（系统分析与集成专业论文）基于指纹加密技术的网络身份认证研究及应用.pdf

学位论文独创性声明 本人郑重声明: i 、坚持以 “ 求实、创新”的科学精神从事研究工作。 2 、 本论文是我个人在导师指导下进行的研究工作和取得的研究 成 果 。 3 、 本论文中除引文外， 所有实验、 数据和有关材料均是真实的。 4 、本论文中除引文和致谢的内容外，不包含其他人或其它机构 己经发表或撰写过的研究成果。 5 、其他同志对本研究所做的贡献均已在论文中作了声明并表示 了谢 意 。 作者签名: 日期:取卫一 困眸蟀 一 学位论文使用授权声明 本人完全了解南京信息工程大学有关保留、 使用学位论文的规定， 学校有权保留学位论文并向国家主管部门或其指定机构送交论文的 电子版和纸质版; 有权将学位论文用于非赢利目的的少量复制并允许 论文进入学校图书馆被查阅; 有权将学位论文的内容编入有关数据库 进行检索; 有权将学位论文的标题和摘要汇编出版。保密的学位论文 在解密后适用本规定。 作者签名 关于学位论文使用授权的说明 本 人 完全了 解南京信息工 程大学 有关 保留、 使 用 学 位论 文的 规 定， 即: 学 校有权保留送交论文的复印件， 允许论文被查阅和借阅; 学校可以公布论文的全 部或部分内容，可以采用影印、缩印或其他复制手段保存论文。 ( 保密的论文在解密后应遵守 此规定) 作者签名 日期 : -4 , - : 吵研 垃 一 导师签名: 日期: 南京信息丁程大学硕士学位论文基于指纹加密技术的网络身份认证研究及应用 摘 要 在网 络系统中， 身份认证是第一道安全屏障， 也是实施访问 控制的 基础， 通信安全儿乎 总是开始于身份认证握手过程， 因 此， 身 份认证机制对整个系统的安全具有十分重要的作用。 实现身份认证的方法有很多， 但相对于传统的认证技术， 基于指纹识别的身份认证技术在安 全性和用户的 透明性方面， 仍然是解决网 络用户身份认证的 有效途径。 因 此， 如何把基于指 纹的认证技术应用在网 络上是一个值得研究的问题。 本文对目 前常用的身份认证技术的发展现状和技术特点进行了 综述， 分析了 各种身份认 证技术的 优劣， 在此基础上 探讨了网 络加密体制与指纹识别技术， 研究并设计了 一种基于指 纹加密技术的网络身份认证协议， 构建了一个基于 此协议的身份认证系 统， 具体内容如下: 1 . 设计了一种基于指纹加密技术的网 络身份认证协议。 本文从协议的安全性要求和技术 要求出发， 确定了 协议主体的身份， 描述了协议的 执行过程。 协议由 注册和认证两个阶段组成， 分别采用数字签名和指纹特征值对服务器和用户的身份进行鉴定， 利用公钥、 对称加密体制 保证指纹特征数据传输和存储的安全， 另外， 协议通过引 入用户登录序列号，成功的避免了 s t o l e n - v e r i f i e r 和r e p l a y 两种常见的攻击手段。 2 . 协议的b a n 逻辑形式化分析。 本文通过 对认证协议进行形式化分析， 来研究认证双方 是否相信正是认证双方在相互通信而不是和入侵者。 b a n 逻辑分析分为5 个步骤: 协议理 想化。 确定初始假设。 将逻辑公式附加于协议语句。 进行逻辑化推理，对假设和断言 运用推理规则进行逻辑推导 以求出协议参与者所拥有的信仰。对最终的逻辑结果进行判 断来确认是否达到了 协议设计的目 的， 协议中 是否存在着漏洞。 3 . 构建一个基于指纹加密技术的网络身份认证系统， 并测试系统在保证用户认证信息的 机密性及抵御s t o l e n - v e r i f i e r 和重发攻击方 面的能 力。 关键字:网络身份认证、协议、指纹、加密、b a n逻辑 南京信息工程大学硕士学位论文 基于指纹加密技术的网络身份认证研究及应用 a b s t r a c t a u t h e n t i c a t i o n t e c h n o l o g y i s v e r y i m p o r t a n t i n n e t w o r k s y s t e m , w h i c h p r o v i d e s t h e b a s i s f o r a c c e s s c o n t r o l . c o m m u n i c a t i o n s e c u r it i e s a l m o s t b e g i n w i t h v e r i f y i n g t h e id e n t i t y o f a u s e r . s o a u t h e n t i c a t i o n m e c h a n i s m h a s a v e r y i m p o rt a n t e ff e c t o n t h e w h o l e n e t w o r k s y s t e m . t h e r e a r e m a n y t e c h n i q u e s t o i m p l e m e n t a u t h e n t i c a t i o n , b u t r e l a t i v e t o t r a d i t i o n a l a u t h e n t ic a t i o n t e c h n o l o g y , f i n g e r p r i n t - b a s e d i d e n t i f i c a t i o n t e c h n o l o g y is a n e ff e c t i v e m e t h o d t o s o l v e t h e i d e n t ity a u t h e n t i c a t io n i n n e t w o r k i n g e n v i r o n m e n t . t h e re f o r e , h o w t o u s e f i n g e r p r i n t - b as e d a u t h e n t i c a t i o n t e c h n o l o g y i n n e t w o r k i n g e n v i r o n m e n t i s a q u e s t i o n w e s h o u l d t o r e s e a r c h . a ft e r s u m m a r i z i n g t h e a c t u a l i ty a n d t h e d e v e l o p m e n t o f t h e i d e n t i ty a u t h e n t i c a t i o n t e c h n o l o g y i n i n f o r m a t i o n s a f e ty , a n d e v a l u a t i n g t h e m e r it a n d t h e d i s a d v a n t a g e o f s o m e a u t h e n t i c a t i o n m e c h a n i s m , t h i s p a p e r d i s c u s s e s t h e e n c ry p t a r i t h m e t i c a n d f i n g e r p r i n t - b a s e d a u t h e n t ic a t i o n t e c h n o l o g y , d e s i g n s a a u t h e n t i c a t i o n p r o t o c o l b as e d o n f i n g e r p r i n t e n c ry p t i o n a n d b a s e d o n t h i s p r o t o c o l , a n a u t h e n t ic a t i o n s y s t e m i s d e v e l o p e d . t h e c o n t e n t s o f t h e p a p e r a r e l i s t e d a s f o l l o w: l . d e s i g n a n a u t h e n t i c a t i o n p r o t o c o l b as e d o n f i n g e r p r i n t e n c r y p t i o n . a c c o r d i n g t o t h e r e q u i r e m e n t o f a u t h e n t i c a t i o n p r o t o c o l , a ft e r a n a ly s e s t h e s e c u r it y a n d t e c h n i q u e r e q u i r e m e n t o f t h e p r o t o c o l , t h i s p a p e r a s c e rt a in s t h e a c t o r i n t h e p r o t o c o l a n d d e s c r i b e s i m p l e m e n t p r o c e s s o f t h e p r o t o c o l 2 . b a n l o g i c f o r m a l a n a l y s i s o f a u t h e n t i c a t i o n p r o t o c o l s . b a n l o g i c c a n b e u s e d t o r e a s o n a b o u t s e c u r ity p r o p e r tie s o f p r o to c o ls . t h e r e a r e f iv e s t e p s to a n a l y s e s t h e p r o t o c o l : id e a li z e t h e p r o t o c o l i n t h e l a n g u a g e o f t h e f o r m a l l o g i c . i d e n t i f y in i t i a l s e c u r i t y a s s u m p t i o n s i n t h e la n g u a g e o f b a n lo g i c . a tt a c h t h e l o g ic a l f o r m u las to t h e s ta t e m e n t s o f t h e p r o t o c o l . u s e t h e p r o d u c t io n s a n d r u le s o f th e lo g i c t o d e d u c e n e w p r e d ic a t e s . . i n t e r p r e t t h e s t a t e m e n t s t h a t h as p r o v e d b y t h i s p r o c e s s . 3 . d e v e l o p a n a u t h e n t i c a t i o n s y s t e m i n n e t w o r k e n v i r o n m e n t t o d e t e c t t h e a b i l i t y o f t h e s y s t e m i n e n s u r i n g t h e s e c u r i ty o f a u t h e n t i c a t i o n i n f o r m a t i o n a n d r e s i s t i n g s t o l e n - v e r i f i e r a n d r e p l a y a tt a c k . k e y w o r d s : i d e n t i ty a u t h e n t i c a t i o n . p r o t o c o l 、 f i n g e r p r in t , e n c ry p t . b a n l o g i c 南京信息工程大学硕士学位论文基于指纹加密技术的网 络身份认 证研究及应用 第1 章 绪 论 1 . 1研究背景和意义 当前， 随着计算机网络的广泛应用， 其安全性越来越引 起人们的高度重视， 近年来在世 界范围内疯狂传播的计算机病毒及各种计算机犯罪， 正是利用了系统内一些不引人注目的 漏 洞或系统在安全性方面的 缺陷进行的破坏性活动。 因 此， 计算机网 络系统的安 全性 研究日 益 成为国内 外学者和计算机用户共同关心的一个问题。 按照现在通行的 观点，网 络安全 涉及到五 个方 面的内 容 川 :网 络 硬件的 安 全、 操作系 统 的安全、 用户的安全、 应用程序的安 全以 及数据的安全。 用户身份认证是网络信息系统的第 一道安全屏障， 也是保证其他内 容安全的重要手段， 因此， 设计一种安全的网络身份认证机 制具有十分重要的现实意义。 目 前人们已 经提出了 多种身份认证的方法， 如果深入分析， 就会发现一系列鱼待解决的 问题，概括如下: 1 基于秘密信息的用户身份认证13 1 该认 证方法主要包括基于口 令的 认证和基于密码体制的身份认证。 前者的安全性仅仅依 赖于用户口 令的 保密性， 而用户口 令一般较短且容易猜测， 因此这种方案不能抵御口 令猜测 攻 击 ; 另 外 ， 攻 击 者 可 能 窃 听 通 信 信 道 或 进 行 网 络 窥 探 s n i f f i n g ) 16 1 ， 口 令 的 明 文 传 输 使 得攻击者只要能在口 令传输过程中获得用户口 令， 系统就会被攻破。 尤其在网 络环境下 ， 明 文传输的缺陷使得这种身份认证方案变得极不安全。 为了 解决这些问题， 人们引入密码体制 将口 令加密 传输， 但攻击 者 仍可以 采 用离 线方 法 对口 令密 文实 施字典攻 击14 1 ， 另 外. 加密 密 钥的交换也对系统造成了更加严重的计算开销。 2 .基于 智能卡的 用户身 份认 证川 基于智能卡的用户身 份认证认证方配备一个智能卡( 智能卡中存有秘密信息， 通常是一 个随 机数) ，只有持卡人才能 被认证。 这种认证方法可有效的防止口 令猜测， 但又引 入了 一 个严重的缺陷: 系统只认卡不认人， 而智能卡可能丢失， 拾到或窃得智能p 的人将很容易假 冒持卡人的身份。 3 . s / k e y 认 证12 1 南京信息工程大学硕士学位论文基于指纹加密技术的网 络身份认 证研究及应用 第1 章 绪 论 1 . 1研究背景和意义 当前， 随着计算机网络的广泛应用， 其安全性越来越引 起人们的高度重视， 近年来在世 界范围内疯狂传播的计算机病毒及各种计算机犯罪， 正是利用了系统内一些不引人注目的 漏 洞或系统在安全性方面的 缺陷进行的破坏性活动。 因 此， 计算机网 络系统的安 全性 研究日 益 成为国内 外学者和计算机用户共同关心的一个问题。 按照现在通行的 观点，网 络安全 涉及到五 个方 面的内 容 川 :网 络 硬件的 安 全、 操作系 统 的安全、 用户的安全、 应用程序的安 全以 及数据的安全。 用户身份认证是网络信息系统的第 一道安全屏障， 也是保证其他内 容安全的重要手段， 因此， 设计一种安全的网络身份认证机 制具有十分重要的现实意义。 目 前人们已 经提出了 多种身份认证的方法， 如果深入分析， 就会发现一系列鱼待解决的 问题，概括如下: 1 基于秘密信息的用户身份认证13 1 该认 证方法主要包括基于口 令的 认证和基于密码体制的身份认证。 前者的安全性仅仅依 赖于用户口 令的 保密性， 而用户口 令一般较短且容易猜测， 因此这种方案不能抵御口 令猜测 攻 击 ; 另 外 ， 攻 击 者 可 能 窃 听 通 信 信 道 或 进 行 网 络 窥 探 s n i f f i n g ) 16 1 ， 口 令 的 明 文 传 输 使 得攻击者只要能在口 令传输过程中获得用户口 令， 系统就会被攻破。 尤其在网 络环境下 ， 明 文传输的缺陷使得这种身份认证方案变得极不安全。 为了 解决这些问题， 人们引入密码体制 将口 令加密 传输， 但攻击 者 仍可以 采 用离 线方 法 对口 令密 文实 施字典攻 击14 1 ， 另 外. 加密 密 钥的交换也对系统造成了更加严重的计算开销。 2 .基于 智能卡的 用户身 份认 证川 基于智能卡的用户身 份认证认证方配备一个智能卡( 智能卡中存有秘密信息， 通常是一 个随 机数) ，只有持卡人才能 被认证。 这种认证方法可有效的防止口 令猜测， 但又引 入了 一 个严重的缺陷: 系统只认卡不认人， 而智能卡可能丢失， 拾到或窃得智能p 的人将很容易假 冒持卡人的身份。 3 . s / k e y 认 证12 1 南京信息工程大学硕士学位论文基于指纹加密技术的网络身份认证研究及应用 s / k e y 就是使用一次性口 令。系统根据用户提供的 信息和秘密口 令， 产生一次性口 令。 每一次认证时系统产生的一次性口 令不同， 这样即使口令被窃听也无关紧要。 然而使用s / k e y 的用户需要输入一次性口令，因而使用起来也比较烦琐。 4 .基于 生 物特征的身 份认证 17 1 目 前生物认证技术己 被) 泛使用，包括指纹识别、语音识别以 及视网膜识别等等。其中 指纹技术具有 通用性、 唯一性、 持 久性和可 采集性等 特点 (s 1 ， 相对于 其 他生 物 认证 技术更加 便捷可靠。 但是， 在现有的 大多数基于生物特征的身份认证技术中， 认证信息几乎都是以明 文形式在网 络上传播， 很容易 被篡改或受到重发攻击， 没有达到认证数据机密性和完整性的 要求。 1 . 2研究方向和现状 指纹识别应用在网络环境进行身份认证主要面临两个问 题: 指纹特征的获取和身 份认证 协议的设计。 获取指纹特征值的 研究重点 在于指纹预处理算法和特征提取算法， 另外， 为了 保证认证数据在网络上的安全传输，a 计一种安全有效的身份认证协议也是非常必要的。 为了避免指纹特征数据在网络上的明 文传播，有人提出 将指纹信息与随机密钥生成相 结 合的 解决方 案(1 5 1， 但 是如何在用户 和认 证服务 器间 实 现密钥的共享 ， 仍是一个需 要 解决的 问 题。另外， 文献【 川 认为利用h a s h 函 数的 方式也是不可行的。 本文在深入的探讨了网络加密体制和指纹识别技术之后， 将指纹识别和网络公钥、 对称 加密技术结合起来， 提出了一种基于指纹加密技术的网络身份认证协议， 保证了指纹特征信 息在网络传输中安全性，并且构建了 一个基于 此协议的网络身份认证系统。 目 前比 较成熟的指纹身份认证方式主要有: 单 机指纹身份认证( 考勤系统、 计算机登录 认证等) : 局域网络指纹身份认证 ( 网 路、 数据库和文件的安全控制) : 公众网 上的指纹认证 ( 电 子商务和网 上银行的安全认证等) 。 基于指纹的网络身份认证技术目 前主要应用在两个方面: 1 . 计 算 机网 络 安 全 管 理中 的 应用 。 将 指 纹 识 别与 其 他认 证 技 术 结 合 起来 (5 4 1(5 5 (5 6 ) ， 确定 用户身 份， 进 行 计 算 机网 络安 全 管 理 19 1 ， 保 证网 络 通 信 平台 的 安全 0 6 1要 保 证 指 纹身 份认 证 的安全性， 主要是确保指纹认证特征信息数据库的安全以及传输途中的指纹数据安全。目前 南京信息工程大学硕士学位论文基于指纹加密技术的网络身份认证研究及应用 s / k e y 就是使用一次性口 令。系统根据用户提供的 信息和秘密口 令， 产生一次性口 令。 每一次认证时系统产生的一次性口 令不同， 这样即使口令被窃听也无关紧要。 然而使用s / k e y 的用户需要输入一次性口令，因而使用起来也比较烦琐。 4 .基于 生 物特征的身 份认证 17 1 目 前生物认证技术己 被) 泛使用，包括指纹识别、语音识别以 及视网膜识别等等。其中 指纹技术具有 通用性、 唯一性、 持 久性和可 采集性等 特点 (s 1 ， 相对于 其 他生 物 认证 技术更加 便捷可靠。 但是， 在现有的 大多数基于生物特征的身份认证技术中， 认证信息几乎都是以明 文形式在网 络上传播， 很容易 被篡改或受到重发攻击， 没有达到认证数据机密性和完整性的 要求。 1 . 2研究方向和现状 指纹识别应用在网络环境进行身份认证主要面临两个问 题: 指纹特征的获取和身 份认证 协议的设计。 获取指纹特征值的 研究重点 在于指纹预处理算法和特征提取算法， 另外， 为了 保证认证数据在网络上的安全传输，a 计一种安全有效的身份认证协议也是非常必要的。 为了避免指纹特征数据在网络上的明 文传播，有人提出 将指纹信息与随机密钥生成相 结 合的 解决方 案(1 5 1， 但 是如何在用户 和认 证服务 器间 实 现密钥的共享 ， 仍是一个需 要 解决的 问 题。另外， 文献【 川 认为利用h a s h 函 数的 方式也是不可行的。 本文在深入的探讨了网络加密体制和指纹识别技术之后， 将指纹识别和网络公钥、 对称 加密技术结合起来， 提出了一种基于指纹加密技术的网络身份认证协议， 保证了指纹特征信 息在网络传输中安全性，并且构建了 一个基于 此协议的网络身份认证系统。 目 前比 较成熟的指纹身份认证方式主要有: 单 机指纹身份认证( 考勤系统、 计算机登录 认证等) : 局域网络指纹身份认证 ( 网 路、 数据库和文件的安全控制) : 公众网 上的指纹认证 ( 电 子商务和网 上银行的安全认证等) 。 基于指纹的网络身份认证技术目 前主要应用在两个方面: 1 . 计 算 机网 络 安 全 管 理中 的 应用 。 将 指 纹 识 别与 其 他认 证 技 术 结 合 起来 (5 4 1(5 5 (5 6 ) ， 确定 用户身 份， 进 行 计 算 机网 络安 全 管 理 19 1 ， 保 证网 络 通 信 平台 的 安全 0 6 1要 保 证 指 纹身 份认 证 的安全性， 主要是确保指纹认证特征信息数据库的安全以及传输途中的指纹数据安全。目前 南京信息工程大学硕十学位论文 基于指纹加密技术的网络身份认证研究及应用 多 采用单向函 数 ( h a s h ) 保护 特征信息 d 1 2 .公开密钥、证书管理中的应用。 k d c( 密钥分配中心) 利用指纹作为身份认证的依 据对用户的 公开密 钥进行分配和管理 18 1; 用户也可以 通过指 纹身 份 认证向 证书认 证中 心( c a ) 提出证书的申 请。 1 . 3作者的主要工作 网络安全是目 前信息系统应用的 一个重要研究方向， 而身份认证技术是能够对信息收发 方进行真实身份鉴别的技术， 是保护网络信息资源安全的第一道大门， 在安全系统中的地位 极其重要，如何确定用户身份以控制用户对信息资源的访问，是一个值得研究的问题。 本文首先对目 前常用的身份认证技术的发展现状和技术特点进行了 综述， 在分析和比较 了各种身份认证技术的优劣后发现， 相对于传统的认证技术， 基于指纹识别的身份认证技术 在安全性和用户的透明性方面，是解决网络用户身份认证的有效途径。 然而， 在现有的大多数基于生物特征的身份认证技术中，认证信息几乎都是以明 文形式 在网 络上传播， 指纹识别技术也不例外。从系统的角度看， 指纹 特征值仅仅是一个比 特串 ， 与任何其他的密钥没有什么不同。 在网 络上， 如果没有任何保护措施， 基于指纹的身份认证系 统同 样对重发攻击没有免疫力， 而且极容易被非法用户窃取。 因此， 本文对网 络加密体制与指 纹识别技术进行了 深入的探讨， 提出 利用指纹作为身份认证的依据并结合公钥、对称加密体 制以 实现网 络信息安全传输的 认证方案， 设计了 一种基于指纹加密技术的网络身份认证协议， 构建了 一个基于此协议的身份认证系统， 具体工 作内容如下: i . 设计了 一种基于指纹加密技术的网 络身份认 证协议。 本文首先分析了 协议的安全性要 求和技术要求， 确定了协议的 主体的身 份， 然后根据认证机制将协议分成两个部分: 注册阶段 的认证协议和认证阶段的认证协议， 分别设计了协议具体的执行过程。 2 . 协议的b a n 逻辑形式化分析。 本文通过对认证协议进行形式化分析， 来研究认证双方 是否相信正是认证双方在相互通信而不是和入侵者。 b a n 逻辑分析分为5 个步骤: 协议理 想化， 将实际协议中的 信息转换成相应的b a n 逻辑语言表示形式。 确定初始假设，确定身 份认证协议运行的初始信仰假设和状态假设。 将逻辑公式附 加于协议语句。 逻辑化推 理，对假设和断言运用推理规则， 对理想化后的协议进行逻辑推导， 以求出协议参与者所拥 南京信息工程大学硕十学位论文 基于指纹加密技术的网络身份认证研究及应用 多 采用单向函 数 ( h a s h ) 保护 特征信息 d 1 2 .公开密钥、证书管理中的应用。 k d c( 密钥分配中心) 利用指纹作为身份认证的依 据对用户的 公开密 钥进行分配和管理 18 1; 用户也可以 通过指 纹身 份 认证向 证书认 证中 心( c a ) 提出证书的申 请。 1 . 3作者的主要工作 网络安全是目 前信息系统应用的 一个重要研究方向， 而身份认证技术是能够对信息收发 方进行真实身份鉴别的技术， 是保护网络信息资源安全的第一道大门， 在安全系统中的地位 极其重要，如何确定用户身份以控制用户对信息资源的访问，是一个值得研究的问题。 本文首先对目 前常用的身份认证技术的发展现状和技术特点进行了 综述， 在分析和比较 了各种身份认证技术的优劣后发现， 相对于传统的认证技术， 基于指纹识别的身份认证技术 在安全性和用户的透明性方面，是解决网络用户身份认证的有效途径。 然而， 在现有的大多数基于生物特征的身份认证技术中，认证信息几乎都是以明 文形式 在网 络上传播， 指纹识别技术也不例外。从系统的角度看， 指纹 特征值仅仅是一个比 特串 ， 与任何其他的密钥没有什么不同。 在网 络上， 如果没有任何保护措施， 基于指纹的身份认证系 统同 样对重发攻击没有免疫力， 而且极容易被非法用户窃取。 因此， 本文对网 络加密体制与指 纹识别技术进行了 深入的探讨， 提出 利用指纹作为身份认证的依据并结合公钥、对称加密体 制以 实现网 络信息安全传输的 认证方案， 设计了 一种基于指纹加密技术的网络身份认证协议， 构建了 一个基于此协议的身份认证系统， 具体工 作内容如下: i . 设计了 一种基于指纹加密技术的网 络身份认 证协议。 本文首先分析了 协议的安全性要 求和技术要求， 确定了协议的 主体的身 份， 然后根据认证机制将协议分成两个部分: 注册阶段 的认证协议和认证阶段的认证协议， 分别设计了协议具体的执行过程。 2 . 协议的b a n 逻辑形式化分析。 本文通过对认证协议进行形式化分析， 来研究认证双方 是否相信正是认证双方在相互通信而不是和入侵者。 b a n 逻辑分析分为5 个步骤: 协议理 想化， 将实际协议中的 信息转换成相应的b a n 逻辑语言表示形式。 确定初始假设，确定身 份认证协议运行的初始信仰假设和状态假设。 将逻辑公式附 加于协议语句。 逻辑化推 理，对假设和断言运用推理规则， 对理想化后的协议进行逻辑推导， 以求出协议参与者所拥 南京信息工程大学硕十学位论文基于指纹加密技术的网络身份认证研究及应用 有的信仰。 对最终的逻辑结果进行判断来确认是否达到了 协议设计的目 的， 协议中 是否存 在着漏洞。b a n 逻辑形式分析表明， 协议的逻辑设计能够实现用户与服务器间的双向认 证。 3 . 构建了一个基于指纹加密技术的网络身份认证系统。系统使用j c r e a t o r 作为软件开 发 平台 ，以m i c r o s o ft s q l s e rv e r 2 0 0 0 为 后台 数据 库建立用 户指纹 特征信息 库， 在密钥协 议 的支持下， 通过t c p / i p 的流式s o c k e t 套接字， 完成系统的客户/ 服务器之间的安全通信， 最 后对系统在保证用户认证信息的机密性 及抵御s t o l e n - v e r i f i e r 和重发攻击方面的能力进 行 了测试。 南京信息工程大学硕士学位论文基于指纹加密技术的网络身份认证研究及应用 第2 章 网络加密算法与身份认证技术 2 . 1 网络安全发展现状 随着信息的多元化及数字化的迅猛发展， 信息安全技术越来越显示其重要地位， 而且信 息安全技术应用水平的高低直接影响了 信息高速公路建设的进一步发展。 近二十年来， 由于 计算机硬件处理能力的 极大提高和密码学的 迅速发展， 信息安全理论与 技术也得到了 丰富和 逐步完善。 计算机网络安全是指利用网络管理控制和技术措施， 保证在网 络环境里信息数据的机密 性、 完整性及可使用性受到 保护4 6 1 。当 前保 护网 络安全的 主 要方法和 途径有: 1 .防火墙技术: 采用隔离控制技术， 在内 部网 和外部网 之间构成一道屏障，监测、限 制、 更改 通过它的数据流， 对外屏蔽内 部网的信息、 结构和运行状况， 防止发生网络入侵和 攻击，实现对内部网的安全保护。 2 . 加密技术:加密是通过对信息的重新组合， 使得只有收发双方才能解码还原 信息。 在网络应用中一般采用两种加密方法，即对称加密和非对称加密。 3 .数字签名:通过散列函数获取明 文的消息摘要， 用发送端私钥加密此消息摘要， 形 成数字签名，以此保证数据完整性和真实性。 4 身份认证:计算机系统的用户在进入系统或访问 不同 保护级别的系统资源时，系统 确认该用户的身份是否真实、 合法和唯一。 身 份认 证技 术 12 j是网 络安 全理论与 技术的 一 个重 要方面， 它是 系统的 第一道防 线， 通过 鉴别用户身份。 限制非法用户访问网 络资 源。 本文集中针对网 络安全中的 身份认证技术及应 用进行研究。 2 . 2 网络加密算法概述 2 . 2 . 1对称密钥算法( 又称单钥加密算法) 一般用于传送内容加密。此时， 信息的 发送者和信息的接收者持有同一密码( 称为对称 密 码) 。 对称密 码体制加密算法简便高效， 密钥 简短， 破译极其困 难。 但是，由 于系统的 保 密 性 主 要 取决 于 密 钥的 安 全 性 1 1 3 1 所以 在 公 开 的 计 算 机网 络 上安 全 地 传 送 和保 管 密 钥 是 一个 严峻的问题。 南京信息工程大学硕士学位论文基于指纹加密技术的网络身份认证研究及应用 第2 章 网络加密算法与身份认证技术 2 . 1 网络安全发展现状 随着信息的多元化及数字化的迅猛发展， 信息安全技术越来越显示其重要地位， 而且信 息安全技术应用水平的高低直接影响了 信息高速公路建设的进一步发展。 近二十年来， 由于 计算机硬件处理能力的 极大提高和密码学的 迅速发展， 信息安全理论与 技术也得到了 丰富和 逐步完善。 计算机网络安全是指利用网络管理控制和技术措施， 保证在网 络环境里信息数据的机密 性、 完整性及可使用性受到 保护4 6 1 。当 前保 护网 络安全的 主 要方法和 途径有: 1 .防火墙技术: 采用隔离控制技术， 在内 部网 和外部网 之间构成一道屏障，监测、限 制、 更改 通过它的数据流， 对外屏蔽内 部网的信息、 结构和运行状况， 防止发生网络入侵和 攻击，实现对内部网的安全保护。 2 . 加密技术:加密是通过对信息的重新组合， 使得只有收发双方才能解码还原 信息。 在网络应用中一般采用两种加密方法，即对称加密和非对称加密。 3 .数字签名:通过散列函数获取明 文的消息摘要， 用发送端私钥加密此消息摘要， 形 成数字签名，以此保证数据完整性和真实性。 4 身份认证:计算机系统的用户在进入系统或访问 不同 保护级别的系统资源时，系统 确认该用户的身份是否真实、 合法和唯一。 身 份认 证技 术 12 j是网 络安 全理论与 技术的 一 个重 要方面， 它是 系统的 第一道防 线， 通过 鉴别用户身份。 限制非法用户访问网 络资 源。 本文集中针对网 络安全中的 身份认证技术及应 用进行研究。 2 . 2 网络加密算法概述 2 . 2 . 1对称密钥算法( 又称单钥加密算法) 一般用于传送内容加密。此时， 信息的 发送者和信息的接收者持有同一密码( 称为对称 密 码) 。 对称密 码体制加密算法简便高效， 密钥 简短， 破译极其困 难。 但是，由 于系统的 保 密 性 主 要 取决 于 密 钥的 安 全 性 1 1 3 1 所以 在 公 开 的 计 算 机网 络 上安 全 地 传 送 和保 管 密 钥 是 一个 严峻的问题。 南京信息工程大学硕上学位论文基于指纹加密技术的网络身份认证研究及应用 1 .d e s ( u s f e d e r a l d a t a e n c r y p t i o n s t a n d a r d ) d e s 算法是全世界最广泛使用的 加密 算法。 作为美国政府的数据加密标准， 其应用范围 非常广泛。 d e s 是一种分组加密体制， 它将明 文按6 4 位一组分成若干组， 密钥长 度为5 6 位。 其基本 思想是采用变换的组合与迭代， 将明 文中的 各组明 文变成密文组。 其变换过程如图2 . 1 , 2 . 2 , 2 . 3 所示: 其中l, r分别表示左半部的3 2 位和右半部的3 2 位。 变换的 表达式为: l + i = r( 交换 ) : r + t = l . fl( k n , r ) , f ( k,r c ) 就是图2 . 2 的函 数。 即 右 半部3 2 位r 。 按一定规则扩展得到4 8 位， 然后与4 8 位的k 。 进行模二加运算得到8 块( 每块6 位， 共4 8 位) 。此后再对其进行错位、置换， 最后得到的 就是f ( k, r)( 如图2 . 3 ) 0 图2 . 1 d e s 算法结构 图2 2加密变 换 图2 . 3 f ( k , . r , ) 的产生 南京信息工程大学硕士学位论文基于指纹加密技术的网络身份认证研究及应用 解密算法与 加密算法相同 ， 算法的次 序也相同， 但解密时的密钥与加密时密钥次 序相反。 例如，第 1 6次加密用的密钥作为第一次解密密钥，以此类推，这是由于 r = l i , l . . f ( k , r . ) = r. j , 所以l r . , , . f ( k n , r) . d e s 的主要弱点是密钥太短及s 盒可能隐含有陷门，目 前依靠i n t e rn e t 分布计算能力， 用穷搜索法破译d e s己 成为可能，此外，d e s 算法比较复杂，不易实现。 2 .三重des d e s的密码学缺点是密钥长度相对比 较短，为了 解决其长度的问题，提出了 三重 d e s 算法. 这种方法 用两个密钥 对明 文进行三次 加密， 假设两 个密 钥是k i 和k 2 - ( 1 ) 用密钥k , 进行d e s 加密; ( 2 ) 用k 2 对 ( 1 ) 的结果进行d e s 解密: ( 3 ) 用 ( 2 )的结果使用密钥k ! 进行d e s 加密。 加密: c二 e k i d k 2 e k 1 p 1 1 1 ( 2 - 1 ) 解密: p 二 d k 1 e k 2 d k d c ) ll ( 2 - 2 ) 三重 d e s算法扩展其密 钥长度的一种方法，可使加密密钥长度扩展到 1 2 8比 特 ( 1 1 2 比特有效)或 1 9 2 比 特 ( 1 6 8 比 特有效) a 这种方法的缺点是系统花费是原来的 三倍， 加密速度变慢。但经过优化的三重 d e s算 法加密效率和d e s 差不多， 三重d e s 的1 1 2 位密钥长 度是很 “ 强壮”的加密方式了。 3 . i d e a ( i n t e r n a t i o n a l d a t a e n c r y p t i o n a l g o r i t h m ) 这是在瑞士苏 黎世开发的一种算法， 这个算法被认为非常安全。 这是目 前世界上最好的 公开的 加密算法， 也是一种比 较新的 算法。 i d e a的 密钥长度是1 2 8 位， 比d e s 长了2 倍多。 由 于在设计时已 经考虑到了 如差分攻击等密码分析的 威胁， 所以 至今还未发现比 较成功的 攻 击 d e a的方法。从这点来看， i d e a还是很安全的。 4 . a e s( 高级加密标准) 2 0 0 。 年的1 0 月，美国 政府选定了 新的 加密算法r i j n d a e i 作为其高级加密标准( a e s ) a a e s 算 法是 对称 加 密的 迭 代 分 组 密 码 2 4 1 。 它的 输 入 分 组、 输出 分 组以 及 加 / 解 密 过 程中 的 中 间分组都是1 2 8 比 特。 密钥的长 度k 为1 2 8 , 1 9 2 或2 5 6 比 特。用n k = 4 , 6 , 8 代表密钥串的字 数( 1 字二 3 2比 特) ， 用n , 表示对一 个数据分组加密的 轮数。 每一轮都需要一个和输入分组具 南京信息工程大学硕士学位论文基于指纹加密技术的网络身份认证研究及应用 有同 样长 度( 1 2 8 比 特) 的扩展密钥k e 的参与。 由 于外部输入的 加密密钥k 长度有限， 所以在 a e s 中 要用一个密钥 扩展程序( k e y e x p a n s io n ) 把 外部密 钥k 扩展 成更长的比 特串 ， 以 生 成各 轮的加密密钥。 a e s 的 加密与 解密过 程2 9 1 如图2 . 4 所示。 1 与 扩 展 密 钥 的 异 或 运 算 s 盒变换 行变换 与扩展密钥的异或运算 输出1 2 8 位数据 1 2 8 位数据分组 与扩展密钥的异或运算 反行变换 反 s盒变换 与扩展密钥的异豆 反列变换 反行变换 反列变换 与 扩展密钥的异或运算 输出1 2 8 位数据 图2 . 4 a e s 的 加密 与 解密框图 ( 1 )加密变换 设x是a e s 的1 2 8 比 特明文输入， y 是1 2 8 比 特的密文输出， 则a e s 密文y 可以用下面的 复 合 变 换 表 示: y = a k ( i )-r -s c -r -s -a k (, - p . . . -c r s -a 9 i ( x ) i 其 中 符 号“ .， 表 示 复 合 运 算 。 这里a k ; 表示对x的 一 个变换， a k i( x ) = x (9 k ; ( k ， 为 第i 轮的 子密 钥， 为比 特串 的 异或 运算) 。 s 表示s 盒置换。即对每一个字节用s - b o x 做一个置换。 s - b o x 是一个给定的转换表。 r 表 示行置换， c 表示列置换。s ( x 卜a ( x ) 。 s ( x ) 。变换表达式如2 - 3 所示: 南京信息工程大学硕士学位论文基于指纹加密技术的网络身份认证研究及应用 ( 2 - 3) 刊leses月.leseseseellj socsl，c肠气 厂一illesesesl 11冉j， nunu八uo 01030201 03020101 02010103 一leswe - 刁leseseseslltesesesj 0ci1，2，c，3，c 5占55 尸leseseseeeeesse十. ( 2 ) 解密变换 解密变换是加密变换的逆变换， 这里不再详述。 a e s 的输出 具有很高的随机性， 对1 2 8 比 特、 轮数为7 的密文进行攻击时需 要几乎整个 的密码本， 对 1 9 2 , 2 5 6比 特加密的密文进行攻击不仅需要密码本， 还需要知道相关的 但并 不知道密钥的密文， 具有很高的安全性。 a e s 解密的密码表和加密的密码表是分开的，支持 子密钥加密，这种做法优于最初的用一个特殊的 密钥解密， 很容易防护幂攻击和同步攻击， 加密和解密的速度也很快。 儿种算法的性能比 较见表2 . 1 表2 . 1对称加密算法的性能比 较 算法密钥长度分组长度循环次数 d e s5 66 4 1 6 三重 d e s1 1 2 , 1 6 86 44 8 a e s1 2 8 , 1 9 2 , 2 5 61 2 8 1 0 , 1 2 , 1 4 i d 队1 2 86 4 8 2 . 2 . 2 公开密钥算法( 双密钥算法) 是指加密密钥和解密密钥为两个不同 密钥的算法， 一 般用于密钥交换和数字签名。 公钥 密码算法不同于单钥密码算法， 依据密钥的 性质划分， 可分为公钥和私钥两种: 用户产生一 对密钥， 将其中的一个向外界公开， 称为公钥; 另一个则自己保留， 称为私钥。 通信双方无 需事先交换密钥就可以 进行保密通信。 这两个密钥之间 存在着相互依存的关系， 即 用其中 任 一个密钥加密的 信息只能用另一个密钥进