一种身份认证模型的研究与实现
|
摘要
随着计算机技术和网络技术的发展,越来越多的企业和组织依靠网络这个平台来开展它们的业务,信息安全问题日益受到人们的重视。身份认证作为信息安全系统的第一道防线,是最重要的安全服务之一,也是实现其它安全服务的前提。
现有的基于挑战-质询的身份认证模型的基本思想是:在进行身份认证的过程中,加入不确定因素以生成动态变化的认证信息,从而提高认证过程的安全性。但是这种模型尤其是在具体实现的时候表现出了其弱点和不足之处,不能有效抵抗窃听、假冒、重放、口令猜测、中间人攻击等攻击,从而不能提供足够的安全性。
本文以身份认证技术和认证协议为研究重点,主要对关键技术点、模型的设计与分析、原型系统的程序实现与测试进行了说明。分析比较了相关的密码学技术与基本原理,身份认证的基本概念,常见的身份认证技术和身份认证模型(协议)。重点分析了挑战-质询机制,指出了它存在的安全缺陷,及针对这些缺陷存在的攻击方式和手段。在此基础上,提出了一种基于挑战-质询机制的改进的身份认证模型,并对改进模型进行了初步分析。对改进模型进行了仿真和实现,并进行了简单测试和分析。改进模型引入了随机盐和再HASH机制,实现了双向认证和双因素认证,提高了协议抵抗窃听、假冒、重放、口令猜测、中间人攻击等攻击手段的能力,从而提高了协议的安全性。最后,对研究工作进行了总结,并展望了进一步的研究工作。
With the development of computer technology and network technology ,more and more enterprises and organizations conduct their business rely on the platform of networks ,and information security has become the focus of concern gradually for the people. As the first line of defense in information security system, entity authentication is one of the most important security service as well as the basis for other security services.
The key idea of existing entity authentication models based on Challenge -Response is to keep the verification changing constantly through the way of import changing factors, which can enhance the security. But such schemes could show its weaknesses and inadequacies especially in the time of concrete implementation, and can not provide adequate security.
This thesis focus on identity authentication technology and protocol, the key technical points, designing and analyzing of the authentication scheme, programming and testing of the prototype system are presented. Here cryptography theory and the concept, mechanism of identity authentication and protocols are discussed. Challenge-Response mechanism is detail analyzed and its' security defects are given, and then common attack methods against these defects are analyzed. Finally an improved scheme is proposed and then the scheme is preliminary analyzed. On this basis, simulate and implement the scheme, and a simple test and analysis is conducted. Finally, the summary of the research is carried out, and the research work in the future is also suggested.
in the improved model, the salt and the mechanism of re-hash are imported, mutual authentication and two-factor authentication are implemented, which can withstand attack methods such as eavesdrop、masquerade、replay、password guess attack、man-in-the-middle attack ,and the security is enhanced.
现有的基于挑战-质询的身份认证模型的基本思想是:在进行身份认证的过程中,加入不确定因素以生成动态变化的认证信息,从而提高认证过程的安全性。但是这种模型尤其是在具体实现的时候表现出了其弱点和不足之处,不能有效抵抗窃听、假冒、重放、口令猜测、中间人攻击等攻击,从而不能提供足够的安全性。
本文以身份认证技术和认证协议为研究重点,主要对关键技术点、模型的设计与分析、原型系统的程序实现与测试进行了说明。分析比较了相关的密码学技术与基本原理,身份认证的基本概念,常见的身份认证技术和身份认证模型(协议)。重点分析了挑战-质询机制,指出了它存在的安全缺陷,及针对这些缺陷存在的攻击方式和手段。在此基础上,提出了一种基于挑战-质询机制的改进的身份认证模型,并对改进模型进行了初步分析。对改进模型进行了仿真和实现,并进行了简单测试和分析。改进模型引入了随机盐和再HASH机制,实现了双向认证和双因素认证,提高了协议抵抗窃听、假冒、重放、口令猜测、中间人攻击等攻击手段的能力,从而提高了协议的安全性。最后,对研究工作进行了总结,并展望了进一步的研究工作。
With the development of computer technology and network technology ,more and more enterprises and organizations conduct their business rely on the platform of networks ,and information security has become the focus of concern gradually for the people. As the first line of defense in information security system, entity authentication is one of the most important security service as well as the basis for other security services.
The key idea of existing entity authentication models based on Challenge -Response is to keep the verification changing constantly through the way of import changing factors, which can enhance the security. But such schemes could show its weaknesses and inadequacies especially in the time of concrete implementation, and can not provide adequate security.
This thesis focus on identity authentication technology and protocol, the key technical points, designing and analyzing of the authentication scheme, programming and testing of the prototype system are presented. Here cryptography theory and the concept, mechanism of identity authentication and protocols are discussed. Challenge-Response mechanism is detail analyzed and its' security defects are given, and then common attack methods against these defects are analyzed. Finally an improved scheme is proposed and then the scheme is preliminary analyzed. On this basis, simulate and implement the scheme, and a simple test and analysis is conducted. Finally, the summary of the research is carried out, and the research work in the future is also suggested.
in the improved model, the salt and the mechanism of re-hash are imported, mutual authentication and two-factor authentication are implemented, which can withstand attack methods such as eavesdrop、masquerade、replay、password guess attack、man-in-the-middle attack ,and the security is enhanced.
引文
[1] Sun HM. An efficient remote user authentication scheme using smart cards. IEEE Transactions on Consumer Electronics. 2000(46).
[2] Das ML. Saxena A. Gulati VP. A dynamic ID-based remote user authentication scheme[J ]. IEEE Transactionsons Consumer Electronics. 2004(50).
[3] Simpson W. PPP Authentication Protocols. RFC 1334. October 1992.
[4] Simpson W. PPP Challenge Handshake Authentication Protocol (CHAP)[S]. RFC1994 1992-10.
[5] Simpson W. The Point-to-Point Protocol (PPP). RFC 1661. July 1994.
[6] C Neuman. The Kerberos network authentication service (V5). Internet RFC 1510. September 1993.
[7] C Neuman. The Kerberos network authentication service(V5). Internet RFC 4120. July 2005.
[8] 陈云,春山,邓亚平. Kerberos认证协议的研究和改进. 电子技术应用. 2006年第10期.
[9] R Housley. Wford. W Polk. Internet X.509 Public Key Infrastrueture Certificate and CRL Profile[S],RFC2459, January 1999.
[10] M Myers. C Adams. D Solo. Internet X.509 Certificate Request Message Format[S]. RFC2511. March 1999.
[11] 韩旭,柳克俊,祖先锋. 基于ThinClient/Server的三因素身份认证方案. 计算机工程, 2006年32卷24期.
[12] 李仕强,王水平. 基于指纹特征的考生身份认证系统. 计算机工程. 2006年32卷21期.
[13] Bruce Schneier. Applied Cryptography Second Edition:protocols algorithms and source code in C, 1996 ISBN 7-111-07588-9.
[14] 杨义先,钮心忻. 网络安全理论与技术. 北京人民邮电出版社. 2005。
[15] Sean Convery. 网络安全体系结构. 北京人民邮电出版社. 2005.
[16] 卢开澄. 计算机密码学—计算机网络中的数据保密与安全(第二版). 清华大学出版社. 1998:3-5.
[17] 高俊娜,于继万,朱华飞. 一种新的 SIP SSO 机制. 计算机应用. 2004,24(5):53-55.
[18] 蔡衍文,陈天洲. SSL 安全代理多重认证分析与实现. 计算机工程. 2004.30(16):39-41.
[19] Difie W. Hellman M E. New Directions in Cryptography[JI.IEEE Transactions on lntbrmation Theory.1 976. IT22(6): 644—654
[20] 姜华,赵洁. 虹膜识别的网络身份认证系统研究与实现. 计算机工程与科学. Vol.28. No.6 ,2006.
[21] 刘知贵,臧爱军,陆荣杰,郑晓红. 基于事件同步及异步的动态口令身份认证技术研究. 计算机应用研究. 2006
[22] 谢勃. 基于数字水印与指纹识别的网络双重身份认证. 计算机工程与科学. Vo1.28,No.6,2006.
[23] 范红,冯登国. 安全协议理论与方法. 科学出版社. 2003
[24] 卿斯汉,安全协议20年研究进展,软件学报, 2003, 14(10):1740-1742.
[25] 李中献,詹榜华,杨义先. 认证理论与技术的发展,电子学报. 1999, 21(7):98-102
[26] 郭代飞,杨义先,李作为等. 数字身份认证技术的现状与发展. 计算机安全. 2003,7:1-4
[27] 卿斯汉. 安全协议. 清华大学出版. 2005.03.
[28] 张虎强,洪佩琳,李津生,黄冠尧. 用户名密码认证方案的安全性分析及解决方案计算机工程与应用, 2006.33.
[29] 任传伦,李远征,杨义先. CHAP 协议的分析和改进. 计算机应用. Vo1.23,No.6 June,2003
[30] 李焕洲,林宏刚,戴宗坤,陈麟. MS—CHAP 鉴别协议安全性分析. 四川大学学报(工程科学版) V01.37 No.6 Nov.2005.
[31] 王坤,李建,谢培泰. MS—CHAPv2 密码分析. 计算机工程与应用. 2002.24.
[32] 王滨,张远洋. 一次性口令身份认证方案的分析与改进. 计算机工程. July 2006.
[33] 蒋建春,黄菁,卿斯汉. 黑客攻击机制与防范. 计算机工程. July 2002.
[34] 刘刚,司渐美. 对一个双向身份认证方案的改进. 计算机安全. 2006.10.
[35] 林琳,罗安. 基于网络安全的数据加密技术的研究. 现代电子技术. 2004.178:101-103.
[36] 李成友,蒋东兴,夏春合. 网络安全传输通道技术的研究. 计算机工程与应用. 2002, 17:180 -183.
[37] T.Dierks. C.Allen. The TLS Protocol Version 1.0. RFC 2246,Network Working Group, 1999 ,4-46.
[38] N.Okamoto. S.Kimura.Y.Ebihara. An Introduction of Compression Algorithms SSL/TLS and Proposal of Compression Algorithms Specialized for Application. Advanced Information Networking and Applications,2003,8:817-8.
[39] N.Hailer. C.Metz. P_Nesser. M_S traw. A One-Time Password System. RFC2289 February 1998.
[40] T.C .Yeh. H.Y Shen. J.J.Hwang. A Secure One-TimeP assword Authentication Scheme Using Smart Cards. IEICE Transactionson Communications. Vol.E85, No.11 ,pp.2515-2518,2002-10.
[41] Tzung-Her Chen. Gwoboa Horng. Chao-Liang Liu. Security Enhancement for a One-Time Password Authentication Scheme Using Smart Cards,2002-11.
[42] 孙永全,王玉林,张颖. 基于有限域上遍历矩阵的零知识身份证明. 长春工业大学学报(自然科学版). Vol.27, No.2, Jun.2006.
[43] 吕立波. 网络环境下信息安全面临的主要问题与技术保护. 计算机与网. 2006 年 24 期.
[44] 刘晔. 浅谈电子商务中的网络安全防范技术. 中国科技信息. 2006 年 23 期.
[45] 李健俊,郭伟青,许端清. 基于令牌卡的多角色主机登录身份认证的设计与实现. 计算机工程与设计. 2006 年 27 卷 15 期.
[2] Das ML. Saxena A. Gulati VP. A dynamic ID-based remote user authentication scheme[J ]. IEEE Transactionsons Consumer Electronics. 2004(50).
[3] Simpson W. PPP Authentication Protocols. RFC 1334. October 1992.
[4] Simpson W. PPP Challenge Handshake Authentication Protocol (CHAP)[S]. RFC1994 1992-10.
[5] Simpson W. The Point-to-Point Protocol (PPP). RFC 1661. July 1994.
[6] C Neuman. The Kerberos network authentication service (V5). Internet RFC 1510. September 1993.
[7] C Neuman. The Kerberos network authentication service(V5). Internet RFC 4120. July 2005.
[8] 陈云,春山,邓亚平. Kerberos认证协议的研究和改进. 电子技术应用. 2006年第10期.
[9] R Housley. Wford. W Polk. Internet X.509 Public Key Infrastrueture Certificate and CRL Profile[S],RFC2459, January 1999.
[10] M Myers. C Adams. D Solo. Internet X.509 Certificate Request Message Format[S]. RFC2511. March 1999.
[11] 韩旭,柳克俊,祖先锋. 基于ThinClient/Server的三因素身份认证方案. 计算机工程, 2006年32卷24期.
[12] 李仕强,王水平. 基于指纹特征的考生身份认证系统. 计算机工程. 2006年32卷21期.
[13] Bruce Schneier. Applied Cryptography Second Edition:protocols algorithms and source code in C, 1996 ISBN 7-111-07588-9.
[14] 杨义先,钮心忻. 网络安全理论与技术. 北京人民邮电出版社. 2005。
[15] Sean Convery. 网络安全体系结构. 北京人民邮电出版社. 2005.
[16] 卢开澄. 计算机密码学—计算机网络中的数据保密与安全(第二版). 清华大学出版社. 1998:3-5.
[17] 高俊娜,于继万,朱华飞. 一种新的 SIP SSO 机制. 计算机应用. 2004,24(5):53-55.
[18] 蔡衍文,陈天洲. SSL 安全代理多重认证分析与实现. 计算机工程. 2004.30(16):39-41.
[19] Difie W. Hellman M E. New Directions in Cryptography[JI.IEEE Transactions on lntbrmation Theory.1 976. IT22(6): 644—654
[20] 姜华,赵洁. 虹膜识别的网络身份认证系统研究与实现. 计算机工程与科学. Vol.28. No.6 ,2006.
[21] 刘知贵,臧爱军,陆荣杰,郑晓红. 基于事件同步及异步的动态口令身份认证技术研究. 计算机应用研究. 2006
[22] 谢勃. 基于数字水印与指纹识别的网络双重身份认证. 计算机工程与科学. Vo1.28,No.6,2006.
[23] 范红,冯登国. 安全协议理论与方法. 科学出版社. 2003
[24] 卿斯汉,安全协议20年研究进展,软件学报, 2003, 14(10):1740-1742.
[25] 李中献,詹榜华,杨义先. 认证理论与技术的发展,电子学报. 1999, 21(7):98-102
[26] 郭代飞,杨义先,李作为等. 数字身份认证技术的现状与发展. 计算机安全. 2003,7:1-4
[27] 卿斯汉. 安全协议. 清华大学出版. 2005.03.
[28] 张虎强,洪佩琳,李津生,黄冠尧. 用户名密码认证方案的安全性分析及解决方案计算机工程与应用, 2006.33.
[29] 任传伦,李远征,杨义先. CHAP 协议的分析和改进. 计算机应用. Vo1.23,No.6 June,2003
[30] 李焕洲,林宏刚,戴宗坤,陈麟. MS—CHAP 鉴别协议安全性分析. 四川大学学报(工程科学版) V01.37 No.6 Nov.2005.
[31] 王坤,李建,谢培泰. MS—CHAPv2 密码分析. 计算机工程与应用. 2002.24.
[32] 王滨,张远洋. 一次性口令身份认证方案的分析与改进. 计算机工程. July 2006.
[33] 蒋建春,黄菁,卿斯汉. 黑客攻击机制与防范. 计算机工程. July 2002.
[34] 刘刚,司渐美. 对一个双向身份认证方案的改进. 计算机安全. 2006.10.
[35] 林琳,罗安. 基于网络安全的数据加密技术的研究. 现代电子技术. 2004.178:101-103.
[36] 李成友,蒋东兴,夏春合. 网络安全传输通道技术的研究. 计算机工程与应用. 2002, 17:180 -183.
[37] T.Dierks. C.Allen. The TLS Protocol Version 1.0. RFC 2246,Network Working Group, 1999 ,4-46.
[38] N.Okamoto. S.Kimura.Y.Ebihara. An Introduction of Compression Algorithms SSL/TLS and Proposal of Compression Algorithms Specialized for Application. Advanced Information Networking and Applications,2003,8:817-8.
[39] N.Hailer. C.Metz. P_Nesser. M_S traw. A One-Time Password System. RFC2289 February 1998.
[40] T.C .Yeh. H.Y Shen. J.J.Hwang. A Secure One-TimeP assword Authentication Scheme Using Smart Cards. IEICE Transactionson Communications. Vol.E85, No.11 ,pp.2515-2518,2002-10.
[41] Tzung-Her Chen. Gwoboa Horng. Chao-Liang Liu. Security Enhancement for a One-Time Password Authentication Scheme Using Smart Cards,2002-11.
[42] 孙永全,王玉林,张颖. 基于有限域上遍历矩阵的零知识身份证明. 长春工业大学学报(自然科学版). Vol.27, No.2, Jun.2006.
[43] 吕立波. 网络环境下信息安全面临的主要问题与技术保护. 计算机与网. 2006 年 24 期.
[44] 刘晔. 浅谈电子商务中的网络安全防范技术. 中国科技信息. 2006 年 23 期.
[45] 李健俊,郭伟青,许端清. 基于令牌卡的多角色主机登录身份认证的设计与实现. 计算机工程与设计. 2006 年 27 卷 15 期.