身份认证技术论文
身份认证技术论文范文第1篇
关键词:口令认证;智能卡;生物特征;身份认证技术;事件同步技术
中图分类号:TP316
文献标识码:A
文章编号:1009-2374(2011)22-0036-02
身份认证是网络安全的第一道防线,也是最重要的屏障,网络中的各种应用和计算机系统都需要通过身份认证来判断当前用户是否合法,确定用户的身份,从而使合法用户获得的相应访问权限。对于不合法用户则拒绝访问。本文主要针对身份认证技术和优劣作简要分析。
一、身份认证的原理分析
身份认证技术主要是基于这四个要素:
“你所知道的”,如密码、口令、知识等;“你所拥有的”,如一个动态口令卡、一个IC卡、令牌或USBKEY等;“你是谁”,如指纹、脸像、虹膜、声音、笔迹等;“你所处得位置”,如地理位置、IP地址等。
本文讨论的动态口令身份认证、智能卡身份认证、基于地址的认证、IBE身份认证、生物特征识别技术,都是基于这几个要素或是在这几个要素的基础之上,相互结合发展而来。
(一)简单口令认证
简单口令认证是基于“你所知道的”最常见的认证技术,它以用户名/密码形式来对用户进行身份认证,只要用户输入正确密码,就判断为合法用户,如图1所示:
简单口令认证大多采用的是静态密码作为认证的基本因素,静态密码适用在对安全性要求不高的环境中,对于封闭的小型系统来说不失为一种简单可行的方法。
(二)动态口令认证
动态口令认证是一种一次性口令,为了解决静态口令安全性问题,动态口令技术让用户的密码按照时间或使用次数不断动态变化,每个密码只使用一次。动态口令技术主要分两种:同步口令技术和异步口动态令牌,其中同步口令技术又分为时问同步和异步口令技术。
时间盟同步技术采用动态令牌的专用硬件、内置、密码生成芯片和显示屏,密码生成芯片运行专门的密码算法,根据当前时问或使用次数生成当前密码并显示在显示屏上,认证服务器采用相同的算法计算当前的有效密码。用户使用时只需要将动态令牌显示的当前密码输入客户端计算机即可实现身份的确认。由于每次使用的密码验证通过就可以认为该用户是可靠的,用户每次使用的密码都不相同,即使黑客截获了一次密码,也无法利用这个密码仿冒合法用户的身份,动态口令技术采用一次一密的方法,有效地保证了用户身份的安全性。
事件同步技术,它不同于时间同步技术,它通过某一特定的事件次序及相同的种子值作为输入,在算法中运算出一致的密码,事件动态口令技术让用户的密码按照使用次数不断动态变化,用户每按下一次令牌就产生一次密码。
如图2所示,用户令牌用预设的密钥与用户按键的次数通过密码算法生成所需的口令,认证服务器同时根据每次用户登录事件计算出相同密码,与传过来的口令进行比较,以确认登录人的身份。
(三)基于智能卡的身份认证
已经应用很广泛,如USBKEY、SIM卡、SD卡等。智能卡的身份认证主要是利用了智能卡本身具有的运算能力以及智能卡与外界隔离的存储。下面以USBKEY讲述智能卡认证方式,当需要在网络中验证客户身份时,先由客户端向服务器发出一个验证请随机数求,服务器收到此请求后,生成一个随机数,将此随机数传给客户端,客户端将此随机数通过USB接口传给USBKEY硬件,USBKEY将此随机数与本身存储的密钥和在一起,进行散列运算得到一个结果,再将该结果作为认证数据传送给认证服务器;与此同时服务器也将产生的随机数与存放在服务器端的客户密钥进行相同的散列运算,并将得到的结果与客户端传送来的结果进行比较,如果相同则认为客户端是一个合法用户。
由于散列的运算及密钥读取等相关操作只会在USBKEY设备和服务器中进行,不会在客户端留下任何痕迹,同时,所使用的算法是不可逆算法,也就不用担心在客户端木马病毒、黑客等因素。密钥的安全性取决于算法的强度,又由于使用了动态密码算法,因此,大大提高了这种应用的安全性。但此种方式仍然无法保护用户数据网络传输过程的安全。
(四)生物特征识别技术
生物识别技术是利用每个人所具有的唯一生理特征。一般可用于身份识别的特征有指纹、脸像,虹膜、掌纹、声音、视网膜和DNA等人体的生理特征,以及签名、步态等行为特征。
这些生物特征具有稳定性、唯一性、方便性、不易遗忘等特点。不同的生物识别认证的原理大致相同,一般的结构如图3所示。模板数据库中存放了被认证方的特征数据。用户登录时,由传感器对用户的特征进行采集、量化,通过特征提取模块提取用户的特征码,再与模板数据库中存放的掌纹数据以某种算法进行比较,如果相符,则认证通过。
二、不同技术的优势
简单口令认证的优点简单易行,尤其成本低,适合安全性要求不高的小型系统。动态口令是随机的,口令不可预测并且口令不能重复使用,即使被窃听,也不会造成很大的损失。不过动态口令实现复杂,应用技术不够成熟,在解决同步问题上不够完美。智能卡实现成本低,使用方便、可靠性强,可以很好的与现有的其它认证技术相结合。生物特征识别的优点:不易遗忘,不易丢失;防伪性能好,不易伪造;使用方便,
“随身携带”,随时随地都可以使用。
三、结语
本文讨论目前比较主流的几种身份认证技术,分析了每种技术的优势,身份认证技术在网络安全中发挥着重要的作用,随着internet的发展,尤其电子商务和电子政务的迅速发展,对通信安全的要求越来越高,认证技术在理论和技术上将得以更快、更好的发展。
参考文献
[1]刘知贵.基于事件同步及异步的动态口令身份认证技术
研究[J]计算机应用研究,2006,(6).
[2]罗斌.网络身份认证新技术[J].计算机安全,2005,(1).
[3]吴东生以指纹特征为基础的网上金融及商务身份认证
身份认证技术论文范文第2篇
【 关键词 】 一次性口令;脚本;身份验证
1 引言
口令是计算机用户普遍使用的一种认证方式,被普遍应用于Web系统中。一般的认证体系是使用静态口令进行用户身份验证,即用户网上传输的是重复使用同一个口令登录到系统中。但这种方法还存在许多缺陷,如易猜测、易被窃取、若不加密,能清楚地被看到明文。一次性口令验证方案就是在登录过程中加入不确定因素,使用户每次登录系统时传送的口令都不一样。
GJ.Simmons在1984年提出了认证系统的信息理论,为认证系统的研究奠定了理论基础。认证理论有两个主要目标:一个是推导出欺骗者成功的概率降低;另一个是构造欺骗者成功概率尽可能最小的认证码。一个安全的身份认证系统一般必备几个特征:1)验证者正确识别合法用户的概率极大;2)攻击者伪装成合法用户骗取验证者新人的成功率极小;3)通过重放认证信息进行欺骗和伪装的成功率极小;4)秘密参数能够安全储存;5)第三方可信赖。
身份认证的核心在于主体身份的验证。根据被认证方证明自己身份的不同,现有的身份认证技术都可以从三个方面研究:主体所掌握的秘密信息、主体所拥有的信物信息、主体本身具有独一无二的特征或能力。
目前,已有的身份认证系统有Kerberors认证系统、S/Key认证系统、智能卡认证系统、USBKey认证系统、指纹认证系统等。这些身份认证系统所采用的技术主要有几种。
静态口令。基于文本的用户名/密码方式是目前身份认证系统中应用最普通的认证技术。该技术的主要特点是操作简单、方便易用,并且也有一定的安全性,不便记忆和密码静态不变是这种认证方式的最大弊端。许多用户为了防止忘记密码,偏向于使用易被人联想到字符串作为密码,如名字拼音、电话号码、生日等。这在网络传输中很容易被窃听、截获及冒用。从安全性上来说,这种认证技术是极不安全的。
PKI认证技术。PKI认证的基础是公开密匙加密技术,能够保证传输信息的机密性、真实性、完整性、不可抵赖性,核心是证书的管理,理论是安全的。但PKI系统建设成本高,使用复杂,且存在证书保存的安全问题。
一次性口令。一次性口令OTP的基本原理是在登录过程中加入不确定因素,使每次登录过程中计算所得的密码都不一样。这是当前被认为是最安全的身份认证方式,在每次认证过程中,网络上传输的认证信息都是动态变化的,因此能有效地避免重放攻击,使静态密码在传输过程避免被窃取。但用户密码管理依旧是一次性口令无法忽视的问题,用户一旦不小心泄露了秘密通行短语,非法用户就可以伪装成合法用户的身份进行客户端登录。
生物识别技术。生物识别技术主要是通过可测量的身体或行为等特征进行身份认证的一种技术。生物特征是指唯一可以测量或可自动识别和验证的特征或行为方式。从理论上来说,生物特征认证是最可靠的身份认证方式,因为它直接使用人的物理特征来表示每一个人的数字身份,几乎不可能被仿冒。
相比于传统的身份认证方式,生物识别技术具有无法比拟的优点。生物识别技术使用方便,可不必再记忆和设置密码。其中指纹识别技术是目前发展最成熟的生物识别技术。正是由于生物特征的唯一性,不宜直接使用生物特征进行身份识别,因为一旦生物特征泄露,就会造成个人信息丢失的严重后果。而且,容易受到干扰是单一的生物特征在网络传输和匹配时最大的不足。
2 脚本语言的描述
脚本语言(Script Languages)是为了缩短传统的编写-编译-链接-运行过程而创建的计算机编程语言。早期的脚本语言经常被称为批量处理语言或工作控制语言。一个脚本通常是解释运行而非编译。虽然许多脚本语言都超越了计算机简单任务自动化的领域,成熟到可以编写精巧的程序,但仍然还是被称为脚本。几乎所有计算机系统的各个层次都有一种脚本语言。包括操作系统层,如计算机游戏、网络应用程序、字处理文档、网络软件等。在许多方面,高级编程语言和脚本语言之间互相交叉,二者之间没有明确的界限。一个脚本可以使得本来要用键盘进行的相互操作自动化。一个Shell脚本主要由原本需要在命令行输入的命令组成,或在一个文本编辑器中,用户可以使用脚本来把一些常用的操作组合成一组序列。很多脚本语言实际上已经超过简单的用户命令序列的指令,还可以编写更复杂的程序。
常见的有脚本语言有Java Script、VB Script、Perl、PHP、Python、Ruby、Lua。
脚本语言的特点是语法简单,一般以文本形式保存,并且不需要编译成目标程序,在调用的时候直接解释。这可以是脚本语言的判断标准,比如说JavaScript,你只需要用记事本新建一个Html文件,在里面加上一段脚本就可以了,在浏览器打开Html文件时自然会调用JS脚本。
脚本语言开发速度快、容易部署、易学易用,同已有技术的集成而能够有效地利用代码。
3 基于脚本的一次性口令实现
在网络应用系统中,身份验证是所有涉及安全性的一个必须环节。网站开发时可以利用以下方法来实现身份验证。
在身份验证的页面中设计一个表单,其中包含用户名和密码两个域。提交表单时浏览器将用户名和密码信息传给服务器,通过验证用户名和密码来判断该用户是否合法。这是最常见也是最简单的一种方案,但是安全性极低。因为使用这种方法时,用户名和密码都是以明文的形式在网上传输。一个在网络上运行的嗅探器很容易其网段的所有数据报文捕获,也包括用户的密码。
在使用一次性口令实现上面的过程之前,需将用户的相关信息保存到服务器端,其中包括用户ID的哈希值和秘密通行短语。一次性口令的认证过程需要在客户端进行很多的运算,这些运算将在客户端通过嵌入在HTML页面中的JavaScript代码计算实现,包括随机数产生、异或运算和哈希值。
挑战/应答方式是动态口令身份认证的方式之一。作为动态的身份认证,必须有一个动态因子:对挑战/应答方式来说就是客户向认证服务器发出请求,要求进行身份认证(登录);当服务器接收到用户发来的请求信息后产生一个挑战信息(随机数)发给用户,用户在客户端输入秘密通行短语并由一次性口令计算器产生一个OTP,服务器通过此OTP验证用户,验证成功后,下次验证则使用新生成的OTP。虽然挑战/应答方案存在一些不足,但其优点明显:易于在网络环境下用纯软件方式实现;可以通过秘密密钥鉴别,密钥不用在网络传送;认证机制灵活。
4 一次性口令的安全性分析
一次性口令对于用户口令泄露有很好的防范作用。在用户每次登录时,虽然用户在键盘上输入的内容是固定的用户密码,但每次网上传送的用户口令都会改变,。这种相对安全的用户登录模式让口令在网络的传输过程中的验证信息不会重复。
在一次性口令系统中,用户登录过程中所使用的口令是不重复的,每次都不一样。既避免了截取/重放攻击的威胁,又能缓解用户某一次登录时口令泄露带来的危险。
用户登录时的身份验证需要同时具备用户ID、用户口令、以及由一次性口令产生器提供的额外验证码等几个条件,实际上就是把用户身份验证信息进行分解。服务器收到用户ID、口令之后按照确定的算法进行验算,将用户提供的条件合并,最终得出用户身份合法或不合法的结果。
首先,一次性口令的实现是用户在登录时产生的登录认证信息每次都不一样,为了使认证信息产生变化,我们引入一些随机因素,它可以是时间、也可以是系统产生的随机数。
其次,为了防止用户口令通过网络泄露而引发各种安全问题,在每次登录后,使用户的口令产生变化。攻击者在得到用户的口令后,由于口令只能使用一次,他就无法将得到的口令直接用于登录系统。
最后,在用户向系统提交验证信息时,系统将对验证信息进行验算,并将验算结果传送到服务器端。服务器在收到用户提交的运算值后,进行相同的运算后将得出的值进行比较,若符合则表示用户合法,允许其登录。
整个系统的特点是在认证用户身份和同步一次性口令的过程中运用了单向函数,对口令及其密钥进行保护。窃听者得到正确口令或密钥的方法只有对该函数进行攻击,但是基于该函数的单向性特点,这项工作是很难完成的。经过多重的函数运算后,要求解出正确的函数是基本不可能的。
在系统中,对用户的认证信息进行了分解,将其分成了两部分:即用户口令和密钥,他们的合并是通过随机数函数运算完成的。攻击者在得到其中的一部分之后,都必须想办法得到另一部分才能通过服务器验证。这样,就提高了系统对用户认证的安全性。
程序实现了单机环境下,用户使用一次性口令登录,以及密钥文件的自动同步。对于系统中客户口令及密钥文件的储存方式、用户口令的更改,因涉及到具体的不同系统中,因此可采用多种方式来实现。
5 结束语
一个系统的安全性不仅体现在其运行时,还体现在其是否有完备的认证机制。一个好的口令对于保证用户数据的完整性、可靠性以及安全性都十分重要。
口令是广泛采用的认证形式之一,本文通过分析身份认证的一般实现方式,提出了基于脚本的一次性口令系统研究与实现的新的设计理念,提高了Web应用系统的安全性。
参考文献
[1] 百度百科.
[2] 方 俊. 一种基于挑战/应答模式的身份认证系统的研究与实现. 计算机时代,2009. 04.
[3] 雷超,雷劲.基于脚本级的一次性口令系统的实现.计算机应用, 2001年07期.
[4] 吴和生,范训礼,谢俊元. 环境下一次性口令身份认证的研究与实现.计算机科学.,2003.
[5] 卢开澄.计算机密码学—计算机网络中的数据保密与安全.清华大学出版社,2003.
[6] 王勇.随机函数及其在密码学中的应用研究[J].信息网络安全,2012,(03):17-18.
[7] 余幸杰,高能,江伟玉.云计算中的身份认证技术研究[J].信息网络安全,2012,(08):71-74.
[8] 向永谦,陈建华.一种基于身份的三方认证密钥交换协议[J].信息网络安全,2012,(11):32-35.
身份认证技术论文范文第3篇
这段话出自金庸先生的经典武侠小说《射雕英雄传》。华山论剑时,欧阳锋横扫洪七公、黄药师和郭靖这三大高手,黄蓉急中生智,引诱一代武学宗师欧阳锋思考“我是谁”这样的哲学问题,终于把他给弄疯了。本文不准备讨论这个把人逼疯的形而上问题,只讨论一个非常现实非常具体的问题:怎么证明“我是我”?
从王二麻子到政府
在交通不方便、人员流动性弱的时代,一个人的活动半径可能也就几公里;与其交往的多半是同一村庄或者邻近村庄的熟人。这种情况下,一个人说“我是我”,是不需要什么证明的,他的社会关系和生物特征就是他天然的身份证。在那个时代,即便张三和李四距离稍远,互相不认识,只要他们都认识同一个王二麻子,并且王二麻子能够确认他们的身份,那么他们彼此的身份问题也能得到证明。
随着交通工具的进步,人的活动半径越来越大,他所接触到的陌生人也越来越多,而且是八竿子也打不着的陌生人。这时他如何知道陌生人的身份,并且向陌生人表明自己的身份呢?这同样需要一个“王二麻子”,只不过这个“王二麻子”不是自然人,而是一个可信的权威的公共机构。这个公共机构给张三发一个证明他身份的文件,张三和李四在会面时,李四只要信任这个公共机构,并查阅张三的身份文件,就可以确认和相信他的身份,反之亦然。在我国80年代以前,人们出远门前普遍要到所在单位或者生产大队(有些地方还得是)开具介绍信或者证明信,原因就在这里。
不过这样做有一个前提,就是颁发身份证明文件的机构要足够权威和可信。一个谁都不知道的小破单位开出去的介绍信,其证明力是很弱的,使用范围也有限;同时,发出去的介绍信,肯定要比生产大队发出去的介绍信可靠;县里面发出去的证明信,肯定要比公社发出去的证明信权威。最权威最可信覆盖面最广的,自然就是国家了。所以在现代国家,一般是由国家出面来充当这个“王二麻子”,给其公民统一颁发身份证明文件,这个身份证明文件在我国就是身份证,全称叫“居民身份证”。1984年4月6日国务院《中华人民共和国居民身份证试行条例》,开始给全国年满16岁的公民颁发第一代居民身份证,北京市当时是试点城市,歌唱家单秀荣是全国第一个领取身份证的人。从那儿以后,介绍信和证明信就逐渐退出了历史舞台。
魔道较量
但问题跟着就来了,1.怎么知道持有身份证的人是本人?我们称之为“人、证合一问题”;2.怎么知道身份证是真的?我们称之为“证件真伪问题”。
先说问题1。在照相术发明之前,通常是在身份证明文件上用文字注明持有人的长相特征。例如下图:
签发于1882年10月12日的清朝护照,持证人是华侨黄华饶。护照上没有照片,但记录了持照人的体貌特征:身材五尺六寸半,面貌紫,异相无。
我们知道,文字描述这东西很不靠谱。清记《履园丛话》中记录了这样一个小故事,视学官胡希吕到江苏巡视考务,把所有考生中有“须”而相貌册里填“微须”的考生,统统认定是冒名顶替。结果一个脸有“微须”的考生被驱逐后不服,与胡视学据理力争,视学官大人振振有词地说:“汝读书竟不知‘微’作‘无’解耶?”考生应声而道:“那孔子曾微服外出,该解释为孔子把衣裤脱个精光而外出,倘若如此成何体统?”
正因为文字描述模糊性太强,在照相术发明和完善之后,发证机关一般都会要求在证件上贴上持有人的照片。有趣的是,因为长期适应性进化的缘故,人类的大脑对人脸的识别能力非常强悍——脸盲症患者除外——所以证件照往往都是清晰反映面部特征的照片,俗称“大头照”。通常我们会通过鉴别证件上的照片与持证人面貌是否相符,来确定持证人是否本人。通过这个办法,人、证合一问题暂时得到了解决。
但是,照片是本人照片,并不代表所持证件就是真实有效的证件,因为自古以来伪造物品就是一门屡禁不绝、长盛不衰的生意。发证机关只能在制作技术上大做文章,例如使用特殊的印刷技术、工艺或者纸张,而且最重要的是,要用印章在证件上留下官方认证的明显痕迹。遗憾的是,道高一尺魔高一丈,伪造政府印章的难度并不高,起码不比伪造货币的难度高。唯一的办法,就是拿着证件去颁发机构查证,但在以前这非常困难。且不说浩如烟海的底卡人工翻检极为不便,就是来回跑这一趟很多时候也够喝一壶了。
信息时代来临之后,人们想到了一个鉴别身份证真伪的好办法:远程识别。首先要建立一个庞大的数据库,存储每张身份证的登记信息。如果你要到银行去办事,窗口工作人员拿到你的身份证之后,会先上网把你的身份证号和姓名输入一个系统,系统在数据库里查找,然后返回查找结果和持证人的照片,供工作人员识别身份证的真伪。
数字技术显神威
看起来还不错,但远程查证一代身份证有两个问题:1.这需要验证的时候能够接入互联网,在2008年3G时代来临之前,随时随地高速上网是难以实现的事,这就大大限制了这种查证模式的使用范围(需要说明一下,在线验证方式本身的可靠性没问题,很多领域例如银行卡现在还在应用);2.不便机读,也就是不方便通过电子设备获取身份证信息,不符合信息时代的要求。那能不能利用数字技术实现离线查证真伪呢?
答案是肯定的。
我们现在使用的第二代身份证,是一种非接触性的射频IC卡,它内置加解密模块,制证时能够把身份证卡面信息包括照片加密存放在芯片内部的存储空间;我们使用特制的读卡器(身份证阅读器)可以读出解密后的卡面信息,与真实的卡面信息一对比就知道真伪。
二代证阅读器,可以从芯片中读取卡面信息以便比对。
现在市面上已经很容易买到二代证的阅读器了,所用的密钥也很容易从相关技术文档获取。那么二代证是如何避免芯片遭到破解并被伪造的呢?
秘密就在于加解密模块采用的是高强度的非对称加密技术。
俗话说“一把钥匙开一把锁”,早期的加密技术是对称加密,用来加密和用来解密的密钥是同一个,一旦密钥泄露,整个系统就无密可言了。上世纪70年代,随着密码学的进展,出现了加密密钥和解密密钥不同的非对称加密技术,这一对密钥一个叫公钥,一个叫私钥。用公钥加密的密文,只能用私钥解密,无法用公钥解密;反过来,用私钥加密的密文,也只能用公钥解密,而无法用私钥解密。更神奇的是,即便知道公钥,也很难推算出私钥,如果密钥长度足够长,用最强大的计算机破解也需要几千年、几万年。可以说是完全无法推算出私钥的,反之亦然。
面对强大的非对称加密技术,制假团伙根本就是“老虎吃天——无处下嘴”。所以尽管最近几年制贩假二代身份证的案件屡有发生,但能骗过机读设备查证的假二代证一张都没发现。
小指纹大作用
解决了真伪问题,另外一个问题自然引起了重视,那就是如何鉴别持证人是否本人。前面我们说了,一般是利用人脑的人脸识别功能来鉴别,但信息时代了,我们肯定要想办法让电子设备来代替人脑。人、证合一,本质上就是要把持证人的生物学特征唯一化、数字化之后存储在身份证内。目前已知最精准的生物学特征识别技术是虹膜识别,但目前虹膜识别采集成本还非常高,而识别的效率相对也不是很高,只能用在一些特殊场合。面部识别和声音识别从采集成本和识别效率来说是比较好的,但相关技术还在飞速发展之中。分析来对比去,眼下的最佳方案是利用相对成熟和采集成本较低的指纹识别技术。
2011年10月29日,全国人大修改《中华人民共和国居民身份证法》,决定从2012年1月1日起,“公民申请领取、换领、补领居民身份证,应当登记指纹信息。”这为在身份证中存储公民指纹信息提供了法律保障。需要说明的是,根据公安部门的技术说明,身份证芯片中存储的并不是公民指纹的完整图像,而是数字化的指纹特征点,无法还原出指纹的图像,所以没必要担心指纹被复原和盗用。
IC卡内的加密模块可以保证卡的真实性,存储的照片和指纹信息可以保证人证合一性,这样,携带指纹信息的二代身份证就是目前所能实现的、最好的、能够离线验证真假并且能够准确鉴别持证人是否本人的身份证方案。
二代身份证的成功,促使中国于2012年5月15日开始制发带有电子芯片的新版护照,毫无疑问,芯片中采用的依然是非对称加密技术。
新版电子护照内置具备加密存储功能的电子芯片
问题讨论
“公民身份证号终身不变,怎么识别补办的身份证?”
——身份证上印制的公民身份证号是公民终生不变的一个号码[1],即使遗失补办,新的身份证依然是同样的公民身份证号。曾经有人在网上发文章,要求在身份证内存储一个芯片唯一编号,并把这个唯一编号也印制在卡面上,那样的话补办的新证和老证会有不同的芯片唯一编号。他还认为自己发现了身份证方案的一个技术缺陷。其实,存储和印制芯片统一编号是不必要的,身份证上早有区别标志,那就是身份证的有效期限。补办的身份证号有效期限和老身份证是不同的,事实上有关部门是靠“身份证号”+“有效期限”来识别和区分一个人的新旧身份证的。
因为有效期限印制在身份证另一面,所以复印身份证时往往要同时复印两面。
“为什么银行卡可以做到电话挂失使其失效而身份证不行?”
——因为银行卡都是联网读取信息的,所有的信息都存储在银行的服务器上。而二代证设计的初衷就是要脱离数据库和服务器,只用便携的阅读器随时随地就能识别身份证真伪和是否人证合一,从而大大扩大了查验的应用范围。
“身份证无法注销,绝对是严重的设计错误”?
身份认证技术论文范文第4篇
[关键词]手机蓝牙身份认证智能化
中图分类号:TN92文献标识码:A文章编号:1671-7597(2009)1120045-01
一、蓝牙技术及其在手机中的应用
蓝牙技术是一种日趋完善的短距离无线通信技术,它工作在2.4GHz频段,且该频段在全世界范围内不需要许可证,因此,理论上蓝牙技术在全世界范围内可以被自由使用。对于普通用户而言,蓝牙技术的优势体现在低价格、易掌握和不受可视距离限制的优点,可以说蓝牙产品是高性价比的产品。
随着蓝牙技术的飞速发展,现今,大多数的手机、笔记本电脑都全面支持蓝牙功能,同时廉价的USB接口蓝牙适配器使台式电脑开始全面支持蓝牙功能。这一切为手机与电脑通过蓝牙进行信息互通创造了条件。
二、手机蓝牙身份认证系统
伴随着现代网络技术的高速发展,网络安全问题已日渐受到人们的关注,其中身份认证的安全是整个网络安全的核心。为保障身份认证的有效性,目前各业界公司普遍采取了多重身份认证机制,主要有:1.传统的静态用户名和密码方式的校验;2.数字证书技术;3.网银使用较广泛的USBKEY的硬件认证。这些认证方式虽然可以在一定程度上有效地保障身份认证的安全,但是不足之处也同样明显。传统“静态用户名和密码方式”校验的方式,随着钓鱼软件、黑客软件的日益增多,普遍存在用户名密码被盗、被钓鱼等风险,安全性大打折扣;数字证书和硬件USBKEY的方式相对安全,但要么价格过高,要么分发或使用不便利,给用户正常使用带来障碍。
手机作为现代应用最为广泛的通讯工具,在网络安全方面有其先天优势,正逐步成为各大厂商关注的新焦点。随着移动技术和手机的全面普及,据统计中国已有接近4亿的手机用户,现已成为全球最大的移动用户群,中国的各类电脑使用者也已接近1.2亿。将传统“用户名和密码方式”校验与手机相结合的双重身份认证技术无疑最适合于中国市场的特点并且具有巨大的优势。当前最为常见的手机身份认证方式为手机动态令牌认证方式,既使用手机作为“令牌”的载体,生成一次性动态密码,规避了网上的一系列安全隐患。其相对于静态用户名密码方式更加安全,相对于数字证书方式更加易操作,相对于硬件USBKEY方式价格更加低廉。
但是手机动态令牌方式依然存在操作繁琐、应用效率低的缺点,用户不得不在每次身份认证时等待手机短信获取令牌,并手动输入动态口令完成认证,在特殊情况下,用户需要多次重复进行上述操作,应用效率大幅下降。而蓝牙技术的出现和普及为我们提供了一个同样安全且更为理想的智能化、自动化的用户身份认证方式,蓝牙的10米通信距离、无线通信模式、极低的成本要求、极高的普及率都为我们提供了一个良好的手机蓝牙无线及用户名密码双重身份认证模式平台。
三、系统结构设计
手机蓝牙身份认证系统由手机(具有蓝牙模块)、蓝牙适配器、客户端主机、服务器4部分组成。用户随身携带具有蓝牙模块的手机,具有蓝牙适配器的客户端主机或带有蓝牙模块的移动PC构成蓝牙接入点,服务器通过网络与客户端主机联系,存取用户信息。
带有蓝牙模块的手机和具有蓝牙适配器的客户端主机或带有蓝牙模块的移动构成了蓝牙微微网,通过蓝牙无线技术进行通信。客户端主机与服务器通过有线或无线网络进行通信。当用户携带具有蓝牙模块的手机进入蓝牙接入点时,蓝牙接入点将通过有线或无线网络将身份数据传入服务器将进行比对,确认当前用户合法性,并分配相应功能权限。
四、手机蓝牙、用户名密码双重身份认证系统的工作策略
(一)功能描述。手机蓝牙、用户名密码双重身份认证系统的主要功能包括:1.用户登录双重身份识别。2.用户在线状态系统自动感知。
(二)用户登录。当携带有蓝牙功能手机的用户进入客户端主机蓝牙模块无线感知区域时,客户端主机通过蓝牙适配器自动与手机建立连接,识别手机蓝牙ID号。当用户登录时,首先在传统模式下输入用户名和对应口令,由系统判断用户名及口令是否合法,进行一次身份识别。然后将系统数据库中匹配记录的蓝牙ID号与蓝牙适配器识别的蓝牙ID号进行比对,进行二次身份识别,当两次身份匹配均通过时,用户登录完成。
(三)用户状态感知。当用户登录成功后,系统将进入等待状态,蓝牙适配器与蓝牙手机之间继续保持链路,根据蓝牙规范,蓝牙主设备(即蓝牙适配器)通过时间片轮转调度算法对从设备即(手机蓝牙)进行管理,当主设备轮询从某个设备时,如果该从设备在指定时间内无响应,主设备就判定链路断开。如果从设备在一定时间内收不到主设备的轮询包,也同样判定链路断开。在实际应用中上述轮转调过程一般在毫秒级上。因此当用户离开或进入蓝牙适配器感知范围(通信范围)时,系统会在极短的时间内感知,并建立链路。同样,当用户离开蓝牙适配器感知范围时,系统会很知,并判定链路断开。这大大提高了系统的安全性,避免了用户短暂离开所带来的系统安全真空。
五、系统实现
(一)硬件。现今蓝牙适配器主要以USB蓝牙适配器为主,基本支持即插即用,对XP、VISTA等操作系统的兼容性也非常好,价格成本低廉。因此,本系统使用USB作为蓝牙适配器和主机通信的接口。
(二)部分代码。HCI发送数据函数
Int F_send_data(bt_ buf * buf)
{Unsigned int send_acl_packet(bt_ buf *);
Int bytes2s;
bufpb_flag=L2CAP_START_FRAME;
bytes2s= bufcur_len;
while(bytes2s)
{If(hci_ctrl.hc_buf.acl_num > 0)
{hci_ctrl.hc_buf.acl_num-=1;
bytes2s-=send_acl_packet(buf);}
else
{ Return();}
六、结束语
本文主要论述了基于手机蓝牙的身份认证系统的设计,通过仔细分析现有身份认证系统存在的缺陷和蓝牙技术本身存在的优势,得出了将蓝牙技术与能用身份认证技术相整合的基于手机蓝牙的双重身份认证系统,并对本系统进行了结构设计。为高安全、智能化的身份认证系统的设计提供了一种新的模式。
参考文献:
身份认证技术论文范文第5篇
[关键词]门限E CC电子商务安全加密签名
证书签发系统:负责证书的发放,如可以通过用户自己,或是通过目录服务。目录服务器可以是一个组织中现有的,也可以是PKI方案中提供的。PKI应用:包括在W eb服务器和浏览器之间的通讯、电子邮件、电子数据交换(E DI)、在Internet上的信用卡交易和虚拟专业网(VPN)等。应用接口系统(API):一个完整的PKI必须提供良好的应用接口系统,让用户能够方便地使用加密、数字签名等安全服务,使得各种各样的应用能够以安全、一致、可信的方式与PKI交互,确保所建立起来的网络环境的可信性,降低管理和维护的成本。
基于PKI的电子商务安全体系电子商务的关键是商务信息电子化,因此,电子商务安全性问题的关键是计算机信息的安全性。如何保障电子商务过程的顺利进行,即实现电子商务的真实性、完整性、机密性和不可否认性等。PKI体系结构采用证书管理公钥,通过第三方的可信机构,把用户的公钥和用户的其他标识信息(如用户身份识别码、用户名、身份证件号、地址等)捆绑在一起,形成数字证书,以便在Internet上验证用户的身份。PKI是建立在公钥理论基础上的,从公钥理论出发,公钥和私钥配合使用来保证数据传输的机密性;通过哈希函数、数字签名技术及消息认证码等技术来保证数据的完整性;通过数字签名技术来进行认证,且通过数字签名,安全时间戳等技术提供不可否认性服务。因此PKI是比较完整的电子商务安全解决方案,能够全面保证信息的真实性、完整性、机密性和不可否认性。通常电子商务的参与方一般包括买方、卖方、银行和作为中介的电子交易市场。首先买方通过浏览器登录到电子交易市场的W eb服务器并寻找卖方。当买方登录服务器时,买卖双方都要在网上验证对方的电子身份证,这被称为双向认证。在双方身份被互相确认以后,建立起安全通道,并进行讨价还价,之后买方向卖方提交订单。订单里有两种信息:一部分是订货信息,包括商品名称和价格;另一部分是提交银行的支付信息,包括金额和支付账号。买方对这两种信息进行双重数字签名,分别用卖方和银行的证书公钥加密上述信息。当卖方收到这些交易信息后,留下订货单信息,而将支付信息转发给银行。卖方只能用自己专有的私钥解开订货单信息并验证签名。同理,银行只能用自己的私钥解开加密的支付信息、验证签名并进行划账。银行在完成划账以后,通知起中介作用的电子交易市场、物流中心和买方,并进行商品配送。整个交易过程都是在PKI所提供的安全服务之下进行,实现了真实性、完整性、机密性和不可否认性。综上所述,PKI技术是解决电子商务安全问题的关键,综合PKI的各种应用,我们可以建立一个可信任和足够安全的网络,能够全面保证电子商务中信息的真实性、完整性、机密性和不可否认性。
计算机通信技术的蓬勃发展推动电子商务的日益发展,电子商务将成为人类信息世界的核心,也是网络应用的发展方向,与此同时,信息安全问题也日益突出,安全问题是当前电子商务的最大障碍,如何堵住网络的安全漏洞和消除安全隐患已成为人们关注的焦点,有效保障电子商务信息安全也成为推动电子商务发展的关键问题之一。电子商务安全关键技术当前电子商务普遍存在着假冒、篡改信息、窃取信息、恶意破坏等多种安全隐患,为此,电子商务安全交易中主要保证以下四个方面:信息保密性、交易者身份的确定性、不可否认性、不可修改性。保证电子商务安全的关键技术是密码技术。密码学为解决电子商务信息安全问题提供了许多有用的技术,它可用来对信息提供保密性,对身份进行认证,保证数据的完整性和不可否认性。广泛应用的核心技术有:1.信息加密算法,如DE S、RSA、E CC、M DS等,主要用来保护在公开通信信道上传输的敏感信息,以防被非法窃取。2.数字签名技术,用来对网上传输的信息进行签名,保证数据的完整性和交易的不可否认性。数字签名技术具有可信性、不可伪造性和不可重用性,签名的文件不可更改,且数字签名是不可抵赖的。3.身份认证技术,安全的身份认证方式采用公钥密码体制来进行身份识别。E CC与RSA、DSA算法相比,其抗攻击性具有绝对的优势,如160位E CC与1024位RSA、DSA有相同的安全强度。而210位E CC则是与2048比特RSA、DSA具有相同的安全强度。虽然在RSA中可以通过选取较小的公钥(可以小到3)的方法提高公钥处理速度,使其在加密和签名验证速度上与E CC有可比性,但在私钥的处理速度上(解密和签名),E CC远比RSA、DSA快得多。通过对三类公钥密码体制的对比,E CC是当今最有发展前景的一种公钥密码体制。
椭圆曲线密码系统E CC密码安全体制椭圆曲线密码系统(E lliptic Curve Cry ptosy stem,E CC)是建立在椭圆曲线离散对数问题上的密码系统,是1985年由Koblitz(美国华盛顿大学)和Miller(IBM公司)两人分别提出的,是基于有限域上椭圆曲线的离散对数计算困难性。近年来,E CC被广泛应用于商用密码领域,如ANSI(American National Standards Institute)、IE E E、基于门限E C C的《商场现代化》2008年11月(上旬刊)总第556期84少t个接收者联合才能解密出消息。最后,密钥分配中心通过安全信道发送给,并将销毁。2.加密签名阶段:(1)选择一个随机数k,,并计算,。(2)如果r=O则回到步骤(1)。(3)计算,如果s=O则回到步骤(1)。(4)对消息m的加密签名为,最后Alice将发送给接收者。3.解密验证阶段:当方案解密时,接收者P收到密文后,P中的任意t个接收者能够对密文进行解密。设联合进行解密,认证和解密算法描述如下:(1)检查r,要求,并计算,。(2)如果X=O表示签名无效;否则,并且B中各成员计算,由这t个接收者联合恢复出群体密钥的影子。(3)计算,验证如果相等,则表示签名有效;否则表示签名无效。基于门限椭圆曲线的加密签名方案具有较强的安全性,在发送端接收者组P由签名消息及无法获得Alice的私钥,因为k是未知的,欲从及a中求得k等价于求解E CDL P问题。同理,攻击者即使监听到也无法获得Alice的私钥及k;在接收端,接收者无法进行合谋攻击,任意t-1或少于t-1个解密者无法重构t-1次多项式f(x),也就不能合谋得到接收者组p中各成员的私钥及组的私钥。
结束语为了保证电子商务信息安全顺利实现,在电子商务中使用了各种信息安全技术,如加密技术、密钥管理技术、数字签名等来满足信息安全的所有目标。论文对E CDSA方案进行改进,提出了一种门限椭圆曲线加密签名方案,该方案在对消息进行加密的过程中,同时实现数字签名,大大提高了原有方案单独加密和单独签名的效率和安全性。
Koblitz N.Elliptic Curve Cryprosystems.Mathematicsof Computation,1987,48:203~209
IEEE P 1363:Standard of Public-Key Cryptography,WorkingDraft,1998~08
杨波:现代密码学,北京:清华大学出版社,2003
