劉洪偉 韓曉靜 余堃 邵鄒 韓曉峰

摘 要：為了解決網(wǎng)絡(luò)環(huán)境下的身份認(rèn)證問題，在系統(tǒng)分析常見的身份認(rèn)證技術(shù)基礎(chǔ)上，給出一個(gè)基于公鑰的身份認(rèn)證系統(tǒng)實(shí)例，介紹了其部署模式和所采用的安全協(xié)議進(jìn)行，相關(guān)成果可作為信息網(wǎng)絡(luò)安全防護(hù)體系建設(shè)的參考。

關(guān)鍵詞：身份認(rèn)證技術(shù)；信息安全；公鑰基礎(chǔ)設(shè)施

中圖分類號(hào)：TP393.08 文獻(xiàn)標(biāo)識(shí)碼：A 文章編號(hào)：2095-7394（2017）02-0060-04

在開放式的網(wǎng)絡(luò)環(huán)境中，身份認(rèn)證指的是用戶身份的確認(rèn)技術(shù)，它是網(wǎng)絡(luò)安全的第一道防線，也是最重要的一道防線。網(wǎng)絡(luò)中的各種應(yīng)用和計(jì)算機(jī)系統(tǒng)都需要通過身份認(rèn)證來確認(rèn)用戶的合法性然后確定這個(gè)用戶的個(gè)人數(shù)據(jù)和特定權(quán)限[1]。

網(wǎng)絡(luò)安全存在各種形式的威脅，加密技術(shù)可以保證網(wǎng)絡(luò)中數(shù)據(jù)傳輸?shù)臋C(jī)密性，防止被動(dòng)攻擊，而僅有機(jī)密性還不能保證數(shù)據(jù)傳輸?shù)陌踩?。例如，在?shí)際應(yīng)用中，信息系統(tǒng)內(nèi)機(jī)密信息的授權(quán)訪問，首要的問題就是確認(rèn)訪問者是誰，才能確定其權(quán)限，完成訪問控制；陌生用戶A和B之間雖然可以有一條安全的秘密信道，但未解決對(duì)方是誰的情況下，機(jī)密的數(shù)據(jù)就有可能傳送給錯(cuò)誤的對(duì)象，造成系統(tǒng)的異常。

這類確認(rèn)實(shí)體身份的技術(shù)就是身份認(rèn)證技術(shù)，身份認(rèn)證對(duì)抗的主要安全威脅是實(shí)體身份的“冒充”攻擊和實(shí)體標(biāo)識(shí)的“重放”攻擊，其根本目的是為了區(qū)分實(shí)體身份，防止其它實(shí)體占用被認(rèn)證實(shí)體的身份。所以，要解決實(shí)體身份的鑒別問題，應(yīng)滿足以下目標(biāo)：

（a）身份認(rèn)證性：即對(duì)于誠實(shí)方A和B而言，A通過成功的證明自己的身份，同時(shí)B成功的接受A的身份。

（b）不可傳遞性：B不能用A的身份信息向第三方C認(rèn)證A的身份。

（c）不可偽造性：任何不同于A的主體C執(zhí)行協(xié)議擔(dān)當(dāng)A的角色并成功完成認(rèn)證不可能（概率非常?。?。

認(rèn)證是一種重要的、常用的安全服務(wù)，被廣泛的應(yīng)用于各類信息系統(tǒng)中。

1 常見的身份認(rèn)證技術(shù)

目前信息網(wǎng)絡(luò)中常見的身份認(rèn)證技術(shù)有基于口令的認(rèn)證、基于雜湊處理的認(rèn)證、基于地址的認(rèn)證、基于生物特征的認(rèn)證和基于公鑰的認(rèn)證等。下面對(duì)各種身份認(rèn)證技術(shù)進(jìn)行介紹。

1.1 基于口令的認(rèn)證方式

口令認(rèn)證方式是一種常用的主動(dòng)認(rèn)證方式，其基本思路為系統(tǒng)中的每一個(gè)用戶都共享一個(gè)關(guān)聯(lián)口令，作為用戶與認(rèn)證系統(tǒng)共享的秘密。在系統(tǒng)啟動(dòng)時(shí)，直接對(duì)比用戶輸入的口令與認(rèn)證系統(tǒng)中前期設(shè)定的口令是否一致來判斷用戶的合法性。由于口令實(shí)現(xiàn)簡(jiǎn)單，在應(yīng)用系統(tǒng)終端本地認(rèn)證中被廣泛采用。

但是，基于口令的認(rèn)證方式存在嚴(yán)重的安全隱患。用戶所設(shè)定的口令往往容易猜測(cè)，容易泄露，攻擊者會(huì)首先猜測(cè)用戶口令進(jìn)而獲取系統(tǒng)認(rèn)證；口令認(rèn)證容易遭受被動(dòng)攻擊，攻擊者利用一些技術(shù)手段可以從信息系統(tǒng)中獲取口令，比如利用系統(tǒng)存儲(chǔ)的口令文件恢復(fù)口令，在系統(tǒng)運(yùn)行時(shí)從內(nèi)存中dump得到正確的口令等。因此，基于口令的身份認(rèn)證方式無法滿足信息系統(tǒng)的安全性要求。

1.2 基于雜湊處理的認(rèn)證方式

所謂雜湊技術(shù)就是利用雜湊函數(shù)把任意長(zhǎng)的輸入字符串轉(zhuǎn)化為定長(zhǎng)的輸出字符串的一種方法，又稱哈希技術(shù)或信息摘要技術(shù)，在信息的保密性、完整性、確認(rèn)性等方面發(fā)揮了重要的作用[2]。

基于雜湊處理的身份認(rèn)證方式，其基本思想是利用雜湊函數(shù)的密碼學(xué)性質(zhì)對(duì)用戶的口令進(jìn)行雜湊函數(shù)的處理。在信息系統(tǒng)中，系統(tǒng)存儲(chǔ)用戶口令的雜湊值，當(dāng)用戶登錄時(shí)，用戶輸入的口令經(jīng)過雜湊變換后傳遞到系統(tǒng)進(jìn)行比對(duì)，以確定用戶是否合法。

此種認(rèn)證方式的安全性依賴于雜湊函數(shù)的安全性，如果雜湊函數(shù)安全性高，則通過破譯雜湊函數(shù)摘要逆向推出口令，或是尋找雜湊值碰撞在計(jì)算上是不可行的，具有一定的安全性。但現(xiàn)有的雜湊算法的安全性沒有在數(shù)學(xué)上證明，有可能存在安全隱患，基于雜湊處理的典型代表是Windows操作系統(tǒng)，目前Windows操作系統(tǒng)的本地用戶賬戶口令字及域賬戶口令字都是先進(jìn)行128位雜湊處理，再把處理結(jié)果分別保存于安全賬戶數(shù)據(jù)管理器（SAM）或活動(dòng)目錄（AD）中，雖然在Windows運(yùn)行期間內(nèi)核對(duì)SAM文件加上了一個(gè)持久性的文件鎖，即使是Administrator賬戶也無法直接讀取SAM，但非法用戶可以從內(nèi)存中以dump方式將密文提取，并進(jìn)一步進(jìn)行離線暴力破解。Windows網(wǎng)絡(luò)身份認(rèn)證是由系統(tǒng)LSASS服務(wù)的Netlogon模塊主導(dǎo)完成，Windows客戶端訪問遠(yuǎn)程Windows服務(wù)器資源時(shí)，客戶端LSASS服務(wù)的Netlogon模塊會(huì)與服務(wù)器端的Netlogon進(jìn)行“質(zhì)詢-應(yīng)答式”的身份驗(yàn)證協(xié)議以驗(yàn)證客戶端的身份。NT4.x版本的Windows使用LANMAN協(xié)議來完成這一過程，但LANMAN協(xié)議有重大安全弱點(diǎn)，從使用LANMAN協(xié)議加密的密文中很容易破解出Windows用戶賬戶口令，因此NT 4.0SP3與5.x早期版本的Windows中使用NTLM協(xié)議來代替LANMAN協(xié)議，并在NT4.0SP4與5.x大多數(shù)版本中升級(jí)至NTLMv2。2010年2月，Amplia公司發(fā)現(xiàn)MTLM認(rèn)證協(xié)議存在安全漏洞，因此目前Windows在域環(huán)境中建議使用在線認(rèn)證協(xié)議Kerberos。但在目前未使用域的網(wǎng)絡(luò)環(huán)境里，Windows仍依賴NTLM完成網(wǎng)絡(luò)身份認(rèn)證，這就為攻擊者實(shí)施針對(duì)Windows的遠(yuǎn)程口令監(jiān)聽與破解提供了可乘之機(jī)。基于口令認(rèn)證的另一典型代表是802.1x認(rèn)證機(jī)制，該認(rèn)證機(jī)制廣泛應(yīng)用于以太網(wǎng)環(huán)境當(dāng)中，主要采用EAP-MD5認(rèn)證方式，相關(guān)研究表明，MD5加密強(qiáng)度不夠，無法對(duì)抗字典攻擊。

此外，基于雜湊處理的認(rèn)證還不能抵御重放攻擊，即攻擊者只要得到用戶的口令摘要就可以偽裝成用戶。

1.3 基于地址的認(rèn)證方式

在網(wǎng)絡(luò)通信中，通信數(shù)據(jù)中包括發(fā)送者的源地址，這為認(rèn)證提供了一種機(jī)制，網(wǎng)絡(luò)服務(wù)器可以根據(jù)數(shù)據(jù)分組的源地址進(jìn)行認(rèn)證。該方法廣泛應(yīng)用在數(shù)字圖書館或文獻(xiàn)數(shù)據(jù)庫服務(wù)的認(rèn)證中，另外交換機(jī)中IP及MAC地址與端口的綁定也是屬于該類認(rèn)證方式。但該認(rèn)證方式安全性較差，攻擊者可以通過偽造IP地址及MAC地址的方式進(jìn)行攻擊[3]。

1.4 基于生物特征的認(rèn)證方式

生物特征識(shí)別是利用人體的生物特征進(jìn)行人的身份識(shí)別過程，常用的生物特征包括手形、指紋、語音、視網(wǎng)膜、虹膜、臉形、DNA等。生物特征識(shí)別的對(duì)象是人，而主體是機(jī)器系統(tǒng)或者計(jì)算機(jī)系統(tǒng)。身份識(shí)別的特征具有普遍性、唯一性、穩(wěn)定性、可采集性等特點(diǎn)，在實(shí)際應(yīng)用中，生物的特征的公眾接受度、可信度、不易偽造、設(shè)備成本等也是其重要的特點(diǎn)。

基于生物的特征的身份認(rèn)證是一類新興的身份認(rèn)證技術(shù)，可以作為傳統(tǒng)的口令或身份識(shí)別卡認(rèn)證的替代技術(shù)或有效的補(bǔ)充。生物特征可以唯一的確定使用者的身份，偽造非常困難，不容易丟失或忘記，可以克服傳統(tǒng)認(rèn)證的很多不足，如口令和密鑰容易忘記、容易被攻擊和容易泄露等；標(biāo)識(shí)物品或身份證件等易被盜、易丟失和易被偽造或冒用等。

生物特征通常直接應(yīng)用于終端認(rèn)證，在網(wǎng)絡(luò)認(rèn)證時(shí)，特征信息傳輸時(shí)需要其它安全認(rèn)證協(xié)議支持，否則容易受到重放攻擊[4]。

1.5 基于公鑰的認(rèn)證方式

利用公鑰技術(shù)實(shí)現(xiàn)認(rèn)證的基本思路是由可信第三方為用戶分配私鑰，私鑰唯一，只有用戶本人掌握，充當(dāng)用戶的秘密信息，任何人如果要驗(yàn)證用戶身份，可以使用第三方公鑰查詢服務(wù)獲取該用戶的公鑰以驗(yàn)證其身份，完成認(rèn)證。其中，可信的第三方機(jī)構(gòu)稱為CA，公鑰和私鑰以及其它的用戶信息以證書的形式分發(fā)?；诠€證書的認(rèn)證機(jī)制得到了廣泛的應(yīng)用，以CA為核心的公鑰基礎(chǔ)設(shè)施（PKI）服務(wù)體系已基本建立。

基于公鑰的身份認(rèn)證技術(shù)每個(gè)用戶最少可以分配一對(duì)公私密鑰對(duì)，可以避免大量的對(duì)稱密鑰，密鑰量小，可以支持大規(guī)模系統(tǒng)；認(rèn)證協(xié)議設(shè)計(jì)簡(jiǎn)單，直接運(yùn)用簽名技術(shù)即可完成身份確認(rèn)，而且驗(yàn)證過程安全高效，可以支持在線或離線認(rèn)證。

2 一種基于公鑰的身份認(rèn)證系統(tǒng)

從第2部分的分析可以看出，基于公鑰的身份認(rèn)證方式安全性好、易于部署、密鑰量小、能夠支持大規(guī)模應(yīng)用，與基于口令、基于雜湊和基于生物特征的認(rèn)證方式相比具有明顯優(yōu)勢(shì)。為解決網(wǎng)絡(luò)環(huán)境下身份認(rèn)證問題，我們?cè)O(shè)計(jì)了一種基于公鑰的身份認(rèn)證系統(tǒng)，該系統(tǒng)能夠?qū)?yīng)用系統(tǒng)服務(wù)器或服務(wù)器群進(jìn)行基于數(shù)字證書的身份認(rèn)證、粗粒度的訪問控制和報(bào)文完整性保護(hù)，下面從典型部署、身份認(rèn)證協(xié)議設(shè)計(jì)兩個(gè)方面進(jìn)行簡(jiǎn)要介紹[5-6]。

2.1 典型部署模式

該系統(tǒng)由認(rèn)證客戶端和網(wǎng)關(guān)服務(wù)器兩部分構(gòu)成，網(wǎng)關(guān)服務(wù)器部署在應(yīng)用服務(wù)器（群）的前端，認(rèn)證客戶端部署在用戶終端上，配置終端認(rèn)證設(shè)備。

由數(shù)字證書系統(tǒng)為網(wǎng)關(guān)服務(wù)器和認(rèn)證客戶端制作相應(yīng)的數(shù)字證書，并作為第三方認(rèn)證機(jī)構(gòu)提供證書服務(wù)。首先網(wǎng)關(guān)服務(wù)器與認(rèn)證客戶端按照握手協(xié)議完成相互之間的認(rèn)證，建立基于SSL安全認(rèn)證協(xié)議的安全VPN通道。此時(shí)，客戶端即可通過VPN通道，經(jīng)由網(wǎng)關(guān)服務(wù)器的安全傳輸代理，訪問安全區(qū)域內(nèi)的應(yīng)用服務(wù)器（群）。

同時(shí)，網(wǎng)關(guān)服務(wù)器還為其保護(hù)的應(yīng)用系統(tǒng)提供身份認(rèn)證和信息服務(wù)接口、粗粒度訪問控制、報(bào)文完整性保護(hù)和安全審計(jì)等服務(wù)。

2.2 身份認(rèn)證協(xié)議設(shè)計(jì)

身份認(rèn)證協(xié)議用于確保網(wǎng)絡(luò)環(huán)境下客戶端到服務(wù)端的身份認(rèn)證安全可靠，基本流程可以分為4個(gè)階段（如圖1所示）。

具體描述如下：

（1）建立安全能力階段

即客戶端發(fā)出消息等待服務(wù)端確認(rèn)的過程，成功則連接建立。

（2）服務(wù)器鑒別和密鑰交換階段

服務(wù)器發(fā)送證書和消息并要求客戶端進(jìn)行自身驗(yàn)證，服務(wù)器進(jìn)入等待響應(yīng)階段，客戶端準(zhǔn)備開始響應(yīng)。

（3）客戶端鑒別和密鑰交換階段

客戶端發(fā)送證書和密鑰向服務(wù)器端，并進(jìn)行驗(yàn)證。

（4）結(jié)束階段

建立連接，客戶端發(fā)送Change_Cipher_Spec消息和complete消息。服務(wù)器為了響應(yīng)這兩條消息也將發(fā)送Change_Cipher_Spec消息，此時(shí)雙方可以正常交互數(shù)據(jù)。

該系統(tǒng)運(yùn)用公鑰密碼算法和雜湊算法，通過身份認(rèn)證協(xié)議為業(yè)務(wù)信息系統(tǒng)提供身份認(rèn)證和報(bào)文認(rèn)證服務(wù)。公鑰密碼算法所依據(jù)的數(shù)學(xué)問題相對(duì)于當(dāng)前計(jì)算技術(shù)而言是不可解的，能夠抵抗已知針對(duì)公鑰密碼算法的邏輯攻擊。

3 結(jié)語

高強(qiáng)度的身份認(rèn)證機(jī)制是訪問控制、應(yīng)用審計(jì)等安全防護(hù)手段的基礎(chǔ)，也是目前信息網(wǎng)絡(luò)中各類應(yīng)用系統(tǒng)都要解決的共性問題。通過對(duì)該身份認(rèn)證系統(tǒng)的實(shí)際使用我們發(fā)現(xiàn)，當(dāng)前信息網(wǎng)絡(luò)中的各應(yīng)用系統(tǒng)大都各自獨(dú)立開發(fā)應(yīng)用認(rèn)證模塊，開發(fā)成本高、使用效率低。雖然當(dāng)前可用的身份認(rèn)證手段種類繁多，但基于公鑰密碼技術(shù)來解決網(wǎng)絡(luò)環(huán)境下的身份認(rèn)證問題已被證明是最為安全和有效的一種方式。通過規(guī)范身份認(rèn)證接口標(biāo)準(zhǔn)，以數(shù)字證書為基礎(chǔ)，采用安全認(rèn)證協(xié)議，將傳輸層和應(yīng)用層身份認(rèn)證信息進(jìn)行信任鏈傳遞，可大大提高應(yīng)用系統(tǒng)的身份認(rèn)證強(qiáng)度，還可為應(yīng)用系統(tǒng)實(shí)現(xiàn)細(xì)粒度的訪問控制提供有力支撐。

參考文獻(xiàn)：

[1] 張麗，趙洋.身份認(rèn)證技術(shù)的研究與安全性分析[J]，計(jì)算機(jī)與現(xiàn)代化，2007（5）：48-50.

[2] 王育民，劉建偉.通訊網(wǎng)的安全——理論與技術(shù)[M].西安電子科技大學(xué)出版社，1999.

[3] W·斯托林斯.密碼編碼學(xué)與網(wǎng)絡(luò)安全原理與實(shí)踐[M].5版.北京：電子工業(yè)出版社，2013.

[4] 王景中.通信網(wǎng)安全與保密[M].西安：西安電子科技大學(xué)出版社，2008.

[5] STRAND L. 802.1X Port-Based Authentication HOWTO [EB/OL].（2004-10-18）[2012-5-27]. http：//tldp.org/HOWTO/html_single/8021X-HOWTO/.

[6] Internet Engineering Task Force （IETF）. RFC6101： The secure sockets layer （SSL） protocol version 3.0[S]. 2011： August 2011.

The Classification and Application Research of Identity Authentication Technology

LIU Hong-wei ， HAN Xiao-jing， YU kun， JIN Xiu ， HUANG Jian-guo ， HAN Xiao-feng

（NO. 61741 Army Forces， Beijing 100094， China）

Abstract： In order to solve the problem of identity authentication in network environment， in this paper， based on the analysis of common identify authentication technology， a public key-based authentication system is proposed.The paper introduces the deployment pattern and the security protocols used. The relevant results can be used as reference for the construction of information network security protection system.

Key words： identify authentication technology； information security； public key infras

責(zé)任編輯 祁秀春