doi :10.3969/j.issn.1671-1122.2011.03.009
电子身份认证技术应用研究
郭晓彪1,曾志2,顾力平3
(1. 后勤指挥学院,北京 100858;2. 总装后勤部自动化站,北京 100101;
3. 空后司令部,北京 100720)
本文对电子身份认证技术进行了介绍,综合分析评价了常见认证机制和方案的优劣,并研究了摘 要:
身份认证的理论、应用技术现状及发展趋势。
网络安全;身份认证关键词:
中图分类号:TP393.08 文献标识码:A 文章编号:1671-1122(2011)03-0021-02
Application of Electronic Identity Authentication Technology
GUO Xiao-biao1, ZENG Zhi2, GU Li-ping
( 1. Logistics Command College, Beijing 100858,China;
2. Armament Logistics Automation Station, Beijing 100101, China;
3. Air Force Logistics Command, Beijing 100720,China )
Abstract: The electronic identity authentication technology were introduced, comprehensive analysis and evaluation of a common authentication mechanism and the merits of the program, and studied the theory of authentication, application technology status and development trends.
Key words: network security; authentication
1 电子身份认证技术概述
机密性、完整性、可认证性和不可否认性是网络系统传输信息的安全要求,电子身份认证技术是信息网络安全防范的重要环节之一。
计算机网络以及计算机系统都是虚拟的数字世界,一切信息包括用户的身份信息都由一组特定的数据来表示,计算机只能识别用户的电子身份,信息系统和网络中对使用者的所有授权也只能是针对使用者电子身份的授权。在现实生活的物理环境中,每一个人都会拥有唯一的物理身份。怎样保证系统操作者的物理身份与电子身份准确对应,即电子身份的操作者就是这个信息系统中的合法使用者,就成为信息安全保护的一个关键问题。电子身份认证技术是指计算机及网络系统确认操作者身份并实施访问控制所采用的技术手段[1],如图1所示。
现实中,主要是通过三类方法验证一个人的身份,一是依据某人所特别持有的物品来验明正身,例如:某件物品(如证件或印章)只属于某类人或某个人,那么,持有这件物品的人就应该具有合法身份;二是依据事先制定的口令来确定一个人的合法身份,假如某条口令只有特定的具备合法身份的人才会知道,那么认证合法身
图1 用户对资源的访问过程
份即可通过对口令的方式;三是直接根据身体特征来证明身份,比如指纹、声纹、面貌等。计算机网络系统中,主要有三种验明用户正身的身份认证方法。由于仅仅使用单一特征进行身份认证很可能被人假冒,可以选择应用两种或两种以上的不同特征来验明正身,这就是身份认证领域常常提到的双因子认证或多因子认证方法。电子身份认证技术从需要验证的条件来划分,可以分为单因子认证和双因子认证;从是否使用硬件来划分,可以分为软件认证和硬件认证;从认证信息来划分,可以分为静态认证和动态认证。电子身份认证技术的发展经历了从单因子认证到双因子认证、从软件认证到硬件认证、从静态认证到动态认证的过程。
收稿时间:2011-02-18作者介绍:郭晓彪(1982-),男,内蒙古,助理工程师,硕士,主要研究方向:后勤信息化;曾志(1975-),男,江西,工程师,硕士,主要研究方向:计算机网络信息安全及数据恢复处理; 顾力平(1958-),男,辽宁,高工,硕士,主要研究方向:后勤信息化。
21
2 电子身份认证技术分析
2.1 基于口令的认证方式
基于口令的电子身份认证是一种利用“用户所知道”的某种东西来进行验证的方式,主要有传统的用户名/口令认证技术和动态口令身份认证技术。2.1.1 用户名/口令认证技术
传统用户名/口令的认证方法是最简单也是最常用的认证技术之一,该技术也存在一定弊端:用户在使用过程中,即使能保证用户密码不被泄漏,在验证过程中也很容易受到攻击,这是由于静态数据形式的密码需要在计算机内存中和网络中传输,很容易被驻留在计算机内存中的木马程序或网络中的监听设备截获。 因此,用户名/口令方式是一种极不安全的身份认证方式,其缺点在于:安全性仅仅基于用户口令的保密性,静态数据的用户口令容易猜测,易被攻击,如黑客采用窥探、字典攻击、穷举尝试、网络数据流窃听、重放攻击等方法就可能将其攻破。2.1.2 动态口令认证技术
动态口令认证是一种在传统用户名/口令基础上发展起来的,让用户的密码按照时间或使用次数不断动态变化,实现一次一密的身份认证技术。它由内置电源、动态令牌、显示屏和密码生成芯片构成,通过运行特有的密码算法,密码生成芯片可依据使用频次或当前时间生成当前密码并且在显示屏上显示。电子认证服务系统采用相同的算法计算出实时的有效密码。使用者只要在使用时将动态令牌上的实时密码输入用户端计算机,就能够实现身份认证。由于该密码必须由动态令牌产生出来,因此,只有合法持有动态令牌的使用者才能通过密码验证。
一次一密是动态口令主要具备的技术特征,此技术非常有效地保证了使用者身份的安全。但若是服务器端与客户端的次数或时间不能够保持较好的同步,就会发生合法使用者不能登录系统的问题。并且使用者每一次登录系统时需要应用键盘输进一长串毫无规律可循的密码,假如输错了还要重新操作。这些问题都降低了该身份认证技术的易用性。
[2]
System )。根据对IC 卡上的信息存储和处理的方式,可以分为接触卡和感应卡。前者由读写设备接触片上的触点相接触接通电路进行信息读写,后者通过非接触感应技术进行信息读写。
IC 卡存有与用户身份相关的数据,合法使用者可随身携带,进行登录时一定要将IC 卡插入专用读卡器将其中的信息读取出来,系统首先判断IC 卡的合法性,然后由IC 卡鉴别用户身份,若用户身份合法,再进一步认证IC 卡中的随机数。IC 卡认证技术通过IC 卡硬件不可复制来保证用户身份不会被仿冒,此外IC 卡具有硬件加密功能,有较高的安全性。然而,由于每次从IC 卡中读取的数据是静态的,攻击者通过内存扫描或网络监听等技术还是可以截取到用户的身份验证信息,因此,IC卡具有一定安全风险。2.2.2 USBKey认证技术
USBKey 是一种安全、经济、方便的电子身份认证技术,该技术采用软硬件相结合、一次一密的强双因子认证模式,并且兼顾了易用性与安全性。基于USBKey 的电子认证系统的两种重要应用方式为:基于PKI 体系的认证方式和基于冲击/响应的认证方式。
基于PKI 体系的认证方式。PKI即Public Key Infrastructure公钥基础设施,它是由可信的第三方电子认证机构颁发一组包含使用者身份信息(密钥)的数据结构,这就是数字证书[3]。PKI 的技术体系是通过一种加密算法实现一个能够为用户提供安全保障的技术环境,并以数字证书的形式来为用户的数据提供保障并实现身份认证服务。这种技术手段现已在许多领域应用,其加密技术手段主要依赖数字证书的核心技术,主要包括电子签名验证、数字签名以及其他加解密技术,可实现网络系统传输过程中数据的完整性、保密性以及信息交互主体身份的真实性。签名信息的不可否认性,是保证用户身份安全的有效方式。基于冲击/响应的双因子认证方式。服务器首先收到由用户向服务器发出的一个身份认证请求,服务器在收到这一请求信息后会生成一个随机数字并利用网络传给该用户。然而,数字证书本身也是一种数字身份,还是存在被复制的危险。USBKey是数字证书的存储介质,用户密钥不在计算机内存出现也不在网络中传播,只有USBKey 的持有人才能够对数字证书进行操作,在保证数字证书不被复制的同时,实现了所有数字证书的功能。
2.2 基于物理证件的认证技术
基于物理证件认证,是一种利用“用户所拥有”的某种东西进行认证的方式。主要有IC 卡认证技术和目前流行的USBKey 认证技术等。2.2.1 IC卡认证技术
IC 卡即智能卡,是不可复制的硬件,由专门的厂商和设备生产。根据芯片的功能可以分为三类:一是存储型。卡内集成电路为可编程只读存储器(EEPROM);二是逻辑加密型。卡内集成电路具有加密逻辑和EEPROM ;三是CPU 型。集成电路包括CPU、EPROM、随机存储器(RAM)以及固化在只读存储器(ROM)中的卡内操作系统COS (Chip Operating 2.3 基于生物特征的认证方式
生物特征认证是指采用人体的生物特征来验证使用者身份的技术。比较常见的有虹膜识别、指纹识别以及人脸识别等。该技术直接利用人的物理特征来标识每一个人的数字身份,不同的人具有完全相同的生物特征的概率非常小,可忽略不计。因此,从理论上讲,生物特征认证是最为可信的身份认证手段。随着信息技术和其他相关科技的发展,生物识别技术也得到了较大范围的应用和迅速发展。
25页
的身份管理标准和规范相继推出。目前广泛传播的有结构化信息标准促进组织(OASIS)的安全断言标记语言(SAML)、Microsoft和IBM 共同开发的WS-Federation、自由联盟的自由身份联盟框架(ID-FF)、自由身份Web 服务框架(ID-WSF)、身份服务接口规范集(ID-SIS)。
目前来看,身份管理技术的发展趋势是不同系统的互联互通。现如今不同的 IdM 系统之间的互通面临着一个共同的问题,即采用何种方式将不同身份管理系统进行互联互通。已有的大部分身份管理互操作机制都采用的是在某些具体功能模块上进行点对点的互接,这样导致的一个问题就是在与多个系统之间进行多功能的对接时,就需要建立多个对接系统,在短期之内,这种解决方案还行之有效,而如今网络系统互通的趋势愈演愈烈,在固守这种解决方案的
22页
话最终会暴露出开发成本过高、连接效率过低等问题[3]。
国际电信联盟远程通信标准化组织ITU-T 为国际电信联盟管理下的负责制定远程通信相关国际标准的组织。ITU-T 致力于解决各个IDM 方案的互通问题,通过对现有的身份管理机制进行集成和整合,从而达到大范围的融合一致的通用身份管理架构。为实现这一目标,ITU-T于2006年提出身份管理标准化的研究工作。现如今工作的焦点在于身份的提供商是否是一个集中的机构,是否需要由国家进行授权与管理,由于这些问题会涉及到国家的利益,甚至国家的安全,因此格外引人关注。
至也会受到使用习惯和观念的制约,因为从传统上来说,身份管理都是用于系统内部用户进行授权和认证的,系统架构在搭建之初都是封闭式的,而现在要求将身份信息开放给其他系统,更改时势必会消耗很多的人力、物力。同时企业之间的信任关系也是值得注意的,因为身份管理系统标准化的核心就是企业组织之间的信任关系,在不同系统之间进行用户身份信息交互时,怎样做到即保证交互信息的有效,同时也保证用户信息的隐私及其合法权益不受损害是目 )前致力于解决的问题。(责编 张岩
参考文献:
[1] 武静. 身份管理技术现状与对策[J]. 电信网技术,2009,(03):31-32.
[2] 王侃. IDM技术发展与挑战[J]. 电信科学,2009,(11):94-96.
[3] 武静. IDM技术发展趋势和对策分析[J]. 电信网技术,2010,(06):48-51.
6 结束语
身份管理水平从整体来说还处于初始阶段,目前也面临着很多的挑战,不仅是技术,还有系统体系结构方面,甚
在网络环境下,使用指纹识别的身份认证技术,是最理想的基于生物特征的身份识别方法。首先,指纹是独一无二的,不存在相同的指纹,可以确保被认证对象与需要验证的身份依据之间严格的一一对应关系。其次,指纹是相对固定的,不易发生变化,可确保用户安全信息的长期有效性。而人脸的特征则易受外界的影响而变化,如表情、眼镜、胡须等,识别难度大。扫描指纹的速度很快,使用非常方便,便于获取指纹样本,易于开发认证系统,实用性强,而且指纹仪也较易实现。而视网膜不仅难于采样,也没有形成标准的样本库供开发者使用。另外,一个人的十指指纹皆不相同,可以方便地利用多个指纹,提高系统的安全性,也不会增加系统的设计负担。
指纹图像采集、特征提取、保存数据、指纹图像处理、特征值的比对和匹配等过程是指纹识别技术主要涉及的范畴。首先是要应用指纹读取设备读取人体指纹图像,并且处理得较为清晰。其次,构建一个采用指纹辨别算法的指纹特征数据库,通过单独的技术转换模式,这样一来,特定的信息便可通过指纹进行转换,而指纹却无法通过特定的数据转化而成,此外,不同的指纹也就不可能产生相通的信息模式。这种特定的信息模式可以通过指纹信息判断认证对象上含有“细节点”(Minutiae)的数据点,譬如一些指纹上的末梢或分叉的特点。这就可以产生用以断定认证对象身份的模板。随后,认证对象的指纹就可以通过信息系统的对比而得到匹配的结果,从而对认证对象的身份进行准确认证。
2.4 基于硬件信息的认证方式
基于硬件信息的认证方式,要求所有涉及个人机密的操作都必须在固定的计算机上执行,若在公用的计算机上执行,安全就得不到任何保障。
此种认证是建立在公钥密码体制上的,其基本假设就是:固定用户使用相对固定的计算机设备,通过对该台计算机设备的准确识别,并对当时使用这台计算机设备的用户进行识别,即可实现对使用者的身份认证。这种认证方式的关键在于识别计算机的唯一硬件特征。
3 结束语
电子身份认证在网络安全中占有很重要的地位。在实际应用中,认证方案的选择应综合考虑系统需求和认证机制的安全性能两个方面,安全性能最高的不一定是最好的。在保证提供较高安全性能的同时,尽量减少身份认证机制和信息认证机制中的计算量和通信量,是电子身份认证技术的发展方向。(责编 杨晨)
参考文献:
[1] 薛辉,王再芊.网络身份认证若干安全问题及其解决方案[J].计算机与数字工程,2007,(01):10,95-97.[2] Willian Stallings. 网络安全基础[M]. 白国强,王海欣,陈弘毅译. 北京
:清华大学出版社,2007. 7.
[3] 马里克(美). 网络安全原理与实践[M]. 王宝生,朱培栋,白建军译.北京:人民邮电出版社,2008. 8.
25
doi :10.3969/j.issn.1671-1122.2011.03.009
电子身份认证技术应用研究
郭晓彪1,曾志2,顾力平3
(1. 后勤指挥学院,北京 100858;2. 总装后勤部自动化站,北京 100101;
3. 空后司令部,北京 100720)
本文对电子身份认证技术进行了介绍,综合分析评价了常见认证机制和方案的优劣,并研究了摘 要:
身份认证的理论、应用技术现状及发展趋势。
网络安全;身份认证关键词:
中图分类号:TP393.08 文献标识码:A 文章编号:1671-1122(2011)03-0021-02
Application of Electronic Identity Authentication Technology
GUO Xiao-biao1, ZENG Zhi2, GU Li-ping
( 1. Logistics Command College, Beijing 100858,China;
2. Armament Logistics Automation Station, Beijing 100101, China;
3. Air Force Logistics Command, Beijing 100720,China )
Abstract: The electronic identity authentication technology were introduced, comprehensive analysis and evaluation of a common authentication mechanism and the merits of the program, and studied the theory of authentication, application technology status and development trends.
Key words: network security; authentication
1 电子身份认证技术概述
机密性、完整性、可认证性和不可否认性是网络系统传输信息的安全要求,电子身份认证技术是信息网络安全防范的重要环节之一。
计算机网络以及计算机系统都是虚拟的数字世界,一切信息包括用户的身份信息都由一组特定的数据来表示,计算机只能识别用户的电子身份,信息系统和网络中对使用者的所有授权也只能是针对使用者电子身份的授权。在现实生活的物理环境中,每一个人都会拥有唯一的物理身份。怎样保证系统操作者的物理身份与电子身份准确对应,即电子身份的操作者就是这个信息系统中的合法使用者,就成为信息安全保护的一个关键问题。电子身份认证技术是指计算机及网络系统确认操作者身份并实施访问控制所采用的技术手段[1],如图1所示。
现实中,主要是通过三类方法验证一个人的身份,一是依据某人所特别持有的物品来验明正身,例如:某件物品(如证件或印章)只属于某类人或某个人,那么,持有这件物品的人就应该具有合法身份;二是依据事先制定的口令来确定一个人的合法身份,假如某条口令只有特定的具备合法身份的人才会知道,那么认证合法身
图1 用户对资源的访问过程
份即可通过对口令的方式;三是直接根据身体特征来证明身份,比如指纹、声纹、面貌等。计算机网络系统中,主要有三种验明用户正身的身份认证方法。由于仅仅使用单一特征进行身份认证很可能被人假冒,可以选择应用两种或两种以上的不同特征来验明正身,这就是身份认证领域常常提到的双因子认证或多因子认证方法。电子身份认证技术从需要验证的条件来划分,可以分为单因子认证和双因子认证;从是否使用硬件来划分,可以分为软件认证和硬件认证;从认证信息来划分,可以分为静态认证和动态认证。电子身份认证技术的发展经历了从单因子认证到双因子认证、从软件认证到硬件认证、从静态认证到动态认证的过程。
收稿时间:2011-02-18作者介绍:郭晓彪(1982-),男,内蒙古,助理工程师,硕士,主要研究方向:后勤信息化;曾志(1975-),男,江西,工程师,硕士,主要研究方向:计算机网络信息安全及数据恢复处理; 顾力平(1958-),男,辽宁,高工,硕士,主要研究方向:后勤信息化。
21
2 电子身份认证技术分析
2.1 基于口令的认证方式
基于口令的电子身份认证是一种利用“用户所知道”的某种东西来进行验证的方式,主要有传统的用户名/口令认证技术和动态口令身份认证技术。2.1.1 用户名/口令认证技术
传统用户名/口令的认证方法是最简单也是最常用的认证技术之一,该技术也存在一定弊端:用户在使用过程中,即使能保证用户密码不被泄漏,在验证过程中也很容易受到攻击,这是由于静态数据形式的密码需要在计算机内存中和网络中传输,很容易被驻留在计算机内存中的木马程序或网络中的监听设备截获。 因此,用户名/口令方式是一种极不安全的身份认证方式,其缺点在于:安全性仅仅基于用户口令的保密性,静态数据的用户口令容易猜测,易被攻击,如黑客采用窥探、字典攻击、穷举尝试、网络数据流窃听、重放攻击等方法就可能将其攻破。2.1.2 动态口令认证技术
动态口令认证是一种在传统用户名/口令基础上发展起来的,让用户的密码按照时间或使用次数不断动态变化,实现一次一密的身份认证技术。它由内置电源、动态令牌、显示屏和密码生成芯片构成,通过运行特有的密码算法,密码生成芯片可依据使用频次或当前时间生成当前密码并且在显示屏上显示。电子认证服务系统采用相同的算法计算出实时的有效密码。使用者只要在使用时将动态令牌上的实时密码输入用户端计算机,就能够实现身份认证。由于该密码必须由动态令牌产生出来,因此,只有合法持有动态令牌的使用者才能通过密码验证。
一次一密是动态口令主要具备的技术特征,此技术非常有效地保证了使用者身份的安全。但若是服务器端与客户端的次数或时间不能够保持较好的同步,就会发生合法使用者不能登录系统的问题。并且使用者每一次登录系统时需要应用键盘输进一长串毫无规律可循的密码,假如输错了还要重新操作。这些问题都降低了该身份认证技术的易用性。
[2]
System )。根据对IC 卡上的信息存储和处理的方式,可以分为接触卡和感应卡。前者由读写设备接触片上的触点相接触接通电路进行信息读写,后者通过非接触感应技术进行信息读写。
IC 卡存有与用户身份相关的数据,合法使用者可随身携带,进行登录时一定要将IC 卡插入专用读卡器将其中的信息读取出来,系统首先判断IC 卡的合法性,然后由IC 卡鉴别用户身份,若用户身份合法,再进一步认证IC 卡中的随机数。IC 卡认证技术通过IC 卡硬件不可复制来保证用户身份不会被仿冒,此外IC 卡具有硬件加密功能,有较高的安全性。然而,由于每次从IC 卡中读取的数据是静态的,攻击者通过内存扫描或网络监听等技术还是可以截取到用户的身份验证信息,因此,IC卡具有一定安全风险。2.2.2 USBKey认证技术
USBKey 是一种安全、经济、方便的电子身份认证技术,该技术采用软硬件相结合、一次一密的强双因子认证模式,并且兼顾了易用性与安全性。基于USBKey 的电子认证系统的两种重要应用方式为:基于PKI 体系的认证方式和基于冲击/响应的认证方式。
基于PKI 体系的认证方式。PKI即Public Key Infrastructure公钥基础设施,它是由可信的第三方电子认证机构颁发一组包含使用者身份信息(密钥)的数据结构,这就是数字证书[3]。PKI 的技术体系是通过一种加密算法实现一个能够为用户提供安全保障的技术环境,并以数字证书的形式来为用户的数据提供保障并实现身份认证服务。这种技术手段现已在许多领域应用,其加密技术手段主要依赖数字证书的核心技术,主要包括电子签名验证、数字签名以及其他加解密技术,可实现网络系统传输过程中数据的完整性、保密性以及信息交互主体身份的真实性。签名信息的不可否认性,是保证用户身份安全的有效方式。基于冲击/响应的双因子认证方式。服务器首先收到由用户向服务器发出的一个身份认证请求,服务器在收到这一请求信息后会生成一个随机数字并利用网络传给该用户。然而,数字证书本身也是一种数字身份,还是存在被复制的危险。USBKey是数字证书的存储介质,用户密钥不在计算机内存出现也不在网络中传播,只有USBKey 的持有人才能够对数字证书进行操作,在保证数字证书不被复制的同时,实现了所有数字证书的功能。
2.2 基于物理证件的认证技术
基于物理证件认证,是一种利用“用户所拥有”的某种东西进行认证的方式。主要有IC 卡认证技术和目前流行的USBKey 认证技术等。2.2.1 IC卡认证技术
IC 卡即智能卡,是不可复制的硬件,由专门的厂商和设备生产。根据芯片的功能可以分为三类:一是存储型。卡内集成电路为可编程只读存储器(EEPROM);二是逻辑加密型。卡内集成电路具有加密逻辑和EEPROM ;三是CPU 型。集成电路包括CPU、EPROM、随机存储器(RAM)以及固化在只读存储器(ROM)中的卡内操作系统COS (Chip Operating 2.3 基于生物特征的认证方式
生物特征认证是指采用人体的生物特征来验证使用者身份的技术。比较常见的有虹膜识别、指纹识别以及人脸识别等。该技术直接利用人的物理特征来标识每一个人的数字身份,不同的人具有完全相同的生物特征的概率非常小,可忽略不计。因此,从理论上讲,生物特征认证是最为可信的身份认证手段。随着信息技术和其他相关科技的发展,生物识别技术也得到了较大范围的应用和迅速发展。
25页
的身份管理标准和规范相继推出。目前广泛传播的有结构化信息标准促进组织(OASIS)的安全断言标记语言(SAML)、Microsoft和IBM 共同开发的WS-Federation、自由联盟的自由身份联盟框架(ID-FF)、自由身份Web 服务框架(ID-WSF)、身份服务接口规范集(ID-SIS)。
目前来看,身份管理技术的发展趋势是不同系统的互联互通。现如今不同的 IdM 系统之间的互通面临着一个共同的问题,即采用何种方式将不同身份管理系统进行互联互通。已有的大部分身份管理互操作机制都采用的是在某些具体功能模块上进行点对点的互接,这样导致的一个问题就是在与多个系统之间进行多功能的对接时,就需要建立多个对接系统,在短期之内,这种解决方案还行之有效,而如今网络系统互通的趋势愈演愈烈,在固守这种解决方案的
22页
话最终会暴露出开发成本过高、连接效率过低等问题[3]。
国际电信联盟远程通信标准化组织ITU-T 为国际电信联盟管理下的负责制定远程通信相关国际标准的组织。ITU-T 致力于解决各个IDM 方案的互通问题,通过对现有的身份管理机制进行集成和整合,从而达到大范围的融合一致的通用身份管理架构。为实现这一目标,ITU-T于2006年提出身份管理标准化的研究工作。现如今工作的焦点在于身份的提供商是否是一个集中的机构,是否需要由国家进行授权与管理,由于这些问题会涉及到国家的利益,甚至国家的安全,因此格外引人关注。
至也会受到使用习惯和观念的制约,因为从传统上来说,身份管理都是用于系统内部用户进行授权和认证的,系统架构在搭建之初都是封闭式的,而现在要求将身份信息开放给其他系统,更改时势必会消耗很多的人力、物力。同时企业之间的信任关系也是值得注意的,因为身份管理系统标准化的核心就是企业组织之间的信任关系,在不同系统之间进行用户身份信息交互时,怎样做到即保证交互信息的有效,同时也保证用户信息的隐私及其合法权益不受损害是目 )前致力于解决的问题。(责编 张岩
参考文献:
[1] 武静. 身份管理技术现状与对策[J]. 电信网技术,2009,(03):31-32.
[2] 王侃. IDM技术发展与挑战[J]. 电信科学,2009,(11):94-96.
[3] 武静. IDM技术发展趋势和对策分析[J]. 电信网技术,2010,(06):48-51.
6 结束语
身份管理水平从整体来说还处于初始阶段,目前也面临着很多的挑战,不仅是技术,还有系统体系结构方面,甚
在网络环境下,使用指纹识别的身份认证技术,是最理想的基于生物特征的身份识别方法。首先,指纹是独一无二的,不存在相同的指纹,可以确保被认证对象与需要验证的身份依据之间严格的一一对应关系。其次,指纹是相对固定的,不易发生变化,可确保用户安全信息的长期有效性。而人脸的特征则易受外界的影响而变化,如表情、眼镜、胡须等,识别难度大。扫描指纹的速度很快,使用非常方便,便于获取指纹样本,易于开发认证系统,实用性强,而且指纹仪也较易实现。而视网膜不仅难于采样,也没有形成标准的样本库供开发者使用。另外,一个人的十指指纹皆不相同,可以方便地利用多个指纹,提高系统的安全性,也不会增加系统的设计负担。
指纹图像采集、特征提取、保存数据、指纹图像处理、特征值的比对和匹配等过程是指纹识别技术主要涉及的范畴。首先是要应用指纹读取设备读取人体指纹图像,并且处理得较为清晰。其次,构建一个采用指纹辨别算法的指纹特征数据库,通过单独的技术转换模式,这样一来,特定的信息便可通过指纹进行转换,而指纹却无法通过特定的数据转化而成,此外,不同的指纹也就不可能产生相通的信息模式。这种特定的信息模式可以通过指纹信息判断认证对象上含有“细节点”(Minutiae)的数据点,譬如一些指纹上的末梢或分叉的特点。这就可以产生用以断定认证对象身份的模板。随后,认证对象的指纹就可以通过信息系统的对比而得到匹配的结果,从而对认证对象的身份进行准确认证。
2.4 基于硬件信息的认证方式
基于硬件信息的认证方式,要求所有涉及个人机密的操作都必须在固定的计算机上执行,若在公用的计算机上执行,安全就得不到任何保障。
此种认证是建立在公钥密码体制上的,其基本假设就是:固定用户使用相对固定的计算机设备,通过对该台计算机设备的准确识别,并对当时使用这台计算机设备的用户进行识别,即可实现对使用者的身份认证。这种认证方式的关键在于识别计算机的唯一硬件特征。
3 结束语
电子身份认证在网络安全中占有很重要的地位。在实际应用中,认证方案的选择应综合考虑系统需求和认证机制的安全性能两个方面,安全性能最高的不一定是最好的。在保证提供较高安全性能的同时,尽量减少身份认证机制和信息认证机制中的计算量和通信量,是电子身份认证技术的发展方向。(责编 杨晨)
参考文献:
[1] 薛辉,王再芊.网络身份认证若干安全问题及其解决方案[J].计算机与数字工程,2007,(01):10,95-97.[2] Willian Stallings. 网络安全基础[M]. 白国强,王海欣,陈弘毅译. 北京
:清华大学出版社,2007. 7.
[3] 马里克(美). 网络安全原理与实践[M]. 王宝生,朱培栋,白建军译.北京:人民邮电出版社,2008. 8.
25