数字证书与令牌身份认证的比较研究
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
课程论文
()
数字证书与令牌身份认证的比较研究
院系:软件学院
专业:软件工程
姓名:
完成日期:2012年12月18日
目录
一、引言 (2)
二、简介及认证原理 (3)
(一)数据证书认证方式简介 (3)
(二)令牌认证方式简介 (3)
三、比较分析 (4)
(一)适用范围方面 (4)
(二)可靠性方面 (5)
(三)易用性方面 (5)
(四)标准化程度 (5)
(五)管理和维护难度 (6)
四、总结 (6)
参考文献 (6)
一、引言
随着计算机技术、网络技术以及信息技术的发展,各种应用系统也随之快速发展,从小到个人计算机系统,大到银行、证券、保险、电力、石油、医疗、税务、公安等大型的应用系统。为了保护应用系统的所有者和用户的合法权益,这些应用系统一般都提供了身份认证功能,以确保只有合法的用户才能够访问应用系统,应用系统中的用户信息不会被泄露。
在应用系统的早期阶段中,普遍采用静态密码作为身份认证技术,由于当时技术环境和应用环境的简单化,使用静态密码作为身份认证技术已经完全能够保护应用系统的安全。但是随着技术环境和应用环境的改变,特别是熟悉相关技术的人越来越多,各种攻击技术、破解技术以及攻击工具和破解工具通过互联网广泛传播的情况下,静态密码的安全性和弱点就显露出来。此时非常需要有新的身份认证技术来提高系统的身份认证安全。
目前常见的身份认证有:数字证书认证、令牌认证、短信认证、生物特征认证,本文将重点研究比较数字证书认证和令牌认证,从原理、认证机制、优缺点等方面进行介绍。
二、简介及认证原理
(一)数据证书认证方式简介
PKI是Public Key Infrastructure的缩写,就是基于公钥理论和技术为网络提供安全服务的基础设施。公钥体制是目前应用最广泛的一种加密体制,在这一体制中,加密密钥与解密密钥各不相同。公钥加密、私钥解密可以实现对数据的加密保护,私钥签名、公钥验证可以实现对数据的数字签名。这种方式既保证了信息的机密性,又能保证信息具有不可抵赖性。目前,公钥体制广泛地用于CA认证、数字签名和密钥交换等领域。
CA(Certification Authority,认证中心)是确保信任度的权威实体,它的主要职责是颁发数字证书、验证用户身份的真实性。
其工作的基本原理见图(一),常见的表现形式有Ukey、文件等。
图(一)
(二)令牌认证方式简介
令牌认证通常采用动态口令技术。所谓动态口令技术是对传统的静态口令技术的改进,用户要拥有一些东西如系统颁发的Token,Token上的数字是不断变化的,而且与认证服务器是同步的,因此用户登录到系统的口令也是不断地变化的(即所谓的“一次一密”)。
动态口令技术有两种同步方案:时间同步、事件同步。
1.时间同步
是指Token采用时间作为动态口令的一个种子,服务器端通过采用时间作为一个种子验
证Token产生的口令。
2.事件同步
是指Token每次产生动态口令时以当前的计数作为一个种子,每次产生完成动态口令后,该计数会自动递增。服务器端同样采用次数作为验证时的种子。
目前常用的令牌认证有:手机令牌、短信令牌、硬件设备令牌等。以硬件令牌为例,其工作原理见图(二)。每个令牌中有一个随机生成的种子,这个种子的位数至少20位,可保证每个令牌的种子不重复,然后通过一般的摘要算法,例如SM3、OATH的HMAc算法做加密,取得加密后的部分数据变换成随机密码。令牌与外界没有任何的数据通讯,服务端也保存有令牌中相同的种子,同样采用与令牌中相同的加密算法,得出相同的加密数据,再取得相同的随机密码进行校验。令牌的随机密码必须和客户的账号等绑定,才能给出密码是否匹配。服务端做认证时,同一个密码只允许校验一次。加密算法中还与时间相关,一般为60秒,不同的时间产生的密码是不一样的。
图(二)
三、比较分析
(一)适用范围方面
1.数字证书
用户、系统之间认证,支持双方认证,用户、系统都能够验证对方的身份;用户、用户之间认证,基于可信的数字证书,用户可以认证相互之间的身份;系统、系统之间认证,网络应用系统之间可以采用数字证书进行系统之间的认证;支持数据保密,可以采用数字证书对传输数据进行加密保护;支持基于数字证书的交易签名,符合电子签名法要求,可作为有
效法律证据。
2.令牌认证
系统对用户进行认证;适用于主机、设备、网站等认证登录用户的身份。
(二)可靠性方面
1.数字证书
认证包括两个过程,证书发放和证书登录,证书发放过程通过CA系统完成,证书登录过程主要通过业务系统完成。在CA系统瘫痪时,业务系统仍然可以继续采用数字证书进行登录。此时最大的问题是无法为新的用户签发证书,不能及时吊销现有的证书。相对于业务系统不能登录而言,这些问题并不算太严重
2.令牌认证
令牌认证过程包括两个部分:客户端产生动态口令和后台验证该动态口令。后台对动态口令验证是通过独立的系统完成的,该系统服务暂停时,将导致整个业务系统不能登录。
(三)易用性方面
1.数字证书
首次使用存在一定难度,习惯后难度降低。主要包括设备驱动软件安装,接受新的登录方式等。在硬件证书丢失后,可以签发临时的软件证书应急使用。
2.令牌认证
简单易用,登录失败率低。令牌遗失后,需要获取新的令牌,没有灵活的临时方案。
(四)标准化程度
1.数字证书
技术成熟,国家标准、国际标准、行业标准完备,软硬件技术一致性很高,具有很高的兼容性,大部分软、硬件可以通用。
2.令牌认证
所采用的技术成熟,具有行业标准,对动态口令产生算法提供指导。各厂家的软、硬件技术差异较大,部分厂家技术保密,各厂家之间软硬件集成难度较大,应用中一般采用特定某一厂家的产品。