计算机网络身份认证系统及其组成

以密码理论为基础的身份认证是访问控制的前提，身份认证是网络安全理论的重要组成。

1.身份认证概述

（1）身份认证的作用

身份认证是为了确保用户身份的真实、合法与唯一，以防止非法人员进入系统，防止非法人员通过违法操作获取不正当利益、访问受控信息、恶意破坏系统数据完整性的情况发生。

一个系统的身份认证方案，必须根据各系统的不同平台和安全性要求进行设计。如有些公用信息查询系统可能无需身份认证，而金融系统则需很严格的安全身份认证。

（2）身份认证的分类

身份认证分类方法有多种，很多系统身份认证是各种方法的组合。

按身份认证所用到的物理介质分，计算机网络通常采用三种方法验证用户身份。用户已知，如密码、口令，方法简单，系统开销小，但最不安全；用户拥有或携带的物品，如身份证、护照、密钥盘和智能卡等，该方法泄漏秘密的可能性小，安全性比前一种高，但认证系统相对复杂；用户具有的独一无二特征或能力，包括用户的生物特征，如指纹、虹膜、DNA等，这种方法安全性最高，但涉及更复杂的算法与实现技术。

按身份认证所应用的系统，分为单机系统认证和网络系统认证。

按身份认证基本原理，分为静态认证与动态认证。静态认证是指用户登录系统、验证过程中，送入系统的验证数据固定不变，如密码、口令等，或在此基础上结合其他物理认证因素，如磁卡、IC卡、指纹认证等；动态认证指用户登录系统、验证身份过程中，送入系统的验证数据动态变化。该认证主要有时间同步令牌方式与提问/应答方式两种。

按身份认证所用认证协议，分为双向认证协议和单向认证协议。双向认证协议最常用，使得通信双方互相认证对方身份，单向认证协议是通信一方认证另一方身份，如服务器在提供用户申请服务前，先要认证用户是否为该项服务合法用户，但服务器不需要向用户证明自己身份。

按认证协议所使用的密码技术，可分为基于对称密钥密码体制的认证协议和基于公开密钥密码体制（非对称）的认证协议。前者认证需双方事先通过其他方式（如电话、信函等）拥有共同密钥；基于公开密钥密码体制认证的协议双方只要知道对方公钥即可。公钥获得相对于对称密钥简便，但缺点是加密/解密速度慢、代价大。在认证协议最后，通信双方要协商一个对称密钥作为下一步通信的会话密钥。产生会话密钥也有安全性要求，一旦会话密钥泄漏，则只会泄漏本次通信内容，不会带来更大损失，当通信者一旦发现会话密钥泄漏，就可用原有密钥协商出新的会话密钥，重新开始新的会话。

（3）身份认证系统的组成

身份认证系统主要由认证服务器、认证系统用户端软件和认证设备组成。

认证服务器：负责进行使用者身份认证工作，服务器上存放使用者的私有密钥、认证方式及其他使用者认证的相关资讯。

认证系统用户端软件：认证系统用户端通常需要进行登录设备或系统，在设备及系统中必须具备与认证服务器协同运作的认证协议。

认证设备：使用者用来产生或计算密码的软硬件设备。

2.物理认证

（1）口令认证

网络身份认证最常用方法。用户账号加上口令等于用户身份。其中，用户账号代表网络消息系统中某人的身份，口令用来验证是否真为网络系统所允许的用户。基于口令认证的方式是服务器将用户输入的用户名、口令与数据库中用户名、口令比较，如相符则通过认证。(www.xing528.com)

（2）智能卡

智能卡是一种将具有加密、存储、处理能力的集成电路芯片嵌装于材料基片上而制成的卡，外形与信用卡相似。智能卡由微处理器、存储器及输入/输出设备组成。其中有唯一用户标识、私钥和数字证书。为防止智能卡遗失或被窃，一些系统将智能卡和身份识别码（Personal IdentificationNumber，PIN）同时使用。若仅有智能卡而不知PIN码，则不能进入系统。基于智能卡认证的机制有提问/应答认证、时间同步认证和事件同步认证。

（3）生物特征认证

生物特征认证是指通过自动化技术利用人体生理特征或行为特征进行身份鉴定。利用行为特征进行识别的主要方法有声音识别、笔迹识别和击键识别等。随着生物技术发展，人类基因组研究的重大突破，DNA识别技术或基因型识别技术是未来生物识别技术的主流。

生物特征认证核心在于如何获取这些生物特征，并将之转换为数字信息存储于计算机，利用可靠的匹配算法完成验证与识别个人身份的过程。所有生物识别系统包括：采集、解码、比对和匹配过程。因为人体生物特征具有人体固有且不可复制的唯一性，使得生物识别身份验证方法可不依赖于各种人造物和附加物来证明身份，用来证明自身的恰恰为人本身。生物密钥不会丢失、遗忘，很难伪造和假冒，采用生物特征认证具有很强的安全性与便利性。

指纹识别。指纹鉴定处理包括对指纹图像采集、指纹图像处理特征提取、特征值的比对与匹配等过程。指纹鉴定的优点是独特性，人的指纹在出生9个月后即成型并终身不变，每个指纹一般有70～150个基本特征点。概率统计在两指纹中只要有12或13个特征点吻合，即可认定为是同一指纹。按现有人口计算，120年才可出现两枚完全相同的指纹。指纹具稳定性，纹脊样式终生不变。目前全球范围内都已建成标准指纹样本库，利于和方便识别系统软件开发和完成指纹采样功能的硬件设计。

视网膜识别。每人的视网膜都是唯一的，视网膜的结构形式在人一生中相当稳定。

虹膜识别。虹膜位于眼角膜之后，水晶体之前。其颜色因含色素多少与分布不同而异。虹膜辨识系统用摄像机捕捉样本，由软件对所得数据与储存模板比较。目前虹膜识别的错误率在各种生物特征识别中最低，因每人虹膜结构不相同，且此结构在人的一生中几乎不变化。

面孔识别。根据人脸各部分，如眼睛、鼻子、唇部及下颚等器官的相互位置，及形状和尺寸区分。人脸识别是一种更直接、更方便、更友好、更易接受的识别方法。

3.身份认证协议

（1）双向认证协议

双向认证是使通信双方确认对方身份，适用于通信双方同时在线的情况。根据所用密码体制不同，分为基于对称密钥技术的身份认证（如Kerberos）和基于公开密钥技术的身份认证（如CA）两类。

基于对称密钥技术的双向认证协议。Needham/Schroeder是一种基于对称加密算法协议，要求有第三方的可信权威机构——鉴别服务器（密钥分发中心，KDC）参与，KDC拥有每个用户的秘密密钥。若用户A欲与用户B通信，则用户A向鉴别服务器申请会话密钥。在会话密钥分配过程中，与B互相认证对方身份。认证过程如图10-6所示。

图10-6 Needham/Schroeder认证过程

KDC是密钥分发中心，ID_A表示A身份的唯一标识，ID_B表示B身份的唯一标识；秘密密钥Ka和Kb分别是A与KDC、B与KDC之间共享的密钥；Ks是由KDC分发的A与B的会话密钥；Ex表示使用密钥X加密；N₁和N₂是两个一次性随机数；f（N）是对N进行一个运算，如f（N）=N+1。本协议目的：认证A和B身份后，安全分发一个会话密钥Ks给A和B。

基于公开密钥技术的双向认证协议。使用公钥密码算法，能克服基于对称密码的认证协议中的一些问题，但同样需要有可信的第三方参与。在认证协议中，A和B都向KDC索取对方的公钥，如对方能正确解密用其公钥加密的消息，就能证明对方的身份。

（2）单向认证协议

许多单向认证的应用（如E-mail），不需双方同时在线。一方在向对方证明自己身份的同时，即可发送数据；另一方收到后，首先验证发送方的身份，如身份有效，就可接收数据。单向认证协议中只有一方向另一方证明自己身份，过程简单。