|
|
各種信息係統和在綫應用都依賴於身份驗證技術,現有的在綫身份認證技術依賴許多因素,但主要可以歸納為三大類:
(1) 根據你所知道的信息來證明你的身份 (what you know ,你知道什麽 ) ,假設某些信息衹有你本人知道,如暗號、密碼等,通過詢問這個信息就可以確認你的身份;
(2) 根據你所擁有的東西來證明你的身份 (what you have ,你有什麽 ) ,假設某一個東西衹有你本人擁有,如 ic 卡、 usb key 、單位數字證書等,通過出示這個東西也可以確認你的身份;
(3)直接根據你獨一無二的身體特徵來證明你的身份 (who you are ,你是誰 ) ,比如指紋、面貌等。
單因素認證方式 ( 如密碼 ) 衹是簡單地依賴一個因素:你知道什麽。而當你到 atm 櫃員機上取錢時就是使用雙因素認證,即:你知道什麽 ( 密碼 ) 和你有什麽 ( 銀行卡 ) 。其他雙因素認證則註重於你是誰,如生物特徵解决方案:指紋掃描識別和聲音識別等。然而,實施生物特徵解决方案費用高,也不容易管理和大範圍的使用,而且還較高的錯誤識別率。
由於“你有什麽”和“你是誰”不適宜在網上實施,所以一些網上應用服務提供商試圖讓用戶知道許多個什麽,如多重密碼、循環密碼等,這些也許比單一密碼要安全些,但其實並沒有增加多少安全。而且,密碼越多,用戶越記不住,網上應用服務提供商就要花費更多投入來為用戶重設密碼,也給用戶帶來了使用上的不便。
有些網上應用服務提供商已經使用了動態時間令牌,可以動態産生一組數字作為登錄密碼,但費用太貴,實施成本實在太高,而且容易丟失、轉藉、硬件顯示不清、時間不能同步和電池沒電等問題,更重要的是,動態密碼登錄後如果服務器不部署 ssl 證書,則用戶登錄後查詢的機密信息仍然非常容易被非法竊聽。多重密碼方式相對來講費用最低,但並不比單一密碼安全許多,而詢問用戶這些問題衹適合於填寫開戶申請表格,而不是用於身份認證,因為這些常用的問題並不僅僅用戶一個人知道。
實際上,“你有什麽”並不意味着一定要物理上“你有什麽”,你可以擁有虛擬物品,那就是存儲在你的電腦、智能 ic 卡和 usb key 中的客戶端單位數字證書。客戶端數字證書是基於 pki 公鑰基礎設施的加密技術的最理想的雙因素認證方式,它可以以電子方式發送給用戶來提供強身份認證,能保護用戶數據的完整性和提供對用戶透明登錄方式而不會對用戶造成任何不便。它可以直接存儲在用戶電腦上,或為了方便攜帶,可以存放在智能 ic 卡或 usb key 上。 |
|
定義
隨着互聯網的不斷發展,越來越多的人們開始嘗試在綫交易。然而病毒、黑客、網絡釣魚以及網頁仿冒詐騙等惡意威脅,給在綫交易的安全性帶來了極大的挑戰。據調查機構調查顯示,去年美國由於網絡詐騙事件,使得銀行和消費者遭受的直接損失總計達24億美元,平均每位受害者付出了約1200美元的代價。另據香港明報消息,香港去年由於網絡詐騙導致的直接損失達140萬港元。
層出不窮的網絡犯罪,引起了人們對網絡身份的信任危機,如何證明“我是誰?”及如何防止身份冒用等問題又一次成為人們關註的焦點。
主要的身份認證技術分析
目前,計算機及網絡係統中常用的身份認證方式主要有以下幾種:
用戶名/密碼方式
用戶名/密碼是最簡單也是最常用的身份認證方法,是基於“what you know”的驗證手段。每個用戶的密碼是由用戶自己設定的,衹有用戶自己纔知道。衹要能夠正確輸入密碼,計算機就認為操作者就是合法用戶。實際上,由於許多用戶為了防止忘記密碼,經常采用諸如生日、電話號碼等容易被猜測的字符串作為密碼,或者把密碼抄在紙上放在一個自認為安全的地方,這樣很容易造成密碼泄漏。即使能保證用戶密碼不被泄漏,由於密碼是靜態的數據,在驗證過程中需要在計算機內存中和網絡中傳輸,而每次驗證使用的驗證信息都是相同的,很容易被駐留在計算機內存中的木馬程序或網絡中的監聽設備截獲。因此,從安全性上講,用戶名/密碼方式一種是極不安全的身份認證方式。
智能卡認證
智能卡是一種內置集成電路的芯片,芯片中存有與用戶身份相關的數據, 智能卡由專門的廠商通過專門的設備生産,是不可復製的硬件。智能卡由合法用戶隨身攜帶,登錄時必須將智能卡插入專用的讀卡器讀取其中的信息,以驗證用戶的身份。智能卡認證是基於“what you have”的手段,通過智能卡硬件不可復製來保證用戶身份不會被仿冒。然而由於每次從智能卡中讀取的數據是靜態的,通過內存掃描或網絡監聽等技術還是很容易截取到用戶的身份驗證信息,因此還是存在安全隱患。
動態口令
動態口令技術是一種讓用戶密碼按照時間或使用次數不斷變化、每個密碼衹能使用一次的技術。它采用一種叫作動態令牌的專用硬件,內置電源、密碼生成芯片和顯示屏,密碼生成芯片運行專門的密碼算法,根據當前時間或使用次數生成當前密碼並顯示在顯示屏上。認證服務器采用相同的算法計算當前的有效密碼。用戶使用時衹需要將動態令牌上顯示的當前密碼輸入客戶端計算機,即可實現身份認證。由於每次使用的密碼必須由動態令牌來産生,衹有合法用戶纔持有該硬件,所以衹要通過密碼驗證就可以認為該用戶的身份是可靠的。而用戶每次使用的密碼都不相同,即使黑客截獲了一次密碼,也無法利用這個密碼來仿冒合法用戶的身份。
動態口令技術采用一次一密的方法,有效保證了用戶身份的安全性。但是如果客戶端與服務器端的時間或次數不能保持良好的同步,就可能發生合法用戶無法登錄的問題。並且用戶每次登錄時需要通過鍵盤輸入一長串無規律的密碼,一旦輸錯就要重新操作,使用起來非常不方便。 國內目前較為典型的如VeriSign VIP動態口令技術和RSA的動態口令,而VeriSign依托本土的數字認證廠商iTrusChina,則在密碼技術上針對國內進行了改良。
USB Key認證
基於USB Key的身份認證方式是近幾年發展起來的一種方便、安全的身份認證技術。它采用軟硬件相結合、一次一密的強雙因子認證模式,很好地解决了安全性與易用性之間的矛盾。USB Key是一種USB接口的硬件設備,它內置單片機或智能卡芯片,可以存儲用戶的密鑰或數字證書,利用USB Key內置的密碼算法實現對用戶身份的認證。基於USB Key身份認證係統主要有兩種應用模式:一是基於衝擊/響應的認證模式,二是基於PKI體係的認證模式。
技術的回歸
傳統的身份認證技術,一直遊離於人類體外,有關身份驗證的技術手段一直在兜圈子,而且兜得越來越大,越來越復雜。以“用戶名+口令”方式過渡到智能卡方式為例,首先需要隨時攜帶智能卡,其次容易丟失或失竊,補辦手續繁瑣冗長,並且仍然需要你出具能夠證明身份的其它文件,使用很不方便。
直到生物識別技術得到成功的應用,這個圈子纔終於又兜了回來。這種“兜回來”,意義不衹在技術進步,站在“體驗經濟”和人文角度,它真正回歸到了對人類最原始生理性的貼和,並通過這種終極貼和,回歸給了人類“絶對個性化”的心理感受,與此同時,還最大限度釋放了這種“絶對個性化”原本具有的,在引導人類自身安全、簡約生活上的巨大能量。
生物識別技術主要是指通過可測量的身體或行為等生物特徵進行身份認證的一種技術。生物特徵是指唯一的可以測量或可自動識別和驗證的生理特徵或行為方式。生物特徵分為身體特徵和行為特徵兩類。身體特徵包括:指紋、掌型、視網膜、虹膜、人體氣味、臉型、手的血管和DNA等;行為特徵包括:簽名、語音、行走步態等。目前部分學者將視網膜識別、虹膜識別和指紋識別等歸為高級生物識別技術;將掌型識別、臉型識別、語音識別和簽名識別等歸為次級生物識別技術;將血管紋理識別、人體氣味識別、DNA識別等歸為“深奧的”生物識別技術。
與傳統身份認證技術相比,生物識別技術具有以下特點:
(1) 隨身性:生物特徵是人體固有的特徵,與人體是唯一綁定的,具有隨身性。
(2) 安全性:人體特徵本身就是個人身份的最好證明,滿足更高的安全需求。
(3) 唯一性:每個人擁有的生物特徵各不相同。
(4) 穩定性:生物特徵如指紋、虹膜等人體特徵不會隨時間等條件的變化而變化。
(5) 廣泛性:每個人都具有這種特徵。
(6) 方便性:生物識別技術不需記憶密碼與攜帶使用特殊工具(如鑰匙),不會遺失。
(7) 可採集性:選擇的生物特徵易於測量。
(8) 可接受性:使用者對所選擇的個人生物特徵及其應用願意接受。
基於以上特點,生物識別技術具有傳統的身份認證手段無法比擬的優點。采用生物識別技術,可不必再記憶和設置密碼,使用更加方便。
可信身份認證實現原理
利用Web服務器對SSL(Secure Socket Layer,安全套接字協議)技術的支持,可以實現係統的身份認證和訪問控製安全需求。
目前,SSL技術已被大部份的Web Server及Browser廣泛支持和使用。采用SSL技術,在用戶使用瀏覽器訪問Web服務器時,會在客戶端和服務器之間建立安全的SSL通道。在SSL會話産生時:首先,服務器會傳送它的服務器證書,客戶端會自動的分析服務器證書,來驗證服務器的身份。其次,服務器會要求用戶出示客戶端證書(即用戶證書),服務器完成客戶端證書的驗證,來對用戶進行身份認證。對客戶端證書的驗證包括驗證客戶端證書是否由服務器信任的證書頒發機構頒發、客戶端證書是否在有效期內、客戶端證書是否有效(即是否被竄改等)和客戶端證書是否被吊銷等。驗證通過後,服務器會解析客戶端證書,獲取用戶信息,並根據用戶信息查詢訪問控製列表來决定是否授權訪問。所有的過程都會在幾秒鐘內自動完成,對用戶是透明的。
(2)信息機密性實現原理
信息機密性實現原理也是利用SSL技術來實現的,在用戶使用瀏覽器訪問Web服務器,完成雙嚮身份認證,並完成對用戶訪問控製之後,在用戶客戶端和服務器之間建立安全的SSL通道,會在用戶瀏覽器和Web服務器之間協商一個40位或128位的會話密鑰。此時,在客戶端和服務器之間傳輸的數據都是采用給會話密鑰進行加密傳輸,從而保證了係統機密性安全需求。
展望
就目前趨勢來看,將生物識別在內的幾種安全機製整合應用正在成為新的潮流。其中,較為引人註目的是將生物識別、智能卡、公匙基礎設施(PKI)技術相結合的應用,如指紋KEY産品。PKI從理論上,提供了一個完美的安全框架,其安全的核心是對私鑰的保護;智能卡內置CPU和安全存儲單元,涉及私鑰的安全運算在卡內完成,可以保證私鑰永遠不被導出卡外,從而保證了私鑰的絶對安全;生物識別技術不再需要記憶和設置密碼,個體的絶對差異化使生物識別樹立了有始以來的最高權威。三種技術的有機整合,正可謂是一關三卡、相得益彰,真正做到使人們在網上衝浪時,不經意間,享受便捷的安全。此外外還有例如一些VeriSign VIP動態口令技術也可以在物理程度上防範身份安全問題,其生成強身份認證一次性密碼 (OTP) 的憑證多種多樣,如威瑞信(VeriSign)在國內通過天威誠信提供安全卡、 安全令牌, 手機訪問方式和 SMS 訪問方式等多種令牌方式。 |
|
| 電腦 | 網絡安全 | 密碼學 | 邪惡力量 | Supernatural | 數字證書 | 身份識別 | 互聯網 | | 網絡 | 信息係統 | 信息安全 | 安防 | 生物識別 | 生物認證 | 動態密碼 | 動態口令 | | 密碼 | 密碼管理 | it技術 | 數字簽名 | CA | sso電子印章 | 計算機 | 計算機網絡 | | 更多結果... |
|
|
| 電子身份認證 | 身份認證技術 | | 身份認證係統 | 身份認證服務器 | | 強身份認證平臺 | 指紋身份認證係統 | | 身份認證管理係統 | A&V身份認證 | | TrustID強身份認證平臺 | 802.1x身份認證 | | IDShield身份認證係統 | 河南省關於做好2010年僑生身份認證工作的通知 | |
|