◆董生忠 趙新剛 劉多才

（沈陽師范大學 遼寧 110034）

網絡安全認證技術與協議研究

◆董生忠 趙新剛 劉多才

（沈陽師范大學 遼寧 110034）

網絡認證技術是在計算機網絡安全中有效解決身份安全和確認操作者身份安全而產生的方法，因為計算機網絡世界中的身份驗證信息都是用一組特定的數據來表示，所有對用戶的授權也是針對用戶數字身份來識別的。本文就如何保證網絡數字身份認證與操作者的物理身份相對應的安全要求，闡述認證安全技術的類別方式和所使用的安全加密形式。作為防護網絡安全的第一道關口，身份認證在網絡保護過程中有著舉足輕重的作用。

網絡安全；認證技術；協議

0 引言

網絡認證技術是防止分析人員對系統進行主動攻擊，如仿造、篡改信息等，它對于網絡開放環(huán)境中的各種信息系統安全起到重要作用。認證一般包括身份認證和消息認證，并通過數字簽名以保證文件的真實性。其主要目的一是信源識別，即驗證信息的發(fā)送者是真實可靠而不是冒充；二是完整性驗證，即保證信息在傳送過程中未被篡改、重放或者延遲等。

1 身份認證技術

身份認證是認證技術的一個重要組成部分，是指驗證一個最終用戶或設備的聲明身份的過程，即驗證建立信息收、發(fā)者的身份，主要目的是信源識別和完整性驗證。在網絡安全保障中能否正確地驗證通信或終端用戶的個人身份信息是最基本的必備條件，也是用來獲得對誰或對什么事情信任的一種最有效機制。而身份認證是驗證通信用戶或終端個人身份最重要的安全服務之一，它對于開放環(huán)境中的各種信息系統的安全性有重要作用。其他所有安全服務都信賴于認證服務，如機要部門或特殊場所的進入、ATM自動取款機等各種計算機資源系統的介入都需要對用戶的個人身份進行識別認可。

1.1 口令機制

帳戶名/口令認證是最廣泛研究的一種身份驗證方法，也是認證系統所信賴的一種最實用的機制，常用于操作系統登錄、telnet、rlogin等。一般情況下口令是由數字、字母組成的長為5-8的字符串，有時也包括特殊字符、控制字符等?？诹钕到y最嚴重的脆弱點是外部泄露和口令猜測，還有線路竊聽、暴力破解、重放等，人為的具體防范措施包括定期改變口令，建議嚴密的管理辦法和執(zhí)行手續(xù)，加強安全意識和進行系統培訓教育等。從系統安全角度可以采用限制終端非法認證的次數和限定在給定終端登錄，阻止計算機自動猜測程序可采用具體的實時延遲插入到口令驗證過程等方法來提供保障。

口令認證方案協議最常用的是S/Key協議，這是一種基于MD4和MD5的一次性口令生成方案。S/Key協議運行于C/S服務器環(huán)境中，客戶機發(fā)送初始化包啟動S/Key協議，服務器以明文形式發(fā)送一個啟動值給客戶機，然后客戶機利用散列函數對啟動值和秘密口令生成一個一次性口令，以確保生成口令的唯一性，然后傳送給服務器進行認證。

1.2 個人持證

個人持證（令牌）的身份安全認證，如智能卡、磁卡、鑰匙、標志、護照等。以當前應用最為廣泛的智能卡為代表進行闡述，智能卡就是將微處理器芯片內嵌在宿卡上取代替無源存儲磁條，卡上的處理器有4K字節(jié)的小容量EPROM，甚至有液晶顯示和對話功能?，F階段已經開發(fā)出了智能卡操作系統COS，其全稱是Chip Operating System（片內操作系統），身份認證的安全性是COS設計的關鍵環(huán)節(jié)，COS自創(chuàng)建了一種安全體系，其方法是把控制權以安全的方式移交給客戶自己處理，而開發(fā)者和發(fā)放者不留下任何后門，客戶將利用COS安全體系保護用戶自己的個人安全數據信息。

1.3 個人特征

個人特征如指紋、視網膜、聲音識別和筆跡識別等，這些是對一個人認證時可以提前預設的安全機制提供基礎支持和特征描述。其特點是個人特征會隨著時間變化而變化，而且驗證設備必須有一定的容限，容限過小不能正確認出合法用戶，容限過大則難以區(qū)分用戶。

2 消息認證技術

2.1 消息認證的概念

消息認證就是意定的接收者能夠檢驗收到的消息是否真實的方法，又稱為完整性校驗，為便于理解，其實也就是在OSI安全模型中被定義為封裝的技術。其內容包括：證實消息的信源和信宿；消息內容是否曾收到于偶然或者被有意地篡改；消息的序號和時間性是否正確。比如在計算機網絡安全認證中，經常由用戶A發(fā)送信息給用戶B，這里的用戶即可以是個人、團體組織也可以是處理機等。這種認證只在相互通信的用戶A和用戶B雙方進行，而不允許第三者參與上述認證過程。真正的認證過程是發(fā)送方對在發(fā)送消息的同時對消息產生一個消息摘要，而消息接收者按同樣的方法對接收到的消息內容產生一個消息摘要，并檢查驗證兩者間的信息摘要是否一致，以此保證消息在傳輸過程中的安全性。為防止攻擊者的主動攻擊并對消息內容進行修改，需要在消息摘要的產生過程使用密碼技術進行加密。

2.2 安全單向散列函數

在實際網絡安全消息認證中常常利用安全單向散列函數來產生消息摘要，又稱哈希函數、雜湊函數。其作用是對任意長度的輸入消息輸出一個固定長度的散列值，這個散列值稱為源輸入消息的消息摘要，也稱為完整性校驗值、消息認證碼（MAC）、消息完整性碼（MIC）、附件等。安全單向散列函數提供了消息或者文件的指紋，散列指紋具有唯一性，與人類的指紋相類似，從而對消息的完整性認證提供了保障。同時它必須具有以下屬性：（1）一致性，即相同的輸入總是產生相同的輸出；（2）隨機性，或者可以提供隨機的外觀，以防止被猜測出源消息；（3）唯一性，即幾乎不存在找到兩個消息會產生相同的消息摘要；（4）單向性，即如果給出輸出，則不可能確定出輸入消息；（5）易于實現高速計算，以便于考慮硬件實現成本或者便于軟件實現。

2.3 常用的摘要算法

常用的摘要算法有：消息摘要4算法（MD4）、消息摘要5算法（MD5）、安全散列算法（SHA）。MD5和SHA都是當今安全產品實現中最常用的散列函數，它們全是建立在MD4的基礎之上，MD5按512K比特塊來處理其輸入，同時產生一個128位的消息摘要，由于摘要算法是一個不可逆的過程，因此在認證過程中由摘要信息不可能計算出共享的密鑰。SHA也是按512比特塊處理其輸入，但它產生一個160位的消息摘要，因此SHA更加消耗處理器時間，同等條件下比MD5運動稍慢，現階段最常見的是在其基礎之上發(fā)展出來的SHA-1修訂版算法。

3 數字簽名

3.1 數字簽字的原理

數字簽名（又稱公鑰數字簽名、電子簽章）是一種用數字技術模擬寫在紙上的普通物理簽名技術，通過使用公鑰加密領域的技術達到目的，而用于鑒別數字信息的方法，則通過簽名和驗證兩種互補的運算實現。數字簽名是用于確認發(fā)送方身份和消息完整性的一個加密的消息摘要，通過信息的發(fā)送者才能產生別人無法偽造的一段數字串，這段數字串同時也是對信息的發(fā)送者發(fā)送信息真實性的一個有效證明，類似于我們日常工作中的簽名，只是用0和1的字符串代替而已。最常用的一些公鑰數字簽名算法有RSA算法和數字簽名標準算法DSS。DSS由美國國家技術標準研究所提出，它建立在Elgamal公鑰算法的基礎之上的開發(fā)出來的加密技術，它與RSA相比，DSS在生成密鑰時速度更快一些，在生成簽名時的性能差不多，但進行簽名驗證時要慢得多。

3.2 數字簽名的原理

數字簽名的原理是利用公鑰密碼體制（身份認證機構）申請注冊取得一個數字證書，當數字簽名時，用自己本人知道的私鑰對消息摘要進行加密，附加在消息后面。而接受者向身份認證機構求證是否真的是用你的密鑰簽發(fā)的文件，以確認發(fā)送消息者的安全可靠性。當然公鑰加密系統允許任何人在發(fā)送信息時使用公鑰進行加密，但接收者不可能百分之百確信發(fā)送者的真實身份，而只能在密碼系統未被破譯的情況下才有理由確信，此重要性在財務數據上的鑒權表現得尤為突出，并且數字簽名具有保障數據的完整性和不可抵賴性等特點。

4 結束語

隨著網絡技術的發(fā)展和安全重要性的需求，如何辨識網絡另一端的身份成為一個十分迫切的問題。本文主要討論網絡安全認證技術中的身份認證安全機理、應用技術與協議，使人們能夠重視網絡安全，并且對身份識別、認證要求和協議使用有一個清晰的認知。身份認證技術是網絡安全技術的基礎，只能充分了解它的重要性，才能通過與其它技術相結合，開發(fā)更安全、更適合于各種場合的安全認證解決方案。

1．遼寧省科技廳公益研究人才培養(yǎng)項目《有機蔬菜種植體系中的智能控制系統設計》（2015002005）階段成果。

2．沈陽師范大學大學生創(chuàng)新創(chuàng)業(yè)訓練項目階段性成果。