信息安全身份认证技术与应用.docx

信息安全身份认证技术与应用.docx

《信息安全身份认证技术与应用.docx》由会员分享，可在线阅读，更多相关《信息安全身份认证技术与应用.docx（13页珍藏版）》请在冰豆网上搜索。

信息安全身份认证技术与应用

信息安全技术及应用

身份认证技术与应用

当今，信息安全越来越受到人们的重视。

建立信息安全体系的目的就是要保证存储在计算机及网络系统中的数据只能够被有权操作的人访问，所有未被授权的人无法访问到这些数据。

这里说的是对

“人”的权限的控制，即对操作者物理身份的权限控制。

不论安全性要求多高的数据，它存在就必然要有相对应的授权人可以访问它，否则，保存一个任何人都无权访问的数据有什么意义？

然而，如果没有有效的身份认证手段，这个有权访问者的身份就很容易被伪造，那么,不论投入再大的资金，建立再坚固安全防范体系都形同虚设。

就好像我们建造了一座非常结实的保险库，安装了非常坚固的大门，却没有安装门锁一样。

所以身份认证是整个信息安全体系的基础，是信息安全的第一道关隘。

1.身份认证技术简介

相信大家都还记得一个经典的漫画，一条狗在计算机面前一边打字，一边对另一条狗说：

“在互联网上，没有人知道你是一个人还是一条狗！

”这个漫画说明了在互联网上很难识别身份。

身份认证是指计算机及网络系统确认操作者身份的过程。

计算机

系统和计算机网络是一个虚拟的数字世界，在这个数字世界中，一切

信息包括用户的身份信息都是用一组特定的数据来表示的，计算机只能识别用户的数字身份，所有对用户的授权也是针对用户数字身份的授权。

而我们生活的现实世界是一个真实的物理世界，每个人都拥有

独一无二的物理身份。

如何保证以数字身份进行操作的操作者就是这个数字身份合法拥有者，也就是说保证操作者的物理身份与数字身份相对应，就成为一个很重要的问题。

身份认证技术的诞生就是为了解决这个问题。

如何通过技术手段保证用户的物理身份与数字身份相对应呢？

在真实世界中，验证一个人的身份主要通过三种方式判定，一是根据你所知道的信息来证明你的身份（你知道什么），假设某些信息只有某个人知道，比如暗号等，通过询问这个信息就可以确认这个人的身份；二是根据你所拥有的东西来证明你的身份（你有什么），假设某一个东西只有某个人有，比如印章等，通过出示这个东西也可以确认这个人的身份；三是直接根据你独一无二的身体特征来证明你的身份（你是谁），比如指纹、面貌等。

所谓“没有不透风的墙”，你所知道的信息有可能被泄露或者还有其他人知道，杨子荣就是掌握了“天王盖地虎，宝塔镇河妖”的接头暗号成功的伪造了自己的身份。

而仅凭借一个人拥有的物品判断也是不可靠的，这个物品有可能丢失，也有可能被人盗取，从而伪造这个人的身份。

只有人的身体特征才是独一无二，不可伪造的，然而这需要我们对这个特征具有可靠的识别能力。

2.常用身份认证技术

信息系统中，对用户的身份认证手段也大体可以分为这三种，仅通过一个条件的符合来证明一个人的身份称之为单因子认证，由于仅

使用一种条件判断用户的身份容易被仿冒，可以通过组合两种不同条件来证明一个人的身份，称之为双因子认证。

身份认证技术从是否使用硬件可以分为软件认证和硬件认证，从

认证需要验证的条件来看，可以分为单因子认证和双因子认证。

从认证信息来看，可以分为静态认证和动态认证。

身份认证技术的发展，经历了从软件认证到硬件认证，从单因子认证到双因子认证，从静态认证到动态认证的过程。

现在计算机及网络系统中常用的身份认证方式主要有以下几种：

1、用户名/密码方式

用户名/密码是最简单也是最常用的身份认证方法，它是基于“你知道什么”的验证手段。

每个用户的密码是由这个用户自己设定

的，只有他自己才知道，因此只要能够正确输入密码，计算机就认为他就是这个用户。

然而实际上，由于许多用户为了防止忘记密码，经常采用诸如自己或家人的生日、电话号码等容易被他人猜测到的有意义的字符串作为密码，或者把密码抄在一个自己认为安全的地方，这都存在着许多安全隐患，极易造成密码泄露。

即使能保证用户密码不被泄漏，由于密码是静态的数据，并且在验证过程中需要在计算机内

存中和网络中传输，而每次验证过程使用的验证信息都是相同的，很容易被驻留在计算机内存中的木马程序或网络中的监听设备截获。

因

此用户名/密码方式是一种极不安全的身份认证方式。

可以说基本上没有任何安全性可言。

2、IC卡认证

IC卡是一种内置集成电路的卡片，卡片中存有与用户身份相关的数据，IC卡由专门的厂商通过专门的设备生产，可以认为是不可复制的硬件。

IC卡由合法用户随身携带，登录时必须将IC卡插入专用的读卡器读取其中的信息，以验证用户的身份。

IC卡认证是基于“你有什么”的手段，通过IC卡硬件不可复制来保证用户身份不会被仿冒。

然而由于每次从IC卡中读取的数据还是静态的，通过内存扫描或网络监听等技术还是很容易截取到用户的身份验证信息。

因此，静态验证的方式还是存在根本的安全隐患。

3、动态口令

动态口令技术是一种让用户的密码按照时间或使用次数不断动态变化，每个密码只使用一次的技术。

它采用一种称之为动态令牌的专用硬件，内置电源、密码生成芯片和显示屏，密码生成芯片运行专门的密码算法，根据当前时间或使用次数生成当前密码并显示在显示屏上。

认证服务器采用相同的算法计算当前的有效密码。

用户使用时

只需要将动态令牌上显示的当前密码输入客户端计算机，即可实现身

份的确认。

由于每次使用的密码必须由动态令牌来产生，只有合法用户才持有该硬件，所以只要密码验证通过就可以认为该用户的身份是可靠的。

而用户每次使用的密码都不相同，即使黑客截获了一次密码,也无法利用这个密码来仿冒合法用户的身份。

动态口令技术采用一次一密的方法，有效地保证了用户身份的安全性。

但是如果客户端硬件与服务器端程序的时间或次数不能保持良好的同步，就可能发生合法用户无法登陆的问题。

并且用户每次登录时还需要通过键盘输入一长串无规律的密码，一旦看错或输错就要重新来过，用户的使用非常不方便。

4、生物特征认证

生物特征认证是指采用每个人独一无二的生物特征来验证用户身份的技术。

常见的有指纹识别、虹膜识别等。

从理论上说，生物特征认证是最可靠的身份认证方式，因为它直接使用人的物理特征来表示每一个人的数字身份，不同的人具有相同生物特征的可能性可以忽略不计，因此几乎不可能被仿冒。

生物特征认证基于生物特征识别技术，受到现在的生物特征识别技术成熟度的影响，采用生物特征认证还具有较大的局限性。

首先，生物特征识别的准确性和稳定性还有待提高，特别是如果用户身体受到伤病或污渍的影响，往往导致无法正常识别，造成合法用户无法登陆的情况。

其次，由于研发投入较大和产量较小的原因，生物特征认证系统的成本非常高，目前只适合于一些安全性要求非常高的场合如银行、部队等使用，还无法做到大面积推广。

5、USBKeyU证

基于USBKey的身份认证方式是近几年发展起来的一种方便、安全、经济的身份认证技术，它采用软硬件相结合一次一密的强双因子认证模式，很好地解决了安全性与易用性之间的矛盾。

USBKey是一

种US睢口的硬件设备，它内置单片机或智能卡芯片，可以存储用户的密钥或数字证书，利用USBKey内置的密码学算法实现对用户身份的认证。

基于USBKey身份认证系统主要有两种应用模式：

一是基于冲击/相应的认证方式，二是基于PKI体系的认证方式。

（1）基于冲击/响应的双因子认证方式

当需要在网络上验证用户身份时，先由客户端向服务器发出一个验证请求。

服务器接到此请求后生成一个随机数并通过网络传输给客户端（此为冲击）。

客户端将收到的随机数通过USBK□提供给ePass,由ePass使用该随机数与存储在ePass中的密钥进行MD5-HMAC算并得到一个结果作为认证证据传给服务器（此为响应）。

与此同时，服务器也使用该随机数与存储在服务器数据库中的该客户密钥进行MD5-HMAC算，如果服务器的运算结果与客户端传回的响应结果相同，则认为客户端是一个合法用户。

密钥运算分别在ePass硬件和服务器中运行，不出现在客户端内存中，也不在网络上传输，由于MD5-HMAC法是一个不可逆的算法，就是说知道密钥和运算用随机数就可以得到运算结果，而知道随机数和运算结果却无法计算出密钥，从而保护了密钥的安全，也就保护了用户身份的安全。

（2）基于PKI体系的认证方式

随着PKI技术日趋成熟，许多应用中开始使用数字证书进行身份认证与数字加密。

数字证书是由权威公正的第三方机构即CA中心签

发的，以数字证书为核心的加密技术，可以对网络上传输的信息进行加密和解密、数字签名和签名验证，确保网上传递信息的机密性、完整性，以及交易实体身份的真实性，签名信息的不可否认性，从而保障网络应用的安全性（详见本站文章：

PKI体系介绍）。

USBKey作为数字证书的存储介质，可以保证数字证书不被复制，并可以实现所有数字证书的功能。

3。

802.1X认证协议及应用

16.3.1概述

802.1x协议起源于802.11协议，后者是标准的无线局域网协议，

802.1x协议的主要目的是为了解决无线局域网用户的接入认证问题。

现在已经开始被应用于一般的有线LAN的接入。

为了对端口加以控制，以实现用户级的接入控制。

802.1x就是IEEE为了解决基于端口的接入控制（Port-BasedAccessControl而定义的一个标准。

1、802.1X首先是一个认证协议，是一种对用户进行认证的方法和策略。

2、802.1X是基于端口的认证策略（这里的端口可以是一个实实在在的物理端口也可以是一个就像VLAN一样的逻辑端口，对于无线局

域网来说端口”就是一条信道）。

3、802.1X的认证的最终目的就是确定一个端口是否可用。

对于一个

端口，如果认证成功那么就打开”这个端口，允许所有的报文通过；

如果认证不成功就使这个端口保持关闭”，此时只允许802.1X的认

证报文EAPOL（ExtensibleAuthenticationProtocoloverLAN）通过。

16.3.2802.1X认证体系结构

802.1X认证体系分为三部分结构：

1、SupplicantSystem,客户端（PC/网络设备）

2、AuthenticatorSystem）,认证系统

3、AuthenticationServerSystems认证服务器

16.3.3认证过程

1、认证通过前，通道的状态为unauthorized此时只能通过EAPOL的802.1X认证报文；

2、认证通过时，通道的状态切换为authorized,此时从远端认证服务器可以传递来自用户的信息，比如VLAN、优先级、用户的访问控制列表等等；

3、认证通过后，用户的流量就将接受上述参数的监管，此时该通道可以通过任何报文，注意只有认证通过后才有DHCP等过程。

4、SupplicantSystem-Client（客户端）是一台接入LAN,及享受switch提供服务的设备（如PC机），客户端需要支持EAPOL协议，客户端必须运行802.1X客户端软件，如：

802.1X-complain、WindowsXP等。

16.3.4配置实例

在具有802.1X协议的CISCO交换机上，配置如下：

1、先配置switch至Uradiusserver的通讯

全局启用802.1x身份验证功能

Switch#configureterminal

Switch（config）#aaanew-model

Switch（config）#aaaauthenticationdot1x{default}method1[method2...]

指定radius服务器和密钥

switch（config）#radius-serverhostip_addkeystring

2、在port上起用802.1x

Switch#configureterminal

Switch（config）#interfacefastethernet0/1

Switch（config-if）#switchportmodeaccess

Switch（config-if）#dot1xport-controlauto

Switch（config-if）#end

.基于USBKEY勺身份认证解决方案

下面以北京飞天公司的ePass1000为例，说明使用USBKey进行身份认证的过程。

ePass1000内置单向散列算法（MD5,预先在ePass1000和服务器中存储着一个证明用户身份的密钥（共享秘密），当需要在网络上验证用户身份时，先由客户端向服务器发出一个验证请求。

服务器接到此请求后生成一个随机数并通过网络传输给客户端

（此为冲击）。

客户端将收到的随机数提供给插在客户端USBg口上

的ePass1000,由ePass1000使用该随机数与存储在ePass1000中的密钥进行带密钥的单向散列运算（HMAC-MD货得到一个结果作为认证证据传给服务器（此为响应）。

与此同时，服务器也使用该随机数与存储在服务器数据库中的该客户密钥进行HMAC-MD5算，如果服

务器的运算结果与客户端传回的响应结果相同，则认为客户端是一个

合法用户。

冲击响应模式可以保证用户身份不被仿冒，却无法保护用户数据

在网络传输过程中的安全。

而基于PKI（PublicKeyInfrastructure公钥基础设施）构架的数字证书认证方式可以有效保证用户的身份安全和数据安全。

数字证书是由可信任的第三方认证机构颁发的一组包含用户身份信息（密钥）的数据结构，PKI体系通过采用密码学算法构建了一套完善的流程和保证了只有数字证书的持有人的身份和数据安全。

然而，数字证书本身也是一种数字身份，还是存在被复制的危险，于是，USBKeyf乍为数字证书存储介质称为实现PKI体系安全的保障。

使用USBKey可以保证用户数字证书无法被复制，所有密钥运算由USBKey实现，用户密钥不在计算机内存出现也不在网络中传播。

只有USBKey的持有人才能够对数字证书进行操作。

由于USBKey具有安全可靠，便于携带、使用方便、成本低廉的优点，加上PKI体系完善的数据保护机制，使用USEKey存储数字证书的认证方式已经成为目前以及未来最具有前景的主要认证模式。

未来，身份认证技术将朝着更加安全、易用，多种技术手段相结合的方向发展。

USEKey会成为身份认证硬件的主要发展方向，USEKey的运算能力及易用性也将不断提高。

北京飞天诚信科技有限公司本月就推出了国内第一个内置32位智能卡芯片的无驱型USB

Key—-ePass3000就代表了这个方向。

生成RS砒钥对运算的平均时间是USBKey性能的一项重要指标，目前市场上的8位USBKey生成RS砒钥对平均时间普遍在10-15秒左右，而ePass3000生成RSA密钥对平均时间仅为4秒左右。

ePass3000的出现，标志着USBKey的运算能力提高到了一个新的量级。

每个USBKey硬件都具有用户PIN码保护，以实现双因子认证功能，未来，随着指纹识别技术的成熟和成本降低，USBKey将会使用指纹识别来保证硬件本身的安全性。

大家熟悉的如防火墙、入侵检测、VPIN安全网关、安全目录等，与身份认证系统有什么区别和联系呢？

我们从这些安全产品实现的功能来分析就明白了：

防火墙保证了XX的用户无法访问相应的端口或使用相应的协议；入侵检测系统能够发现XX用户攻击系统的企图；VPNffc公共网络上建立一个经过加密的虚拟的专用通道供经过授权的用户使用；安全网关保证了用户无法进入XX的网

段，安全目录保证了授权用户能够对存储在系统中的资源迅速定位和访问。

这些安全产品实际上都是针对用户数字身份的权限管理，他们

解决了那个数字身份对应能干什么的问题。

而身份认证解决了用户的物理身份和数字身份相对应的问题，给他们提供了权限管理的依据

如果把信息安全体系看作一个木桶，那么这些安全产品就是组成木桶的一块块木板，则整个系统的安全性取决于最短的一块木板。

这些模块在不同的层次上阻止了XX的用户访问系统，这些授权的

对象都是用户的数字身份。

而身份认证模块就相当于木桶的桶底，由它来保证物理身份和数字身份的统一，如果桶底是漏的，那桶壁上的木板再长也没有用。

因此，身份认证是整个信息安全体系最基础的环节，身份安全是信息安全的基础。

.基于生物特征的身份认证技术及应用

声纹识别技术以其特有准确性、方便性进行身份认证，在公安、军队、金融、证券等部门有着重要作用。

它和通信技术相结合，实现远程身份认证，为案件侦破、证券交易、网络安全等提供准确、快捷、经济的手段。

声纹、指纹、掌纹等身体特征具有唯一性、稳定性特点，即每个人的这些特征都与别人不同、且终生不变。

由于身体特征不可复制，基于这些特征应运而生多种生物识别身份手段，如声纹识别、指纹识别、掌纹识别等，并广泛用于诸多领域。

其中，声纹识别以其特有准确性、方便性、经济性倍受瞩目，成为重要且普及的身份验证方式，

它主要根据声音波形中反映讲话人生理及行为特征参数进行身份识别。

特别是它与通信技术相结合，能有效实现身份认证，在诸多领域有着极其广泛的用途。

16.5.1声纹识别技术

声纹是借助声谱仪绘出的声音图像。

研究表明：

年龄、语言习惯、发音器官等的差异会导致声纹各不相同，且声纹从十几岁到五十几岁基本不变。

据此，构成声纹识别基础，即通过分析声纹唯一性作为识别身份的手段。

而声纹识别是基于生理学和行为特征的说话者嗓音、语言模式的运用。

根据应用环境不同，分为说话人辨识和说话人确认。

前者指识别说话人是否已注册，是哪个注册人，其辨识结果要好于说话人确认；后者指识别说话人的身份与其声明的是否一致，刑侦工作中更具实际价值。

声纹识别系统包括声纹特征提取和声纹模式匹配。

前者提取唯一表现说话人身份的有效且稳定可靠的特征；后者对训练

和识别时的特征模式做相似性匹配。

声纹提取

声纹提取即提取声音信号中表征人身份的基本特征，该特征能有效区分不同的说话人，且对同一人的变化保持相对稳定。

考虑到训练样本数量、声纹特征可量化性、声纹识别系统性能评价等因素，目前主要对较低层次的声纹特征进行识别。

说话人声纹特征大体归为以下几类：

（1）基音轮廓、共振峰频率带宽及其轨迹。

基于发声器官生理结

构提取的特征参数。

（2）谱包络参数。

声音通过滤波器组输出，并以合适的速率对输出抽样作为声纹识别特征。

（3）听觉特性参数。

模拟人耳对声音频率感知特性而提出的，如美倒谱系数、感知线性预测等。

（4）线性预测系数。

线性预测与声道参数模型相符合，由它导出的各种参数，如反射系数、自相关系数、线性预测系数等作为识别特征，效果较好。

止匕外，还可通过对不同特征参量的组合来提高识别系统性能。

特别是组合参量间相关性不大时，由于它们分别反映声音信号不同特征，因而效果更好。

声纹匹配

声纹研究的重点是对各种声学参数线性、非线性处理及新的模式匹配方法。

主要包括：

（1）矢量量化。

通过把每个人的特定文本编成码本，识别时将测试文本按此码本进行编码，以量化产生的失真度作为判决标准。

其识别精度较高，判断速度较快。

（2）概率统计。

考虑到短时间内声音信息相对平稳，通过对稳态特征如基音、声门增益、低阶反射系数的统计分析，利用均值、方差等统计量和概率密度函数进行判决。

具优点是不用对特征参量在时域上进行规整，适合文本无关的说话人识别。

（3）动态时间规整。

声纹信息既有发声习惯、发音器官结构等稳定因素，又有语速、语调、重音、韵律等时变因素。

将识别模板与参

考模板进行时间对比，并按照某种距离测定得出两模板间的相似程度。

常用方法是基于最近邻原则的动态时间规整DTW。

（4）人工神经网络。

这种分布式并行处理结构的网络模型在某种程度上模拟生物感知特性，具有自组织和自学习能力、很强的复杂分类边界区分能力、及对不完全信息的鲁棒性，其性能近似理想的分类器。

缺点是训练时间长、动态时间规整能力弱，且网络规模可能随说话人数目增加到难以训练的程度。

（5）隐马尔可夫模型。

这种基于转移概率和传输概率的随机模型，最早被美国的旧M公司用于声音识别。

它把声音看成由可观察到的符号序列组成的随机过程，该序列是发声系统状态序列的输出。

识别时，为每个说话人建立发声模型，通过训练得到状态转移概率矩阵和符号输出概率矩阵。

具体应用时，计算未知声音在状态转移过程中最大概率，根据最大概率对应的模型进行判决。

它不需时间规整，可节约判决的计算时间和存储量。

这是目前广泛采用的一种技术，具缺点是训练时的计算量较大。

实际应用中，常将上述方法有机组合，显著提高声纹识别准确率。

如NTT实验室的S.Furui和T.Matsui使用倒谱、差分倒谱、基音和差分基音，采用VQ与HMM混和的方法使说话人确认率达到99.3%。

而美国空军为加强基地安全性，所采用的极其先进的声纹识别系统，准确率更高达99.5%。

5.2身份认证

认证方式

身份认证系统主要由用户、通信网络、用户数据库、认证管理服务器等构成。

系统基于声纹识别和音频通信两方面，通过语音通信系统与用户交流，在人机语音交流过程中实现身份认证，认证系统采用的信息主要有用户声纹特征和合法用户资料。

系统识别用户身份时，通常需用户提供一段语音。

根据所选择发音材料内容的差异，分为与文本有关、与文本无关两种。

前者要求用户按规定内容发音，并根据特定发音内容建立精确模型，识别效果较好，但需要用户配合。

如发音内容与规定的不符，则无法正确识别其身份；后者不规定用户发音内容，因而建立精确模型较为困难，身份识别效果存在一定的局限性，但在案件侦破等方面的应用更为普遍。

声纹识别技术作为身份认证重要手段，无论是否与文本有关，系统都面临无法区分所识别声音是现场实时发音还是录音回放的问题。

对此，可采用随机等方式生成提示文本，使对方无法事先录音，从而显著提高用户身份识别准确性。

可靠的用户身份识别系统应具备以下几点：

不易被他人模仿并能较好地解决被模仿问题；在声学环境变化时能够保持良好稳定性，即抗噪声性能好；能有效区分对方，对同一对象要能保持相对稳定，允许感冒等情况时其语音发生的变化。

认证应用

近年来，声纹识别技术的迅猛发展使得其应用领域日趋广泛，由于声纹这一人体生物特征的特殊性，通过声纹进行身份认证迅速走向实用化。

特别是该技术与通信技术想结合，实现远程认证，已展现极其巨大的市场潜力。

在基于通信技术的身份识别中，如案件侦破、证

券交易、网络安全等，与其他生物识别技术相比，远程声纹识别具有准确、快捷、经济可靠、可扩展性好等独特优势，且用户无须添加硬件设备，显著降低推广成本。

同时，该方案一般不涉及对方隐私问题，接受程度高、无心理障碍。

（1）案件侦破。

近年来，电话勒索、绑架、人身攻击等案件日益增多，采用传统技术手段侦破此类案件存在相当难度。

利用声纹识别技术进行远程身份认证可发挥特有的作用，警方可据此推断出犯罪嫌疑人年龄、职业、出生地，为案件侦破提供极有价值的线索。

世界上最早将该技术应用于案件侦破是1963年4月发生在东京的幼儿拐卖案”。

该案唯一线索就是犯罪嫌疑人电话威胁的声音。

声纹专家通过对其声纹的分析，确定犯罪嫌疑人后，将电话录音和嫌疑人的声纹进行比较，参加声纹鉴定的专家一致对该犯进行同一认定，据此侦破了这桩轰动一时的案件。

此后，声纹认证技术在司法部门研究、应用逐步扩展到世界各地。

其特有的准确性、方便性成为确认犯罪分子有效手段。

需要指出，国内司法界长期对这项技术持怀疑、甚至否定态度。

直到80年代才开始在公安院校的教学中演示，90年代才承认该技术。

国内司法部门引入该技术主要有两方面目的：

为办案提供辅助性证据；建立审判支持系统，提高办案人员的信心。

实际使用中，民事案件约62%,刑事案件约38%,总有效率86%。

目前，国内进行声纹鉴定的主要有公安部物证鉴定中心、最高人民检察院检察技术研究所、北京市法庭科学技术鉴定研究所。

（2）证券交易。

随着电话银行、远程炒股等的不断增加，这些业

务对用户身份认证主要是静态口令方式。

它方便、简洁，但存在诸多缺点，如易被偷窥泄密、用户为方便记忆而设置的口令易破译等，安全性、可靠性较差。

虽然可通过频繁更改密码等措施来提高认证可靠性，但很不方便。

如采用远程身份认证技术并结合传统的静态口令，能有效实现合法