身份认证技术研究.doc
《身份认证技术研究.doc》由会员分享,可在线阅读,更多相关《身份认证技术研究.doc(21页珍藏版)》请在得力文库 - 分享文档赚钱的网站上搜索。
1、【精品文档】如有侵权,请联系网站删除,仅供学习与交流身份认证技术研究.精品文档.毕业设计(论文)身份认证技术研究毕业设计(论文)原创性声明和使用授权说明原创性声明本人郑重承诺:所呈交的毕业设计(论文),是我个人在指导教师的指导下进行的研究工作及取得的成果。尽我所知,除文中特别加以标注和致谢的地方外,不包含其他人或组织已经发表或公布过的研究成果,也不包含我为获得 及其它教育机构的学位或学历而使用过的材料。对本研究提供过帮助和做出过贡献的个人或集体,均已在文中作了明确的说明并表示了谢意。作 者 签 名: 日 期: 指导教师签名: 日期: 使用授权说明本人完全了解 大学关于收集、保存、使用毕业设计(
2、论文)的规定,即:按照学校要求提交毕业设计(论文)的印刷本和电子版本;学校有权保存毕业设计(论文)的印刷本和电子版,并提供目录检索与阅览服务;学校可以采用影印、缩印、数字化或其它复制手段保存论文;在不以赢利为目的前提下,学校可以公布论文的部分或全部内容。作者签名: 日 期: 摘要:介绍了身份认证技术的概念和原理,讨论了部分经典的身份认证机制及相应的认证方案,在分析了现有各种身份认证机制优缺点的基础上,指出将指纹识别技术和数字签名技术有机地结合在一起,以提供一种更加安全、可靠的身份认证方案。为了保证指纹特征信息在网络中安全地传输,本文还给出了一种基于混合密钥的数字签名方案。利用指纹和签名结合进行
3、身份认证能显著地提高鉴别的安全性和可靠性,可以广泛运用于电子商务、网络安全等急需高效身份认证技术的应用领域。关键词:身份认证技术;指纹特征;数字签名;混合密钥 Study On Authentication TechnologyAbstract: Nowdays the information digitization becomes mainstream increasingly, along with the Internet popular and the rapid development, the network secure question is prominent day by
4、 day, As the first networking security barrierauthentication technology, its an extremely important research area in the information security technology of the network time. This paper introduced the concept and principle of the authentication technology, discussed the partial classic authentication
5、 mechanism and the corresponding authentication plan , based on analyze the existing each kind of authentication mechanism is positive and negative, then pointed out that combined with the fingerprint recognition technology and the digital signature technology, it will provide a more secure and more
6、 reliable authentication technology algorithm.In order to guarantee the security of the fingerprint characteristic information transmitted on the network, this article produced a kind of digital signature plan based on the mix key. Carries on the authentication using the fingerprint and the signatur
7、e union to be able remarkably to enhance the distinctions security and the reliability, may widely utilize in the electronic commerce, the network security and so on the urgent need highly effective status authentication technology application domain.Key word: The authentication technology; the fing
8、erprint characteristic;the digital signature; hybrid the key目 录1 绪 言11.1 身份认证技术的基本概念11.2 身份认证模式的分类11.2.1 单向认证11.2.2 双向认证21.2.3 第三方认证22 身份认证机制及其相应的认证方案22.1 基于口令核对的身份认证机制22.2 基于对称密钥加密的身份认证机制32.3 基于非对称密钥加密的身份认证机制42.4 基于零知识的身份认证机制62.5 基于生物特征的身份认证机制73 对身份认证协议的攻击794 基于指纹特征和数字签名的身份认证方案94.1 数字签名技术104.1.1 数字
9、签名技术与加密技术的结合104.1.2 数字签名的原理和功能104.2 方案设计要求124.3 基于指纹特征和数字签名的身份认证系统124.3.1 基于指纹特征和数字签名的身份认证系统结构124.3.2 基于指纹特征和数字签名的身份认证过程134.3.3 基于指纹特征和数字签名的身份认证系统分析155 结束语16致 谢17参考文献181 绪 言科学技术飞速发展的21世纪,电子产品源源不断地涌进我们的日常生活中,例如:笔记本电脑、ATM自动提款机、门禁控制系统等等。电子时代给人们带来了方便、高效的生活,但同时如何安全、准确、便捷的识别个人身份问题日趋突现。我们越来越多地依赖像智能卡、身份证号、口
10、令等保护措施。然而,卡片的损坏、丢失,口令的遗忘,非法用户的盗用,给人们造成巨大的经济损失。据Motorola公司有关资料显示“Internet爆炸性增长,人类对口令和密码依赖性增强。而其安全缺陷日益显露。因安全密钥方面造成的损失年增长率在60%以上”因此,我们迫切的需要一种在人与机器之间交互时能够智能快速、准确可靠地验证个人身份的身份认证技术。 本论文系统地介绍了身份认证技术的基本内容。全文共4章。第1章介绍了身份认证技术所涉及的一些基本概念和原理。第2章讨论了部分经典的身份认证机制及相应的认证方案。第3章阐述了对身份认证协议的攻击和避免各类攻击的方法。第4章提出了一种基于指纹特征和数字签名
11、的身份认证方案,详细介绍了该方案工作原理、结构、步骤以及相应的协议。1.1 身份认证技术的基本概念身份认证技术是让认证方相信正在与之通信的另一方就是所声称的那个实体,其目的是防止伪装。身份认证技术的本质是被认证方有一些信息(无论是一些秘密信息还是一些个人持有的特殊硬件或个人特有的生物学信息),除被认证方自己外,任何第三方(在有些需要认证权威的方案中,认证权威除外)不能拥有或伪造,被认证方能够使认证方相信他确实拥有那些秘密(无论是将那些信息出示给认证方或采用零知识证明的方法),则他的身份就得到了认证。身份认证分弱认证和强认证两种类型7:(1) 弱认证:使用口令(password)、口令段(pas
12、sphrase)、口令驱动的密钥。(2) 强认证:通过向认证方展示与被认证方实体有关的秘密知识来证明自己的身份。与此同时,在协议执行过程中通信线路完全被监控的情况下,对手也不会从中得到关于证明者秘密的信息。1.2 身份认证模式的分类1.2.1 单向认证单向认证是指在网络服务认证过程中,服务方对客户方进行单方面的认证,而客户方不要认证服务方的身份。例如:假设一个客户需要访问某台服务器,单向认证只是由客户向服务器发送自己的ID和密码,然后服务器根据收到的ID和密码,进行比对检验,鉴别客户方的身份真实性。单向认证过程由以下几步构成:(1) 客户方向服务器发出访问请求; (2) 服务器要求客户方输入I
13、D和密码;(3) 客户方向服务器输入ID和密码; (4) 服务器验证ID和密码,如果匹配则允许客户进入系统访问。1.2.2 双向认证双向认证是指在网络服务认证过程中,不仅服务方对客户方要进行认证,而且客户方也要认证服务方的身份。双向认证增加了客户方对服务方的认证,这样就可以解决服务器的真假识别安全问题。双向认证过程由以下几步构成:(1) 客户方向服务器发出访问请求;(2) 服务器要求客户方输入ID和密码;(3) 客户方向服务器输入ID和密码; (4) 服务器验证ID和密码,如果匹配则允许客户进入系统访问;(5) 客户提示服务器输入密码;(6) 服务器按客户要求输入密码;(7) 客户验证服务器。
14、1.2.3 第三方认证第三方认证是指在网络服务认证过程中,服务方和客户方的身份认证通过第三方来实现。第三方不仅负责验证信息,而且还负责验证双方的身份。每个用户都把自己的ID和密码发送给可信第三方,由第三方负责认证过程。此方法兼顾了安全性和密码存储的简单易行性。2 身份认证机制及其相应的认证方案2.1 基于口令核对的身份认证机制鉴别用户身份最常见也是最简单的方法就是基于口令核对的身份认证机制,系统为每一个合法用户建立一个用户名和口令,当用户登录系统或使用某项功能时,提示用户输入自己的用户名和口令,系统通过核对用户输入的用户名、口令与系统内已有用户的用户名和口令对是否匹配,如与某一项用户名和口令对
15、匹配,则该用户的身份得到了认证,用户便可以登录或使用所需的某项功能。口令可以分为数字、字母、特殊字符、控制字符等组成的长为58的字符串。其选择原则为:易记、难于被猜中或发现、抗分析能力强。在实际系统中需要考虑和规定选择方法、使用期限、字符长度、分配和管理以及在计算机系统内的保护等。其认证过程如下:(1) 用户将口令传送给计算机;(2) 计算机完成口令单向函数值的计算;(3) 计算机把单向函数值和机器存储的值比较。 一般的口令有两种方法来存储:(1)直接明文存储。直接明文存储口令是指将所有用户的用户名和口令都直接存储于数据库中,没有经过任何算法或加密过程。这种存储方法风险很大。(2)哈希散列存储
16、。对于每一个用户,系统将帐号和散列值对存储在一个口令文件中,当用户登录时,用户输入口令X,系统计算H(x)进行比较,成功则允许用户访问,否则拒绝其登录。用这种方式存储口令较安全。基于口令的认证机制的优点就是简单,易于实现。其安全性是依赖于口令的,一旦口令泄露,用户就可以被假冒。其特点主要体现在如下几个方面:(1) 对Sniffer的攻击显得很脆弱现在的Sniffer工具,能够在同一个局域网内很容易地窃听指定主机的数据。而口令信息常常以明文数据传输,所以很容易获取用户口令。(2) 不适应多服务器的环境如果用户在多个服务器上有相同的口令,那么获取其中一个,就相当于获取了多个服务器的口令。如果用户使
17、用不同的口令,则每个用户必须要记住多个口令。(3) 对字典攻击的抗击力差口令一般是经过加密后存放在口令文件中的,如果口令文件被窃取,那么就可以进行离线的字典攻击。2.2 基于对称密钥加密的身份认证机制对称密钥体制是加密和解密的密钥是相同的或者是已知一个能够很容易的推导出另一个的,所以通信双方在通信之前就必须约定好一个密钥。对称密钥体制的安全性依赖于密钥,泄漏密钥就意味着任何人都能对消息加/解密。只要通信需要保密,密钥就必须保密。使用相同密钥K的对称密钥算法如下:加密表示为: Ek(M)= C(1)解密表示为:Dk(C)= M (2)Kerberos认证是一种基于对称密钥加密的身份认证方案8。它
18、是一种分布式网络安全系统,能在分布式环境中提供强大的认证,而且使用范围很广。Kerberos依赖于作为服务器的密钥发布中心(KDC)的对称密钥数据库。用户和服务器(称为主体)通过与KDC适当的通讯后获得电子“票卡”。所有票卡包括时间戳,它限定了票卡的有效时间段。因而,Kerberos客户端和服务器端都有了安全的时间资源,能够正确地维护时间。Kerberos的身份认证过程包含如下3个阶段12:(1) 身份认证服务交换:用户U从AS取得初始票据(TGT)(2) 票卡授予的服务交换:用户U从TGS处获取服务许可票据 (3) 客户机器身份认证交换:用户U从服务器S获取服务其工作步骤如图1所示:(1)
19、(2) (3) (4) (5) (6)图1 Kerberos认证过程示意图根据Kerberos认证机制,可以得出Kerberos有如下优势:(1) 实现了一次性签放机制,并且签放的票据都有一个有效期。(2) 支持双向的身份认证,同时也支持分布式网络环境下的认证机制。Kerberos认证机制,同样也存在安全隐患:(1) 需事先拥有共享密钥。(2) 若认证过程中的密钥受到危及,则所有使用该密钥进行认证的数据在传递时都将遭到危及。 (3) 需要物理上安全的在线服务器。 (4) 对重放的检测依赖于时间戳,这意味着需要同步和安全的时钟。2.3 基于非对称密钥加密的身份认证机制 非对称密码体制是通信的双方
20、加密密钥和解密密钥是不相同的,而且解密密钥不能根据加密密钥计算出来(至少在合理假定的长时间内)。其基本思想是:每一个用户生成一个密钥对,一个是私钥由属主自己保存,不对外公开,另一个作为公钥可以发到internet等公开地方供别人查询和下载。用公开密钥e加密表示为8:Ee(M)= C(3) 用相应的私人密钥d解密可表示为:Dd(C)=M(4)基于X.509数字证书的身份认证是采用非对称密钥机制实施认证的5 ,对每个用户选择的公钥提供所谓的“证书”。用户的证书是由可信的证书机构(CA)产生,并存放于X.500目录之中。 X.509标准数字证书把密钥持有者的公钥与其身份绑定在一起。使用数字签名来确定
21、对方身份,认证方能用待认证用户的公钥验证其对质询随机数的签名,那么用户就被认证了。 按照双方交换认证信息的不同,主要可以分为单向认证、双向认证两种。 单向认证: (1) (3) (2) 图2 单向认证示意图(1) A生成和以前不会重复的数字rA,用来检测重放攻击并且也用来防止伪造。(2) A发送以下信息给B,AtA,rA,B,tA是一时戳,包括以下数据:标志产生的时间和有效时间, A tA,rA,B 表示A对括号中的数据进行签名。(3) B相应地执行以下动作: 取得A的公钥,并验证A证书的有效性; 验证签名,并相应验证数据的完整性;验证发送过来的信息中,指明的数据接收者是不是B;验证发送过来的
22、时戳是不是当前时间;作为可选的步骤,可以验证rA有没有重复。双向认证:其过程是在单向认证三个步骤基础上加上步骤(4) (5) (6), (1) (3) (2)(6) (5) (4)图3双向认证示意图(4) B产生一个不重复的数值rB,用法与rA的用法相似。(5) B发送下面的认证信息给A,BtB,rB,A,rA,tB也和tA一样是时戳。(6) A执行下列动作:验证签名和信息的完整性;验证B发送信息的目的地是不是A;验证时戳是不是当前时戳;作为可选项,验证rB是否重复。采用非对称密钥体制实施认证协议有如下缺点:(1) 基于PKI,而PKI在许多方面还很粗糙。(2) 需要投入的成本比较高,技术门槛
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- 身份 认证 技术研究
限制150内