论文部分内容阅读
随着计算机网络的发展和电子商务的迅速普及,网络安全受到人们的日益重视。身份认证是确保网络安全的重要环节之一,对电子商务应用起着非常重要的作用。身份认证技术是网络安全中的一个重要研究内容。
身份认证技术解决的是验证网络通信双方真实身份的问题,目的是为了在通信双方之间建立相互信任的关系。通过对身份认证技术的理论分析和系统设计等方面的研究,可以增强现有认证系统的安全性、可用性和易管理性,提高系统的效率,为网络安全系统应用提供高效实用的解决方案。
目前比较可行的方案是将身份认证的关键部分移植到PC机外部,市场上同类产品大多实现了双因子身份认证,能够存储两张以上数字证书,但同时也存在着一定的不足,论文在分析市售产品的优缺点基础上提出一种用于网络身份认证的基于USB接口的身份识别系统。
论文首先分析了当前用于身份认证的几种主要技术,通过对比几种技术的优点与不足,得出基于生物信息的身份认证方式目前还难以普及,基于物理设备结合密码学知识的解决方案比较安全可行。
其次,论文对涉及身份钥认证的主要技术进行了简要介绍。包括公开密钥技术、安全信道构建技术及口令认证中的CHAP技术。另外论文还对针对身份钥的主要破解技术进行了介绍和分析。
最后,论文介绍了作者在此期间的主要工作:
论文方案建立在公开密钥基础设施(PKI)的框架内,采用密码学认证技术,以USB身份钥作为信息载体,配合用户PIN码,实现了软硬相结合的双因素认证模式。采用RSA公开密钥算法实现对外来数据摘要信息的数字签名,并可在身份钥内生成用户公私密钥对。
论文创新点在于针对硬件身份钥中的存储器件易被非法用户读取分析,进而破解的安全威胁,提出一种对抗EEPROM复制技术,该技术能大大增加非法用户对身份钥内存储信息的破解难度,从而实现保护身份钥使用者信息安全的目的。为了进一步强化身份钥的安全性,论文还设计了一种强化的设备认证协议,通过该协议,实现身份钥硬件与登录主机驱动之间的双向认证,有效防止了非法驱动冒充合法驱动骗取身份钥硬件信任的安全威胁。在用户身份认证部分,论文实现了用户身份智能识别功能,对用户密码进行密文存储,整个认证过程用户密码明文不在信道中出现,并通过确认用户交换信息的新鲜性防止外来重发攻击。通过对不同级别用户登录模式的区别管理,有效限制了外来用户对身份钥用户密码的破解。以上创新点对身份钥的安全性能有较大提高,具有一定的实用价值。
本方案已在以PDIUSBD12为接口、以ARM7内核单片机LPC2104为核心控制器的硬件平台上实现并调试通过。