第三章 身份认证技术

第三章身份认证机制
学习目标：（方正大标宋简体四号）通过学习，要求了解在网络安全中的用户身份认证机制的几种常见形式：口令机制、数字证书的身份认证以及基于IC卡和生物特征的身份认证的原理和应用。

引例：（方正大标宋简体四号）
用户身份认证是对计算机系统中的用户进行验证的过程，让验证者相信正在与之通信的另一方就是他所声称的那个实体。

用户必须提供他能够进入系统的证明。

身份认证往往是许多应用系统中安全保护的第一道防线，它的失败可能导致整个系统的崩溃，因此，身份认证是建立网络信任体系的基础。

3.1 口令机制（方正大标宋简体四号）
3.1.1什么是口令机制（黑体五号）
网络营销在计算机系统中口令机制是一种最常用、最简单的身份认证方法，一般由用户账号和口令（有的也称为密码）联合组成，如图3-1所示，口令用来验证对应用户账号的某人身份是否真的是计算机系统所允许的合法用户。

图3-1 QQ登陆时采用的口令认证机制
例如，当系统要求输入用户账号和密码时，用户就可以根据要求在适当的位置进行输入，输入完毕确认后，系统就会将用户输入的账号名和密码与系统的口令文件里的用户名和口令进行比较，如果相符，就通过了认证。

否则拒绝登录或再次提供机会让用户进行认证。

基于口令的认证方式是最常用和最简单的一种技术，它的安全性仅依赖于口令，口令一旦泄露，用户就有可能被冒充，计算机系统的安全性也将不复存在。

在选用密码时，很多人习惯将特殊的日期、时间、或数字作为密码使用。

例如将节假日、自己或家人的出生日期、家庭电话或手机号码身份证等数字作为密码，认为选择这些数字便于记忆。

但是这些密码的安全性其实是很差的。

为什么这些口令不安全呢，我们还是先看看目前有哪些口令攻击的形式。

3.1.2什么是弱口令（黑体五号）
网络营销目前绝大多数计算机资源还是通过固定口令的方式来保护。

而这种以固定口令为基础的认证方式存在很多问题，变得越来越脆弱。

现在对口令的攻击主要包括以下几种：
1．字典攻击主要攻击者将有可能作为密码的放入字典中，例如，一般用户最喜欢的使用的数字、有意义的单词等，然后使用字典中的单词来尝试用户的密码。

图3-2是口令字典的截图，它们只是口令字典中的很少一部分。

图3-2 口令字典中用户喜欢的使用的数字
图3-2 口令字典中用户喜欢的使用的字母组合
2．穷举攻击也称蛮力攻击，这是一种广义的字典攻击，它使用字符串的全集作为字典，通过穷举的方式来尝试用户可能使用的密码。

因此，如果用户的密码很短，就很容易被穷举出来。

3．网络数据流窃听攻击者通过窃听网络数据，获取用户帐号和口令，如采用Sniffer软件的嗅探功能截获明文传送的用户帐号和口令。

3.1.3 改进方案（黑体五号）
1．选择安全口令为了增加破译密码的强度，更有效地保护自己的密码，在使用密码时应该使注意以下几点：
（1）要随机选择密码数字，切不可使用便于有规律的便于记忆的数字、单词等，这些密码用字典攻击是十分容易的。

（2）在选择密码时，最好能同时使用字母（包括字母的大小写）、数字、特殊符号。

如A9d&31，使用这样的密码是相对比较安全的。

（3）在计算机允许的情况下，使用密码位数要尽可能长，至少要多于6位。

（4）应该定期更换密码，很多人长时间地使用一个密码，这是很不好的习惯。

对于一般计算机用户来说，至少每隔三个月更换一次密码。

(5) 将使用的密码记录在其他比较安全的地方，但不要放在计算机中。

这样
便于忘记密码后重新找回密码。

2．动态口令
固定密码有监听的可能和破译的可能，并且用户记忆密码的也是一个不小的负担，动态口令（有的也叫一次性口令）的方法是每次登录使用不同的口令，每个口令只能使用一次。

动态口令认证技术比前面的静态口令相对要安全一些。

动态口令有很多方法可以得到，这里我们介绍的是很多银行目前使用的动态口令卡，口令卡大小类似于银行卡，背面以矩阵形式应有80数字串，需要使用的时候，网上银行系统会随机地给出一组口令卡坐标，客户从卡片上找到坐标对应的密码组合并输入网上银行系统，只有当密码输入正确时，才能完成相关交易，这种密码组合的动态变化，每次交易密码仅使用一次，能有效地避免交易密码被窃取。

图3-3为动态口令卡的反面图样：
图3-3 动态口令卡的反面
如系统提示输入口令坐标S5N1，则用户应该在图3-4界面中输入的动态口令为027468。

图3-4 用户根据动态口令卡输入动态密码
3.1.3 采用LC5测试口令强度（该部分由王峰补充）
简要介绍什么是LC5，有什么功能，给出几个个安全级别不同的口令，测试其安全强度，从而提高读者设置安全口令的意识。

首先简要的介绍一下，什么是LC5?
LC5是一款网络管理员的必备的工具。

可以用来检测Windows或UNIX系统用户是否使用了不安全的密码，同样也是最好、最快的Win NT/2000/XP/UNIX 管理员帐号密码破解工具。

在Windows操作系统当中，用户帐户的安全管理使用了安全帐号管理器（Security Account Manager,SAM）的机制，用户和口令经过Hash变换后以Hash列表形式存放在\SystemRoot\system32下的SAM文件中。

LC5主要是通过破解SAM文件来获取系统的帐户名和密码。

LC5可以从本地系统、其他文件系统、系统备份中获取SAM文件，从而破解出用户口令。

下面，列出了Windows XP系统下的几个安全级别不同的口令及测试的过程：（测试用户名为test）
1.空密码
接下来，对列出的口令一一运用LC5口令强度检测工具测试口令的安全强度。

测试步骤：
（1）建立测试账户。

在测试主机上建立用户名“test”的账户，方法是依次打开“控制面板”“管理工具”“计算机管理”。

在“本地用户和组”下面右击“用户”，选择“新用户”，如下图所示，输入用户名为“test”，密码为空。

（2）在LC5主界面的主菜单中，单击“文件”“LC5向导”如图所示：
（3）这时出现LC5向导界面。

（4）单击“下一步”，出现取得加密口令界面。

（5）这时有4个选项，选择“从本地机器导入”，再单击“下一步”，出现如下图所示的界面。

（6）这个界面有4个选项，由于设置的密码比较简单，所以选择“快速口令破解”，单击“下一步”，出现如图所示的界面。

（7）这个界面是让用户选择报告的风格的，直接单击“下一步”，出现如下图所示的界面。

单击“完成”，系统就开始破解了。

（8）系统会很快出现密码为空的破解成功界面。

接下来，把系统的口令分别改为a123,123456，重复上述步骤。

分别得出如下图所示的实验结果。

由上述测试的结果可知，系统口令的复杂程度越高，则安全强度越高，非法用户破解口令所需要的时间就越长，系统也就越安全。

因此，这里通过实验结果要特别提醒用户注意的的是，用户在设置口令时，应该尽量选择英文大小写字母，特殊符号，数字等相混合的方式，这样不仅可以提高口令的复杂程度，而且可以增强系统的安全性，从而使用户在使用系统时更加安全。

3.2 任务二采用数字证书进行身份认证（方正大标宋简体四号）
3.2.1网络什么是数字证书
在现实生活中，还有一种可以证明身份的东西，那就是身份证。

身份证是很重要的证件，在很多场合需要出示身份的时候都必不可少。

那么网络中是否有这
样的类似身份证的东西呢？
有的，就是数字证书。

数字证书类似于现实生活中的身份证。

那么这个数字身份证是什么形式的呢？数字证书有多种格式，但一般比较常用的是采用X.509国际标准，一个标准的X.509数字证书包含以下一些内容，如图3-5所示。

1）证书的版本信息。

2）证书的序列号，每个用户都有一个惟一的证书序列号。

3）证书所使用的数字签名算法。

4）证书的发行机构名称。

5）证书的有效期。

6）证书所有人的名称。

7）证书所有人的公开密钥。

8）证书发行者即CA机构对证书的数字签名（CA机构的数字签名使得第三者不能伪造和篡改证书）。

图3-5 X.509证书的结构
具体方法：点击“开始”-“运行”-启动MMC控制台。

选择“文件”菜单-“添加/删除管理单元”-在“添加/删除管理单元”对话框中选择“添加”，在可用的独立管理单元中选择“证书”后，选择添加。

将证书管理单元选择为“我的帐户”，点击“确定”。

可以看到管理台根结点中已有的数字证书，图3-6
图3-6 Windows中的数字证书
双击一份数字证书，可以看到证书中说明的一些信息，图3-7是一份数字证书的形式。

图3-7是该证书的一些常规信息，这是一份自颁发的根证书。

图3-7 一份数字证书
点击【详细信息】选项，可以看到如下的信息，该证书的公钥为2048bit。

该证书的签名算法使用的是MD5和RSA。

3.2.2数字证书的颁发机构-CA
现实生活中身份证是有公安机关的专门机构来颁发，那网络中的身份证是由谁颁发呢？这样的机构叫证书授权中心（Certificate Authority），也叫 CA机构，CA认证中心就是一个可信任的、负责发布和管理数字证书的权威机构。

，它负责产生、分配并管理所有参与网上信息交换各方所需的数字证书，因此CA的重要性是不言而喻的。

CA中心为每个使用公开密钥的用户发放一个数字证书，CA机构的数字签名使得攻击者不能伪造和篡改证书。

对于一个大型的应用环境，认证中心往往采用一种多层次的分组结构，各级的认证中心类似于各级行政机关，上级认证中心负责签发和管理下级认证中心的证书，最下一级的认证中心直接面向最终用户。

处在最高层的是根CA（Root CA），它是公认的权威，如金融系统中的人民银行总行的CA。

目前每个省也都有各自的CA，图3-8是山东省CA的主页。

图3-8 山东省CA的主页
CA的功能具体如下：
（1）证书的颁发：CA接收、验证用户(包括下级认证中心和最终用户)的数字证书的申请，将申请的内容进行备案，并根据申请的内容确定是否受理该数字证书申请。

如果中心接受该数字证书申请，则进一步确定给用户颁发何种类型的证书。

新证书用认证中心的私钥签名以后，发送到目录服务器供用户下载和查询。

为了保证消息的完整性，返回给用户的所有应答信息都要使用认证中心的签名。

（2）证书的更新：认证中心可以定期更新所有用户的证书，或者根据用户的请求来更新用户的证书。

（3）证书的查询：证书的查询可以分为两类，其一是证书申请的查询，认证中心根据用户的查询请求返回当前用户证书申请的处理过程；其二是用户证书的查询，这类查询由目录服务器来完成，目录服务器根据用户的请求返回适当的证书。

（4）证书的作废：当用户的私钥由于泄密等原因造成用户证书需要申请作废时，用户需要向认证中心提出证书作废请求，认证中心根据用户的请求确定是否将该证书作废。

另外一种证书作废的情况是证书已经过了有效期，认证中心自动将该证书作废。

认证中心通过维护证书作废列表来完成上述功能。

图3-9 证书作废列表
（5）证书的归档：证书具有一定的有效期，证书过了有效期之后就将被作废，但是我们不能将作废的证书简单地丢弃，因为有时我们可能需要验证以前的某个交易过程中产生的数字签名，这时我们就需要查询作废的证书。

基于此类考虑，认证中心还应当具备管理作废证书和作废私钥的功能。

3.2.3 网上银行中的数字证书
3.3 任务二采其他身份认证技术（方正大标宋简体四号）
3.3.1采用IC卡进行身份认证（该部分由韩涛补充）
智能卡也叫smart card,是IC卡（Integrated Circuitcad)的一种，可提供存储、计算和安全性，智能卡提供了一个防损害、可靠的存储账号、口令、私钥和其他一些个人信息的场所，因此被用于身份认证。

这里存储意味着可存取数据，有只读的（ROM，ERROM），可读可写（EEPROM），可存取PIN ，密钥等；计算：自带CPU，可编程；安全：可确保智能卡上数据的安全
3.3.2采用指纹识别身份
生物特征识别技术（Biometrics）是根据人体本身所固有的生理特征、行为特征的唯一性，利用图像处理技术和模式识别等方法来达到身份鉴别或验证目的的一门科学。

人体的生理特征包括面像、指纹、掌纹、视网膜、虹膜和基因等。

人体的行为特征包括签名、语音和走路姿态等。

目前的生物特征识别主要有面像识别、指纹识别、掌纹识别、虹膜识别、视网膜、话音识别、签名识别等。

由于人体特征具有人体所固有的不可复制性的唯一性，因此，将人体生物特征作为生物密钥具有无法复制，不会失窃、不会遗忘的特点。

1．什么是指纹识别指纹是指人的手指末端正面皮肤上凸凹不平产生的纹线。

每个人的指纹都与众不同，是独一无二的。

指纹识别技术通过分析指纹的全局特征和局部特征从指纹中收取特征值，并以此来确定一个人的身份。

指纹的全局特征是用人眼直接就可以观察到的特征，如指纹的纹型就是常见的全局特征之一，如图3-10所示。

环型弓型螺旋型
图 3-10 指纹的基本纹型
仔细观察你会发现指纹纹路并不是连续或平滑笔直的，而是经常出现中断、分叉、打折。

这些断点、分叉点、和转折点就称为“节点”，如图3-11所示。

指纹的局部特征是指指纹上节点的特征点。

两个指纹经常会具有相同的全局特征，但他们的局部特征不可能完全相同。

图3-11 节点的分类
2．指纹传感器指纹传感器是实现指纹自动采集的关键器件，目前常用的指纹传感器有：光学式传感器、电容/电感式传感器、超声波扫描、射频RF传感器等。

其中，光学指纹采集器主要是利用光的折摄和反射原理，光从底部射向三棱镜，并经棱镜射出，射出的光线在手指表面指纹凹凸不平的线纹上折射的角度及反射回去的光线明暗就会不一样。

光电耦合器件CCD（Charge-Coupled Device）的光学器件就会收集到不同明暗程度的图片信息，就完成指纹的采集。

光学指纹采集器是最早的指纹采集器，是使用最为普遍的，由于指纹采集原理的限制，光学指纹采集器很难对干的手指采集到清晰的指纹图像，造成了这种产品对干手指识别率低（拒真率高）的问题。

手指越干，这个问题越突出。

在冬天寒冷的气候条件下，手指发干会导致很多人的手指无法被识别。

这个问题在北方地区尤其突出。

因为成本优势，基于光学原理的的指纹门禁考勤机在国内相当流行（门禁和考勤的差别只在管理软件上），甚至可以说占了大部分市场分额。

但是，由于存在人造指纹问题，它在金融系统，尤其是金库门这种场所的使用是不安全的。

生物射频指纹识别技术，射频传感器技术是通过传感器本身发射出微量射频信号，穿透手指的表皮层去控测里层的纹路，来获得最佳的指纹图像。

因此对干手指，汗手指，干手指等困难手指识别能力相对要强。

图3-12指纹传感器
3．指纹识别应用实例下面介绍一个高校网络指纹考勤系统，使大家对指纹识别的具体应用有一个了解。

目前，市面上指纹考勤系统常见的有两种。

一种是联机型产品，其工作时须有电脑支持，多个系统共享指纹识别设备，需要建立大型的数据库存储指纹信息，且指纹的比对需要由后台计算机支持，后台PC负担被大大加重。

无论考勤机、传路、计算机出现任何故障，都会导致整个考勤系统的瘫痪。

另一种是脱机型产品，单机就可完成考勤全部过程，使用方便，得以广泛应用。

该系统采用脱机型指纹考勤机，以遵循 TCP／IP 协议的以太网为传输媒介，包括上层管理系统和指纹考勤终端。

每个设备终端存有原始指纹图像，单机就可完成指纹采集，区分判定，存储上传记录，报警显示等功能。

在下课后，教师可将结果通过校园网络上传到上位机，管理人员可对考勤记录进行统计处理。

相比要将指纹图像上传到服务器进行比对的联机型产品来说，这种结构可以将服务器负担分散，使即使在考勤需求集中的即将上课和考试的时段也能顺利进行。

该考勤系统由上层管理系统和指纹考勤终端组成。

考勤终端采用考勤机成品，本案例中可存储3000枚指纹，具有指纹录入、比对、查询、记录、显示和
报警功能，并可采用串口485、TCP／IP和USB三种通信方式，可直接同电脑相连，也可连人局域网中。

上位机的考勤信息管理软件主要是安装在管理PC机上的管理系统，它负责完成对接收到的考勤数据进行处理，存储并对考勤数据进行分类管理，并可实现对考勤记录的查询、统计、报表生成、打印等功能，同时它也是一个综合的信息管理系统，对人员管理、特殊情况管理等情况进行处理。

考勤信息的获取通过接入局域网的考勤终端网络传输获得，系统总体结构如图3-13所示。

图3-13 指纹考勤系统的总体结构
（用VOSIO重绘）
【项目小结】(宋体五号)
【关键概念】
1．(宋体五号)
2．
3．
【课堂讨论】
1．你是如何设置口令的，选用口令应该注意什么?
2．平时生活和学习中遇到的身份认证机制，比较不同身份认证机制的特点。

复习思考题（宋体四号居中）
1. (宋体五号)
2.
3. 到http中国生物识别门户网:///中查阅生物特征识别技
术的最新动态。

实践与训练（宋体四号居中）
1.使用LC5，
2.查看操作系统的数字证书
案例分析（宋体四号居中）今麦郎。

(宋体五号)。