身份认证技术论文篇1

身份认证是指用户必须提供他是谁的证明。认证的目的就是弄清楚他是谁，具有什么特征，知道什么可用于识别他的东西。这种证实客户的真实身份与其所声称的身份是否相符合的过程是为了限制非法用户访问网络资源，是其他安全机制的基础。

认证技术是信息安全理论与技术的一个重要方面。身份认证是安全系统中的第一道关卡，用户在访问安全系统之前，首先经过身份认证系统识别身份，然后访问监控器, 根据用户的身份和授权数据库决定用户是否能够访问某个资源。授权数据库由安全管理员按照需要进行配置。审计系统根据审计设置记录用户的请求和行为，同时如情监测系统实时或非实时地检测是否有入侵行为。访问控制和审计系统都要依赖于身份认证系统提供的“信息”即用户的身份。一旦身份认证系统被攻破，那么系统的所有安全措施将形同虚设。黑客攻击的目标往往就是身份认证系统，下面要讨论的是单机状态下的身份认证。

二、单机状态下的身份认证

单机状态下的用户登录计算机，一般有以下几种形式验证用户身份:用户所知道的东西，如口令，密码；用户所拥有的东西，如智能卡，身份证，护照，密钥盘；用户所具有的生物特征，如指纹，声音，视网膜扫描，DNA等。

1.基于口令的认证方式

基于口令的认证方式是最常用的一种技术。用户输入自己的口令，计算机验证并给予用户相应的权限。这种方式中很重要的问题是口令的存储，一般有两种方法:

（1)直接明文存储口令。这种方式有很大风险，任何人只要得到存储口令的数据库，就可以得到全体人员的口令。

（2)Hash散列存储口令。散列函数的目的是为文件，报文或其他分组数据产生”指纹”。

2.基于智能卡的认证方式

智能卡又称集成电路卡，即IC卡。智能卡具有硬件加密性能，有较高的安全性。智能卡存储用户个性化的秘密信息，同时在验证服务器中也存放该信息。进行认证时，用户输入个人身份识别码，智能卡认证成功后，即可读出智能卡中的秘密信息，从而防止秘密信息的泄露。

3.基于生物特征的认证方式

基于生物认证的方式是以人体惟一的、可靠的、稳定的生物特征（如指纹，虹膜，掌纹等）为依据，采用计算机的强大的计算功能和网络技术进行图像处理和模式识别。该技术具有很好的安全性，可靠性和有效性，与传统的身份确认手段相比,无疑产生了质的飞跃。

生物认证的过程分为四个阶段：抓图，抽取特征，比较和匹配。本文要讨论的是在单机状态下基于智能卡的认证方式，设计工作中将用到的智能卡（安全芯）。安全芯的主体是具有运算功能的单片机，通过USB接口同PC 主机通讯。安全芯在不做任何处理时就可以完成一些软件加密的任务。

三、身份认证系统实现

1.系统需求

应用要求：在用户登录成功状态下，按下Ctrl+Alt+Del时系统不再弹出“Widows安全”对话框。由于并不需要改变用户名、密码这种标准的认证模式，所以可以仍然使用msgina.dll中导出的函数接口，而对WlxLoggedOnSAS函数的实现进行必要的改变。

开发环境：Windows 2000，PII 400。

开发工具：Microsoft Visual C++ 6.0。

2.开发步骤

(1)新建项目，选择MFC AppWizard(dll),项目名输入为MyGina。按下“OK”后，选择Regular DLL with MFC statically linked，按下“Finish”。

(2)使用View->ClassWizard为CmyGinaApp增加InitInstance和ExitInstance两个函数的覆盖。注意在Stdafx.h中加入#include 。

(3)由于要导入msgina.dll的接口函数，所以在MyGina.h中定义接口函数变量类型，并在类CmyGinaApp中定义成员变量。

（4）在MyGina.cpp中，实现InitInstance。

（5）实现接口函数。由于本应用仍然保持msgina.dll的大部分操作，所以MyGina.dll的接口函数的实现较为简单，需要注意的是WlxLoggedOnSAS函数的实现，当在成功登录状态下，不管接收到什么SAS事件，该函数直接返回WLX_SAS_ACTION_NONE而不做其他处理。

四、结束语

随着计算机技术的不断发展，计算机的安全问题日益被人们越来越关注，尤其是网络技术的飞速发展，使得计算机被攻击与破坏事件层出不穷，所以安全问题已经引起许多国家的重视。身份认证技术是信息安全理论与技术的一个重要方面。开发和研究身份认证技术无疑是一项前景光明的事业。

身份认证技术论文篇2

文献标识码：A

文章编号：1009-2374(2011)22-0036-02

身份认证是网络安全的第一道防线，也是最重要的屏障，网络中的各种应用和计算机系统都需要通过身份认证来判断当前用户是否合法，确定用户的身份，从而使合法用户获得的相应访问权限。对于不合法用户则拒绝访问。本文主要针对身份认证技术和优劣作简要分析。

一、身份认证的原理分析

身份认证技术主要是基于这四个要素：

“你所知道的”，如密码、口令、知识等；“你所拥有的”，如一个动态口令卡、一个IC卡、令牌或USBKEY等；“你是谁”，如指纹、脸像、虹膜、声音、笔迹等；“你所处得位置”，如地理位置、IP地址等。

本文讨论的动态口令身份认证、智能卡身份认证、基于地址的认证、IBE身份认证、生物特征识别技术，都是基于这几个要素或是在这几个要素的基础之上，相互结合发展而来。

(一)简单口令认证

简单口令认证是基于“你所知道的”最常见的认证技术，它以用户名／密码形式来对用户进行身份认证，只要用户输入正确密码，就判断为合法用户，如图1所示：

简单口令认证大多采用的是静态密码作为认证的基本因素，静态密码适用在对安全性要求不高的环境中，对于封闭的小型系统来说不失为一种简单可行的方法。

(二)动态口令认证

动态口令认证是一种一次性口令，为了解决静态口令安全性问题，动态口令技术让用户的密码按照时间或使用次数不断动态变化，每个密码只使用一次。动态口令技术主要分两种：同步口令技术和异步口动态令牌，其中同步口令技术又分为时问同步和异步口令技术。

时间盟同步技术采用动态令牌的专用硬件、内置、密码生成芯片和显示屏，密码生成芯片运行专门的密码算法，根据当前时问或使用次数生成当前密码并显示在显示屏上，认证服务器采用相同的算法计算当前的有效密码。用户使用时只需要将动态令牌显示的当前密码输入客户端计算机即可实现身份的确认。由于每次使用的密码验证通过就可以认为该用户是可靠的，用户每次使用的密码都不相同，即使黑客截获了一次密码，也无法利用这个密码仿冒合法用户的身份，动态口令技术采用一次一密的方法，有效地保证了用户身份的安全性。

事件同步技术，它不同于时间同步技术，它通过某一特定的事件次序及相同的种子值作为输入，在算法中运算出一致的密码，事件动态口令技术让用户的密码按照使用次数不断动态变化，用户每按下一次令牌就产生一次密码。

如图2所示，用户令牌用预设的密钥与用户按键的次数通过密码算法生成所需的口令，认证服务器同时根据每次用户登录事件计算出相同密码，与传过来的口令进行比较，以确认登录人的身份。

(三)基于智能卡的身份认证

已经应用很广泛，如USBKEY、SIM卡、SD卡等。智能卡的身份认证主要是利用了智能卡本身具有的运算能力以及智能卡与外界隔离的存储。下面以USBKEY讲述智能卡认证方式，当需要在网络中验证客户身份时，先由客户端向服务器发出一个验证请随机数求，服务器收到此请求后，生成一个随机数，将此随机数传给客户端，客户端将此随机数通过USB接口传给USBKEY硬件，USBKEY将此随机数与本身存储的密钥和在一起，进行散列运算得到一个结果，再将该结果作为认证数据传送给认证服务器；与此同时服务器也将产生的随机数与存放在服务器端的客户密钥进行相同的散列运算，并将得到的结果与客户端传送来的结果进行比较，如果相同则认为客户端是一个合法用户。

由于散列的运算及密钥读取等相关操作只会在USBKEY设备和服务器中进行，不会在客户端留下任何痕迹，同时，所使用的算法是不可逆算法，也就不用担心在客户端木马病毒、黑客等因素。密钥的安全性取决于算法的强度，又由于使用了动态密码算法，因此，大大提高了这种应用的安全性。但此种方式仍然无法保护用户数据网络传输过程的安全。

(四)生物特征识别技术

生物识别技术是利用每个人所具有的唯一生理特征。一般可用于身份识别的特征有指纹、脸像，虹膜、掌纹、声音、视网膜和DNA等人体的生理特征，以及签名、步态等行为特征。

这些生物特征具有稳定性、唯一性、方便性、不易遗忘等特点。不同的生物识别认证的原理大致相同，一般的结构如图3所示。模板数据库中存放了被认证方的特征数据。用户登录时，由传感器对用户的特征进行采集、量化，通过特征提取模块提取用户的特征码，再与模板数据库中存放的掌纹数据以某种算法进行比较，如果相符，则认证通过。

二、不同技术的优势

简单口令认证的优点简单易行，尤其成本低，适合安全性要求不高的小型系统。动态口令是随机的，口令不可预测并且口令不能重复使用，即使被窃听，也不会造成很大的损失。不过动态口令实现复杂，应用技术不够成熟，在解决同步问题上不够完美。智能卡实现成本低，使用方便、可靠性强，可以很好的与现有的其它认证技术相结合。生物特征识别的优点：不易遗忘，不易丢失；防伪性能好，不易伪造；使用方便，

“随身携带”，随时随地都可以使用。

三、结语

本文讨论目前比较主流的几种身份认证技术，分析了每种技术的优势，身份认证技术在网络安全中发挥着重要的作用，随着internet的发展，尤其电子商务和电子政务的迅速发展，对通信安全的要求越来越高，认证技术在理论和技术上将得以更快、更好的发展。

参考文献

[1]刘知贵．基于事件同步及异步的动态口令身份认证技术

研究[J]计算机应用研究，2006，(6)．

[2]罗斌．网络身份认证新技术[J]．计算机安全，2005，(1)．

身份认证技术论文篇3

日常生活中人们到商场购物，付款方式一般有两种：采用现金结算或采用银行卡结算。2006年1月4日和1月5日某媒体连续刊登了两篇报道，题目分别为《刷卡签名商家有责辨真伪》、《银行卡被盗刷商家没过错》。这两篇报道代表两个完全对立的观点，但是阐述的内容都具有相当的说服力。这就提出两个问题，第一，当银行卡被盗刷的情况下，由此产生的损失到底应该由“卡”的所有者承担，还是应该由收款的商家承担？第二，能否避免这种损失的发生？笔者对两个问题的回答是：在现有的法制环境、技术手段下，无法准确的判断损失、无法准确的分清责任，也就无法准确的判罚；采用新的安全技术能够避免这种损失，一旦出现被盗刷的情况，可以依法判罚。

传统身份识别、签名识别存在的缺陷

在现有金融支付平台上使用银行卡时，支付过程如下：在银行提供的联网POS机上刷卡，由客户输入密码，密码验证通过后POS机打印银行转账单据，客户在转账单据上签名，客户出示有效身份证明（如身份证），收款员验证客户签名及身份证明，收款员打印销售发票，至此整个支付过程结束。其中收款员验证客户签名及身份证明是非常关键的一个环节，本文所提出的问题就是针对这个环节。

该媒体两篇报道中支持卡所有者的观点认为，使用手写签名是银行卡不被盗刷的基本保障。这样可以鉴别刷卡人是否为卡的所有者。在中国银联颁发的《收单规范》中要求收单商户必须仔细核对签名，以防银行卡被盗刷。因此从卡的所有者角度出发，收单商户有责任对刷卡人的真实身份进行确认，对签名的真伪进行鉴别。如果收单商户不对刷卡人的手写签名进行鉴别，将意味着银行卡所有者的安全大门完全失去了最基本的设防。这种情况是任何合法交易对象，无论是收单商户、还是合法卡的所有者所不愿意看到的，将导致拥有银行卡的用户不再敢使用刷卡的方式消费，也意味着商户将失去一部份客户。

而站在收单商户的立场认为，银行卡被盗刷商家没有过错。商家无权干涉持卡者的消费方式，涉及的银行与银联也没有义务对POS机操作员进行培训，重要的是法院则认为刷卡过程中是否应该对签名进行鉴别、核对，相关法律法规没有做出特别规定，也就是说没有法律依据。所以据此，如果客户的银行卡丢失后没有及时挂失造成的损失，收单商户没有责任。

刷卡是一种非常方便的支付方式，但是要得到人们的认可、在生活中得以推广，必须有一个安全的支付环境和支付工具，使得卡的所有者、收单商户、银行三方的利益都得到充分的保护。

笔者认为，在目前的技术条件下，要求POS机操作员仅仅依靠身份证来识别刷卡人的真实身份，同时要鉴别刷卡人签名时的笔迹是一项非常困难的工作。因为，一方面现在使用的身份证技术含量低，容易伪造；另一方面鉴别签名笔迹是一项技术性非常强的工作，一般人无法胜任，只有行业内的专家才能准确的鉴别，然而在实际工作中不可能为每一台POS机配备一名这样的技术专家。

那么是否能够找到一种在身份鉴别、签名鉴别上都非常方便、快捷、安全、实用的技术，这一问题就是本文论述的核心：RSA非对称加密解密技术应用模型。

RSA加密解密算法论述

RSA是一个非对称加密解密算法，由加密解密算法、公共参数、一对存在数学关系的公钥和私钥构成，其中算法、公共参数、公钥是可以公开的，私钥必须秘密保存。RSA的核心在于，加密时使用私钥，而解密时则使用公钥。

例如：用户甲拥有公共参数PN=14803，公钥PK=151，私钥SK=8871。现有明文PM=1234。

用户甲使用私钥SK对明文PM进行加密得到密文SM。

SM=PMSKMOD(PN)=12348871MDO(14803)=13960用户甲将自己的公共参数PN，公钥PK，以及密文SM发送给用户乙。用户乙进行解密计算得到明文PM。

PM=SMPKMOD(PN)=13960151MDO(14803)=1234

RSA用作数字签名

作为签名必须具备两个特性：防篡改，除签名者以外的其他人对签过名的内容做的任何改动都将被发现；抗抵赖，签名者无法抵赖自己签名的内容。

每一个RSA的用户都将拥有一对公钥和私钥。使用私钥对明文进行加密的过程可以被看作是签名的过程，形成的密文可以被看作是签名。当密文被改动以后就无法使用公钥恢复出明文，这一点体现出作为签名的防篡改特性；使用公钥对密文进行解密的过程可以被看作是验证签名的过程，使用公钥对密文进行解密恢复出明文，因为公钥来自于签名的一方（即用私钥加密生成密文的一方）。因此，签名一方无法否认自己的公钥，抵赖使用自己公钥解密后恢复出的明文，这一点体现出作为签名的抗抵赖特性。

RSA用作数字身份

身份是一个人的社会属性，用于证明拥有者存在的真实性，例如身份证、驾驶证、军官证、护照等。作为身份证明，它必须是一个不会被伪造的，如果被伪造则能够通过鉴别来发现。

将RSA技术应用于身份证明。当一个人获得一对密钥后，为了使利用私钥进行的签名具有法律效力，为了使自己公开的公钥、公共参数能够作为身份被鉴别，一般通过第三方认证来实现。用户要将自己的公钥、公共参数提交给认证中心，申请并注册公钥证书，如果使用过程中有人对用户的公钥证书产生质疑，需要验证持有者身份，可以向认证中心提出认证请求，以确认公钥证书持有者身份的真实性以及公钥证书的有效性。因此，可以把这个公钥证书看作持有者的一个数字身份证。

数字身份、数字签名在线鉴别模型

公钥证书在使用过程中可能会涉及到两个主体，拥有者与持有者。拥有者是公钥证书真正的所有者，而持有者则可能是一个公钥证书及私钥的盗用者。目前，认证机构的认证平台一般是建立在PKI公钥基础设施之上。当收到对某一个公钥证书的认证请求时，认证完成后出具的认证结果仅能够证明公钥证书本身的真实性、与之相关的数字签名的不可抵赖性，却无法证明持有者就是拥有者。RSA的使用则要求私钥必须秘密保存，一旦泄露只能及时挂失，如果在挂失之前被盗用，所产生的损失只能由拥有者自己承担，这种情况与银行卡被盗刷是相同的。尽管数字身份、数字签名、数字认证都是非常新的技术手段，但是就目前的认证方式、认证过程以及认证结果来看，依然没有解决公钥证书和私钥被盗用的问题。

本文针对公钥证书、私钥被盗用的问题设计出“数字身份、数字签名在线鉴别”模型。

传统的数字认证过程中，被认证的公钥证书与持有公钥证书的实体即证书的持有者之间没有任何关联，即使被认证的公钥证书是真实的、有效的，也不能证明持有者就是拥有者，这样就为盗用者提供了可乘之机。因此，必须对鉴别模型重新设计。

传统的RSA应用模型

用户甲可以自己生成非对称密钥对，也可以选择由认证中心生成；向认证机构提交公钥和公共参数申请并注册公钥证书；用户甲使用私钥对明文进行加密，形成具有签名效用的密文，通常要采用HASH函数进行压缩；用户甲将公钥证书以及经过数字签名的密文发送给用户乙；用户乙使用用户甲的公钥鉴别密文的数字签名；如果用户乙对用户甲的公钥证书产生质疑，可以提交用户甲的公钥证书给认证中心进行认证，认证中心对提交的公钥证书的真实性、有效性进行认证，并将认证结果返回用户乙。由于数字身份与数字签名的特殊性，提供认证服务的机构不应该是一个商业化的机构，而应该是具有政府职能的部门，例如：颁发身份证的公安局、颁发驾照的交管局、颁发护照的外交部等。在笔者设计的模型中，公安局替代传统的认证中心；针对被认证的公钥证书与持有者缺乏直接的关联，在认证结果的信息中，笔者设计增加所有者的详细信息资料，从而可以通过认证结果来鉴别持有者的真实身份。

改造后的RSA应用模型

由公安局为用户甲颁发一个公钥；用户甲自己选择公共参数，并生成私钥；用户甲将公钥、公共参数及个人的详细资料（居住地址、传统身份证号、联系电话、照片、指纹等）提交给公安局，申请并注册数字身份证（即公钥证书），数字身份证的鉴别编号由公钥和公共参数组合而成；用户甲使用私钥对明文进行加密，形成具有签名效用的密文；用户甲将签字密文、数字身份证发送给用户乙；用户乙使用用户甲的公钥鉴别密文的数字签名，并恢复密文为明文；如果用户乙对用户甲的公钥证书产生质疑，可以提交用户甲的公钥证书给认证中心进行认证，认证中心可以根据不同认证的级别返回不同的认证结果。

在新的模型中，认证将分为三级认证。一级认证，返回所有者的身份证号、住址、联系电话；二级认证，在一级认证基础之上附加返回所有者的照片；三级认证，在二级认证基础之上附加返回所有者的指纹。

具体选择哪一种级别认证，取决于应用的性质。如果是签署网络协议可以采用一级认证，如果是在线支付可以选择二级或三级认证。这样可以通过认证的结果（联系电话、照片、指纹）来鉴别持有者与所有者身份是否相符。

RSA在刷卡中的应用

身份认证技术论文篇4

0 前言

计算机技术的发展和网络的普及，使得电子商务应运而生，电子商务是指交易当事人或参与人利用现代信息技术和互联网所进行的各类商业活动，包括货物贸易、服务贸易和知识产权贸易等。随着互联网的迅猛发展，加上多媒体与通讯条件的逐渐成熟，电子商务活动越来越普遍。

1 我国电子商务发展现状

网络购物是互联网作为网民实用性工具的重要体现，随着我国整体网络购物环境的改善，网络购物市场的增长趋势明显。目前的网络购物用户人数已经达到6329万人，有25.0%的网民青睐网上购物，跻身十大网络应用之列。而近半年我国网络购物变化情况如下表：

比较国外的发展状况，韩国网民的网络购物比例为57.3%，美国为66%。均高于我国网络购物的使用率，我国应着力推动电子商务的发展。

根据中国互联网发展信息中心的最新有关互联网的发展状况调查报告，网民不愿意进行电子商务交易的主要原因为担心交易安全问题。调查显示只有25.1%的网民表示对电子商务交易安全的可信，而74.9%的网民则表示不可信。因此迫切需要解决电子商务交易中的安全问题。

2 身份认证技术

电子商务交易过程中的安全性问题体现在很多的方面，比如物理网络的安全、计算机的安全、密码的安全等。这里我们最关心的莫过于交易过程中身份认证的密码安全。电子商务的身份认证采用最多的就是静态口令的“用户名＋密码”的方式，这是最为传统的方式，现在很多领域还在沿用。用户名是用户的惟一标识，而密码则是用来保障登录的用户是其本人。但是，在木马和病毒横行无忌的今天，这种基于静态口令的身份认证技术已经暴露出了许多弊端。因此，产生了动态口令身份认证技术。

动态口令（Dynamic Password）也称一次性口令（One-time Password）。动态口令是变动的口令，其变动来源于产生口令的运算因子是变化的。动态口令的产生因子一般都采用双运算因子（two factors）：其一，为用户的私有密钥。它是代表用户身份的识别码，是固定不变的。其二，为变动因子。正是变动因子的不断变化，才产生了不断变动的动态口令。采用不同的变动因子，形成了不同的动态口令认证技术：基于时间同步（Time Synchronous）认证技术、基于事件同步（Event Synchronous）认证技术和挑战/应答方式的非同（Challenge/Response Asynchronous）认证技术。在其他许多文献中对后两种动态认证技术做出了深入的分析，而对于第一种认证技术讨论和使用的不是很多。因此，本文重点讨论基于时间同步的动态口令身份认证技术。

3 时间同步

在通信领域，时间同步是指各网络节点设备、应用系统的时钟使用同一时间参考基准―――协调世界时（UTC），通过某种方式使其时钟的时刻和时间间隔与UTC同步。

网络时间协议NTP是用于互联网中时间同步的标准互联网协议。在通常的环境下，NTP提供的时间精确度在WAN上为数十毫秒，在LAN上则为亚毫秒级或者更高。在专用的时间服务器上，则精确度更高。NTP支持三种时间传送模式：多播模式、客户/服务器模式和对称模式。时间同步过程本文不再赘述。

4 基于时间同步的动态口令身份认证技术

基于时间同步认证技术是把时间作为变动因子，一般以60秒作为变化单位。用户在进行电子商务交易过程中，需要进行身份认证并访问身份认证系统时，整个过程如下图所示：

（1）用户端首先向应用服务器提出认证申请。用户端提出申请的主要目的是要与应用服务器进行时间同步。此时应用服务器应该安装相应的NTP服务器端软件，并且当用户端提出申请后，服务器端应该以插件的形式在用户端安装相应的NTP客户端软件。当用户提出认证申请后，双方使用NTP协议进行时间同步。即使在广域网的环境下，NTP的时间同步精度也能够达到数十毫秒，完全可以满足动态口令身份认证的要求。需要说明的是，应用服务器与认证服务器之间也必须进行时间同步，这样才能保证用户端与认证服务器的时间同步。

（2）用户端根据当前时间连同用户信息（如用户ID，输入的口令等）生成的动态口令传送到应用服务器，应用服务器请求认证服务器对客户的身份的合法性和真实性进行认证。

（3）认证服务器调用客户信息，产生与客户信息和时间相关的随机序列，并与客户输入的口令进行比对，判别客户身份的合法性和真实性。

（4）认证服务器将认证结果报告给应用服务器。

（5）应用服务器根据客户身份的合法性和真实性反馈给客户终端，并决定可以提供服务或拒绝服务。

5 结语

本文论述的这种基于时间同步的动态口令身份认证技术的优点为：动态口令一次性使用；操作简单；单向数据传输，只需用户向服务器发送口令数据，而服务器无需向用户回传数据；可以防止重放攻击，所谓重放攻击就是指网络黑客截获客户端传输给服务器的网络数据包后，到其它网络终端上重新向服务器发出该网络数据包从而获得服务器的认证。而时间交流中加入了系统时间信息，通过重放后传输到服务器的数据包由于时间差距而不能得到认证。而且整个认证过程只需与服务器交流一个来回，比服务器主动式交流认证具有更高的运行效率。但由于每个客户端都必须和服务器保持一致的系统时间才能确保时间交流认证正确，所以网络中要维护一台时间服务器。

本方法主要的缺点是用户端需要和应用服务器端进行时间同步，而且若数据传输的时间延迟超过允许值时，可能会对合法用户的登录造成身份认证失败。但是通过反复同步可以解决以上问题。

参考文献

［1］贺鹏，李菁.网络时间同步算法研究与实现［J］.计算机应用，2003，（2）：15-17.省略nic.省略 中国互联网信息中心第22次中国互联网发展状况调查报告.

［3］蔺聪，黑霞丽.基于动态口令的电子商务身份认证技术［J］.计算机安全，2008，（5）：58-59.

［4］应文兰，李爱平，徐立云.网络化制造系统动态身份认证的研究与现［J］.2008，（6）：1293-1294

身份认证技术论文篇5

计算机技术的发展和网络的普及，使得电子商务应运而生，电子商务是指交易当事人或参与人利用现代信息技术和互联网所进行的各类商业活动，包括货物贸易、服务贸易和知识产权贸易等。随着互联网的迅猛发展，加上多媒体与通讯条件的逐渐成熟，电子商务活动越来越普遍。

1 我国电子商务发展现状

网络购物是互联网作为网民实用性工具的重要体现，随着我国整体网络购物环境的改善，网络购物市场的增长趋势明显。目前的网络购物用户人数已经达到6329万人，有25.0%的网民青睐网上购物，跻身十大网络应用之列。而近半年我国网络购物变化情况如下表：

比较国外的发展状况，韩国网民的网络购物比例为57.3%，美国为66%。均高于我国网络购物的使用率，我国应着力推动电子商务的发展。

根据中国互联网发展信息中心的最新有关互联网的发展状况调查报告，网民不愿意进行电子商务交易的主要原因为担心交易安全问题。调查显示只有25.1%的网民表示对电子商务交易安全的可信，而74.9%的网民则表示不可信。因此迫切需要解决电子商务交易中的安全问题。

2 身份认证技术

电子商务交易过程中的安全性问题体现在很多的方面，比如物理网络的安全、计算机的安全、密码的安全等。这里我们最关心的莫过于交易过程中身份认证的密码安全。电子商务的身份认证采用最多的就是静态口令的“用户名＋密码”的方式，这是最为传统的方式，现在很多领域还在沿用。用户名是用户的惟一标识，而密码则是用来保障登录的用户是其本人。但是，在木马和病毒横行无忌的今天，这种基于静态口令的身份认证技术已经暴露出了许多弊端。因此，产生了动态口令身份认证技术。

动态口令（Dynamic Password）也称一次性口令（One-time Password）。动态口令是变动的口令，其变动来源于产生口令的运算因子是变化的。动态口令的产生因子一般都采用双运算因子（two factors）：其一，为用户的私有密钥。它是代表用户身份的识别码，是固定不变的。其二，为变动因子。正是变动因子的不断变化，才产生了不断变动的动态口令。采用不同的变动因子，形成了不同的动态口令认证技术：基于时间同步（Time Synchronous）认证技术、基于事件同步（Event Synchronous）认证技术和挑战/应答方式的非同（Challenge/Response Asynchronous）认证技术。在其他许多文献中对后两种动态认证技术做出了深入的分析，而对于第一种认证技术讨论和使用的不是很多。因此，本文重点讨论基于时间同步的动态口令身份认证技术。

3 时间同步

在通信领域，时间同步是指各网络节点设备、应用系统的时钟使用同一时间参考基准———协调世界时（UTC），通过某种方式使其时钟的时刻和时间间隔与UTC同步。

网络时间协议NTP是用于互联网中时间同步的标准互联网协议。在通常的环境下，NTP提供的时间精确度在WAN上为数十毫秒，在LAN上则为亚毫秒级或者更高。在专用的时间服务器上，则精确度更高。NTP支持三种时间传送模式：多播模式、客户/服务器模式和对称模式。时间同步过程本文不再赘述。

4 基于时间同步的动态口令身份认证技术

基于时间同步认证技术是把时间作为变动因子，一般以60秒作为变化单位。用户在进行电子商务交易过程中，需要进行身份认证并访问身份认证系统时，整个过程如下图所示：

（1）用户端首先向应用服务器提出认证申请。用户端提出申请的主要目的是要与应用服务器进行时间同步。此时应用服务器应该安装相应的NTP服务器端软件，并且当用户端提出申请后，服务器端应该以插件的形式在用户端安装相应的NTP客户端软件。当用户提出认证申请后，双方使用NTP协议进行时间同步。即使在广域网的环境下，NTP的时间同步精度也能够达到数十毫秒，完全可以满足动态口令身份认证的要求。需要说明的是，应用服务器与认证服务器之间也必须进行时间同步，这样才能保证用户端与认证服务器的时间同步。

（2）用户端根据当前时间连同用户信息（如用户ID，输入的口令等）生成的动态口令传送到应用服务器，应用服务器请求认证服务器对客户的身份的合法性和真实性进行认证。

（3）认证服务器调用客户信息，产生与客户信息和时间相关的随机序列，并与客户输入的口令进行比对，判别客户身份的合法性和真实性。

（4）认证服务器将认证结果报告给应用服务器。

（5）应用服务器根据客户身份的合法性和真实性反馈给客户终端，并决定可以提供服务或拒绝服务。

5 结语

本文论述的这种基于时间同步的动态口令身份认证技术的优点为：动态口令一次性使用；操作简单；单向数据传输，只需用户向服务器发送口令数据，而服务器无需向用户回传数据；可以防止重放攻击，所谓重放攻击就是指网络黑客截获客户端传输给服务器的网络数据包后，到其它网络终端上重新向服务器发出该网络数据包从而获得服务器的认证。而时间交流中加入了系统时间信息，通过重放后传输到服务器的数据包由于时间差距而不能得到认证。而且整个认证过程只需与服务器交流一个来回，比服务器主动式交流认证具有更高的运行效率。但由于每个客户端都必须和服务器保持一致的系统时间才能确保时间交流认证正确，所以网络中要维护一台时间服务器。

本方法主要的缺点是用户端需要和应用服务器端进行时间同步，而且若数据传输的时间延迟超过允许值时，可能会对合法用户的登录造成身份认证失败。但是通过反复同步可以解决以上问题。

参考文献

［1］贺鹏，李菁.网络时间同步算法研究与实现［J］.计算机应用，2003，（2）：15-17.

［2］http：//wwww.cnnic.com.cn 中国互联网信息中心第22次中国互联网发展状况调查报告.

［3］蔺聪，黑霞丽.基于动态口令的电子商务身份认证技术［J］.计算机安全，2008，（5）：58-59.

［4］应文兰，李爱平，徐立云.网络化制造系统动态身份认证的研究与现［J］.2008，（6）：1293-1294

身份认证技术论文篇6

一、基于秘密信息的身份认证方法

1、口令核对

口令核对是系统为每一个合法用户建立一个用户名/口令对，当用户登录系统或使用某项功能时，提示用户输入自己的用户名和口令，系统通过核对用户输入的用户名、口令与系统内已有的合法用户的用户名/口令对（这些用户名/口令对在系统内是加密存储的）是否匹配，如与某一项用户名/口令对匹配，则该用户的身份得到了认证。

缺点：其安全性仅仅基于用户口令的保密性，而用户口令一般较短且是静态数据，容易猜测，且易被攻击，采用窥探、字典攻击、穷举尝试、网络数据流窃听、重放攻击等很容易攻破该认证系统。

2、单向认证

如果通信的双方只需要一方被另一方鉴别身份，这样的认证过程就是一种单向认证，即前面所述口令核对法就算是一种单向认证，只是这咱简单的单向认证还没有与密?分发相结合。

与密?分发相结合的单向认证主要有两类方案：一类采用对密?加密体制，需要一个可信赖的第三方???通常称为kdc（密?分发中心）或as （认证服务器），同这个第三方来实现通信双方的身份认证和密?分发如des算法，优点运算量小、速度快、安全度高，但其密?的秘密分发难度大；另一类采用非对称密?加密体制，加密和解密使用不同的密?sk，无需第三方参与，典型的公?加密算法有rsa。认证优点能适应网络的开放性要求，密?管理简单，并且可方便地实现数字签名和身份认证等功能，是目前电子商务等技术的核心基础。其缺点是算法复杂。

3、双向认证

双向认证中，通信双方需要互相鉴别各自的身分，然后交换会话密?，典型方案是needham/schroeder协议。优点保密性高但会遇到消息重放攻击。

4、身份的零知识证明

通常的身份认证都要求传输口令或身份信息，但如果能够不传输这些信息身份也得到认证就好了。零知识证明就是这样一种技术：被认证方a掌握某些秘密信息，a想设法让认证方b相信他确实掌握那些信息，但又不想让认证方b知道那些信息。

如著名的feige-fiat-shamir零知识身份认证协议的一个简化方案。

假设可信赖仲裁选定一个随机模数n,n为两个大素乘积，实际中至少为512位或长达1024位。仲裁方产生随机数v，使x2＝v mod n,即v为模n的剩余，且有v－1mod n存在。以v作为证明者的公?，而后计算最小的整数s:s=sqrt(v-1)mod n作为被认证方的私?。实施身份证明的协议如下：被认证方a取随机数r,这里r<m,计算x=r2 mod m,把x送给认证方b；若b=1,则a将y=rs送给b；若b=0,则b验证x=r2 mod m,从而证实a知道sqrt(x);若b=1,则b验证x=y2.v mod m,从而证实a知道s。

这是一轮鉴定，a和b可将此协议重复t次，直到a相信b知道s为止。

二、基于物理安全性的身份认证方法

尽管前面提到的身份认证方法在原理上有很多不同，但他们有一个共同的特点，就是只依赖于用户知道的某个秘密的信息。与此对照，另一类身份认证方案是依赖于用户特有的某些生物学信息或用户持有的硬件。

基于生物学的方案包括基于指纹识别的身份认证、基于声音识别身份认证以及基于虹膜识别的身份认证等技术。该技术采用计算机的强大功能和网络技术进行图像处理和模式识别，具有很好的安全性、可靠性和有效性，与传统的身份确认手段相比，无疑产生了质的飞跃。近几年来，全球的生物识别技术已从研究阶段转向应用阶段，对该技术的研究和应用如火如茶，前景十分广阔。

三、身份认证的应用

1、kerberos是mit为分布式网络设计的可信第三方认证协议。网络上的kerberos服务起着可信仲裁者的作用，它可提供安全的网络认证，允许个人访问网络中不同的机器。kerberos基于对称密码技术（采用des进行数据加密，但也可用其他算法替代），它与网络上的每个实体分别共享一个不同的密?，是否知道该密?便是身份的证明。其设计目标是通过密?系统为客户/服务器应用程序提供强大的认证服务。该认证过程的实现不依赖于主机操作系统的认证，无需基于主机地址的信任，不要求网络上所有主机的物理安全，并假定网络上传送的数据包可以被任意地读取、修改和插入数据。

kerberos也存在一些问题： kerberos服务服务器的损坏将使得整个安全系统无法工作；as在传输用户与tgs间的会话密?时是以用户密?加密的，而用户密?是由用户口令生成的，因此可能受到口令猜测的攻击；kerberos 使用了时间戳，因此存在时间同步问题；要将kerberos用于某一应用系统，则该系统的客户端和服务器端软件都要作一定的修改。

2、http中的身份认证

http提供了一个基于口令的基本认证方法，目前，所有的web服务器都可以通过“基本身份认证”支持访问控制。当用户请求某个页面或运行某个cgi程序时，被访问访问对象所在目录下有访问控制文件（如ncsa用.haaccess文件）规定那些用户可以访问该目录，web服务器读取该访问控制文件，从中获得访问控制信息并要求客户提交用户名和口令对经过一定的编码（一般是base64方式），付给服务方，在检验了用户身份和口令后，服务方才发送回所请求的页面或执行egi程序。所以，http采用的是一种明文传输的口令核对方式（传输过程中尽管进行了编码，但并没有加密），缺少安全性。用户可以先把使用ssi建立加密信道后再采用基本身份认证方式进行身份认证，而是基于ip地址的身份认证。

3、ip中的身份认证

ip协议由于在网络层，无法理解更高层的信息，所以ip协议中的身份认证实际不可能是基于用户的身份认证，而是基于ip地址的身份认证。

四、身份认证技术讨论

在计算机网络中身份认证还有其他实现途径，如数字签名技术。传送的报文用数字签名来证明其真实性，简单实例就是直接利用rsa算法和发送方的秘密密?。

由于数字签名有一项功能是保证信息发出者的身份真实性，即信息确实是所声称的签名人签名的，别人不能仿造，这和身份认证的情形有些相似；身份认证的核心是要确认某人确实是他所声称的身份。那么，我想应该能借用数字签名机制实现身份认证，但这可能有一个困难，如果不预先进行密?分发（即使是公?，也要有一个机制将真实的公?信息传递给每一个用户）。可能数字签名也无从实现。

五、结语

在实际应用中，认证方案的选择应当从系统需求和认证机制的安全性能两个方面来综合考虑，安全性能最高的不一定是最好的。如何减少身份认证机制和信息认证机制中的计算量和通信量，而同时又能提供较高的安全性能，也是信息安全领域的研究人员进一步需要研究的课题。

身份认证技术论文篇7

一、身份认证

身份认证是通过身份识别技术及其他附加程序对用户的身份进行确认的全部过程。要在网上使交易安全、成功，首先要能够确认对方的身份。电子商务环境对身份识别技术的基本要求有： 1.身份的认证必须数字化；2.安全、健康，对人的身体不会造成伤害；3.快速、方便、易使用；4.性能价格比高，适合普及推广。用于身份认证的技术较多，最常用的是密码，使用身份标识码加密码来进行安全防范，如用户口令；还有使用物理载体的方式，例如使用证件、钥匙、各种卡等有形的载体来识别身份；另外还有生物特征身份识别方式，使用指纹、面像、视网膜、DNA、语音等特征来识别身份。

二、信息认证

信息认证的目的是防止信息被篡改、伪造，或信息接收方事后否认。确保电子商务的安全、可靠、一致性十分重要。信息认证技术是电子商务系统中的重要组成部分。由于网络上的信息是容易修改、复制的，通过电子数据方式达成的交易文件是不能被否认的，因此确保电子交易的信息都必须是不可否认的、不可被修改的，否则网上的交易就没有严肃和公正性。为实现这一目标，除了采用身份认证起到确保网上交易者身份的真实可信外，信息认证就用来确保交流的信息完整、不可抵赖性，以及信息访问的权限控制。

信息认证主要有两种方式：信息加密和数字签名。而实现这些技术都要应用数据加密技术。

1.加密技术

加密技术是保证电子商务安全的重要手段，它包括私钥加密和公钥加密。私钥加密又称对称密钥加密，即信息的发送方和接收方用一个密钥去加密和解密数据，目前常用的私钥加密算法包括DES和IDEA等。对称加密技术的最大优势是加密或解密速度快，适合于对大数据量进行加密，但密钥管理困难。公钥密钥加密，又称非对称密钥加密系统，它需要两个密钥——公开密钥(Public-Key)和私有密钥（Private-Key）。如果用公开对密钥进行加密，只有用对应的私有密钥才能进行解密；如果用私有密钥对数据进行加密，那么只有用对应的公开才能解密。非对称加密常用的算法是RSA。RSA算法利用两个足够大的质数与被加密原文相乘生产的积来加密或解密。这两个质数无论是用哪一个与被加密的原文相乘(模乘)，即对原文件加密，均可由另一个质数再相乘来进行解密。但是求解几乎是不可能的。非对称加密算法的保密性比较好，消除了最终用户交换密钥的需要，但加密和解密花费时间长、速度慢，不适合对文件加密而只适用于对少量数据进行加密。

信息发送方采用对称来加密信息，然后将对称密钥用接收方的公开密钥来加密，这部分称为数字信封(Digital Envelope)。之后，再分别和密文一起发送给接收方。接收方先用自己的私钥打开数字信封，得到对称密钥，然后使用对称密钥解开信息。

2.数字签名技术

对信息进行加密只解决了电子商务安全的第一个问题，而要防止他人破坏传输的数据，还要确定发送信息人的身份，这就需要采取另外一种手段——数字签名。数字签名采用了双重加密的方法来实现防伪、防抵赖。

把HASH函数和公钥算法结合起来，可以在提供数据完整性的同时，也可以保证数据的真实性。完整性保证传输的数据没有被修改，而真实性则保证是由确定的合法者产生的HASH。把这两种机制结合起来就可以产生所谓的数字签名（Digital Signature）。将报文按双方约定的HASH算法计算得到一个固定位数的报文摘要(Mes-sage Digest)值。只要改动报文的任何一位，重新计算出的报文摘要就会与原先值不符。然后把该报文的摘要值用发送者的私人密钥加密，将该密文同原报文一起发送给接收者，所产生的报文即称数字签名。

在电子商务的发展过程中，数字签名技术也有所发展，以适应不同的需要。数字时间戳就是一种变种的应用。在交易文件中，时间是十分重要的信息，在书面合同中，文件签署的日期和签名一样均是十分重要的防止文件被和篡改的关键内容。时间戳是一个经过加密后形成的凭证文档，它包括三个部分：需加时间戳的文件的摘要，DTS收到文件的日期和时间及DTS的数字签名。

3.认证机构

在电子交易中，无论是数字签字的签别还是数字时间戳服务都不是仅靠交易的双方自己能完成的，需要一个具有权威性和公正性的第三方来帮助实现。认证中心CA就是承担网上安全电子交易的认证服务、签发数字证书、确认用户身份的服务机构。认证中心通常是企业性的服务机构，具有半官方的身份，主要任务是受理数字证书的申请、签发及对数字证书的管理。通过认证机构来认证买卖双方的身份和信息，是保证电子商务交易安全的重要措施。

总之，安全是电子商务的核心和灵魂，没有安全保障的电子商务应用只是虚伪的炒作或欺骗，任何独立的个人或团体都不会愿意让自己的敏感信息在不安全的电子商务流程中传输。而信息认证能够支持电子商务应用的主要模式，确保交易信息的安全性，从而极大地推动电子商务的发展。

参考文献:

[1]傅铅生:电子商务教程[M].国防工业出版社，2006.8

身份认证技术论文篇8

在交通不方便、人员流动性弱的时代，一个人的活动半径可能也就几公里；与其交往的多半是同一村庄或者邻近村庄的熟人。这种情况下，一个人说“我是我”，是不需要什么证明的，他的社会关系和生物特征就是他天然的身份证。在那个时代，即便张三和李四距离稍远，互相不认识，只要他们都认识同一个王二麻子，并且王二麻子能够确认他们的身份，那么他们彼此的身份问题也能得到证明。

随着交通工具的进步，人的活动半径越来越大，他所接触到的陌生人也越来越多，而且是八竿子也打不着的陌生人。这时他如何知道陌生人的身份，并且向陌生人表明自己的身份呢？这同样需要一个“王二麻子”，只不过这个“王二麻子”不是自然人，而是一个可信的权威的公共机构。这个公共机构给张三发一个证明他身份的文件，张三和李四在会面时，李四只要信任这个公共机构，并查阅张三的身份文件，就可以确认和相信他的身份，反之亦然。在我国80年代以前，人们出远门前普遍要到所在单位或者生产大队（有些地方还得是）开具介绍信或者证明信，原因就在这里。

不过这样做有一个前提，就是颁发身份证明文件的机构要足够权威和可信。一个谁都不知道的小破单位开出去的介绍信，其证明力是很弱的，使用范围也有限；同时，发出去的介绍信，肯定要比生产大队发出去的介绍信可靠；县里面发出去的证明信，肯定要比公社发出去的证明信权威。最权威最可信覆盖面最广的，自然就是国家了。所以在现代国家，一般是由国家出面来充当这个“王二麻子”，给其公民统一颁发身份证明文件，这个身份证明文件在我国就是身份证，全称叫“居民身份证”。1984年4月6日国务院《中华人民共和国居民身份证试行条例》，开始给全国年满16岁的公民颁发第一代居民身份证，北京市当时是试点城市，歌唱家单秀荣是全国第一个领取身份证的人。从那儿以后，介绍信和证明信就逐渐退出了历史舞台。

魔道较量

但问题跟着就来了，1.怎么知道持有身份证的人是本人？我们称之为“人、证合一问题”；2.怎么知道身份证是真的？我们称之为“证件真伪问题”。

先说问题1。在照相术发明之前，通常是在身份证明文件上用文字注明持有人的长相特征。例如下图：

签发于1882年10月12日的清朝护照，持证人是华侨黄华饶。护照上没有照片，但记录了持照人的体貌特征：身材五尺六寸半，面貌紫，异相无。

我们知道，文字描述这东西很不靠谱。清记《履园丛话》中记录了这样一个小故事，视学官胡希吕到江苏巡视考务，把所有考生中有“须”而相貌册里填“微须”的考生，统统认定是冒名顶替。结果一个脸有“微须”的考生被驱逐后不服，与胡视学据理力争，视学官大人振振有词地说：“汝读书竟不知‘微’作‘无’解耶？”考生应声而道：“那孔子曾微服外出，该解释为孔子把衣裤脱个精光而外出，倘若如此成何体统？”

正因为文字描述模糊性太强，在照相术发明和完善之后，发证机关一般都会要求在证件上贴上持有人的照片。有趣的是，因为长期适应性进化的缘故，人类的大脑对人脸的识别能力非常强悍——脸盲症患者除外——所以证件照往往都是清晰反映面部特征的照片，俗称“大头照”。通常我们会通过鉴别证件上的照片与持证人面貌是否相符，来确定持证人是否本人。通过这个办法，人、证合一问题暂时得到了解决。

但是，照片是本人照片，并不代表所持证件就是真实有效的证件，因为自古以来伪造物品就是一门屡禁不绝、长盛不衰的生意。发证机关只能在制作技术上大做文章，例如使用特殊的印刷技术、工艺或者纸张，而且最重要的是，要用印章在证件上留下官方认证的明显痕迹。遗憾的是，道高一尺魔高一丈，伪造政府印章的难度并不高，起码不比伪造货币的难度高。唯一的办法，就是拿着证件去颁发机构查证，但在以前这非常困难。且不说浩如烟海的底卡人工翻检极为不便，就是来回跑这一趟很多时候也够喝一壶了。

信息时代来临之后，人们想到了一个鉴别身份证真伪的好办法：远程识别。首先要建立一个庞大的数据库，存储每张身份证的登记信息。如果你要到银行去办事，窗口工作人员拿到你的身份证之后，会先上网把你的身份证号和姓名输入一个系统，系统在数据库里查找，然后返回查找结果和持证人的照片，供工作人员识别身份证的真伪。

数字技术显神威

看起来还不错，但远程查证一代身份证有两个问题：1.这需要验证的时候能够接入互联网，在2008年3G时代来临之前，随时随地高速上网是难以实现的事，这就大大限制了这种查证模式的使用范围（需要说明一下，在线验证方式本身的可靠性没问题，很多领域例如银行卡现在还在应用）；2.不便机读，也就是不方便通过电子设备获取身份证信息，不符合信息时代的要求。那能不能利用数字技术实现离线查证真伪呢？

答案是肯定的。

我们现在使用的第二代身份证，是一种非接触性的射频IC卡，它内置加解密模块，制证时能够把身份证卡面信息包括照片加密存放在芯片内部的存储空间；我们使用特制的读卡器（身份证阅读器）可以读出解密后的卡面信息，与真实的卡面信息一对比就知道真伪。

二代证阅读器，可以从芯片中读取卡面信息以便比对。

现在市面上已经很容易买到二代证的阅读器了，所用的密钥也很容易从相关技术文档获取。那么二代证是如何避免芯片遭到破解并被伪造的呢？

秘密就在于加解密模块采用的是高强度的非对称加密技术。

俗话说“一把钥匙开一把锁”，早期的加密技术是对称加密，用来加密和用来解密的密钥是同一个，一旦密钥泄露，整个系统就无密可言了。上世纪70年代，随着密码学的进展，出现了加密密钥和解密密钥不同的非对称加密技术，这一对密钥一个叫公钥，一个叫私钥。用公钥加密的密文，只能用私钥解密，无法用公钥解密；反过来，用私钥加密的密文，也只能用公钥解密，而无法用私钥解密。更神奇的是，即便知道公钥，也很难推算出私钥，如果密钥长度足够长，用最强大的计算机破解也需要几千年、几万年。可以说是完全无法推算出私钥的，反之亦然。

面对强大的非对称加密技术，制假团伙根本就是“老虎吃天——无处下嘴”。所以尽管最近几年制贩假二代身份证的案件屡有发生，但能骗过机读设备查证的假二代证一张都没发现。

小指纹大作用

解决了真伪问题，另外一个问题自然引起了重视，那就是如何鉴别持证人是否本人。前面我们说了，一般是利用人脑的人脸识别功能来鉴别，但信息时代了，我们肯定要想办法让电子设备来代替人脑。人、证合一，本质上就是要把持证人的生物学特征唯一化、数字化之后存储在身份证内。目前已知最精准的生物学特征识别技术是虹膜识别，但目前虹膜识别采集成本还非常高，而识别的效率相对也不是很高，只能用在一些特殊场合。面部识别和声音识别从采集成本和识别效率来说是比较好的，但相关技术还在飞速发展之中。分析来对比去，眼下的最佳方案是利用相对成熟和采集成本较低的指纹识别技术。

2011年10月29日，全国人大修改《中华人民共和国居民身份证法》，决定从2012年1月1日起，“公民申请领取、换领、补领居民身份证，应当登记指纹信息。”这为在身份证中存储公民指纹信息提供了法律保障。需要说明的是，根据公安部门的技术说明，身份证芯片中存储的并不是公民指纹的完整图像，而是数字化的指纹特征点，无法还原出指纹的图像，所以没必要担心指纹被复原和盗用。

IC卡内的加密模块可以保证卡的真实性，存储的照片和指纹信息可以保证人证合一性，这样，携带指纹信息的二代身份证就是目前所能实现的、最好的、能够离线验证真假并且能够准确鉴别持证人是否本人的身份证方案。

二代身份证的成功，促使中国于2012年5月15日开始制发带有电子芯片的新版护照，毫无疑问，芯片中采用的依然是非对称加密技术。

新版电子护照内置具备加密存储功能的电子芯片

问题讨论

“公民身份证号终身不变，怎么识别补办的身份证？”

——身份证上印制的公民身份证号是公民终生不变的一个号码[1]，即使遗失补办，新的身份证依然是同样的公民身份证号。曾经有人在网上发文章，要求在身份证内存储一个芯片唯一编号，并把这个唯一编号也印制在卡面上，那样的话补办的新证和老证会有不同的芯片唯一编号。他还认为自己发现了身份证方案的一个技术缺陷。其实，存储和印制芯片统一编号是不必要的，身份证上早有区别标志，那就是身份证的有效期限。补办的身份证号有效期限和老身份证是不同的，事实上有关部门是靠“身份证号”+“有效期限”来识别和区分一个人的新旧身份证的。

因为有效期限印制在身份证另一面，所以复印身份证时往往要同时复印两面。

“为什么银行卡可以做到电话挂失使其失效而身份证不行？”

——因为银行卡都是联网读取信息的，所有的信息都存储在银行的服务器上。而二代证设计的初衷就是要脱离数据库和服务器，只用便携的阅读器随时随地就能识别身份证真伪和是否人证合一，从而大大扩大了查验的应用范围。

身份认证技术论文篇9

一、身份认证

身份认证是通过身份识别技术及其他附加程序对用户的身份进行确认的全部过程。要在网上使交易安全、成功，首先要能够确认对方的身份。电子商务环境对身份识别技术的基本要求有： 1.身份的认证必须数字化；2.安全、健康，对人的身体不会造成伤害；3.快速、方便、易使用；4.性能价格比高，适合普及推广。用于身份认证的技术较多，最常用的是密码，使用身份标识码加密码来进行安全防范，如用户口令；还有使用物理载体的方式，例如使用证件、钥匙、各种卡等有形的载体来识别身份；另外还有生物特征身份识别方式，使用指纹、面像、视网膜、DNA、语音等特征来识别身份。

二、信息认证

信息认证的目的是防止信息被篡改、伪造，或信息接收方事后否认。确保电子商务的安全、可靠、一致性十分重要。信息认证技术是电子商务系统中的重要组成部分。由于网络上的信息是容易修改、复制的，通过电子数据方式达成的交易文件是不能被否认的，因此确保电子交易的信息都必须是不可否认的、不可被修改的，否则网上的交易就没有严肃和公正性。为实现这一目标，除了采用身份认证起到确保网上交易者身份的真实可信外，信息认证就用来确保交流的信息完整、不可抵赖性，以及信息访问的权限控制。

信息认证主要有两种方式：信息加密和数字签名。而实现这些技术都要应用数据加密技术。

1.加密技术

加密技术是保证电子商务安全的重要手段，它包括私钥加密和公钥加密。私钥加密又称对称密钥加密，即信息的发送方和接收方用一个密钥去加密和解密数据，目前常用的私钥加密算法包括DES和IDEA等。对称加密技术的最大优势是加密或解密速度快，适合于对大数据量进行加密，但密钥管理困难。公钥密钥加密，又称非对称密钥加密系统，它需要两个密钥——公开密钥(Public-Key)和私有密钥（Private-Key）。如果用公开对密钥进行加密，只有用对应的私有密钥才能进行解密；如果用私有密钥对数据进行加密，那么只有用对应的公开才能解密。非对称加密常用的算法是RSA。RSA算法利用两个足够大的质数与被加密原文相乘生产的积来加密或解密。这两个质数无论是用哪一个与被加密的原文相乘(模乘)，即对原文件加密，均可由另一个质数再相乘来进行解密。但是求解几乎是不可能的。非对称加密算法的保密性比较好，消除了最终用户交换密钥的需要，但加密和解密花费时间长、速度慢，不适合对文件加密而只适用于对少量数据进行加密。

信息发送方采用对称来加密信息，然后将对称密钥用接收方的公开密钥来加密，这部分称为数字信封(Digital Envelope)。之后，再分别和密文一起发送给接收方。接收方先用自己的私钥打开数字信封，得到对称密钥，然后使用对称密钥解开信息。

2.数字签名技术

对信息进行加密只解决了电子商务安全的第一个问题，而要防止他人破坏传输的数据，还要确定发送信息人的身份，这就需要采取另外一种手段——数字签名。数字签名采用了双重加密的方法来实现防伪、防抵赖。

把HASH函数和公钥算法结合起来，可以在提供数据完整性的同时，也可以保证数据的真实性。完整性保证传输的数据没有被修改，而真实性则保证是由确定的合法者产生的HASH。把这两种机制结合起来就可以产生所谓的数字签名（Digital Signature）。将报文按双方约定的HASH算法计算得到一个固定位数的报文摘要(Mes-sage Digest)值。只要改动报文的任何一位，重新计算出的报文摘要就会与原先值不符。然后把该报文的摘要值用发送者的私人密钥加密，将该密文同原报文一起发送给接收者，所产生的报文即称数字签名。

在电子商务的发展过程中，数字签名技术也有所发展，以适应不同的需要。数字时间戳就是一种变种的应用。在交易文件中，时间是十分重要的信息，在书面合同中，文件签署的日期和签名一样均是十分重要的防止文件被和篡改的关键内容。时间戳是一个经过加密后形成的凭证文档，它包括三个部分：需加时间戳的文件的摘要，DTS收到文件的日期和时间及DTS的数字签名。

身份认证技术论文篇10

基于PKI的电子商务安全体系电子商务的关键是商务信息电子化,因此,电子商务安全性问题的关键是计算机信息的安全性。如何保障电子商务过程的顺利进行,即实现电子商务的真实性、完整性、机密性和不可否认性等。PKI体系结构采用证书管理公钥,通过第三方的可信机构,把用户的公钥和用户的其他标识信息(如用户身份识别码、用户名、身份证件号、地址等)捆绑在一起,形成数字证书,以便在Internet上验证用户的身份。PKI是建立在公钥理论基础上的,从公钥理论出发,公钥和私钥配合使用来保证数据传输的机密性;通过哈希函数、数字签名技术及消息认证码等技术来保证数据的完整性;通过数字签名技术来进行认证,且通过数字签名,安全时间戳等技术提供不可否认。因此PKI是比较完整的电子商务安全解决方案,能够全面保证信息的真实性、完整性、机密性和不可否认性。通常电子商务的参与方一般包括买方、卖方、银行和作为中介的电子交易市场。首先买方通过浏览器登录到电子交易市场的W eb服务器并寻找卖方。当买方登录服务器时,买卖双方都要在网上验证对方的电子身份证,这被称为双向认证。在双方身份被互相确认以后,建立起安全通道,并进行讨价还价,之后买方向卖方提交订单。订单里有两种信息:一部分是订货信息,包括商品名称和价格;另一部分是提交银行的支付信息,包括金额和支付账号。买方对这两种信息进行双重数字签名,分别用卖方和银行的证书公钥加密上述信息。当卖方收到这些交易信息后,留下订货单信息,而将支付信息转发给银行。卖方只能用自己专有的私钥解开订货单信息并验证签名。同理,银行只能用自己的私钥解开加密的支付信息、验证签名并进行划账。银行在完成划账以后,通知起中介作用的电子交易市场、物流中心和买方,并进行商品配送。整个交易过程都是在PKI所提供的安全服务之下进行,实现了真实性、完整性、机密性和不可否认性。综上所述,PKI技术是解决电子商务安全问题的关键,综合PKI的各种应用,我们可以建立一个可信任和足够安全的网络,能够全面保证电子商务中信息的真实性、完整性、机密性和不可否认性。

计算机通信技术的蓬勃发展推动电子商务的日益发展,电子商务将成为人类信息世界的核心,也是网络应用的发展方向,与此同时,信息安全问题也日益突出,安全问题是当前电子商务的最大障碍,如何堵住网络的安全漏洞和消除安全隐患已成为人们关注的焦点,有效保障电子商务信息安全也成为推动电子商务发展的关键问题之一。电子商务安全关键技术当前电子商务普遍存在着假冒、篡改信息、窃取信息、恶意破坏等多种安全隐患,为此,电子商务安全交易中主要保证以下四个方面:信息保密性、交易者身份的确定性、不可否认性、不可修改性。保证电子商务安全的关键技术是密码技术。密码学为解决电子商务信息安全问题提供了许多有用的技术,它可用来对信息提供保密性,对身份进行认证,保证数据的完整性和不可否认性。广泛应用的核心技术有:1.信息加密算法,如DE S、RSA、E CC、M DS等,主要用来保护在公开通信信道上传输的敏感信息,以防被非法窃取。2.数字签名技术,用来对网上传输的信息进行签名,保证数据的完整性和交易的不可否认性。数字签名技术具有可信性、不可伪造性和不可重用性,签名的文件不可更改,且数字签名是不可抵赖的。3.身份认证技术,安全的身份认证方式采用公钥密码体制来进行身份识别。E CC与RSA、DSA算法相比,其抗攻击性具有绝对的优势,如160位E CC与1024位RSA、DSA有相同的安全强度。而210位E CC则是与2048比特RSA、DSA具有相同的安全强度。虽然在RSA中可以通过选取较小的公钥(可以小到3)的方法提高公钥处理速度,使其在加密和签名验证速度上与E CC有可比性,但在私钥的处理速度上(解密和签名),E CC远比RSA、DSA快得多。通过对三类公钥密码体制的对比,E CC是当今最有发展前景的一种公钥密码体制。

椭圆曲线密码系统E CC密码安全体制椭圆曲线密码系统(E lliptic Curve Cry ptosy stem,E CC)是建立在椭圆曲线离散对数问题上的密码系统,是1985年由Koblitz(美国华盛顿大学)和Miller(IBM公司)两人分别提出的,是基于有限域上椭圆曲线的离散对数计算困难性。近年来,E CC被广泛应用于商用密码领域,如ANSI(American National Standards Institute)、IE E E、基于门限E C C的《商场现代化》2008年11月(上旬刊)总第556期84少t个接收者联合才能解密出消息。最后,密钥分配中心通过安全信道发送给,并将销毁。2.加密签名阶段:(1)选择一个随机数k,,并计算,。(2)如果r=O则回到步骤(1)。(3)计算,如果s=O则回到步骤(1)。(4)对消息m的加密签名为,最后Alice将发送给接收者。3.解密验证阶段:当方案解密时,接收者P收到密文后,P中的任意t个接收者能够对密文进行解密。设联合进行解密,认证和解密算法描述如下:(1)检查r,要求,并计算,。(2)如果X=O表示签名无效;否则,并且B中各成员计算,由这t个接收者联合恢复出群体密钥的影子。(3)计算,验证如果相等,则表示签名有效;否则表示签名无效。基于门限椭圆曲线的加密签名方案具有较强的安全性,在发送端接收者组P由签名消息及无法获得Alice的私钥,因为k是未知的,欲从及a中求得k等价于求解E CDL P问题。同理,攻击者即使监听到也无法获得Alice的私钥及k;在接收端,接收者无法进行合谋攻击,任意t-1或少于t-1个解密者无法重构t- 1次多项式f(x),也就不能合谋得到接收者组p中各成员的私钥及组的私钥。

结束语为了保证电子商务信息安全顺利实现,在电子商务中使用了各种信息安全技术,如加密技术、密钥管理技术、数字签名等来满足信息安全的所有目标。论文对E CDSA方案进行改进,提出了一种门限椭圆曲线加密签名方案,该方案在对消息进行加密的过程中,同时实现数字签名,大大提高了原有方案单独加密和单独签名的效率和安全性。

参考文献:

[1]Koblitz N.Elliptic Curve Cryprosystems.Mathematicsof Computation,1987,48:203~209

[2]IEEE P 1363:Standard of Public-Key Cryptography,WorkingDraft,1998~08

身份认证技术论文篇11

一、蓝牙技术及其在手机中的应用

蓝牙技术是一种日趋完善的短距离无线通信技术,它工作在2.4GHz频段,且该频段在全世界范围内不需要许可证,因此,理论上蓝牙技术在全世界范围内可以被自由使用。对于普通用户而言,蓝牙技术的优势体现在低价格、易掌握和不受可视距离限制的优点,可以说蓝牙产品是高性价比的产品。

随着蓝牙技术的飞速发展,现今,大多数的手机、笔记本电脑都全面支持蓝牙功能,同时廉价的USB接口蓝牙适配器使台式电脑开始全面支持蓝牙功能。这一切为手机与电脑通过蓝牙进行信息互通创造了条件。

二、手机蓝牙身份认证系统

伴随着现代网络技术的高速发展,网络安全问题已日渐受到人们的关注,其中身份认证的安全是整个网络安全的核心。为保障身份认证的有效性,目前各业界公司普遍采取了多重身份认证机制,主要有:1.传统的静态用户名和密码方式的校验;2.数字证书技术;3.网银使用较广泛的USBKEY的硬件认证。这些认证方式虽然可以在一定程度上有效地保障身份认证的安全,但是不足之处也同样明显。传统“静态用户名和密码方式”校验的方式,随着钓鱼软件、黑客软件的日益增多,普遍存在用户名密码被盗、被钓鱼等风险,安全性大打折扣;数字证书和硬件USBKEY的方式相对安全,但要么价格过高,要么分发或使用不便利,给用户正常使用带来障碍。

手机作为现代应用最为广泛的通讯工具,在网络安全方面有其先天优势,正逐步成为各大厂商关注的新焦点。随着移动技术和手机的全面普及,据统计中国已有接近4亿的手机用户,现已成为全球最大的移动用户群,中国的各类电脑使用者也已接近1.2亿。将传统“用户名和密码方式”校验与手机相结合的双重身份认证技术无疑最适合于中国市场的特点并且具有巨大的优势。当前最为常见的手机身份认证方式为手机动态令牌认证方式,既使用手机作为“令牌”的载体,生成一次性动态密码,规避了网上的一系列安全隐患。其相对于静态用户名密码方式更加安全,相对于数字证书方式更加易操作,相对于硬件USBKEY方式价格更加低廉。

但是手机动态令牌方式依然存在操作繁琐、应用效率低的缺点,用户不得不在每次身份认证时等待手机短信获取令牌,并手动输入动态口令完成认证,在特殊情况下,用户需要多次重复进行上述操作,应用效率大幅下降。而蓝牙技术的出现和普及为我们提供了一个同样安全且更为理想的智能化、自动化的用户身份认证方式,蓝牙的10米通信距离、无线通信模式、极低的成本要求、极高的普及率都为我们提供了一个良好的手机蓝牙无线及用户名密码双重身份认证模式平台。

三、系统结构设计

手机蓝牙身份认证系统由手机(具有蓝牙模块)、蓝牙适配器、客户端主机、服务器4部分组成。用户随身携带具有蓝牙模块的手机,具有蓝牙适配器的客户端主机或带有蓝牙模块的移动PC构成蓝牙接入点,服务器通过网络与客户端主机联系,存取用户信息。

带有蓝牙模块的手机和具有蓝牙适配器的客户端主机或带有蓝牙模块的移动构成了蓝牙微微网,通过蓝牙无线技术进行通信。客户端主机与服务器通过有线或无线网络进行通信。当用户携带具有蓝牙模块的手机进入蓝牙接入点时,蓝牙接入点将通过有线或无线网络将身份数据传入服务器将进行比对,确认当前用户合法性,并分配相应功能权限。

四、手机蓝牙、用户名密码双重身份认证系统的工作策略

(一)功能描述。手机蓝牙、用户名密码双重身份认证系统的主要功能包括:1.用户登录双重身份识别。2.用户在线状态系统自动感知。

(二)用户登录。当携带有蓝牙功能手机的用户进入客户端主机蓝牙模块无线感知区域时,客户端主机通过蓝牙适配器自动与手机建立连接,识别手机蓝牙ID号。当用户登录时,首先在传统模式下输入用户名和对应口令,由系统判断用户名及口令是否合法,进行一次身份识别。然后将系统数据库中匹配记录的蓝牙ID号与蓝牙适配器识别的蓝牙ID号进行比对,进行二次身份识别,当两次身份匹配均通过时,用户登录完成。

(三)用户状态感知。当用户登录成功后,系统将进入等待状态,蓝牙适配器与蓝牙手机之间继续保持链路,根据蓝牙规范,蓝牙主设备(即蓝牙适配器)通过时间片轮转调度算法对从设备即(手机蓝牙)进行管理,当主设备轮询从某个设备时,如果该从设备在指定时间内无响应,主设备就判定链路断开。如果从设备在一定时间内收不到主设备的轮询包,也同样判定链路断开。在实际应用中上述轮转调过程一般在毫秒级上。因此当用户离开或进入蓝牙适配器感知范围(通信范围)时,系统会在极短的时间内感知,并建立链路。同样,当用户离开蓝牙适配器感知范围时,系统会很知,并判定链路断开。这大大提高了系统的安全性,避免了用户短暂离开所带来的系统安全真空。

五、系统实现

(一)硬件。现今蓝牙适配器主要以USB蓝牙适配器为主,基本支持即插即用,对XP、VISTA等操作系统的兼容性也非常好,价格成本低廉。因此,本系统使用USB作为蓝牙适配器和主机通信的接口。

(二)部分代码。HCI发送数据函数

Int F_send_data(bt_ buf * buf)

{Unsigned int send_acl_packet(bt_ buf *);

Int bytes2s;

bufpb_flag=L2CAP_START_FRAME;

bytes2s= bufcur_len;

while(bytes2s)

{If(hci_ctrl.hc_buf.acl_num > 0)

{hci_ctrl.hc_buf.acl_num-=1;

bytes2s-=send_acl_packet(buf);}

else

{ Return();}

六、结束语

本文主要论述了基于手机蓝牙的身份认证系统的设计,通过仔细分析现有身份认证系统存在的缺陷和蓝牙技术本身存在的优势,得出了将蓝牙技术与能用身份认证技术相整合的基于手机蓝牙的双重身份认证系统,并对本系统进行了结构设计。为高安全、智能化的身份认证系统的设计提供了一种新的模式。

身份认证技术论文篇12

一、电子商务安全的要求

1、信息的保密性：指信息在存储、传输和处理过程中，不被他人窃取。

2、信息的完整性：指确保收到的信息就是对方发送的信息，信息在存储中不被篡改和破坏，保持与原发送信息的一致性。

3、 信息的不可否认性：指信息的发送方不可否认已经发送的信息，接收方也不可否认已经收到的信息。

4、 交易者身份的真实性：指交易双方的身份是真实的，不是假冒的。

5、 系统的可靠性：指计算机及网络系统的硬件和软件工作的可靠性。

在电子商务所需的几种安全性要求中，以保密性、完整性和不可否认性最为关键。电子商务安全性要求的实现涉及到以下多种安全技术的应用。

二、数据加密技术

将明文数据进行某种变换，使其成为不可理解的形式，这个过程就是加密，这种不可理解的形式称为密文。解密是加密的逆过程，即将密文还原成明文。

（一）对称密钥加密与DES算法

对称加密算法是指文件加密和解密使用一个相同秘密密钥，也叫会话密钥。目前世界上较为通用的对称加密算法有RC4和DES。这种加密算法的计算速度非常快，因此被广泛应用于对大量数据的加密过程。

最具代表的对称密钥加密算法是美国国家标准局于1977年公布的由IBM公司提出DES (Data Encrypuon Standard)加密算法。

（二）非对称密钥加密与RSA算法

为了克服对称加密技术存在的密钥管理和分发上的问题，1976年产生了密钥管理更为简化的非对称密钥密码体系，也称公钥密码体系(PublicKeyCrypt-system)，用的最多是RSA算法，它是以三位发明者（Rivest、Shamir、Adleman）姓名的第一个字母组合而成的。

在实践中，为了保证电子商务系统的安全、可靠以及使用效率，一般可以采用由RSA和DES相结合实现的综合保密系统。

三、认证技术

认证技术是保证电子商务交易安全的一项重要技术。主要包括身份认证和信息认证。前者用于鉴别用户身份，后者用于保证通信双方的不可抵赖性以及信息的完整性

（一）身份认证

用户身份认证三种常用基本方式

1、口令方式

这种身份认证方法操作十分简单，但最不安全，因为其安全性仅仅基于用户口令的保密性，而用户口令一般较短且容易猜测，不能抵御口令猜测攻击，整个系统的安全容易受到威胁。

2、标记方式

访问系统资源时，用户必须持有合法的随身携带的物理介质(如存储有用户个性化数据的智能卡等)用于身份识别，访问系统资源。

3、人体生物学特征方式

某些人体生物学特征，如指纹、声音、DNA图案、视网膜扫描图案等等，这种方案一般造价较高，适用于保密程度很高的场合。

加密技术解决信息的保密性问题，对于信息的完整性则可以用信息认证方面的技术加以解决。在某些情况下，信息认证显得比信息保密更为重要。

（二）数字摘要

数字摘要，也称为安全Hash编码法，简称SHA或MD5 ，是用来保证信息完整性的一项技术。它是由Ron Rivest发明的一种单向加密算法，其加密结果是不能解密的。类似于人类的“指纹”，因此我们把这一串摘要而成的密文称之为数字指纹，可以通过数字指纹鉴别其明文的真伪。

（三）数字签名

数字签名建立在公钥加密体制基础上，是公钥加密技术的另一类应用。它把公钥加密技术和数字摘要结合起来，形成了实用的数字签名技术。

它的作用:确认当事人的身份，起到了签名或盖章的作用；能够鉴别信息自签发后到收到为止是否被篡改。

（四）数字时间戳

在电子交易中，时间和签名同等重要。数字时间戳技术是数字签名技术一种变种的应用，是由DTS服务机构提供的电子商务安全服务项目，专门用于证明信息的发送时间。包括三个部分：需加时间戳的文件的数字摘要；DTS机构收到文件摘要的日期和时间； DTS机构的数字签名。

（五）认证中心

认证中心：（Certificate Authority，简称CA），也称之为电子商务认证中心，是承担网上安全电子交易认证服务，能签发数字证书，确认用户身份的、与具体交易行为无关的第三方权威机构。认证中心通常是企业性的服务机构，主要任务是受理证书的申请、签发和管理数字证书。其核心是公共密钥基础设（PKI）。

我国现有的安全认证体系(CA)在金融CA方面，根证书由中国人民银行管理，根认证管理一般是脱机管理；品牌认证中心采用“统一品牌、联合建设”的方针进行。在非金融CA方面，最初主要由中国电信负责建设。

（六）数字证书

数字证书就是标志网络用户身份信息的一系列数据，用于证明某一主体（如个人用户、服务器等）的身份以及其公钥的合法性的一种权威性的电子文档，由权威公正的第三方机构，即CA中心签发。

以数字证书为核心的加密技术可以对网络上传输的信息进行加密和解密、数字签名和签名验证，确保网上传递信息的机密性、完整性，以及交易实体身份的真实性，签名信息的不可否认性，从而保障网络应用的安全性。

四、电子商务的安全交易标准

（一）安全套接层协议

SSL (secure sockets layer)是由Netscape Communication公司是由设计开发的，其目的是通过在收发双方建立安全通道来提高应用程序间交换数据的安全性，从而实现浏览器和服务器（通常是Web服务器）之间的安全通信。

目前Microsoft和Netscape的浏览器都支持SSL，很多Web服务器也支持SSL。SSL是一种利用公共密钥技术的工业标准，已经广泛用于Internet。

（二）安全电子交易协议

SET (Secure Electronic Transaction)它是由VISA和MasterCard两大信用卡公司发起，会同IBM、Microsoft等信息产业巨头于1997年6月正式制定的用于因特网事务处理的一种标准。采用DES、RC4等对称加密体制加密要传输的信息，并用数字摘要和数字签名技术来鉴别信息的真伪及其完整性，目前已经被广为认可而成了事实上的国际通用的网上支付标准，其交易形态将成为未来电子商务的规范。

五、总结

网络应用以安全为本，只有充分掌握有关电子商务的技术，才能使电子商务更好的为我们服务。然而，如何利用这些技术仍是今后一段时间内需要深入研究的课题。

身份认证技术论文篇13

北京唐桓科技发展有限公司（简称“唐桓科技”）成立于2007年4月，在中关村科技园区内注册，属于部级高新技术企业、双软企业。唐桓科技一直秉承“自主可控，安全服务”的发展理念，立志成为全球领先的网络和数据安全解决方案供应商，在“多系统身份认证”、“企业内外网安全防护”、“云计算安全解决方案”、“物联网安全体系管理”、“安全子网控制管理”、“企业外发文件安全管理”等方向有成熟的技术产品和最佳应用实践。

作为行业安全解决方案提供商，唐桓科技在“银行业安全体系解决方案”、“电子商务平台安全解决方案”、“移动支付安全解决方案”、“工业控制系统安全解决方案”等方面有多年的研究和实施经验。

身份认证系统

信息化时代到来，数字技术的广泛应用在改变人们的生活、生产和学习方式的同时，也带来了突出的安全问题。根据国家互联网应急中心（CNCERT）近年的报告，信息安全热点问题如下：一是由于社交网站、论坛等信息失窃导致的用户身份被盗以及产生的其他负面影响；二是智能终端将成为黑客攻击的重点目标；三是针对网上银行、证券机构和第三方支付的网络钓鱼、网银恶意程序和信息窃取攻击将急剧增加；四是下一代互联网的应用将带来IPv6网络安全、无线网安全和云计算系统及数据安全等方面的问题。另外，在3G网络趋向成熟、移动互联网业务得到广泛普及的当前，越来越多的网络和手机安全问题开始出现。据不完全统计，因为以上安全问题有过账号或密码被盗经历的用户达到1.21亿，占总网民数的24.9%。

为了保护信息安全，先后出现了身份认证、授权控制、日志审计、防火墙、VPN等安全技术。其中身份认证是授权控制、日志审计等技术的基础，如果用户的身份能被非法假冒，那么用户权限也就可能被非法使用，审计日志也失去了意义。因此身份认证是信息安全中最重要的环节。

目前，身份认证技术主要有静态口令、动态口令、USBkey、智能卡（IC卡）、短信、数字证书、生物识别等。唐桓科技认为与动态口令相比较，传统的静态口令安全性差，非常容易受到各类盗号和钓鱼网站的攻击；数字证书安全性较强，但其投资较大，使用较复杂，管理费用较高，使用范围受系统使用逻辑而受限；生物识别技术由于生物仿冒手段的提高，安全可靠性也正在逐步降低。

根据这些情况，唐桓科技开发研制了基于事件同步的动态口令双向身份认证系统，该产品是具有自主知识产权的专利技术（专利申请号：200710195695.3），利用高强度加密算法、应用事件激发和同步机制，实现用户端和服务器端的双向身份认证。该技术能够抵御现有的各种攻击手段，并且兼容基于静态口令认证的各种网络应用系统，系统采用“一事一密”的设计理念，动态口令可以一次一变。与其他产品相比较，该产品使用简单，管理方便，成本低，适用于所有基于软硬件环境的信息化体系下需要身份认证安全保证的各类应用场景。

网络信息安全综合管理方案

针对内外网络基础设施的设备和资源，唐桓科技提供登录账户的整体安全解决方案，保证用户远程接入、穿越防火墙、远程VPN登录、数据库系统，以及网络设备运维管理等多方面的统一身份管理和认证。以第三代动态口令技术为核心，集中管理网络系统中的各种网络设备和应用系统的登录账户，从而确保整个网络系统的账户登录安全。

基于云计算的安全防护系统

针对人、机、物三元融合的协同计算环境，以云计算虚拟环境的安全性理论、模型和方法为理论基础，唐桓科技基于云计算的安全防护系统包含安全地支持大规模用户的安全可靠的通用身份认证的公共服务平台、技术标准、应用示范。

该系统通过通用、实名、集中的电子身份信息管理，可实现独立权威的网络身份信息认证；通过数据加密、安全存储，实现用户个人信息资产的安全管理服务；通过虚拟社区安全子网，实现网络环境资产的安全流转与共享；通过个性化推荐服务，实现资源找人的主动服务模式。

在网络生态环境中，该系统针对各种应用模式、各种终端类型、各种接入方式提供满足各类安全等级需求的可信的身份认证公共服务平台、技术及管理标准，实现实体的身份信息可在动态网络环境中通用、鉴别、定位、监管，促进我国具有自主创新技术的网络身份生态系统的规范化建设与产业化应用。

基于物联网的安全支撑系统

物联网的核心共性技术、网络与信息安全技术以及关键应用是物联网的主要研究内容。物联网感知节点大都部署在无人监控环境，并且由于物联网是在现有的网络基础上扩展了感知网络和应用平台，传统网络安全措施不足以提供可靠的安全保障。物联网安全研究将主要集中在物联网安全体系、物联网个体隐私保护模式、终端安全功能、物联网安全相关法律的制订等方面。

唐桓科技提供的基于物联网的安全支撑系统通过在感知物件接入网络层提供物件身份认证和监测技术，确保数量庞大的智能物件的行为、来源、数据完整性能被相互实时认证鉴别和接受；在信息采集层，根据智能物件的处理能力、网络状态，可定制信息传递的安全协议、加密算法和个体隐私性保护策略；通过将智能物件、传输网络、应用三者动态绑定，确保系统的实时可扩展性，同时满足应用安全隔离需要；利用云计算、模糊识别等各种智能计算技术，确保对海量物联网信息的安全存储、分析和处理，对物体实施智能化的控制。从整体上，实现物联网的各层网络连接组成的异构、多级、分布式网络的统一的安全体系的“桥接”和过渡，实现端和云协同计算的整体安全性。