数字证书与令牌身份认证的比较研究

课程论文

()

数字证书与令牌身份认证的比较研究

院系：软件学院

专业：软件工程

姓名：

完成日期：2012年12月18日

目录

一、引言 (2)

二、简介及认证原理 (3)

（一）数据证书认证方式简介 (3)

（二）令牌认证方式简介 (3)

三、比较分析 (4)

（一）适用范围方面 (4)

（二）可靠性方面 (5)

（三）易用性方面 (5)

（四）标准化程度 (5)

（五）管理和维护难度 (6)

四、总结 (6)

参考文献 (6)

一、引言

随着计算机技术、网络技术以及信息技术的发展，各种应用系统也随之快速发展，从小到个人计算机系统，大到银行、证券、保险、电力、石油、医疗、税务、公安等大型的应用系统。为了保护应用系统的所有者和用户的合法权益，这些应用系统一般都提供了身份认证功能，以确保只有合法的用户才能够访问应用系统，应用系统中的用户信息不会被泄露。

在应用系统的早期阶段中，普遍采用静态密码作为身份认证技术，由于当时技术环境和应用环境的简单化，使用静态密码作为身份认证技术已经完全能够保护应用系统的安全。但是随着技术环境和应用环境的改变，特别是熟悉相关技术的人越来越多，各种攻击技术、破解技术以及攻击工具和破解工具通过互联网广泛传播的情况下，静态密码的安全性和弱点就显露出来。此时非常需要有新的身份认证技术来提高系统的身份认证安全。

目前常见的身份认证有：数字证书认证、令牌认证、短信认证、生物特征认证，本文将重点研究比较数字证书认证和令牌认证，从原理、认证机制、优缺点等方面进行介绍。

二、简介及认证原理

（一）数据证书认证方式简介

PKI是Public Key Infrastructure的缩写，就是基于公钥理论和技术为网络提供安全服务的基础设施。公钥体制是目前应用最广泛的一种加密体制，在这一体制中，加密密钥与解密密钥各不相同。公钥加密、私钥解密可以实现对数据的加密保护，私钥签名、公钥验证可以实现对数据的数字签名。这种方式既保证了信息的机密性，又能保证信息具有不可抵赖性。目前，公钥体制广泛地用于CA认证、数字签名和密钥交换等领域。

CA（Certification Authority，认证中心）是确保信任度的权威实体，它的主要职责是颁发数字证书、验证用户身份的真实性。

其工作的基本原理见图（一），常见的表现形式有Ukey、文件等。

图（一）

（二）令牌认证方式简介

令牌认证通常采用动态口令技术。所谓动态口令技术是对传统的静态口令技术的改进，用户要拥有一些东西如系统颁发的Token，Token上的数字是不断变化的，而且与认证服务器是同步的，因此用户登录到系统的口令也是不断地变化的（即所谓的“一次一密”）。

动态口令技术有两种同步方案：时间同步、事件同步。

1.时间同步

是指Token采用时间作为动态口令的一个种子，服务器端通过采用时间作为一个种子验

证Token产生的口令。

2.事件同步

是指Token每次产生动态口令时以当前的计数作为一个种子，每次产生完成动态口令后，该计数会自动递增。服务器端同样采用次数作为验证时的种子。

目前常用的令牌认证有：手机令牌、短信令牌、硬件设备令牌等。以硬件令牌为例，其工作原理见图（二）。每个令牌中有一个随机生成的种子，这个种子的位数至少20位，可保证每个令牌的种子不重复，然后通过一般的摘要算法，例如SM3、OATH的HMAc算法做加密，取得加密后的部分数据变换成随机密码。令牌与外界没有任何的数据通讯，服务端也保存有令牌中相同的种子，同样采用与令牌中相同的加密算法，得出相同的加密数据，再取得相同的随机密码进行校验。令牌的随机密码必须和客户的账号等绑定，才能给出密码是否匹配。服务端做认证时，同一个密码只允许校验一次。加密算法中还与时间相关，一般为60秒，不同的时间产生的密码是不一样的。

图（二）

三、比较分析

（一）适用范围方面

1.数字证书

用户、系统之间认证，支持双方认证，用户、系统都能够验证对方的身份；用户、用户之间认证，基于可信的数字证书，用户可以认证相互之间的身份；系统、系统之间认证，网络应用系统之间可以采用数字证书进行系统之间的认证；支持数据保密，可以采用数字证书对传输数据进行加密保护；支持基于数字证书的交易签名，符合电子签名法要求，可作为有

效法律证据。

2.令牌认证

系统对用户进行认证；适用于主机、设备、网站等认证登录用户的身份。

（二）可靠性方面

1.数字证书

认证包括两个过程，证书发放和证书登录，证书发放过程通过CA系统完成，证书登录过程主要通过业务系统完成。在CA系统瘫痪时，业务系统仍然可以继续采用数字证书进行登录。此时最大的问题是无法为新的用户签发证书，不能及时吊销现有的证书。相对于业务系统不能登录而言，这些问题并不算太严重

2.令牌认证

令牌认证过程包括两个部分：客户端产生动态口令和后台验证该动态口令。后台对动态口令验证是通过独立的系统完成的，该系统服务暂停时，将导致整个业务系统不能登录。

（三）易用性方面

1.数字证书

首次使用存在一定难度，习惯后难度降低。主要包括设备驱动软件安装，接受新的登录方式等。在硬件证书丢失后，可以签发临时的软件证书应急使用。

2.令牌认证

简单易用，登录失败率低。令牌遗失后，需要获取新的令牌，没有灵活的临时方案。

（四）标准化程度

1.数字证书

技术成熟，国家标准、国际标准、行业标准完备，软硬件技术一致性很高，具有很高的兼容性，大部分软、硬件可以通用。

2.令牌认证

所采用的技术成熟，具有行业标准，对动态口令产生算法提供指导。各厂家的软、硬件技术差异较大，部分厂家技术保密，各厂家之间软硬件集成难度较大，应用中一般采用特定某一厂家的产品。