身份认证技术论文

下面是小编为大家整理的《身份认证技术论文(精选3篇)》的文章，希望能够很好的帮助到大家，谢谢大家对小编的支持和鼓励。摘要：身份认证技术是能够对信息收发方进行真实身份鉴别的技术，是识别，验证网络信息系统中用户身份的合法性和真实性，按授权访问系统资源，并将非法访问者拒之门外。本文论述了信息安全领域中身份认证技术的现状及发展趋势，对于进一步做好该工作具有一定的理论指导意义。

第一篇：身份认证技术论文

基于手机的身份认证技术研究

摘 要:介绍了常用的身份认证方式,并分析了这些认证方式的优缺点。在此基础上提出了利用手机做为数字证书的载体来进行身份认证的方式,并对一些关键问题进行了分析并给出了解决的方案。

关键词:身份认证 手机 数字证书 蓝牙传输协议

1前 言

随着信息与计算机网络技术的发展,人类已经迎来了信息时代。互连网的发展大大的改变了人们的生活。然而随着这些新技术的日益普及,爆发出来的信息安全问题也越来越突出。在享受互连网带给人们便捷的同时,这把双刃剑也让人们感受到了严峻的考验。大量的通过计算机网络所实施的犯罪行为,让人们防不胜防。人们有必要对采用更为安全的技术手段来保护自己的敏感信息和交易不被未经过授权的他人截获和盗取。其中最重要的一个措施就是采用身份认证技术。

2 常见身份认证方式分析

身份认证的范围较广,没有统一的分类方法,根据身份认证的发展情况和认证方式的不同可以大致分为以下几类:

2.1用户名+口令的认证方式

这是最简单,最容易实现的认证技术,其优点在于操作简单,不需要任何附加设施,且成本低速度快。但是其缺点是安全性差,属于单因子软件认证的方式。抗猜测攻击性差,系统保存的是口令的明文形式,一旦被攻破,系统将受大极大威胁。这种认证方式属于弱认证方式。

2.2 依靠生物特征识别的认证方式

生物特征识别的认证方式,是为了进行身份识别而采用自动化技术测量人的生物特征,并将该特征与数据库的特征数据进行比较,从而完成身份识别的方式。因为不同的人具有的相同的生物特征的可能性是可以忽略不计的。所以从理论上来说,生物特征识别方式是最可靠的身份识别方式。它是以人的唯一的,可靠的,稳定的特征为依据的。目前比较成熟的可用于计算机系统的生物特征识别技术有:

(1)指纹身份认证技术。通过分析指纹的全局或者局部特征,抽取详尽的特征值来确认身份;

(2) 声纹身份识别技术。也称语音身份识别技术;

(3)虹膜身份认证技术。虹膜是人眼瞳孔和眼白之间的环壮组织。是人眼的可视部分。是最可靠的人体终身身份标识。虹膜识别在采集和精准度方式具有明显的优势;

(4)签名身份认证技术。是将人的手写速度,笔顺,压力和图象等人的个性化特征进行比对。是全新的生物特征认证技术。它不用记忆,方便,易为人接受。可用于计算机登录,信息网如网,信用卡签字等等。

生物特征识别的认证方式,虽然具有,不易遗忘丢失,防伪性能好,随是随地可用,不易伪造或者被盗等优点。但是它还有一系列暂时不能克服的缺点。表现在;技术不完全成熟,生物识别的准确性和稳定性急待提高。研发成本高,产量小和识别设备成本高,现阶段难以推广和大规模应用,对识别正确率没有确切的结论,难以做到真正的唯一性,和安全性。

2.3基于Kerberos的认证方式

Kerberos是一种秘密密钥网络认证协议。是由美国麻省理工学院(MIT)开发的一项身份认证技术。它的思路对后来的身份认证研究产生了很大的影响。它使用了数据加密标准DES(Data Encryption Standard)加密算法来进行加密和认证。Kerberos 设计的主要目的是解决在分布网络环境下,服务器如何对使用某台工作站接入的用户进行身份认证。Kerberos的安全不依赖于用户登录的主机,而是依赖于几个认证服务器。分别是:认证服务器(AS),用于验证用户登录时的身份。票据发放服务器(TGS),发放身份许可证明。服务提供服务器(Server),客户请求工作的执行者。

如下图所示:

基于Kerberos认证方式的缺点:

(1) 它是以对称的DES加密算法为基础,这使得在密钥的交换,保存,管理上存在着较大的安全隐患。

(2)Kerberos不能有效的防止字典攻击。并且防止口令猜测攻击的能力是很弱的。因为Kerberos的协议模型未对口令提供额外的保护。黑客或者攻击者可以收集大量的许可证,通过有些计算和密钥分析,进行口令猜测。倘若用户选择的口令不强,则容易被攻破。

(3)Kerberos协议最初设计是用来提供认证和密钥交换的。不能用它来进行数字签名,没有提供不可抵赖性的机制。

(4)在分布式系统中,认证中心错终复杂,域间的会话密钥太多,给密钥的管理,分配带来麻烦。

2.4基于PKI的身份认证方式

PKI(Pubic Key Infrastructure)公钥基础设施是一种遵循一定标准的密钥管理平台。能够为目前所有的网络应用透明的提供采用加密和数字签名等密码服务所必需的密钥管理和证书管理。它是现代电子商务和信息安全系统的主要技术之一。PKI做为新发展的安全技术和安全服务规范。不仅能确保网络数据的机密性,完整性,可用性,同时也可以解决通信双方身份的真实性问题。基于PKI的数字证书认证方式可以有效的保护用户的身份安全和数据安全。在基于证书的安全通信中,数字证书是证明用户身份合法和提供合法公钥的凭证。是建立保密通信的基础。因此数字证书的存储与管理显得非常重要。本文正是在PKI体系的基础上利用手机做为数字证书的载体,来实现对用户身份的认证。

3基于手机的身份认证方式

基于手机的身份认证是基于PKI的身份认证方式的一种改进或者说发展。为了更方便的说明这种认证方式的意义以及原理,特从以下几个方面进行分析。

3.1现实需求分析

基于PKI的身份认证方式是现阶段公认的保障信息网络社会安全的最佳体系,是信息安全的核心。数字证书的权威性和不可否任是PKI体系的基础。目前,国内外通常的做法是利用USBKey 做为数字证书的载体。例如中国建设银行使用的网银盾,中国工商银行推出的U盾等。他们都是将数字证书存储在USB Key中。其优点是较为安全可靠。但其缺点是管理较为麻烦,携带起来容易丢失。另外由于其工作原理是将数字证书固化在U盘里,证书不能实现远距离更新,实际使用起来,还是比较麻烦。目前很多公司和机构都开始研究下一代的证书存储工具。本论文正是在这样一个现状探索性采用人们常用的手机来作为数字证书的存储和管理工具。并以此展开思考和研究。

3.2理论基础

PKI(Public Key Infrastructure )公钥基础设施,它是一种遵循既定标准的密钥管理平台,它能够为所有网络应用提供数据加密和数字签名等密码服务及所必需的密钥和证书管理体系一种重要的身份认证技术。是简单来说,PKI就是利用公钥理论和技术建立的提供安全服务的基础设施。PKI技术是信息安全技术的核心,也是电子商务的关键和基础技术。PKI以公钥密码技术为基础,数字证书为媒介,结合对称加密和非对称加密技术,将个人的标识信息与各自的公钥绑在一起,其主要目的是通过管理密钥和证书,为用户建立起一个安全、可信的网络运行环境,使用户可以在多种应用环境下方便地使用加密和数字签名技术在客户端上验证用户的身份,从而保证了互联网上所传输信息的真实性、完整性、机密性和不可否认性。

3.3 研究方案及系统组成

计算机要能准确认证用户的身份,必须能准确的识别用户手机中的数字证书。其中将数字证书从手机中导入到计算机上中是借助蓝牙技术(也可以是红外技术)提供的数据传输通道。并且因为数字证书是通过蓝牙技术无线传输的,必须给这个通道加密,防止被非法用户窃取。系统组成如下图所示:

3.4关键问题及其解决方案

3.4.1系统中的关键问题

基于手机的身份认证是依赖于手机这个载体,以数字证书为媒介,最终需要保证计算机对手机中的数字证书准确识别。并且整个信息交换不被非授权的第三方截获。因此整个系统有以下两个关键问题。

(1)数字证书在手机中的安全性问题。数字证书是存放在手机的SD卡上的,要保证数字证书能方便的写入到SD卡中,并使其具有加密功能,在遗失,被盗的情况下仍能确保数字证书不被非法利用。

(2)计算机要识别手机上的数字证书,或者说信息要在手机和计算机之间安全传递,必须有一个安全的通道。虽然可以借助他们本身都带有的蓝牙功能,并且蓝牙具有抗干扰性强,成本低的特点。但是仍不能保证信息传递的绝对安全。还需要设计一传输协议来给他们之间的信息传递提供一个安全通道。

3.4.2关键问题的解决方案

(1)对于数字证书在手机中安全存储的问题,可以考虑采用加密SD卡的方法。Sandisk 公司近期研发了一种称为TrustedFlash 的新技术,可以在SD,Micro SD卡上实现加密。

a.安全加密:根据需要,可设定不同的加密方式和权限,支持采用AES,DESB和3DES的对称密钥身份验证及基于X。509证书链的RSAC非对称密钥身份验证。

b.支持数字版权管理(DRM):可在支持硬件加密技术的不同主机间实现移动。

c.具有硬件加密技术的主机向下兼容常规的存储卡,而硬件加密卡在非保护区域也可作为常规卡使用。

d.主机(如手机)只需要升级软件来支持硬件加密技术,不需要增加和更改硬件。主要应用于数据安全存取,身份认证及移动电子商务。

(2) 对于传输通道的设计。可以借鉴当前的密码协议SSL协议。SSL即安全套接字层(Secure Socket Layer)。它是网景公司(Netscape)开发的,主要应用于保障Internet上数据传输之安全。SSL协议可以分为两层:SSL记录协议和SSL握手协议。提供主要服务有:①认证用户和服务器,确保数据发送到正确的客户机和服务器;②加密数据以防止数据中途被窃取;③维护数据的完整性,确保数据在传输过程中不被改变。认证工作流程为:1)客户端(C)向服务器(S)发送一个会话请求信息“你好”2)服务器根据客户的信息确定是否需要生成新的主密钥,如需要则服务器在响应客户的“你好”信息时将包含生成主密钥所需的信息;3)客户根据收到的服务器响应信息,产生一个主密钥,并用服务器的公开密钥加密后传给服务器;4)服务器恢复该主密钥,并返回给客户一个用主密钥认证的信息,以此让客户认证服务器。同样手机和计算机之间的通信过程和上面相似。只是SSL是同过有线连接传递数据,而本系统是通过蓝牙技术无线传递,其工作原理完全相同。

4小结与展望

本文开头阐述了常见的身份认证的方式,并分析了它们的优缺点。 目的是为了说明基于手机的身份认证在整个身份认证体系中所在的位置。随着手机业务的不断发展。现在的手机已经不仅是局限于传统的通话业务。越来越多的智能手机投入市场。它们大多可以安装小型的操作系统具有较强的处理能力,如Symbian 、Windows mobile、Linux等手机操作系统。这就为基于手机的身份认证提供了很好的工具和平台。可以预见USBKEY的功能将会被手机取代。基于手机的身份认证技术将能更好的服务于人民的生活。

参考文献:

[1]冯国柱. PKI关键技术研究及其应用[D].长沙:国防科学技术大学,2006.

[2]赵小沫. 基于SSL的数据库安全研究及实现[D]. 武汉:武汉理工大学,2009.

[3]祝晓光. 网络安全设备与技术[M]. 北京:清华大学出版社,2004. 74—82.

[4]冯登国,卿斯汉.信息安全核心与实践[M]. 北京:国防工业出版社,2000.92.

作者：马宏利

第二篇：身份认证技术研究综述

摘要：身份认证技术是能够对信息收发方进行真实身份鉴别的技术，是识别，验证网络信息系统中用户身份的合法性和真实性，按授权访问系统资源，并将非法访问者拒之门外。本文论述了信息安全领域中身份认证技术的现状及发展趋势，对于进一步做好该工作具有一定的理论指导意义。

关键词：信息安全;身份认证;生物特征;组合认证;解决方案;性能分析

Authentication Technology Research Overview

Zhang Yao

(Harbin Normal University,Computer Science and Information Engineering College,Harbin150025,China)

Combination of certification;Solutions;Performance analysis

网络认证技术是网络安全技术的重要组成部分之一。认证指的是证实被认证对象是否属实和是否有效的一个过程，常常被用于通信双方互相确认身份，以保证通信的安全。认证技术一般包括两个方面的内容，分别是身份认证和信息认证。身份认证主要是通过对用户身份的鉴别来实现对用户权限的识别，限制低权限或者非法用户的入侵。信息认证主要是用于验证信息是否完整。本论文的研究主要偏重于对身份认证技术及其分析。主要侧重以下几个方面做分析。

一、身份认证的方法分析

身份认证主要是通过分析被认证者的身份、权限等相关的信息。除了认证者本人，任何其他人都无法进行仿造或者伪造身份。如果经过认证，被认证者拥有相关的权限和秘密，那么他就获得了认证。身份认证的主要依据就是被认证方用于证明身份所用有的秘密。每个被认证者所拥有的身份认证秘密不同。常见的身份认证有两种，第一种是基于物理安全性的身份认证方法。第二种是基于秘密信息的身份认证方法。

(一) 基于物理安全的身份认证方法

不同的身份认证方法基于不同的理论，但这些认证方法的共同点就是依据用户知道的秘密信息。和这种认证方法相对照，另外一种利用用户的特殊信息或者硬件信息来进行身份认证的。比如说从生物学角度考虑，利用声音识别进行身份验证，利用指纹进行身份验证，利用人眼的虹膜进行身份验证等。从硬件的角度考虑，常用的认证方法有通过智能卡来进行验证，只有认证者拥有正确的卡，才可以被认证。当然，这种方法也有优缺点，这种智能卡可以有效的阻止和避免人为乱猜口令导致的密码被破解，但也存在着只认卡不认人的缺陷，一旦智能卡因丢失被其他人捡到，则很容易被盗取身份。为防止出现这种情况，现在一般采用智能卡和口令结合的方式，比如现在最常用的银行卡就是这种。

(二)基于秘密信息的身份认证方法

常见的有以下几个方式：

1.通过进行用户口令认证来核对身份信息，在刚建立系统的时候，系统已经预先为具有合法权限的用户设定了用户口令和密码。当用户通过登录界面登录时，登录界面显示用户名和密码输入。客户输入用户名和密码以后，系统会对输入的账户和密码与系统原有的密码进行核对如果完全一致，则认为是合法用户，用户身份得到认证。否则，就提示账户名或者密码错误。用户身份得不到认证。

2.单项认证，所谓单项认证，就是进行通信的双方中，只有一方需要进行身份认证。上面所阐述的口令核对法本质上也是一种单项认证。只是这种认证方法还比较低级，没有进行相应的密钥分发操作。常见的涉及到密钥分发操作的认证方案有两类。分别是对称密钥加密方案和非对称密钥加密方案。对称密钥加密方案是指依靠第三方来进行认证，第三方就是一个统一的密钥分发中心。通信双方的密钥分发和身份认证都要通过第三方来实现。另一种没有第三方参与的加密体制成为非对称密钥加密体制。

3.双向认证。双向认证，是指需要通信双方相互认证才可以实现双方通信，通信双方必须相互鉴别彼此的身份，并且经双方验证正确以后，才可以实现双方的通信。在双向认证中，最典型的就是Needham/Schroeder协议。

[1]Needham/Schroeder Protocol[1978]

A→KDC：IDA||IDB||N1

KDC→A：EKa[Ks||IDB||N1||EKb[Ks||IDA]]

A→B：EKb[Ks||IDA]

B→A：EKs[N2]

A→B：EKs[f(N2)]

(其中f(N2)为N2的某一个函数，其他符号约定同上。)

4.身份的零知识证明通常在进行身份认证时，需要进行身份信息或者口令的传输。要想不传输这些信息就可以进行身份认证，就需要采用身份的零知识证明技术。所谓零知识证明就是指在进行用户身份认证时，不需要传输相关的信息。这种认证机制就是当被认证的甲方为了让认证方乙方确信自己的身份和权限但同时又不让乙方得到自己的秘密信息而采用的一种机制。这种认证方法可以非常有效的防治第三方窃取信息。

二、身份认证的应用

(一)Kerberos认证服务

Kerberos是一种基于Needham和Schroeder[1978]模型的第三方认证服务Kerberos可信任的第三方就是Kerberos认证服务器。它通过把网络划分成不同的安全区域，并且在每个区域设立自己的安全服务器来实现相应的安全策略。在这些区域的认证具体实现过程如下：Kerberos通过向客户和服务提供票和通信双方的对话密钥来证明自己的身份权限。其中Kerberos认证服务器负责签发初始票，也就是客户第一次得到的票。其他票都是由发票服务器负责签发。同一个票可以在该票过期之前反复使用。当客户需要让服务方提供服务的时候，不但要自己生成仅可以使用一次的证，而且需要向服务方发送由发票服务器分发的。这两个需要同时发送。

(二)HTTP中的身份认证

HTTP中的身份认证现在主要由三个常用的版本。分别是HTTP协议目前已经有了三个版本HTTP0.9、HTTP 1.0和HTTP 1.1，其中HTTP 0.9功能简单，主要用来实现最基本的请求协议和回答协议。HTTP 1.0是目前应用比较广泛的一个版本，它的功能相对来说非常完善。而且，通过Web服务器，就可以实现身份认证来实现访问和控制。如果用户向某个页面发出请求或者运行某个CGI程序时，将会有访问控制文件告诉用户哪些可以访问，哪些不可以访问，访问对象文件通常存在于访问对象所在的目录下面的。通过服务器读取访问控制文件，从而获得相应的访问控制信息。并且要求客户通过输入用户名和口令进行身份验证。通过访问控制文件，Web服务器获得相应的控制信息，用户根据要求输入用户名和口令，如果经过编码并且验证以后，如果身份合法，服务方才发送回所请求的页面或执行CGI程序。HTTP 1.1新增加的很多的报头域。如果进行身份认证，不是以明文的方式进行传递口令，而是把口令进行散列变换，把口令转化以后对它的摘要进行传送。通过这种认证机制，可以避免攻击者通过某种攻击手段来获取口令。即使经过多次攻击，也无法进行破译。即使是这样，仍然不能保证摘要认证的足够安全。和普通的认证方法一样，这种方法也可能受到中间者的攻击。要想更进一步确保口令安全，最好就是把HTTP的安全认证方式与Kerberos服务方式充分结合起来。

(三)IP中的身份认证

IP中的身份认证IP协议出于网络层，因此不能获取更高层的信息，IP中的身份认证无法通过基于用户的身份认证来实现。主要是通过用户所在IP地址的身份认证来实现。IP层的认证机构既要确保信息在传递过程中的数据完整性，又要确保通过数据组抱头传递的信息的安全性。IPSec就是IP安全协议的简称，主要功能就是维护网络层的安全和网络成以下层的安全。通常情况下，它提供两种安全机制。第一种是认证机制，通过这种认证机制，可以确保数据接收方能够识别发送方的身份是否合法。而且还可以发现信息在传输过程中是否被恶意篡改;第二种是加密机制，通过对传输数据进行数据编码来实现数据的加密机制。从而可以保证在信息的传递过程中，不会被他人窃取。IPSec的认证报头(Authentication Header AH)协议定义了认证的应用方法，封装安全负载(Encapsu-lating Security Payload，ESP)协议定义了加密和可选认证的应用方法。应用到具体的通信中去，需要根据实际情况选择不同的加密机制和加密手段。AH和ESP都可以提供认证服务，相比较而言，AH提供的认证服务要强于ESP。

三、身份认证技术讨论

身份认证技术讨论，在前面几部分内容中，对身份认证技术进行了理论分析和总结，并对他们的原理、机制和优缺点进行了比较。这里将根据自己的理解，深入考虑通过其他途径来实现身份认证。数字签名首先要保证身份验证者信息的真实性，就是要确保信息不能伪造，这种方法非常类似于身份认证。身份认证的主要目的是要确保被认证者的身份和权限符合。因此，这里考虑通过数字签名来实现身份认证。这里的技术难点就是必须要预先进行分发密钥。如果不能提前进行密钥分发，就不可能实现数字签名。综上可以看出，身份认证在整个安全要求中是首先要解决的技术问题。

参考文献：

[1]William Stallings,孟庆树等.密码编码学与网络安全——原理与实践(第四版)[M].电子工业出版社,2006,11

[2]袁德明.计算机网络安全[M].电子工业出版社,2007,6

[3]杨英鹏.计算机网络原理与实践[M].电子工业出版社,2007,9

[4]李忠献.认证理论与技术的发展[J].电子学报,1999

[5]陆明,叶凡,胡道元.WWW安全机制研究[J].电子科技导报,1998,1:14-19

[作者简介]张瑶(1989.3-)，女，就读于哈尔滨师范大学计算机科学与信息工程学院，本科生，研究方向为计算机科学与技术。

作者：张瑶

第三篇：基于物联网的身份认证技术的研究

摘 要：本文简单地介绍了物联网的定义和特征，闡述了身份认证的含义和本质，在此基础上探索了物联网发展过程中面临的困境和难题，提出了物联网身份认证技术的发展和拓展的路径和策略。

关键词：物联网;身份认证

在我国信息技术和互联网技术快速发展的时代背景下，物联网的应用范围越来越广，给经济社会发展和人们的生活都带来了彻底的变革。可以说物联网改变了当代人们的生活方式和节奏。但是伴随而来的信息安全问题和用户隐私问题也不同我们忽视。如何在提升物联网便捷性的同时保证数据和信息安全，身份认证技术的重要性就显现出来了，在物联网之中引入身份认证技术大有可为，是物联网未来一段时间内发展的主要方向。

一、物联网简介

(一)物联网定义

物联网，顾名思义，就是物物相连的网络。物联网的内涵之中至少包含了如下两层含义：第一，物联网的核心依然是互联网，物联网是对互联网的拓展和延伸;第二，物联网之所以叫物联网，是因为其用户端已经延伸到物体与物体之间，更加便于交换和通信。从这一层面来看，物联网是一种建立在专用网、内网、外网和互联网基础上的互联互通、应用集大成的运营模式，通过建立相应的信息安全保障机制，物联网可以实现对万物的个性化、一体化、实时化检测，追溯、联动管理、防范和决策支持。

本质上来讲，物联网就是一种巨型网络，在这个网络之中，所有的物体都可以自由地进行交流和联系。物联网是在互联网基础上引入无线数据通信技术、射频技术实现的。在网络之中，物品之间可以在免去人工干预和介入的情况下进行衔接和交流。近年来迅速发展的数据通信技术、互联网技术和识别技术在极大程度上提升了物品之间的共享和关联。传统物联网具有如下三个特征：第一，通过二维码、传感器等技术手段实现随时、随地和全面的物体感知;第二，在已有的互联网网络路径的基础上保证物体信息传递的安全性、可靠性和精确性;第三，借助云计算、模糊识别等职能计算手段来实现对数据的针对性处理和对物体的智能控制。

物联网在实际运行之中可以自下而上地划分为以下几个层次：

第一，物联网感知层。该层次面对的是等待感知的具体任务，通过协同处理技术能够对不同种类、不同尺度和不同角度的信息进行在线控制，与此同时还可以将数据接入到接入设备之中，实现不同网络单元之间的资源获取和数据共享。物联网感知层的主要任务就是借助不同类传统器的功能广泛地收集和识别物体静态信息和物体动态信息。

第三，互联网层。互联网层是对内部信息资源和数据进行大规模集成和整合的层次。在物联网平台之中，该层次属于一等核心技术层次，是实现数据交互和资源共享的关键层次。互联网曾为物联网的应用提供了一个高效、可靠的设施平台，为物联网的广泛应用和普及提供了坚实的基础。

第四，服务管理层。服务管理层是为上述三个层次的应用层提供了良好的数据接口，通过计算机群强大的计算能力，可以实现实时监控和网络管理。物联网服务管理层本质上就是将物理网技术和其他各个行业之间联结在一起的层次，其中的关键所在就是继承现有的所有底层功能。物联网正在以极快的速度发展和扩散，已经在智能交通、环境保护、自然灾害预防、数字油田、历史文物保护、医疗监护方面得到良好的应用。

(二)基于RFID的物联网架构

在物联网应用的过程中，RFID是最为常见的一种技术，此技术之中包含电子产品编码、射频识别系统和信息网络系统三个部分。

视频识别系统中包含大量的射频标签，大量根据设置的编码蕴含在射频标签之中，系统中的读写器根据每次的任务需要读取所需信息。该系统之中的本地网络主要由本地数据库和数据处理终端组成;远程网络则由对象名称解析服务和信息服务构成，二者共同作用可以实现对全球物品的管理和跟踪。不同网络之间的是通过实体标记语言和可扩展标记语言共同组成的，共同完成物联网对物品的链接。

电子产品编码能够给物理世界对象提供唯一的标识，可以说电子产品编码是在线数据唯一的地理标识，在同一时间内它只能分配给一个物品，相对应的网络协议地址，从域名服务中翻译得来的，也就是获得了网络信息的详细地址。

信息网络系统主要由中间件、对象名称解析服务、实体标记语言、EPC信息服务模块几部分组成。射频识别设备和应用系统之间主要依靠该中间件进行数据格式转化、数据传输和数据筛选。中间件技术的应用在很大程度上降低了传统应用开发的难度，开发者借助此技术可以避免底层架构，因为读写器获取数据信息之后，中间件可以顺利地完成解密、提取和格式转换任务。中间件的作用在其信息网络系统融入到企业管理信息系统之后将会得到全面反应，使用者查询和浏览将更加便捷;对象解析服务类似于域名解析系统，是能够将一台计算机定位到具体某一物体的相关服务;实体标记语言发展于可拓展表示语言和HTML语言的基础上，该语言可以描述互联网上所有的产品信息，其所设计的描述标准既可以被人机器所用又可以被人所用，实体标记语言是物联网体系下进行信息存储和交换的标准语言体系;EPC信息服务模块是一种全球性的网络，其能够将全球的EPC相关数据在合作伙伴之间交换和沟通。

二、身份认证简介

身份认证技术是安全技术的重要组成部分，其主要职能是鉴别用户身份，避免非法用户侵入网路，篡改和滥用资源。身份认证的目的是建立双方之间的信任关系，让双方能够对彼此的身份没有后顾之忧。本质上看，身份认证信息一般是指认证方特有的信息或者秘密的信息，任何第三方权威(被认证方)都不可伪造，被认证方要出示或者证明来表明自己掌握哪些信息，从而取得被认证方的确信和认可，进而得到身份的认可。身份认证一般会涉及到识别和验证两个流程，一般确认访问者身份和访问者是否符合其声称的身份，从而对其身份进行标识符输入，从而对访问者所声称的身份进行验证，预防冒名顶替的情况出现。识别是保证身份认证系统用户合法性的重要保证，确保其有效性是十分重要的，任意两个用户都不能有相同的识别符，每个用户的识别符是唯一的。需要提醒的时候，识别符可以不是秘密的，但是验证信息必须是秘密的。

身份认证是保障一个通讯网络系统安全最根本的前提，通訊各方必须通过相应的身份验证机制才能将明确自身的访问权限。系统在用户完成身份验证之后就会进行一致性检验，自动地判断用户的身份和用户访问资源的权限。网络通讯的安全性依赖于身份认证和资源访问权限设置，黑客也通常将身份认证系统作为集中攻击目标，因为突破这一底线，他们进入网络通讯将会畅通无阻，而系统安全自然也就面临着严重的问题。构建强大和安全的身份认证体系对网络安全的重要性不言而喻。

当前比较盛行的身份认证技术主要有以下四种：

(1)双因素认证。

双因素身份认证在已有的身份认证技术上增加了物理因素——认证令牌，认证令牌包括智能卡和其他软硬件设施，能够在身份认证的过程中产生动态口令。双因素身份认证下，用户在登录的过程中需要通过静态口令和动态口令的同时验证，只要在两方面的认证均通过的情况下才能真正确认用户身份。双因素身份认证方式可以划分为挑战相应方式、事件同步方式和时间同步方式三种类型。以时间同步认证方式为例，该方式要求认证服务器在同一时间，以同一方式和同样的算法生成当下时刻合法认证口令码，与此同时，用户的认证口令要和认证服务器上的认证口令在时间上保持一致，只有用户发来的认证口令码和服务器的认证口令码一致，用户身份才能确定，认证口令本身具有不可预测性和变化性。

SecureID是一种采用时间同步技术的双因素认证系统，系统组成包括认证令牌，验证服务器和客户端代理三部分，是由美国公司提出的。身份认证双因素系统中，有两个可靠性因素即用户拥有的令牌动态码和己知的PIN码，这使得访问者在获得访问许可之前，能够接受安全可靠有效地身份验证，从而提高了认证的可靠性。

SecureID由美国RSA公司开发，被划分为SEVER、AGENT和认证令牌三个有机组成部分。SecureID是时间同步技术类型双因素身份认证技术最具代表性的技术，其因为已知的PIN码和令牌动态码成为应用范围最广的技术之一。只有经过安全可靠的身份验证，用户才能获得访问许可，认证的可靠性在这个过程中大大提升。

(2)数字证书认证。

数字证书(Digital Certificate)和现实生活之中人们所持有的身份证具有类似的属性，是一种身份证明标志，是一种囊括了身份特征数据的证书。当前数字证书认证的基本框架是由国际电信联盟提供的X.509的标准定义提供的，之后出现的Kerberos技术是建立在X.509证书认证技术上的身份验证方式，不同的是其采取的是非对称密码体制。此外，数字证书认证还需要CA(Certificate Authority)认证机构这个可信赖第三方的支持，该机构主要负责数字证书的发放和用户的身份认证的权威性和真实性。

(3)口令认证。

口令认证方式主要是借助用户名ID和用户密码PW实现对用户身份验证的。系统实现保存了用户名和用户密码，当用户进入系统之后，要输入用户名和用户密码进行验证，系统会将用户输入的二元组信息和系统事先保存的信息进行比较，以此作为验证用户身份的一种途径。口令认证主要适用于小型封闭系统，我们常用的Windows系统和UNIX系统都可以支持口令认证方式，该方法的优点是简单、易于操作;但是其缺点也是显而易见的：传统的、单一的静态口令认证方式中，口令的存储媒介一般都存储在认证方的客户端文件之中，如果系统存在漏洞的话，那么攻击者可以轻松地获取口令文件，当口令文件被盗取之后，认证方系统就有很大的风险遭受离线字典式的攻击;除此之外，用户每次都是以明文的形式输入口令作为系统访问的主要方式，数据在传输的构成中很有可能被盗用和窃取，泄密风险极高。口令认证方式在类别上属于单因素认证方式，系统安全性和口令之间的关系有着高度的关联性;同样地，系统可以认证用户，但是用户却不能对系统进行认证，攻击者很有可能伪装成系统骗取用户口令，身份认证的风险将会变得很大。

(4)生物特性身份认证。

生物特性身份认证方式是建立在人的生物特性基础上，通过提取人生理上的特性或者特殊行为方式来作为验证途径。生物特性身份认证是将数字身份和人的真实身份结合在一起的验证方式，生物特性身份认证已经广泛地应用在网络交易、银行和企业门禁、海关和机场身份验证领域之中。完整的生物特性身份认证需要经历提取生物特性、生成特征模板、测量特征和进行特征匹配等几个步骤。从目前的技术成果来看，生物特性身份热证主要包含指纹认证、手型认证、视网膜认证、签名识别等多种技术。

(5)Kerberos身份认证。

Kerberos是一种对称密码身份认证体系，密钥管理问题在对称密码学的研究中一直是难点问题，因为大量密钥都存放在授权许可服务器和认证服务器上，一旦保管不当，那么密钥就有被盗取的可能性，攻击者具有可能获得假冒用户身份的机会，导致整个认证过程失去效力。同时，Kerberos身份认证技术使用的加密算法只能起到保护数据安全性的作用，却不能起到保护数据完整性的作用。鉴于网络之中所有时钟都是同步的，主机受到欺骗之后，就会因为时间错误而降旧的鉴别码重新纳入到许可证有效期内，导致无效验证情况的出现。

三、我国物联网发发展问题分析

作为一个庞大的信息系统，物联网面临的终端物体规模和传感网的数量是无可比拟的。鉴于物联网连接着大量的终端设备，而这些终端设备的处理能力存在很大差异，它们之间是需要相互作用的，物联网所处理的数据量要远超过移动网和互联网，因此很多物联网身份认证研究之中的问题都来源于系统整合。

第一，安全认证问题。物联网的类型繁多，很难有一种规范的密码协议来应对所有的安全认证问题。服务器和节点之前属于多对多型认证，终点和终端之间则属于一对多认证，需要的密码协议是完全不同的。鉴于物联网终端设备的特殊性，有一些特殊的安全认证需求很难找到现成的协议。

第二，隐私泄露问题。物联网普及之后，我们随身所带的每一样东西都可能含有感知芯片，这些芯片可以和外界即时通讯，有时候可能只是发出一个短信，周边的人就都接收到了。植入到人们生活之中的芯片看不到、摸不着，但是作为电子传感器却时时刻刻会暴露人们的一举一动。物理网技术的隐私危机不容小觑。在这种情况下就产生这样的问题：如何保护人们的隐私?现如今物联网的行动计划之中，绝大多数篇幅都在强调隐私问题。

四、基于物联网的身份认证技术研究

经过几年的发展，物联网的应用范畴已经非常广泛，我国学术界和政府都对物联网的应用秉承支持的态度。物理网的研究已经引起了众多大型科技企业的重视。物联网信息处理程序较为复杂，这是物联网本身高度重视安全、对安全程度要求较高的直接体现。基于物联网的身份认证技术研究具有很强的现实意义。

(一)以无线传感器为主的物联网身份认证

通过身份认证减少不法分子的访问感知节点，这是物联网身份认证要达到的主要目的，唯有如此才能保证数据的安全。笔者认为可以将无线传感器引入到身份认证研究之中并加大对节点、终端节点、接入网的集中研究能够有效地实现提升物联网感知信息的安全性。以无线传感器为主的身份认证会在通信双方认证过节点之后自动形成邻居节点，恶意节点侵袭的情况将会被扼杀在萌芽之中，认证方和被认证方的身份信息可以在信息传输的过程中得到最大限度保护。无线传感器网络之中还需要加入椭圆曲线密码的应用，进一步提升物联网内信息的安全性。在相同的密钥程度之下，椭圆曲线在计算速度上和数据安全性上都具有更加良好的表现。总而言之，椭圆曲线密码优势颇多，在物联网身份认证研究之中具有很强的应用价值。因此，在初始化、双向认证、密钥建立的过程中都可以大力引入。

对于用于认证的信息，用户和基站应当在初始化阶段开展商定程序，商定的内容应该涵盖节点密钥信息和参数信息等数据访问基本信息。椭圆曲线原则应当作为密钥信息实际则合适基点的方法。鉴于此，在获得公钥的过程中，应当以整数在系统认证中心基站中的密钥进行选择。基站建设的过程中同时也是感知网实体分配责任的划分过程，将安全通道变为传递实体ID的媒介。在密钥建立阶段和双向认证阶段，需要将私钥作为优先选择，并在基础上开展密钥和公钥计算，之后再向自己范围内的传感器节点发出请求。如果发出的请求有效，那么基站會将临时密钥反馈给用户，接到反馈的用户需要检查时间戳，以便验证真伪。在充分保证请求有效之后，基站会在计算出公钥之后再反馈给节点。

(二)以云存储为基础的访问控制策略研究

访问控制在本质上是一种授权机制，是对用户访问一定资源的权限进行控制的过程中，这样做的目的是为了减少非法用户侵入资源或者用户操作失误造成的资源和数据损坏，经过访问控制，系统资源可以始终处在合法控制之中，数据的安全性得到了很大提高。物联网时代人们最为关心的就是数据安全问题，访问控制很好地解决了这一难题。在物联网数据信息安全保护和访问控制策略的研究过程中，云存储技术的引入是值得探索的领域。物联网的应用范围越广、应用程度越深，积累的数据也就会越来越多，云存储技术和云计算技术的出现为物联网的应用拓展了极大的空间，能够在减少企业数据存储时间和成本的基础上优化企业数据存储模式。实践表明，在提升数据安全性、提高企业管理安全程度上，云存储表现出更为明显的优势，因为其多样性在满足不同用户数据使用需求上表现得相得益彰、得心应手，根据自身实际身份，用户可以获取相应的访问权限。在该层面的研究之中，需要让云存储在数据控制中发挥作用，明确属性约束分配应遵守的原则。

在以云存储为基础的物联网访问控制策略中，应当重视以下几点的建设：第一，将授权控制环境考虑其中，明确物联网框架之下相关属性的含义和内涵，对时间、温度等概念进行清晰地界定，使得授权的规范性和合理性的到账保障;第二，云存储作为云计算之中的典型，其目的是为用户提供更具针对性的网络服务，将云存储引入物联网访问策略之中，能够降低数据使用成本;与此同时在应用云存储进行数据访问控制建设时要将用户对数据安全和隐私的需求考虑其中，最大限度保护授权用户信息安全，进而保证物联网数据的安全，使得用户可以没有安全忧虑;第三，根据用户属性证书和访问控制策略来设定用户访问权限，系统在属性的应用下只要做好一个访问控制策略库就可以大大减少访问控制工作量，大大降低系统开销。

五、结语

通过本文论述不难发现，物联网已经成为当今社会发展的主要趋势，与此同时其也提出了比互联网更高的数据安全需求。在这种情况下。本文提出利用无线传感器进行身份认证、以云存储技术开展访问控制策略，将这些先进的技术应用到物联网身份认证研究中有利于提升数据的安全性。

参考文献：

[1]冯福伟，李瑛，徐冠宁，杜丽萍，赵桂芬.基于集群架构的物联网身份认证系统[J].计算机应用，2013(S1)：126-129.

[2]王宇涵.物联网身份管理(IdM)技术研究[J].电信快报，2011，05：31-33+37.

[3]孙论强，秦海权，尹丹.物联网安全接入网关的设计与实现[J].信息网络安全，2011，09：16-18.

[4]王汶慧.基于云计算的可定制人口信息系统中多租户隔离的研究与设计[D].北京邮电大学，2012.

[5]李红霞.云计算中身份认证与访问控制管理系统的实现策略研究[D].北京邮电大学，2011.

[6]侯素娟.基于属性的访问控制模型及应用研究[D].重庆大学，2010.

[7]谢巧玲.基于动态口令的双向身份认证识别系统的设计与实现[D].西北大学，2008.

[8]韩君.基于USBKey的Windows身份认证与访问控制研究[D].武汉大学，2004.

[9]Sun，Yuqing，Wang，Qihua，Li，Ninghui，Bertino，Elisa，Atallah，Mikhail.On the Complexity of Authorization in RBAC under Qualification and Security Constraints[J].IEEE Transactions on Dependable and Secure Computing，2011(6).

作者：黄天峰