刘洪伟 韩晓静 余堃 邵邹 韩晓峰

摘 要：为了解决网络环境下的身份认证问题，在系统分析常见的身份认证技术基础上，给出一个基于公钥的身份认证系统实例，介绍了其部署模式和所采用的安全协议进行，相关成果可作为信息网络安全防护体系建设的参考。

关键词：身份认证技术；信息安全；公钥基础设施

中图分类号：TP393.08 文献标识码：A 文章编号：2095-7394（2017）02-0060-04

在开放式的网络环境中，身份认证指的是用户身份的确认技术，它是网络安全的第一道防线，也是最重要的一道防线。网络中的各种应用和计算机系统都需要通过身份认证来确认用户的合法性然后确定这个用户的个人数据和特定权限[1]。

网络安全存在各种形式的威胁，加密技术可以保证网络中数据传输的机密性，防止被动攻击，而仅有机密性还不能保证数据传输的安全性。例如，在实际应用中，信息系统内机密信息的授权访问，首要的问题就是确认访问者是谁，才能确定其权限，完成访问控制；陌生用户A和B之间虽然可以有一条安全的秘密信道，但未解决对方是谁的情况下，机密的数据就有可能传送给错误的对象，造成系统的异常。

这类确认实体身份的技术就是身份认证技术，身份认证对抗的主要安全威胁是实体身份的“冒充”攻击和实体标识的“重放”攻击，其根本目的是为了区分实体身份，防止其它实体占用被认证实体的身份。所以，要解决实体身份的鉴别问题，应满足以下目标：

（a）身份认证性：即对于诚实方A和B而言，A通过成功的证明自己的身份，同时B成功的接受A的身份。

（b）不可传递性：B不能用A的身份信息向第三方C认证A的身份。

（c）不可伪造性：任何不同于A的主体C执行协议担当A的角色并成功完成认证不可能（概率非常小）。

认证是一种重要的、常用的安全服务，被广泛的应用于各类信息系统中。

1 常见的身份认证技术

目前信息网络中常见的身份认证技术有基于口令的认证、基于杂凑处理的认证、基于地址的认证、基于生物特征的认证和基于公钥的认证等。下面对各种身份认证技术进行介绍。

1.1 基于口令的认证方式

口令认证方式是一种常用的主动认证方式，其基本思路为系统中的每一个用户都共享一个关联口令，作为用户与认证系统共享的秘密。在系统启动时，直接对比用户输入的口令与认证系统中前期设定的口令是否一致来判断用户的合法性。由于口令实现简单，在应用系统终端本地认证中被广泛采用。

但是，基于口令的认证方式存在严重的安全隐患。用户所设定的口令往往容易猜测，容易泄露，攻击者会首先猜测用户口令进而获取系统认证；口令认证容易遭受被动攻击，攻击者利用一些技术手段可以从信息系统中获取口令，比如利用系统存储的口令文件恢复口令，在系统运行时从内存中dump得到正确的口令等。因此，基于口令的身份认证方式无法满足信息系统的安全性要求。

1.2 基于杂凑处理的认证方式

所谓杂凑技术就是利用杂凑函数把任意长的输入字符串转化为定长的输出字符串的一种方法，又称哈希技术或信息摘要技术，在信息的保密性、完整性、确认性等方面发挥了重要的作用[2]。

基于杂凑处理的身份认证方式，其基本思想是利用杂凑函数的密码学性质对用户的口令进行杂凑函数的处理。在信息系统中，系统存储用户口令的杂凑值，当用户登录时，用户输入的口令经过杂凑变换后传递到系统进行比对，以确定用户是否合法。

此种认证方式的安全性依赖于杂凑函数的安全性，如果杂凑函数安全性高，则通过破译杂凑函数摘要逆向推出口令，或是寻找杂凑值碰撞在计算上是不可行的，具有一定的安全性。但现有的杂凑算法的安全性没有在數学上证明，有可能存在安全隐患，基于杂凑处理的典型代表是Windows操作系统，目前Windows操作系统的本地用户账户口令字及域账户口令字都是先进行128位杂凑处理，再把处理结果分别保存于安全账户数据管理器（SAM）或活动目录（AD）中，虽然在Windows运行期间内核对SAM文件加上了一个持久性的文件锁，即使是Administrator账户也无法直接读取SAM，但非法用户可以从内存中以dump方式将密文提取，并进一步进行离线暴力破解。Windows网络身份认证是由系统LSASS服务的Netlogon模块主导完成，Windows客户端访问远程Windows服务器资源时，客户端LSASS服务的Netlogon模块会与服务器端的Netlogon进行“质询-应答式”的身份验证协议以验证客户端的身份。NT4.x版本的Windows使用LANMAN协议来完成这一过程，但LANMAN协议有重大安全弱点，从使用LANMAN协议加密的密文中很容易破解出Windows用户账户口令，因此NT 4.0SP3与5.x早期版本的Windows中使用NTLM协议来代替LANMAN协议，并在NT4.0SP4与5.x大多数版本中升级至NTLMv2。2010年2月，Amplia公司发现MTLM认证协议存在安全漏洞，因此目前Windows在域环境中建议使用在线认证协议Kerberos。但在目前未使用域的网络环境里，Windows仍依赖NTLM完成网络身份认证，这就为攻击者实施针对Windows的远程口令监听与破解提供了可乘之机。基于口令认证的另一典型代表是802.1x认证机制，该认证机制广泛应用于以太网环境当中，主要采用EAP-MD5认证方式，相关研究表明，MD5加密强度不够，无法对抗字典攻击。

此外，基于杂凑处理的认证还不能抵御重放攻击，即攻击者只要得到用户的口令摘要就可以伪装成用户。

1.3 基于地址的认证方式

在网络通信中，通信数据中包括发送者的源地址，这为认证提供了一种机制，网络服务器可以根据数据分组的源地址进行认证。该方法广泛应用在数字图书馆或文献数据库服务的认证中，另外交换机中IP及MAC地址与端口的绑定也是属于该类认证方式。但该认证方式安全性较差，攻击者可以通过伪造IP地址及MAC地址的方式进行攻击[3]。

1.4 基于生物特征的认证方式

生物特征识别是利用人体的生物特征进行人的身份识别过程，常用的生物特征包括手形、指纹、语音、视网膜、虹膜、脸形、DNA等。生物特征识别的对象是人，而主体是机器系统或者计算机系统。身份识别的特征具有普遍性、唯一性、稳定性、可采集性等特点，在实际应用中，生物的特征的公众接受度、可信度、不易伪造、设备成本等也是其重要的特点。

基于生物的特征的身份认证是一类新兴的身份认证技术，可以作为传统的口令或身份识别卡认证的替代技术或有效的补充。生物特征可以唯一的确定使用者的身份，伪造非常困难，不容易丢失或忘记，可以克服传统认证的很多不足，如口令和密钥容易忘记、容易被攻击和容易泄露等；标识物品或身份证件等易被盗、易丢失和易被伪造或冒用等。

生物特征通常直接应用于终端认证，在网络认证时，特征信息传输时需要其它安全认证协议支持，否则容易受到重放攻击[4]。

1.5 基于公钥的认证方式

利用公钥技术实现认证的基本思路是由可信第三方为用户分配私钥，私钥唯一，只有用户本人掌握，充当用户的秘密信息，任何人如果要验证用户身份，可以使用第三方公钥查询服务获取该用户的公钥以验证其身份，完成认证。其中，可信的第三方机构称为CA，公钥和私钥以及其它的用户信息以证书的形式分发。基于公钥证书的认证机制得到了广泛的应用，以CA为核心的公钥基础设施（PKI）服务体系已基本建立。

基于公钥的身份认证技术每个用户最少可以分配一对公私密钥对，可以避免大量的对称密钥，密钥量小，可以支持大规模系统；认证协议设计简单，直接运用签名技术即可完成身份确认，而且验证过程安全高效，可以支持在线或离线认证。

2 一种基于公钥的身份认证系统

从第2部分的分析可以看出，基于公钥的身份认证方式安全性好、易于部署、密钥量小、能够支持大规模应用，与基于口令、基于杂凑和基于生物特征的认证方式相比具有明显优势。为解决网络环境下身份认证问题，我们设计了一种基于公钥的身份认证系统，该系统能够对应用系统服务器或服务器群进行基于数字证书的身份认证、粗粒度的访问控制和报文完整性保护，下面从典型部署、身份认证协议设计两个方面进行简要介绍[5-6]。

2.1 典型部署模式

该系统由认证客户端和网关服务器两部分构成，网关服务器部署在应用服务器（群）的前端，认证客户端部署在用户终端上，配置终端认证设备。

由数字证书系统为网关服务器和认证客户端制作相应的数字证书，并作为第三方认证机构提供证书服务。首先网关服务器与认证客户端按照握手协议完成相互之间的认证，建立基于SSL安全认证协议的安全VPN通道。此时，客户端即可通过VPN通道，经由网关服务器的安全传输代理，访问安全区域内的应用服务器（群）。

同时，网关服务器还为其保护的应用系统提供身份认证和信息服务接口、粗粒度访问控制、报文完整性保护和安全审计等服务。

2.2 身份认证协议设计

身份认证协议用于确保网络环境下客户端到服务端的身份认证安全可靠，基本流程可以分为4个阶段（如图1所示）。

具体描述如下：

（1）建立安全能力阶段

即客户端发出消息等待服务端确认的过程，成功则连接建立。

（2）服务器鉴别和密钥交换阶段

服务器发送证书和消息并要求客户端进行自身验证，服务器进入等待响应阶段，客户端准备开始响应。

（3）客户端鉴别和密钥交换阶段

客户端发送证书和密钥向服务器端，并进行验证。

（4）结束阶段

建立连接，客户端发送Change_Cipher_Spec消息和complete消息。服务器为了响应这两条消息也将发送Change_Cipher_Spec消息，此时双方可以正常交互数据。

该系统运用公钥密码算法和杂凑算法，通过身份认证协议为业务信息系统提供身份认证和报文认证服务。公钥密码算法所依据的数学问题相对于当前计算技术而言是不可解的，能够抵抗已知针对公钥密码算法的逻辑攻击。

3 结语

高强度的身份认证机制是访问控制、应用审计等安全防护手段的基础，也是目前信息网络中各类应用系统都要解决的共性问题。通过对该身份认证系统的实际使用我们发现，当前信息网络中的各应用系统大都各自独立开发应用认证模块，开发成本高、使用效率低。虽然当前可用的身份认证手段种类繁多，但基于公钥密码技术来解决网络环境下的身份认证问题已被证明是最为安全和有效的一种方式。通过规范身份认证接口标准，以数字证书为基础，采用安全认证协议，将传输层和应用层身份认证信息进行信任链传递，可大大提高应用系统的身份认证强度，还可为应用系统实现细粒度的访问控制提供有力支撑。

參考文献：

[1] 张丽，赵洋.身份认证技术的研究与安全性分析[J]，计算机与现代化，2007（5）：48-50.

[2] 王育民，刘建伟.通讯网的安全——理论与技术[M].西安电子科技大学出版社，1999.

[3] W·斯托林斯.密码编码学与网络安全原理与实践[M].5版.北京：电子工业出版社，2013.

[4] 王景中.通信网安全与保密[M].西安：西安电子科技大学出版社，2008.

[5] STRAND L. 802.1X Port-Based Authentication HOWTO [EB/OL].（2004-10-18）[2012-5-27]. http：//tldp.org/HOWTO/html_single/8021X-HOWTO/.

[6] Internet Engineering Task Force （IETF）. RFC6101： The secure sockets layer （SSL） protocol version 3.0[S]. 2011： August 2011.

The Classification and Application Research of Identity Authentication Technology

LIU Hong-wei ， HAN Xiao-jing， YU kun， JIN Xiu ， HUANG Jian-guo ， HAN Xiao-feng

（NO. 61741 Army Forces， Beijing 100094， China）

Abstract： In order to solve the problem of identity authentication in network environment， in this paper， based on the analysis of common identify authentication technology， a public key-based authentication system is proposed.The paper introduces the deployment pattern and the security protocols used. The relevant results can be used as reference for the construction of information network security protection system.

Key words： identify authentication technology； information security； public key infras

责任编辑 祁秀春