生物特征認證基于生物特征識別技術,受到現(xiàn)在的生物特征識別技術成熟度的影響,采用生物特征認證還具有較大的局限性。
首先,生物特征識別的準確性和穩(wěn)定性還有待提高,特別是如果用戶身體受到傷病或污漬的影響,往往導致無法正常識別,造成合法用戶無法登錄的情況。其次,由于研發(fā)投入較大和產(chǎn)量較小的原因,生物特征認證系統(tǒng)的成本非常高,目前只適合于一些安全性要求非常高的場合如銀行、部隊等使用,還無法做到大面積推廣。
USB Key認證
基于USB Key的身份認證方式是近幾年發(fā)展起來的一種方便、安全、經(jīng)濟的身份認證技術,它采用軟硬件相結合一次一密的強雙因子認證模式,很好地解決了安全性與易用性之間的矛盾。USB Key是一種USB接口的硬件設備,它內置單片機或智能卡芯片,可以存儲用戶的密鑰或數(shù)字證書,利用USB Key內置的密碼學算法實現(xiàn)對用戶身份的認證?;赨SB Key身份認證系統(tǒng)主要有兩種應用模式:一是基于沖擊/相應的認證模式,二是基于PKI體系的認證模式。
動態(tài)口令/動態(tài)密碼
動態(tài)口令技術是一種讓用戶的密碼按照時間或使用次數(shù)不斷動態(tài)變化,每個密碼只使用一次的技術。它采用一種稱之為動態(tài)令牌的專用硬件,內置電源、密碼生成芯片和顯示屏,密碼生成芯片運行專門的密碼算法,根據(jù)當前時間或使用次數(shù)生成當前密碼并顯示在顯示屏上。認證服務器采用相同的算法計算當前的有效密碼。
用戶使用時只需要將動態(tài)令牌上顯示的當前密碼輸入客戶端計算機,即可實現(xiàn)身份的確認。由于每次使用的密碼必須由動態(tài)令牌來產(chǎn)生,只有合法用戶才持有該硬件,所以只要密碼驗證通過就可以認為該用戶的身份是可靠的。而用戶每次使用的密碼都不相同,即使黑客截獲了一次密碼,也無法利用這個密碼來仿冒合法用戶的身份。
動態(tài)口令技術采用一次一密的方法,有效地保證了用戶身份的安全性。 下面以PASSPOD系統(tǒng)為例,說明使用動態(tài)口令進行身份認證的過程。
PASSPOD動態(tài)口令身份認證系統(tǒng)主要由認證服務器、管理工作站、SDK開發(fā)包和客戶端組成。
認證服務器 是系統(tǒng)的核心部分,安裝在網(wǎng)絡服務商的機房內,與業(yè)務系統(tǒng)服務器通過局域網(wǎng)相連接,控制所有上網(wǎng)用戶對網(wǎng)絡的訪問,提供動態(tài)口令身份認證,根據(jù)業(yè)務系統(tǒng)的授權,訪問系統(tǒng)資源。認證服務器具有自身數(shù)據(jù)安全保護功能,所用戶數(shù)據(jù)經(jīng)加密后存儲在數(shù)據(jù)庫中,認證服務器與管理工作站的數(shù)據(jù)交換也是將數(shù)據(jù)變換后,以密碼的方式在網(wǎng)上傳輸。認證服務器有五個功能模塊組成:用戶管理、實時運算、認證管理、數(shù)據(jù)庫、加密算法軟件。
管理工作站 提供認證服務器的管理界面,它在網(wǎng)絡管理員與認證服務器之間提供一個友好的操作界面,便于網(wǎng)絡管理員實現(xiàn)系統(tǒng)維護和用戶管理。通過管理工作站,網(wǎng)絡管理員可以進行網(wǎng)絡配置、發(fā)放客戶端、刪除、用戶信息修改、服務統(tǒng)計和用戶查詢等操作。
SDK開發(fā)包 是針對不同網(wǎng)絡服務商的應用平臺而提供的不同的系統(tǒng)接口,網(wǎng)絡服務商針對自己的應用系統(tǒng)調用相應的開發(fā)包即可使用PASSPOD系統(tǒng)。
客戶端 是購買的一個專用硬件或是下載并安裝在用戶移動通訊終端上的應用程序,用戶在登錄時通過這個客戶端獲取動態(tài)一次性口令。
用戶在登錄時必須輸入由客戶端生成的一個動態(tài)密碼,在登錄服務器接收到這個密碼后會將密碼發(fā)送至PASSPOD服務器進行驗證,驗證通過用戶就可以正常登錄,失敗的話服務器將拒絕用戶的登錄,成功使用過的密碼將不能重復使用。
一個典型的用戶認證過程如下:
(1)用戶接通客戶服務器,等候認證提示;
(2)運行客戶端,輸入顯示的結果作為此時的登錄口令;
(3)客戶服務器前端接受認證口令,調用認證代理軟件包與認證服務器進行通信并等待認證結果;
(4)認證服務器根據(jù)由用戶身份確定的秘密數(shù)據(jù)計算出認證口令,與用戶輸入口令比較,并返回認證結果。
(5)客戶服務器根據(jù)由認證服務器返回的結果決定用戶登錄成功與否。
未來,身份認證技術將朝著更加安全、易用,多種技術手段相結合的方向發(fā)展。動態(tài)口令將會成為身份認證技術的發(fā)展方向之一,動態(tài)口令的易用性也將不斷提高。
現(xiàn)在信息安全越來越受到人們的重視。建立信息安全體系的目的就是要保證存儲在計算機及網(wǎng)絡系統(tǒng)中的數(shù)據(jù)只能夠被有權操作的人訪問,所有未被授權的人無法訪問到這些數(shù)據(jù)。
這里說的是對"人"的權限的控制,即對操作者物理身份的權限控制。不論安全性要求多高的數(shù)據(jù),它存在就必然要有相對應的授權人可以訪問它,否則,保存一個任何人都無權訪問的數(shù)據(jù)有什么意義?
然而,如果沒有有效的身份認證手段,這個有權訪問者的身份就很容易被偽造,那么,不論投入再大的資金,建立的再堅固安全防范體系都形同虛設。就好像我們建造了一座非常結實的保險庫,安裝了非常堅固的大門,卻沒有安裝門鎖一樣。所以身份認證是整個信息安全體系的基礎,是信息安全的第一道關隘。
大家熟悉的如防火墻、入侵檢測、VPN、安全網(wǎng)關、安全目錄等,與身份認證系統(tǒng)有什么區(qū)別和聯(lián)系呢?我們從這些安全產(chǎn)品實現(xiàn)的功能來分析就明白了:防火墻保證了未經(jīng)授權的用戶無法訪問相應的端口或使用相應的協(xié)議;入侵檢測系統(tǒng)能夠發(fā)現(xiàn)未經(jīng)授權用戶攻擊系統(tǒng)的企圖;VPN在公共網(wǎng)絡上建立一個經(jīng)過加密的虛擬的專用通道供經(jīng)過授權的用戶使用;安全網(wǎng)關保證了用戶無法進入未經(jīng)授權的網(wǎng)段,安全目錄保證了授權用戶能夠對存儲在系統(tǒng)中的資源迅速定位和訪問。
這些安全產(chǎn)品實際上都是針對用戶數(shù)字身份的權限管理,他們解決了哪個數(shù)字身份對應能干什么的問題。而身份認證解決了用戶的物理身份和數(shù)字身份相對應的問題,給他們提供了權限管理的依據(jù)
如果把信息安全體系看作一個木桶,那么這些安全產(chǎn)品就是組成木桶的一塊塊木板,則整個系統(tǒng)的安全性取決于最短的一塊木板。這些模塊在不同的層次上阻止了未經(jīng)授權的用戶訪問系統(tǒng),這些授權的對象都是用戶的數(shù)字身份。而身份認證模塊就相當于木桶的桶底,由它來保證物理身份和數(shù)字身份的統(tǒng)一,如果桶底是漏的,那桶壁上的木板再長也沒有用。因此,身份認證是整個信息安全體系最基礎的環(huán)節(jié),身份安全是信息安全的基礎。