基于数字证书的UKEY安全登录与身份认证技术研究
基于数字证书的UKEY安全登录与身份认证技术研究
摘要本文在研究身份认证技术、uKey技术及Windows系统登录原理基础上,提出了基于数字证书的uKey身份认证与安全登录方案,设计了自定义登录模块,从而实现了使用uKey进行主机安全登录的功能。
关键词uKey;安全登录;身份认证
1 引言
用户在访问安全系统之前,首先经过身份认证系统识别身份,然后访问监控模块,系统根据用户身份和授权情况决定用户是否能够访问某个资源。因此系统安全登录与身份认证是安全系统中的第一道关卡,也是实施访问控制的基础,在系统安全领域具有十分重要的作用。本文提出了基于数字证书的uKey安全登录与身份认证方案,采用将第三方开发的uKey与用户身份信息相结合的认证方式,保证每个用户在登录时具有证明其身份的唯一标志,从而使系统通过这个惟一标志验证用户身份合法性。
2 身份认证技术
身份认证是网络安全技术的一个重要方面。用户在访问安全系统之前,首先经过身份认证系统识别身份,然后访问监控模块,系统根据用户身份和授权情况决定用户是否能够访问某个资源,常用的口令认证方式有以下几种:
1)基于口令的认证方式
基于口令的认证方式是目前在互联网和计算机领域中最简单、最容易实现的一种身份认证技术,也是目前应用最广泛的认证方法。例如:操作系统及诸如邮件系统等一些应用系统的登录和权限管理都基于口令[1],当用户登录计算机网络时,需要输入口令。计算机系统将其认证机制建立在用户名和口令的基础上,如果用户将用户名和口令告诉其它人,则计算机也将给予那个人以访问权限[2]。
2)基于智能卡的认证方式
智能卡(Smart Card)是法国人Roland Moreno于1970年发明的[3]。法国BULL公司首创智能卡产品,并将这项技术应用到金融、交通、医疗、身份认证等多个方面。基于智能卡的身份认证属于通过物理设备进行身份认证的机制,该机制结合电子技术和现代密码学知识,大大提高了基于物理设备机制的安全性。每个用户持有一张智能卡,智能卡存储用户秘密信息,同时在验证服务器中也存放该秘密信息。进行认证时,用户输入PIN码(个人身份认证码),服务器认证PIN码,成功后即可读出智能卡中的秘密信息,进而利用该秘密信息与主机之间进行认证。基于智能卡的认证方式是一种双因素认证方式(PIN+智能卡),即使PIN码或智能卡单独被窃取,合法用户的身份仍不会被冒充(即不能获得访问权)。
3)基于生物特征的认证方式
生物特征识别是一种根据人体自身所固有的生理特征和行为特征来识别身份的技术,即通过计算机与光学、声学、生物传感器和生物统计学原理等高科技手段的密切结合,利用人体固有生理特征(如手形、指纹、面部特征、虹膜、视网膜等)和行为特征(如笔迹、声音、步态等)来进行个人身份鉴定[4]。
生物特征认证技术的主要应用有辨识和验证两种。辨识(Identification)指的是确定用户身份,通常是在生物特征模版库中进行一对多匹配(One-to-Many Matching)或基于知识判别;验证(V erification)指的是验证用户是否为他所声明的身份,通常是用单模板进行一对一匹配[5](One-to-One)。
4)基于数字证书的认证方式
数字证书(Digital Certificate)是标志一个用户身份的一系列特征数据,其作用类似于现实生活中的身份证[6]。国际电信联盟的X.509建议定义了一种提供认证服务的框架。采用基于X.509证书的认证技术依赖于共同信赖的第三方来实现认证,所不同的是其采用非对称密码体制,实现上更加简单明了。这里的第三方是指称为CA(Certificate Authority)的认证机构,该认证机构负责认证用户身份并向用户签发数字证书。数字证书遵循X.509标准所规定的格式,因此称为X.509证书。持有此证书的用户就可以凭此证书访问那些信任的CA 服务器,通过CA服务器实现用户身份的验证。
3 基于数字证书的uKey安全登录与身份认证
Windows 2000操作系统以及微软后续的操作系统,如Windows XP都内置了对智能卡用户认证的支持,计算机用户可以选择使用传统的用户名、口令验证方式进行域内用户身份验证,也可使用智能卡来自动完成用户身份验证。
3.1 uKey技术
uKey又名智能电子密码钥匙,既完全继承了已有智能卡技术的安全性,又结合了新型USB接口的数据传输能力。
1)uKey简介
uKey是集智能卡与读卡器于一体的USB设备,支持热插热拔和即插即用,体积小、重量轻、便于携带[7]。uKey本身作为密钥存储器,自身硬件结构决定了用户只能通过厂商编程接口访问数据,这就保证了保存在uKey中的数字证书无法被复制,并且每一个uKey都带有PIN码保护,这样uKey的硬件与PIN码就构成了使用uKey进行身份认证的双因子。如果用户uKey丢失,获得者由于不知道该硬件的PIN码,就无法冒充合法用户身份;如果用户PIN码泄露,只要保存好uKey硬件就可以保证自己的身份不被冒充。
安全性是众多应用(特别是网络应用)的基础,而实现安全性的手段一般都是通过加密算法来达到,因为加密算法可以更好地实现数据保密性、数据完整性、身份可鉴别性以及交易不可抵赖性。加密算法安全性主要取决于密钥的秘密性,而不必对算法保密。智能卡作为一种有效的安全保障设备,是保存密钥信息的最可靠手段。传统智能卡的封装形式需要额外的读卡器设备,因为设备体积较大且不便于携带,所以使用很不方便,另外读卡器设备也增加了整体的成本[8]。如表1所示:uKey系列产品在完全继承智能卡优点的同时很好地解决了传统封装形式的诸多不足。
表1 uKey与传统智能卡的比较
比较项目uKey 读卡器+PK卡
成本远低于读片器+PK卡的成本之和。虽然PK卡成本较低,但读卡器成本通常很高。移动办公体积小、重量轻,方便随身携带,非常适用于移动办公。读卡器体积大,也比较重,不便随身携带。
通讯速率连接电脑主机的USB 口,通讯速率为12M bps,是高速设备。通讯速率一般在9600bps~115200bps之间。
多用户USB设备,共享方式,支持多用户访问。USB级联设备,通过级联方式,一台电脑可以接多个uKey。对于串口读写器,串口资源是独占的且主机串口数量有限,如果串口已经被其它设备占用,将不能使用读卡器。USB接口读写器可支持多用户。
操作方便性直接插在电脑主机的USB口或延长线接口上,操作极为简单。热插拔设备,可以随时插/拔uKey而不必担心损坏。对于串口读写器,电脑主机串口不支持热插拔,经常插拔、操作不当时容易烧坏主机串口。USB读写器操作方便性同uKey。
2)uKey特点
(1)高安全性。uKey通过了国家安全管理权威部门—国密办的技术鉴定和认可,支持
国密办认证的分组算法SSF33,也是国内唯一能同时支持ECC、RSA密码算法的同类产品。使用基于硬件RSA算法的uKey比单纯软件实现RSA的应用更加安全可靠。敏感数据都被保存在uKey的安全存储区域中,未授权用户将无法接触到这些信息。uKey的安全性还在于uKey所使用的加密算法都是被广泛公开、业界公认并经受了多年考验的算法。
(2)灵活易用。使用uKey无需任何附加外部设备。用户只需简单地将uKey插入任何带有USB接口的设备就可以使用uKey,使用完毕后直接拔下uKey就可以了。
(3)造价低廉。uKey比任何传统基于硬件的安全系统都节省开支。由于使用uKey无需任何附加设备,因此很适合大范围发行。uKey能够实现智能卡提供的所有功能,但是不需要智能卡读卡器。
(4)携带方便。uKey体积小,重量轻,精美时尚,可以随身携带。
(5)无缝集成。uKey提供符合业界广泛认可的PKCS#11和Microsoft CryptoAPI两种标准接口。任何兼容这两种接口的应用程序,都可以立即集成uKey进行使用。uKey内置大容量智能卡安全芯片,可以同时存储多个数字证书和用户私钥及其它数据。也就是说,多个PKI应用程序可以共用同一个uKey。
(6)高可靠性。uKey使用严格工艺制造,可长期安全的保存用户数据。
3.2 Windows登录原理
Windows 2000的登录方式分为两种:一种是交互式登录(Interactive Logon),另一种是远程登录[9] (Remote Logon)。交互式登录是最典型的登录方式,并且由大部分访问域的用户所使用。当用户第一次登录到某台计算机时将发生交互式登录,该过程使用登录用户的用户名和密码来确切验证用户真实身份。
Windows操作系统的身份认证机制可以用Windows登录模块体系图来说明。如图1所示,Winlogon进程是Windows 2000及以上版本提供的一个支持交互式操作的组件,用于负责管理与承担登录相关的安全工作,包括处理用户的登录与注销、启动用户SHELL、输入密码、更改密码、锁定与解锁计算机等。GINA(Graphical Identification and Authentication)是一个图形动态链接库,在Winlogon进程中运行,用于提供可定制的登录界面并对用户进行身份验证。LSA(Local Security Authority,本地安全认证)是在用户模式下运行\Winnt\ System32\Lsass.exe映像的进程,负责本地系统安全策略。
图1 Windows登录模块体系结构图
在Windows登录过程中,如果用户在Windows系统启动后按下“Ctrl+Alt+Del”组合键,则会引起硬件中断,该中断信息被系统捕获后,操作系统立即激活Winlogon进程。Winlogon 进程通过调用GINA.DLL将登录窗口(账户名和口令登录提示符)展示在用户面前。GINA.DLL在收集好用户登录信息后,就调用LSA的LsaLogonUser命令,将用户登录信息传递给LSA。实际上认证部分的功能是通过LSA来实现的,这三部分相互协作实现了Windows的登录认证功能。
缺省状态下,Windows系统提供微软公司自己实现的GINA.DLL—msgina.dll供Winlogon进程调用。用户登录前后计算机的状态有3个,分别是LOGGED_OFF(未登录)、LOGGED_ON(已登录)、LOCKED(锁定)。
3.3 msgina.dll的状态流程
msgina.dll的状态流程如图2所示,图中部分英文是调用的函数名称。
图2 msgina.dll状态流程图
(1)系统启动后,首先调用WlxNegotiate函数确认该DLL是否支持当前版本的Winlogon.exe,接着调用函数WlxInitialize进行相关函数初始化。完成初始化工作后,
Winlogon进程调用函数WlxDisplaySASNotice显示欢迎用户登录界面,该函数还会检测是否有自定义的SAS(Secure Attention Sequence,安全提示码序列)出现。如果出现则通知Winlogon进程有登录请求发出。SAS在Windows 2000下缺省为“Ctrl+Alt+Del”,用户也可以定义自己的SAS。
(2)当发现有SAS事件发生时,Winlogon进程调用WlxLoggedOutSAS函数,并向下调用WlxDialogBoxParam显示用户登录对话框,然后调用LSA进行验证,如果验证通过,Winlogon进程调用函数WlxActivateUserShell启动用户外壳程序。
(3)当系统处于登录成功且没有锁定状态(LOGGED_ ON state)时,Winlogon进程接收到SAS事件时,就调用函数WlxLoggedOnSAS。
(4)当系统处于锁定的状态(LOCKED state)时,Winlogon进程则调用函数WlxDisplayLockedNotice显示一些信息,如锁定者、锁定时间等。当其接收到SAS事件时就调用函数WlxWkstaLockedSAS,该函数的返回值将确定工作站的状态:仍然锁定、解锁或用户注销。
(5)当用户注销时,Winlogon进程调用函数WlxLogoff,通知msgina.dll用户的注销操作,msgina.dll做出相应处理。当用户需要关闭计算机时,Winlogon进程调用函数WlxShutdown,允许msgina.dll进行系统关闭前的处理。
(6)缺省状态下,Winlogon进程在注册表中查找键值HKEY_LOCAL_MACHINE \Software\ Microsoft\Windows NT\CurrentV ersion\Winlogon,如果存在GINA.DLL键,则Winlogon使用该键;如果不存在GINA.DLL键,则Winlogon就使用默认值msgina.dll。由于GINA动态链接库可以替换,因此只要通过一个自定义GINA来替换GINA.DLL,即可实现用其它认证方式代替Windows所默认的登录方式,例如:eKey、指纹识别等[10]。
3.4 安全登录实现原理
利用uKey提供的安全机制,将数字证书存储在uKey中,以实现用户登录及身份认证。由Windows系统登录原理可知,要实现基于数字证书的uKey安全登录及身份验证,需要完成两项工作:一是编写自定义GINA,二是与uKey进行交互。
1)自定义GINA—Ginamy.dll的实现
在GINA中,由Winlogon进程进行函数调用,通过自定义SAS可以实现对uKey设备的登录支持。GINA中有两个地方需要验证用户身份:一是系统启动时需要验证用户身份;二是系统锁定后解除锁定时需要验证用户身份,其对应函数分别是WlxLoggedOutSAS和WlxWkstaLocked SAS。
系统在没有用户登录之前,Winlogon进程接收到SAS事件时调用函数WlxLoggedOutSAS,因此可在该函数中对uKey的存在与否进行判断。
当插入uKey时,uKey检测窗口发现后向Winlogon进程发出登录SAS事件,调用LogonUser函数登录系统。在返回几个必要的参数后,Winlogon进程调用WlxActivateUserShell函数激活用户桌面,这样用户就可成功登录到Windows系统中进行正常操作。
在Windows使用过程中,如果用户有事需要离开现场而拔下uKey,则应用系统获得uKey断开的消息,通过调用WlxSasNotify函数发送一个自定义的SAS事件;随后Winlogon 进程就调用WlxLoggedOnSAS函数进行相应的处理,通过发送返回值:WLX_SAS_ACTION_LOCK_ WKSTA实现对Windows系统桌面的锁定。
系统锁定后,如果用户重新插入uKey时,则系统通过调用WlxSasNotify函数发出一个自定义解除锁定的SAS事件;Winlogon进程调用WlxWkstaLockedSAS函数,在验证PIN 正确后通过发送返回参数:WLX_SAS_ACTION_UNLOCK_ WKSTA即可对Windows系统桌面解锁,允许用户重新登录。
2)与uKey进行交互
如图3所示,在办公局域网中可以采用集中式的管理方案,集中配置一个身份验证服务器,客户端所有登录请求都将被发送到验证服务器进行验证。
图3 身份验证的集中式管理方案
使用uKey进行身份认证与安全登录主要包括以下步骤:
1)初始化uKey
当新用户提出登录申请时,管理员根据用户需求生成数字证书,同时将数字证书和对应的密钥对写入一个全新的uKey中,然后将此uKey发放给用户。密钥存储在uKey中特殊的文件分区里,不能向外读出,以保证其私密性,但可以使用该私钥进行加密或签名。用户获得自己的uKey后就可以登录指定的机器。
2)用户注册
当客户端第一次使用uKey进行登录时,需要向身份认证服务器进行注册。客户端读出uKey中的数字证书,同时在本地创建本地账户名(机器名+硬盘序列号)和密码,经过私钥加密后一起发送给身份验证服务器。服务器接收到后,验证证书的合法性,如果合法,就认为此用户是合法用户,然后检查身份信息数据库。如果没有此账户名,服务器则认为这台机器是第一次被登录,需要进行注册,就把此账户名和密码加入身份信息数据库,接着服务器向客户端发回确认信息,客户端收到后则认为注册成功。
3)安全登录
用户登录客户端时,首先插入uKey并将用户信息提交到身份验证服务器,服务器生成随机数发回到客户端;然后客户端利用uKey对随机数进行签名并发回服务器端;最后服务器利用对应的用户公钥进行验证,如果有效就认为是合法用户,否则拒绝登录。具体登录验证流程如图4所示。
图4 基于uKey的安全登录与身份认证流程
a.用户登录客户端,开启计算机。
b.Winlogon进程调用自定义的Ginamy.dll替换默认的msgina.dll,实现自己的身份验证过程。
c.Ginamy.dll通过调用uKey的API函数来检测uKey是否插上,如未发现uKey,则提示用户插入uKey,并拒绝登录。
d.一旦检测到uKey,则弹出自定义对话框,要求用户输入个人PIN码,这一过程是对持卡人身份的确认。
e.如果验证PIN码正确,则可启动认证过程(如图4中虚线框中的认证算法)。
f.自定义的Ginamy.dll模块将根据认证结果返回允许或禁止用户登录系统。
g.若用户有事暂时离开而拔下uKey,则计算机被锁定,直到用户重新插入合法的uKey,输入正确PIN码,经过验证成功后就可以重新登录系统。
3.5 安全性分析
安全系统自身的安全性是首先要考虑的问题,以下从四个方面对采用uKey实现身份认证的安全性进行分析:
1)用户私钥的双重保护
用户数字证书及个人密钥保存在uKey中。身份验证时,使用对称加密算法对用户私钥进行加密处理。由于私钥不通过网络传输,因此攻击者不可能从截获的数据中获得用户私钥。此外,uKey的访问密码只在客户端出现,也不通过网络传输。
2)认证过程的安全性
由于对随机数进行签名在uKey内部完成,用于签名的私钥保存在卡内固定区域,并且在签名过程中私钥不会被读出到内存,任何人都无法获得uKey私钥,因此保证了认证过程的安全性。
3)能抵抗重放攻击
由于每次身份验证时,服务器都要发送不同的随机数给客户端,因此,如果攻击者将以前截获的签名信息重放,则不可能认证成功;如果服务器发送的随机数被截获,由于攻击者不能得到用户私钥也不可能将随机数正确签名,因此也不可能认证成功。
4)能抵抗假冒攻击
由于攻击者无法获取用户私钥以及用户uKey的PIN码,因此无法向服务器端发送验证请求,从而无法通过服务器的认证。
4 小结
本文论述了身份认证技术,在研究uKey技术及Windows系统登录原理的基础上,提出了一种基于数字证书的uKey安全登录与身份认证方案,完成了自定义GINA的开发,实现了基于uKey的身份认证与系统安全登录功能。经调试运行,系统达到了对安全登录与身份认证的目标要求。
本文来自CSDN博客,转载请标明出处:https://www.360docs.net/doc/7c15941675.html,/jiadelin/archive/2010/08/12/5805868.aspx
身份认证技术
新技术讲座——身份认证技术 学号:姓名: 身份认证技术是在计算机网络中确认操作者身份的过程而产生的解决方法。计算机网络世界中一切信息包括用户的身份信息都是用一组特定的数据来表示的,计算机只能识别用户的数字身份,所有对用户的授权也是针对用户数字身份的授权。如何保证以数字身份进行操作的操作者就是这个数字身份合法拥有者,也就是说保证操作者的物理身份与数字身份相对应,身份认证技术就是为了解决这个问题,作为防护网络资产的第一道关口,身份认证有着举足轻重的作用。 密码学 密码学是研究编制密码和破译密码的技术科学。研究密码变化的客观规律,应用于编制密码以保守通信秘密的,称为编码学;应用于破译密码以获取通信情报的,称为破译学。总称密码学。 密码学是研究如何隐密地传递信息的学科。在现代特别指对信息以及其传输的数学性研究,常被认为是数学和计算机科学的分支,和信息论也密切相关。著名的密码学者Ron Rivest解释道:“密码学是关于如何在敌人存在的环境中通讯”,自工程学的角度,这相当于密码学与纯数学的异同。密码学是信息安全等相关议题,如认证、访问控制的核心。密码学的首要目的是隐藏信息的涵义,并不是隐藏信息的存在。密码学也促进了计算机科学,特别是在于电脑与网络安全所使用的技术,如访问控制与信息的机密性。密码学已被应用在日常生活:包括自动柜员机的芯片卡、电脑使用者存取密码、电子商务等等。 身份认证方法 在真实世界,对用户的身份认证基本方法可以分为这三种: (1) 根据你所知道的信息来证明你的身份; (2) 根据你所拥有的东西来证明你的身份; (3) 直接根据独一无二的身体特征来证明你的身份,如指纹面貌等。 在网络世界中手段与真实世界中一致,为了达到更高的身份认证安全性,某些场景会将上面3种挑选2中混合使用,即所谓的双因素认证。 静态密码 用户的密码是由用户自己设定的。在网络登录时输入正确的密码,计算机就认为操作者就是合法用户。实际上,由于许多用户为了防止忘记密码,经常采用诸如生日、电话号码等容易被猜测的字符串作为密码,或者把密码抄在纸上放在一个自认为安全的地方,这样很容易造成密码泄漏。如果密码是静态的数据,在验证过程中需要在计算机内存中和传输过程可能会被木马程序或网络中截获。因此,静态密码机制无论是使用还是部署都非常简单,但从安全性上讲,用户名/密码方式一种是不安全的身份认证方式。 智能卡(IC卡) 一种内臵集成电路的芯片,芯片中存有与用户身份相关的数据,智能卡由专门的厂商通过专门的设备生产,是不可复制的硬件。智能卡由合法用户随身携带,登录时必须将智能卡插入专用的读卡器读取其中的信息,以验证用户的身份。
网络身份认证技术的应用及其发展
网络身份认证技术的应用及其发展 随着全球化经济模式的出现以及科学技术的高速发展,网络技术应用越来越广泛。随着网民数量越来越多,网络越来越普及,出现网络安全问题也随之增多,怎样保证网民个人信息安全和保证网络数据的机密性、完整性等,是我们必须要重点解决的问题。而网络技术的不断发展进步,也让网络安全受到更多的关注,在安全系统中重点技术就是使用身份认证技术。本文主要分析了几种身份认证的技术和方式,目的在于让广大读者了解网络安全系统中的身份认证技术应用及其发展。 如今全球信息化的速度越来越快,全球的信息产业越来越重视信息安全,特别是现在信息网络化正是发达的时期,信息产业的发展离不开网络安全,如何在网络环境中建立起一个完善的安全系统,身份认证技术就成为了在网络安全中首先要解决的问题。 身份认证技术就是通过计算机网络来确定使用者的身份,重点是为了解决网络双方的身份信息是否真实的问题,使通讯双方在进行各种信息交流可以在一个安全的环境中。在信息安全里,身份认证技术在整个安全系统中是重点,也是信息安全系统首要“看门人”。因此,基本的安全服务就是身份认证,另外的安全服务也都需要建立在身份认证的基础上,使身份认证系统具有了十分重要的地位,但也最容易受到攻击。
一、身份认证的含义 身份认证技术简单意义上来讲就是对通讯双方进行真实身份鉴别,也是对网络信息资源安全进行保护的第一个防火墙,目的就是验证辨识网络信息使用用户的身份是否具有真实性和合法性,然后给予授权才能访问系统资源,不能通过识别用户就会阻止其访问。由此可知,身份认证在安全管理中是个重点,同时也是最基础的安全服务。 (一)身份认证技术的应用 信息安全中身份认证是最重要的一门技术,也是在网络安全里的第一道防线,可以很好的识别出访问的用户是否具有访问的权限,允许通过识别的用户进行访问操作,并进行一定的监督,防止出现不正当的操作情况,同时也是保护计算机不受病毒和黑客入侵的一个重要方法。使用者在进入网络安全系统的时候,先需要让身份认证系统识别出自己的身份,通过了身份认证系统识别以后,再依据使用者的权限、身份级别来决定可以访问哪些系统资源和可以进行哪些系统操作权限。与此同时,进入安全系统时,检测系统需要进行登记,包括记录、报警等,对用户的行为和请求进行记录,并识别出是否入侵了安全系统。 (二)基于网络的身份认证 身份认证系统在安全系统中非常重要,虽然它是最基础的安全服务,但是另外的安全服务都需要它才能完成,只要身份认证系统受到攻击入侵,就会导致系统里的安全措施都无法产生作用,而黑客入侵的首要目标一般都是先攻破身份认证系统。但是因为网络连接具有复
身份认证技术
身份认证技术百科名片 动态口令牌身份认证技术是在计算机网络中确认操作者身份的过程而产生的解决方法。计算机网络世界中一切信息包括用户的身份信息都是用一组特定的数据来表示的,计算机只能识别用户的数字身份,所有对用户的授权也是针对用户数字身份的授权。如何保证以数字身份进行操作的操作者就是这个数字身份合法拥有者,也就是说保证操作者的物理身份与数字身份相对应,身份认证技术就是为了解决这个问题,作为防护网络资产的第一道关口,身份认证有着举足轻重的作用。 身份认证方法 在真实世界,对用户的身份认证基本方法可以分为这三种:(1) 根据你所知道的信息来证明你的身份(what you know ,你知道什么) ;(2) 根据你所拥有的东西来证明你的身份(what you have ,你有什么) ;(3) 直接根据独一无二的身体特征来证明你的身份(who you are ,你是谁) ,比如指纹、面貌等。在网络世界中手段与真实世界中一致,为了达到更高的身份认证安全性,某些场景会将上面3种挑选2中混合使用,即所谓的双因素认证。 以下罗列几种常见的认证形式: 静态密码 用户的密码是由用户自己设定的。在网络登录时输入正确的密码,计算机就认为操作者就是合法用户。实际上,由于许多用户为了防止忘记密码,经常采用诸如生日、电话号码等容易被猜测的字符串作为密码,或者把密码抄在纸上放在一个自认为安全的地方,这样很容易造成密码泄漏。如果密码是静态的数据,在验证过程中需要在计算机内存中和传输过程可能会被木马程序或网络中截获。因此,静态密码机制如论是使用还是部署都非常简单,但从安全性上讲,用户名/密码方式一种是不安全的身份认证方式。它利用what you know方法。 智能卡(IC卡) 一种内置集成电路的芯片,芯片中存有与用户身份相关的数据,智能卡由专门的厂商通过专门的设备生产,是不可复制的硬件。智能卡由合法用户随身携带,登录时必须将智能卡插入专用的读卡器读取其中的信息,以验证用户的身份。智能卡认证是通过智能卡硬件不可复制来保证用户身份不会被仿冒。然而由于每次从智能卡中读取的数据是静态的,通过内存扫描或网络监听等技术还是很容易截取到用户的身份验证信息,因此还是存在安全隐患。它利用what you have方法。 短信密码 短信密码以手机短信形式请求包含6位随机数的动态密码,身份认证系统以短信形式发送随机的6位密码到客户的手机上。客户在登录或者交易认证时候输入此动态密码,从而确保系统身份认证的安全性。它利用what you have方法。具有以下优点:(1)安全性由于手机与客户绑定比较紧密,短信密码生成与使用场景是物理隔绝的,因此密码在通路上被截取几率降至最低。(2)普及性只要会接收短信即可使用,大大降低短信密码技术的使用门槛,学习成本几乎为0,所以在市场接受度上面不会存在阻力。(3)易收费由于移动互联网用户天然养成了付费的习惯,这和PC时代互联网截然不同的理念,而且收费通道非常的发达,如果是网银、第三方支付、电子商务可将短信密码作为一项增值业务,每月通过SP收费不会有阻力,因此也可增加收益。(4)易维护由于短信网关技术非常成熟,大大降低短信密码系统上马的复杂度和风险,短信密码业务后期
身份认证、接入控制解决方案
身份认证、接入控制解决方案 金盾身份认证、接入控制解决方案以身份识别,杜绝非法入侵和接入保护为 主要设计理念,金盾准入控制保护系统是金盾软件公司独创的,国际领先的 产品功能,是产品的核心功能之一,具有实施简单,主动发现、自动防御、效果显著等特点,极大提升了内网的防御能力和用户的体验效果。 方案简介 □如何防止非授权终端的接入内部局域网窃取涉密资料? □如何防止“黑户”电脑和“问题“笔记本擅自进入内部网络成为传播病毒的源头? □ 如何防止假冒身份的非法计算机带入内网肆意访问内部办公系统?
方案功能 安全状态评估 □终端补丁检测:评估客户端的补丁安装是否合格,包括:操作系统(Windows 98/me/2000/XP/2003/Vista/win7/2008 )。 □客户端版本检测:检测安全客户端的版本,防止使用不具备安全检测能力的客户端接入网络,同时支持客户端自动升级。 □终端运行状态实时检测:可以对上线用户终端的系统信息进行实时检测,发现异常客户端或被卸载时自动阻断网络,强制安装。 □终端防病毒联动:主要包含两个方面,终端用户接入网络时,检查其计算机上防病毒软件的安装运行情况以及病毒库和扫描引擎版本是否符合安全要求等,不符合安全要求可以根据策略阻止用户接入网络或将其访问限制在隔离区。 □端点用户接入网络后,定期检查防病毒软件的运行状态,如果发现不符合安全要求可以根据策略强制让用户下线或将其访问限制在隔离区。 安全接入审核 □强身份认证:非授权用户接入网络需要身份认证,在用户身份认证时,可绑定用户接入IP、MAC、接入设备IP、端口等信息,进行强身份认证,防止帐号盗用、限定帐号所使用的终端,确保接入用户的身份安全。 □网络隔离区:对于安全状态评估不合格的用户,可以限制其访问权限,被隔离到金盾网络隔离区,待危险终端到达安全级别后方可入网。 □软件安装和运行检测:检测终端软件的安装和运行状态。可以限制接入网络的用户必须安装、运行或禁止安装、运行其中某些软件。对于不符合安全策略的用户可以记录日志、提醒或隔离。 □终端授信认证:对于外来计算机由于业务需要接入内网或者访问Internet时,针对对方IP、MAC等端口做授信暂时放行。 □内网安全域:可以限制用户只能在允许的时间和网络IP段内(接入设备和端口)使用网络。
身份认证技术的发展与展望
身份认证技术的发展与展望 Internet迅猛发展带来了信息共享与安全这对矛盾共同体,加强网络安全建设、保障网络的安全运行成为网络存在的根本之道。网络身份认证技术发展到今天已经成为信息管理系统中必不可少的一部分,扮演着网络系统“看门人”的角色。 针对不同的安全威胁,目前存在多种主机安全技术和相关安全产品,如防病毒技术、个人防火墙、安全应用程序(如文件加密程序)、安全操作系统等。这些技术和产品在一定程度上满足人们的安全需求,却没有很好地解决以下两个问题: (1)系统访问,即开机时的保护问题,目前普遍采用的是基于口令的弱身份认证技术,很容易被攻破而造成泄密; (2)运行时保护,即在合法用户进入系统后因某种原因暂时离开计算机,此时任何人员均可在此系统之上进行操作,从而造成泄密。
将密码写在记事本上挂在电脑旁边,这样的事情相信很多公司的员工都曾经为之。出于安全的要求,现在公司的安全策略普遍要求员工的登陆密码要定期更换,而且不能重复,这使得想出一个自己能记住的长串密码成为一件让员工头疼的事情。为了便于记忆,员工往往会选择常用词或者号码作为密码,如果攻击者使用“字典攻击法”或者穷举尝试法来破译,很容易被穷举出来。传统的账号加密码的形式,账号基本上都是公开的,密码容易被猜中,容易忘记,也容易被盗。据统计,一个人平均下来要记15到20个密码。静态密码的隐患显而易见,尤其是在证券、银行等行业,轰动一时的“银广夏盗卖案”早就为业界敲响了警钟。 为了解决静态密码的安全问题,一种方式是同一个人员使用不同的密码进入不同的应用系统,避免所有的鸡蛋都在一个篮子里面的问题,然而需要记忆多个密码;第二种方式,采用软件VPN方式,登陆前先要使用VPN连接,这样可以面向一部分机器开放,但是第一次使用时下载VPN软件,每次访问
信息安全-身份认证技术与应用
信息安全技术及应用 ————————身份认证技术与应用 当今,信息安全越来越受到人们的重视。建立信息安全体系的目的就是要保证存储在计算机及网络系统中的数据只能够被有权操作 的人访问,所有未被授权的人无法访问到这些数据。这里说的是对“人”的权限的控制,即对操作者物理身份的权限控制。不论安全性要求多高的数据,它存在就必然要有相对应的授权人可以访问它,否则,保存一个任何人都无权访问的数据有什么意义?然而,如果没有有效的身份认证手段,这个有权访问者的身份就很容易被伪造,那么,不论投入再大的资金,建立再坚固安全防范体系都形同虚设。就好像我们建造了一座非常结实的保险库,安装了非常坚固的大门,却没有安装门锁一样。所以身份认证是整个信息安全体系的基础,是信息安全的第一道关隘。 1.身份认证技术简介 相信大家都还记得一个经典的漫画,一条狗在计算机面前一边打字,一边对另一条狗说:“在互联网上,没有人知道你是一个人还是一条狗!”这个漫画说明了在互联网上很难识别身份。 身份认证是指计算机及网络系统确认操作者身份的过程。计算机系统和计算机网络是一个虚拟的数字世界,在这个数字世界中,一切
信息包括用户的身份信息都是用一组特定的数据来表示的,计算机只能识别用户的数字身份,所有对用户的授权也是针对用户数字身份的授权。而我们生活的现实世界是一个真实的物理世界,每个人都拥有独一无二的物理身份。如何保证以数字身份进行操作的操作者就是这个数字身份合法拥有者,也就是说保证操作者的物理身份与数字身份相对应,就成为一个很重要的问题。身份认证技术的诞生就是为了解决这个问题。 如何通过技术手段保证用户的物理身份与数字身份相对应呢?在真实世界中,验证一个人的身份主要通过三种方式判定,一是根据你所知道的信息来证明你的身份(你知道什么),假设某些信息只有某个人知道,比如暗号等,通过询问这个信息就可以确认这个人的身份;二是根据你所拥有的东西来证明你的身份(你有什么) ,假设某一个东西只有某个人有,比如印章等,通过出示这个东西也可以确认这个人的身份;三是直接根据你独一无二的身体特征来证明你的身份(你是谁),比如指纹、面貌等。 所谓“没有不透风的墙”,你所知道的信息有可能被泄露或者还有其他人知道,杨子荣就是掌握了“天王盖地虎,宝塔镇河妖”的接头暗号成功的伪造了自己的身份。而仅凭借一个人拥有的物品判断也是不可靠的,这个物品有可能丢失,也有可能被人盗取,从而伪造这个人的身份。只有人的身体特征才是独一无二,不可伪造的,然而这需要我们对这个特征具有可靠的识别能力。
身份认证技术
身份认证技术 计算机系统和计算机网络是一个虚拟的数字世界,在这个数字世界中,一切信息包括用户的身份信息都是用一组特定的数据来表示的,如用户名Alice、电子邮件Alice@https://www.360docs.net/doc/7c15941675.html,或者IP地址172.16.0.10等。计算机只能识别用户的数字身份,所有对用户的授权也是针对用户数字身份的授权。如何保证以数字身份进行操作的操作者就是这个数字身份合法拥有者,也就是说保证操作者的物理身份与数字身份相对应,就成为一个很重要的问题。身份认证技术的诞生就是为了解决这个问题。 常用的身份认证方式及应用: 1.静态密码,是最简单也是最常用的身份认证方法。每个用户的密码是由这个用户自己设定的,只有他自己才知道,因此只要能够正确输入密码,计算机就认为他就是这个用户。由于密码是静态的数据,并且在验证过程中需要在计算机内存中和网络中传输,而每次验证过程使用的验证信息都是相同的,很容易被驻留在计算机内存中的木马程序或网络中的监听设备截获。因此,静态密码是一种极不安全的身份认证方式。 2.动态口令技术是一种让用户的密码按照时间或使用次数不断动态变化,每个密码只使用一次的技术,根据当前时间或使用次数生成当前密码并显示。认证服务器采用相同的算法计算当前的有效密码。由于户每次使用的密码都不相同,即使黑客截获了一次密码,也无法利用这个密码来仿冒合法用户的身份。
3.短信密码以手机短信形式请求包含6位随机数的动态密码,身份认证系统以短信形式发送随机的6位密码到客户的手机上。客户在登录或者交易认证时候输入此动态密码,从而确保系统身份认证的安全性。 4.生物识别技术是指采用每个人独一无二的生物特征来验证用户身份的技术。常见的有指纹识别、虹膜识别等。从理论上说,生物特征认证是最可靠的身份认证方式,因为它直接使用人的物理特征来表示每一个人的数字身份,不同的人具有相同生物特征的可能性可以忽略不计,因此几乎不可能被仿冒。 当今社会是一个网络信息的社会,通过对身份认证技术的学习与掌握,随着网络资源的普及与发展,身份认证技术是一种十分重要的网络安全技术,我们要深刻的认识它,防止我们的信息丢失或被窃取,以免造成重大的损失。
浅析身份认证技术
浙江财经大学东方学院学年论文论文题目:浅析身份认证技术 学生姓名戚佳佳指导教师张琼妮 分院信息专业名称计算机科学与技术班级11计算机(2)班学号 1120410211 2014 年 4 月 6 日
浅析身份认证技术 摘要:在这个信息化社会,计算机技术的发展使得信息安全问题倍受关注。为了保证信息的保密性以及信息的完整性和有效性,认证技术在日新月异的生活中引申了出来。数字签名技术在身份识别和认证、数据完整性、抗抵赖等方面具有其它技术所无法替代的作用,在这个高科技时代,出现了许多身份认证技术。身份认证技术也在不断的发展和改进。 关键词:身份认证;信息技术;物理身份认证;生物认证技术 1.身份认证技术的定义 身份认证是指计算机及网络系统确认操作者身份的过程。计算机系统和计算机网络是一个虚拟的数字世界,在这个数字世界中,一切信息包括用户的身份信息都是用一组特定的数据来表示的,计算机只能识别用户的数字身份,所有对用户的授权也是针对用户数字身份的授权。而我们生活的现实世界是一个真实的物理世界,每个人都拥有独一无二的物理身份。如何保证以数字身份进行操作的操作者就是这个数字身份合法拥有者,也就是说保证操作者的物理身份与数字身份相对应,就成为一个很重要的问题。身份认证技术的诞生就是为了解决这个问题。 身份认证技术是在计算机网络中确认操作者身份的过程而产生的解决方法。所谓“没有不透风的墙”,你所知道的信息有可能被泄露或者还有其他人知道,杨子荣就是掌握了“天王盖地虎,宝塔镇河妖”的接头暗号成功的伪造了自己的身份。而仅凭借一个人拥有的物品判断也是不可靠的,这个物品有可能丢失,也有可能被人盗取,从而伪造这个人的身份。只有人的身体特征才是独一无二,不可伪造的,然而这需要我们对这个特征具有可靠的识别能力。 认证是指核实身份的过程,是防止主动攻击的重要技术。认证不能自动地提
我国智能身份认证行业的现状透析与未来展望
我国智能身份认证行业的现状透析与未来展望 摘要:近年来,我国对智能身份认证行业日趋重视,研发投入不断增长,智能身份认证产业发展迅速。本文通过研究我国智能身份认证行业的市场发展规律与分布特点,结合我国智能身份认证行业研发经费投入情况、下游企业需求状况情况,对我国智能身份认证行业的各细分市场现状进行了深入的分析,预计我国未来几年智能身份认证行业规模仍将保持30%的高速增长。 智能身份认证系统是智能终端通过RFID、条码、二维码、生物特征识别、IC卡、磁条卡、多证件复合识别等技术对用户的体征、证件、信用卡、票据等信息进行有效读取与认证的综合系统。其核心是对二代身份证的读取识别。 作为全民信息化的重要环节,我国在从2001年开始逐步推进二代身份证换发与应用。 2001年6月,国务院做出了关于换发第二代居民身份证有关问题的批复,决定采用非接触式IC卡技术制作第二代居民身份证,使之具备机器阅读和计算机网络核查功能,并在芯片中存储一定的个人基本信息。 2004年1月1日《中华人民共和国居民身份证法》正式实施,《中华人民共和国居民身份证条例》同时废止,居民身份管理进入到一个新高度。 2004年“第二代居民身份证”项目进入到实施阶段,二代居民身份证的换发工作在全国范围内逐步展开,至2009 年底全国已制发“二代证”超过10亿张,90%以上的16周岁以上应换证人口领取了“二代证,全国二代身份证集中换发基本完成。凭借二代身份证的权威性和使用广泛性,以二代身份证认证为核心的智能身份认证系统逐渐将之前分散零散的认证方式整合成完整的智能身份认证体系。自2009年我国二代身份证换发基本完毕以后,北京旭航电子新技术有限公司各行业对智能身份认证系统的需求相继爆发,特别是公安、金融等政府有强制实名制要求的行业,需求量增长表现尤为明显,本行业在 2009-2011年迎来了一轮高速发展。
智能身份认证信息安全行业分析报告文案
智能身份认证信息安全行业分析报告
目录 一、行业管理体制 (6) 1、行业主管部门、监管体制 (6) 2、行业主要法律法规、政策及行业标准、行业认证 (7) 3、相关产业政策 (10) 4、行业准入标准的制定单位及行业准入管理模式、取得认证需具备的条件 (14) (1)行业准入管理模式 (14) (2)取得认证需具备的条件 (15) 二、市场概述 (17) 1、信息安全业畴 (17) 2、身份认证信息安全市场概述 (18) 3、USB Key 身份认证信息安全产品市场 (19) (1)市场规模 (20) (2)市场结构 (21) (3)市场分布 (22) (4)未来发展趋势 (22) 4、OTP 动态令牌信息安全产品市场 (23) (1)动态令牌产品 (23) (2)市场规模 (24) (3)未来发展趋势 (25) 5、加密锁市场 (26) (1)加密锁产品及工作原理 (26) (2)加密锁产品市场状况 (27) 6、智能卡及读写器市场 (27) (1)智能卡产品及其发展状况 (27)
(2)磁条卡、IC 卡安全要求越来越高,将推动产品的升级和换代 (28) (3)智能卡技术发展趋势 (29) (4)EMV 迁移下,智能卡的巨大市场空间和发展机会 (30) (5)智能卡读写器市场容量与发展趋势 (31) 7、行业市场竞争格局和市场化程度 (31) (1)USB Key 产品 (32) (2)OTP 动态令牌产品 (32) (3)加密锁 (32) (4)智能卡及读写器市场 (33) 8、进入本行业的主要障碍 (33) (1)技术壁垒 (33) (2)资质壁垒 (34) (3)存在市场壁垒、准入门槛较高 (34) (4)资金壁垒 (35) 三、行业未来发展趋势 (35) 1、网络安全诚信问题日益严峻,互联网及移动互联网信息安全急需加强35 2、网上银行、电子支付快速发展,将推动身份认证信息安全产品的应用36 3、身份认证信息安全产品的应用围将从银行业逐步扩展到其他各行各业37 4、产品升级换代越来越快,拥有自主知识产权的产品竞争优势明显 (38) 5、加密算法升级换代、数字证书存在有效期、OTP 动态令牌产品电池寿命 期有限,这均将推动存量市场的产品更新换代 (39) 6、行业市场集中度上升 (41) 四、行业市场供求状况、利润水平及变动原因 (41) 1、网上银行可以大幅度节约运营成本,对传统柜台业务的替代正日益提升 (41) 2、网上银行普及率还处于较低水平,还有较大的发展空间 (42)
智能身份认证信息安全行业分析报告2012
2012年智能身份认证信息安全行业分析报告 2012年6月
目录 一、行业管理体制 (6) 1、行业主管部门、监管体制 (6) 2、行业主要法律法规、政策及行业标准、行业认证 (7) 3、相关产业政策 (10) 4、行业准入标准的制定单位及行业准入管理模式、取得认证需具备的条件 (14) (1)行业准入管理模式 (14) (2)取得认证需具备的条件 (15) 二、市场概述 (17) 1、信息安全业范畴 (17) 2、身份认证信息安全市场概述 (18) 3、USB Key 身份认证信息安全产品市场 (19) (1)市场规模 (20) (2)市场结构 (21) (3)市场分布 (22) (4)未来发展趋势 (22) 4、OTP 动态令牌信息安全产品市场 (23) (1)动态令牌产品 (23) (2)市场规模 (24) (3)未来发展趋势 (25) 5、加密锁市场 (26) (1)加密锁产品及工作原理 (26) (2)加密锁产品市场状况 (27) 6、智能卡及读写器市场 (27) (1)智能卡产品及其发展状况 (27)
(2)磁条卡、IC 卡安全要求越来越高,将推动产品的升级和换代 (28) (3)智能卡技术发展趋势 (29) (4)EMV 迁移下,智能卡的巨大市场空间和发展机会 (30) (5)智能卡读写器市场容量与发展趋势 (31) 7、行业市场竞争格局和市场化程度 (31) (1)USB Key 产品 (32) (2)OTP 动态令牌产品 (32) (3)加密锁 (32) (4)智能卡及读写器市场 (33) 8、进入本行业的主要障碍 (33) (1)技术壁垒 (33) (2)资质壁垒 (34) (3)存在市场壁垒、准入门槛较高 (34) (4)资金壁垒 (35) 三、行业未来发展趋势 (35) 1、网络安全诚信问题日益严峻,互联网及移动互联网信息安全急需加强. 35 2、网上银行、电子支付快速发展,将推动身份认证信息安全产品的应用. 36 3、身份认证信息安全产品的应用范围将从银行业逐步扩展到其他各行各业 (37) 4、产品升级换代越来越快,拥有自主知识产权的产品竞争优势明显 (38) 5、加密算法升级换代、数字证书存在有效期、OTP 动态令牌产品电池寿命 期有限,这均将推动存量市场的产品更新换代 (39) 6、行业市场集中度上升 (41) 四、行业市场供求状况、利润水平及变动原因 (41) 1、网上银行可以大幅度节约运营成本,对传统柜台业务的替代正日益提升 (41)
XX身份认证系统技术方案
身份认证系统技术方案
目录
1. 概述 前言 随着网络技术的高速发展,个人和企业将越来越多地把业务活动放到网络上,因此网络的安全问题就更加关键和重要。据统计,在全球范围内,由于信息系统的脆弱性而导致的经济损失,每年达数十亿美元,并且呈逐年上升的趋势。 利用数字证书、PKI、对称加密算法、数字签名、数字信封等加密技术,可以建立起安全程度极高的身份认证系统,确保网上信息有效、安全地进行,从而使信息除发送方和接收方外,不被其他方知悉(保密性);保证传输过程中不被篡改(完整性和一致性);发送方确信接收方不是假冒的(身份的真实性和不可伪装性);发送方不能否认自己的发送行为(不可抵赖性)。 本方案根据*****的业务流程、管理模式的实施方案,充分运用现代网络信息技术及CA认证体系,建立*****身份认证系统,并可作为公务网CA的配套系统。 身份认证系统用户认证需求描述 在*****业务发展过程中,为了更好的实现数据资源共享,充分发挥信息化对***系统发展的促进作用,将综合开发一套身份认证系统对目前的用户身份进行管理,为社会、相关职能部门以及各级机构提供服务。 在此系统的开发应用过程中,一个重要的任务是解决如何对应用系统用户进行身份认证从而确保数据的安全。下面将针对在此系统的开发应用中对用户身份认证所做的需求加以说明。 整个系统的逻辑结构如图1所示: 图1:系统逻辑结构示意图 如图1示,整个系统涉及了应用服务器、证书服务器以及相应的客户端。
系统运作流程简述如下: 客户端访问应用服务器,应用服务器向认证服务器发出认证请求; 认证服务器完成对用户身份的认证并将与该用户相对应的认证信息 返回相应的应用服务器; 用户在通过认证之后获得在应用服务器获得相应的授权,从而可以 对应用系统进行相应的访问。 所提交的认证系统在满足上述流程之外需要提供应用开发接口,满足与应用服务器之间的交互。这是将认证系统集成到整个身份认证系统的基础条件,使得后续的开发工作能够利用认证信息做进一步的数据处理。考虑到平台的兼容性,应用系统开发方可以开发一个统一的接口程序与认证系统进行交互。另外还有如下几点要求需注意: 认证服务器的用户信息需要依据数据库服务器中的用户信息为基 础; 对于客户端的身份认证最好采用硬件方式; 客户端通过广域网连接到认证服务器,要求认证服务器是能够面向 广域网用户的; 客户端数量可以按250用户计算; 提供认证系统的安全模式说明,详细介绍如何确保系统的安全; 系统对认证系统的操作系统平台无特殊要求。 身份认证系统认证解决之道 根据身份认证系统的设计原则,系统安全需要解决如下几个方面的问题:数据的保密性。包括数据静态存储的保密性和数据传输过程中的保 密性; 有效的身份认证和权限控制。系统中的各个授权人员具有其特定级 别的权限,可以进行该权限的操作,无法越权操作;操作者事后无 法否认其进行的操作;未授权人员无法进入系统。 我们建议利用业界行之有效的高强度的加解密技术和身份认证技术保证身
身份认证技术与实现
身份认证技术与实现 为了确保通信机制的完整性和安全性,身份认证是首先要要完成的一项工作。身份认证机制可以的识别网络中各实体的真实身份,防止出现身份欺诈,保证参与通信的实体之间身份的真实性。下面就从身份认证的概念、意义及目前实现各种身份认证的技术这么三个大的方向来谈谈我对身份认证的认识。 一.身份认证的概念 身份认证就是系统审查用户身份的过程,从而来确定该用户是否有对某项资源的访问和使用权限。身份认证通过标识和鉴别用户的身份,提供一种判别确和认用户身份的机制。它是需要依赖于其他的技术,确认系统访问者的身份和权限,使计算机和网络的访问能够可靠、有效地执行,防止攻击者假冒合法用户获得资源的访问权限,从而保证了系统与数据的安全,以及授权访问者的合法利益。 计算机网络中的身份认证是通过将一个证据与实体身份绑定来实现的。实体包括用户、主机也可以是进程。证据与身份之间是一一对应的关系,双方通信过程中,一方实体想另一方实体提供这个证据来证明自己的身份,另一方通过相关机制来验证证据,确保实体与证据是否一致。 在验证的过程当中,我们常常有三种方式: (1)所知道的。根据用户所知道的某项信息来验证用户身份的真实性。 (2)所拥有的。根据用户所拥有的东西来验证用户身份的真实性。 (3)本身的特征。根据用户本身独一无二的特征来验证用户身份的真实性。 其中本身的特征是最具有安全保证的一种验证方式。其他的两种都是可以被伪造的,存在一定的不真实性和危险性。 二.实现身份认证的技术 就目前而言的身份认证技术,大体上可以分为两大类:生物身份认证技术和非生物身份技术。这两大类的认证技术相比较原来传统的认证技术而言具有很大的优势,它采用的我上述的第三种认证方式,它唯一而转悠的个人特点使得认证过程更具有安全保证和可靠性。下面我先来谈谈生物认证技术。 ①生物认证技术 生物认证技术的概念:通过计算机利用人体固有的胜利特征或行为特征来鉴别个人身份。利用了生物特征认证来替代密码认证。常用到的技术:指纹身份认证技术、视网膜身份认证技术、语音身份认证技术。 指纹身份认证技术:利用了人的指纹和掌纹作为合同签名的一种形式。现在广泛普及的指纹鉴定机构和指纹数据库更是扩大了指纹比对鉴定的运用。 指纹识别过程的实现:指纹注册过程和指纹比对过程。 这个图像是简易的描述了指纹身份认证的一般过程,上面两个大的方向走向,分别是事先采集指纹存档。后者是采集指纹与数据库信息比对,进行身份认证。
统一身份认证系统建设方案
统一身份认证系统建设方案 发布日期:2008-04-01 1.1 研发背景 随着信息技术的不断发展,企业已逐渐建立起多应用、多服务的IT 架构,在信息化建设中起到十分重要的作用。但是各信息系统面向不同管理方向,各有其对应的用户群体、技术架构、权限体系,限制了系统之间的信息共享和信息交换,形成的信息孤岛。同时,每一个信息系统的用户拥有不同的角色(职能),需要操作不同的系统,难以对其需要和拥有的信息和操作进行综合处理,限制信息系统效率的发挥。在这种背景下企业准备实施内网信息门户系统。其中统一身份管理系统是内网信息门户系统的一个重要组成部分。 统一身份管理将分散的用户和权限资源进行统一、集中的管理,统一身份管理的建设将帮助实现内网信息门户用户身份的统一认证和单点登录,改变原有各业务系统中的分散式身份认证及授权管理,实现对用户的集中认证和授权管理,简化用户访问内部各系统的过程,使得用户只需要通过一次身份认证过程就可以访问具有相应权限的所有资源。 1.2 组成架构 汇信科技与SUN公司建立了紧密合作关系,汇信科技推出的统一身份认证解决方案基于SUN公司的Sun Java System Identity Manager和Sun Java System Access Manager以及Sun Java System Directory Server实现。主要包括受控层、统一访问控制系统(统一认证服务器)、统一身份管理系统(统一身份管理服务器)、目录服务器。 受控层位于各应用服务器前端,负责策略的判定和执行,提供AGENT和API两种部署方式。 统一认证服务器安装统一身份认证系统(AM),主要提供身份认证服务和访问控制服务。 统一认证服务器安装统一身份管理系统(IM),主要实现身份配给、流程自动化、委任管理、密码同步和密码重置的自助服务。 目录服务器部署Sun Java System Directory Server,是整个系统的身份信息数据中心。 1.1 功能描述 1.1.1 实现“一次鉴权”(SSO) “一次鉴权(认证和授权)”是指建立统一的资源访问控制体系。用户采用不同的访问手段(如Intranet、PSTN、GPRS等)通过门户系统
数字证书与令牌身份认证的比较研究
课程论文 () 数字证书与令牌身份认证的比较研究 院系:软件学院 专业:软件工程 姓名: 完成日期:2012年12月18日
目录 一、引言 (2) 二、简介及认证原理 (3) (一)数据证书认证方式简介 (3) (二)令牌认证方式简介 (3) 三、比较分析 (4) (一)适用范围方面 (4) (二)可靠性方面 (5) (三)易用性方面 (5) (四)标准化程度 (5) (五)管理和维护难度 (6) 四、总结 (6) 参考文献 (6) 一、引言 随着计算机技术、网络技术以及信息技术的发展,各种应用系统也随之快速发展,从小到个人计算机系统,大到银行、证券、保险、电力、石油、医疗、税务、公安等大型的应用系统。为了保护应用系统的所有者和用户的合法权益,这些应用系统一般都提供了身份认证功能,以确保只有合法的用户才能够访问应用系统,应用系统中的用户信息不会被泄露。 在应用系统的早期阶段中,普遍采用静态密码作为身份认证技术,由于当时技术环境和应用环境的简单化,使用静态密码作为身份认证技术已经完全能够保护应用系统的安全。但是随着技术环境和应用环境的改变,特别是熟悉相关技术的人越来越多,各种攻击技术、破解技术以及攻击工具和破解工具通过互联网广泛传播的情况下,静态密码的安全性和弱点就显露出来。此时非常需要有新的身份认证技术来提高系统的身份认证安全。 目前常见的身份认证有:数字证书认证、令牌认证、短信认证、生物特征认证,本文将重点研究比较数字证书认证和令牌认证,从原理、认证机制、优缺点等方面进行介绍。
二、简介及认证原理 (一)数据证书认证方式简介 PKI是Public Key Infrastructure的缩写,就是基于公钥理论和技术为网络提供安全服务的基础设施。公钥体制是目前应用最广泛的一种加密体制,在这一体制中,加密密钥与解密密钥各不相同。公钥加密、私钥解密可以实现对数据的加密保护,私钥签名、公钥验证可以实现对数据的数字签名。这种方式既保证了信息的机密性,又能保证信息具有不可抵赖性。目前,公钥体制广泛地用于CA认证、数字签名和密钥交换等领域。 CA(Certification Authority,认证中心)是确保信任度的权威实体,它的主要职责是颁发数字证书、验证用户身份的真实性。 其工作的基本原理见图(一),常见的表现形式有Ukey、文件等。 图(一) (二)令牌认证方式简介 令牌认证通常采用动态口令技术。所谓动态口令技术是对传统的静态口令技术的改进,用户要拥有一些东西如系统颁发的Token,Token上的数字是不断变化的,而且与认证服务器是同步的,因此用户登录到系统的口令也是不断地变化的(即所谓的“一次一密”)。 动态口令技术有两种同步方案:时间同步、事件同步。 1.时间同步 是指Token采用时间作为动态口令的一个种子,服务器端通过采用时间作为一个种子验
身份认证的发展--网络信息安全
滨江学院 网络信息安全课程论文题目身份认证的发展 院系计算机系 年级班级 学生姓名 学号 学期 任课教师 二O一四年十二月一日
身份认证的发展 摘要 随着全球化经济模式的出现以及科学技术的高速发展,网络技术应用越来越广泛,网络普及范围也随着发展。身份认证是保障网络安全的关键,目前主要的身份认证技术包括:基于口令的认证技术、基于智能卡的技术、基于密码的技术及基于生物特征的技术。同时身份认证技术是信息安全的核心技术之一,其任务是识别、验证网络信息系统中用户身份的合法性和真实性。对认证技术作了简要介绍,并对新兴技术:基于量子的认证技术、基于身份的认证技术、思维认证、行为认证、自动认证作了详细的阐述。 1 引言 信息安全的发展大致分为三个阶段:数据安全、网络安全、交易安全。数据安全依赖的基本技术是密码技术,网络安全依赖的基本技术是防护技术,交易安全是网络交易时代的最基本的安全,要求是可信性,为交易提供可信计算环境、可信网络连接、交易可信性证明,交易安全的基本技术是认证技术,它以可信性为主实施自愿型安全策略。身份认证技术是信息安全的核心技术之一。在网络世界中,要保证交易通信的可信和可靠,必须得正确识别通信双方的身份,于是身份认证技术的发展程度直接决定了信息技术产业的发展程度。 身份认证技术是能够对信息的收发方进行真实身份鉴别的技术,是保护信息安全的第一道大门,他的任务是识别、验证网络信息系统中用户身份的合法性和真实性和抗抵赖性。 2 身份认证技术 2.1身份认证的概括 身份认证技术是证实被证对象是否属实或是否有效的一个过程,其基本思想是通过验证被认证对象的属性来达到被认证对象是否真实有效的目的。主要通过
身份认证技术分析
JIANGSU UNIVERSITY 信息安全 身份认证技术分析 姓名: 学院: 专业班级: 学号: 二〇一一年十二月
摘要:本文总结并分析了身份认证的理论和应用,列举了一些对身份认证的攻击方法,并根据课堂学习和课后阅读,自己设计了一个利用数字签名实现的简单的身份认证方案。认证技术是信息安全中的一个重要内容,在“网络与信息安全”课程中我们学习了两种认证技术:消息认证与身份认证,消息认证用于保证信息的完整性与抗否认性,身份认证则用于鉴别用户身份。在网上商务日益火爆的今天,从某种意义上说,认证技术可能比信息加密本身更加重要。因为,很多情况下用户并不要求购物信息保密,只要确认网上商店不是假冒的(这就需要身份认证),自己与网上商店交换的信息未被第三方修改或伪造,并且网上商家不能赖帐(这就需要消息认证),商家也是如此。由于认证技术是一项包含很广泛的技术,集中于某一方面可能更有针对性,所以,在这篇论文中我没有涉及消息认证技术。运用课堂学到的理论、课后阅读获得的知识根据自己的分析,我对身份认证技术作了总结分类,并针对每一种认证技术分析了优点和漏洞,然后剖析了一些应用,最后提出了自己想到的一个简单的利用数字签名实现的身份认证方案。本文综合评价了某些认证机制和方案的优劣,并分析了身份认证的理论和应用,列举了一些对身份认证的各种实现方法、技术现状及发展趋势,同时设计了一个利用数字签名实现的简单的身份认证方案。 关键词:身份认证技术分析比较运用信息安全加密 身份认证系统的组成:出示证件的人,称作示证者P(Prover),又称声称者(Claimant)。验证者V(Verifier),检验声称者提出的证件的正确性和合法性,决定是否满足要求。第三方是可信赖者TP(Trusted third party),参与调解纠纷。在许多应用场合下没有第三方。 身份认证的物理基础:标识与认证是计算机网络系统中进行身份认证(主体识别)的基础,可识别用户身份、设备真伪。标识与认证是身份认证的两个部分。标识——用来表明用户的身份,确保用户在系统中的唯一性,可辨认性。以用户名+标识符ID来标明公开的明码信息 认证——对用户身份的真实性进行鉴别。认证信息不公开,难以仿造。认证信息有口令(密码);指纹;视网膜;智能IC卡等,声波等。 身份认证方式:单向认证(One-way Authentication)双向认证(Two-way Authentication)信任的第三方认证(Trusted Third-party Authentication)。随着网络时代的到来,人们可以通过网络得到各种各样的信息。但由于网络的开放性,它正面临着如计算机病毒、人为的恶意攻击、网络软件的漏洞和“后门”、非授权访问等安全威胁。因此,网络安全越来越受到重视。作为网络安全的第一道防线,亦即是最重要的一道防线,身份认证技术受到普遍关注。 一、基于秘密信息的身份认证方法口令核对 口令核对是系统为每一个合法用户建立一个用户名/口令对,当用户登录系统或使用某项功能时,提示用户输入自己的用户名和口令,系统通过核对用户输入的用户名、口令与系统内已有的合法用户的用户名/口令对(这些用户名/口令对在系统内是加密存储的)是否匹配,如与某一项用户名/口令对匹配,则该用户的身份得到了认证。 缺点:其安全性仅仅基于用户口令的保密性,而用户口令一般较短且是静态数据,容易猜测,且易被攻击,采用窥探、字典攻击、穷举尝试、网络数据流窃听、重放攻击等很容易攻破该认证系统。 2、单向认证
统一身份认证设计方案(最终版)
统一身份认证设计方案 日期:2016年2月
目录 1.1 系统总体设计 (5) 1.1.1 总体设计思想5 1.1.2 平台总体介绍6 1.1.3 平台总体逻辑结构7 1.1.4 平台总体部署8 1.2 平台功能说明 (8) 1.3 集中用户管理 (9) 1.3.1 管理服务对象10 1.3.2 用户身份信息设计11 1.3. 2.1 用户类型11 1.3. 2.2 身份信息模型11 1.3. 2.3 身份信息的存储12 1.3.3 用户生命周期管理12 1.3.4 用户身份信息的维护13 1.4 集中证书管理 (14) 1.4.1 集中证书管理功能特点14 1.5 集中授权管理 (16) 1.5.1 集中授权应用背景16 1.5.2 集中授权管理对象17 1.5.3 集中授权的工作原理18 1.5.4 集中授权模式19 1.5.5 细粒度授权19 1.5.6 角色的继承20 1.6 集中认证管理 (21) 1.6.1 集中认证管理特点22 1.6.2 身份认证方式22 1.6. 2.1 用户名/口令认证23 1.6. 2.2 数字证书认证23 1.6. 2.3 Windows域认证24 1.6. 2.4 通行码认证24 1.6. 2.5 认证方式与安全等级24 1.6.3 身份认证相关协议25 1.6.3.1 SSL协议25 1.6.3.2 Windows 域25 1.6.3.3 SAML协议26 1.6.4 集中认证系统主要功能28 1.6.5 单点登录29
1.6.5.1 单点登录技术29 1.6.5.2 单点登录实现流程31 1.7 集中审计管理 (35)