|
|
| 身份認證技術主要包括數字簽名、身份驗證和數字證明。數字簽名又稱電子加密,可以區分真實數據與偽造、被篡改過的數據。這對於網絡數據傳輸 , 特別是電子商務是極其重要的,一般要采用一種稱為摘要的技術,摘要技術主要是采用 hash 函數( hash( 哈希 ) 函數提供了這樣一種計算過程:輸入一個長度不固定的字符串,返回一串定長度的字符串,又稱 hash 值 ) 將一段長的報文通過函數變換,轉換為一段定長的報文,即摘要。身份識別是指用戶嚮係統出示自己身份證明的過程,主要使用約定口令、智能卡和用戶指紋、視網膜和聲音等生理特徵。數字證明機製提供利用公開密鑰進行驗證的方法。 |
|
用戶名/密碼方式
用戶名/密碼是最簡單也是最常用的身份認證方法,它是基於“what you know”的驗證手段。每個用戶的密碼是由這個用戶自己設定的,衹有他自己纔知道,因此衹要能夠正確輸入密碼,計算機就認為他就是這個用戶。然而實際上,由於許多用戶為了防止忘記密碼,經常采用諸如自己或傢人的生日、電話號碼等容易被他人猜測到的有意義的字符串作為密碼,或者把密碼抄在一個自己認為安全的地方,這都存在着許多安全隱患,極易造成密碼泄露。即使能保證用戶密碼不被泄漏,由於密碼是靜態的數據,並且在驗證過程中需要在計算機內存中和網絡中傳輸,而每次驗證過程使用的驗證信息都是相同的,很容易駐留在計算機內存中的木馬程序或網絡中的監聽設備截獲。因此用戶名/密碼方式一種是極不安全的身份認證方式。可以說基本上沒有任何安全性可言。
IC卡認證
IC卡是一種內置集成電路的卡片,卡片中存有與用戶身份相關的數據, IC卡由專門的廠商通過專門的設備生産,可以認為是不可復製的硬件。IC卡由合法用戶隨身攜帶,登錄時必須將IC卡插入專用的讀卡器讀取其中的信息,以驗證用戶的身份。IC卡認證是基於“what you have”的手段,通過IC卡硬件不可復製來保證用戶身份不會被仿冒。然而由於每次從IC卡中讀取的數據還是靜態的,通過內存掃描或網絡監聽等技術還是很容易截取到用戶的身份驗證信息。因此,靜態驗證的方式還是存在根本的安全隱患。
生物特徵認證
生物特徵認證是指采用每個人獨一無二的生物特徵來驗證用戶身份的技術。常見的有指紋識別、虹膜識別等。從理論上說,生物特徵認證是最可靠的身份認證方式,因為它直接使用人的物理特徵來表示每一個人的數字身份,不同的人具有相同生物特徵的可能性可以忽略不計,因此幾乎不可能被仿冒。
生物特徵認證基於生物特徵識別技術,受到現在的生物特徵識別技術成熟度的影響,采用生物特徵認證還具有較大的局限性。首先,生物特徵識別的準確性和穩定性還有待提高,特別是如果用戶身體受到傷病或污漬的影響,往往導致無法正常識別,造成合法用戶無法登錄的情況。其次,由於研發投入較大和産量較小的原因,生物特徵認證係統的成本非常高,目前衹適合於一些安全性要求非常高的場合如銀行、部隊等使用,還無法做到大面積推廣。
USB Key認證
基於USB Key的身份認證方式是近幾年發展起來的一種方便、安全、經濟的身份認證技術,它采用軟硬件相結合一次一密的強雙因子認證模式,很好地解决了安全性與易用性之間的矛盾。USB Key是一種USB接口的硬件設備,它內置單片機或智能卡芯片,可以存儲用戶的密鑰或數字證書,利用USB Key內置的密碼學算法實現對用戶身份的認證。基於USB Key身份認證係統主要有兩種應用模式:一是基於衝擊/相應的認證模式,二是基於PKI體係的認證模式。
動態口令/動態密碼
動態口令技術是一種讓用戶的密碼按照時間或使用次數不斷動態變化,每個密碼衹使用一次的技術。它采用一種稱之為動態令牌的專用硬件,內置電源、密碼生成芯片和顯示屏,密碼生成芯片運行專門的密碼算法,根據當前時間或使用次數生成當前密碼並顯示在顯示屏上。認證服務器采用相同的算法計算當前的有效密碼。用戶使用時衹需要將動態令牌上顯示的當前密碼輸入客戶端計算機,即可實現身份的確認。由於每次使用的密碼必須由動態令牌來産生,衹有合法用戶纔持有該硬件,所以衹要密碼驗證通過就可以認為該用戶的身份是可靠的。而用戶每次使用的密碼都不相同,即使黑客截獲了一次密碼,也無法利用這個密碼來仿冒合法用戶的身份。
動態口令技術采用一次一密的方法,有效地保證了用戶身份的安全性。 下面以PASSPOD係統為例,說明使用動態口令進行身份認證的過程。
PASSPOD動態口令身份認證係統主要由認證服務器、管理工作站、SDK開發包和客戶端組成。
認證服務器 是係統的核心部分,安裝在網絡服務商的機房內,與業務係統服務器通過局域網相連接,控製所有上網用戶對網絡的訪問,提供動態口令身份認證,根據業務係統的授權,訪問係統資源。認證服務器具有自身數據安全保護功能,所用戶數據經加密後存儲在數據庫中,認證服務器與管理工作站的數據交換也是將數據變換後,以密碼的方式在網上傳輸。認證服務器有五個功能模塊組成:用戶管理、實時運算、認證管理、數據庫、加密算法軟件。
管理工作站 提供認證服務器的管理界面,它在網絡管理員與認證服務器之間提供一個友好的操作界面,便於網絡管理員實現係統維護和用戶管理。通過管理工作站,網絡管理員可以進行網絡配置、發放客戶端、刪除、用戶信息修改、服務統計和用戶查詢等操作。
SDK開發包 是針對不同網絡服務商的應用平臺而提供的不同的係統接口,網絡服務商針對自己的應用係統調用相應的開發包即可使用PASSPOD係統。
客戶端 是購買的一個專用硬件或是下載並安裝在用戶移動通訊終端上的應用程序,用戶在登錄時通過這個客戶端獲取動態一次性口令。
用戶在登錄時必須輸入由客戶端生成的一個動態密碼,在登錄服務器接收到這個密碼後會將密碼發送至PASSPOD服務器進行驗證,驗證通過用戶就可以正常登錄,失敗的話服務器將拒絶用戶的登錄,成功使用過的密碼將不能重複使用。
一個典型的用戶認證過程如下:
(1)用戶接通客戶服務器,等候認證提示;
(2)運行客戶端,輸入顯示的結果作為此時的登錄口令;
(3)客戶服務器前端接受認證口令,調用認證代理軟件包與認證服務器進行通信並等待認證結果;
(4)認證服務器根據由用戶身份確定的秘密數據計算出認證口令,與用戶輸入口令比較,並返回認證結果。
(5)客戶服務器根據由認證服務器返回的結果决定用戶登錄成功與否。
未來,身份認證技術將朝着更加安全、易用,多種技術手段相結合的方向發展。動態口令將會成為身份認證技術的發展方向之一,動態口令的易用性也將不斷提高。
身份認證技術主要包括數字簽名、身份驗證和數字證明。 |
|
|