技術領域

本實用新型涉及一種身份認證技術，特別是面向普適網絡的遠程身份認證系統。

背景技術

龐大、可靠的通信網絡是建設智慧城市建設的基礎，在互聯網、物聯網、無線寬帶網等現代通信網絡的發展和三網合一趨勢的推動下，當前新一代信息技術突飛猛進，隨之而來的是對信息安全的空前挑戰。身份認證技術是信息安全的核心技術之一，其是一種能夠對信息的收發方進行真實身份鑒別的技術，是保護信息安全的第一道大門，其任務是識別、驗證網絡信息系統中用戶身份的合法性、真實性和抗抵賴性。

身份認證技術的發展，經歷了從軟件認證到硬件認證，從單因子認證到雙(多)因子認證，從靜態認證到動態認證的過程。隨著互聯網技術的高速發展，身份認證已不再局限于面對面或者近距離，身份認證的過程往往借助通信網絡，因此當前的身份認證技術正不斷地向著遠程化的方向過渡。目前，常用的遠程身份認證系統的拓撲架構如圖1所示，其一般都是用戶通過和接入通信網絡的PC或者服務商提供的終端進行交互來完成身份認證的，該遠程身份認證系統的認證方法為：用戶向用戶終端提出驗證請求，用戶終端先完成對用戶初始驗證和秘密信息提取，然后通過通信網絡，向遠程驗證端發送密文，遠程驗證端收到消息后進行驗證并將驗證結果通過通信網絡發回給用戶終端，用戶終端根據驗證結果向用戶作出響應。如果要使上述認證方法具有高安全性，則要求有準確的用戶憑證提取和可靠的通信網絡支持。

目前，計算機及網絡信息系統中常用的遠程身份認證方法主要有以下幾類：

1、基于秘密知識的身份認證技術，其將秘密知識作為認證用戶的唯一依據，秘密知識包括用戶ID、口令、密鑰等。

基于“戶名/口令”的身份認證系統/方法是其中最簡單、最易實現的一種，也是目前應用最廣泛的認證技術，其優勢在于實現的簡單性，無須任何附加設備，成本低、速度快。然而這種認證技術存在很多安全問題，例如：它是一種單因素的認證方式，安全性依賴于口令，口令一旦被泄露，用戶即可被冒充；大量、復雜的口令難以記憶；口令在傳輸過程中或系統漏洞遭攻擊時可能被截獲；無法抵抗重放攻擊；只能進行單向認證，即系統可認證用戶，而用戶無法對系統進行認證，等等。為了有效地改進基于“戶名/口令”的身份認證技術的安全性，以S/KEY為首的各種動態口令技術被廣泛使用。1991年貝爾通信研究中心(Bellcore)成功研制了S/KEY身份認證系統，并在1995年被Internet工程任務組IETF所接受，成為RFC1760標準，該S/KEY身份認證系統利用單向散列函數生成一系列前后相關的口令，利用這些口令進行身份驗證。此后，安全專家提出了基于請求/應答方式、基于時間同步方式、基于事件同步方式的動態口令密碼體制。

2、基于智能卡的身份認證技術，其采用集成的帶有智能的電路卡(即智能卡)，內置可編程的微處理器，可存儲數據，并提供硬件保護措施和加密算法。在智能卡中存儲用戶個性化的秘密信息，進行認證時讀卡器通過用戶輸入個人身份識別碼，讀出智能卡中的秘密信息，進而與主機之間進行認證。

基于USB?Key的身份認證系統/方法是當前比較流行的基于智能卡的身份認證技術，它結合了現代密碼學技術、智能卡技術和USB技術，廣泛應用于電子銀行、遠程支付等業務。該身份認證技術采用身份識別碼和USB?Key進行雙因子認證，增強了保密系數；帶有安全數據存儲空間和硬件處理器，使得復雜的密鑰和加密算法應用成為可能，而且在用戶私有的智能卡中完成所有的計算和存儲使得驗證過程在用戶之外不留痕跡；USB?Key小巧且采用通用的接口，非常便于隨身攜帶和使用。但是該身份認證技術也有其嚴重的缺陷：系統只認卡不認人，一旦智能卡丟失，用戶就會被系統拒絕，而且智能卡容易被復制或者被讀取內部的秘密信息；另外對于智能卡認證，需要在每個認證端添加讀卡器，增加了硬件成本。

3、基于生物特征的身份認證技術，其以人體具有的惟一的、可靠的、終生穩定的生物特征為依據，其利用計算機圖像處理和模式識別技術來實現身份認證。基于生物特征的身份認證技術目前主要利用指紋、聲紋、虹膜、視網膜、臉形、掌紋這幾個方面的生物特征進行識別。與傳統的身份認證技術相比，其不存在遺忘或丟失的問題，具有生物特征的唯一性，防偽性能好，不易偽造或被盜，且對用戶的要求低。目前，指紋識別技術是較為典型的應用。盡管生物特征的身份驗證機制提供了很高的安全性，但目前很多技術還沒有完全成熟，且基于生物特征的信息采集、認證裝備的成本較高，只適用于小范圍的安全級別比較高的特定場所。