数字证书与令牌身份认证的比较研究.doc

课程论文 () 数字证书与令牌身份认证的比较研究 院 系：软件学院 专 业：软件工程 姓 名： 完成日期：2012年12月18日 目 录 一、引言 4 二、简介及认证原理 5 （一）数据证书认证方式简介 5 （二）令牌认证方式简介 5 三、比较分析 6 （一）适用范围方面 6 （二）可靠性方面 7 （三）易用性方面 7 （四）标准化程度 7 （五）管理和维护难度 7 四、总结 8 参考文献 8 一、引言 随着计算机技术、网络技术以及信息技术的发展，各种应用系统也随之快速发展，从小到个人计算机系统，大到银行、证券、保险、电力、石油、医疗、税务、公安等大型的应用系统。为了保护应用系统的所有者和用户的合法权益，这些应用系统一般都提供了身份认证功能，以确保只有合法的用户才能够访问应用系统，应用系统中的用户信息不会被泄露。 在应用系统的早期阶段中，普遍采用静态密码作为身份认证技术，由于当时技术环境和应用环境的简单化，使用静态密码作为身份认证技术已经完全能够保护应用系统的安全。但是随着技术环境和应用环境的改变，特别是熟悉相关技术的人越来越多，各种攻击技术、破解技术以及攻击工具和破解工具通过互联网广泛传播的情况下，静态密码的安全性和弱点就显露出来。此时非常需要有新的身份认证技术来提高系统的身份认证安全。 目前常见的身份认证有：数字证书认证、令牌认证、短信认证、生物特征认证，本文将重点研究比较数字证书认证和令牌认证，从原理、认证机制、优缺点等方面进行介绍。 二、简介及认证原理 （一）数据证书认证方式简介 PKI是Public Key Infrastructure的缩写，就是基于公钥理论和技术为网络提供安全服务的基础设施。公钥体制是目前应用最广泛的一种加密体制，在这一体制中，加密密钥与解密密钥各不相同。公钥加密、私钥解密可以实现对数据的加密保护，私钥签名、公钥验证可以实现对数据的数字签名。这种方式既保证了信息的机密性，又能保证信息具有不可抵赖性。目前，公钥体制广泛地用于CA认证、数字签名和密钥交换等领域。 CA（Certification Authority，认证中心）是确保信任度的权威实体，它的主要职责是颁发数字证书、验证用户身份的真实性。 其工作的基本原理见图（一），常见的表现形式有Ukey、文件等。 图（一） （二）令牌认证方式简介 令牌认证通常采用动态口令技术。所谓动态口令技术是对传统的静态口令技术的改进，用户要拥有一些东西如系统颁发的Token，Token上的数字是不断变化的，而且与认证服务器是同步的，因此用户登录到系统的口令也是不断地变化的（即所谓的“一次一密”）。 动态口令技术有两种同步方案：时间同步、事件同步。 时间同步 是指Token采用时间作为动态口令的一个种子，服务器端通过采用时间作为一个种子验证Token产生的口令。 事件同步 是指Token每次产生动态口令时以当前的计数作为一个种子，每次产生完成动态口令后，该计数会自动递增。服务器端同样采用次数作为验证时的种子。 目前常用的令牌认证有：手机令牌、短信令牌、硬件设备令牌等。以硬件令牌为例，其工作原理见图（二）。每个令牌中有一个随机生成的种子，这个种子的位数至少20位，可保证每个令牌的种子不重复，然后通过一般的摘要算法，例如 SM3、OATH的HMAc算法做加密，取得加密后的部分数据变换成随机密码。令牌与外界没有任何的数据通讯，服务端也保存有令牌中相同的种子，同样采用与令牌中相同的加密算法，得出相同的加密数据，再取得相同的随机密码进行校验。令牌的随机密码必须和客户的账号等绑定，才能给出密码是否匹配。服务端做认证时，同一个密码只允许校验一次。加密算法中还与时间相关，一般为60秒，不同的时间产生的密码是不一样的。 图（二） 三、比较分析 （一）适用范围方面 1.数字证书 用户、系统之间认证，支持双方认证，用户、系统都能够验证对方的身份；用户、用户之间认证，基于可信的数字证书，用户可以认证相互之间的身份；系统、系统之间认证，网络应用系统之间可以采用数字证书进行系统之间的认证；支持数据必威体育官网网址，可以采用数字证书对传输数据进行加密保护；支持基于数字证书的交易签名，符合电子签名法要求，可作为有效法律证据。 2.令牌认证 系统对用户进行认证；适用于主机、设备、网站等认证登录用户的身份。 （二）可靠性方面 1.数字证书 认证包括两个过程，证书发放和证书登录，证书发放过程通过CA系统完成，证书登录过程主要通过业务系统完成。在CA系统瘫痪时，业务系统仍然可以继续采用数字证书进行登录。此时最大的问题是无法为新的用户签发证书，不能及时吊销现有的证书。相对于业务系统不能登录而言，这些问题并不算太严重 2.令牌认证