生物特征認(rèn)證基于生物特征識(shí)別技術(shù)���,受到現(xiàn)在的生物特征識(shí)別技術(shù)成熟度的影響���,采用生物特征認(rèn)證還具有較大的局限性。
首先�,生物特征識(shí)別的準(zhǔn)確性和穩(wěn)定性還有待提高,特別是如果用戶身體受到傷病或污漬的影響�,往往導(dǎo)致無(wú)法正常識(shí)別,造成合法用戶無(wú)法登錄的情況�。其次,由于研發(fā)投入較大和產(chǎn)量較小的原因��,生物特征認(rèn)證系統(tǒng)的成本非常高����,目前只適合于一些安全性要求非常高的場(chǎng)合如銀行、部隊(duì)等使用���,還無(wú)法做到大面積推廣����。
USB Key認(rèn)證
基于USB Key的身份認(rèn)證方式是近幾年發(fā)展起來(lái)的一種方便、安全�、經(jīng)濟(jì)的身份認(rèn)證技術(shù),它采用軟硬件相結(jié)合一次一密的強(qiáng)雙因子認(rèn)證模式�����,很好地解決了安全性與易用性之間的矛盾�。USB Key是一種USB接口的硬件設(shè)備���,它內(nèi)置單片機(jī)或智能卡芯片�,可以存儲(chǔ)用戶的密鑰或數(shù)字證書(shū)�����,利用USB Key內(nèi)置的密碼學(xué)算法實(shí)現(xiàn)對(duì)用戶身份的認(rèn)證��?;赨SB Key身份認(rèn)證系統(tǒng)主要有兩種應(yīng)用模式:一是基于沖擊/相應(yīng)的認(rèn)證模式,二是基于PKI體系的認(rèn)證模式��。
動(dòng)態(tài)口令/動(dòng)態(tài)密碼
動(dòng)態(tài)口令技術(shù)是一種讓用戶的密碼按照時(shí)間或使用次數(shù)不斷動(dòng)態(tài)變化�����,每個(gè)密碼只使用一次的技術(shù)。它采用一種稱之為動(dòng)態(tài)令牌的專用硬件����,內(nèi)置電源、密碼生成芯片和顯示屏���,密碼生成芯片運(yùn)行專門的密碼算法�,根據(jù)當(dāng)前時(shí)間或使用次數(shù)生成當(dāng)前密碼并顯示在顯示屏上��。認(rèn)證服務(wù)器采用相同的算法計(jì)算當(dāng)前的有效密碼����。
用戶使用時(shí)只需要將動(dòng)態(tài)令牌上顯示的當(dāng)前密碼輸入客戶端計(jì)算機(jī),即可實(shí)現(xiàn)身份的確認(rèn)���。由于每次使用的密碼必須由動(dòng)態(tài)令牌來(lái)產(chǎn)生�����,只有合法用戶才持有該硬件�����,所以只要密碼驗(yàn)證通過(guò)就可以認(rèn)為該用戶的身份是可靠的�。而用戶每次使用的密碼都不相同,即使黑客截獲了一次密碼���,也無(wú)法利用這個(gè)密碼來(lái)仿冒合法用戶的身份����。
動(dòng)態(tài)口令技術(shù)采用一次一密的方法�����,有效地保證了用戶身份的安全性�。 下面以PASSPOD系統(tǒng)為例����,說(shuō)明使用動(dòng)態(tài)口令進(jìn)行身份認(rèn)證的過(guò)程。
PASSPOD動(dòng)態(tài)口令身份認(rèn)證系統(tǒng)主要由認(rèn)證服務(wù)器����、管理工作站、SDK開(kāi)發(fā)包和客戶端組成���。
認(rèn)證服務(wù)器 是系統(tǒng)的核心部分�,安裝在網(wǎng)絡(luò)服務(wù)商的機(jī)房?jī)?nèi)����,與業(yè)務(wù)系統(tǒng)服務(wù)器通過(guò)局域網(wǎng)相連接���,控制所有上網(wǎng)用戶對(duì)網(wǎng)絡(luò)的訪問(wèn),提供動(dòng)態(tài)口令身份認(rèn)證�����,根據(jù)業(yè)務(wù)系統(tǒng)的授權(quán)��,訪問(wèn)系統(tǒng)資源���。認(rèn)證服務(wù)器具有自身數(shù)據(jù)安全保護(hù)功能����,所用戶數(shù)據(jù)經(jīng)加密后存儲(chǔ)在數(shù)據(jù)庫(kù)中���,認(rèn)證服務(wù)器與管理工作站的數(shù)據(jù)交換也是將數(shù)據(jù)變換后�,以密碼的方式在網(wǎng)上傳輸���。認(rèn)證服務(wù)器有五個(gè)功能模塊組成:用戶管理�����、實(shí)時(shí)運(yùn)算���、認(rèn)證管理���、數(shù)據(jù)庫(kù)、加密算法軟件���。
管理工作站 提供認(rèn)證服務(wù)器的管理界面����,它在網(wǎng)絡(luò)管理員與認(rèn)證服務(wù)器之間提供一個(gè)友好的操作界面����,便于網(wǎng)絡(luò)管理員實(shí)現(xiàn)系統(tǒng)維護(hù)和用戶管理����。通過(guò)管理工作站,網(wǎng)絡(luò)管理員可以進(jìn)行網(wǎng)絡(luò)配置���、發(fā)放客戶端����、刪除、用戶信息修改���、服務(wù)統(tǒng)計(jì)和用戶查詢等操作����。
SDK開(kāi)發(fā)包 是針對(duì)不同網(wǎng)絡(luò)服務(wù)商的應(yīng)用平臺(tái)而提供的不同的系統(tǒng)接口�����,網(wǎng)絡(luò)服務(wù)商針對(duì)自己的應(yīng)用系統(tǒng)調(diào)用相應(yīng)的開(kāi)發(fā)包即可使用PASSPOD系統(tǒng)���。
客戶端 是購(gòu)買的一個(gè)專用硬件或是下載并安裝在用戶移動(dòng)通訊終端上的應(yīng)用程序���,用戶在登錄時(shí)通過(guò)這個(gè)客戶端獲取動(dòng)態(tài)一次性口令。
用戶在登錄時(shí)必須輸入由客戶端生成的一個(gè)動(dòng)態(tài)密碼�����,在登錄服務(wù)器接收到這個(gè)密碼后會(huì)將密碼發(fā)送至PASSPOD服務(wù)器進(jìn)行驗(yàn)證�����,驗(yàn)證通過(guò)用戶就可以正常登錄,失敗的話服務(wù)器將拒絕用戶的登錄����,成功使用過(guò)的密碼將不能重復(fù)使用。
一個(gè)典型的用戶認(rèn)證過(guò)程如下:
(1)用戶接通客戶服務(wù)器��,等候認(rèn)證提示�;
(2)運(yùn)行客戶端,輸入顯示的結(jié)果作為此時(shí)的登錄口令��;
(3)客戶服務(wù)器前端接受認(rèn)證口令���,調(diào)用認(rèn)證代理軟件包與認(rèn)證服務(wù)器進(jìn)行通信并等待認(rèn)證結(jié)果��;
(4)認(rèn)證服務(wù)器根據(jù)由用戶身份確定的秘密數(shù)據(jù)計(jì)算出認(rèn)證口令��,與用戶輸入口令比較�����,并返回認(rèn)證結(jié)果。
(5)客戶服務(wù)器根據(jù)由認(rèn)證服務(wù)器返回的結(jié)果決定用戶登錄成功與否���。
未來(lái)�����,身份認(rèn)證技術(shù)將朝著更加安全���、易用��,多種技術(shù)手段相結(jié)合的方向發(fā)展��。動(dòng)態(tài)口令將會(huì)成為身份認(rèn)證技術(shù)的發(fā)展方向之一�,動(dòng)態(tài)口令的易用性也將不斷提高�����。
現(xiàn)在信息安全越來(lái)越受到人們的重視����。建立信息安全體系的目的就是要保證存儲(chǔ)在計(jì)算機(jī)及網(wǎng)絡(luò)系統(tǒng)中的數(shù)據(jù)只能夠被有權(quán)操作的人訪問(wèn),所有未被授權(quán)的人無(wú)法訪問(wèn)到這些數(shù)據(jù)��。
這里說(shuō)的是對(duì)"人"的權(quán)限的控制��,即對(duì)操作者物理身份的權(quán)限控制�。不論安全性要求多高的數(shù)據(jù),它存在就必然要有相對(duì)應(yīng)的授權(quán)人可以訪問(wèn)它�,否則�,保存一個(gè)任何人都無(wú)權(quán)訪問(wèn)的數(shù)據(jù)有什么意義���?
然而��,如果沒(méi)有有效的身份認(rèn)證手段���,這個(gè)有權(quán)訪問(wèn)者的身份就很容易被偽造,那么�����,不論投入再大的資金�����,建立的再堅(jiān)固安全防范體系都形同虛設(shè)����。就好像我們建造了一座非常結(jié)實(shí)的保險(xiǎn)庫(kù),安裝了非常堅(jiān)固的大門����,卻沒(méi)有安裝門鎖一樣��。所以身份認(rèn)證是整個(gè)信息安全體系的基礎(chǔ),是信息安全的第一道關(guān)隘��。
大家熟悉的如防火墻����、入侵檢測(cè)、VPN���、安全網(wǎng)關(guān)�����、安全目錄等���,與身份認(rèn)證系統(tǒng)有什么區(qū)別和聯(lián)系呢?我們從這些安全產(chǎn)品實(shí)現(xiàn)的功能來(lái)分析就明白了:防火墻保證了未經(jīng)授權(quán)的用戶無(wú)法訪問(wèn)相應(yīng)的端口或使用相應(yīng)的協(xié)議���;入侵檢測(cè)系統(tǒng)能夠發(fā)現(xiàn)未經(jīng)授權(quán)用戶攻擊系統(tǒng)的企圖��;VPN在公共網(wǎng)絡(luò)上建立一個(gè)經(jīng)過(guò)加密的虛擬的專用通道供經(jīng)過(guò)授權(quán)的用戶使用�;安全網(wǎng)關(guān)保證了用戶無(wú)法進(jìn)入未經(jīng)授權(quán)的網(wǎng)段���,安全目錄保證了授權(quán)用戶能夠?qū)Υ鎯?chǔ)在系統(tǒng)中的資源迅速定位和訪問(wèn)��。
這些安全產(chǎn)品實(shí)際上都是針對(duì)用戶數(shù)字身份的權(quán)限管理���,他們解決了哪個(gè)數(shù)字身份對(duì)應(yīng)能干什么的問(wèn)題���。而身份認(rèn)證解決了用戶的物理身份和數(shù)字身份相對(duì)應(yīng)的問(wèn)題,給他們提供了權(quán)限管理的依據(jù)
如果把信息安全體系看作一個(gè)木桶����,那么這些安全產(chǎn)品就是組成木桶的一塊塊木板,則整個(gè)系統(tǒng)的安全性取決于最短的一塊木板�。這些模塊在不同的層次上阻止了未經(jīng)授權(quán)的用戶訪問(wèn)系統(tǒng),這些授權(quán)的對(duì)象都是用戶的數(shù)字身份�。而身份認(rèn)證模塊就相當(dāng)于木桶的桶底,由它來(lái)保證物理身份和數(shù)字身份的統(tǒng)一�����,如果桶底是漏的��,那桶壁上的木板再長(zhǎng)也沒(méi)有用�。因此,身份認(rèn)證是整個(gè)信息安全體系最基礎(chǔ)的環(huán)節(jié)�,身份安全是信息安全的基礎(chǔ)。
