身份认证技术分析

信息安全

身份认证技术分析

姓 名：

学 院：

专业班级：

学 号：

二 〇 一 一 年 十二 月

摘要：本文总结并分析了身份认证的理论和应用，列举了一些对身份认证的攻击方法， 并根据课堂学习和课后阅读，自己设计了一个利用数字签名实现的简单的身份认证方案 。认证技术是信息安全中的一个重要内容，在“网络与信息安全”课程中我们学习了两种 认证技术：消息认证与身份认证，消息认证用于保证信息的完整性与抗否认性，身份认 证则用于鉴别用户身份。在网上商务日益火爆的今天，从某种意义上说，认证技术可能 比信息加密本身更加重要。因为，很多情况下用户并不要求购物信息保密，只要确认网 上商店不是假冒的（这就需要身份认证），自己与网上商店交换的信息未被第三方修改 或伪造，并且网上商家不能赖帐（这就需要消息认证）,商家也是如此。由于认证技术是 一项包含很广泛的技术，集中于某一方面可能更有针对性，所以，在这篇论文中我没有 涉及消息认证技术。运用课堂学到的理论、课后阅读获得的知识根据自己的分析，我对 身份认证技术作了总结分类，并针对每一种认证技术分析了优点和漏洞，然后剖析了一 些应用，最后提出了自己想到的一个简单的利用数字签名实现的身份认证方案。本文综合评价了某些认证机制和方案的优劣，并分析了身份认证的理论和应用，列举了一些对身份认证的各种实现方法、技术现状及发展趋势，同时设计了一个利用数字签名实现的简单的身份认证方案。

关键词：身份认证技术 分析 比较 运用 信息安全 加密

身份认证系统的组成: 出示证件的人，称作示证者P(Prover)，又称声称者(Claimant)。验证者V（Verifier),检验声称者提出的证件的正确性和合法性，决定是否满足要求。第三方是可信赖者TP（Trusted third party)，参与调解纠纷。在许多应用场合下没有第三方。

身份认证的物理基础: 标识与认证是计算机网络系统中进行身份认证（主体识别）的基础，可识别用户身份、设备真伪。标识与认证是身份认证的两个部分。 标识——用来表明用户的身份，确保用户在系统中的唯一性，可辨认性。以用户名＋标识符ID来标明公开的明码信息

认证——对用户身份的真实性进行鉴别。认证信息不公开，难以仿造。认证信息有口令（密码）；指纹；视网膜；智能IC卡等，声波等。

身份认证方式: 单向认证（One-way Authentication）双向认证（Two-way Authentication）信任的第三方认证（Trusted Third-party Authentication）。 随着网络时代的到来，人们可以通过网络得到各种各样的信息。但由于网络的开放性，它正面临着如计算机病毒、人为的恶意攻击、网络软件的漏洞和“后门”、非授权访问等安全威胁。因此，网络安全越来越受到重视。作为网络安全的第一道防线，亦即是最重要的一道防线，身份认证技术受到普遍关注。

一、基于秘密信息的身份认证方法 口令核对

口令核对是系统为每一个合法用户建立一个用户名/口令对，当用户登录系统或使用某项功能时，提示用户输入自己的用户名和口令，系统通过核对用户输入的用户名、口令与系统内已有的合法用户的用户名/口令对（这些用户名/口令对在系统内是加密存储的）是否匹配，如与某一项用户名/口令对匹配，则该用户的身份得到了认证。

缺点：其安全性仅仅基于用户口令的保密性，而用户口令一般较短且是静态数据，容易猜测，且易被攻击，采用窥探、字典攻击、穷举尝试、网络数据流窃听、重放攻击等很容易攻破该认证系统。

2、单向认证

客户端服务器端

如果通信的双方只需要一方被另一方鉴别身份，这样的认证过程就是一种单向认证，即前面所述口令核对法就算是一种单向认证，只是这咱简单的单向认证还没有与密鈅分发相结合。

与密鈅分发相结合的单向认证主要有两类方案：一类采用对密鈅加密体制，需要一个可信赖的第三方―――通常称为KDC（密鈅分发中心）或AS （认证服务器），同这个第三方来实现通信双方的身份认证和密鈅分发如DES算法，优点运算量小、速度快、安全度高，但其密鈅的秘密分发难度大；另一类采用非对称密鈅加密体制，加密和解密使用不同的密鈅SK，无需第三方参与，典型的公鈅加密算法有RSA。认证优点能适应网络的开放性要求，密鈅管理简单，并且可方便地实现数字签名和身份认证等功能，是目前电子商务等技术的核心基础。其缺点是算法复杂。

用对称密码体制来实现单向认证：

① E(R

As

某函数变换f 双方共享的密钥KS 随机数RA

用非对称密码体制来实现单向认证：

ASB

随机数RA B的私钥KSB

3、双向认证

双向认证中，通信双方需要互相鉴别各自的身分，然后交换会话密鈅，典型方案是Needham/Schroeder协议。优点保密性高但会遇到消息重放攻击。

4、身份的零知识证明

通常的身份认证都要求传输口令或身份信息，但如果能够不传输这些信息身份也得到认证就好了。零知识证明就是这样一种技术：被认证方A掌握某些秘密信息，A想设法让认证方B相信他确实掌握那些信息，但又不想让认证方B知道那些信息。

如着名的Feige-Fiat-shamir零知识身份认证协议的一个简化方案。

假设可信赖仲裁选定一个随机模数n,n为两个大素乘积，实际中至少为512位或长达1024位。仲裁方产生随机数V，使X2＝V mod n,即V为模n的剩余，且有V－1mod n存在。以V作为证明者的公鈅，而后计算最小的整数s:s=sqrt(v-1)mod n作为被认证方的私鈅。实施身份证明的协议被认证方A取随机数r,这里rm,计算x=r2 mod m,把X送给认证方B；若b=1,则A将Y=RS送给B；若b=0,则B验证x=r2 mod m,从而证实A知道sqrt(x);若b=1,则B验证x=y2.v mod m,从而证实A知道S。

这是一轮鉴定，A和B可将此协议重复t次，直到A相信B知道S为止。

二、基于物理安全性的身份认证方法

尽管前面提到的身份认证方法在原理上有很多不同，但他们有一个共同的特点，就是只依赖于用户知道的某个秘密的信息。与此对照，另一类身份认证方案是依赖于用户特有的某些生物学信息或用户持有的硬件。

基于生物学的方案包括基于指纹识别的身份认证、基于声音识别身份认证以及基于虹膜识别的身份认证等技术。该技术采用计算机的强大功能和网络技术进行图像处理和模式识别，具有很好的安全性、可靠性和有效性，与传统的身份确认手段相比，无疑产生了质的飞跃。近几年来，全球的生物识别技术已从研究阶段转向应用阶段，对该技术的研究和应用如火如茶，前景十分广阔。

三、身份认证的应用Kerberos是MIT为分布式网络设计的可信第三方认证协议。网络上的Kerberos服务起着可信仲裁者的作用，它可提供安全的网络认证，允许个人访问网络中不同的机器。Kerberos基于对称密码技术（采用DES进行数据加密，但也可用其他算法替代）

，它与网络上的每个实体分别共享一个不同的

密鈅，是否知道该密鈅便是身份的证明。其设计目标是通过密鈅系统为客户/服务器应用程序提供强大的认证服务。该认证过程的实现不依赖于主机操作系统的认证，无需基于主机地址的信任，不要求网络上所有主机的物理安全，并假定网络上传送的数据包可以被任意地读取、修改和插入数据。

Kerberos也存在一些问题： Kerberos服务服务器的损坏将使得整个安全系统无法工作；AS在传输用户与TGS间的会话密鈅时是以用户密鈅加密的，而用户密鈅是由用户口令生成的，因此可能受到口令猜测的攻击；Kerberos 使用了时间戳，因此存在时间同步问题；要将Kerberos用于某一应用系统，则该系统的客户端和服务器端软件都要作一定的修改。

2、HTTP中的身份认证

HTTP提供了一个基于口令的基本认证方法，目前，所有的Web服务器都可以通过“基本身份认证”支持访问控制。当用户请求某个页面或运行某个CGI程序时，被访问访问对象所在目录下有访问控制文件（如NCSA用.haaccess文件）规定那些用户可以访问该目录，Web服务器读取该访问控制文件，从中获得访问控制信息并要求客户提交用户名和口令对经过一定的编码（一般是Base64方式），付给服务方，在检验了用户身份和口令后，服务方才发送回所请求的页面或执行EGI程序。所以，HTTP采用的是一种明文传输的口令核对方式（传输过程中尽管进行了编码，但并没有加密），缺少安全性。用户可以先把使用SSI建立加密信道后再采用基本身份认证方式进行身份认证，而是基于IP地址的身份认证。

3、IP中的身份认证

IP协议由于在网络层，无法理解更高层的信息，所以IP协议中的身份认证实际不可能是基于用户的身份认证，而是基于IP地址的身份认证。

四、身份认证技术讨论

在计算机网络中身份认证还有其他实现途径，如数字签名技术。传送的报文用数字签名来证明其真实性，简单实例就是直接利用RSA算法和发送方的秘密密鈅。 由于数字签名有一项功能是保证信息发出者的身份真实性，即信息确实是所声称的签名人签名的，别人不能仿造，这和身份认证的情形有些相似；身份认证的核心是要确认某人确实是他所声称的身份。那么，我想应该能借用数字签名机制实现身份认证，但这可能有一个困难，如果不预先进行密鈅分发（即使是公鈅，也要有一个机制将真实的公鈅信息传递给每一个用户）。可能数字签名也无从实现。

五、身份认证的应用

1.Kerberos认证服务[7]

Kerberos是一种受托的第三方认证服务(trusted third-party authentication servic e)，它是建立在前面提到的Needham和Schroeder[1978]提出的模型基础上的，Kerberos 要求信任第三方——即Kerberos认证服务器。Kerberos把网络划分成安全域，称为区域 (realms)，每个区域有自己的认证服务器并实现自己的安全策略。在每个区域内的认证 过程是这样的： Kerberos为客户和服务提供证明自己身份的票(ticket)以及双方安全通信的会话密钥(s ession key)。除客户第一次获得的初始票(initial ticket)是由Kerberos认证服务器( Kerberos authentication server,记作AS)签发外，其他票是由发票服务器(ticket-gr anting server,记作TGS)签发的，一个票可以使用多次直至过期。票的内容为：

{s,c,addr,timestamp,life,Ks,c} Ks 记作Tc,s 其中，s为服务名，c为客户名，addr为客户地址，timestamp为时间戳，life为生存周期 ，Ks,c为服务s与客户c之间的会话密钥，全部信息用服务s的密钥Ks加密。

客户方请求服务方提供一个服务时，不仅要向服务方发送从发票服务器领来的票，同时 还要自己生成一个证(authenticator)一同发送。证是一次性的，内容如下： {c,addr,timestamp} Ks,c 记作A c 其中，c为客户名，addr为客户所在工作站的地址，timestamp为工作站当前时间，全部 信息用客户c与所要请求的服务s之间的会话密钥Ks,c加密。

具体过程分以下三步：

一、 取得初始票

二、 取得某项服务的票

三、 请求该项服务

其中，timestamp是上一步中客户c发给服务s的证Ac中的timestamp，这样做的目的是使 客户c确信与它会话的确实是服务s。（只有s才知道Kc,s，故只有s才能发回这个信息。 ） 另外，文献[7]中具体介绍了一个在SUN NFS中加入Kerberos身份认证功能的例子。

2. HTTP中的身份认证[6]

HTTP协议目前已经有了三个版本HTTP 0.9、HTTP 1.0和HTTP 1.1，HTTP 0.9只定义了最 基本的简单请求和简单回答；HTTP 1.0较完善，也是目前用得最广泛的一个版本，HTTP

1.1新增加了大量的报头域。

HTTP 1.0中提供了一个基于口令的基本认证方法，目前，所有的Web服务器都可以通过“ 基本身份认证”支持访问控制。当用户请求某个页面或运行某个CGI程序时，被访问对象 所在目录下有访问控制文件（如NCSA用.haaccess文件）规定那些用户可以访问该目录， Web服务器读取该访问控制文件，从中获得访问控制信息并要求客户方提交用户名/口令 组合，浏览器将用户输入的用户名和口令对经过一定的编码（一般是Base64方式），传 给服务方，在检验了用户身份和口令后，服务方才发送回所请求的页面或执行CGI程序。 可见，HTTP1.0采用的是前面讲述过的明文传输的口令核对方式（传输过程中尽管进行了 编码，但并没有加密），这当然是很不安全的。 为增加安全性，用户可以选择使用SSL建立加密信道后再采用基本身份认证方式进行身份 认证，当然，SSL中也有自己的更完善的身份认证机制，关于SSL老师在课堂上讲过。 HTTP 1.1在身份认证上，针对基本认证方式以明文传输口令这一最大弱点，补充了摘要 认证方法，不再传递口令的明文，而是将口令经过散列函数变换以后传输它的摘要。使 用摘要认证攻击者再也不能截获口令，他最多只能进行重放攻击，而且被限定在很短时 间内，并只能用于同样的访问请求。尽管如此，摘要认证仍然不够安全，与基本认证一 样，容易受到中间者攻击，如一个恶意的或被破坏的代理可能将服务方的摘要认证回答 换成基本认证回答，从而窃得口令。 为HTTP提供更安全的认证方式需要与Kerberos服务相结合，如：CMU的Minotaur方案是结 合特别的MIME类型和Plugin程序实现的。

3.IP中的身份认证

IP协议由于在网络层，无法理解更高层的信息，所以IP协议中的身份认证实际不可能是 基于用户的身份认证，而是基于IP地址的身份认证。老师在讲IPSec时提到过其中的认证 技术，这里就不讲了。

四、身份认证技术讨论

前面对身份认证技术的理论与应用进行了总结和分析，下面将结合自己的理解，进一步 讨论一下身份认证的其他实现途径。 由于数字签名有一项功能是保证信

息发出者的身份真实性，即信息确实是所声称的签名 人签名的，别人不能伪造，这和身份认证的情形有些相似：身份认证的核心是要确认某 人确实是他所声称的身份。那么，我想应该能借用数字签名机制实现身份认证，但这可 能有一个困难，如果不预先进行密钥分发（即使是公钥，也要有一个机制将真实的公钥 信息传递给每一个用户），可能数字签名也无从实现。（这可能就是前面总结的身份认 证方法多与密钥分发结合进行的原因，可见，身份认证是众多安全要求中首先要解决的 。） 但我们假设数字签名的公钥可从一个公认的权威处取得。 方案很简单：

1． 双方首次与联系时，认证方先给被认证方发一条随机的信息，且对其进行签名。

2． 被认证方检验认证方发来的信息的完整性，如完整，则去掉原签名，用自己的密钥 重新进行签名，并发给认证方；如不完整，则要求重发（重发式认证方不能再用原来的 信息，要换一条随机信息）。

3． 认证方检验信息中被认证方的签名，如通过，则被认证，否则被拒绝。 这个方案可能不够完善，比如：由于都是明文传输，虽然信息都是一次性的，不怕暴露 ，但一旦信息的完整性遭破坏，认证就须重新进行；但，这个方案还是有一些优越性， 如：秘密的信息不需在网络中传输、协议简单且可利用现成的数字签名机制等。

六、结语

在实际应用中，认证方案的选择应当从系统需求和认证机制的安全性能两个方面来综合考虑，安全性能最高的不一定是最好的。如何减少身份认证机制和信息认证机制中的计算量和通信量，而同时又能提供较高的安全性能，也是信息安全领域的研究人员进一步需要研究的课题。

参考文献：

［1］美D.E.R.丹宁.密码学与数据安全，科学出版社.1991.11

［2］Derdk Atkins 等着.严伟等译.internet 网络安全专业参考手册.机械工业出版社.1998.

［3］课堂的信息安全课的PPT

［4］卢开澄．计算机密码学——计算机网络中的数据保密与安全（第二版）．北京：清华 大学出版社，1998

［5］李中献，詹榜华，杨义先．认证理论与技术的发展．电子学报，1999，27(1)：98-1 02

［6］Jennifer G. Steiner, Clifford Neuman, and Jerrfey I. Schiller. "Kerberos: An Authentication Service for Open Network Systems." Proceedings of the 198 8 USENIX Winter Conference, February 1988, Dallas, Texas, Pages 191-202.

信息安全

身份认证技术分析

姓 名：

学 院：

专业班级：

学 号：

二 〇 一 一 年 十二 月

摘要：本文总结并分析了身份认证的理论和应用，列举了一些对身份认证的攻击方法， 并根据课堂学习和课后阅读，自己设计了一个利用数字签名实现的简单的身份认证方案 。认证技术是信息安全中的一个重要内容，在“网络与信息安全”课程中我们学习了两种 认证技术：消息认证与身份认证，消息认证用于保证信息的完整性与抗否认性，身份认 证则用于鉴别用户身份。在网上商务日益火爆的今天，从某种意义上说，认证技术可能 比信息加密本身更加重要。因为，很多情况下用户并不要求购物信息保密，只要确认网 上商店不是假冒的（这就需要身份认证），自己与网上商店交换的信息未被第三方修改 或伪造，并且网上商家不能赖帐（这就需要消息认证）,商家也是如此。由于认证技术是 一项包含很广泛的技术，集中于某一方面可能更有针对性，所以，在这篇论文中我没有 涉及消息认证技术。运用课堂学到的理论、课后阅读获得的知识根据自己的分析，我对 身份认证技术作了总结分类，并针对每一种认证技术分析了优点和漏洞，然后剖析了一 些应用，最后提出了自己想到的一个简单的利用数字签名实现的身份认证方案。本文综合评价了某些认证机制和方案的优劣，并分析了身份认证的理论和应用，列举了一些对身份认证的各种实现方法、技术现状及发展趋势，同时设计了一个利用数字签名实现的简单的身份认证方案。

关键词：身份认证技术 分析 比较 运用 信息安全 加密

身份认证系统的组成: 出示证件的人，称作示证者P(Prover)，又称声称者(Claimant)。验证者V（Verifier),检验声称者提出的证件的正确性和合法性，决定是否满足要求。第三方是可信赖者TP（Trusted third party)，参与调解纠纷。在许多应用场合下没有第三方。

身份认证的物理基础: 标识与认证是计算机网络系统中进行身份认证（主体识别）的基础，可识别用户身份、设备真伪。标识与认证是身份认证的两个部分。 标识——用来表明用户的身份，确保用户在系统中的唯一性，可辨认性。以用户名＋标识符ID来标明公开的明码信息

认证——对用户身份的真实性进行鉴别。认证信息不公开，难以仿造。认证信息有口令（密码）；指纹；视网膜；智能IC卡等，声波等。

身份认证方式: 单向认证（One-way Authentication）双向认证（Two-way Authentication）信任的第三方认证（Trusted Third-party Authentication）。 随着网络时代的到来，人们可以通过网络得到各种各样的信息。但由于网络的开放性，它正面临着如计算机病毒、人为的恶意攻击、网络软件的漏洞和“后门”、非授权访问等安全威胁。因此，网络安全越来越受到重视。作为网络安全的第一道防线，亦即是最重要的一道防线，身份认证技术受到普遍关注。

一、基于秘密信息的身份认证方法 口令核对

口令核对是系统为每一个合法用户建立一个用户名/口令对，当用户登录系统或使用某项功能时，提示用户输入自己的用户名和口令，系统通过核对用户输入的用户名、口令与系统内已有的合法用户的用户名/口令对（这些用户名/口令对在系统内是加密存储的）是否匹配，如与某一项用户名/口令对匹配，则该用户的身份得到了认证。

缺点：其安全性仅仅基于用户口令的保密性，而用户口令一般较短且是静态数据，容易猜测，且易被攻击，采用窥探、字典攻击、穷举尝试、网络数据流窃听、重放攻击等很容易攻破该认证系统。

2、单向认证

客户端服务器端

如果通信的双方只需要一方被另一方鉴别身份，这样的认证过程就是一种单向认证，即前面所述口令核对法就算是一种单向认证，只是这咱简单的单向认证还没有与密鈅分发相结合。

与密鈅分发相结合的单向认证主要有两类方案：一类采用对密鈅加密体制，需要一个可信赖的第三方―――通常称为KDC（密鈅分发中心）或AS （认证服务器），同这个第三方来实现通信双方的身份认证和密鈅分发如DES算法，优点运算量小、速度快、安全度高，但其密鈅的秘密分发难度大；另一类采用非对称密鈅加密体制，加密和解密使用不同的密鈅SK，无需第三方参与，典型的公鈅加密算法有RSA。认证优点能适应网络的开放性要求，密鈅管理简单，并且可方便地实现数字签名和身份认证等功能，是目前电子商务等技术的核心基础。其缺点是算法复杂。

用对称密码体制来实现单向认证：

① E(R

As

某函数变换f 双方共享的密钥KS 随机数RA

用非对称密码体制来实现单向认证：

ASB

随机数RA B的私钥KSB

3、双向认证

双向认证中，通信双方需要互相鉴别各自的身分，然后交换会话密鈅，典型方案是Needham/Schroeder协议。优点保密性高但会遇到消息重放攻击。

4、身份的零知识证明

通常的身份认证都要求传输口令或身份信息，但如果能够不传输这些信息身份也得到认证就好了。零知识证明就是这样一种技术：被认证方A掌握某些秘密信息，A想设法让认证方B相信他确实掌握那些信息，但又不想让认证方B知道那些信息。

如着名的Feige-Fiat-shamir零知识身份认证协议的一个简化方案。

假设可信赖仲裁选定一个随机模数n,n为两个大素乘积，实际中至少为512位或长达1024位。仲裁方产生随机数V，使X2＝V mod n,即V为模n的剩余，且有V－1mod n存在。以V作为证明者的公鈅，而后计算最小的整数s:s=sqrt(v-1)mod n作为被认证方的私鈅。实施身份证明的协议被认证方A取随机数r,这里rm,计算x=r2 mod m,把X送给认证方B；若b=1,则A将Y=RS送给B；若b=0,则B验证x=r2 mod m,从而证实A知道sqrt(x);若b=1,则B验证x=y2.v mod m,从而证实A知道S。

这是一轮鉴定，A和B可将此协议重复t次，直到A相信B知道S为止。

二、基于物理安全性的身份认证方法

尽管前面提到的身份认证方法在原理上有很多不同，但他们有一个共同的特点，就是只依赖于用户知道的某个秘密的信息。与此对照，另一类身份认证方案是依赖于用户特有的某些生物学信息或用户持有的硬件。

基于生物学的方案包括基于指纹识别的身份认证、基于声音识别身份认证以及基于虹膜识别的身份认证等技术。该技术采用计算机的强大功能和网络技术进行图像处理和模式识别，具有很好的安全性、可靠性和有效性，与传统的身份确认手段相比，无疑产生了质的飞跃。近几年来，全球的生物识别技术已从研究阶段转向应用阶段，对该技术的研究和应用如火如茶，前景十分广阔。

三、身份认证的应用Kerberos是MIT为分布式网络设计的可信第三方认证协议。网络上的Kerberos服务起着可信仲裁者的作用，它可提供安全的网络认证，允许个人访问网络中不同的机器。Kerberos基于对称密码技术（采用DES进行数据加密，但也可用其他算法替代）

，它与网络上的每个实体分别共享一个不同的

密鈅，是否知道该密鈅便是身份的证明。其设计目标是通过密鈅系统为客户/服务器应用程序提供强大的认证服务。该认证过程的实现不依赖于主机操作系统的认证，无需基于主机地址的信任，不要求网络上所有主机的物理安全，并假定网络上传送的数据包可以被任意地读取、修改和插入数据。

Kerberos也存在一些问题： Kerberos服务服务器的损坏将使得整个安全系统无法工作；AS在传输用户与TGS间的会话密鈅时是以用户密鈅加密的，而用户密鈅是由用户口令生成的，因此可能受到口令猜测的攻击；Kerberos 使用了时间戳，因此存在时间同步问题；要将Kerberos用于某一应用系统，则该系统的客户端和服务器端软件都要作一定的修改。

2、HTTP中的身份认证

HTTP提供了一个基于口令的基本认证方法，目前，所有的Web服务器都可以通过“基本身份认证”支持访问控制。当用户请求某个页面或运行某个CGI程序时，被访问访问对象所在目录下有访问控制文件（如NCSA用.haaccess文件）规定那些用户可以访问该目录，Web服务器读取该访问控制文件，从中获得访问控制信息并要求客户提交用户名和口令对经过一定的编码（一般是Base64方式），付给服务方，在检验了用户身份和口令后，服务方才发送回所请求的页面或执行EGI程序。所以，HTTP采用的是一种明文传输的口令核对方式（传输过程中尽管进行了编码，但并没有加密），缺少安全性。用户可以先把使用SSI建立加密信道后再采用基本身份认证方式进行身份认证，而是基于IP地址的身份认证。

3、IP中的身份认证

IP协议由于在网络层，无法理解更高层的信息，所以IP协议中的身份认证实际不可能是基于用户的身份认证，而是基于IP地址的身份认证。

四、身份认证技术讨论

在计算机网络中身份认证还有其他实现途径，如数字签名技术。传送的报文用数字签名来证明其真实性，简单实例就是直接利用RSA算法和发送方的秘密密鈅。 由于数字签名有一项功能是保证信息发出者的身份真实性，即信息确实是所声称的签名人签名的，别人不能仿造，这和身份认证的情形有些相似；身份认证的核心是要确认某人确实是他所声称的身份。那么，我想应该能借用数字签名机制实现身份认证，但这可能有一个困难，如果不预先进行密鈅分发（即使是公鈅，也要有一个机制将真实的公鈅信息传递给每一个用户）。可能数字签名也无从实现。

五、身份认证的应用

1.Kerberos认证服务[7]

Kerberos是一种受托的第三方认证服务(trusted third-party authentication servic e)，它是建立在前面提到的Needham和Schroeder[1978]提出的模型基础上的，Kerberos 要求信任第三方——即Kerberos认证服务器。Kerberos把网络划分成安全域，称为区域 (realms)，每个区域有自己的认证服务器并实现自己的安全策略。在每个区域内的认证 过程是这样的： Kerberos为客户和服务提供证明自己身份的票(ticket)以及双方安全通信的会话密钥(s ession key)。除客户第一次获得的初始票(initial ticket)是由Kerberos认证服务器( Kerberos authentication server,记作AS)签发外，其他票是由发票服务器(ticket-gr anting server,记作TGS)签发的，一个票可以使用多次直至过期。票的内容为：

{s,c,addr,timestamp,life,Ks,c} Ks 记作Tc,s 其中，s为服务名，c为客户名，addr为客户地址，timestamp为时间戳，life为生存周期 ，Ks,c为服务s与客户c之间的会话密钥，全部信息用服务s的密钥Ks加密。

客户方请求服务方提供一个服务时，不仅要向服务方发送从发票服务器领来的票，同时 还要自己生成一个证(authenticator)一同发送。证是一次性的，内容如下： {c,addr,timestamp} Ks,c 记作A c 其中，c为客户名，addr为客户所在工作站的地址，timestamp为工作站当前时间，全部 信息用客户c与所要请求的服务s之间的会话密钥Ks,c加密。

具体过程分以下三步：

一、 取得初始票

二、 取得某项服务的票

三、 请求该项服务

其中，timestamp是上一步中客户c发给服务s的证Ac中的timestamp，这样做的目的是使 客户c确信与它会话的确实是服务s。（只有s才知道Kc,s，故只有s才能发回这个信息。 ） 另外，文献[7]中具体介绍了一个在SUN NFS中加入Kerberos身份认证功能的例子。

2. HTTP中的身份认证[6]

HTTP协议目前已经有了三个版本HTTP 0.9、HTTP 1.0和HTTP 1.1，HTTP 0.9只定义了最 基本的简单请求和简单回答；HTTP 1.0较完善，也是目前用得最广泛的一个版本，HTTP

1.1新增加了大量的报头域。

HTTP 1.0中提供了一个基于口令的基本认证方法，目前，所有的Web服务器都可以通过“ 基本身份认证”支持访问控制。当用户请求某个页面或运行某个CGI程序时，被访问对象 所在目录下有访问控制文件（如NCSA用.haaccess文件）规定那些用户可以访问该目录， Web服务器读取该访问控制文件，从中获得访问控制信息并要求客户方提交用户名/口令 组合，浏览器将用户输入的用户名和口令对经过一定的编码（一般是Base64方式），传 给服务方，在检验了用户身份和口令后，服务方才发送回所请求的页面或执行CGI程序。 可见，HTTP1.0采用的是前面讲述过的明文传输的口令核对方式（传输过程中尽管进行了 编码，但并没有加密），这当然是很不安全的。 为增加安全性，用户可以选择使用SSL建立加密信道后再采用基本身份认证方式进行身份 认证，当然，SSL中也有自己的更完善的身份认证机制，关于SSL老师在课堂上讲过。 HTTP 1.1在身份认证上，针对基本认证方式以明文传输口令这一最大弱点，补充了摘要 认证方法，不再传递口令的明文，而是将口令经过散列函数变换以后传输它的摘要。使 用摘要认证攻击者再也不能截获口令，他最多只能进行重放攻击，而且被限定在很短时 间内，并只能用于同样的访问请求。尽管如此，摘要认证仍然不够安全，与基本认证一 样，容易受到中间者攻击，如一个恶意的或被破坏的代理可能将服务方的摘要认证回答 换成基本认证回答，从而窃得口令。 为HTTP提供更安全的认证方式需要与Kerberos服务相结合，如：CMU的Minotaur方案是结 合特别的MIME类型和Plugin程序实现的。

3.IP中的身份认证

IP协议由于在网络层，无法理解更高层的信息，所以IP协议中的身份认证实际不可能是 基于用户的身份认证，而是基于IP地址的身份认证。老师在讲IPSec时提到过其中的认证 技术，这里就不讲了。

四、身份认证技术讨论

前面对身份认证技术的理论与应用进行了总结和分析，下面将结合自己的理解，进一步 讨论一下身份认证的其他实现途径。 由于数字签名有一项功能是保证信

息发出者的身份真实性，即信息确实是所声称的签名 人签名的，别人不能伪造，这和身份认证的情形有些相似：身份认证的核心是要确认某 人确实是他所声称的身份。那么，我想应该能借用数字签名机制实现身份认证，但这可 能有一个困难，如果不预先进行密钥分发（即使是公钥，也要有一个机制将真实的公钥 信息传递给每一个用户），可能数字签名也无从实现。（这可能就是前面总结的身份认 证方法多与密钥分发结合进行的原因，可见，身份认证是众多安全要求中首先要解决的 。） 但我们假设数字签名的公钥可从一个公认的权威处取得。 方案很简单：

1． 双方首次与联系时，认证方先给被认证方发一条随机的信息，且对其进行签名。

2． 被认证方检验认证方发来的信息的完整性，如完整，则去掉原签名，用自己的密钥 重新进行签名，并发给认证方；如不完整，则要求重发（重发式认证方不能再用原来的 信息，要换一条随机信息）。

3． 认证方检验信息中被认证方的签名，如通过，则被认证，否则被拒绝。 这个方案可能不够完善，比如：由于都是明文传输，虽然信息都是一次性的，不怕暴露 ，但一旦信息的完整性遭破坏，认证就须重新进行；但，这个方案还是有一些优越性， 如：秘密的信息不需在网络中传输、协议简单且可利用现成的数字签名机制等。

六、结语

在实际应用中，认证方案的选择应当从系统需求和认证机制的安全性能两个方面来综合考虑，安全性能最高的不一定是最好的。如何减少身份认证机制和信息认证机制中的计算量和通信量，而同时又能提供较高的安全性能，也是信息安全领域的研究人员进一步需要研究的课题。

参考文献：

［1］美D.E.R.丹宁.密码学与数据安全，科学出版社.1991.11

［2］Derdk Atkins 等着.严伟等译.internet 网络安全专业参考手册.机械工业出版社.1998.

［3］课堂的信息安全课的PPT

［4］卢开澄．计算机密码学——计算机网络中的数据保密与安全（第二版）．北京：清华 大学出版社，1998

［5］李中献，詹榜华，杨义先．认证理论与技术的发展．电子学报，1999，27(1)：98-1 02

［6］Jennifer G. Steiner, Clifford Neuman, and Jerrfey I. Schiller. "Kerberos: An Authentication Service for Open Network Systems." Proceedings of the 198 8 USENIX Winter Conference, February 1988, Dallas, Texas, Pages 191-202.