資源描述:
《pki身份認(rèn)證和動(dòng)態(tài)口令身份認(rèn)證技術(shù)比較》由會(huì)員上傳分享�����,免費(fèi)在線閱讀����,更多相關(guān)內(nèi)容在行業(yè)資料-天天文庫。
1�、PKI身份認(rèn)證和動(dòng)態(tài)口令身份認(rèn)證技術(shù)比較·????本文將就網(wǎng)絡(luò)環(huán)境下的PKI認(rèn)證技術(shù)和動(dòng)態(tài)口令認(rèn)證技術(shù)從實(shí)現(xiàn)原理、算法安全性��、密鑰安全性��、通信安全性����、系統(tǒng)風(fēng)險(xiǎn)性和可實(shí)施度六個(gè)方面進(jìn)行技術(shù)比較。1.身份認(rèn)證系統(tǒng)概述????對于身份認(rèn)證而言��,其目的就是鑒別網(wǎng)上實(shí)體的現(xiàn)實(shí)身份,即:網(wǎng)上虛擬實(shí)體所代表的現(xiàn)實(shí)對象��。舉例:Authen(我的賬號(hào))????網(wǎng)上實(shí)體XXX(姓名隱含)???????????????現(xiàn)實(shí)實(shí)體·現(xiàn)實(shí)中能夠憑借看到���、聽到����、聞到���、接觸到���、感覺到現(xiàn)實(shí)實(shí)體的特征來判定對象的真實(shí)性。但是在網(wǎng)上如何判定虛擬實(shí)體的真實(shí)性呢��?目前采用各種密碼算
2��、法的身份認(rèn)證技術(shù)��,從表現(xiàn)形式而言有:傳統(tǒng)靜態(tài)口令認(rèn)證技術(shù)�����、特征認(rèn)證(如指紋���、虹膜)技術(shù)�、基于單鑰的智能卡身份認(rèn)證技術(shù)��、基于雙鑰的智能卡身份認(rèn)證技術(shù)����、生物識(shí)別身份認(rèn)證技術(shù)、動(dòng)態(tài)口令身份認(rèn)證技術(shù)等���。本文僅對基于雙鑰的PKI身份認(rèn)證技術(shù)和動(dòng)態(tài)口令身份認(rèn)證技術(shù)進(jìn)行探討���。2.兩種身份認(rèn)證技術(shù)實(shí)現(xiàn)原理2.1PKI身份認(rèn)證技術(shù)實(shí)現(xiàn)原理采用PKI技術(shù)的身份認(rèn)證系統(tǒng)其基本認(rèn)證模型為:2.2??動(dòng)態(tài)口令身份認(rèn)證技術(shù)實(shí)現(xiàn)原理????動(dòng)態(tài)口令認(rèn)證技術(shù)有至少兩個(gè)因子,一個(gè)是常量�����,即電子令牌瞬間觸電的種子值���;另一個(gè)是變量���,即時(shí)間值。采用動(dòng)態(tài)口令技術(shù)的基本認(rèn)證模型為:3
3�����、.算法安全性分析????對于采用上述PKI基本模型的認(rèn)證技術(shù)而言,其算法安全性目前可以說是安全的���,但是某些PKI身份認(rèn)證系統(tǒng)在認(rèn)證流程中采用了簡單的簽名技術(shù)��;其認(rèn)證模型為:????隨著2004年8月17日美國加州圣巴巴拉召開的國際密碼學(xué)會(huì)議(Crypto’2004)上���,山東大學(xué)王小云教授所作的破譯MD5、HAVAL-128��、MD4和RIPEMD算法的報(bào)告���,宣告采用該種算法的身份認(rèn)證技術(shù)已不再安全�。????根據(jù)王小云教授的密碼分析成果�����,現(xiàn)有的數(shù)字簽名技術(shù)已不再可靠�;因此現(xiàn)有的某些采用簽名技術(shù)的身份認(rèn)證系統(tǒng)實(shí)際上已經(jīng)不能保證網(wǎng)絡(luò)實(shí)體的唯一性。對
4����、于采用PKI基本模型的認(rèn)證技術(shù)而言,Authentication需要強(qiáng)勁的運(yùn)算能力��,特別是網(wǎng)內(nèi)用戶數(shù)量較多且并發(fā)量較高的網(wǎng)絡(luò)環(huán)境��。????采用動(dòng)態(tài)口令技術(shù)的身份認(rèn)證系統(tǒng)在國內(nèi)市場可見��,其安全性依賴于算法的嚴(yán)格保密��。4.密鑰安全性分析????采用PKI認(rèn)證技術(shù)基本模型的系統(tǒng)而言�,其私鑰的安全保管可謂是系統(tǒng)整體安全的重中之重。為防止私鑰文件的復(fù)制�,目前多采用兩種私鑰載體保存私鑰。一種是將私鑰固化在IC芯片中�����,另一種是將私鑰寫入U(xiǎn)-KEY外形的閃存中����。對于固化有私鑰的IC芯片,其本身是個(gè)微系統(tǒng)��,復(fù)制難度較大����。????存儲(chǔ)私鑰的U-KEY介質(zhì)目前分
5��、為兩類�����,一種是帶微系統(tǒng)的U-KEY�,計(jì)算過程在U-KEY內(nèi)完成���,只輸出結(jié)果�����;另一種是不帶微系統(tǒng)的U-KEY�����,計(jì)算過程在計(jì)算機(jī)內(nèi)存中完成�����。后者(不帶微系統(tǒng)的U-KEY)可能在計(jì)算機(jī)內(nèi)存中被復(fù)制或影響計(jì)算過程�。采用動(dòng)態(tài)口令技術(shù)的身份認(rèn)證系統(tǒng)�����,用戶持有的動(dòng)態(tài)令牌,其本身物理封裝�,內(nèi)含一塊電池;設(shè)計(jì)為斷電后芯片數(shù)據(jù)銷毀工藝��。Authentication端為軟件�����,運(yùn)行在計(jì)算機(jī)內(nèi)存中�;對于其計(jì)算過程能否被復(fù)制的問題�,如上所述。但是不同的是:動(dòng)態(tài)口令技術(shù)每次計(jì)算因子至少有一個(gè)是變化的�����,那就是時(shí)間�,而U-KEY認(rèn)證技術(shù)的后者(不帶微系統(tǒng)的U-KEY)其計(jì)算
6、因子應(yīng)該是固定的�����,即噪聲值可通過木馬程序獲得����,私鑰是相對靜止的�����。5.通信安全性分析????對于認(rèn)證通信過程而言����,PKI認(rèn)證技術(shù)可采用Authentication端公鑰或Client端私鑰加密通信���,其健壯性目前是不容置疑的���。動(dòng)態(tài)口令認(rèn)證技術(shù)由于不需要在Client端安裝軟件,Client端與Authentication之間的通信就只能依賴于網(wǎng)絡(luò)系統(tǒng)本身的加密通訊設(shè)備了�。目前在多個(gè)項(xiàng)目中,各家動(dòng)態(tài)口令認(rèn)證技術(shù)廠商已建議用戶采用SSL或IPSEC技術(shù)來建立加密通道���,以保證通信安全�。6.系統(tǒng)風(fēng)險(xiǎn)性分析????任何一種技術(shù)都必然存在一定的風(fēng)險(xiǎn)��,包括需
7�����、求定位風(fēng)險(xiǎn)和技術(shù)可靠性風(fēng)險(xiǎn)。????PKI認(rèn)證技術(shù)中以計(jì)算機(jī)外部存儲(chǔ)器承載私鑰的�,存在被復(fù)制的風(fēng)險(xiǎn),雖然可采用PIN碼保護(hù)私鑰��,但PIN碼作為一種相對靜態(tài)的密碼�����,其被窮舉����、猜測�����、嗅探或者木馬記錄���,而造成濫用的可能性風(fēng)險(xiǎn)較大����。而采用IC芯片��、U-KEY作為私鑰載體的系統(tǒng)而言����,必須要在Client端安裝軟件��;IC芯片載體還需要相應(yīng)的識(shí)別設(shè)備�。二者都需要與Client計(jì)算機(jī)物理接觸�����,先不談?dòng)捎谖锢斫佑|增加造成介質(zhì)磨損或電子遷移所帶來的識(shí)別成功率逐漸降低的可能�,單是其設(shè)備驅(qū)動(dòng)程序的安全性就值得考量。????IC芯片介質(zhì)需配備一個(gè)讀卡器�����,與Clien
8��、t計(jì)算機(jī)并口�����、串口或USB口連接���,需要專門的驅(qū)動(dòng)程序來實(shí)現(xiàn)通信����,對于精通計(jì)算機(jī)C或匯編的入侵者而言,變更其合法驅(qū)動(dòng)程序�����,替換為帶有惡意目的的驅(qū)動(dòng)程序��,應(yīng)該是可行的�����。U-KEY介質(zhì)
