1、学校编码:10384 分类号 密级 学号:23020071151255 UDC 硕士 学 位 论 文基于口令、手机令牌和生物特征的身份认证系统研究与实现Research and Implementation of Identity Authentication System Based on Password, Mobile Token and Biometric厦门大学学位论文原创性声明兹呈交的学位论文,是本人在导师指导下独立完成的研究成果。本人在论文写作中参考的其他个人或集体的研究成果,均在文中以明确方式标明。本人依法享有和承担由此论文产生的权利和责任。声明人(签名):年 月 日摘要I厦门
2、大学学位论文著作权使用声明本人完全了解厦门大学有关保留、使用学位论文的规定。厦门大学有权保留并向国家主管部门或其指定机构送交论文的纸质版和电子版,有权将学位论文用于非赢利目的的少量复制并允许论文进入学校图书馆被查阅,有权将学位论文的内容编入有关数据库进行检索,有权将学位论文的标题和摘要汇编出版。保密的学位论文在解密后适用本规定。本学位论文属于1、保密( ) ,在 年解密后适用本授权书。2、不保密( )(请在以上相应括号内打“”)作者签名: 日期: 年 月 日导师签名: 日期: 年 月 日基于口令、手机令牌与生物特征的身份认证系统研究与实现II学位论文原创性声明本人郑重声明:所呈交的论文是本人在
3、导师的指导下独立进行研究所取得的研究成果。除了文中特别加以标注引用的内容外,本论文不包含任何其他个人或集体已经发表或撰写的成果作品。对本文的研究做出重要贡献的个人和集体,均已在文中以明确方式标明。本人完全意识到本声明的法律后果由本人承担。作者签名: 日期: 年 月 日学位论文版权使用授权书本学位论文作者完全了解学校有关保留、使用学位论文的规定,同意学校保留并向国家有关部门或机构送交论文的复印件和电子版,允许论文被查阅和借阅。本人授权 大学可以将本学位论文的全部或部分内容编入有关数据库进行检索,可以采用影印、缩印或扫描等复制手段保存和汇编本学位论文。涉密论文按学校规定处理。作者签名: 日期: 年
4、 月 日导师签名: 日期: 年 月 日摘要III摘 要随着计算机网络和信息技术的不断发展,越来越多的企业和组织依靠网络这个平台来开展它们的业务,信息安全问题日益受到人们的重视。身份认证作为信息安全系统的第一道防线,是网络安全的基础和核心。目前,身份认证技术已经广泛应用于银行、电子商务、电子政务及各种各样的管理信息系统中。传统的身份认证技术主要使用的是静态口令认证方式,这种方式简单易用,但是由于其自身缺陷以至于不能保证足够的访问安全性。口令加令牌(智能卡)的双因素认证也由于令牌的丢失而产生诸多安全缺陷。虽然利用生物特征进行身份认证正广泛地被应用于各种场合,但是目前普遍利用生物特征识别进行身份认证
5、的方案却有其自身的一些弱点,如生物特征模板的存储及传输等。本文首先对选题背景和研究现状进行了综述,阐述了相关密码学技术与基本原理,身份认证的基本概念,分析了各种常见身份认证的优缺点,重点分析了生物特征认证的优缺点。在此基础上,提出了两种口令、手机令牌和生物特征认证技术相结合的身份认证方案。利用 Shamir 基于身份的数字签名实现挑战/应答认证,设计了基于口令及生物特征的密钥生成算法、及其恢复算法,解决了生物特征模板的存储问题,提出一种本地提取生物特征的认证方案。给出了一种安全的基于椭圆曲线的 Diffie-Hellman 密钥交换协议,保证了生物特征等敏感信息的传输安全,提出一种从手机客户端
6、提取生物特征的远程认证方案。并分析了两种方案的安全性及优越性。接着根据本文的设计,将两种方案应用于 Windows 系统登录的身份认证,利用指纹作为生物特征,手机作为令牌,蓝牙作为通信方式,实现了两种登录系统,给出了实验测试数据,证实了方案的可行性。关键字:身份认证;手机令牌;生物特征;密钥协商协议基于口令、手机令牌与生物特征的身份认证系统研究与实现IVAbstractVAbstractWith the continual development of computer network and information technology, more and more enterprises
7、and organizations conduct their business relying on the networks platform, and the information security has gradually attracted more concerns. As the first line of defense in information security system, identity authentication is the foundation and core of network security. At present, the identity
8、 authentication technology has a broad application in banks, e-commerce, e-government and other management information systems.The traditional authentication technology mostly uses static password method, which is simple and easy to use. However, during to its own shortcomings, it cannot guarantee s
9、ufficient access security. Because of token loss, two-factor authentication with password plus token (smart card) would cause a number of security flaws. Though, the identity authentication using biometric minutiae is used widely on various occasions now. Most present schemes of that type have some
10、weaknesses, such as the storage and transmission of biometric template on the Internet.At first,a survey is made on the research background and current research situation. The cryptography theory and the concept of identity authentication are described in detail too. With the analysis of the advanta
11、ges and disadvantages about various traditional authentication technologies, we put the emphasis on the biometric authentication. On this basis, two identity authentication schemes combined with password, mobile tokens and biometric authentication technology is presented. Using Shamir identity-based
12、 digital signature algorithm to achieve challenge / response authentication, we design the key generation algorithm based on the password and the biological characteristics, and the recovery algorithm to solve the issue of biometric template storage. Then an authentication scheme with local extracti
13、on of biometric is presented. We also propose a secure Diffie-Hellman key exchange protocol, which is 基于口令、手机令牌与生物特征的身份认证系统研究与实现VIbased on elliptic curve, to ensure the transmission secure of the sensitive information such as biological characteristics. An authentication scheme to extract biometric
14、minutiae from the Mobile client is presented. Then we analyze the safety and superiority of the scheme.Then according to the design of this paper, the proposed two schemes are applied in Windows logon authentication system, which uses fingerprints as a biometric and Bluetooth as the communication me
15、thod, realizing two methods to login in system. An experimental test data is given, to confirm the feasibility of these schemes. Finally, the summary of the research is carried out, and the research work in the future is also suggested.Key Words: Identity Authentication ; Biometric; Mobile Token; Ke
16、y Agreement Protocol目录VII目 录摘 要 .1Abstract .III第一章 绪论 .11.1 研究背景和意义 .11.2 本论文主要研究工作 .41.3 本论文结构安排 .4第二章 身份认证技术基础 .72.1 密码学相关原理 .72.1.1 对称密码体制 .82.1.2 非对称密码体制 .132.1.3 单向散列函数 .172.2 身份认证技术 .182.2.1 简单口令认证 .182.2.2 一次性口令认证 .202.2.3 智能卡身份认证 .222.2.4 双因素身份认证 .232.2.5 基于 PKI 的身份认证 .232.2.6 IBE 身份认证 .242.
17、2.7 生物特征识别技术 .252.2.8 多因素认证 .262.3 生物特征识别技术 .262.3.1 概述 .262.3.2 常用的生物特征 .272.3.3 典型的生物特征进行身份认证的系统能受到的攻击 .29第三章 基于口令、令牌与生物特征的本地身份认证方案 .333.1 概述 .333.2 符号说明 .333.3 本地认证方案 .343.3.1 设计思路 .343.3.2 基本认证结构 .353.4 挑战/应答认证 .363.4.1 Shamir 基于身份的数字签名方案 .373.4.2 挑战/应答算法设计 .383.5 方案模块设计 .40基于口令、手机令牌与生物特征的身份认证系统
18、研究与实现VIII3.5.1 系统参数生成 .413.5.2 注册模块 .413.5.3 认证模块 .433.5.4 用户注册信息修改模块 .443.5.5 代理模块 .453.5.6 用户数据库模块 .463.6 方案分析 .46第四章 基于口令、令牌与生物特征的远程身份认证方案 .494.1 符号说明 .494.2 远程认证方案 .504.2.1 设计思路 .504.2.2 基本认证结构 .504.3 改进的基于椭圆曲线的密钥协商方案 .524.3.1 基于椭圆曲线密码的 Diffie-Hellman 密钥交换 .524.3.2 中间人主动攻击 .534.3.3 改进的密钥交换协议 .54
19、4.3.4 交换协议安全性分析 .554.4 方案模块设计 .574.4.1 系统参数生成及密钥分发模块 .584.4.2 认证模块 .584.4.3 加密解密模块 .604.5 方案分析 .61第五章 身份认证方案的系统实现 .635.1 开发环境和系统介绍 .635.2 系统实现技术 .635.2.1 Windows GINA 技术 .635.2.2 J2ME 平台 .675.2.3 蓝牙通信技术 .695.3 本地认证系统实现 .745.3.1 本地认证系统整体结构 .745.3.2 本系认证统管理服务器 .755.3.3 GINA 认证模块 .795.3.4 手机令牌客户端 .835.4 远程认证系统实现 .865.4.1 远程认证系统整体结构 .865.4.2 远程系统管理服务器 .875.4.3 GINA 认证模块 .885.3.4 手机令牌客户端 .915.5 系统测试 .915.5.1 功能测试 .925.5.2 性能测试 .92第六章 总结与展望 .93
