◆董生忠 赵新刚 刘多才

（沈阳师范大学 辽宁 110034）

网络安全认证技术与协议研究

◆董生忠 赵新刚 刘多才

（沈阳师范大学 辽宁 110034）

网络认证技术是在计算机网络安全中有效解决身份安全和确认操作者身份安全而产生的方法，因为计算机网络世界中的身份验证信息都是用一组特定的数据来表示，所有对用户的授权也是针对用户数字身份来识别的。本文就如何保证网络数字身份认证与操作者的物理身份相对应的安全要求，阐述认证安全技术的类别方式和所使用的安全加密形式。作为防护网络安全的第一道关口，身份认证在网络保护过程中有着举足轻重的作用。

网络安全；认证技术；协议

0 引言

网络认证技术是防止分析人员对系统进行主动攻击，如仿造、篡改信息等，它对于网络开放环境中的各种信息系统安全起到重要作用。认证一般包括身份认证和消息认证，并通过数字签名以保证文件的真实性。其主要目的一是信源识别，即验证信息的发送者是真实可靠而不是冒充；二是完整性验证，即保证信息在传送过程中未被篡改、重放或者延迟等。

1 身份认证技术

身份认证是认证技术的一个重要组成部分，是指验证一个最终用户或设备的声明身份的过程，即验证建立信息收、发者的身份，主要目的是信源识别和完整性验证。在网络安全保障中能否正确地验证通信或终端用户的个人身份信息是最基本的必备条件，也是用来获得对谁或对什么事情信任的一种最有效机制。而身份认证是验证通信用户或终端个人身份最重要的安全服务之一，它对于开放环境中的各种信息系统的安全性有重要作用。其他所有安全服务都信赖于认证服务，如机要部门或特殊场所的进入、ATM自动取款机等各种计算机资源系统的介入都需要对用户的个人身份进行识别认可。

1.1 口令机制

帐户名/口令认证是最广泛研究的一种身份验证方法，也是认证系统所信赖的一种最实用的机制，常用于操作系统登录、telnet、rlogin等。一般情况下口令是由数字、字母组成的长为5-8的字符串，有时也包括特殊字符、控制字符等。口令系统最严重的脆弱点是外部泄露和口令猜测，还有线路窃听、暴力破解、重放等，人为的具体防范措施包括定期改变口令，建议严密的管理办法和执行手续，加强安全意识和进行系统培训教育等。从系统安全角度可以采用限制终端非法认证的次数和限定在给定终端登录，阻止计算机自动猜测程序可采用具体的实时延迟插入到口令验证过程等方法来提供保障。

口令认证方案协议最常用的是S/Key协议，这是一种基于MD4和MD5的一次性口令生成方案。S/Key协议运行于C/S服务器环境中，客户机发送初始化包启动S/Key协议，服务器以明文形式发送一个启动值给客户机，然后客户机利用散列函数对启动值和秘密口令生成一个一次性口令，以确保生成口令的唯一性，然后传送给服务器进行认证。

1.2 个人持证

个人持证（令牌）的身份安全认证，如智能卡、磁卡、钥匙、标志、护照等。以当前应用最为广泛的智能卡为代表进行阐述，智能卡就是将微处理器芯片内嵌在宿卡上取代替无源存储磁条，卡上的处理器有4K字节的小容量EPROM，甚至有液晶显示和对话功能。现阶段已经开发出了智能卡操作系统COS，其全称是Chip Operating System（片内操作系统），身份认证的安全性是COS设计的关键环节，COS自创建了一种安全体系，其方法是把控制权以安全的方式移交给客户自己处理，而开发者和发放者不留下任何后门，客户将利用COS安全体系保护用户自己的个人安全数据信息。

1.3 个人特征

个人特征如指纹、视网膜、声音识别和笔迹识别等，这些是对一个人认证时可以提前预设的安全机制提供基础支持和特征描述。其特点是个人特征会随着时间变化而变化，而且验证设备必须有一定的容限，容限过小不能正确认出合法用户，容限过大则难以区分用户。

2 消息认证技术

2.1 消息认证的概念

消息认证就是意定的接收者能够检验收到的消息是否真实的方法，又称为完整性校验，为便于理解，其实也就是在OSI安全模型中被定义为封装的技术。其内容包括：证实消息的信源和信宿；消息内容是否曾收到于偶然或者被有意地篡改；消息的序号和时间性是否正确。比如在计算机网络安全认证中，经常由用户A发送信息给用户B，这里的用户即可以是个人、团体组织也可以是处理机等。这种认证只在相互通信的用户A和用户B双方进行，而不允许第三者参与上述认证过程。真正的认证过程是发送方对在发送消息的同时对消息产生一个消息摘要，而消息接收者按同样的方法对接收到的消息内容产生一个消息摘要，并检查验证两者间的信息摘要是否一致，以此保证消息在传输过程中的安全性。为防止攻击者的主动攻击并对消息内容进行修改，需要在消息摘要的产生过程使用密码技术进行加密。

2.2 安全单向散列函数

在实际网络安全消息认证中常常利用安全单向散列函数来产生消息摘要，又称哈希函数、杂凑函数。其作用是对任意长度的输入消息输出一个固定长度的散列值，这个散列值称为源输入消息的消息摘要，也称为完整性校验值、消息认证码（MAC）、消息完整性码（MIC）、附件等。安全单向散列函数提供了消息或者文件的指纹，散列指纹具有唯一性，与人类的指纹相类似，从而对消息的完整性认证提供了保障。同时它必须具有以下属性：（1）一致性，即相同的输入总是产生相同的输出；（2）随机性，或者可以提供随机的外观，以防止被猜测出源消息；（3）唯一性，即几乎不存在找到两个消息会产生相同的消息摘要；（4）单向性，即如果给出输出，则不可能确定出输入消息；（5）易于实现高速计算，以便于考虑硬件实现成本或者便于软件实现。

2.3 常用的摘要算法

常用的摘要算法有：消息摘要4算法（MD4）、消息摘要5算法（MD5）、安全散列算法（SHA）。MD5和SHA都是当今安全产品实现中最常用的散列函数，它们全是建立在MD4的基础之上，MD5按512K比特块来处理其输入，同时产生一个128位的消息摘要，由于摘要算法是一个不可逆的过程，因此在认证过程中由摘要信息不可能计算出共享的密钥。SHA也是按512比特块处理其输入，但它产生一个160位的消息摘要，因此SHA更加消耗处理器时间，同等条件下比MD5运动稍慢，现阶段最常见的是在其基础之上发展出来的SHA-1修订版算法。

3 数字签名

3.1 数字签字的原理

数字签名（又称公钥数字签名、电子签章）是一种用数字技术模拟写在纸上的普通物理签名技术，通过使用公钥加密领域的技术达到目的，而用于鉴别数字信息的方法，则通过签名和验证两种互补的运算实现。数字签名是用于确认发送方身份和消息完整性的一个加密的消息摘要，通过信息的发送者才能产生别人无法伪造的一段数字串，这段数字串同时也是对信息的发送者发送信息真实性的一个有效证明，类似于我们日常工作中的签名，只是用0和1的字符串代替而已。最常用的一些公钥数字签名算法有RSA算法和数字签名标准算法DSS。DSS由美国国家技术标准研究所提出，它建立在Elgamal公钥算法的基础之上的开发出来的加密技术，它与RSA相比，DSS在生成密钥时速度更快一些，在生成签名时的性能差不多，但进行签名验证时要慢得多。

3.2 数字签名的原理

数字签名的原理是利用公钥密码体制（身份认证机构）申请注册取得一个数字证书，当数字签名时，用自己本人知道的私钥对消息摘要进行加密，附加在消息后面。而接受者向身份认证机构求证是否真的是用你的密钥签发的文件，以确认发送消息者的安全可靠性。当然公钥加密系统允许任何人在发送信息时使用公钥进行加密，但接收者不可能百分之百确信发送者的真实身份，而只能在密码系统未被破译的情况下才有理由确信，此重要性在财务数据上的鉴权表现得尤为突出，并且数字签名具有保障数据的完整性和不可抵赖性等特点。

4 结束语

随着网络技术的发展和安全重要性的需求，如何辨识网络另一端的身份成为一个十分迫切的问题。本文主要讨论网络安全认证技术中的身份认证安全机理、应用技术与协议，使人们能够重视网络安全，并且对身份识别、认证要求和协议使用有一个清晰的认知。身份认证技术是网络安全技术的基础，只能充分了解它的重要性，才能通过与其它技术相结合，开发更安全、更适合于各种场合的安全认证解决方案。

1．辽宁省科技厅公益研究人才培养项目《有机蔬菜种植体系中的智能控制系统设计》（2015002005）阶段成果。

2．沈阳师范大学大学生创新创业训练项目阶段性成果。