身份认证技术论文精选(九篇)

第1篇：身份认证技术论文范文

关键词：智能电网；身份认证技术；访问控制技术；信息安全

中图分类号：TP393.08；TM76

在提出的“智慧能源”这种新形势下，智能电网在快速发展的同时，确保设备的有效接入控制从而实现整个系统的信息安全成为了一个关键点。

早在1997年，IEC就意识到安全问题的重要性，创建了组织并开始进行主题为“电力系统控制及其相关的通信问题数据和通信的安全性”的研究。该组织于2007年了IEC62351，并把它作为电力系统运行的数据和通信安全方面的标准，其中涵盖消息认证和访问控制相关的技术。随着知识的丰富和技术的发展，国内外涌现出一些把新型技术应用于智能电网从而在保证系统安全的同时有效提高设备利用率，降低网络带宽的想法和理论，身份认证和访问控制技术随之得到了的发展。

1 信息安全技术

1.1 身份认证技术

身份认证技术主要通过对于接入的用户进行身份认证来保证接入的可靠性和安全性，其主要分为两大类：基于实体的身份认证和基于密码学的身份认证[1]。

基于实体身份认证在局域网或单机上比较安全，主要有口令认证、动态口令认证、智能卡认证和生物特征认证等。

基于密码学的身份认证技术其研究成果主要有对称加密技术、公钥基础设施技术、基于身份的加密算法技术和基于分层的身份加密算法技术等。

1.2 访问控制技术

访问控制技术主要用来通过某种途径，允许或限制访问能力以及其范围。访问控制模型[2]已经有了一段发展历程。自主访问控制（DAC）模型、强制访问控制（MAC）模型以及基于角色的访问控制（RBAC）模型及为最早期的研究成果。

随着数据库、网络和分布式计算的发展，学者对于基于任务的访问控制（TBAC）模型、基于分布式和跨域的访问控制模型和基于时空的访问控制模型进行研究，它们均为发展中的访问控制模型。现如今，一些新型的访问控制模型进入人们的视线，其大致分为基于信任的访问控（TrustBAC）模型、基于属性的访问控制（AtBAC）模型和基于行为的访问控制（AcBAC）模型。

2 身份认证和访问控制技术在智能电网中的应用

国家电网把电力系统信息化应用大致分为三个大类[3]：安全控制区、信息管理区和公共服务区。

2.1 身份认证和访问控制技术在智能电网系统的应用领域

在安全区I中，通常使用身份认证与访问控制技术来保证对电网进行监视、分析和控制的安全。例如智能变电站与主站调度自动化系统、光伏发电机配网系统中前置机与主站配网自动化系统等通信，系统均要进行双向身份认证；当配网自动化系统中通信主站与子站以及子站与终端进行通信时，系统会进行身份认证和访问授权控制。

信息管理区的各子系统中分别设计安全接入平台[4]（系统和安全接入平台的接入与组成如图1所示）。其中，安全接入网关系统使用身份认证和访问控制保证终端接入的安全，身份认证服务器进行身份认证的仲裁且担负访问控制权限下发的责任。

2.2 一种新型的基于Chebyshev多项式身份认证方案设计

在智能电网中，根据加密方式的不同以及密钥管理控制的不同出现多种身份认证方案，本文基于文献[5]介绍的身份认证算法设计了一种基于Chebyshev多项式的身份认证技术，试将其应用到智能电网中。在其结合硬件，应用在智能电网的安全平台接入区时的具体流程如图2所示。

此种身份认证应用在智能电网之后：

（1）客户端和服务器端会话密钥的生成时基于Chebyshev多项式的半群特性，密钥在身份认证的过程中即可自动生成，解决了密钥分发为电力系统带来的超负荷，提高了系统的运行效率。

（2）因网络时延，原始系统得不到认证之后会不停的发送访问请求数据；新方案采用时钟同步的方法，不会产生上述现象，在一定程度上降低了网络带宽。

（3）原始方案中在已加密文字的情况下，会有进行穷举攻击等现象发生的可能性。新方案可以抵抗多类型攻击，提高了智能电网的信息安全性。

3 总结与展望

本文在已有的智能电网中身份认证和访问控制方案的前提下，提出了一种新型改进的设计方案，理论上改进后的方案能够有效的保证智能电网的信息安全。但该方案的提出并未得到广泛的应用实现，在实际的工作中，我们仍需从多方面来设计更为安全可靠的方案，实现智能电网的信息安全。

参考文献：

[1]Leslie Lamport. Password Authentication with Insecure munications of the ACM，1981，24（11）：770-772.

[2]任海鹏.访问控制模型研究现状及展望[J].计算机与数字工程，2013，41.

[3]梁潇，白云，李旻，柴继文.基于公网的智能电网业务系统信息安全研究[Z].2012年电力通信管理暨智能电网通信技术论坛，北京，2012.

[4]于翔.扬州智能电网信息平台的安全防护研究[D].北京：华北电力大学，2012.

[5]李旭飞，赵耿，孙锦慧，陶涛.新型基于Chebyshev多项式的身份认证方案[J].计算机应用研究，2013（6）：1841-1846.

第2篇：身份认证技术论文范文

要理解什么是电子签名，需要从传统手工签名或盖印章谈起。在传统商务活动中，为了保证交易的安全与真实，一份书面合同或公文要由当事人或其负责人签字、盖章，以便让交易双方识别是谁签的合同，保证签字或盖章的人认可合同的内容，在法律上才能承认这份合同是有效的。而随着互联网应用的越来越成熟，在电子文件上，传统的手写签名和盖章是无法进行的，这就必须依靠IT技术手段来替代。

电子认证与电子签名

从法律上讲，签名有两个功能: 即标识签名人和表示签名人对文件内容的认可。联合国贸发会的《电子签名示范法》中对电子签名做如下定义: “指在数据电文中以电子形式所含、所附或在逻辑上与数据电文有联系的数据它可用于鉴别与数据电文相关的签名人和表明签名人认可数据电文所含信息”; 在欧盟的《电子签名共同框架指令》中就规定: “以电子形式所附或在逻辑上与其他电子数据相关的数据，作为一种判别的方法”称为电子签名。而我国《电子签名法》对电子签名的定义: “是指数据电文中以电子形式所含、所附用于识别签名人身份并表明签名人认可其中内容的数据。根据这一定义，能识别签名人身份的电子签名方法可能有很多种，比如: ID/口令、指纹识别、虹膜/网膜识别和形态识别等等。但是，用这样一些电子签名手段，只能进行人的身份识别，即《电子签名法》中定义的电子认证。但不能做到在《电子签名法》中对电子签名的全面要求: 即在识别签名人身份的同时，还要做到签名人认可其中的内容。

从广义上讲，实现电子签名的技术手段有很多种，但目前比较成熟的，世界先进国家普遍使用的电子签名技术还是“数字签名”技术。由于保持技术中立性是制订法律的一个基本原则，因此，目前还不能说明公钥密码理论是制作签名的惟一技术，因此有必要规定一个更一般化的概念以适应今后技术的发展。但是，目前电子签名法中提到的签名，一般指的就是“数字签名”。所谓“数字签名”就是通过某种密码运算生成一系列符号及代码组成电子密码进行签名，来代替书写签名或印章，对于这种电子式的签名还可进行技术验证，其验证的准确度是一般手工签名和图章的验证无法比拟的。

电子签名的一般实现方法

目前，实现电子签名的方法有好多种技术手段，前提是在确认了签署者的确切身份即经过电子认证之后，电子签名承认人们可以用多种不同的方法签署一份电子记录。

1. 手写签名或图章的模式识别

即将手写签名或印章作为图像，用光扫描经光电转换后在数据库中加以存储，当验证此人的手写签名或盖印时，也用光扫描输入，并将原数据库中的对应图像调出，用模式识别的数学计算方法，进行二者比对，以确认该签名或印章的真伪。这种方法曾经在银行会计柜台使用过，但由于需要大容量的数据库存储和每次手写签名和盖印的差异性，证明了它的不实用性，这种方法也不适用于互联网上传输，是较原始和落后的方法。

2. 生物识别技术

生物识别技术是利用人体生物特征进行身份认证的一种技术，生物特征是一个人与他人不同的惟一表征，它是可以测量、自动识别和验证的。生物识别系统对生物特征进行取样，提取其惟一的特征进行数字化处理，转换成数字代码，并进一步将这些代码组成特征模板存于数据库中，人们同识别系统交互进行身份认证时，识别系统获取其特征并与数据库中的特征模板进行比对，以确定是否匹配，从而决定确定或否认此人。生物识别技术主要有以下几种:

（1）指纹识别技术。每个人的指纹皮肤纹路是惟一的，并且终身不变，依靠这种惟一性和稳定性，就可以把一个人同他的指纹对应起来，通过将他的指纹和预先保存在数据库中的指纹采用指纹识别算法进行比对，便可验证他的真实身份。在身份识别后的前提下，可以将一份纸质公文或数据电文按手印签名或放于IC卡中签名。但这种签名需要有大容量的数据库支持，适用于本地面对面的处理，不适宜网上传输，目前指纹签名还做不到与数据电文内容相关联。

（2）视网膜、虹膜识别技术。视网膜识别技术是利用激光照射眼球的背面，扫描摄取几百个视网膜的特征点，代码摸板存储，经数字化处理后形成记忆模板存储于数据库中，供以后的比对验证。视网膜是一种极其稳定的生物特征，作为身份认证是精确度较高的识别技术。但使用困难，不适用于直接数字签名和网络传输，只能做到身份识别，还做不到与数据电文内容相绑定。虹膜识别技术: 红外照射，取样制作代码摸板存储，用时进行比对。这种签名也只能是进行身份识别。

（3）声音识别技术。声音识别技术是一种行为识别技术,用声音录入设备反复不断地测量、记录声音的波形和变化，并进行频谱分析，经数字化处理之后作成声音模板加以存储。使用时将现场采集到的声音同登记过的声音模板进行精确的匹配，以识别该人的身份。这种技术精确度较差，使用困难，不适用于直接数字签名和网络传输。

以上这种身份识别的方法解决的都是“你是什么？”，“你是谁？”，适用于面对面的场合，不适用远程网络认证，不适合大规模人群认证。

3. 密码、口令和个人识别码。

这里是指用一种传统的对称密钥加/解密的身份识别和签名方法。甲方需要乙方签名一份电子文件，甲方可产生一个随机码传送给乙方，乙方用事先双方约定好的对称密钥加密该随机码和电子文件回送给甲方，甲方用同样对称密钥解密后得到电文并核对随机码，如随机码核对正确，甲方即可认为该电文来自乙方。这种方法解决的是“你知道什么？”。适于远程网络传输，但不适合大规模人群认证，因为对称密钥管理困难。但是，对加密的数据电文签名人做不到认可。

在对称密钥加/解密认证中，在实际应用方面经常采用的是ID+PIN（身份惟一标识+口令）。即发方直接将ID和PIN发给收方，收方与后台已存放的ID和口令进行比对，达到认证的目的。人们在日常生活中使用的银行卡就是用的这种认证方法。这种方法解决的是“你有什么？”和“你知道什么？”。适用远程网络传输，但不安全，易被黑客窃取，只能简单的身份识别，不适用于电子签名。

4. 基于PKI的电子签名

基于公钥基础设施PKI（Public Key Infrastructure）的电子签名被称做“数字签名”。有人称“电子签名”就是“数字签名”，这种说法是错误的。数字签名是电子签名的一种主要形式。因为电子签名具有技术中立性，但也带来使用的不便，法律上又对电子签名做了进一步规定，如联合国贸发会的《电子签名示范法》和欧盟的《电子签名共同框架指令》中就规定了“可靠电子签名”和“高级电子签名”，其目的就是规定了数字签名的具体功能，这种规定使数字签名获得了更好的应用安全性和可操作性。目前，具有实际意义的电子签名只有公钥密码理论。所以，目前国内外普遍使用的、技术成熟的、可实际使用的还是基于PKI的数字签名技术。作为公钥基础设施PKI可提供多种网上安全服务，如认证、数据保密性、数据完整性和不可否认性，其中都用到了数字签名技术。

数字签名的技术保障

1. 什么是数字签名

数字签名在ISO7498-2标准中定义为: “附加在数据单元上的一些数据，或是对数据单元所作的密码变换，这种数据和变换允许数据单元的接收者用以确认数据单元来源和数据单元的完整性，并保护数据，防止被人（例如接收者）进行伪造”。美国电子签名标准（DSS，FIPS186-2）对数字签名做了如下解释: “利用一套规则和一个参数对数据计算所得的结果，用此结果能够确认签名者的身份和数据的完整性”。按上述定义PKI可以提供数据单元的密码变换，并能使接收者判断数据来源及对数据进行验证，是数字签名的技术保障。

PKI的核心执行机构是《电子签名法》中所定义的电子认证服务提供者，即通称为认证机构CA（Certificate Authority），PKI签名的核心元素是由CA签发的数字证书。数字证书所提供的PKI服务就是认证、数据完整性、数据保密性和不可否认性。它的作法就是利用证书公钥和与之对应的私钥进行加/解密，并产生对数字电文的签名及验证签名。数字签名是利用公钥密码技术和其他密码算法生成一系列符号及代码组成电子密码进行签名，来代替书写签名和印章。这种电子式的签名还可进行技术验证，其验证的准确度是在物理世界中对手工签名和图章的验证是无法比拟的。这种签名方法可在很大的可信PKI域人群中进行认证，或在多个可信的PKI域中进行交叉认证，它特别适用于互联网和广域网上的安全认证和传输。

关振胜

中国建设银行科技部副总工程师，高级工程师。现受聘中国金融认证中心（CFCA）技术顾问、中国人民银行“网上银行发展与监管工作组” 专家、亚洲PKI论坛（中国）委员、中国电子商务协会专家委员会专家、电子协会电子签名专家委员会常委。主持领导设计、开发多个银行大型应用系统。著作有“公钥基础设施PKI与认证机构CA”、“中国金融认证中心建设”、 “第四代语言INFORMIX 4GL”等。曾获得科技进步奖一等、二等、三等奖。(如右图)

2. 公钥密码技术原理

公开密钥密码理论是1976年美国发表的RSA算法，它是以三个发明人的名字而命名的，后来又有椭圆算法ECC，但常用的、成熟的公钥算法是RSA。它与传统的对称密钥算法有本质的区别，对称密钥算法常用的是DES算法，它具有一个密钥，加/解密时用的是同一个密钥。而公钥算法利用的是非对称密钥，即利用两个足够大的质数与被加密原文相乘生产的积来加/解密。这两个质数无论是用哪一个与被加密的原文相乘（模乘），即对原文件加密，均可由另一个质数再相乘来进行解密。但是，若想用这个乘积来求出另一个质数，就要进行对大数分解质因子，分解一个大数的质因子是十分困难的，若选用的质数足够大，这种求解几乎是不可能的。因此，将这两个质数称为密钥对，其中一个采用私密的安全介质保密存储起来，不对任何外人泄露，所以简称为“私钥”; 另一个密钥可以公开发表，用数字证书的方式在称之为“网上黄页”的目录服务器上，用LDAP协议进行查询，也可在网上请对方发送信息时主动将该公钥证书传送给对方，这个密钥称之为“公钥”。

公/私密钥对的用法是，当发方向收方通信时发方用收方的公钥对原文进行加密，收方收到发方的密文后，用自己的私钥进行解密，其中他人是无法解密的，因为他人不拥有自己的私钥，这就是用公钥加密，私钥解密用于通信; 而用私钥加密文件公钥解密则是用于签名，即发方向收方签发文件时，发方用自己的私钥加密文件传送给收方，收方用发方的公钥进行解密。

但是，在实际应用操作中发出的文件签名并非是对原文本身进行加密，而是要对原文进行所谓的“哈希”（Hash）运算，即对原文作数字摘要。该密码算法也称单向散列运算，其运算结果称为哈希值，或称数字摘要，也有人将其称为“数字指纹”。哈希值有固定的长度，运算是不可逆的，不同的明文其哈希值是不同的，而同样的明文其哈希值是相同并且惟一，原文的任何改动，其哈希值就要发生变化。数字签名是用私钥对数字摘要进行加密，用公钥进行解密和验证。

公钥证书和私钥是用加密文件存放在证书介质中，证书是由认证服务机构CA所签发的权威电子文档，CA与数字证书等是公钥基础设施PKI的主要组成机构和元素。

3. 认证机构CA

认证机构CA是PKI的核心执行机构，是PKI的主要组成部分，一般简称为CA，在业界通常把它称为认证中心。CA认证机构在《电子签名法》中被称做“电子认证服务提供者”。

根据《电子签名法》中规定，国务院信息产业部据本法制定了《电子认证服务管理办法》（中华人民共和国信息产业部令 第35号），并与2005年2月8日颁布。在该管理办法中第五条第七项有关人员、技术、设备、密码、安全和资金等，详细规定了电子认证机构（CA）应具备的市场准入条件。

4. 数字证书

数字证书或称电子证书简称为证书，它是PKI的核心元素，由认证机构服务者所签发，它是数字签名的技术基础保障; 它符合X・509标准，是网上实体身份的证明，证明某一实体的身份以及其公钥的合法性，证明该实体与公钥二者之间的匹配关系，证书是公钥的载体，证书上的公钥惟一与实体身份相绑定，并与其私钥相对应。国家标准规定作为第三方提供电子认证服务的CA，其签发证书机制一般应为双证书机制，即一个实体应具有两个证书，两个密钥对，一个是加密证书，一个是签名证书，加密证书原则上是不能用于签名的。用加密证书的公钥加密，对应的私钥解密，用于通信; 采用签名证书的私钥加密，对应的公钥解密用于签名。

证书在公钥体制中是密钥管理的媒介，不同的实体可以通过证书来互相传递公钥，证书是由权威性、可信任性和公正性的第三方机构所签发。因此，它是权威性电子文档。

证书的内容主要用于身份认证、签名的验证和有效期的检查。CA签发证书时，要对证书内容进行签名，以示对所签发证书内容的完整性、准确性负责并证明该证书的合法性和有效性，将网上身份与该证书绑定。

链接:什么是PKI？

工程学家对PKI是这样定义的: “PKI是一个用公钥概念与技术来实施和提供安全服务的普遍适用的安全基础设施。换句话说，PKI是一个利用非对称密码算法（即公开密钥算法）原理和技术实现的并提供网络安全服务的具有通用性的安全基础设施”。它是一种遵循标准的利用公钥加密技术为电子商务、电子政务、网上银行和网上证券业，提供一整套安全保证的基础平台。用户利用PKI基础平台所提供的安全服务，能在网上实现安全地通信。PKI这种遵循标准的密钥管理平台，能够为所有网上应用，透明地提供加解密和数字签名等安全服务所需要的密钥和证书管理。

第3篇：身份认证技术论文范文

关键词 ：数字身份 数字签名 RSA PKI CA

日常生活中人们到商场购物，付款方式一般有两种：采用现金结算或采用银行卡结算。2006年1月4日和1月5日某媒体连续刊登了两篇报道，题目分别为《刷卡签名商家有责辨真伪》、《银行卡被盗刷商家没过错》。这两篇报道代表两个完全对立的观点，但是阐述的内容都具有相当的说服力。这就提出两个问题，第一，当银行卡被盗刷的情况下，由此产生的损失到底应该由“卡”的所有者承担，还是应该由收款的商家承担？第二，能否避免这种损失的发生？笔者对两个问题的回答是：在现有的法制环境、技术手段下，无法准确的判断损失、无法准确的分清责任，也就无法准确的判罚；采用新的安全技术能够避免这种损失，一旦出现被盗刷的情况，可以依法判罚。

传统身份识别、签名识别存在的缺陷

在现有金融支付平台上使用银行卡时，支付过程如下：在银行提供的联网POS机上刷卡，由客户输入密码，密码验证通过后POS机打印银行转账单据，客户在转账单据上签名，客户出示有效身份证明（如身份证），收款员验证客户签名及身份证明，收款员打印销售发票，至此整个支付过程结束。其中收款员验证客户签名及身份证明是非常关键的一个环节，本文所提出的问题就是针对这个环节。

该媒体两篇报道中支持卡所有者的观点认为，使用手写签名是银行卡不被盗刷的基本保障。这样可以鉴别刷卡人是否为卡的所有者。在中国银联颁发的《收单规范》中要求收单商户必须仔细核对签名，以防银行卡被盗刷。因此从卡的所有者角度出发，收单商户有责任对刷卡人的真实身份进行确认，对签名的真伪进行鉴别。如果收单商户不对刷卡人的手写签名进行鉴别，将意味着银行卡所有者的安全大门完全失去了最基本的设防。这种情况是任何合法交易对象，无论是收单商户、还是合法卡的所有者所不愿意看到的，将导致拥有银行卡的用户不再敢使用刷卡的方式消费，也意味着商户将失去一部份客户。

而站在收单商户的立场认为，银行卡被盗刷商家没有过错。商家无权干涉持卡者的消费方式，涉及的银行与银联也没有义务对POS机操作员进行培训，重要的是法院则认为刷卡过程中是否应该对签名进行鉴别、核对，相关法律法规没有做出特别规定，也就是说没有法律依据。所以据此，如果客户的银行卡丢失后没有及时挂失造成的损失，收单商户没有责任。

刷卡是一种非常方便的支付方式，但是要得到人们的认可、在生活中得以推广，必须有一个安全的支付环境和支付工具，使得卡的所有者、收单商户、银行三方的利益都得到充分的保护。

笔者认为，在目前的技术条件下，要求POS机操作员仅仅依靠身份证来识别刷卡人的真实身份，同时要鉴别刷卡人签名时的笔迹是一项非常困难的工作。因为，一方面现在使用的身份证技术含量低，容易伪造；另一方面鉴别签名笔迹是一项技术性非常强的工作，一般人无法胜任，只有行业内的专家才能准确的鉴别，然而在实际工作中不可能为每一台POS机配备一名这样的技术专家。

那么是否能够找到一种在身份鉴别、签名鉴别上都非常方便、快捷、安全、实用的技术，这一问题就是本文论述的核心： RSA非对称加密解密技术应用模型。

RSA加密解密算法论述

RSA是一个非对称加密解密算法，由加密解密算法、公共参数、一对存在数学关系的公钥和私钥构成，其中算法、公共参数、公钥是可以公开的，私钥必须秘密保存。RSA的核心在于，加密时使用私钥，而解密时则使用公钥。

例如：用户甲拥有公共参数PN=14803，公钥PK=151，私钥SK=8871。现有明文PM=1234。

用户甲使用私钥SK对明文PM进行加密得到密文SM。

SM=PMSKMOD(PN)=12348871MDO(14803)=13960用户甲将自己的公共参数PN，公钥PK，以及密文SM发送给用户乙。用户乙进行解密计算得到明文PM。

PM=SMPKMOD(PN)=13960151MDO(14803)=1234

RSA用作数字签名

作为签名必须具备两个特性：防篡改，除签名者以外的其他人对签过名的内容做的任何改动都将被发现；抗抵赖，签名者无法抵赖自己签名的内容。

每一个RSA的用户都将拥有一对公钥和私钥。使用私钥对明文进行加密的过程可以被看作是签名的过程，形成的密文可以被看作是签名。当密文被改动以后就无法使用公钥恢复出明文，这一点体现出作为签名的防篡改特性；使用公钥对密文进行解密的过程可以被看作是验证签名的过程，使用公钥对密文进行解密恢复出明文，因为公钥来自于签名的一方（即用私钥加密生成密文的一方）。因此，签名一方无法否认自己的公钥，抵赖使用自己公钥解密后恢复出的明文，这一点体现出作为签名的抗抵赖特性。

RSA用作数字身份

身份是一个人的社会属性，用于证明拥有者存在的真实性，例如身份证、驾驶证、军官证、护照等。作为身份证明，它必须是一个不会被伪造的，如果被伪造则能够通过鉴别来发现。

将RSA技术应用于身份证明。当一个人获得一对密钥后，为了使利用私钥进行的签名具有法律效力，为了使自己公开的公钥、公共参数能够作为身份被鉴别，一般通过第三方认证来实现。用户要将自己的公钥、公共参数提交给认证中心，申请并注册公钥证书，如果使用过程中有人对用户的公钥证书产生质疑，需要验证持有者身份，可以向认证中心提出认证请求，以确认公钥证书持有者身份的真实性以及公钥证书的有效性。因此，可以把这个公钥证书看作持有者的一个数字身份证。

数字身份、数字签名在线鉴别模型

公钥证书在使用过程中可能会涉及到两个主体，拥有者与持有者。拥有者是公钥证书真正的所有者，而持有者则可能是一个公钥证书及私钥的盗用者。目前，认证机构的认证平台一般是建立在PKI公钥基础设施之上。当收到对某一个公钥证书的认证请求时，认证完成后出具的认证结果仅能够证明公钥证书本身的真实性、与之相关的数字签名的不可抵赖性，却无法证明持有者就是拥有者。RSA的使用则要求私钥必须秘密保存，一旦泄露只能及时挂失，如果在挂失之前被盗用，所产生的损失只能由拥有者自己承担，这种情况与银行卡被盗刷是相同的。尽管数字身份、数字签名、数字认证都是非常新的技术手段，但是就目前的认证方式、认证过程以及认证结果来看，依然没有解决公钥证书和私钥被盗用的问题。

本文针对公钥证书、私钥被盗用的问题设计出“数字身份、数字签名在线鉴别”模型。

传统的数字认证过程中，被认证的公钥证书与持有公钥证书的实体即证书的持有者之间没有任何关联，即使被认证的公钥证书是真实的、有效的，也不能证明持有者就是拥有者，这样就为盗用者提供了可乘之机。因此，必须对鉴别模型重新设计。

传统的RSA应用模型

用户甲可以自己生成非对称密钥对，也可以选择由认证中心生成；向认证机构提交公钥和公共参数申请并注册公钥证书；用户甲使用私钥对明文进行加密，形成具有签名效用的密文，通常要采用HASH函数进行压缩；用户甲将公钥证书以及经过数字签名的密文发送给用户乙；用户乙使用用户甲的公钥鉴别密文的数字签名；如果用户乙对用户甲的公钥证书产生质疑，可以提交用户甲的公钥证书给认证中心进行认证，认证中心对提交的公钥证书的真实性、有效性进行认证，并将认证结果返回用户乙。

由于数字身份与数字签名的特殊性，提供认证服务的机构不应该是一个商业化的机构，而应该是具有政府职能的部门，例如：颁发身份证的公安局、颁发驾照的交管局、颁发护照的外交部等。在笔者设计的模型中，公安局替代传统的认证中心；针对被认证的公钥证书与持有者缺乏直接的关联，在认证结果的信息中，笔者设计增加所有者的详细信息资料，从而可以通过认证结果来鉴别持有者的真实身份。

改造后的RSA应用模型

由公安局为用户甲颁发一个公钥；用户甲自己选择公共参数，并生成私钥；用户甲将公钥、公共参数及个人的详细资料（居住地址、传统身份证号、联系电话、照片、指纹等）提交给公安局，申请并注册数字身份证（即公钥证书），数字身份证的鉴别编号由公钥和公共参数组合而成；用户甲使用私钥对明文进行加密，形成具有签名效用的密文；用户甲将签字密文、数字身份证发送给用户乙；用户乙使用用户甲的公钥鉴别密文的数字签名，并恢复密文为明文；如果用户乙对用户甲的公钥证书产生质疑，可以提交用户甲的公钥证书给认证中心进行认证，认证中心可以根据不同认证的级别返回不同的认证结果。

在新的模型中，认证将分为三级认证。一级认证，返回所有者的身份证号、住址、联系电话；二级认证，在一级认证基础之上附加返回所有者的照片；三级认证，在二级认证基础之上附加返回所有者的指纹。

具体选择哪一种级别认证，取决于应用的性质。如果是签署网络协议可以采用一级认证，如果是在线支付可以选择二级或三级认证。这样可以通过认证的结果（联系电话、照片、指纹）来鉴别持有者与所有者身份是否相符。

RSA在刷卡中的应用

目前，在我国网络技术、通讯技术已经非常发达，接入互联网也已经非常普及，可以充分利用这些技术优化、改造现有的银行卡刷卡流程，解决银行卡被盗以后，在刷卡时对持有者的身份进行有效的鉴别。

传统的刷卡流程中，用户必须在POS机上输入口令，出示身份证，在转账单据上手写签名。在新的刷卡流程中要求收款机必须与互联网相连，在输入口令环节可以改成输入私钥，对付款数据进行加密（数字签名），在身份验证环节可以增加数字身份的验证，客户提交公钥证书，收款员在联网计算机上将客户的公钥证书提交给公安局的认证服务器，在得到认证结果以后对持卡人的身份进行鉴别，然后再对数字签名进行鉴别。

要采用新的刷卡支付流程必须增加新的设备，对现有的支付环境进行改造，以此防止银行卡被盗刷，如果银行卡被盗刷。由于我国已于2005年4月1日正式颁布并开始执行《中华人共和国电子签名法》，因此，可以依据此法进行判罚。

参考文献：

1. Bruce Schneier著.吴世忠等译. 应用密码学.机械工业出版社，2000

第4篇：身份认证技术论文范文

关键词： 隐式认证； 移动设备； 多模态； 入侵检测方法

中图分类号：TP181 文献标志码：A 文章编号：1006-8228（2012）03-07-03

Implicit authentication based on user habits of using mobile device

Yang Jianqiang, Fang Lei

（School of Mathematics and Computer Science， Xiangfan University, Xiangfan， Hubei 441053， China）

Abstract： It is very troublesome to enter the password on mobile devices (especially cell phones). As more people use mobile devices to access Internet services, or engage in mobile commerce, people want to simplify the authentication operation. The authors present in this paper an implicit authentication method, which authenticates the user based on the user’s habits of using their devices, and eliminates the trouble of entering password. In this paper, the data for implicit authentication and their sources are given, the specific methods for implicit authentication and the system architecture are discussed. This paper is significant for further research and practical applications of implicit authentication.

Key words： Implicit Authentication; Mobile Device; Multi-modal; Intrusion Detection Method

0 引言

随着能够访问Internet的移动设备（特别是智能手机）的大规模市场普及，越来越多的人开始使用移动设备上网，访问Internet上的各种服务，或者从事移动商务活动。Internet上的许多服务需要验证用户的身份，比如访问电子邮件、登录博客/空间等。

Internet上目前最常见的认证方法是验证用户名/密码对。这种方法存在着一些弱点，有时并不可靠。因此，在重要的电子商务中通常采用具有高可靠性的认证方法，比如使用具有安全ID的设备并配合密码进行的双要素认证。这种认证方法已经成为业界标准。不管怎样，目前得到广泛采用的认证方法通常都把密码作为一个必要的因素。

我们知道，在桌面电脑上输入密码很容易，但是，在输入界面受到限制的移动设备上输入密码却比较麻烦。根据国外一项对iPhone、BlackBerry手机用户的市场调查，有40%的用户平均每天输入一次密码，在10次密码输入中，有56%的用户至少有一次输入错误。用户发现在移动设备上输入密码甚至比网络覆盖不足、设备屏幕过小以及较差的语音质量更糟糕。因此，随着访问Internet的移动设备的增多，人们希望有一种新的认证方法，它不需要用户的参与或者只需要用户很少的参与就能够完成认证。

本文提出一种新的认证方法，它不需要用户输入密码，而是利用所观察到的用户行为来认证用户，或者说利用用户使用移动设备的习惯来认证用户，我们称这种方法为隐式认证。尽管隐式认证能够应用到任何类型的计算机上，不过我们认为它更适用于移动设备―那些通常具有有限的文字输入能力，却能够访问丰富信息的计算机，比如智能手机。

我们认为，成熟的隐式认证技术将至少有如下三个方面的应用：

⑴ 作为一种基本的认证方法替代常见的密码认证，免除用户输入密码的负担。比如当用户通过移动设备访问在线邮件或登录博客/空间/论坛时，服务器利用隐式认证技术完成对用户身份的确认，用户不再需要输入用户名和密码等登录信息。很明显，隐式认证使得在移动设备上访问这些服务更方便了。另外，随着经常使用的服务不断增多，用户需要记住很多的用户名/密码对，为了减轻记忆负担，许多用户可能在多个服务中使用相同的用户名/密码对，可能选择容易记忆的密码，有时候甚至把密码随便记在纸上。这会大大降低了密码认证的可靠性。因此，在这些场合下使用隐式认证是非常合适的，它免除了用户记忆密码的负担和输入密码的麻烦。另外，在那些使用密码认证的小额购物网站上也可以用隐式认证来替代密码认证。

⑵ 隐式认证可以作为常见的密码认证的补充，使得最终的认证具有双要素认证的效果，更加安全可靠。无论用户使用桌面电脑还是使用移动设备访问Internet上的某些需要认证身份的服务，用户按常规方式输入登录信息（用户名/密码等），服务器同时利用隐式认证技术来进一步确认用户的身份，这就使得用户的身份认证更加可靠。因此这种认证方法，既可以在那些大额购物网站上采用，也可以在移动商务服务，比如手机银行、手机炒股、手机、GPS位置服务、移动OA等移动商务服务上采用。

⑶ 为信用卡业务提供额外的担保，防止欺诈事件的发生。对于信用卡诈骗或者信用卡丢失给用户带来损失的事件，如果用户能够利用信用卡隐式认证作用户身份认证的补充，就可以在很大程度上减少用户的损失。

1 隐式认证的研究现状

实际上，在桌面电脑以及其他一些强调安全的领域（如军事、保密部门），已经出现了一些类似“隐式认证”的技术。比如一些采用生物特征识别技术的认证方法，特别是基于击键力度、节奏和打字模式的识别技术就更可以看成是隐式认证技术[1]。因为这类技术是基于对用户行为的持续观察来认证用户身份的，这与我们提出的观点一致。步态识别也属于“隐式认证”技术。步态识别是一种较新的生物特征识别技术，它根据人们的走路姿势实现对个人身份的识别或生理、病理及心理特征的检测[2]。在诸如军事基地、停车场、机场、高档社区等重要场所，步态识别不需要任何交互性接触就可以实现远距离情况下的身份识别。有些学者尝试综合多种生物特征来识别用户的身份，比如，一些研究工作尝试结合多种生物特征识别结果以产生一个最终的认证分数，并根据认证分数来确定用户身份的真实性程度[3]。所有这些基于生物特征识别技术的认证方法都具有隐式认证的特征―不需要用户的参与或者只需要用户很少的参与就能够完成认证。

并不是所有隐式认证都与生物特征识别技术有关。基于用户的位置来确定访问权限的技术，很多公司或组织的系统采用了这样的技术。如果员工在办公室使用电脑，则允许其访问公司内部数据，而如果员工在家里使用电脑，则禁止访问。这样的系统显然也具有隐式认证的特征。

尽管上述“隐式”认证技术目前在移动设备领域比较少见，不过已经有很多人开始尝试把它们应用到移动领域。比如有学者尝试基于移动设备的位置（GPS）来确定用户对特定资源的访问权限；有学者研究利用步态识别来检测设备是否正在被其主人使用[4]；还有学者提出了多模态认证方法，这种方法结合许多不同的、低可信度的生物识别信息流来产生一个持续的、对当前用户身份的正面肯定[5]。对于本文提出的、利用用户使用移动设备的习惯来认证用户的隐式认证方法，目前尚未有人研究。

2 基于用户使用移动设备习惯的隐式认证的技术分析

要进行隐式认证，必须要有用于认证的数据。智能手机是目前使用用户最多的、可访问Internet的移动设备。对于智能手机来说，用于认证的数据可以来自设备自身，也可以来自移动网络运营商，甚至来自Internet。这些数据中，有些数据的来源可能有多个，而有些数据是设备特有的，依赖于特定的硬件类型和使用方式。

来自运营商的数据有：用户设备所选择的基站、用户呼出/呼入的电话号码及通话模式（通话时间、时间间隔等）、用户发送/接收的短消息号码及模式（时间、频度等）、甚至用户的语音数据、用户访问Internet的模式（如果用户通过移动网络访问Internet，运营商可以通过检查他们的DNS请求和网络报文来知道他们的访问模式）。来自设备自身的数据有：用户拨打/接收的电话号码以及发送/收到的短消息号码、闹铃设置时间、用户操作电子邮件的习惯、来自GPS的定位数据（如果设备具有GPS功能）、WiFi/蓝牙连接/配对或USB连接数据（如果设备具有这些功能）、在WiFi中对一个已知的访问点的认证数据、设备与某个已知PC的同步情况、应用程序的使用数据（比如浏览模式和安装的软件）、键盘输入模式或语音数据、触摸屏，获得用户的指纹等等。来自网络的数据有：用户访问网络服务的各种相关数据。

理论上，上述数据都可以作为认证的依据，但认证中考虑所有数据显然是不现实的。另外，设备/用户不同，用户使用设备的习惯、访问网络的行为方式等也会不同。所以，可以用于刻画用户行为特征的数据也不尽相同。因此，实际用于认证的数据最好是带有普遍性的数据，而不是设备或用户或网络所特有的。

隐式认证中可采用的认证方法，我们认为可以从如下两个方面考虑：一是借鉴已有的“隐式认证”技术，比如前面提到的多模态认证方法；二是借鉴入侵检测技术。目前有很多入侵检测方法，有些检测方法比较适合用于隐式认证中。下面我们逐一探讨。

基于多模态认证方法的研究结果，我们初步构想了一个隐式认证方法，它利用前面提到的相关数据，根据用户最近的行为或活动为每个用户计算并维护一个认证分数。该方法根据事件（用户行为）是正面的还是负面的来增加或减少用户的认证分数。正面的事件如习惯性的行为，当监视到习惯性的事件的时候就增加认证分数；负面的事件指那些对于用户来说并不常见的事件，或者与某种常见的攻击行为相关联的事件。当认证分数下降超过了特定事件的阈值，该事件将不再被执行，除非用户显式地、明确地认证他自己，比如输入密码。正确的显式认证是一个正面事件，而失败的显式认证是一个负面事件。图1给出了这种方法中可以采用的机器学习算法框架。

[过去的

行为][学习算法] [评分算法][最近的

行为] [分数] [用户

类型]

图1 机器学习算法框架

图1中，用户模型是从用户过去的行为获得的，它能够刻画出用户的个人行为模式。评分算法检查用户模型和用户最近的行为，并输出一个认证分数以指出用户身份真实的可能性。方法中使用一个阈值对应合法用户分数的最低值。阈值也可以因不同的应用而有所不同，这取决于具体的应用是否是安全敏感的。很明显，此处用户模型的正确创建和评分算法的合理设计是获得准确认证分数的关键，当然也是准确确定用户身份是否合法的关键。

另外，隐式认证可以借鉴的是入侵检测技术中的方法。入侵检测采用的方法通常可以分为两类：误用检测和异常检测。误用检测需要首先定义入侵行为特征，然后监视系统中是否出现了这样的行为特征，当监测的用户或系统行为与某个已定义的入侵特征匹配时，就认为发生了入侵；异常检测需要首先定义正常行为特征，当用户活动或系统行为与正常行为有重大偏离时即被认为是入侵。很明显，隐式认证应该采用误用检测方法，不同之处只是把定义入侵行为特征改成定义用户的习惯行为特征。

常用的误用检测方法有基于条件概率的误用入侵检测、基于专家系统的误用入侵检测、基于状态转移的误用入侵检测、基于键盘监控的误用入侵检测，以及基于模型的误用入侵检测等[6]几种。以基于条件概率的误用入侵检测方法为例，该方法将入侵方式对应于一个事件序列，然后通过观测事件发生情况来推测入侵的出现。在隐式认证中可以采用同样的方法，把用户的行为对应于一个事件序列，然后通过观测事件发生情况来推测用户身份的真实性。这种方法的原理是利用外部事件序列，根据贝叶斯定理进行推理判断用户身份的真实性。

令ES表示事件序列，先验概率为P(Authentication)，后验概率为P(ES|Authentication)，事件出现的概率为P(ES)，则

通常可以给出先验概率P(Authentication)，对用户行为报告数据进行统计处理得出P(ES|Authentication)和P(ES|-Authentication)，于是可以计算出：

因此，可以通过对事件序列的观测推算出P(Authentication|ES)，它表示当事件序列ES发生后用户身份真实的可能性。当然，其他误用检测方法也都有应用到隐式认证中的可能。

实际上，即使已有的“隐式认证”技术也或多或少采用了与入侵检测技术相似或相同的方法，所以我们刚才提到的两类可以借鉴的技术并非截然不同，而是存在着重叠或交叉。

3 隐式认证系统体系结构分析

认证包括认证结果的产生（认证决断）和认证结果的使用（认证消费）两个方面。对于我们提出的隐式认证，认证的决断者可以是设备本身，也可以是运营商或者其他可信的第三方。这通常与认证所依赖的数据来源有关，另外，也可能与认证结果的使用者和所采用的特定的隐式认证方法有关。认证的消费者包括：⑴ 移动设备（比如，设备可能需要首先确认用户的身份合法才允许使用某些特定的应用）；⑵ 希望认证用户的服务提供者（这是很显然的，如前面提到的电子邮件服务、博客/空间、论坛以及在线银行站点）。如果认证的决断者是设备自身，保障认证结果的完整性是很重要的，特别是当认证的消费者不是设备本身的时候，比如是Internet上的服务。此时，可以借助设备的SIM卡对认证结果签名，随后把签名后的数据发送到希望认证用户身份的服务提供者那里。这种方法既保护了用户的隐私，又能够防止对服务器的欺骗。不过，这种方法不能防止设备被盗时非法用户以合法的方式使用该设备。也就是说，如果设备被盗，存储在设备中的数据以及用户的行为模式信息也可能被盗。非法用户可能利用这些信息来模仿合法用户。

鉴于运营商和移动用户之间的信任关系以及自然的通信能力，运营商很适合作为认证的决断者，给出认证结果。运营商也可能简单地把数据提供给可信的第三方，委托第三方分析数据并做出认证结论，此时第三方就是认证决断者。如果采用把数据报告给可信的第三方的方法，用户的隐私将是一个需要关注的问题。解决这个问题的方法有：⑴从报告的数据中删除可以辨识用户身份的信息及重要数据；⑵使用别名替代真实的称谓，比如，“电话号码A，位置B，区号D”；⑶采用粗粒度数据或汇总数据，而非详细精确的描述。

无论如何，隐式认证的系统体系结构是灵活的，这也决定了隐式认证的应用将是广泛的。

4 结束语

在移动设备上使用隐式认证，可以免除用户记忆密码的负担和输入密码的麻烦，从而使用户可更方便地访问Internet上的服务。隐式认证还可以和常见的密码认证一起使用，使得最终的认证具有双要素认证的效果。隐式认证甚至可以为信用卡业务提供额外的担保。因此，对隐式认证的研究是非常有意义的。本文提出了隐式认证的概念，探讨了可用于隐式认证的具体方法和隐式认证系统的体系结构。目前，对隐式认证的研究也只是刚开始，期待本文能起到抛砖引玉的作用。

参考文献：

[1] 田启川,张润生.生物特征识别综述[J].计算机应用研究,2009.26

(12):4401~4406

[2] 王科俊,侯本博.步态识别综述[J].中国图象图形学报,2007.12(7):1157~1160

[3] J. Bigun, J. Fierrez-Aguilar, J. Ortega-Garcia, and J.

Gonzalez-Rodriguez. Combining biometric evidence for person authentication[J]. Advanced Studies in Biometrics, 2005.

[4] D. Gafurov, K. Helkala, and T. Søndrol. Biometric gait authenti cation using accelerometer sensor. JCP, 1(7):51~59,2006.

第5篇：身份认证技术论文范文

摘要：随着信息产业的高速发展，众多企业、单位都利用互联网建立了自己的信息系统，以充分利用各类信息资源。但是我们在享受信息产业发展带给我们的便利的同时，也面临着巨大的风险。我们的系统随时可能遭受病毒的感染、黑客的入侵，这都可以给我们造成巨大的损失。本文主要介绍了信息系统所面临的技术安全隐患，并提出了行之有效的解决方案。 关键字：信息系统信息安全身份认证安全检测 一、目前信息系统技术安全的研究 1.信息安全现状分析 随着信息化进程的深入，信息安全己经引起人们的重视，但依然存在不少问题。一是安全技术保障体系尚不完善，许多企业、单位花了大量的金钱购买了信息安全设备，但是技术保障不成体系，达不到预想的目标:二是应急反应体系没有经常化、制度化:三是企业、单位信息安全的标准、制度建设滞后。 2003年5月至2004年5月，在7072家被调查单位中有4057家单位发生过信息网络安全事件，占被调查总数的58%。其中，发生过1次的占总数的22%,2次的占13%,3次以上的占23%，此外，有7%的调查对象不清楚是否发生过网络安全事件。从发生安全事件的类型分析，遭受计算机病毒、蠕虫和木马程序破坏的情况最为突出，占安全事件总数的79%，其次是垃圾邮件，占36%，拒绝服务、端口扫描和篡改网页等网络攻击情况也比较突出，共占到总数的43%. 调查结果表明，造成网络安全事件发生的主要原因是安全管理制度不落实和安全防范意识薄弱。其中，由于未修补或防范软件漏洞导致发生安全事件的占安全事件总数的“%，登录密码过于简单或未修改密码导致发生安全事件的占19%. 对于网络安全管理情况的调查:调查表明，近年来，使用单位对信息网络安全管理工作的重视程度普遍提高，80%的被调查单位有专职或兼职的安全管理人员，12%的单位建立了安全组织，有2%的单位请信息安全服务企业提供专业化的安全服务。www.lw881.com调查表明，认为单位信息网络安全防护能力“较高”和“一般”的比较多，分别占44%。但是，被调查单位也普遍反映用户安全观念薄弱、安全管理员缺乏培训、安全经费投入不足和安全产品不能满足要求等问题，也说明目前安全管理水平和社会化服务的程度还比较低。 2.企业信息安全防范的任务 信息安全的任务是多方面的，根据当前信息安全的现状，制定信息安全防范的任务主要是: 从安全技术上，进行全面的安全漏洞检测和分析，针对检测和分析的结果制定防范措施和完整的解决方案;正确配置防火墙、网络防病毒软件、入侵检测系统、建立安全认证系统等安全系统。 从安全管理上，建立和完善安全管理规范和机制，切实加强和落实安全管理制度，增强安全防范意识。 信息安全防范要确保以下几方面的安全。网络安全:保障各种网络资源(资源、实体、载体)稳定可靠地运行、受控合法地使用。信息安全:保障存储、传输、应用的机密性(confidentiality)、完整性(integrity)、抗否认性(non-repudiation),可用性(availability)。其他安全:病毒防治、预防内部犯罪。 二、信息系统常见技术安全漏洞与技术安全隐患 每个系统都有漏洞，不论你在系统安全性上投入多少财力，攻击者仍然可以发现一些可利用的特征和配置缺陷。发现一个已知的漏洞，远比发现一个未知漏洞要容易的多，这就意味着:多数攻击者所利用的都是常见的漏洞。这样的话，采用适当的工具，就能在黑客利用这些常见漏洞之前，查出网络的薄弱之处。漏洞大体上分为以下几大类: (1)权限攻击。攻击者无须一个账号登录到本地直接获得远程系统的管理员权限，通常通过攻击以root身份执行的有缺陷的系统守护进程来完成。漏洞的绝大部分来源于缓冲区溢出，少部分来自守护进程本身的逻辑缺陷。 (2)读取受限文件。攻击者通过利用某些漏洞，读取系统中他应该没有权限的文件，这些文件通常是安全相关的。这些漏洞的存在可能是文件设置权限不正确，或者是特权进程对文件的不正确处理和意外dumpcore使受限文件的一部份dump到了core文件中. (3)拒绝服务。攻击者利用这类漏洞，无须登录即可对系统发起拒绝服务攻击，使系统或相关的应用程序崩溃或失去响应能力。这类漏洞通常是系统本身或其守护进程有缺陷或设置不正确造成的。 (4)口令恢复。因为采用了很弱的口令加密方式，使攻击者可以很容易的分析出口令的加密方法，从而使攻击者通过某种方法得到密码后还原出明文来。 (5)服务器信息泄露。利用这类漏洞，攻击者可以收集到对于进一步攻击系统有用的信息。这类漏洞的产生主要是因为系统程序有缺陷，一般是对错误的不正确处理。 漏洞的存在是个客观事实，但漏洞只能以一定的方式被利用，每个漏洞都要求攻击处于网络空间一个特定的位置，因此按攻击的位置划分，可能的攻击方式分为以下四类:物理接触、主机模式、客户机模式、中间人方式。 三、信息系统的安全防范措施 1.防火墙技术 防火墙技术是建立在现代通信网络技术和信息安全技术基础上的应用性安全技术，越来越多地应用于专用网络与公用网络的互联环境之中，尤其以接入internet网络为甚。 防火墙是指设置在不同网络(如可信任的企业内部网和不可信的公共网)或网络安全域之间的一系列部件的组合。它是不同网络或网络安全域之间信息的唯一出入口，能根据企业的安全政策控制(允许、拒绝、监测)出入网络的信息流，且本身具有较强的抗攻击能力。它是提供信息安全服务，实现网络和信息安全的基础设施。在逻辑上，防火墙是一个分离器，一个限制器，也是一个分析器，有效地监控了内部网和internet之间的任何活动，保证了内部网络的安全。 防火墙是网络安全的屏障:一个防火墙(作为阻塞点、控制点)能极大地提高一个内部网络的安全性，并通过过滤不安全的服务而降低风险。由于只有经过精心选择的应用协议才能通过防火墙，所以网络环境变得更安全。防火墙可以强化网络安全策略:通过以防火墙为中心的安全方案配置，能将所有安全软件(如口令、加密、身份认证、审计等)配置在防火墙上。对网络存取和访问进行监控审计:如果所有的访问都经过防火墙，那么，防火墙就能记录下这些访问并做出日志记录，同时也能提供网络使用情况的统计数据。防止内部信息的外泄:通过利用防火墙对内部网络的划分，可实现内部网重点网段的隔离，从而限制了局部重点或敏感网络安全问题对全局网络造成的影响。除了安全作用，有的防火墙还支持具有internet服务特性的企业内部网络技术体系vpn。通过vpn，将企事业单位在地域上分布在全世界各地的lan或专用子网，有机地联成一个整体。不仅省去了专用通信线路，而且为信息共享提供了技术保障。 防火墙技术可根据防范的方式和侧重点的不同而分为很多种类型，但总体来讲可分为二大类:分组过滤、应用。 2.入侵检测技术 ietf将一个入侵检测系统分为四个组件：事件产生器(eventgenerators)；事件分析器(eventanalyzers)；响应单元(responseunits)和事件数据库(eventdatabases)。事件产生器的目的是从整个计算环境中获得事件，并向系统的其他部分提供此事件。事件分析器分析得到的数据，并产生分析结果。响应单元则是对分析结果做出反应的功能单元，它可以做出切断连接、改变文件属性等强烈反应，也可以只是简单的报警。事件数据库是存放各种中间和最终数据的地方的统称，它可以是复杂的数据库，也可以是简单的文本文件。 根据检测对象的不同，入侵检测系统可分为主机型和网络型。基于主机的监测。主机型入侵检测系统就是以系统日志、应用程序日志等作为数据源，当然也可以通过其他手段(如监督系统调用)从所在的主机收集信息进行分析。主机型入侵检测系统保护的一般是所在的系统。这种系统经常运行在被监测的系统之上，用以监测系统上正在运行的进程是否合法。最近出现的一种id(intrusiondetection)：位于操作系统的内核之中并监测系统的最底层行为。所有这些系统最近已经可以被用于多种平台。网络型入侵检测。它的数据源是网络上的数据包。往往将一台机子的网卡设于混杂模式(promisemode)，对所有本网段内的数据包并进行信息收集，并进行判断。一般网络型入侵检测系统担负着保护整个网段的任务。

对各种事件进行分析，从中发现违反安全策略的行为是入侵检测系统的核心功能。从技术上，入侵检测分为两类:一种基于标志(csignature-based)，另一种基于异常情况(abnormally-based)。 3.认证中心（ca）与数字证书 互联网的发展和信息技术的普及给人们的工作和生活带来了前所未有的便利。然而，由于互联网所具有的广泛性和开放性，决定了互联网不可避免地存在着信息安全隐患。为了防范信息安全风险，许多新的安全技术和规范不断涌现，pki(publickeyinfrastructure，公开密钥基础设施)即是其中一员。 pki是在公开密钥理论和技术基础上发展起来的一种综合安全平台，能够为所有网络应用透明地提供采用加密和数字签名等密码服务所必需的密钥和证书管理，从而达到保证网上传递信息的安全、真实、完整和不可抵赖的目的。利用pki可以方便地建立和维护一个可信的网络计算环境，从而使得人们在这个无法直接相互面对的环境里，能够确认彼此的身份和所交换的信息，能够安全地从事商务活动。目前，pki技术己趋于成熟，其应用已覆盖了从安全电子邮件、虚拟专用网络(vpn),web交互安全到电子商务、电子政务、电子事务安全的众多领域，许多企业和个人已经从pki技术的使用中获得了巨大的收益。 在pki体系中，ca(certificateauthority，认证中心)和数字证书是密不可分的两个部分。认证中心又叫ca中心，它是负责产生、分配并管理数字证书的可信赖的第三方权威机构。认证中心是pki安全体系的核心环节，因此又称作pki/ca。认证中心通常采用多层次的分级结构，上级认证中心负责签发和管理下级认证中心的证书，最下一级的认证中心直接面向最终用户。 数字证书，又叫“数字身份证”、“数字id”，是由认证中心发放并经认证中心数字签名的，包含公开密钥拥有者以及公开密钥相关信息的一种电子文件，可以用来证明数字证书持有者的真实身份。 4.身份认证 身份认证是指计算机及网络系统确认操作者身份的过程。我们熟悉的如防火墙、入侵检测、vpn、安全网关、安全目录等，与身份认证系统有什么区别和联系呢?我们从这些安全产品实现的功能来分析就明白了:防火墙保证了未经授权的用户无法访问相应的端口或使用相应的协议；入侵检测系统能够发现未经授权用户攻击系统的企图;vpn在公共网络上建立一个经过加密的虚拟的专用通道供经过授权的用户使用;安全网关保证了用户无法进入未经授权的网段，安全目录保证了授权用户能够对存储在系统中的资源迅速定位和访问。这些安全产品实际上都是针对用户数字身份的权限管理，他们解决了哪个数字身份对应能干什么的 问题。而身份认证解决了用户的物理身份和数字身份相对应的问题，给他们提供了权限管理的依据。 从木桶理论来看，这些安全产品就是组成木桶的一块块木板，则整个系统的安全性取决于最短的一块木板。这些模块在不同的层次上阻止了未经授权的用户访问系统，这些授权的对象都是用户的数字身份。而身份认证模块就相当于木桶的桶底，由它来保证物理身份和数字身份的统一，如果桶底是漏的，那桶壁上的木板再长也没有用。因此，身份认证是整个信息安全体系最基础的环节，身份安全是信息安全的基础。 目前常见的身份认证方式主要有三种，第一种是使用用户名加口令的方式，这时是最常见的，但这也是最原始、最不安全的身份确认方式，非常容易由于外部泄漏等原因或通过口令猜测、线路窃听、重放攻击等手段导致合法用户身份被伪造;第二种是生物特征识别技术(包括指纹、声音、手迹、虹膜等)，该技术以人体唯一的生物特征为依据，具有很好的安全性和有效性，但实现的技术复杂，技术不成熟，实施成本昂贵，在应用推广中不具有现实意义;第三种也是现在电子政务和电子商务领域最流行的身份认证方式——基于usbkey的身份认证。 四、结语 随着计算机技术和通信技术的发展，信息系统将日益成为企业的重要信息交换手段。因此，认清信息系统的脆弱性和潜在威胁，采取必要的安全策略，对于保障信息系统的安全性将十分重要。同时，信息系统技术目前正处于蓬勃发展的阶段，新技术层出不穷，其中也不可避免的存在一些漏洞，因此，进行信息系统安全防范要不断追踪新技术的应用情况，及时升级、完善自身的防御措施。 五、参考文献 [1]贾晶，陈元，王丽娜编著，信息系统的安全与保密，第一版，1999.01，清 华大学出版社 [2]ericmaiwald，wi1lieducation,securityplanning&disasterrecovery,2003, posts&telecommunicationspress,pp.86-94 [3]程胜利，谈冉，熊文龙，程煌，计算机病毒及其防治技术，2004.09,清华大学出版社 [4]张小磊，计算机病毒诊断与防治，2003，中国环境科学出版社 [5]东软集团有限公司，neteye防火墙使用指南3.0，1-3 [6]段钢，加密与解密，第二版，2004.01，电子工业出版社 [7]张剑，网络安全防御系统的设计与实现，电子科技大学硕士学位论文，2001.01 [8]黑客防线2005精华奉献本上、下册，人民邮电出版社，2005 [9]陆浪如，信息安全评估标准的研究与信息安全系统的设计，解放军信息工程大学军事学博士学位论文，2001.06 [10]黄月江,信息安全与保密,北京:国防工业出版社，1999 [13]yujian-ping1,xiewei-xin1,yanqiao,securityanditsdefencetechniquessemiconductortechnologyvol.27no.1

第6篇：身份认证技术论文范文

1.1信息加密技术

信息加密技术是电子商务安全技术中一个重要的组成部分，信息加密后在传输过程中，如果被人以非法的手段窃取，无法破译的话，对窃取的人来说是这些信息就失去意义了。常用的有链路——链路加密、节点加密、端——端加密、ATM网络加密和卫星通信加密五种方式。比较典型的算法有DES（数据加密标准）算法及其变形TripleDES（三重DES）、IDEA、RC5等。

1.2身份认证技术

认证技术是保证电子商务安全不可缺少的重要技术手段，身份认证是指为了防止他人对传输的文件进行破坏以及如何确定发信人的身份，用户必须提供它自身的证明，以取得安全信息系统的信任。它是电子商务中的第一道关卡，其主要作用是信息的认证，通过电子手段确认发送者和接收者身份，并验证其文件完整性的技术，被认证者只有在被认证系统识别身份后，才能够根据用户的身份和授权级别来访问资源，主要包含数字签名、数字证书、数字时间戳、数字摘要等技术。在电子商务安全中，一旦身份认证系统被攻破，那么系统的所有安全措施将行同虚设。入侵者攻击的目标往往就是身份认证系统。

1.3PKI技术

PKI是一个用公钥概念和技术实施和提供安全服务的具有普适性的安全基础设施，密码技术发展到今天，PKI作为一项关键的密码技术，已经让网络安全离不开它。目前认为，基于PKI体系的身份认证完全可以满足电子商务的要求，并初步形成了一整套的解决方案。它除了具有加解密和密钥管理之外，还包括各种安全策略、安全协议以及安全服务。PKI体系具体包括认证机构CA、证书与CRL数据存储区、用户三部分。它还支持SET、SSL电子证书和数字签名。目前，该项技术在已经逐渐推广应用，但在我国，收技术影响，PKI技术已经成为了我国电子商务发展的瓶颈。

1.4SSL(SecureSocketsLayer)安全协议

随着时代的进步和发展，电子商务也在逐步成熟起来，现在的电子交易安全是在密码技术基础上通过交易安全协议实现的，SSL就是其中一项很重要的协议。NETSCAPE公司是因特网商业中领先技术的提供者，他们开发出了一种基于RSA和秘密密钥的应用于因特网的技术，也就是SSL协议，SSL协议就是Netscape公司在网络传输层与应用层之间提供的一种基于RSA和保密密钥的用于浏览器与Web服务器之间的安全连接技术，主要用于提高应用程序之间的数据的安全系数。SSL由两个子协议构成，即SSL记录（Record）协议和SSL握手（Handshake）协议，主要功能是让收发双方在通过网络传输信息时，能够保障数据的完整性及机密性。但是该协议的整个认证过程只有商家对客户的认证，缺少了客户对商家的认证。

1.5SET(SecureElectronicTransaction)安全协议

SET协议是一个开放的协议，主要是为了解决用户、商家和银行之间通过信用卡支付的交易而设计的，具有成为追求电子交易安全的主要推动力的潜质。该协议核心技术主要有公开密匙加密、电子数字签名、电子信封、电子安全证书等，采用DES和RSA两种加密算法进行加密、解密处理，可以实现、确认能力、数据的完整性和多方的操作性，从而确保了交易数据的安全性、完整性和交易的不可否认性。目前，SET这一标准被公认为全球国际网络的标准。SET的缺点是它还仅限于使用信用卡方式的支付手段，用户需要安装特殊的软件。

2结语

第7篇：身份认证技术论文范文

关键词：网络与信息安全；信息安全认识；信息安全技术

随着internet的接人，网络已成为我们生活中必不可少的一部分。随着计算机网络的发展，其开放性、共享性、互联程度扩大，网络的重要性和对社会的影响也越来越大，但是另一方面病毒、黑客程序、邮件炸弹、远程侦听等安全问题逐渐成为当今网络社会的焦点。下面笔者就几个方面对网络环境中信息安全问题作一简单讨论。

1 网络环境下信息安全研究意义

众所周知，internet是当今世界上最大的计算机网络通迅系统，它所提供的信息包括文字、数据、图像、声音等形式，它的应用范围已经涉及到政治、经济、科学、教育、法律、军事、物理、体育和医学等社会生活的各个领域。但是，随着微电子、光电子、计算机、通信和信息服务业的发展，尤其是以internet为支撑平台的信息产业的发展，使得网络安全的重要性日益凸现。信息随时都可能受到非授权的访问、篡改或破坏，也可能被阻截、替换而导致无法正确读取，给网络的正常运行带来巨大的威胁，甚至造成网络瘫痪。

根据美国“世界日报”1993年10月报道：由于高科技犯罪，利用侦读器拦截卫星通讯用户号码，再转手拷贝出售，1992年美国就有20亿美元的国际电话费转账混乱造成有关公司严重的损失。WWw.133229.CoM目前，仅仅银行的密码遭他人窃取，美国银行界每年损失就达数10亿美元之巨。在1996年初，美国旧金山的计算机安全协会与联邦调查局的一次联合调查统计显示，有53％的企业受到过计算机病毒的侵害，42％的企业的计算机系统在过去的12个月被非法使用过，而五角大楼的一个研究小组称美国一年中遭受的攻击就达25万次之多。

中国的网络安全虽然还比较落后，但黑客们却已经和国际“接轨”。据公安部的资料，1998年中国共破获电脑黑客案件近百起。利用计算机网络进行的各类违法行为在中国以每年30％的速度递增。黑客的攻击方法已超过计算机病毒的种类，总数达近千种。在中国，针对银行、证券等金融领域的黑客犯罪案件总涉案金额已高达数亿元，针对其他行业的黑客犯罪案件也时有发生。

计算机网络安全性研究始于20世纪60年代末期。但由于当时计算机的速度和性能较为落后，使用的范围也不广，因此有关计算机安全的研究一直局限在较小的范围。进入20世纪80年代后，计算机的性能得到了极大的提高，应用范围也在不断扩大，计算机已遍及世界各个角落。尤其是进入20世纪90年代，计算机网络出现了爆炸式的发展，这种发展把人们带到了一个全新的时空，在人们几乎全方位地依赖计算机网络的同时，网络环境下的信息安全问题再次出现在人们面前。

2　信息安全的初步认识

2.1　定义

信息安全是研究在特定的应用环境下，依据特定的安全策略，对信息及其系统实施防护、检测和恢复的科学。

2.2　研究内容

信息安全的研究涉及数学、计算机、通信、法律等诸多学科，大致可分为基础理论与应用研究、应用技术研究以及安全管理研究3个领域。其中，基础理论与应用研究主要包括密码体制理论、身份识别、访问控制与授权、安全协议等方面的研究。

2.3　安全目标

信息安全从防护、检测和恢复体系上看，主要有6个安全目标：机密性、完整性、可用性、真实性、不可抵赖性、可控性。它们的含义解释如下：

机密性(confidentiality)：指信息不被泄露或暴露给未授权的个人、组织或系统。或者说，只有经授权的用户才能获知信息的真实内容，而任何未授权者即使截获信息也无法读取信息的真实内容或使用信息。

完整性(integrity)：指信息是完整的、一致的。即信息在生成、存储、传输或使用过程中未受到非授权的篡改或破坏。

不可抵赖性(non-repudiation)：指合法用户事后无法否认曾发送或接收到信息，或广义地对其行为不可抵赖。

真实性(authenticity)：指在信息交互过程中想过关的用户或主体是真实而非假冒或伪装的。

可控性(controllability)：指主体对系统或数据的访问是按照一定规则控制的，避免出现非授权操作或使用。

可用性(availability)：分为数据的可用性和系统的可用性。数据的可用性是指授权用户可根据需要随时访问其权限所允许的信息，不会受到干扰或阻碍。系统的可用性是指承载信息的系统按照其预定的规则运行，不会转移到非畅通状态，系统可用性与数据可用性具有密切的联系。

3　信息安全技术

3.1　加密技术

3.1.1　加密技术概述

加密技术能为数据或通信信息流提供机密性。同时，对其他安全机制的实现起主导作用或辅助作用。

加密算法是对消息的一种编码规则，这种规则的编码与译码依赖于称为密钥的参数。用户使用编码规则在密钥控制下把明文消息变为密文，也可以使用译码规则在密钥控制下把密文还原成明文消息。没有正确的密钥无法实现加密解密操作，从而使非授权用户无法还原机密信息。

根据密钥的特点，目前，加密技术分为两种：对称密码体制和非对称密码体制。对称密码算法有：des(数据加密标准)及其各种变形、idea算法及aes、rc5等。比较著名的非对称密码算法有：rsa、背包密码、ditter-heuman、圆曲线算法等。

3.1.2　密码体制

(1)对称密码。在对称密钥体制中，使用的密钥必须完全保密，且加密密钥与解密密钥相同，或从加密密钥可推出解密密钥，反之亦可。常见加密标准为des等，当使用des时，用户和接受方采用64位密钥对报文加密和解密。des主要采用替换和移位的方法加密。它用56位密钥对64位二进制数据块进行加密，每次加密可对64位的输入数据进行16轮编码，经一系列替换和移位后，输入的64位原始数据转换成完全不同的64位输出数据。des算法仅使用最大为64位的标准算术和逻辑运算，运算速度快，密钥生产容易，适合于在当前大多数计算机上用软件方法实现，同时也适合于在专用芯片上实现。

(2)非对称密码。在非对称密码体制中，每个使用密码体制的主体(个人、团体或某系统)均有一对密钥：一个密钥可以公开，称为公钥；另一个密钥则必须保密，称为私钥，且不能从公钥推出私钥。在internet中使用更多的是非对称密码系统，即公钥系统。常用的公钥加密算法是lisa算法，加密强度很高。发送方在发送数据时，用自己的私钥加密一段与发送数据相关的数据作为数字签名，然后与发送数据一起用接收方密钥加密。当这些密文被接收方收到后，接收方用自己的私钥将密文解密得到发送的数据和发送方的数字签名，然后，用发送方公布的公钥对数字签名进行解密，如果成功，则确定是由发送方发出的。数字签名每次还与被传送的数据和时间等因素有关。由于加密强度高，而且并不要求通信双方事先要建立某种信任关系或共享某种秘密，因此十分适合intemet网上使用。

3.2　数字签名

数字签名也称电子签名，在信息安全中包括身份认证、数据完整性、不可否认性以及匿名性等方面有重要应用。数字签名包括两个过程：签名者以给定的数据单元进行签名，接收者验证该签名。

数字签名的主要工作方式为：报文发送方从报文文本中生成一个128 bit的散列值(或报文摘要)，并用自己的专用密钥对这个散列值进行加密，形成发送方的数字签名；然后，这个数字签名将作为报文的附件和报文一起发送给报文的接收方；报文接收方首先从接收到的原始报文中计算出128 bit位的散列值(或报文摘要)，接着再用发送方的公开密钥来对报文附加的数字签名进行解密。如果两个散列值相同，那么接收方就能确认该数字签名是发送方的，通过数字签名能够实现对原始报文的鉴别和不可抵赖性。

数字签名技术应用十分广泛。如电子印章、商务合同等应用中主要采用数字签名技术，还有虚拟专用网(vpn)协议族、电子邮件安全协议族、web安全协议、安全电子支付协议等密钥分发都采用了数字签名技术。

3.3　身份认证

身份认证又称为鉴别或确认，它通过验证被认证对象的一个或多个参数的真实性与有效性，来证实被认证对象是否符合或是否有效的一种过程，用来确保数据的真实性。

身份认证在当今社会如金融、医疗、保险、海关、电信、公安等领域起到了举足轻重的作用。随着信息技术的飞速发展，电子商务、电子银行、网络安全等应用领域亟需高效的自动身份认证技术。分析现有的各种身份认证技术，一般意义上可以分为两大类。

3.3.1　传统身份认证技术 传统的身份证技术可以分为3类： (1)所知：你知道什么，这是基于秘密消息的认证方式。即认证方根据被认证方提供的信息来认证身份，典型的信息如口令、密码、暗语等。

(2)所有：你有什么，即令牌认证方式。认证方根据被认证方提供的某一实物或凭证来认证身份，典型的如令牌、证件、证书等。

(3)特征：你是什么，即生物特征认证方式。认证方根据提取被认证方的某些特征来认证身份，典型的特征如指纹、虹膜、dna等。

总体来说，这3种认证方式都各有利弊，选择哪种认证方式要根据自己的情况而定。

3.3.2　双因素身份认证技术

人们对于网络安全和信息安全的研究和了解，已经有相当长的一段时间了，因此基于动态密码技术的双因素身份认证技术得到了迅速发展，在网络环境下的身份认证系统中，使用动态密码卡作为身份确认依据是理想的，每一个动态密码卡是独一无二的装置，能有效地代表使用者的身份，可以保证被认证对象与需要验证的身份依据之间严格的一一对应关系。通过技术分析，使用密码卡具有安全性高、保密性强、抗抵赖性、抗重放性、抗暴露性、方便性等优点。所以，现在使用这种双因素身份认证技术可以为我们的一些网络使用带来一定的保障。

3.4　访问控制

访问控制机制使用实体的标识、类别或能力，确定权限，并授予访问权。实体如果试图进行非授权访问。将被拒绝。

除了计算机网络硬设备之外，网络操作系统是确保计算机网络安全的最基本部件。它是计算机网络资源的管理者，必须具备安全的控制策略和保护机制，防止非法入侵者攻破设防而非法获取资源。网络操作系统安全保密的核心是访问控制，即确保主体对客体的访问只能是授权的，未经授权的访问是不允许的，其操作是无效的。

3.5　通信量填充——信息隐藏

通信量通填充就是指为了防止敌手对通信量的分析，需要在空闲的信道上发送一些无用的信息，以便蒙蔽对手。在专用通信线路上这种机制非常重要，但在公用信道貌岸然中则要依据环境而定。

信息隐藏则是把一则信息隐藏到看似与之无关的消息中，以便蒙蔽敌手，通常也要和密码结合才能保证不被敌手发现。

3.6　路由控制

路由控制是对于信息的流经路径的选择，为一些重要信息指定路径。例如通过特定的安全子网、中继站或连接设备，也可能是要绕开某些不安全的子网、中继或连接设备。这种路由的安排可以预先安排也可作为恢复的一种方式而由端系统动态指定。恰当的路由控制可以提升环境安全性，从而可以简化其他安全机制实施的复杂性。

3.7　公证

在两方或多方通信中，公证机制可以提供数据的完整性，发方、收方的身份识别和时间同步等服务。通信各方共同信赖的公证机构，称为可信第三方，它保存通信方的必要信息，并以一种可验证的方式提供上述服务。

3.8　安全标记

安全标记是为数据源所附加的指明其安全属性的标记。安全标记常常在通信中与数据一起传送，它可能是与被传送的数据相连的附加数据，也可能是隐含的信息。

第8篇：身份认证技术论文范文

[关键词] 生物特征识别 数字签名 电子商务 身份安全认证

一、引言

在电子商务应用日益广泛的今天，从某种角度看，身份认证技术可能比信息加密本身更加重要。它是网络安全和信息系统安全的第一道屏障，是在信息安全时代备受关注的一个研究领域。

目前的应用主要是以“用户ID+口令＋数字证书”来进行用户的身份认证。从根本上说这种身份认证不能解决访问者的物理身份和电子身份的一致性问题，即无法确认通过身份认证的访问者即获授权者。

启发于人的身体特征具有不可复制的特点，人们开始把目光转向了生物识别技术。人的指纹、虹膜、视网膜等都具有惟一性和稳定性的特征，为实现更安全、方便的用户身份认证提供了有利的物理条件。

用户最关注的问题是因特网的网络安全性和保密性。保障网络中数据传输的安全性通常需要借助信息安全功能来实现。在开放系统中对具有重要价值的信息或私密信息进行通信时，可使用数字签名等密码技术进行加密。

生物识别技术代表着用户身份认证技术的未来，有着广阔的应用前景。如果将生物特征识别技术和数字签名技术有机地结合在一起，可以提供一种更加安全、便捷的用户身份认证技术。

二、生物特征识别技术

生物特征识别技术是通过计算机与光学、声学传感器和生物统计学原理等高科技手段结合，利用人体固有的生理特性来进行个人身份的鉴定。其核心在于如何获取这些生物特征，并将之转换为数字信息，存储于计算机中，利用可靠的匹配算法来完成验证与识别个人身份的过程。

1.指纹识别――成熟的身份认证技术

在网络环境下的身份认证系统中，应用指纹作为身份确认依据是理想的。

第一，理论上，每个人的指纹是独一无二的。

第二，指纹样本便于获取，易于开发识别系统，实用性强。

第三，指纹识别中使用的模板而是由指纹图中提取的关键特征，使系统对模板库的存储量较小。也可以大大减少网络传输的负担，便于支持网络功能。

第四，指纹识别是生物特征识别中研究最早、技术最成熟、应用最广泛的技术，有着坚实的市场后盾。

指纹识别具有很高的实用性、可行性。随着固体传感器技术的发展。指纹传感器的价格正逐渐下降，在许多应用中基于指纹的生物认证系统的成本是可以承受的。

指纹识别原理和过程如下：首先，通过指纹读取设备读取到人体指纹图像，并对原始图像进行初步的处理，使之更清晰。然后，指纹辨识算法建立指纹的数字表示――特征数据。特征文件存储从指纹上找到被称为“细节点”(minutiae)的数据点，也就是那些指纹纹路的分叉点或末梢点。这些数据称为模板（至今仍然没有一种模板的标准，也没有一种标准的抽象算法，各厂商自行其是）。最后，通过计算机把两个指纹的模板进行比较，计算出它们的相似程度，得到两个指纹的匹配结果。

2.虹膜和视网膜――更准确、更可靠的身份认证技术

虹膜是一种在眼睛中瞳孔内的织物状各色环状物，每一个虹膜都包含一个独一无二的基于像冠、水晶体、细丝、斑点、结构、凹点、射线、皱纹和条纹等特征的结构。世界上两个指纹相同的几率为1/109，而两个虹膜图像相同的几率是1/1011，虹膜在人的一生中均保持稳定不变。因此，利用虹膜来识别身份能够成为独一无二的标识，其可靠性超过了指纹识别。

从直径11mm的虹膜上，Dr. Daugman的算法用3.4个字节的数据来代表每平方毫米的虹膜信息，一个虹膜约有266个量化特征点，而指纹识别技术只有40多个特征点。266个量化特征点的虹膜识别算法在众多虹膜识别技术资料中都有讲述，在算法和人类眼部特征允许的情况下，Dr. Daugman指出，通过他的算法可获得173个二进制自由度的独立特征点。这在生物识别技术中，所获得特征点的数量是相当大的。

关于虹膜的特征提取方面较有成效的主要有Daugman的利用多分辨率Gabor滤波器提取虹膜纹理的相位信息；Wildes的基于4种不同决策标准的拉普拉斯金字塔提取虹膜纹理特征；Boles和Boashash的基于小波变换过零检测虹膜识别算法以及中科院采用Gabor滤波和aubechies-4小波变换相结合的纹理分析方法。

虹膜技术上有一些地方有待完善；当前的虹膜识别系统只是用统计学原理进行小规模的试验，而没有进行过现实世界的惟一性认证的试验；目前图像获取设备相当昂贵。

视网膜是一些位于眼球后部十分细小的神经（一英寸的1/50），它是人眼感受光线并将信息通过视神经传给大脑的重要器官，用于生物识别的血管分布在神经视网膜周围，即视网膜四层细胞的最远处。

在20世纪30年代，通过研究就得出了人类眼球后部血管分布惟一性的理论，进一步的研究的表明，即使是孪生子，这种血管分布也是具有唯一性的，视网膜的结构形式在人的一生当中都相当稳定。所以，同虹膜识别技术一样，视网膜扫描可能是最可靠、最值得信赖的生物特征识别技术。视网膜扫描设备可以从使用者的视网膜上可以获得400个特征点，创建模板和完成确认。由此可见，视网膜扫描技术的录入设备的认假率低于0.0001%。但拒假率（FAR，指系统不正确地拒绝一个已经获得权限的用户）比较高，相信在进一步的研究中可以大大降低。

因为对视网膜难于采样，也无标准的视网膜样本库供系统软件开发使用，这就导致视网膜识别系统目前阶段难以开发，可行性较低。

与指纹识别技术的主要步骤以及原理相似，虹膜识别与视网膜识别一般包括图像采集、图像处理、特征提取、保存数据、特征值的比对和匹配等过程。

图 生物识别系统原理

综上所述，指纹识别是最容易实现的；而虹膜识别与视网膜识别受到某些限制，目前除了一些高端应用外很难普及应用，但其有着巨大的技术优势和潜在的商业价值，必将是下一代生物特征识别技术的发展方向。

三、基于生物特征识别和数字签名技术的电子商务身份认证系统解决方案

1.方案设计要求

要确保基于指纹特征的用户身份认证系统的整体安全性，必须对基于指纹特征的网络身份认证方案设计一个安全的身份认证协议。良好的身份认证协议应该满足以下几个要求：

(1)能够准确识别被认证对象的身份；

(2)能够明确重要事件的责任人，并实现签名，避免事后抵赖；

(3)能够保障数据在存储和传送时的安全。

2.基于生物特征和数字签名技术的电子商务身份安全认证系统结构

基于秘密信息的身份认证协议：保证通信认证可以防止第三方的重放攻击，但由于客户端密钥存储和管理存在问题。基于生物特征的身份认证：能解决口令窥视和密钥管理难等问题，但很难阻止第三方的重放攻击。因而，笔者提出了综合前述的生物特征识别技术和数字签名后得到的电子商务身份认证系统的解决方案。

在网络环境下(B/S结构），用户（客户端）如果要访问远程服务器所管理的信息资源，在获得相关资源访问权限之前，必须通过生物特征身份认证，所有的信息资源访问权限都在身份认证系统（服务器端）管理之下，未通过身份认证的用户不能访问信息资源。当模板内置于服务器时，通过客户端的生物特征获取仪器获得用户的生物特征信息，该信息被加上数字签名后传送到服务器，在服务器首先校验签名是否有效，再与预先注册的模板进行比较，并完成身份认证。

3.身份认证步骤与协议

在生物认证系统中，为了保证生物特征值这不被非法用户所获得，采用数字签名技术。我们在此对协议中采用的符号做如下定义：A为用户，AS为认证服务器，KUAS为认证服务器公钥，TAS为认证服务器的时限，NA为A的现时数据，FA为A的生物特征值，IDA为A的标识。还需说明的是这里采用的是单向认证协议。基本协议如下：

(1)A用自己标识的签名向认证服务器AS请求认证。使用签名技术能有效地阻止一个虚假认证服务器对用户A的欺骗性连接。因为只有合法的认证服务器才保存有用户的公钥，从而能验证这个签名来获得IDA来为下面的认证过程来使用。

(2)认证服务器产生时限TAS，现时数据NA，并将自己的公钥KUAS、NA和时限TAS用用户A的公钥KUA加密后返回给客户端的A用户。

(3)客户端A接受到认证服务器公钥、时限和现时数据NA，同时在客户端的生物特征传感器读取用户的生物特征图像，并获得特征FA，把元组{TAS，NA，FA}用认证服务器的公钥KUAS加密后发送给认证服务器。

(4)认证服务器AS通过生物特征信息数据库进行比对，若匹配则A的身份通过认证。

这个方案与现时使用的认证体制基本类似，所以电子商务交易系统不必作重大改变。但因为引入了生物特征识别，安全性可以获得有效的加强。

四、结束语

在信息化日趋成为主流的今天，电子商务的业务已随着互联网的普及而飞速发展，与此同时，电子商务的安全性也成为业界的一个热点研究方向。本方案设计将基于生物特征的身份认证技术和数字签名相结合应用于电子商务，加强系统安全性，具有一定的研究和实用意义。

参考文献：

[1]DAUGMAN J G. High confidence visual recognition of persons by a test of statistical independence[J]. Tran Pattern Analysis and Machine Intelligence. 1915(11): 1148-116

[2]MA Li, TAN Tieniu, WANG Yunhong. Efficient iris recognition by characterizing key local variations[J]. IEEE Transactions on Image Processing, 2004,13(6)739-750

[3]BOLES W W, BOASHASH B. A human identification technique using images of the iris and wavelet transform[J]. IEEE Transon Signal Processing. 1998,46(4): 1185-1188

[4]WILDS R P. Iris recognition: an emerging biometric technology[A]. Proceedings of the IEEE[C].Sanjuan Puertorico, 1997

[5]孟浩徐翠平：虹膜识别算法的研究[J].哈尔滨工程大学学报，2006,27(3): 400-403

[6]祝连庆穆婕马龙:虹膜识别技术的研究[J]. 仪器仪表学报，2006,26(6): 753-755

[7]叶炜李恒华田捷:生物识别技术在网上银行认证安全体系的应用[J].计算机工程，2003, 29(11): 192-194

第9篇：身份认证技术论文范文

关键词：网络安全；身份认证；口令

中图分类号：TP393.08

网络技术的普及和发展、信息的共享和应用给人们的工作和生活带来深远的影响。在带来巨大便利的同时，网络安全问题也日益突出而且越来越复杂。据《半月谈》社情民意调查中心2012年5月通过半月谈网进行的一项3046人参与的在线调查发现，有七成网民曾遭遇过个人信息泄露。其中，有30%的网民表示曾多次遭遇此类情况。网络的安全和可靠性逐渐成为人们共同关注的焦点，计算机网络必须采取更加安全的措施，才能够把计算机网络安全做到实处。身份认证是指计算机及网络系统确认操作者身份是否合法的过程，计算机身份认证技术是保护网络信息安全的第一道防线，是最基本的安全服务。本文从介绍身份认证在计算机网络安全保护中的重要地位出发，探讨计算机网络安全身份确认技术的常用方法和发展趋势。

1 身份认证在计算机网络安全保护中的重要地位

身份认证技术在信息安全中占有非常重要的地位，是网络安全中最直接、最前沿的一道防线，是鉴别合法用户与非法用户，允许并监督经过授权的操作同时防止非法操作，防止黑客入侵和计算机病毒破坏的重要手段。用户在登陆网络安全系统之前，首先必须向身份认证系统表明自己的身份，经过身份认证系统识别确认身份后，根据用户身份、权限级别决定能否访问某个资源或者进行某项操作。同时检测系统，包括审计和报警系统等，记录用户的请求和行为，并检查检测安全系统是否存在入侵行为。可见，身份认证是最基本的安全服务，其它安全服务都要依赖于其所提供的登陆用户的信息。而正是由于身份确认系统的特殊作用和

重要地位，黑客攻击的首要目标也是身份确认系统，一旦身份确认系统被黑客或者病毒攻破，[2]其它安全措施将形同虚设。也正是由于身份确认的重要性，其技术的发展越来越受到人们的重视，近年来也得到快速发展。根据层次和先后出现的顺序，包括一般常用的静态口令、一次性口令、数字证书和生物特征技术等等。

2 身份确认的常用方法

身份认证的基本方式就是由被认证方提供登陆用户独有的具有保密性难以伪造的信息来表明自己的合法身份和权限。身份确认常用的方法有，数字证书、智能卡、静态口令、动态口令、生物特征等，本文主要从生物特征和非生物特征两个角度进行归类分析：

2.1 生物身份认证技术

生物特征是指人体本身固有的生物物理特征和行为特征，常见的生物特征主要有指纹、掌纹、虹膜、视网膜、语音、步态、签名等。生物特征认证是指根据每个人独一无二的生物特征来验证识别用户身份的技术。从理论上来讲，基于生物唯一生物特征的认证方式具有唯一性、可靠性、稳定性的特点，是最可靠的身份认证方式，几乎不可能被仿冒。生物特征认证的运行模式一般是，系统通过抓图和特征抽取，采用计算机强大的计算功能和图像处理功能，将捕捉到的生物特征样品的唯一特征转化成数字的符号，存入用户个人的特征模版，[3]在用户重新登录网络安全系统时，通过比较和匹配确定用户的身份是否合法以及权限。

生物身份认证技术虽然具有唯一性、可靠性和稳定性的特点，但是由于生物认证技术相对复杂，需要昂贵、特殊的硬件设施等条件，特别是视网膜等先进的认证技术现在使用还不普遍，只能用在比较少的需要高度级别安全的环境中。这种适用范围的有限性也就决定了其人机和谐的有限性，复杂的操作还不成熟。同时，生物特征也是绝对静止和相对运动的结合体，同一的生物特征在不同条件下可能随着条件的变化而变化，比如签字和语音等，没有两个签字是完全相同的，语音也容易受到当时身体条件的影响。生物身份认证技术的普及推广和人机友好方面仍需要进一步的完善。

2.2 非生物认证技术

2.2.1 基于口令的认证方式

传统的身份认证技术主要采用的就是口令的认证方法。这种认证方法简单、可操作性强，首先要求请求认证者必须要有一个用户账号ID，而且该账号在认证者的用户数据库里是唯一的。系统保存的用户的二元信息组（ID，PW），进入系统时，由请求认证者输入ID和PW，系统根据保存的用户账号信息和个人信息，来缺人用户身份是否合法。这种认证技术的优点在于系统适用性强、简单可操作性强，口令认证方法最关键的是保证口令使用和储存时的安全性。但是由于很多用户习惯选择姓名、生日、电话号码、门牌号等容易被猜测破解的口令，使得这种技术存在很大的不稳定性，很容易受到黑客或者恶意用户、计算机病毒的攻击。

基于口令的认证方式主要有两种：一种是静态口令，是指经过用户设定、系统保存后，在某一特定的时间段内没有变化、可以反复使用的口令。这种口令是静态的、不变的，容易记忆但也容易泄密，一般用于不太重要的场合或者保密性质不高的环境中。另一种是动态口令，是指用户每次进入网络安全系统，认证时输入的口令都是变化的，不会重复，一次一变，即使这次输入的口令被他人知晓，下次输入时此口令即无法再次使用。动态口令是用户身份数字化的一种凭证，是安全系统识别用户身份是否合法以及权限的依据。

2.2.2 基于物理证件的认证方式

顾名思义，基于物理证件的认证方式是一种利用用户拥有的某种东西进行认证的方式，现阶段，主要的物理认证方式有智能卡、数字证书（电子文档）等。持证认证方式作为一种实物的认证方式，其作用类似于钥匙，用于启动电子设备。智能卡是一个带有集成电路芯片的具有标准规格的卡片，携带有微处理器和存储器。智能卡的认证技术是指利用卡片存储的用户的信息特征进行身份识别。数字证书是基于PKI（public key infrastructure）技术的权威性的电子文档，提供作用类似于身份证的在网络上验证身份的方式。

持证认证方式基于物理证件的安全属性，不易伪造和不能直接读取数据的特点，即使物理证件丢失，没有用户口令也不能访问用户系统。当然，物理证件仅仅是为身份认证提供了一个硬件基础，安全性方面仍然存在不足，要想得到安全的认证，应该运用硬件保护措施和加密算法，并且与安全协议配套使用。

3 身份认证的发展趋势

随着网络安全技术的发展，网络身份认证技术也朝着更高安全性、更高速度、更高稳定性、更高易用性和实用性以及认证终端小型化等方向进一步发展。通过上述介绍可以知道，各种身份认证技术都有不足之处，在实际的应用中，应该从用户实际需求和认证方式的安全性能两个方面来综合考虑，能满足用户需求的才是最好的，而这不一定和安全性能成正比。未来身份认证技术应该从解决怎么样减少身份认证机制的计算量和通信量，节省计算和设备成本同事又能高效率的提供较高的安全性能出发，综合运用生物认证技术，提高硬件水平和改进识别方法已提高正确率，运用多因素认证方法，改变单一因素认证的弊端，运用属性认证技术，把属性证书的授权方案和认证技术相结合，解决分布式网络环境中身份认证与权限分配问题。

4 结束语

计算机网络安全问题现实存在并将在今后较长的一段时间内存在，如何堵塞网络安全漏洞，保护用户信息安全是一个不断深化、不断取得新成绩的课题。相信随着计算机技术的快速发展和计算机身份认证技术的不断成熟，未来会出现更多、更安全、效能更高的身份认证技术，计算机安全和用户信息的安全会得到更加周密的保障。

参考文献：

[1]刘建良.浅谈网络安全与身份认证技术的研究分析[J].数字技术与应用，2012（11）：45-47.

[2]张庆青.网络安全与身份认证技术探究[J].信息与电脑，2011（05）：28-29.