的制定者已把它作为下一代SET协议中缺省的公钥密码算法。

意义：公钥密码的快速实现是当前公钥密码研究中的一个热点，包括算法优化和程序优化。另一个人们所关注的问题是椭圆曲线公钥密码的安全性论证问题。

序列密码

项目简介：序列密码作用于由若干位组成的一些小型组，通常使用称为密钥流的一个位序列作为密钥对它们逐位应用“异或”运算。有些序列密码基于一种称作“线形 反馈移位寄存器（Linear Feedback Shift Register，LFSR）”的机制，该机制生成一个二进制位序列。

序列密码是由一种专业的密码，Vernam密码（也称为一次性密码本（one-time pad）），发展而来的。序列密码的示例包括 RC4 和“软件优化加密算法（Software Optimized Encryption Algorithm SEAL）”，以及 Vernam 密码或一次性密码本的特殊情形。

序列密码主要用于政府、军方等国家要害部门，尽管用于这些部门的理论和技术都是保密的，但由于一些数学工具（比如代数、数论、概率等）可用于研究序列密码，其理论和技术相对而言比较成熟。从八十年代中期到九十年代初，序列密码的研究非常热，在序列密码的设计与生成以及分析方面出现了一大批有价值的成果，我国学者在这方面也做了非常优秀的工作。虽然，近年来序列密码不是一个研究热点，但有很多有价值的公开问题需要进一步解决，比如自同步流密码的研究，有记忆前馈网络密码系统的研究，混沌序列密码和新研究方法的探索等。另外，虽然没有制定序列密码标准，但在一些系统中广泛使用了序列密码比如RC4，用于存储加密。

意义：目前，欧洲的NESSIE计划中已经包括了序列密码标准的制定，这一举措有可能导致序列密码研究热。

身份认证

项目简介：身份认证是指计算机及网络系统确认操作者身份的过程。身份认证技术从是否使用硬件可以分为软件认证和硬件认证，从认证需要验证的条件来看，可以分为单因子认证和双因子认证。从认证信息来看，可以分为静态认证和动态认证。身份认证技术的发展，经历了从软件认证到硬件认证，从单因子认证到双因子认证，从静态认证到动态认证的过程。现在计算机及网络系统中常用的身份认证方式主要有以下几种：用户名/密码方式，IC卡认证，动态口令，生物特征认证，USB Key认证等。

基于USB Key的身份认证方式是近几年发展起来的一种方便、安全、经济的身份认证技术，它采用软硬件相结合一次一密的强双因子认证模式，很好地解决了安全性与易用性之间的矛盾。USB Key是一种USB接口的硬件设备，它内置单片机或智能卡芯片，可以存储用户的密钥或数字证书，利用USB Key内置的密码学算法实现对用户身份的认证。基于USB Key身份认证系统主要有两种应用模式：一是基于冲击/相应的认证模式，二是基于PKI体系的认证模式。由于USB Key具有安全可靠，便于携带、使用方便、成本低廉的优点，加上PKI体系完善的数据保护机制，使用USB Key存储数字证书的认证方式已经成为目前以及未来最具有前景的主要认证模式。

意义：身份安全是信息安全的基础，身份认证是整个信息安全体系最基础的环节，是信息安全的第一道关隘。

数字签名

所谓数字签名就是附加在数据单元上的一些数据,或是对数据单元所作的密码变换。这种数据或变换允许数据单元的接收者用以确认数据单元的来源和数据单元的完整性并保护数据，防止被人(例如接收者)进行伪造。它是对电子形式的消息进行签名的一种方法,一个签名消息能在一个通信网络中传输。基于公钥密码体制和私钥密码体制都可以获得数字签名,目前主要是基于公钥密码体制的数字签名。包括普通数字签名和特殊数字签名。普通数字签名算法有RSA、ElGamal、Fiat-Shamir、Guillou- Quisquarter、Schnorr、Ong-Schnorr-Shamir数字签名算法、Des/DSA,椭圆曲线数字签名算法和有限自动机数字签名算法等。特殊数字签名有盲签名、签名、群签名、不可否认签名、公平盲签名、门限签名、具有消息恢复功能的签名等,它与具体应用环境密切相关。显然,数字签名的应用涉及到法律问题,美国联邦政府基于有限域上的离散对数问题制定了自己的数字签名标准(DSS)。

数字签名（Digital Signature）技术是不对称加密算法的典型应用。数字签名的应用过程是，数据源发送方使用自己的私钥对数据校验和或其他与数据内容有关的变量进行加密处理，完成对数据的合法“签名”，数据接收方则利用对方的公钥来解读收到的“数字签名”，并将解读结果用于对数据完整性的检验，以确认签名的合法性。数字签名技术是在网络系统虚拟环境中确认身份的重要技术，完全可以代替现实过程中的“亲笔签字”，在技术和法律上有保证。在公钥与私钥管理方面，数字签名应用与加密邮件PGP技术正好相反。在数字签名应用中，发送者的公钥可以很方便地得到，但他的私钥则需要严格保密。

数字签名包括普通数字签名和特殊数字签名。普通数字签名算法有RSA、ElGmal、Fiat-Shamir、Guillou-Quisquarter、Schnorr、Ong-Schnorr-Shamir数字签名算法、Des/DSA，椭圆曲线数字签名算法和有限自动机数字签名算法等。特殊数字签名有盲签名、签名、群签名、不可否认签名、公平盲签名、门限签名、具有消息恢复功能的签名等，它与具体应用环境密切相关。

数字签名技术是将摘要信息用发送者的私钥加密，与原文一起传送给接收者。接收者只有用发送的公钥才能解密被加密的摘要信息，然后用HASH函数对收到的原文产生一个摘要信息，与解密的摘要信息对比。如果相同，则说明收到的信息是完整的，在传输过程中没有被修改，否则说明信息被修改过，因此数字签名能够验证信息的完整性。

数字签名主要的功能是：保证信息传输的完整性、发送者的身份认证、防止交易中的抵赖发生。

意义：目前数字签名的研究内容非常丰富，包括普通签名和特殊签名。特殊签名有盲签名，签名，群签名，不可否认签名，公平盲签名，门限签名，具有消息恢复功能的签名等，它与具体应用环境密切相关。

PKI技术

项目简介：工程学家对PKI是这样定义的：“PKI是一个用公钥概念与技术来实施和提供安全服务的普遍适用的安全基础设施。换句话说，PKI是一个利用非对称密码算法（即公开密钥算法）原理和技术实现的并提供网络安全服务的具有通用性的安全基础设施”。它遵循标准的公钥加密技术，为电子商务、电子政务、网上银行和网上证券业，提供一整套安全保证的基础平台。用户利用PKI基础平台所提供的安全服务，能在网上实现安全地通信。PKI这种遵循标准的密钥管理平台，能够为所有网上应用，透明地提供加解密和数字签名等安全服务所需要的密钥和证书管理。

还有一种是学者们对PKI的定义：“PKI是硬件、软件、策略和人组成的系统，当安全并正确地实施后，能够提供一整套的信息安全保障，这些保障对保护敏感的通信和交易是非常重要的”。换句话说，PKI是创建、颁发、管理和撤消公钥证书所涉及到的所有软件、硬件系统，以及所涉及到的整个过程安全策略规范、法律法规以及人员的集合。安全地、正确地运营这些系统和规范就能提供一整套的网上安全服务。

目前最为人们所关注的实用密码技即是PKI技术。国外的PKI应用已经开始，开发PKI的厂商也有多家。许多厂家，如Baltimore,Entrust等推出了可以应用的PKI产品，有些公司如VerySign等已经开始提供PKI服务。网络许多应用正在使用PKI技术来保证网络的认证、不可否认、加解密和密钥管理等。尽管如此，总的说来PKI技术仍在发展中。按照国外一些调查公司的说法，PKI系统仅仅还是在做示范工程。

意义：IDC公司的Internet安全资深分析家认为：PKI技术将成为所有应用的计算基础结构的核心部件，包括那些越出传统网络界限的应用。B2B电子商务活动需要的认证、不可否认等只有PKI产品才有能力提供这些功能。

IBE技术

项目简介：PKI技术虽然是目前比较成熟的安全解决方案，但是它本身并不是为了解决企业之间进行安全通信而设计的，所以没有考虑持续增长的互联设备之间通信越来越频繁的问题，使得PKI技术在实际应用中日益凸现出很多问题。IBE是最近几年提出来的一种基于身份的加密（Identity-based Encryption）通信机制，不但加密机制简单易用，而且形成了数据加密和身份认证相互独立的一个安全的通信环境。IBE可以解决与数字证书有关的复杂问题（用户注册、证书管理及证书撤销），又能提供公钥加密系统具有的安全性和保密性，因此可以结合到很多的应用中。IBE机制同样也可以和指纹认证技术相结合，如果使用指纹识别来实现身份认证，可以加强IBE的身份认证机制，同时利用IBE本身具有的特性又能克服PKI的弊端。利用指纹对用户进行身份认证，同时基于PKI技术，将数字签名、身份认证、文件加密和证书管理等信息安全技术植入现有的电子商务、电子政务系统，以此保证可靠身份认证和可靠信息传输。

意义：指纹认证技术与IBE技术的结合将具有非常好的应用前景。

量子密码

项目简介：量子密码术用我们当前的物理学知识来开发不能被破获的密码系统，即如果不了解发送者和接受者的信息，该系统就完全安全。

近年来，英、美、日等国的许多大学和研究机构竞相投入到量子密码的研究之中，更大的计划在欧洲进行。到目前为止，主要有三大类量子密码实现方案：一是基于单光子量子信道中测不准原理的；二是基于量子相关信道中Bell原理的；三是基于两个非正交量子态性质的。但有许多问题还有待于研究。比如，寻找相应的量子效应以便提出更多的量子密钥分配协议，量子加密理论的形成和完善，量子密码协议的安全性分析方法研究，量子加密算法的开发，量子密码的实用化等。

意义：目前，量子密码的全部研究还在实验室中，没有进入实用阶段。科学家已经在量子密码的相关研究中得到了一定进展，能在光纤中传递量子密码。但在长距离的光纤传输中，光子的偏振特性会退化，造成误码率的增加。实验中的量子密码的最大传输距离没有超过100公里。一旦这个瓶颈被突破，量子密码将迎来大发展。科学家们表示，保密与窃密就像矛与盾一样形影相随，它们之间的斗争已经持续了几千年，量子密码的出现，将成为这场斗争的终结者。

信息隐藏

项目简介：信息隐藏技术（Information Hiding），也称作数据隐藏（Data Hiding），主要是指将特定的信息嵌入（embedding）数字化宿主信息（如文本、数字化的声音、图像、视频信号等）中，以不引起检查者的注意，并通过网络传递出去。特定的信息一般就是保密信息。

信息加密是隐藏信息的内容，而信息隐藏是隐藏信息的存在性。信息隐藏的目的不在于限制正常的信息存取和访问，而在于保证隐藏的信息不引起监控者的注意和重视，从而减少被攻击的可能性，在此基础上再使用密码术来加强隐藏信息的安全性。因此信息隐藏比信息加密更为安全。应该注意，密码术和信息隐藏技术不是互相矛盾、互相竞争的技术，而是相互补充的技术，他们的区别在于应用的场合不同，对算法的要求不同，但可能在实际应用中需要互相配合。

信息隐藏的方法主要有隐写术、数字水印、可视密码、潜信道、隐匿协议等。

隐写术

(Steganography):隐写术就是将秘密信息隐藏到看上去普通的信息(如数字图像)中进行传送。现有的隐写术方法主要有利用高空间频率的图像数据隐藏信息、采用最低有效位方法将信息隐藏到宿主信号中、使用信号的色度隐藏信息的方法、在数字图像的像素亮度的统计模型上隐藏信息的方法、Patchwork方法等等。

数字水印(Digital Watermark):数字水印就是向被保护的数字对象嵌入某些能证明版权归属或跟踪侵权行为的信息。目前主要有两类数字水印,一类是空间数字水印,另一类是频率数字水印。空间数字水印的典型代表是最低有效位(LSB)算法,其原理是通过修改表示数字图像的颜色或颜色分量的位平面,调整数字图像中感知不重要的像素来表达水印的信息,以达到嵌入水印的目的。频率数字水印的典型代表是扩展频谱算法,其原理是通过时频分析,根据扩展频谱特性,在数字图像的频率域上选择那些对视觉最敏感的部分,使修改后的系数隐含数字水印的信息。

可视密码技术:可视密码技术是Naor和Shamir于1994年首次提出的,其主要特点是恢复秘密图像时不需要任何复杂的密码学计算,而是以人的视觉即可将秘密图像辨别出来。其做法是产生n张不具有任何意义的胶片,任取其中t张胶片叠合在一起即可还原出隐藏在其中的秘密信息。其后,人们又对该方案进行了改进和发展。主要的改进办法有：使产生的n张胶片都有一定的意义,这样做更具有迷惑性;改进了相关集合的构造方法;将针对黑白图像的可视秘密共享扩展到基于灰度和彩色图像的可视秘密共享。

信息隐藏技术的另一重要应用是匿名通信（Anonymity Communication）：是指设法隐藏消息的来源。网络匿名划分为发送方匿名和接收方匿名，如网上浏览关心的是接收方的匿名，而电子邮件则关心发送方的匿名，包括匿名重发（Anonymous Remailers）和网络技术。

意义：信息隐藏学是一门新兴的交叉学科 ，在计算机、通讯、保密学等领域有着广阔的应用前景 。

生物特征认证

项目简介：现代社会对于人类自身的身份识别的准确性、安全性与实用性提出了更高的要求。传统的身份识别方法已经远远不能满足这种要求，生物特征认证技术（又称生物识别技术）就是在这种背景下应运而生的身份识别技术。生物特征识别技术是指通过计算机利用人体所固有的生理特征或行为特征来进行个人身份鉴定。生理特征与生俱来，多为先天性的；行为特征则是习惯使然，多为后天性的。我们将生理和行为特征统称为生物特征。常用的生物特征包括: 指纹、掌纹、虹膜、脸像、声音、笔迹、步态等。而其中以指纹识别为代表的生物特征识别技术凭借其独特的优势正在被越来越多地应用到新的领域。基于生物特征的身份认证技术的大发展既是近年来市场需求扩大带来的结果，本质上也是身份认证技术的回归，即依靠人体固有的特征鉴别身份。

意义：利用生物特征的惟一性、稳定性等特点和密码技术相结合，能为信息安全提供更高层次的保障。

指纹认证技术和PKI技术的结合

指纹认证技术和PKI技术的结合应用主要体现在两个方面: