网络身份认证技术是将密码、生物识别、数字签名等技术应用于网络通信中对通信双方进行身份识别的一项综合性技术。它可以防止非法人员进入系统,防止非授权人员访问受控信息。目前,身份认证技术已经广泛应用于银行、电子商务、电子政务及各种各样的管理信息系统中。随着计算机网络及通信技术的不断发展,对身份认证技术的研究必将成为信息安全技术研究中的热点。 本文比较系统地对网络身份认证理论、技术和应用进行了深入的研究,重点研究了基于多因素的网络身份认证中的若干关键技术问题。 首先,分析了已有的多服务器身份认证方案存在时间同步、用户单向认证等不足,提出了一种基于智能卡的多服务器身份认证方案。该方案的优点是:在智能卡中以表达式的方式存储了用户的认证信息,使得用户认证信息的安全性大大加强;实现了多服务器系统中用户与服务器的双向认证及会话密钥的生成,在智能卡中以插值多项式的形式存储了双方的会话密钥的相关信息,这样,会话密钥就避免了在网络上进行传输,减小了会话密钥被泄露的可能性。并在所提方案的基础之上提出了一种结合口令、智能卡和指纹的身份认证方案,进一步加强了原有方案的安全性。 其次,设计了一种基于USBKey的多服务器身份认证协议,对协议的安全性和性能作了分析,并设计和实现了基于该协议的身份认证系统的关键模块。 再次,提出了一种基于角色的身份认证方案。在任何一个应用系统中,不同角色具有的权限不一样,因此,必须采取不同的身份认证方式。比如电子病历系统,对患者用户采用用户名加口令的方式进行身份认证,对医务工作者采用基于三因素(用户名加口令、智能卡和指纹)结合方式进行认证,对卫生部门的行管人员采用基于四因素(用户名加口令、智能卡、指纹和网卡MAC地址)结合方式进行认证,并对有访问多个服务器要求的卫生部门行管人员加入了多服务器的认证。 最后,对SIP协议中的身份认证机制作了改进,在原有方案的基础上提出了一种双因素(口令和智能卡)认证,保证了用户名的私密性,并使改进后的方案能抵抗重放、伪装等攻击。