生物特征認(rèn)證基于生物特征識(shí)別技術(shù)�,受到現(xiàn)在的生物特征識(shí)別技術(shù)成熟度的影響,采用生物特征認(rèn)證還具有較大的局限性��。
首先��,生物特征識(shí)別的準(zhǔn)確性和穩(wěn)定性還有待提高�,特別是如果用戶身體受到傷病或污漬的影響,往往導(dǎo)致無法正常識(shí)別�,造成合法用戶無法登錄的情況。其次���,由于研發(fā)投入較大和產(chǎn)量較小的原因,生物特征認(rèn)證系統(tǒng)的成本非常高��,目前只適合于一些安全性要求非常高的場(chǎng)合如銀行�、部隊(duì)等使用,還無法做到大面積推廣��。
USB Key認(rèn)證
基于USB Key的身份認(rèn)證方式是近幾年發(fā)展起來的一種方便����、安全����、經(jīng)濟(jì)的身份認(rèn)證技術(shù)����,它采用軟硬件相結(jié)合一次一密的強(qiáng)雙因子認(rèn)證模式,很好地解決了安全性與易用性之間的矛盾����。USB Key是一種USB接口的硬件設(shè)備,它內(nèi)置單片機(jī)或智能卡芯片���,可以存儲(chǔ)用戶的密鑰或數(shù)字證書���,利用USB Key內(nèi)置的密碼學(xué)算法實(shí)現(xiàn)對(duì)用戶身份的認(rèn)證?���;赨SB Key身份認(rèn)證系統(tǒng)主要有兩種應(yīng)用模式:一是基于沖擊/相應(yīng)的認(rèn)證模式,二是基于PKI體系的認(rèn)證模式����。
動(dòng)態(tài)口令/動(dòng)態(tài)密碼
動(dòng)態(tài)口令技術(shù)是一種讓用戶的密碼按照時(shí)間或使用次數(shù)不斷動(dòng)態(tài)變化��,每個(gè)密碼只使用一次的技術(shù)��。它采用一種稱之為動(dòng)態(tài)令牌的專用硬件���,內(nèi)置電源、密碼生成芯片和顯示屏�����,密碼生成芯片運(yùn)行專門的密碼算法�����,根據(jù)當(dāng)前時(shí)間或使用次數(shù)生成當(dāng)前密碼并顯示在顯示屏上�����。認(rèn)證服務(wù)器采用相同的算法計(jì)算當(dāng)前的有效密碼�����。
用戶使用時(shí)只需要將動(dòng)態(tài)令牌上顯示的當(dāng)前密碼輸入客戶端計(jì)算機(jī)����,即可實(shí)現(xiàn)身份的確認(rèn)。由于每次使用的密碼必須由動(dòng)態(tài)令牌來產(chǎn)生�����,只有合法用戶才持有該硬件���,所以只要密碼驗(yàn)證通過就可以認(rèn)為該用戶的身份是可靠的�����。而用戶每次使用的密碼都不相同���,即使黑客截獲了一次密碼,也無法利用這個(gè)密碼來仿冒合法用戶的身份��。
動(dòng)態(tài)口令技術(shù)采用一次一密的方法�����,有效地保證了用戶身份的安全性�。 下面以PASSPOD系統(tǒng)為例,說明使用動(dòng)態(tài)口令進(jìn)行身份認(rèn)證的過程�。
PASSPOD動(dòng)態(tài)口令身份認(rèn)證系統(tǒng)主要由認(rèn)證服務(wù)器、管理工作站、SDK開發(fā)包和客戶端組成�。
認(rèn)證服務(wù)器 是系統(tǒng)的核心部分,安裝在網(wǎng)絡(luò)服務(wù)商的機(jī)房?jī)?nèi)�����,與業(yè)務(wù)系統(tǒng)服務(wù)器通過局域網(wǎng)相連接���,控制所有上網(wǎng)用戶對(duì)網(wǎng)絡(luò)的訪問���,提供動(dòng)態(tài)口令身份認(rèn)證,根據(jù)業(yè)務(wù)系統(tǒng)的授權(quán)���,訪問系統(tǒng)資源����。認(rèn)證服務(wù)器具有自身數(shù)據(jù)安全保護(hù)功能���,所用戶數(shù)據(jù)經(jīng)加密后存儲(chǔ)在數(shù)據(jù)庫(kù)中�����,認(rèn)證服務(wù)器與管理工作站的數(shù)據(jù)交換也是將數(shù)據(jù)變換后,以密碼的方式在網(wǎng)上傳輸。認(rèn)證服務(wù)器有五個(gè)功能模塊組成:用戶管理���、實(shí)時(shí)運(yùn)算�、認(rèn)證管理����、數(shù)據(jù)庫(kù)、加密算法軟件���。
管理工作站 提供認(rèn)證服務(wù)器的管理界面��,它在網(wǎng)絡(luò)管理員與認(rèn)證服務(wù)器之間提供一個(gè)友好的操作界面��,便于網(wǎng)絡(luò)管理員實(shí)現(xiàn)系統(tǒng)維護(hù)和用戶管理��。通過管理工作站����,網(wǎng)絡(luò)管理員可以進(jìn)行網(wǎng)絡(luò)配置��、發(fā)放客戶端����、刪除����、用戶信息修改����、服務(wù)統(tǒng)計(jì)和用戶查詢等操作。
SDK開發(fā)包 是針對(duì)不同網(wǎng)絡(luò)服務(wù)商的應(yīng)用平臺(tái)而提供的不同的系統(tǒng)接口���,網(wǎng)絡(luò)服務(wù)商針對(duì)自己的應(yīng)用系統(tǒng)調(diào)用相應(yīng)的開發(fā)包即可使用PASSPOD系統(tǒng)��。
客戶端 是購(gòu)買的一個(gè)專用硬件或是下載并安裝在用戶移動(dòng)通訊終端上的應(yīng)用程序��,用戶在登錄時(shí)通過這個(gè)客戶端獲取動(dòng)態(tài)一次性口令���。
用戶在登錄時(shí)必須輸入由客戶端生成的一個(gè)動(dòng)態(tài)密碼,在登錄服務(wù)器接收到這個(gè)密碼后會(huì)將密碼發(fā)送至PASSPOD服務(wù)器進(jìn)行驗(yàn)證����,驗(yàn)證通過用戶就可以正常登錄,失敗的話服務(wù)器將拒絕用戶的登錄���,成功使用過的密碼將不能重復(fù)使用���。
一個(gè)典型的用戶認(rèn)證過程如下:
(1)用戶接通客戶服務(wù)器�����,等候認(rèn)證提示;
(2)運(yùn)行客戶端��,輸入顯示的結(jié)果作為此時(shí)的登錄口令����;
(3)客戶服務(wù)器前端接受認(rèn)證口令,調(diào)用認(rèn)證代理軟件包與認(rèn)證服務(wù)器進(jìn)行通信并等待認(rèn)證結(jié)果�����;
(4)認(rèn)證服務(wù)器根據(jù)由用戶身份確定的秘密數(shù)據(jù)計(jì)算出認(rèn)證口令�����,與用戶輸入口令比較��,并返回認(rèn)證結(jié)果�����。
(5)客戶服務(wù)器根據(jù)由認(rèn)證服務(wù)器返回的結(jié)果決定用戶登錄成功與否�����。
未來,身份認(rèn)證技術(shù)將朝著更加安全��、易用��,多種技術(shù)手段相結(jié)合的方向發(fā)展����。動(dòng)態(tài)口令將會(huì)成為身份認(rèn)證技術(shù)的發(fā)展方向之一,動(dòng)態(tài)口令的易用性也將不斷提高�����。
現(xiàn)在信息安全越來越受到人們的重視�����。建立信息安全體系的目的就是要保證存儲(chǔ)在計(jì)算機(jī)及網(wǎng)絡(luò)系統(tǒng)中的數(shù)據(jù)只能夠被有權(quán)操作的人訪問�����,所有未被授權(quán)的人無法訪問到這些數(shù)據(jù)�。
這里說的是對(duì)"人"的權(quán)限的控制,即對(duì)操作者物理身份的權(quán)限控制。不論安全性要求多高的數(shù)據(jù)����,它存在就必然要有相對(duì)應(yīng)的授權(quán)人可以訪問它,否則�����,保存一個(gè)任何人都無權(quán)訪問的數(shù)據(jù)有什么意義����?
然而���,如果沒有有效的身份認(rèn)證手段��,這個(gè)有權(quán)訪問者的身份就很容易被偽造�,那么�,不論投入再大的資金,建立的再堅(jiān)固安全防范體系都形同虛設(shè)��。就好像我們建造了一座非常結(jié)實(shí)的保險(xiǎn)庫(kù)�����,安裝了非常堅(jiān)固的大門�,卻沒有安裝門鎖一樣����。所以身份認(rèn)證是整個(gè)信息安全體系的基礎(chǔ)�,是信息安全的第一道關(guān)隘。
大家熟悉的如防火墻��、入侵檢測(cè)��、VPN�����、安全網(wǎng)關(guān)�、安全目錄等,與身份認(rèn)證系統(tǒng)有什么區(qū)別和聯(lián)系呢�?我們從這些安全產(chǎn)品實(shí)現(xiàn)的功能來分析就明白了:防火墻保證了未經(jīng)授權(quán)的用戶無法訪問相應(yīng)的端口或使用相應(yīng)的協(xié)議;入侵檢測(cè)系統(tǒng)能夠發(fā)現(xiàn)未經(jīng)授權(quán)用戶攻擊系統(tǒng)的企圖����;VPN在公共網(wǎng)絡(luò)上建立一個(gè)經(jīng)過加密的虛擬的專用通道供經(jīng)過授權(quán)的用戶使用;安全網(wǎng)關(guān)保證了用戶無法進(jìn)入未經(jīng)授權(quán)的網(wǎng)段����,安全目錄保證了授權(quán)用戶能夠?qū)Υ鎯?chǔ)在系統(tǒng)中的資源迅速定位和訪問。
這些安全產(chǎn)品實(shí)際上都是針對(duì)用戶數(shù)字身份的權(quán)限管理,他們解決了哪個(gè)數(shù)字身份對(duì)應(yīng)能干什么的問題�����。而身份認(rèn)證解決了用戶的物理身份和數(shù)字身份相對(duì)應(yīng)的問題����,給他們提供了權(quán)限管理的依據(jù)
如果把信息安全體系看作一個(gè)木桶,那么這些安全產(chǎn)品就是組成木桶的一塊塊木板���,則整個(gè)系統(tǒng)的安全性取決于最短的一塊木板��。這些模塊在不同的層次上阻止了未經(jīng)授權(quán)的用戶訪問系統(tǒng),這些授權(quán)的對(duì)象都是用戶的數(shù)字身份�。而身份認(rèn)證模塊就相當(dāng)于木桶的桶底,由它來保證物理身份和數(shù)字身份的統(tǒng)一����,如果桶底是漏的,那桶壁上的木板再長(zhǎng)也沒有用����。因此,身份認(rèn)證是整個(gè)信息安全體系最基礎(chǔ)的環(huán)節(jié)���,身份安全是信息安全的基礎(chǔ)����。
