网络安全系统中的身份认证技术

网络安全系统中的身份认证技术

张固庆赵锐周春红车长卿

军事交通学院基础部计算机教目ｆ室．天津３００１６

．ｉｉｘｕｚｇ，ｑ＠１２６．ｃｏｍ

ｆ摘要】身份认证技术可以识别网络活动中的各种身份．它是网络安全系统的第一道防线．一旦身份认证系统被攻破，那么系统的所有安生措旌将形同虚设．常用的身份认证技术包括有：单闲秉身份认证技术、双堋崇静态身份认“Ｅ技术、顽因素动态身份认证技术．身份认证拉术的发展趋势足利用人体生物特征进行身份认证的技术．

１引言

身份认证技术可以识别网络活动中的各种身份。它是安全系统中的基础设施．也是最基本的安全服务，其他的安全服务都依赖于它。它是网络安全系统的第一道防线．一旦身份认证系统被攻破，那么系统的所有安全措施将形同虚设。常用的身份认证技术包括有：单因素身份认证技术、双因素静态身份认证技术、双因素动态身份认证技术。

２单因素认证技术

目前广泛使用的身份验证方法采用秘密信息作为验证口令的验证方式。基于这种方法的系统通常都采用“用户名＋密码”的方式来识别用户。如图】所示。在通常情况下．用户名是公开的。并且这种口令是可以重复使用的，因此攻击者有足够的时间来获取口令。非法或未授权的用户可以通过以。ＦＪＬ种方式获取合法用户的口令。

峋ｉｉｉｌＩ硼洲ｓ２０００Ｓ电ｒ坩ｔ于ｎ＆｝●％

用户ｇ蛐

密码∞，

［噩：］塑ｌ墅坐：：Ｉ

荫ＩＷｉｎｄｏｗｓ２０００的口令验证方式

字典攻击：这是最简单也是晟常见的攻击方式。攻击者首先收集合法用户的一些基本信息，如：姓名、生日、爱好等，然后用这些信息的任意组合去猜测用户口令。

穷举攻击：这是一种特殊的字典攻击方式。攻击者通常首先了解用户口令的长度限制，然后利用所有字符集构造出符合长度要求的字符串全集作为字典。这种攻击方式虽然速度较慢，但是它对绝大多数的静态口令系统都很奏效。

网络数据包侦听：由于认证信息必须通过网络传输，而许多系统的验证信息是通过未加密的明文进行传输。因此，攻击者可以通过侦听网络中的数据包，并且很容易从中提取用户名和密码。

协议分析和口令重放：网络是一个开发的系统，因此网络之间交流的语言一一通信协议也必须是开放共享的。攻击者可以利用协议的一些特性进行信息截驭与重放，与服务器建立虚假连接，从而达到控制服务器和修改用户信息的目的。例如，攻击者首先侦听一个合法用户与服务器建立连接及验证的全部过程，并将所有用户数据包保留。在合法用户退出后，攻击者便修改数据包中与协议有关的信息而保留用户信息。并将所有截取的数据包一一重发，从而冒充合法用户登录，修改用户信息，当然包括用户口令。因此，为了提高系统的安全性，管理员通常制定相应的策略以限制口令的使用。使用密码口令的一般策略：

（１）选用高质量的密码，最少要有８个字符。不要使用名字、电话号码、生日等容易被猜出的或被破解的密码信息；不要连续使用同一个字符，不要全部使用数字或字母。

（２）定期更改密码，首次登陆时要更改临时密码；避免使用旧密码或循环使用旧密码。（３）不要共享个人用户密码；避免在纸上记录密码。

（４）用户需要访问多项服务或多平台时，要采用多个密码。

在安全性要求较高的网络系统中。人们通常不采用单口令验证方法，取而代之的是双因素认证方法。

３双因素认证技术

双因素认证是密码学的一个概念。从理论上说，身份认证具有３个要素。

（１）使用者记忆的内容，例如密码等；

（２）使用者拥有的特殊认证加强机制，例如软盘、智能卡、令牌等；

（３）使用者本身拥有的惟一特征．例如指纹、瞳孔、声音等。

把前两种要素结合起来的身份认证方法就是“双因素认证”。双因素认证技术由于需要用户的双重认证，类似于自动柜员机提款。使用者必须利用提款卡（认证设备），在输入个人识别号码（已知信息），才能提取其账户的款项。

双因素认证技术分为双因素静态身份认证技术和双因素动态身份认证技术两种。所谓静身份认证就是在一定时间内使用固定不变、可以重复使用的身份信息（如口令等）。前面提到的单因素认证系统也属于静态口令认证技术。

３．１双因素静态身份认证

双因素静态身份认证即在单一口令认证的基础上结合第二认证因素，这里的第二因素９３６

包括软盘、智能卡等．双因素静态身份认证是对单一口令身份认证的一个改进，因为有了第二认证因素，使得认证的确定性、安全性得到指数递增．

双因素静态认证的一个应用：

Ｗｉｎｄｏｗｓ２０００，）∞操作系统提供一个Ｓｙｓｋｅｙ工具，可以制作钥匙软盘，在软盘上保存启动密码。系统启动前要求用户插入该软盘。该软盘就属于认证的第二因素．

该启动软盘具体制作步骤如下：

（”在Ｗｉｎｄｏｗｓ２‘Ｘ）０中“开始一运行”中输入“ｓｙｓｋｅｙ４就可以启动加密窗口。如图２所示，若直接点击。确定”．没有任何提示．实际上已经完成了对系统加密文件ｓＡＭ的二次加密工作。

Ｃ２）在启动加密窗口，点击“更新”。进入密码设置窗口，如图３所示，选择“在软盘上保存启动密码”，选择“确定”，进入“成功”窗口。

（３）进入“成功”窗口。选择“确定”进入“保存开始密码”窗口．选择“确定”，插入软盘。

臣ｅ互：圈岛ｅ：ｊ

４到１日ｇ自∞

Ｉ－－

鸯淤稍辫嬲Ｂ朋一蝴酣埘”许毫，取Ｆ翱Ｆ哇断码口。１８镄霜ｇ露窖噻。

ｒ在相址僵日出嗍∞

圜—！叫』划

图２加密窗口Ｆ黝猁ｒ”ｑ’ｊｉ§潞嚣ｉ黼鼗簖掣“图３密码设置窗口

设置完成后，下次启动机器时，首先会提示插入密码软盘，经验证成功后才能进入系统登录窗口。通过这种密码的双重保护，系统的安全性能大大提高。

３．２双因素动态身份认证

动态身份认证系统中，用户口令是桩时产生并且仅能用于一次登录验证。由于每次登录的口令都不一样，攻击者即使获取到了用户口令也不能登录，从而大大降低Ｔｇｔ部非法访问者的身份欺诈和来自内部的更隐蔽的网络侵犯，提高了系统的安全性。

双因素动态身份认证目前被认为是较为安全的动态口令认证方式，其应用方案主要由三个主要部件组成；一个简单易用的令牌，一个功能强大的管理服务器以及一个代理软件。

令牌：令牌可以使用户证明自己的身份后获得受保护资源的访问权。令牌会产生一个随机但专用于某个用户的“种子值”，一般每６０秒钟该“种子值”就会自动更新一次，其

数字只有对制定用户在特定的时刻有效。

用户的密码＋令牌的随机“种子值”，使得用户的电子身份很难被模仿、盗用和破坏。代理软件：在终端用户和需要受到保护的网络资源中间发挥作用．当一个用户想要访问某个资源时，代理软件会请求发送到管理服务器用户认证引擎，认证通过后放行。

管理服务器：将一个性能卓越的认证引擎和集中式管理能力结合在一起。当管理服务器受到一个请求时，它使用与用户令牌一样的算法和种子值来验证正确的令牌码。

如果用户输入正确，用户即可访阀．否则将提醒用户再次输入。如果三次输入均告错误，则该用户被吊销使用权，直到管理服务器的管理员恢复其权限。

４身份认证技术的发展趋势

身份认证技术的发展趋势是利用第三要素即利用人体生物特征进行身份认证的技术。人体生物特征具有惟一性和稳定性，不易伪造和假冒，所以利用生物身份认证技术安全、可靠、准确。生物身份认证技术的工作原理为：生物识别系统对生物特征进行取样，提取其惟一的特征并且转化成数字代码。并进一步将这些代码组成特征模板，用户同识别系统交互进行身份认证时。识别系统获取其特征并与数据库中的特征模板进行对比，以确定是否匹配，从而决定接受或拒绝该用户。目前应用较为广泛的有：虹膜识别技术、视网膜识别技术、面部识别、签名识别、声音识别、指纹识别等。

参考文献

【ｌ】ＡｎｄｒｃｗＳ．Ｔａｎｃｎｂａｕｍ．ＣｏｍｐｕｔｅｒＮｅｔｗｏｒｋｓ，ＦｏｒｔｈＥｄｉｔｉｏｎ

ＣｏｍｍｕｎｉｃａｔｉｏｎｓａｎｄＮｅｔｗｏｒｋｉｎｇＴｅｃｈｎｏｌｏｇｉｅｓ【２】ＭｉｃｈａｅｌＡ．Ｂａｌｌｏ，ＷｉｌｌｉａｍＭ．Ｈａｎｃｏｃｋ．Ｃｏｍｐｕｔｅｒ

【３１赵锐．计算机网络应用基础．北京：科学出版社，２００６

【４】谢希仁．计算机网络（第四版）．北京：电子工业出版社．２００３【５】郭诠水．全新计算机网络．北京：北京希望电子出版社，２００１

网络安全系统中的身份认证技术

作者：

作者单位：张国庆， 赵锐， 周春红， 李长卿军事交通学院基础部计算机教研室,天津 300161

本文链接：http://d.g.wanfangdata.com.cn/Conference_7120231.aspx

网络安全系统中的身份认证技术

张固庆赵锐周春红车长卿

军事交通学院基础部计算机教目ｆ室．天津３００１６

．ｉｉｘｕｚｇ，ｑ＠１２６．ｃｏｍ

ｆ摘要】身份认证技术可以识别网络活动中的各种身份．它是网络安全系统的第一道防线．一旦身份认证系统被攻破，那么系统的所有安生措旌将形同虚设．常用的身份认证技术包括有：单闲秉身份认证技术、双堋崇静态身份认“Ｅ技术、顽因素动态身份认证技术．身份认证拉术的发展趋势足利用人体生物特征进行身份认证的技术．

１引言

身份认证技术可以识别网络活动中的各种身份。它是安全系统中的基础设施．也是最基本的安全服务，其他的安全服务都依赖于它。它是网络安全系统的第一道防线．一旦身份认证系统被攻破，那么系统的所有安全措施将形同虚设。常用的身份认证技术包括有：单因素身份认证技术、双因素静态身份认证技术、双因素动态身份认证技术。

２单因素认证技术

目前广泛使用的身份验证方法采用秘密信息作为验证口令的验证方式。基于这种方法的系统通常都采用“用户名＋密码”的方式来识别用户。如图】所示。在通常情况下．用户名是公开的。并且这种口令是可以重复使用的，因此攻击者有足够的时间来获取口令。非法或未授权的用户可以通过以。ＦＪＬ种方式获取合法用户的口令。

峋ｉｉｉｌＩ硼洲ｓ２０００Ｓ电ｒ坩ｔ于ｎ＆｝●％

用户ｇ蛐

密码∞，

［噩：］塑ｌ墅坐：：Ｉ

荫ＩＷｉｎｄｏｗｓ２０００的口令验证方式

字典攻击：这是最简单也是晟常见的攻击方式。攻击者首先收集合法用户的一些基本信息，如：姓名、生日、爱好等，然后用这些信息的任意组合去猜测用户口令。

穷举攻击：这是一种特殊的字典攻击方式。攻击者通常首先了解用户口令的长度限制，然后利用所有字符集构造出符合长度要求的字符串全集作为字典。这种攻击方式虽然速度较慢，但是它对绝大多数的静态口令系统都很奏效。

网络数据包侦听：由于认证信息必须通过网络传输，而许多系统的验证信息是通过未加密的明文进行传输。因此，攻击者可以通过侦听网络中的数据包，并且很容易从中提取用户名和密码。

协议分析和口令重放：网络是一个开发的系统，因此网络之间交流的语言一一通信协议也必须是开放共享的。攻击者可以利用协议的一些特性进行信息截驭与重放，与服务器建立虚假连接，从而达到控制服务器和修改用户信息的目的。例如，攻击者首先侦听一个合法用户与服务器建立连接及验证的全部过程，并将所有用户数据包保留。在合法用户退出后，攻击者便修改数据包中与协议有关的信息而保留用户信息。并将所有截取的数据包一一重发，从而冒充合法用户登录，修改用户信息，当然包括用户口令。因此，为了提高系统的安全性，管理员通常制定相应的策略以限制口令的使用。使用密码口令的一般策略：

（１）选用高质量的密码，最少要有８个字符。不要使用名字、电话号码、生日等容易被猜出的或被破解的密码信息；不要连续使用同一个字符，不要全部使用数字或字母。

（２）定期更改密码，首次登陆时要更改临时密码；避免使用旧密码或循环使用旧密码。（３）不要共享个人用户密码；避免在纸上记录密码。

（４）用户需要访问多项服务或多平台时，要采用多个密码。

在安全性要求较高的网络系统中。人们通常不采用单口令验证方法，取而代之的是双因素认证方法。

３双因素认证技术

双因素认证是密码学的一个概念。从理论上说，身份认证具有３个要素。

（１）使用者记忆的内容，例如密码等；

（２）使用者拥有的特殊认证加强机制，例如软盘、智能卡、令牌等；

（３）使用者本身拥有的惟一特征．例如指纹、瞳孔、声音等。

把前两种要素结合起来的身份认证方法就是“双因素认证”。双因素认证技术由于需要用户的双重认证，类似于自动柜员机提款。使用者必须利用提款卡（认证设备），在输入个人识别号码（已知信息），才能提取其账户的款项。

双因素认证技术分为双因素静态身份认证技术和双因素动态身份认证技术两种。所谓静身份认证就是在一定时间内使用固定不变、可以重复使用的身份信息（如口令等）。前面提到的单因素认证系统也属于静态口令认证技术。

３．１双因素静态身份认证

双因素静态身份认证即在单一口令认证的基础上结合第二认证因素，这里的第二因素９３６

包括软盘、智能卡等．双因素静态身份认证是对单一口令身份认证的一个改进，因为有了第二认证因素，使得认证的确定性、安全性得到指数递增．

双因素静态认证的一个应用：

Ｗｉｎｄｏｗｓ２０００，）∞操作系统提供一个Ｓｙｓｋｅｙ工具，可以制作钥匙软盘，在软盘上保存启动密码。系统启动前要求用户插入该软盘。该软盘就属于认证的第二因素．

该启动软盘具体制作步骤如下：

（”在Ｗｉｎｄｏｗｓ２‘Ｘ）０中“开始一运行”中输入“ｓｙｓｋｅｙ４就可以启动加密窗口。如图２所示，若直接点击。确定”．没有任何提示．实际上已经完成了对系统加密文件ｓＡＭ的二次加密工作。

Ｃ２）在启动加密窗口，点击“更新”。进入密码设置窗口，如图３所示，选择“在软盘上保存启动密码”，选择“确定”，进入“成功”窗口。

（３）进入“成功”窗口。选择“确定”进入“保存开始密码”窗口．选择“确定”，插入软盘。

臣ｅ互：圈岛ｅ：ｊ

４到１日ｇ自∞

Ｉ－－

鸯淤稍辫嬲Ｂ朋一蝴酣埘”许毫，取Ｆ翱Ｆ哇断码口。１８镄霜ｇ露窖噻。

ｒ在相址僵日出嗍∞

圜—！叫』划

图２加密窗口Ｆ黝猁ｒ”ｑ’ｊｉ§潞嚣ｉ黼鼗簖掣“图３密码设置窗口

设置完成后，下次启动机器时，首先会提示插入密码软盘，经验证成功后才能进入系统登录窗口。通过这种密码的双重保护，系统的安全性能大大提高。

３．２双因素动态身份认证

动态身份认证系统中，用户口令是桩时产生并且仅能用于一次登录验证。由于每次登录的口令都不一样，攻击者即使获取到了用户口令也不能登录，从而大大降低Ｔｇｔ部非法访问者的身份欺诈和来自内部的更隐蔽的网络侵犯，提高了系统的安全性。

双因素动态身份认证目前被认为是较为安全的动态口令认证方式，其应用方案主要由三个主要部件组成；一个简单易用的令牌，一个功能强大的管理服务器以及一个代理软件。

令牌：令牌可以使用户证明自己的身份后获得受保护资源的访问权。令牌会产生一个随机但专用于某个用户的“种子值”，一般每６０秒钟该“种子值”就会自动更新一次，其

数字只有对制定用户在特定的时刻有效。

用户的密码＋令牌的随机“种子值”，使得用户的电子身份很难被模仿、盗用和破坏。代理软件：在终端用户和需要受到保护的网络资源中间发挥作用．当一个用户想要访问某个资源时，代理软件会请求发送到管理服务器用户认证引擎，认证通过后放行。

管理服务器：将一个性能卓越的认证引擎和集中式管理能力结合在一起。当管理服务器受到一个请求时，它使用与用户令牌一样的算法和种子值来验证正确的令牌码。

如果用户输入正确，用户即可访阀．否则将提醒用户再次输入。如果三次输入均告错误，则该用户被吊销使用权，直到管理服务器的管理员恢复其权限。

４身份认证技术的发展趋势

身份认证技术的发展趋势是利用第三要素即利用人体生物特征进行身份认证的技术。人体生物特征具有惟一性和稳定性，不易伪造和假冒，所以利用生物身份认证技术安全、可靠、准确。生物身份认证技术的工作原理为：生物识别系统对生物特征进行取样，提取其惟一的特征并且转化成数字代码。并进一步将这些代码组成特征模板，用户同识别系统交互进行身份认证时。识别系统获取其特征并与数据库中的特征模板进行对比，以确定是否匹配，从而决定接受或拒绝该用户。目前应用较为广泛的有：虹膜识别技术、视网膜识别技术、面部识别、签名识别、声音识别、指纹识别等。

参考文献

【ｌ】ＡｎｄｒｃｗＳ．Ｔａｎｃｎｂａｕｍ．ＣｏｍｐｕｔｅｒＮｅｔｗｏｒｋｓ，ＦｏｒｔｈＥｄｉｔｉｏｎ

ＣｏｍｍｕｎｉｃａｔｉｏｎｓａｎｄＮｅｔｗｏｒｋｉｎｇＴｅｃｈｎｏｌｏｇｉｅｓ【２】ＭｉｃｈａｅｌＡ．Ｂａｌｌｏ，ＷｉｌｌｉａｍＭ．Ｈａｎｃｏｃｋ．Ｃｏｍｐｕｔｅｒ

【３１赵锐．计算机网络应用基础．北京：科学出版社，２００６

【４】谢希仁．计算机网络（第四版）．北京：电子工业出版社．２００３【５】郭诠水．全新计算机网络．北京：北京希望电子出版社，２００１

网络安全系统中的身份认证技术

作者：

作者单位：张国庆， 赵锐， 周春红， 李长卿军事交通学院基础部计算机教研室,天津 300161

本文链接：http://d.g.wanfangdata.com.cn/Conference_7120231.aspx