資源描述:
《身份驗(yàn)證技術(shù)論文》由會(huì)員上傳分享,免費(fèi)在線閱讀,更多相關(guān)內(nèi)容在工程資料-天天文庫(kù)。
1、身份驗(yàn)證技術(shù)論文網(wǎng)絡(luò)與信息安全課程論文身份認(rèn)證技術(shù)分析-1身份認(rèn)證技術(shù)分析摘要:本文總結(jié)并分析了身份認(rèn)證的理論和應(yīng)用,列舉了一些対身份認(rèn)證的攻擊方法,并根據(jù)課堂學(xué)習(xí)和課后閱讀,口己設(shè)計(jì)了一個(gè)利用數(shù)字簽名實(shí)現(xiàn)的簡(jiǎn)單的身份認(rèn)證方案。認(rèn)證技術(shù)是信息安全屮的一個(gè)重耍內(nèi)容,在“網(wǎng)絡(luò)與信息安全”課程中我們學(xué)習(xí)了兩種認(rèn)證技術(shù):消息認(rèn)證與身份認(rèn)證,消息認(rèn)證用丁保證信息的完整性與抗否認(rèn)性,身份認(rèn)證則用于鑒別用戶身份。在網(wǎng)上商務(wù)日益火爆的今天,從某種意義上說,認(rèn)證技術(shù)可能比信息加密木身更加重要。因?yàn)?,很多情況下川戶并不要求購(gòu)物信息保密,只耍確認(rèn)網(wǎng)上商店不是假冒的(這就需要身份認(rèn)證),自
2、己與網(wǎng)上商店交換的信息未被第三方修改或偽造,并冃網(wǎng)上商家不能賴帳(這就需要消息認(rèn)證),商家也是如此。由于認(rèn)證技術(shù)是一項(xiàng)包含很廣泛的技術(shù),集中于某一方面可能更有針對(duì)性,所以,在這篇論文中我沒有涉及消息認(rèn)證技術(shù)。運(yùn)用課棠學(xué)到的理論、課后閱讀獲得的知識(shí)根據(jù)H己的分析,我對(duì)身份認(rèn)證技術(shù)作了總結(jié)分類,并針對(duì)每一種認(rèn)證技術(shù)分析了優(yōu)點(diǎn)和漏洞,然后剖析了一些應(yīng)用,最后提出了口己想到的一個(gè)簡(jiǎn)單的利用數(shù)字簽名實(shí)現(xiàn)的身份認(rèn)證方案。一、身份認(rèn)證的方法及對(duì)能的漏洞身份認(rèn)證的本質(zhì)是被認(rèn)證方有一些信息(無論是一些秘密的信息還是一些個(gè)人持有的特殊碩件或個(gè)人特有的生物學(xué)信息),除被認(rèn)證方自己外,任何
3、第三方(在有些需要認(rèn)證權(quán)威的方案小,認(rèn)證權(quán)威除外)不能偽造,被認(rèn)證方能夠使認(rèn)證方和信他確實(shí)擁冇那些秘密(無論是將那些信息出示給認(rèn)證方或者采用零知識(shí)證明的方法),則他的身份就得到了認(rèn)證。根據(jù)被認(rèn)證方賴以證明身份的秘密的不同,身份認(rèn)證可以分為兩大類:基丁?秘密信息的身份認(rèn)證方法和基于物理安全性的身份認(rèn)證方法。1.基于秘密信息的身份認(rèn)證方法1.1口令核対鑒別用戶身份最常見也是最簡(jiǎn)單的方法就是口令核對(duì)法:系統(tǒng)為每一個(gè)合法用戶建立一個(gè)用戶名/口令對(duì),當(dāng)用戶登錄系統(tǒng)或使用某項(xiàng)功能時(shí),提示用戶輸入自己的用戶名和口令,系統(tǒng)通過核對(duì)用戶輸入的用戶名、口令與系統(tǒng)內(nèi)已有的合法用戶的用戶名
4、/口令對(duì)(這些川戶名/口令對(duì)在系統(tǒng)內(nèi)是加密存儲(chǔ)的)是否匹配,如與某一項(xiàng)川戶名/口令對(duì)匹配,則該用戶的身份得到了認(rèn)證。這種方法有如卜?缺點(diǎn):其安全性僅僅基于用戶口令的保密性,而用戶口令一般較短且容易猜測(cè),因此這種方案不能抵御口令猜測(cè)攻擊[5];另外,攻擊考可能竊聽通信信道或進(jìn)行網(wǎng)絡(luò)窺探(sniffing),口令的明文傳輸使得攻擊者只要能在口令傳輸過程中獲得用戶口令,系統(tǒng)就會(huì)被攻破。盡管有許多漏洞,這種方法在非網(wǎng)絡(luò)環(huán)境下還是經(jīng)常被采用的,由于沒有了傳輸?shù)倪^程,所以這時(shí)上而列舉的第二個(gè)缺陷不會(huì)被攻擊者利用。在網(wǎng)絡(luò)環(huán)境下,明文傳輸?shù)娜毕菔沟眠@種身份認(rèn)證方案變得極不安全,一些
5、網(wǎng)絡(luò)環(huán)境屮的服務(wù),如FTP,雖然仍然使用了明文傳輸?shù)挠脩裘?口令身份認(rèn)證方案,但多數(shù)時(shí)候這種服務(wù)已經(jīng)退化為無需口令(或口令公開)的匿名文件傳輸服務(wù)。解決的辦法是將口令加密傳輸,這時(shí)可以在一定程度上彌補(bǔ)上而提到的第二個(gè)缺陷,但攻擊者仍可以采用離線方式對(duì)口令密文實(shí)施字典攻擊[5]o加密傳輸口令的另一個(gè)因難是加密密鑰的交換,當(dāng)采用對(duì)稱密鑰加密方式時(shí),要求認(rèn)證方和被認(rèn)證方共享一個(gè)密鑰,但由于身份認(rèn)證前雙方的身份還不明確,不可能預(yù)先共享一個(gè)密鑰,解決的辦法是求助于第三方個(gè)對(duì)信任的權(quán)威機(jī)構(gòu),這就是下而要分析的認(rèn)證方案的思想。當(dāng)采用非對(duì)稱密鑰加密方式時(shí),口令可以用認(rèn)證方的公鑰加密
6、,由于公鑰可以通過公開的渠道獲得,這時(shí)不存在采川對(duì)稱密鑰加密時(shí)遇到的那種矛盾,當(dāng)然,這也需要密鑰分發(fā)機(jī)制的配合。由此,我們也看到,身份認(rèn)證與密鑰分發(fā)經(jīng)常是聯(lián)系在一起的,所以,下面提到的許多認(rèn)證協(xié)議中也包含了密鑰分發(fā)的功能。-3-1.2單向認(rèn)證如果通信的雙方只需要一方被另-方鑒別身份,這樣的認(rèn)證過程就是一?種單向認(rèn)證,前面捉到的口令核對(duì)法實(shí)際也可以算是一種單向認(rèn)證,只是這種簡(jiǎn)單的單向認(rèn)證還沒冇與密鑰分發(fā)相結(jié)合。與密鑰分發(fā)相結(jié)合的單向認(rèn)證主要有兩類方案:一類采用對(duì)稱密鑰加密體制,需要一個(gè)可信賴的第三方——通常稱為KDC(密鑰分發(fā)屮心)或AS(認(rèn)證服務(wù)器),由這個(gè)第三方來
7、實(shí)現(xiàn)通信雙方的身份認(rèn)證和密鑰分發(fā);另一類采用非對(duì)稱密鑰加密體制,無需第三方參與。[1]需第三方參與的單向認(rèn)證:1、AKDC:IDA
8、
9、IDB
10、
11、N12、KDCA:EKa[Ks
12、
13、IDB
14、
15、N1
16、EKb[Ks
17、
18、IDA]]3、AB:EKb[Ks
19、
20、IDA]
21、
22、EKs[M][1]無需第三方參與的單向認(rèn)證:AB:EKUb[Ks]
23、
24、EKs[M][1]當(dāng)信息不要求保密時(shí),這種無需第三方的單向認(rèn)證可簡(jiǎn)化為:AB:M
25、
26、EKRa[H(M)](符號(hào)約定同課堂講義)1.3雙向認(rèn)證在雙向認(rèn)證過程中,通信雙方需?;ハ嗾J(rèn)證鑒別各自的身份,然后交換會(huì)話密鑰,雙向認(rèn)證的典型方案是Need