浅析身份认证技术

1、浙江财经大学东方学院学年论文论文题目:浅析身份认证技术学生姓名分院班级戚佳佳指导教师.张琼妮信息专业名称.计算机科学与技术11计算机（2）班学 号III! I I I I I I I I I I I I I I I I I I 2014年4月6日浅析身份认证技术摘 要：在这个信息化社会，计算机技术的发展使得信息安全问题倍受关注。为 了保证信息的保密性以及信息的完整性和有效性，认证技术在日新月异的生活中 引申了出来。数字签名技术在身份识别和认证、数据完整性、抗抵赖等方面具有 其它技术所无法替代的作用，在这个高科技时代，出现了许多身份认证技术。身 份认证技术也在不断的发展和改进。关键词：身份认证;

2、信息技术；物理身份认证；生物认证技术身份认证技术的定义身份认证是指计算机及网络系统确认操作者身份的过程。计算机系统和计算 机网络是一个虚拟的数字世界，在这个数字世界中，一切信息包括用户的身份信 息都是用一组特定的数据来表示的，计算机只能识别用户的数字身份，所有对用 户的授权也是针对用户数字身份的授权。而我们生活的现实世界是一个真实的物 理世界，每个人都拥有独一无二的物理身份。如何保证以数字身份进行操作的操 作者就是这个数字身份合法拥有者，也就是说保证操作者的物理身份与数字身份 相对应，就成为一个很重要的问题。身份认证技术的诞生就是为了解决这个问题。身份认证技术是在计算机网络中确认操作者身份的过

3、程而产生的解决方法。 所谓“没有不透风的墙”，你所知道的信息有可能被泄露或者还有其他人知道， 杨子荣就是掌握了 “天王盖地虎，宝塔镇河妖”的接头暗号成功的伪造了自己的 身份。而仅凭借一个人拥有的物品判断也是不可靠的，这个物品有可能丢失，也 有可能被人盗取，从而伪造这个人的身份。只有人的身体特征才是独一无二，不 可伪造的，然而这需要我们对这个特征具有可靠的识别能力。认证是指核实身份的过程，是防止主动攻击的重要技术。认证不能自动地提 供保密性，而保密也不能自然地提供认证功能。一个纯认证系统的模型如图1-1 所示，在这个系统中发送者通过一个公开信道将信息传送给接收者，接收者不仅 想收到消息本身，还要

4、通过认证编码器和认证译码器验证消息是否来自合法的发 送者以及消息是否被篡改。身份认证的必要性当今社会网络迅速发展，但也因为网络的发展使得个人信息，部门信息乃至 国家机密等面临着相应的威胁。网络上出现了很多黑客和间谍，所以改进信息加 密方面的工作迫在眉睫。在信息安全领域中，一方面是保证信息的保密性，防止通信中的机密信息被 窃取和破译，防止对系统进行被动攻击；另一方面是保证信息完整性、有效性， 即要搞清楚与之通信的对方的身份是否真实，证实信息在传输过程中是否被篡g 改、伪装、串扰和否认，防止对系统进行主动攻击。常见物理身份认证技术3.1基于秘密信息的身份认证方法3.1.1 口令核对在鉴别用户身份时

5、最常见也是最简单的方法就是口令核对法：系统为每一个 合法用户建立一个用户名/口令对，当用户登录系统或使用某项功能时，提示用 户输入自己的用户名和口令，系统通过核对用户输入的用户名、口令与系统内已 有的合法用户的用户名/口令对是否匹配，如与某一项用户名/口令对匹配，则该 用户的身份得到了认证。3.1.2单向认证通信的双方只需要一方被另一方认证的过程就是单向认证。例如：口令核对 实际是一种单向认证，只是这种简单的单向认证还没有与密钥分发相结合。与密钥分发相结合的单向认证主要有两类：一类采用对称密钥加密体制，需 要一个可以参与的第三方，通常是KDC （密钥分发中心）或人、（认证服务器）， 由这个第三

6、方来实现通信双方的身份认证和密钥分发；另一类采用非对称密钥加 密体制，无需第三方参与。需第三方参与的单向认证：1、A t KDC : IDA|IDB| N1、KDC t A : EKaKs | IDB | N1 | EKb Ks | IDA、A t B : EKb Ks | IDA | EKsM无需第三方参与的单向认证：:EKUbKs | EKsM如果主要关心的是认证，而不考虑保密，可采用方法A t B : M | EKRaH（M）既需要考虑认证，又需要考虑保密，可采用方法：EKUbM | EKRaH（M） （1-1）3.1.3双向认证在双向认证过程中，通信双方需要互相认证鉴别各自的身份，然后

7、交换会话 密钥，双向认证的典型方案是Needham/Schroeder协议。Needham/Schroeder Protocol 19781、A t kdc : idaI|idb|N12、KDC t A : E K |ID |N |E K |IDKa sB 1 Kb sA3、A t B :E K |IDKb s A4、 B t A :EKsN25、 A t B :EKsf（N2）在真实世界，对用户的身份认证基本方法可以分为这三种：1）根据你所知道的信息来证明你的身份（你知道什么）；2）根据你所拥有的东西来证明你的身份（你有什么）；3）直接根据独一无二的身体特征来证明你的身份（你是谁），比如指纹

8、、面貌 等。根据安全水平、系统通过率、用户可接受性、成本等因素，可以选择适当的 组合设计实现一个自动化身份认证系统。常见生物身份认证技术4.1何为生物认证技术现在我们来看一下生物认证技术。生物认证二生理特征+行为特征，生物特征 具有稳定性、唯一性、方便性、不易遗忘等特点，常用的生物特征包括脸像、虹 膜、指纹、掌纹、声音、笔迹等，许多国家将其作为重大基础战略技术加以研究。 4.2高级生物识别技术4.2.1指纹指纹认证是目前国内最为成熟的生物认证技术。在古代就被用来代替签字画 押，证明身份。由于指纹认证具有方便、可靠、非侵害和价格便宜的的特点，已 经在许多行业领域中得到了广泛的应用，如公司或单位的

9、考勤指纹机，银行、证 券等金融系统的门禁系统，笔记本电脑的指纹识别器，以及犯罪现场的指纹识别 等。指纹是指人的手指末端正面皮肤上凸凹不平产生的纹线。纹线有规律的排列 形成不同的纹型。纹线的起点、终点、结合点和分叉点，称为指纹的细节特征点。 指纹认证就是通过比较不同指纹的细节特征点来进行鉴别。由于每个人的指纹不 同，就是同一人的十指之间，指纹也有明显区别，而且终身不变，因此指纹可用 于身份认证。4.3次级生物识别技术4.3.1人脸人脸识别指利用分析比较人脸视觉特征信息进行身份认证的计算机技术。目前常用于数码相机人脸自动对焦和笑脸快门技术、公安刑侦破案、门禁系 统、摄像监视系统等领域。由于人脸识别

10、是利用可见光获取人脸图像信息，不容易引起人的注意而不容 易被欺骗，而且在实际应用场景下可以进行多个人脸的分拣、判断及识别。但是人脸容易受到表情、观察角度、光照条件（例如白天和夜晚，室内和室 外等）、人脸的很多遮盖物（例如口罩、墨镜、头发、胡须等、年龄等多方面因 素的影响，从而影响识别的准确度。4.3.2手形手形指的是手的外部轮廓所构成的几何图形。在手形识别技术中，手形的几 何信息包括手指不同部位的宽度、手掌宽度和厚度、手指的长度等。经过生物学家大量实验证明，人的手形在一段时期具有稳定性，且两个不同 人手形是不同的，即手形作为人的生物特征具有唯一性。而且手形也具有稳定性， 且比较容易采集，故可以

11、利用手形对人的身份进行认证。手形识别是速度最快的一种生物识别技术，它对设备的要求较低，图像处理 简单，且可接受程度较高。由于手形特征不像指纹那样具有高度的唯一性。因此， 手形特征只用于满足中/低级安全要求的认证。4.3.3语音语音识别的研究发展过程中，相关研究人员根据不同语言的发音特点，设计 和制作了以汉语（包括不同方言）、英语等各类语言的语音数据库，这些语音数 据库可以为国内外有关的科研单位和大学进行汉语连续语音识别算法研究、系统 设计及产业化工作提供充分、科学的训练语音样本。例如：MIT Media lab Speech Dataset （麻省理工学院媒体实验室语音数据集）、Pitch a

12、nd Voicing Estimates for Aurora 2（Aurora2语音库的基因周期和声调估计）、Congressional speech data （国 会语音数据）、Mandarin Speech Frame Data（普通话语音帧数据）、用于测试盲源 分离算法的语音数据等。身份认证技术存在的问题5.1 口令认证存在的问题口令认证的安全性仅仅基于用户口令的保密性，而用户口令一般较短且容易 猜测，因此这种方案不能抵御口令猜测攻击；另外，攻击者可能窃听通信信道或 进行网络窥探，口令的明文传输使得攻击者只要能在口令传输过程中获得用户口 令，系统就会被攻破。例如在学校寝室上网需要闪讯

13、密码，以前的密码都是固定 的，而且是六位，很容易被他人猜出并使用，使得账号拥有者不能很好使用闪讯 资源并导致IP账号冲突。而现在的闪讯密码每天修改，这就具有了一定的安全 性和时效性，虽然对用户造成了不便但胜在安全保密性好。在网络环境下，明文传输的缺陷使得这种身份认证方案变得极不安全，一些 网络环境中的服务，如FTP，虽然仍然使用了明文传输的用户名/口令身份认证 方案，但多数时候这种服务已经退化为无需口令（或口令公开）的匿名文件传输 服务。解决的办法是将口令加密传输，这时可以在一定程度上弥补上面提到的第二 个缺陷，但攻击者仍可以采用离线方式对口令密文实施字典攻击。加密传输口令的另一个困难是加密密

14、钥的交换，当采用对称密钥加密方式 时，要求认证方和被认证方共享一个密钥，但由于身份认证前双方的身份还不明 确，不可能预先共享一个密钥，解决的办法是求助于第三方一一一个可信任的权 威机构，这就是下面要分析的认证方案的思想。当采用非对称密钥加密方式时， 口令可以用认证方的公钥加密，由于公钥可以通过公开的渠道获得，这时不存在 采用对称密钥加密时遇到的那种矛盾，当然，这也需要密钥分发机制的配合。由 此，我们可以了解，身份认证与密钥分发的紧要联系。5.2指纹认证存在的问题在指纹认证系统中，由于指纹自身的特点，用户识别和用户验证这两部分是 紧密关联的，其功能合一，就像原本“一把钥匙只能找到相匹配的锁”才能

15、“开 锁”继续做接下来的事，变成现在“钥匙和锁捆绑在一起”直接就能开锁完成下 续操作的情况，从而使的在认证上减少了一道程序，造成一旦指纹数据被窃取， 窃取者就可以永久直接使用指纹信息进行认证操作。在网络方面，所有信息都是以明文默认形式进行传输，也就是说，只要有相 应的技术，就可以看到传输的数据，而且实际上，这种技术已经出现，比如 “sniffer”技术，就是一种网络嗅觉技术。如果指纹特称信息以某种数据流的 形式进行传输，并且被“黑客”所获得，那么“黑客”就可以用窃取者的指纹特 征信息来达到自己的目的，因此这种不安全的传输要避免。5.3语音识别存在的问题目前，还不能合理描述运动器官的运动规律，并

16、且还没有从语言信号声波中 有效的只提取个性信息，不含有语音信息的有效技术，大多数声音识别系统都是 以语音信号的某些特征参数作为说话人个性特征的度量，使得所得到的特征不可 能全面的描述个性信息。除此之外，目前声音识别还没有特别有效的对噪声的处理方法。声音可以通 过通讯线路传输，但不可避免地带来线路噪声。并且，不同的通讯线路所带来的 噪声情况可能是不同的，即使是同一通讯线路在不同时期，其噪声也往往是不同 的。身份认证技术的未来发展趋势6.1基于量子密码的认证技术量子密码技术是密码学与量子力学相结合的产物，采用量子态作为信息载体， 经由量子通道在合法用户之间传递密钥。量子密码的安全性是由量子力学原理

17、所保证。“海森堡测不准原理”是量子力 学的基本原理，指在同一时刻以相同精度测定量子的位置和动量是不可能的，只 能精确测定两者之一。“单量子不可复制定理”是“海森堡测不准原理”的推论， 它指在不知道量子状态的情况下复制单个量子是不可能的，因为复制单个量子只 能先作测量，而测量必然改变量子状态。量子密码技术经典密码学所无法达到的 两个最终目的：一是合法的通信双方课察觉潜在的窃听者饼采取相应措施；二是 使窃听者无法破解量子密码，无论企图破坏者多么强大，将量子密码技术的不可 窃听性和不可复制性用于认证技术则可以用来认证通信双方身份，原则上提供了 不可破译、不可窃听和大容量的保密通讯体系。真正做到了通信

18、的绝对安全。6.2思维认证技术思维认证技术是一种全新的身份认证方式，他是以脑一机接口技术为基础， 有望替代传统的身份认证方式。脑一机接口技术通过实时记录人脑的脑电波，在一定程度上解读人的思维信 号。其原理是：当受试主体的大脑产生某种动作意识之后或者受到外界刺激后， 其神经系统的活动会发生相应改变。这种变化可以通过一定的手段检测出来。并 作为意识发生的特征型号，最吸引人的地方在于，试验表明即使对于同一个外部 刺激或者主体在思考同一件事件的时候，不同人的大脑所产生的认知脑电信号是 不同的。也就是说这些思维信号携带有主体的第一无二的特性，因此人们可以通 过探测被试者的脑部的响应变化来进行身份认证。6

19、.2自动认证技术自动认证技术是认证技术的演进方向，可以融合多种认证技术（标识认证技 术、基于量子密码的认证技术、思维认证技术、行为认证技术等），可以接受多 种认证手段（口令，KEY，证书，生物特征信息等），提供接入多元化、核心 架构统一化、应用服务综合化的智能认证技术。自动认证技术其原理是：综合 利用各个认证因子作为整个认证系统的输入，利用专家知识系统对其进行判断， 对其没有通过认证的和假冒成功的综合因子的特征信息通过免疫技术学习进化 使得专家知识库不断更新，同时通过数据挖掘技术来识别专家知识库中的潜在威 胁。总而言之，未来的身份认证技术趋于量子化，思维化，自动化。安全性不断 提高，使得黑客越

20、来越难以窃取信息，不过身份认证技术的发展离不开科技的发 展，网络的发展。随着生命医学的发展，生物识别已应用到政府、金融、国防、教育、制造业、 电信、电子商务等领域。但是，面对目前中国的发展，很快让大众使用生物识别 技术还不太现实。生物识别技术没有真正普及，很多技术等待探索，那么怎样保证网上银行用户的安全，将是银行、软件提供商和政府的重要责任之一。个人的看法和展望以上的这几种认证技术是我所了解到的比较常见和常用的认证技术。它们有 着各自优点和不足。我们之所以那么重视身份认证的重要性是为了保证安全的通 信机制。身份认证技术在信息安全技术中处于非常重要的地位，是其他安全机制 的基础。只有实现了有效的身份认证，才能保证访问控制、安全审计和入侵防范 等安全机制的有效实施。随着电子商务、网上支付和网上银行等业务的快速发展， 账户被盗的事件越来越频繁发生，用户对于使用网络进行商务和支付缺少安全 感，使得计算机网络在某些领域的发展受到限制