身份认证

课程设计报告课程名称网络安全技术课题名称安全网络身份认证系统的设计与实现专业班级学号姓名指导教师邓作杰、黄鲲、谭小兰2014年12月10日湖南工程学院课程设计任务书课程名称网络安全技术课题安全网络身份认证系统的设计与实现专业班级学生姓名学号指导老师邓作杰、黄鲲、谭小兰审批刘洞波任务书下达日期2014年12月10日任务完成日期2014年12月31日3目录一、设计内容与设计要求...............................................................................................................41．设计内容.............................................................................................................................42．设计要求：.........................................................................................................................4二、安全网络身份认证系统主要功能的设计与实现...................................................................5课题研究背景...........................................................................................................................52.1身份认证的概念...............................................................................................................62.2基于密码的身份认证：....................................................................................................72.2.1口令核对...............................................................................................................72.2单向认证...........................................................................................................................82.3赋向认证...........................................................................................................................92.4.零知识证明身份认证：...............................................................................................102.4.1零知识证明身份认证的概念.............................................................................102.4.2身份的零知识证明..............................................................................................102.5密码认证的特点...........................................................................................................112.6身份认证协议：..............................................................................................................132.6.1身份认证的应用..................................................................................................15三、心得体会.................................................................................................................................18四、参考文献：.............................................................................................................................18五、评分表.....................................................................................................................................194一、设计内容与设计要求1．设计内容计算机网络世界中一切信息包括用户的身份信息都是用一组特定的数据来表示的，计算机只能识别用户的数字身份，所有对用户的授权也是针对用户数字身份的授权。如何保证以数字身份进行操作的操作者就是这个数字身份合法拥有者，也就是说保证操作者的物理身份与数字身份相对应，安全网络身份认证就是为了解决这个问题，作为防护网络资产的第一道关口，安全网络身份认证有着举足轻重的作用。本课题要求学生设计与实现一个安全的网络身份认证系统，用于身份验证，能够抵抗大多数的攻击。2．设计要求：(1)安全的网络身份认证系统的基本功能要求：a．抵抗重放攻击，可采用序列号、时间戳、应答响应、流密码、密钥反馈机制；b．认证信息在网络上应当进行加密；c．利用公钥机制共享身份验证信息。(2)在规定的时间内以小组为单位完成相关的系统功能实现、数据测试和记录并进行适当的分析。(3)按本任务书的要求，编写《课程设计报告》（Word文档格式）。并用A4的复印纸打印并装订；(4)在规定的时间内，请各班学习委员收齐课程设计报告交邓作杰老师。5二、安全网络身份认证系统主要功能的设计与实现身份认证是实现信息安全的基本技术，在本文中简要的介绍下几种不同类别的身份认证以及身份认证中的协议。在信息的传输与处理的过程中，有关如何保护信息使之不被非法窃取或篡改，亦即信息的认证与保密的问题，越快越多地受到关注。在认证技术中，消息认证与身份认证是两大重要方面，其中消息认证用于保信息的完整性与抗否认性，身份认证则用于鉴别用户身份。本文集中针对身份认证技术及应用作了简要分析课题研究背景计算机网络安全性研究始于本世纪60年代末期。当时，计算机系统的脆弱性已日益为美国政府和私营部门的一些机构所认识。但是．由于当时计算机的速度和性能较为落后．使_Lfj的范围也不广，再加上美国政府把它当作敏感问题而加以控制，因此有关计算机安全的研究一直局限在较小的范围。进入80年代后．计算机的性能得到了极大的提高，应用范围也在不断扩人，计算机已遍及世界各个角落。并且，人们利用互联网络把孤立的单机系统连接起来，相互通信和共享资源。但是．随之而来并日益严峻的问题便是计算机信息安全问题。人们在这方面所做的研究与计算机’性能和应用的飞速发展极不相适应。因此，它己成为未来信息技术中的主要问题之一。网络系统遭受的攻击，大部分是建立在入侵者获得已经存在的通信通道或伪装身份与用户建立通讯通道的基础上．使用包括消息窃听、身份伪装、消息伪造与篡改、消息重放等手段。为了实施这些攻击手段，入侵者必须能够进入系统中。在很多情况下，入侵者是系统的合法用户之一；而对于那些非法用户．最简6单直接的方法便是破解合法用户的密码，尔后伪装成合法用户进入到系统中。因此．用户身份验证和访问控制是网络安全中最直接也是最前沿的一道防线。身份认证技术在信息安全中占有极其重要的地位，是安全系统中的第一道关卡。用户在登录安全系统之前，必须首先向身份认证系统表明自己的身份。身份验证系统首先验证用户的真实性，然后根据授权数据库中用户的权限设置确定其是否有权访问所申请的资源。身份认证在安全系统中的地位极其重要，是最基本的安全服务，其它的安全服务都要依赖于它。一旦身份认证系统被攻破，那么系统的所有安全措施将形同虚设。黑客攻击的目标往往也就是身份认证系统。大致上来讲，身份认证可分为用户与主机间的认证和主机与主机间的认证。本文只讨论用户与主机间的身份认证方式。用户与主机问的认证可以基于如下一个或几个因素：·用户所知道的信息，如口令；·用户所拥有的实物，如物理令牌；·用户所具有的生物特征，如指纹、声音等。2.1身份认证的概念身份认证是系统审查用户身份的过程，从而确定该用户是否具有对某种资源的访问和使用权限。身份认证通过标识和鉴别用户的身份，提供一种判别和确认用户身份的机制。计算机网络中的身份认证是通过将一个证据与实体身份绑定来实现的。实体可能是用户、主机、应用程序甚至是进程。身份认证技术在信息安全中处于非常重要的地位，是其他安全机制的基础。只有实现了有效的身份认证，才能保证访问控制、安全审计、入侵防范等安全机制的有效实施。7在真实世界中，验证一个用户的身份主要通过以下三种方式：所知道的。根据用户所知道的信息来证明用户的身份。所拥有的。根据用户所拥有的东西来证明用户的身份。本身的特征。直接根据用户独一无二的体态特征来证明用户的身份，例如人的指纹、笔迹、DNA、视网膜及身体的特殊标志等。2.2基于密码的身份认证：2.2.1口令核对鉴别用户身份最常见也是最简单的方法就是口令核对法：系统为每一个合法用户建立一个用户名／口令对，当用户登录系统或使用某项功能时，提示用户输人自己的用户名和口令，系统通过棱对用户输人的用户名、口令与系统内已有的台法用户的用户名／口令对(这些用户名／口令对在收稿日期2000—09—20系统内是加密存储的)是否匹配，如与某一项用户名／口令对匹配，则该用户的身份得到了认证。这种方法的缺点是其安全性仅仅基于用户口令的保密性，而用户口令一般较短且容易猜测，因此这种方案不能抵御口令猜测攻击；另外，攻击者可能窃听通信信道或进行网络窥探(sniffing)，口令的明文传输使得攻击者只要能在口令传输过程中获得用户口令，系统就会被攻破。尤其在网络环境下，明文传输的缺陷使得这种身份认证方案变得极不安全。解决的办法是将口令加密传输，这时可以在一定程度上弥补上面提到的第二个缺陷，但攻击者仍可以采用离线方式对口令密文实施字典攻击；加密传输口令的另一个困难是加密密钥的交换，当采用对称密钥加密方式时，要求认证方和被认证方共享一个密钥，但由于身份认证前双方的身份还不明确，不可能预先共8享一个密钥，解决的办法是求助于第三方——一个可信任的权威机构，这就是下面要分析的认证方案的思想。当采用非对称密钥加密方式时，口令可以用认证方的公钥加密，由于公钥可以通过公开的渠道获得，这时不存在采用对称密钥加密时遇到的那种矛盾，当然，这也需要密钥分发机制的配合。由此可看到，身份认证与密钥分发经常是联系在一起的，所以，