身份认证技术论文模板(10篇)

期刊在线咨询服务，发表咨询：400-888-9411 订阅咨询：400-888-1571股权代码(211862)

杂志分类

首页学术杂志科普订阅 SCI期刊发表指导期刊咨询文秘服务论著出书出版社

首页 > 精品范文 > 身份认证技术论文

身份认证技术论文模板(10篇)

时间：2023-03-16 17:33:52

身份认证技术论文

身份认证技术论文例1

中图分类号：TP393.08 文献标识码：A文章编号：1007-9599 (2011) 19-0000-01

Some Misconceptions on the Security of Authentication Technology

Xu Qiang

(College of Information Engineering,Zhengzhou University,Zhengzhou450001,China)

Abstract:Authentication technology is the basis of the information security system.All kinds of authentication technologies have its own advantages and disadvantages,This paper focuses on the security of authentication technologies that exist in some of the misconceptions.

Keywords:Authentication;Security

一、引言

身份认证技术是指系统确认使用者身份的过程所应用的技术手段，是信息安全的第一道关口，是所有安全的基础。身份认证主要分为三大类：（1）基于所知的认证，如文字列密码等；（2）基于所持物的认证，如IC卡、令牌等；（3）基于生物体征的认证，如指纹、静脉等。每种认证技术都有着各自的优点和缺点，现实中，在一些身份认证技术的安全性上还存在着一定的误解。

二、存在的误解

（一）一次性密码是文字列密码的安全改进技术

为了解决文字列密码的脆弱性问题（容易记的密码容易被攻击者猜测，不易被猜测到的密码往往又难以记忆），提出了很多管理和运用密码的建议。其中，一次性密码方案很好的解决了文字列密码的脆弱性问题。现在主流的一次性密码方案多采用动态密码的方法，用户手持用来生成动态密码的终端，基于时间与认证系统同步方式，间隔固定时间段后生成一次随机密码，密码在一定时间内有效，超时后废弃。

看似一次性密码是优于文字列密码的身份认证技术，其实不然，文字列密码是基于所知的认证技术，而现在主流的一次性密码是基于所持物的认证技术。虽然一次性密码难以被猜测，但是有着所持物认证技术固有的缺点：所持物遗失或者被盗所带来的问题。所以，一次性密码并非文字列密码的改进技术，而是不同类别的身份认证技术。

（二）PKI卡身份认证由于使用了PKI技术，所以比文字列密码安全

PKI是Public Key Infrastructure的缩写，就是利用公开密钥理论和技术建立的提供安全服务的基础设施。PKI卡就是支持公开钥体系的IC卡。

PKI卡身份认证方式比文字列密码的身份认证方式的安全性要高是可以肯定的，这是因为PKI卡身份认证方式属于两要素认证方式（基于所知加上基于所持物的认证），当然比仅基于所知的文字列密码认证方式的安全性要高。虽然PKI技术可以完成加密、数字签名、数据完整性机制、数字信封等功能，但是在身份认证上，PKI卡比文字列密码更安全却并非受益于PKI技术。

（三）不同的认证方式并行使用，可在不降低安全性的同时提高便利性

身份认证需要考虑安全性的同时还要考虑用户认证的可用性和便利性。但是不应该为了提高便利性而降低认证的安全性。

例如，指纹认证与文字列密码认证并用的情况下，比单纯的文字列密码认证要便利。指纹认证不需要记忆难记的密码，认证时，指纹认证也更方便。当指纹认证出现本人据否的情况下，还可以使用文字列密码进行身份认证。扩大了用户的选择，也改善了基于生物体征的认证技术的本人拒否问题，但是，由此带来的后果是安全强度的下降。

多种认证方式并用时，依据“短板理论”，对于不同种类的攻击，安全性由这几种方式中对该种类攻击防御最低的认证方式决定。因此，整体安全强度取这几种方式中的单项最低值，结果是比其中任何一种认证方式的整体安全强度都要低。

（四）图像认证方式在防御窥探攻击和猜测攻击方面不如文字列密码认证方式

在窥探攻击方面，由于图像认证方式使用色彩鲜明的较大的图像作为密码，给人的感觉是比文字列更容易被攻击者偷窥到。实际上，图像认证方式可以利用密码输入方式或模糊图像方式来很好的防御窥探攻击。

在猜测攻击方面，由于感觉图像认证方式中给出的作为密码的图像数比可作为文字列密码的文字数要少，所以认为图像认证方式在猜测攻击方面不如文字列密码认证方式。实际上，是由于文字列密码的脆弱性问题导致了文字列密码易被猜测出，与可用文字数无关。而图像认证方式虽然也有弱密码的问题，但是不存在类似文字列密码的脆弱性问题。另外，在不影响图像识别度的前提下，缩小图像的大小可以增加可用图像的数量，使猜测攻击更难成功。

三、结语

本文立足于各种认证技术的优缺点，着眼于身份认证技术的安全性，对一些容易存在误解的问题进行了探讨。

身份认证技术论文例2

中图分类号：TP393.08；TM76

在提出的“智慧能源”这种新形势下，智能电网在快速发展的同时，确保设备的有效接入控制从而实现整个系统的信息安全成为了一个关键点。

早在1997年，IEC就意识到安全问题的重要性，创建了组织并开始进行主题为“电力系统控制及其相关的通信问题数据和通信的安全性”的研究。该组织于2007年了IEC62351，并把它作为电力系统运行的数据和通信安全方面的标准，其中涵盖消息认证和访问控制相关的技术。随着知识的丰富和技术的发展，国内外涌现出一些把新型技术应用于智能电网从而在保证系统安全的同时有效提高设备利用率，降低网络带宽的想法和理论，身份认证和访问控制技术随之得到了的发展。

1 信息安全技术

1.1 身份认证技术

身份认证技术主要通过对于接入的用户进行身份认证来保证接入的可靠性和安全性，其主要分为两大类：基于实体的身份认证和基于密码学的身份认证[1]。

基于实体身份认证在局域网或单机上比较安全，主要有口令认证、动态口令认证、智能卡认证和生物特征认证等。

基于密码学的身份认证技术其研究成果主要有对称加密技术、公钥基础设施技术、基于身份的加密算法技术和基于分层的身份加密算法技术等。

1.2 访问控制技术

访问控制技术主要用来通过某种途径，允许或限制访问能力以及其范围。访问控制模型[2]已经有了一段发展历程。自主访问控制（DAC）模型、强制访问控制（MAC）模型以及基于角色的访问控制（RBAC）模型及为最早期的研究成果。

随着数据库、网络和分布式计算的发展，学者对于基于任务的访问控制（TBAC）模型、基于分布式和跨域的访问控制模型和基于时空的访问控制模型进行研究，它们均为发展中的访问控制模型。现如今，一些新型的访问控制模型进入人们的视线，其大致分为基于信任的访问控（TrustBAC）模型、基于属性的访问控制（AtBAC）模型和基于行为的访问控制（AcBAC）模型。

2 身份认证和访问控制技术在智能电网中的应用

国家电网把电力系统信息化应用大致分为三个大类[3]：安全控制区、信息管理区和公共服务区。

2.1 身份认证和访问控制技术在智能电网系统的应用领域

在安全区I中，通常使用身份认证与访问控制技术来保证对电网进行监视、分析和控制的安全。例如智能变电站与主站调度自动化系统、光伏发电机配网系统中前置机与主站配网自动化系统等通信，系统均要进行双向身份认证；当配网自动化系统中通信主站与子站以及子站与终端进行通信时，系统会进行身份认证和访问授权控制。

信息管理区的各子系统中分别设计安全接入平台[4]（系统和安全接入平台的接入与组成如图1所示）。其中，安全接入网关系统使用身份认证和访问控制保证终端接入的安全，身份认证服务器进行身份认证的仲裁且担负访问控制权限下发的责任。

2.2 一种新型的基于Chebyshev多项式身份认证方案设计

在智能电网中，根据加密方式的不同以及密钥管理控制的不同出现多种身份认证方案，本文基于文献[5]介绍的身份认证算法设计了一种基于Chebyshev多项式的身份认证技术，试将其应用到智能电网中。在其结合硬件，应用在智能电网的安全平台接入区时的具体流程如图2所示。

此种身份认证应用在智能电网之后：

（1）客户端和服务器端会话密钥的生成时基于Chebyshev多项式的半群特性，密钥在身份认证的过程中即可自动生成，解决了密钥分发为电力系统带来的超负荷，提高了系统的运行效率。

（2）因网络时延，原始系统得不到认证之后会不停的发送访问请求数据；新方案采用时钟同步的方法，不会产生上述现象，在一定程度上降低了网络带宽。

（3）原始方案中在已加密文字的情况下，会有进行穷举攻击等现象发生的可能性。新方案可以抵抗多类型攻击，提高了智能电网的信息安全性。

3 总结与展望

本文在已有的智能电网中身份认证和访问控制方案的前提下，提出了一种新型改进的设计方案，理论上改进后的方案能够有效的保证智能电网的信息安全。但该方案的提出并未得到广泛的应用实现，在实际的工作中，我们仍需从多方面来设计更为安全可靠的方案，实现智能电网的信息安全。

参考文献：

[1]Leslie Lamport. Password Authentication with Insecure munications of the ACM，1981，24（11）：770-772.

[2]任海鹏.访问控制模型研究现状及展望[J].计算机与数字工程，2013，41.

[3]梁潇，白云，李旻，柴继文.基于公网的智能电网业务系统信息安全研究[Z].2012年电力通信管理暨智能电网通信技术论坛，北京，2012.

[4]于翔.扬州智能电网信息平台的安全防护研究[D].北京：华北电力大学，2012.

身份认证技术论文例3

关键词：数字身份数字签名RSAPKICA

日常生活中人们到商场购物，付款方式一般有两种：采用现金结算或采用银行卡结算。2006年1月4日和1月5日某媒体连续刊登了两篇报道，题目分别为《刷卡签名商家有责辨真伪》、《银行卡被盗刷商家没过错》。这两篇报道代表两个完全对立的观点，但是阐述的内容都具有相当的说服力。这就提出两个问题，第一，当银行卡被盗刷的情况下，由此产生的损失到底应该由“卡”的所有者承担，还是应该由收款的商家承担？第二，能否避免这种损失的发生？笔者对两个问题的回答是：在现有的法制环境、技术手段下，无法准确的判断损失、无法准确的分清责任，也就无法准确的判罚；采用新的安全技术能够避免这种损失，一旦出现被盗刷的情况，可以依法判罚。

传统身份识别、签名识别存在的缺陷

在现有金融支付平台上使用银行卡时，支付过程如下：在银行提供的联网POS机上刷卡，由客户输入密码，密码验证通过后POS机打印银行转账单据，客户在转账单据上签名，客户出示有效身份证明（如身份证），收款员验证客户签名及身份证明，收款员打印销售发票，至此整个支付过程结束。其中收款员验证客户签名及身份证明是非常关键的一个环节，本文所提出的问题就是针对这个环节。

该媒体两篇报道中支持卡所有者的观点认为，使用手写签名是银行卡不被盗刷的基本保障。这样可以鉴别刷卡人是否为卡的所有者。在中国银联颁发的《收单规范》中要求收单商户必须仔细核对签名，以防银行卡被盗刷。因此从卡的所有者角度出发，收单商户有责任对刷卡人的真实身份进行确认，对签名的真伪进行鉴别。如果收单商户不对刷卡人的手写签名进行鉴别，将意味着银行卡所有者的安全大门完全失去了最基本的设防。这种情况是任何合法交易对象，无论是收单商户、还是合法卡的所有者所不愿意看到的，将导致拥有银行卡的用户不再敢使用刷卡的方式消费，也意味着商户将失去一部份客户。

而站在收单商户的立场认为，银行卡被盗刷商家没有过错。商家无权干涉持卡者的消费方式，涉及的银行与银联也没有义务对POS机操作员进行培训，重要的是法院则认为刷卡过程中是否应该对签名进行鉴别、核对，相关法律法规没有做出特别规定，也就是说没有法律依据。所以据此，如果客户的银行卡丢失后没有及时挂失造成的损失，收单商户没有责任。

刷卡是一种非常方便的支付方式，但是要得到人们的认可、在生活中得以推广，必须有一个安全的支付环境和支付工具，使得卡的所有者、收单商户、银行三方的利益都得到充分的保护。

笔者认为，在目前的技术条件下，要求POS机操作员仅仅依靠身份证来识别刷卡人的真实身份，同时要鉴别刷卡人签名时的笔迹是一项非常困难的工作。因为，一方面现在使用的身份证技术含量低，容易伪造；另一方面鉴别签名笔迹是一项技术性非常强的工作，一般人无法胜任，只有行业内的专家才能准确的鉴别，然而在实际工作中不可能为每一台POS机配备一名这样的技术专家。

那么是否能够找到一种在身份鉴别、签名鉴别上都非常方便、快捷、安全、实用的技术，这一问题就是本文论述的核心：RSA非对称加密解密技术应用模型。

RSA加密解密算法论述

RSA是一个非对称加密解密算法，由加密解密算法、公共参数、一对存在数学关系的公钥和私钥构成，其中算法、公共参数、公钥是可以公开的，私钥必须秘密保存。RSA的核心在于，加密时使用私钥，而解密时则使用公钥。

例如：用户甲拥有公共参数PN=14803，公钥PK=151，私钥SK=8871。现有明文PM=1234。

用户甲使用私钥SK对明文PM进行加密得到密文SM。

SM=PMSKMOD(PN)=12348871MDO(14803)=13960用户甲将自己的公共参数PN，公钥PK，以及密文SM发送给用户乙。用户乙进行解密计算得到明文PM。

PM=SMPKMOD(PN)=13960151MDO(14803)=1234

RSA用作数字签名

作为签名必须具备两个特性：防篡改，除签名者以外的其他人对签过名的内容做的任何改动都将被发现；抗抵赖，签名者无法抵赖自己签名的内容。

每一个RSA的用户都将拥有一对公钥和私钥。使用私钥对明文进行加密的过程可以被看作是签名的过程，形成的密文可以被看作是签名。当密文被改动以后就无法使用公钥恢复出明文，这一点体现出作为签名的防篡改特性；使用公钥对密文进行解密的过程可以被看作是验证签名的过程，使用公钥对密文进行解密恢复出明文，因为公钥来自于签名的一方（即用私钥加密生成密文的一方）。因此，签名一方无法否认自己的公钥，抵赖使用自己公钥解密后恢复出的明文，这一点体现出作为签名的抗抵赖特性。

RSA用作数字身份

身份是一个人的社会属性，用于证明拥有者存在的真实性，例如身份证、驾驶证、军官证、护照等。作为身份证明，它必须是一个不会被伪造的，如果被伪造则能够通过鉴别来发现。

将RSA技术应用于身份证明。当一个人获得一对密钥后，为了使利用私钥进行的签名具有法律效力，为了使自己公开的公钥、公共参数能够作为身份被鉴别，一般通过第三方认证来实现。用户要将自己的公钥、公共参数提交给认证中心，申请并注册公钥证书，如果使用过程中有人对用户的公钥证书产生质疑，需要验证持有者身份，可以向认证中心提出认证请求，以确认公钥证书持有者身份的真实性以及公钥证书的有效性。因此，可以把这个公钥证书看作持有者的一个数字身份证。

数字身份、数字签名在线鉴别模型

公钥证书在使用过程中可能会涉及到两个主体，拥有者与持有者。拥有者是公钥证书真正的所有者，而持有者则可能是一个公钥证书及私钥的盗用者。目前，认证机构的认证平台一般是建立在PKI公钥基础设施之上。当收到对某一个公钥证书的认证请求时，认证完成后出具的认证结果仅能够证明公钥证书本身的真实性、与之相关的数字签名的不可抵赖性，却无法证明持有者就是拥有者。RSA的使用则要求私钥必须秘密保存，一旦泄露只能及时挂失，如果在挂失之前被盗用，所产生的损失只能由拥有者自己承担，这种情况与银行卡被盗刷是相同的。尽管数字身份、数字签名、数字认证都是非常新的技术手段，但是就目前的认证方式、认证过程以及认证结果来看，依然没有解决公钥证书和私钥被盗用的问题。

本文针对公钥证书、私钥被盗用的问题设计出“数字身份、数字签名在线鉴别”模型。

传统的数字认证过程中，被认证的公钥证书与持有公钥证书的实体即证书的持有者之间没有任何关联，即使被认证的公钥证书是真实的、有效的，也不能证明持有者就是拥有者，这样就为盗用者提供了可乘之机。因此，必须对鉴别模型重新设计。

传统的RSA应用模型

用户甲可以自己生成非对称密钥对，也可以选择由认证中心生成；向认证机构提交公钥和公共参数申请并注册公钥证书；用户甲使用私钥对明文进行加密，形成具有签名效用的密文，通常要采用HASH函数进行压缩；用户甲将公钥证书以及经过数字签名的密文发送给用户乙；用户乙使用用户甲的公钥鉴别密文的数字签名；如果用户乙对用户甲的公钥证书产生质疑，可以提交用户甲的公钥证书给认证中心进行认证，认证中心对提交的公钥证书的真实性、有效性进行认证，并将认证结果返回用户乙。由于数字身份与数字签名的特殊性，提供认证服务的机构不应该是一个商业化的机构，而应该是具有政府职能的部门，例如：颁发身份证的公安局、颁发驾照的交管局、颁发护照的外交部等。在笔者设计的模型中，公安局替代传统的认证中心；针对被认证的公钥证书与持有者缺乏直接的关联，在认证结果的信息中，笔者设计增加所有者的详细信息资料，从而可以通过认证结果来鉴别持有者的真实身份。

改造后的RSA应用模型

由公安局为用户甲颁发一个公钥；用户甲自己选择公共参数，并生成私钥；用户甲将公钥、公共参数及个人的详细资料（居住地址、传统身份证号、联系电话、照片、指纹等）提交给公安局，申请并注册数字身份证（即公钥证书），数字身份证的鉴别编号由公钥和公共参数组合而成；用户甲使用私钥对明文进行加密，形成具有签名效用的密文；用户甲将签字密文、数字身份证发送给用户乙；用户乙使用用户甲的公钥鉴别密文的数字签名，并恢复密文为明文；如果用户乙对用户甲的公钥证书产生质疑，可以提交用户甲的公钥证书给认证中心进行认证，认证中心可以根据不同认证的级别返回不同的认证结果。

在新的模型中，认证将分为三级认证。一级认证，返回所有者的身份证号、住址、联系电话；二级认证，在一级认证基础之上附加返回所有者的照片；三级认证，在二级认证基础之上附加返回所有者的指纹。

具体选择哪一种级别认证，取决于应用的性质。如果是签署网络协议可以采用一级认证，如果是在线支付可以选择二级或三级认证。这样可以通过认证的结果（联系电话、照片、指纹）来鉴别持有者与所有者身份是否相符。

RSA在刷卡中的应用

身份认证技术论文例4

【中图分类号】G420 【文献标识码】A 【论文编号】1009―8097(2010)09―0119―04

一引言

现代远程教育系统是以计算机软硬件技术为基础,通过互联网向处于不同地域的用户提供教育服务的信息系统。远程用户在获得教育服务之前,通常需要通过系统的身份认证。目前来讲,最常用的身份认证技术是基于用户名/密码的静态认证技术。该身份认证技术起源于上个世纪70年代初[1],认证系统通过登记、注册等方式事先保存合法用户的用户名和密码;认证时,系统将用户输入的用户名和密码与对应合法用户的用户名和密码进行匹配,以此来验证用户身份的合法性。在这种认证技术中,用户名和密码均以明文的方式进行传输和存储,无法抵挡重放攻击[2]。一种解决办法是对密码加密后再传输和存储,只要加密算法够可靠,就可以有效地防止重放攻击。1992年,RIVEST R[3]提出了MD5(Message Digest 5)算法,该算法从理论上讲具有不可逆性、离散型和唯一性[4],因此基于用户名/密码的静态身份认证技术在应用了MD5算法后,其安全性可以得到较大的增强。然而王小云[5]等人在2004年8月召开的国际密码学会议(Crypto 2004)上做了破译MD5、HAVAL-128、 MD4和RIPEMD算法的报告,给出了一种高效的MD5碰撞[6]方法,可以在短时间内找到多个碰撞,这意味着如果攻击者窃取到密文并且展开碰撞攻击,则将有可能绕过认证,这又使得重放攻击变为可能。

针对这个问题,本文提出了一种基于MD5分组变序的动态身份认证技术,该技术通过随机数,对原MD5密文采用分组变序的方法生成伪MD5密文存储到数据库中,并且每次验证成功后,再次生成随机数重新分组变序,产生另一个伪MD5密文替换原伪MD5密文,以此实现了用户密码明文不变,但数据库中密文随认证次数不断变化的功能,进一步增强基于MD5的静态身份认证技术的安全性,从而更安全地保护远程教育系统中的教育资源以及用户的信息。

二基于MD5分组变序的动态身份认证技术

传统的基于MD5用户名/密码的静态身份认证技术是将用户的密码进行MD5加密,再发送到服务器端进行存储,这种方式的安全性主要取决于MD5算法本身。除了向用户骗取密码以外,要获取真正的密码,只有通过对密文碰撞来获得,然而从理论上来讲,如果要对一个MD5密文使用穷举法进行碰撞破解,用一台运算速度为10亿次/秒的超级计算机,需要年[6],即使使用效率较高的生日攻击法[5],同样的运算速度,仍需要58年的时间[6],而王小云等人提出的方法则可以在数小时之内找到一对碰撞[7],因此传统的基于MD5用户名/密码的静态身份认证技术已经不再安全。进一步分析,如果碰撞的对象并不是MD5值,那一切针对MD5的碰撞方法将不起作用。本文提出的基于MD5分组变序的动态身份认证技术的核心即在于动态地生成伪MD5密文,使针对MD5值的碰撞攻击无效,从而在原基于MD5的身份认证技术的基础上,进一步增强其安全性。

该身份认证技术的体系结构如图1所示。

从图中可以看出,所有关于用户密码的加密处理全部在客户端完成,在网络中仅传输用户名、密钥和加密后的伪MD5密文,而服务器端则为一个数据库,仅起到存储这些信息的功能,这么做既保证了网络传输的安全性,对用户的密码又做到了消息级的加密[8]。

客户端由密钥生成、MD5加密、密文数组生成、伪MD5密文生成、伪MD5密文分割、密文数组比较六个模块组成,这几个模块的不同组合构成了用户注册和认证过程。

1 用户注册阶段

用户注册主要流程如图2所示。

步骤1:用户输入用户名和密码,客户端首先对密码进行MD5加密操作,得到32位长度的MD5字符串,记为 ;同时执行密钥生成程序,生成随机数,记为 , ,且为32的因数。

步骤2:执行MD5密文数组生成程序,将按密钥的值为长度进行分组,将分组后的字符串存入字符串数组中,该字串符数组记为。

步骤3:执行伪MD5密文生成程序,随机变换中元素的顺序,依次把值从变序后的中取出,生成新字符串,该字符串即伪MD5密文,记为。

步骤4:客户端将用户名、密钥和伪MD5密文发送至服务端,并存储到数据库中。

从注册的过程可以看出,该认证技术的动态性体现在密钥的随机性上, 的不同使密文分组的位置不同,从而使得最终得到的密文也是不同的。然而生成的伪MD5字符串 ,来源于标准的MD5字符串,这就为认证提供了依据,但同时又不是MD5字符串,因此任何针对MD5算法进行的破解将不起作用。

2 用户认证阶段

用户认证主要流程如图3所示。

步骤1:待验证用户输入用户名和密码,客户端依然执行MD5程序,将用户输入的密码进行MD5加密,生成待验证密文,记为 ,同时将用户名发送至服务器端。

步骤2:服务器端从数据库中查询是否存在该用户名,不存在则认证失败,存在则取出数据库中的伪MD5密文和密钥 ,一起传输至客户端。

步骤3:用密钥对待验证的MD5字符串执行客户端MD5密文数组生成程序,得到待验证的字符串数组中,该数组记为 ,同时执行伪MD5密文分割程序,以为每组长度对进行分组,每位后加入“,”生成分割后的伪MD5字符串,记为。

步骤4:执行密文数组比较程序,依次取出数组中的值与进行比较,如果的每个元素都包含在中,则通过认证,如果有一个不包含,则认证失败。判断的根据在于本身只是对MD5字符串做了位置上的改变,如果待认证的口令正确,那么中的每个元素都应该包含在中的,但只要数组中有一个元素不包含在密文字符串中,就可以判断认证失败。

步骤5:如果验证通过,则对再重新执行一次分组变序操作,用得到的新的伪MD5密文和新密钥替换原有的密文与密钥,一起存入数据库。

需要说明的是,本文给出的匹配方法并没有直接把数据库中的和的元素进行包含比较,而是以“,”分割后再比较,原因在于密文的长度为32,而数组中值的长度小于或等于32,那么不排除数组的值交叉包含于密文中的情况,假设密文是c4ca4238a0b923820dcc509a6f75849b,密钥为16,则数组的长度为2,再假设数组中的两个值分别为a0b923820dcc509a,20dcc509a6f75849b,虽然这两个值也都包含在密文中,但a0b923820dcc509a处于密文(c4ca4238-a0b923820dcc509a-6f75849b)的中间位置,而20dcc509a6f75849b处于密文(c4ca4238a0b9238-20dcc509a6f 75849b)的后半段,这种情况的出现有可能使匹配算法失效,反而造成认证的不精确。事实上标准的MD5字符串是多个16进制字符串的组合,而“,”是不可能出现在16进制字符串中的,采用“,”分组后再比较则可以有效地避免这种情况。

三安全性验证

本文为全文原貌未安装PDF浏览器用户请先下载安装原版全文

以上认证技术是对单个MD5值进行分组变序,根据不同的 ,除去MD5值本身,每个MD5值能演变出 -1个伪MD5值,记为下式:

(1)

由于随机数的存在,要还原得到真正的MD5值,只能通过暴力破解法来实现,对于单个MD5值,暴力破解的运算量为 ,同样使用一台运算量为10亿次/秒的超级计算机,需要约年。

由于伪MD5密文和密钥K均在网络中传输,如果攻击者知道该算法,利用密钥K进行攻击,那么最终密文的安全性取决于变换的顺序种类。变换的顺序种类由密钥K确定,K越小,顺序种类越多,破解的运算量越大。

对于单个MD5值,当时, ,即不存在伪MD5值, 不可取。

当时, ,暴力破解的运算量仅为1,很容易还原得到原始MD5值,因此密钥为16时,已经存在很大的安全隐患了。

当时, ,暴力破解的运算量为23。

当时, ,暴力破解的运算量为40319。

当时, ,同样使用一台运算量为10亿次/秒的超级计算机,需要约663457年。

当时,暴力破解的运算量更是巨大的。

更进一步研究,该认证技术同样适合对多个MD5值的组合进行分组变序,假设为由个组成的长度为的字符串,其中。这种情况下,暴力破解的运算量为 ,这样的运算量更是天文数字。而在知道该认证算法的情况下,暴力破解的运算量为 , , 可取的值更多,运算量更大。

对于应用该认证技术的系统来讲,运算量仅仅取决于变序算法的复杂度,本文采取经典的洗牌算法[9]作为变序算法,以随机数作为变序的基础,以保证每次交换顺序后的结果与交换之前的不同,算法复杂度仅为数组的长度,即。

实际应用时,当 , 时,最终生成的密文的安全性将是相当高的。而当时,可选择的更多,安全性则更高,而同时对认证系统的运算量并不会有太大增加。

四实验分析

本实验选择浏览器/服务器作为运行模式,选择JavaScript作为客户端注册、认证程序编写语言,保证运算均在浏览器端完成,选择Java作为服务器端数据库访问语言,选择MySQL作为测试数据库。假设密码明文为888888,则MD5值为21218CCA77804D2BA1922C33E0151105,对比最终密文、密钥做8次运算,其中第一次为注册,后7次为认证,运算结果对比如表1所示。

从表1可以看出,最终生成的密文已经和原MD5值已经有较大的不同,即使是相同的密钥,由于交换了顺序,密文也是不同的,攻击者即使得到这些密文,也是徒劳的。

五结束语

本文通过分析目前远程教育系统常用的身份认证技术的优缺点,以基于MD5的用户名/密码的静态身份认证为基础,提出了基于MD5分组变序的动态身份认证技术,该技术通过分组变序随机地产生伪MD5密文,将伪MD5密文在客户端和服务器端之间传输,并存储到数据库中,从而可以有效抵挡碰撞攻击和重放攻击,并且实现了数据库中的密码随认证次数不断变化,而对用户透明的功能,进一步增强了原基于MD5的用户名/密码的静态身份认证的安全性。同时,该技术仅仅是对经MD5加密后的密文进行再处理,与MD5算法本身并有没有很大的关联,因此具有一定的通用性,只要稍做修改,就可以用于任何基于不可逆算法的身份认证技术中,以起到在原有认证技术的基础上,增加其安全性的作用。

参考文献

[1] 曹雪菲.基于身份的认证协议的理论及应用研究[D].西安:电子科技大学,2008.

[2] Carles Garrigues, Nikos Migas, William Buchanan, et al. Protecting mobile agents from external replay attacks[J]. Journal of Systems and Software,2009,82(2):197-206.

[3] RIVEST R.RFC 1321 The MD5 Message-Digest Algorithm[S].Boston: MIT Laboratory for Computer Science and RSA DATA Security, Inc, 1992.

[4] 王津涛,覃尚毅,王冬梅.基于MD5的迭代冗余加密算法[J].计算机工程与设计,2007,28(1):41-42.

[5] Wang Xiaoyun, Feng Dengguo, Lai Xuejia, et al. Collisions for hash functions MD4, MD5 Haval-128 and RIPEMD[R].CRYPTO 2004, Cryptology ePrint Archive, 2004.

[6] Eric Thompson.MD5 collisions and the impact on computer forensics[J].Digital Investigation,2005,2(1): 36-40.

[7] 张裔智,赵毅,汤小斌.MD5算法研究[J].计算机科学, 2008,35(7):295-297.

[8] Paul Kearney.Message level security for web services[J].

身份认证技术论文例5

电子认证与电子签名

从法律上讲，签名有两个功能: 即标识签名人和表示签名人对文件内容的认可。联合国贸发会的《电子签名示范法》中对电子签名做如下定义: “指在数据电文中以电子形式所含、所附或在逻辑上与数据电文有联系的数据它可用于鉴别与数据电文相关的签名人和表明签名人认可数据电文所含信息”; 在欧盟的《电子签名共同框架指令》中就规定: “以电子形式所附或在逻辑上与其他电子数据相关的数据，作为一种判别的方法”称为电子签名。而我国《电子签名法》对电子签名的定义: “是指数据电文中以电子形式所含、所附用于识别签名人身份并表明签名人认可其中内容的数据。根据这一定义，能识别签名人身份的电子签名方法可能有很多种，比如: ID/口令、指纹识别、虹膜/网膜识别和形态识别等等。但是，用这样一些电子签名手段，只能进行人的身份识别，即《电子签名法》中定义的电子认证。但不能做到在《电子签名法》中对电子签名的全面要求: 即在识别签名人身份的同时，还要做到签名人认可其中的内容。

从广义上讲，实现电子签名的技术手段有很多种，但目前比较成熟的，世界先进国家普遍使用的电子签名技术还是“数字签名”技术。由于保持技术中立性是制订法律的一个基本原则，因此，目前还不能说明公钥密码理论是制作签名的惟一技术，因此有必要规定一个更一般化的概念以适应今后技术的发展。但是，目前电子签名法中提到的签名，一般指的就是“数字签名”。所谓“数字签名”就是通过某种密码运算生成一系列符号及代码组成电子密码进行签名，来代替书写签名或印章，对于这种电子式的签名还可进行技术验证，其验证的准确度是一般手工签名和图章的验证无法比拟的。

电子签名的一般实现方法

目前，实现电子签名的方法有好多种技术手段，前提是在确认了签署者的确切身份即经过电子认证之后，电子签名承认人们可以用多种不同的方法签署一份电子记录。

1. 手写签名或图章的模式识别

即将手写签名或印章作为图像，用光扫描经光电转换后在数据库中加以存储，当验证此人的手写签名或盖印时，也用光扫描输入，并将原数据库中的对应图像调出，用模式识别的数学计算方法，进行二者比对，以确认该签名或印章的真伪。这种方法曾经在银行会计柜台使用过，但由于需要大容量的数据库存储和每次手写签名和盖印的差异性，证明了它的不实用性，这种方法也不适用于互联网上传输，是较原始和落后的方法。

2. 生物识别技术

生物识别技术是利用人体生物特征进行身份认证的一种技术，生物特征是一个人与他人不同的惟一表征，它是可以测量、自动识别和验证的。生物识别系统对生物特征进行取样，提取其惟一的特征进行数字化处理，转换成数字代码，并进一步将这些代码组成特征模板存于数据库中，人们同识别系统交互进行身份认证时，识别系统获取其特征并与数据库中的特征模板进行比对，以确定是否匹配，从而决定确定或否认此人。生物识别技术主要有以下几种:

（1）指纹识别技术。每个人的指纹皮肤纹路是惟一的，并且终身不变，依靠这种惟一性和稳定性，就可以把一个人同他的指纹对应起来，通过将他的指纹和预先保存在数据库中的指纹采用指纹识别算法进行比对，便可验证他的真实身份。在身份识别后的前提下，可以将一份纸质公文或数据电文按手印签名或放于IC卡中签名。但这种签名需要有大容量的数据库支持，适用于本地面对面的处理，不适宜网上传输，目前指纹签名还做不到与数据电文内容相关联。

（2）视网膜、虹膜识别技术。视网膜识别技术是利用激光照射眼球的背面，扫描摄取几百个视网膜的特征点，代码摸板存储，经数字化处理后形成记忆模板存储于数据库中，供以后的比对验证。视网膜是一种极其稳定的生物特征，作为身份认证是精确度较高的识别技术。但使用困难，不适用于直接数字签名和网络传输，只能做到身份识别，还做不到与数据电文内容相绑定。虹膜识别技术: 红外照射，取样制作代码摸板存储，用时进行比对。这种签名也只能是进行身份识别。

（3）声音识别技术。声音识别技术是一种行为识别技术,用声音录入设备反复不断地测量、记录声音的波形和变化，并进行频谱分析，经数字化处理之后作成声音模板加以存储。使用时将现场采集到的声音同登记过的声音模板进行精确的匹配，以识别该人的身份。这种技术精确度较差，使用困难，不适用于直接数字签名和网络传输。

以上这种身份识别的方法解决的都是“你是什么？”，“你是谁？”，适用于面对面的场合，不适用远程网络认证，不适合大规模人群认证。

3. 密码、口令和个人识别码。

这里是指用一种传统的对称密钥加/解密的身份识别和签名方法。甲方需要乙方签名一份电子文件，甲方可产生一个随机码传送给乙方，乙方用事先双方约定好的对称密钥加密该随机码和电子文件回送给甲方，甲方用同样对称密钥解密后得到电文并核对随机码，如随机码核对正确，甲方即可认为该电文来自乙方。这种方法解决的是“你知道什么？”。适于远程网络传输，但不适合大规模人群认证，因为对称密钥管理困难。但是，对加密的数据电文签名人做不到认可。

在对称密钥加/解密认证中，在实际应用方面经常采用的是ID+PIN（身份惟一标识+口令）。即发方直接将ID和PIN发给收方，收方与后台已存放的ID和口令进行比对，达到认证的目的。人们在日常生活中使用的银行卡就是用的这种认证方法。这种方法解决的是“你有什么？”和“你知道什么？”。适用远程网络传输，但不安全，易被黑客窃取，只能简单的身份识别，不适用于电子签名。

4. 基于PKI的电子签名

基于公钥基础设施PKI（Public Key Infrastructure）的电子签名被称做“数字签名”。有人称“电子签名”就是“数字签名”，这种说法是错误的。数字签名是电子签名的一种主要形式。因为电子签名具有技术中立性，但也带来使用的不便，法律上又对电子签名做了进一步规定，如联合国贸发会的《电子签名示范法》和欧盟的《电子签名共同框架指令》中就规定了“可靠电子签名”和“高级电子签名”，其目的就是规定了数字签名的具体功能，这种规定使数字签名获得了更好的应用安全性和可操作性。目前，具有实际意义的电子签名只有公钥密码理论。所以，目前国内外普遍使用的、技术成熟的、可实际使用的还是基于PKI的数字签名技术。作为公钥基础设施PKI可提供多种网上安全服务，如认证、数据保密性、数据完整性和不可否认性，其中都用到了数字签名技术。

数字签名的技术保障

1. 什么是数字签名

数字签名在ISO7498-2标准中定义为: “附加在数据单元上的一些数据，或是对数据单元所作的密码变换，这种数据和变换允许数据单元的接收者用以确认数据单元来源和数据单元的完整性，并保护数据，防止被人（例如接收者）进行伪造”。美国电子签名标准（DSS，FIPS186-2）对数字签名做了如下解释: “利用一套规则和一个参数对数据计算所得的结果，用此结果能够确认签名者的身份和数据的完整性”。按上述定义PKI可以提供数据单元的密码变换，并能使接收者判断数据来源及对数据进行验证，是数字签名的技术保障。

PKI的核心执行机构是《电子签名法》中所定义的电子认证服务提供者，即通称为认证机构CA（Certificate Authority），PKI签名的核心元素是由CA签发的数字证书。数字证书所提供的PKI服务就是认证、数据完整性、数据保密性和不可否认性。它的作法就是利用证书公钥和与之对应的私钥进行加/解密，并产生对数字电文的签名及验证签名。数字签名是利用公钥密码技术和其他密码算法生成一系列符号及代码组成电子密码进行签名，来代替书写签名和印章。这种电子式的签名还可进行技术验证，其验证的准确度是在物理世界中对手工签名和图章的验证是无法比拟的。这种签名方法可在很大的可信PKI域人群中进行认证，或在多个可信的PKI域中进行交叉认证，它特别适用于互联网和广域网上的安全认证和传输。

关振胜

中国建设银行科技部副总工程师，高级工程师。现受聘中国金融认证中心（CFCA）技术顾问、中国人民银行“网上银行发展与监管工作组” 专家、亚洲PKI论坛（中国）委员、中国电子商务协会专家委员会专家、电子协会电子签名专家委员会常委。主持领导设计、开发多个银行大型应用系统。著作有“公钥基础设施PKI与认证机构CA”、“中国金融认证中心建设”、 “第四代语言INFORMIX 4GL”等。曾获得科技进步奖一等、二等、三等奖。(如右图)

2. 公钥密码技术原理

公开密钥密码理论是1976年美国发表的RSA算法，它是以三个发明人的名字而命名的，后来又有椭圆算法ECC，但常用的、成熟的公钥算法是RSA。它与传统的对称密钥算法有本质的区别，对称密钥算法常用的是DES算法，它具有一个密钥，加/解密时用的是同一个密钥。而公钥算法利用的是非对称密钥，即利用两个足够大的质数与被加密原文相乘生产的积来加/解密。这两个质数无论是用哪一个与被加密的原文相乘（模乘），即对原文件加密，均可由另一个质数再相乘来进行解密。但是，若想用这个乘积来求出另一个质数，就要进行对大数分解质因子，分解一个大数的质因子是十分困难的，若选用的质数足够大，这种求解几乎是不可能的。因此，将这两个质数称为密钥对，其中一个采用私密的安全介质保密存储起来，不对任何外人泄露，所以简称为“私钥”; 另一个密钥可以公开发表，用数字证书的方式在称之为“网上黄页”的目录服务器上，用LDAP协议进行查询，也可在网上请对方发送信息时主动将该公钥证书传送给对方，这个密钥称之为“公钥”。

公/私密钥对的用法是，当发方向收方通信时发方用收方的公钥对原文进行加密，收方收到发方的密文后，用自己的私钥进行解密，其中他人是无法解密的，因为他人不拥有自己的私钥，这就是用公钥加密，私钥解密用于通信; 而用私钥加密文件公钥解密则是用于签名，即发方向收方签发文件时，发方用自己的私钥加密文件传送给收方，收方用发方的公钥进行解密。

但是，在实际应用操作中发出的文件签名并非是对原文本身进行加密，而是要对原文进行所谓的“哈希”（Hash）运算，即对原文作数字摘要。该密码算法也称单向散列运算，其运算结果称为哈希值，或称数字摘要，也有人将其称为“数字指纹”。哈希值有固定的长度，运算是不可逆的，不同的明文其哈希值是不同的，而同样的明文其哈希值是相同并且惟一，原文的任何改动，其哈希值就要发生变化。数字签名是用私钥对数字摘要进行加密，用公钥进行解密和验证。

公钥证书和私钥是用加密文件存放在证书介质中，证书是由认证服务机构CA所签发的权威电子文档，CA与数字证书等是公钥基础设施PKI的主要组成机构和元素。

3. 认证机构CA

认证机构CA是PKI的核心执行机构，是PKI的主要组成部分，一般简称为CA，在业界通常把它称为认证中心。CA认证机构在《电子签名法》中被称做“电子认证服务提供者”。

根据《电子签名法》中规定，国务院信息产业部据本法制定了《电子认证服务管理办法》（中华人民共和国信息产业部令第35号），并与2005年2月8日颁布。在该管理办法中第五条第七项有关人员、技术、设备、密码、安全和资金等，详细规定了电子认证机构（CA）应具备的市场准入条件。

4. 数字证书

数字证书或称电子证书简称为证书，它是PKI的核心元素，由认证机构服务者所签发，它是数字签名的技术基础保障; 它符合X・509标准，是网上实体身份的证明，证明某一实体的身份以及其公钥的合法性，证明该实体与公钥二者之间的匹配关系，证书是公钥的载体，证书上的公钥惟一与实体身份相绑定，并与其私钥相对应。国家标准规定作为第三方提供电子认证服务的CA，其签发证书机制一般应为双证书机制，即一个实体应具有两个证书，两个密钥对，一个是加密证书，一个是签名证书，加密证书原则上是不能用于签名的。用加密证书的公钥加密，对应的私钥解密，用于通信; 采用签名证书的私钥加密，对应的公钥解密用于签名。

证书在公钥体制中是密钥管理的媒介，不同的实体可以通过证书来互相传递公钥，证书是由权威性、可信任性和公正性的第三方机构所签发。因此，它是权威性电子文档。

证书的内容主要用于身份认证、签名的验证和有效期的检查。CA签发证书时，要对证书内容进行签名，以示对所签发证书内容的完整性、准确性负责并证明该证书的合法性和有效性，将网上身份与该证书绑定。

链接:什么是PKI？

身份认证技术论文例6

随着网络时代的到来，人们可以通过网络得到各种各样的信息。但由于网络的开放性，它正面临着如计算机病毒、人为的恶意攻击、网络软件的漏洞和“后门”、非授权访问等安全威胁。因此，网络安全越来越受到重视。作为网络安全的第一道防线，亦即是最重要的一道防线，身份认证技术受到普遍关注。

一、基于秘密信息的身份认证方法

1、口令核对

口令核对是系统为每一个合法用户建立一个用户名/口令对，当用户登录系统或使用某项功能时，提示用户输入自己的用户名和口令，系统通过核对用户输入的用户名、口令与系统内已有的合法用户的用户名/口令对（这些用户名/口令对在系统内是加密存储的）是否匹配，如与某一项用户名/口令对匹配，则该用户的身份得到了认证。

缺点：其安全性仅仅基于用户口令的保密性，而用户口令一般较短且是静态数据，容易猜测，且易被攻击，采用窥探、字典攻击、穷举尝试、网络数据流窃听、重放攻击等很容易攻破该认证系统。

2、单向认证

如果通信的双方只需要一方被另一方鉴别身份，这样的认证过程就是一种单向认证，即前面所述口令核对法就算是一种单向认证，只是这咱简单的单向认证还没有与密?分发相结合。

与密?分发相结合的单向认证主要有两类方案：一类采用对密?加密体制，需要一个可信赖的第三方???通常称为kdc（密?分发中心）或as （认证服务器），同这个第三方来实现通信双方的身份认证和密?分发如des算法，优点运算量小、速度快、安全度高，但其密?的秘密分发难度大；另一类采用非对称密?加密体制，加密和解密使用不同的密?sk，无需第三方参与，典型的公?加密算法有rsa。认证优点能适应网络的开放性要求，密?管理简单，并且可方便地实现数字签名和身份认证等功能，是目前电子商务等技术的核心基础。其缺点是算法复杂。

3、双向认证

双向认证中，通信双方需要互相鉴别各自的身分，然后交换会话密?，典型方案是needham/schroeder协议。优点保密性高但会遇到消息重放攻击。

4、身份的零知识证明

通常的身份认证都要求传输口令或身份信息，但如果能够不传输这些信息身份也得到认证就好了。零知识证明就是这样一种技术：被认证方a掌握某些秘密信息，a想设法让认证方b相信他确实掌握那些信息，但又不想让认证方b知道那些信息。

如著名的feige-fiat-shamir零知识身份认证协议的一个简化方案。

假设可信赖仲裁选定一个随机模数n,n为两个大素乘积，实际中至少为512位或长达1024位。仲裁方产生随机数v，使x2＝v mod n,即v为模n的剩余，且有v－1mod n存在。以v作为证明者的公?，而后计算最小的整数s:s=sqrt(v-1)mod n作为被认证方的私?。实施身份证明的协议如下：被认证方a取随机数r,这里r<m,计算x=r2 mod m,把x送给认证方b；若b=1,则a将y=rs送给b；若b=0,则b验证x=r2 mod m,从而证实a知道sqrt(x);若b=1,则b验证x=y2.v mod m,从而证实a知道s。

这是一轮鉴定，a和b可将此协议重复t次，直到a相信b知道s为止。

二、基于物理安全性的身份认证方法

尽管前面提到的身份认证方法在原理上有很多不同，但他们有一个共同的特点，就是只依赖于用户知道的某个秘密的信息。与此对照，另一类身份认证方案是依赖于用户特有的某些生物学信息或用户持有的硬件。

基于生物学的方案包括基于指纹识别的身份认证、基于声音识别身份认证以及基于虹膜识别的身份认证等技术。该技术采用计算机的强大功能和网络技术进行图像处理和模式识别，具有很好的安全性、可靠性和有效性，与传统的身份确认手段相比，无疑产生了质的飞跃。近几年来，全球的生物识别技术已从研究阶段转向应用阶段，对该技术的研究和应用如火如茶，前景十分广阔。

三、身份认证的应用

1、kerberos是mit为分布式网络设计的可信第三方认证协议。网络上的kerberos服务起着可信仲裁者的作用，它可提供安全的网络认证，允许个人访问网络中不同的机器。kerberos基于对称密码技术（采用des进行数据加密，但也可用其他算法替代），它与网络上的每个实体分别共享一个不同的密?，是否知道该密?便是身份的证明。其设计目标是通过密?系统为客户/服务器应用程序提供强大的认证服务。该认证过程的实现不依赖于主机操作系统的认证，无需基于主机地址的信任，不要求网络上所有主机的物理安全，并假定网络上传送的数据包可以被任意地读取、修改和插入数据。

kerberos也存在一些问题： kerberos服务服务器的损坏将使得整个安全系统无法工作；as在传输用户与tgs间的会话密?时是以用户密?加密的，而用户密?是由用户口令生成的，因此可能受到口令猜测的攻击；kerberos 使用了时间戳，因此存在时间同步问题；要将kerberos用于某一应用系统，则该系统的客户端和服务器端软件都要作一定的修改。

2、http中的身份认证

http提供了一个基于口令的基本认证方法，目前，所有的web服务器都可以通过“基本身份认证”支持访问控制。当用户请求某个页面或运行某个cgi程序时，被访问访问对象所在目录下有访问控制文件（如ncsa用.haaccess文件）规定那些用户可以访问该目录，web服务器读取该访问控制文件，从中获得访问控制信息并要求客户提交用户名和口令对经过一定的编码（一般是base64方式），付给服务方，在检验了用户身份和口令后，服务方才发送回所请求的页面或执行egi程序。所以，http采用的是一种明文传输的口令核对方式（传输过程中尽管进行了编码，但并没有加密），缺少安全性。用户可以先把使用ssi建立加密信道后再采用基本身份认证方式进行身份认证，而是基于ip地址的身份认证。

3、ip中的身份认证

ip协议由于在网络层，无法理解更高层的信息，所以ip协议中的身份认证实际不可能是基于用户的身份认证，而是基于ip地址的身份认证。

四、身份认证技术讨论

在计算机网络中身份认证还有其他实现途径，如数字签名技术。传送的报文用数字签名来证明其真实性，简单实例就是直接利用rsa算法和发送方的秘密密?。

由于数字签名有一项功能是保证信息发出者的身份真实性，即信息确实是所声称的签名人签名的，别人不能仿造，这和身份认证的情形有些相似；身份认证的核心是要确认某人确实是他所声称的身份。那么，我想应该能借用数字签名机制实现身份认证，但这可能有一个困难，如果不预先进行密?分发（即使是公?，也要有一个机制将真实的公?信息传递给每一个用户）。可能数字签名也无从实现。

五、结语

在实际应用中，认证方案的选择应当从系统需求和认证机制的安全性能两个方面来综合考虑，安全性能最高的不一定是最好的。如何减少身份认证机制和信息认证机制中的计算量和通信量，而同时又能提供较高的安全性能，也是信息安全领域的研究人员进一步需要研究的课题。

身份认证技术论文例7

随着通信网络技术的快速发展，电子商务给人们的工作和生活带来了新的尝试和便利，也带来了一些问题,由于网络本身的开放性，使电子商务面临种种风险，也由此提出了安全控制要求。客户认证是保证电子商务交易安全的一项重要技术，主要包括身份认证和信息认证。身份认证用于鉴别用户身份，而信息认证用于保证通信双方的不可抵赖性和信息的完整性。在某此情况下，信息认证显得比信息保密更为重要。

一、身份认证

身份认证是通过身份识别技术及其他附加程序对用户的身份进行确认的全部过程。要在网上使交易安全、成功，首先要能够确认对方的身份。电子商务环境对身份识别技术的基本要求有： 1.身份的认证必须数字化；2.安全、健康，对人的身体不会造成伤害；3.快速、方便、易使用；4.性能价格比高，适合普及推广。用于身份认证的技术较多，最常用的是密码，使用身份标识码加密码来进行安全防范，如用户口令；还有使用物理载体的方式，例如使用证件、钥匙、各种卡等有形的载体来识别身份；另外还有生物特征身份识别方式，使用指纹、面像、视网膜、DNA、语音等特征来识别身份。

二、信息认证

信息认证的目的是防止信息被篡改、伪造，或信息接收方事后否认。确保电子商务的安全、可靠、一致性十分重要。信息认证技术是电子商务系统中的重要组成部分。由于网络上的信息是容易修改、复制的，通过电子数据方式达成的交易文件是不能被否认的，因此确保电子交易的信息都必须是不可否认的、不可被修改的，否则网上的交易就没有严肃和公正性。为实现这一目标，除了采用身份认证起到确保网上交易者身份的真实可信外，信息认证就用来确保交流的信息完整、不可抵赖性，以及信息访问的权限控制。

信息认证主要有两种方式：信息加密和数字签名。而实现这些技术都要应用数据加密技术。

1.加密技术

加密技术是保证电子商务安全的重要手段，它包括私钥加密和公钥加密。私钥加密又称对称密钥加密，即信息的发送方和接收方用一个密钥去加密和解密数据，目前常用的私钥加密算法包括DES和IDEA等。对称加密技术的最大优势是加密或解密速度快，适合于对大数据量进行加密，但密钥管理困难。公钥密钥加密，又称非对称密钥加密系统，它需要两个密钥――公开密钥(Public-Key)和私有密钥（Private-Key）。如果用公开对密钥进行加密，只有用对应的私有密钥才能进行解密；如果用私有密钥对数据进行加密，那么只有用对应的公开才能解密。非对称加密常用的算法是RSA。RSA算法利用两个足够大的质数与被加密原文相乘生产的积来加密或解密。这两个质数无论是用哪一个与被加密的原文相乘(模乘)，即对原文件加密，均可由另一个质数再相乘来进行解密。但是求解几乎是不可能的。非对称加密算法的保密性比较好，消除了最终用户交换密钥的需要，但加密和解密花费时间长、速度慢，不适合对文件加密而只适用于对少量数据进行加密。

信息发送方采用对称来加密信息，然后将对称密钥用接收方的公开密钥来加密，这部分称为数字信封(Digital Envelope)。之后，再分别和密文一起发送给接收方。接收方先用自己的私钥打开数字信封，得到对称密钥，然后使用对称密钥解开信息。

2.数字签名技术

对信息进行加密只解决了电子商务安全的第一个问题，而要防止他人破坏传输的数据，还要确定发送信息人的身份，这就需要采取另外一种手段――数字签名。数字签名采用了双重加密的方法来实现防伪、防抵赖。

把HASH函数和公钥算法结合起来，可以在提供数据完整性的同时，也可以保证数据的真实性。完整性保证传输的数据没有被修改，而真实性则保证是由确定的合法者产生的HASH。把这两种机制结合起来就可以产生所谓的数字签名（Digital Signature）。将报文按双方约定的HASH算法计算得到一个固定位数的报文摘要(Mes-sage Digest)值。只要改动报文的任何一位，重新计算出的报文摘要就会与原先值不符。然后把该报文的摘要值用发送者的私人密钥加密，将该密文同原报文一起发送给接收者，所产生的报文即称数字签名。

在电子商务的发展过程中，数字签名技术也有所发展，以适应不同的需要。数字时间戳就是一种变种的应用。在交易文件中，时间是十分重要的信息，在书面合同中，文件签署的日期和签名一样均是十分重要的防止文件被和篡改的关键内容。时间戳是一个经过加密后形成的凭证文档，它包括三个部分：需加时间戳的文件的摘要，DTS收到文件的日期和时间及DTS的数字签名。

3.认证机构

在电子交易中，无论是数字签字的签别还是数字时间戳服务都不是仅靠交易的双方自己能完成的，需要一个具有权威性和公正性的第三方来帮助实现。认证中心CA就是承担网上安全电子交易的认证服务、签发数字证书、确认用户身份的服务机构。认证中心通常是企业性的服务机构，具有半官方的身份，主要任务是受理数字证书的申请、签发及对数字证书的管理。通过认证机构来认证买卖双方的身份和信息，是保证电子商务交易安全的重要措施。

总之，安全是电子商务的核心和灵魂，没有安全保障的电子商务应用只是虚伪的炒作或欺骗，任何独立的个人或团体都不会愿意让自己的敏感信息在不安全的电子商务流程中传输。而信息认证能够支持电子商务应用的主要模式，确保交易信息的安全性，从而极大地推动电子商务的发展。

参考文献:

身份认证技术论文例8

传统身份识别、签名识别存在的缺陷

RSA加密解密算法论述

例如：用户甲拥有公共参数PN=14803，公钥PK=151，私钥SK=8871。现有明文PM=1234。

用户甲使用私钥SK对明文PM进行加密得到密文SM。

SM=PMSKMOD(PN)=12348871MDO(14803)=13960用户甲将自己的公共参数PN，公钥PK，以及密文SM发送给用户乙。用户乙进行解密计算得到明文PM。

PM=SMPKMOD(PN)=13960151MDO(14803)=1234

RSA用作数字签名

作为签名必须具备两个特性：防篡改，除签名者以外的其他人对签过名的内容做的任何改动都将被发现；抗抵赖，签名者无法抵赖自己签名的内容。

RSA用作数字身份

数字身份、数字签名在线鉴别模型

本文针对公钥证书、私钥被盗用的问题设计出“数字身份、数字签名在线鉴别”模型。

传统的RSA应用模型

由于数字身份与数字签名的特殊性，提供认证服务的机构不应该是一个商业化的机构，而应该是具有政府职能的部门，例如：颁发身份证的公安局、颁发驾照的交管局、颁发护照的外交部等。在笔者设计的模型中，公安局替代传统的认证中心；针对被认证的公钥证书与持有者缺乏直接的关联，在认证结果的信息中，笔者设计增加所有者的详细信息资料，从而可以通过认证结果来鉴别持有者的真实身份。

改造后的RSA应用模型

RSA在刷卡中的应用

目前，在我国网络技术、通讯技术已经非常发达，接入互联网也已经非常普及，可以充分利用这些技术优化、改造现有的银行卡刷卡流程，解决银行卡被盗以后，在刷卡时对持有者的身份进行有效的鉴别。

传统的刷卡流程中，用户必须在POS机上输入口令，出示身份证，在转账单据上手写签名。在新的刷卡流程中要求收款机必须与互联网相连，在输入口令环节可以改成输入私钥，对付款数据进行加密（数字签名），在身份验证环节可以增加数字身份的验证，客户提交公钥证书，收款员在联网计算机上将客户的公钥证书提交给公安局的认证服务器，在得到认证结果以后对持卡人的身份进行鉴别，然后再对数字签名进行鉴别。

要采用新的刷卡支付流程必须增加新的设备，对现有的支付环境进行改造，以此防止银行卡被盗刷，如果银行卡被盗刷。由于我国已于2005年4月1日正式颁布并开始执行《中华人共和国电子签名法》，因此，可以依据此法进行判罚。

参考文献：

身份认证技术论文例9

一、身份认证

二、信息认证

信息认证主要有两种方式：信息加密和数字签名。而实现这些技术都要应用数据加密技术。

1.加密技术

加密技术是保证电子商务安全的重要手段，它包括私钥加密和公钥加密。私钥加密又称对称密钥加密，即信息的发送方和接收方用一个密钥去加密和解密数据，目前常用的私钥加密算法包括DES和IDEA等。对称加密技术的最大优势是加密或解密速度快，适合于对大数据量进行加密，但密钥管理困难。公钥密钥加密，又称非对称密钥加密系统，它需要两个密钥——公开密钥(Public-Key)和私有密钥（Private-Key）。如果用公开对密钥进行加密，只有用对应的私有密钥才能进行解密；如果用私有密钥对数据进行加密，那么只有用对应的公开才能解密。非对称加密常用的算法是RSA。RSA算法利用两个足够大的质数与被加密原文相乘生产的积来加密或解密。这两个质数无论是用哪一个与被加密的原文相乘(模乘)，即对原文件加密，均可由另一个质数再相乘来进行解密。但是求解几乎是不可能的。非对称加密算法的保密性比较好，消除了最终用户交换密钥的需要，但加密和解密花费时间长、速度慢，不适合对文件加密而只适用于对少量数据进行加密。

2.数字签名技术

对信息进行加密只解决了电子商务安全的第一个问题，而要防止他人破坏传输的数据，还要确定发送信息人的身份，这就需要采取另外一种手段——数字签名。数字签名采用了双重加密的方法来实现防伪、防抵赖。

身份认证技术论文例10

身份认证技术是指能够对信息收发方进行真实身份鉴别的技术,是保护网络信息资源安全的第一道大门,它的任务是识别、验证网络信息系统中用户身份的合法性和真实性,按授权访问系统资源,并将非法访问者拒之门外。可见,身份认证在安全系统中的地位极其重要,是最基本的安全服务,其它的安全服务都要依赖于它。

2、用户身份认证的发展趋势

网络身份认证技术在未来的发展中应朝着高安全性、高速度、高稳定性、易用性、实用性以及认证终端小型化等方向发展。其发展趋势可从以下几个方面体现：

2.1生物认证技术

目前还没有一种生物特征认证技术的正确率能达到百分之百。如何通过提高硬件水平和改进识别算法来提高识别的正确率将是未来的研究热点。

2.2多因素认证

有效地结合各种单因素认证技术，可以提高身份认证的安全性能。基于Web的口令认证与手机短信确认相结合双因素认证已在应用中；多种生物特征的多数据融合与识别技术也将是未来的研究方向。

2.3属性认证技术

属性认证技术主要是把基于属性证书的授权方案和认证技术相结合的认证授权方式，可以解决完全分布式的网络环境中身份认证与细粒度的权限分配问题。

3、常用的协议

身份认证是通过身份认证协议来实现的。身份认证协议是一种特殊的通信协议，它定义了所有参与认证服务的通信方在身份认证过程中需要交换的所有信息的格式和这些消息发生的次序以及消息的语义。从目前来看，大多数身份认证协议是基于密码学原理的。常用的身份认证协议有：

3.1SET协议

安全数据交换协议SET（SecureElectronicTransferprotocol）是一种以信用卡为基础的，在Internet上交易的付款协议，是授权业务信息传输的安全标准，它采用RSA密码算法，利用公钥体系对通信双方进行认证，用DES等标准加密算法对信息加密传输，并用散列函数算法来鉴别信息的完整性。SET协议是目前国际上通用的网上支付标准。

3.2SSL协议

安全套接口层协议SSL（SecureSocketsLayer）是由Netscape开发的，SSL可插入到Internet应用协议中，成为运行于InternetTCP/IP网络层协议之上的一个全新应用协议层，可用于保护正常运行于TCP上的任何应用协议，如HTTP，FTP，SMTP和Telnet的通信。SSL保证了Internet上浏览器/服务器会话中三大安全中心内容：机密性、完整性、认证性[1]。

3.3Kerberos协议

Kerberos协议是80年代由MIT开发的一种网络认证协议，它允许一台计算机通过交换加密消息在整个非安全网络上与另一台计算机互相证明身份。一旦身份得到验证，Kerberos协议给这两台计算机提供密钥，以进行安全通讯对话。所以它适合在一个物理网络并不是很安全的环境下使用。

4、身份认证常用的方式

身份认证的基本方法就是由被认证方提交该主体独有的并且难以伪造的信息来表明自己的身份。常用的方式有：

4.1基于PKI(PublicKeyInfrastructure)的数字证书

公钥基础设施PKI是利用公钥密码理论和技术建立的提供安全服务的基础设施。PKI的简单定义是指一系列基础服务，这些服务主要用来支持以公开密钥为基础的数字签名和加密技术的广泛应用[2]。PKI技术是信息安全技术的核心。由于现代远程教育是一种非面对面的、是通过网络进行的教学活动，因而使得电子方式验证信任关系显得至关重要，而PKI技术恰好是一种适合这种活动的密码技术，它能够有效地解决现代远程教育中的保密性、真实性、完整性、不可否认性、访问可控性等安全问题。PKI的部件包括数字证书、签署这些证书的认证机构（CA）、登记机构（RA）、存储和这些证书的电子目录以及证书路径等等，其中数字证书是其核心部件。数字证书（DigitalID）是一种权威性的电子文档。它提供了一种在Internet上验证身份的方式，其作用类似于日常生活中的身份证[3]。它是由一个权威机构——CA证书授权(CertificateAuth-ority)中心发行的，人们可以在互联网交往中用它来识别对方的身份。当然在数字证书认证的过程中，证书认证中心（CA）作为权威的、公正的、可信赖的第三方，其作用是至关重要的。数字证书的格式一般采用的是X.509国际标准。目前的数字证书类型主要包括：个人数字证书、单位数字证书、单位员工数字证书、服务器证书、VPN证书、WAP证书、代码签名证书和表单签名证书。

4.2智能卡

智能卡(SmartCard)是指利用存储设备记忆一些用户信息特征进行的身份认证。它是一个带有微处理器和存储器等微型集成电路芯片的、具有标准规格的卡片。智能卡必须遵循一套标准，ISO7816是其中最重要的一个。ISO7816标准规定了智能卡的外形、厚度、触点位置、电信号、协议等。智能卡根据装载芯片类型的不同、信息通讯方式的不同，又可以分为存储式卡片和微处理器卡片以及接触式卡片、非接触式卡片和双界面卡片等。

4.3静态口令

静态口令是指在某一特定的时间段内没有变化、可反复多次使用的口令。因为是静态的，不变的，在很多情况下如果不慎被泄密，就可能会被他人所用，加上用户总会担心忘记密码，所以一般使用的口令都会有一定的规律可寻，例如：自己的电话号码、自己或家人的生日等等。如果口令是用在与资金帐户或重要信息有关的计算机应用系统中的话，静态口令就很不安全，一些不法分子可能通过不正当手段获取静态口令，如窥视、欺骗、侦听、穷试等。这种方式现一般用于一些不太重要的场合。

4.4动态口令

动态口令是指每次认证时输入的口令都是变化的，且不重复，一次一变，即使被别人知道了，下次也无法再使用。它是用户身份的数字化凭证，是信息系统鉴别用户身份合法性的依据。根据动态口令的产生和认证方法的不同，可以分为交互方式和主动方式两类。

4.5生物特征

生物特征认证是指采用每个人独一无二的生物特征来验证用户身份的技术。常见的生物特征有指纹、虹膜、掌纹、静脉、语音、步态等。从理论上说，生物特征认证是最可靠的身份认证方式，因为它直接使用人的物理特征来表示每一个人的数字身份，不同的人具有相同生物特征的可能性可忽略不计，因此几乎不可能被仿冒。

身份认证技术论文模板(10篇)

身份认证技术论文例1

身份认证技术论文例2

身份认证技术论文例3

身份认证技术论文例4

身份认证技术论文例5

身份认证技术论文例6

身份认证技术论文例7

身份认证技术论文例8

身份认证技术论文例9

身份认证技术论文例10

密码学报

今日中国

海外华文教育动态

婚姻家庭性别研究