常見問題&知識園地
當(dāng)今,,信息安全越來越受到人們的重視,。建立信息安全體系的目的就是要保證存儲在計算機及網(wǎng)絡(luò)系統(tǒng)中的數(shù)據(jù)只能夠被有權(quán)操作的人訪問,所有未被授權(quán)的人無法訪問到這些數(shù)據(jù),。身份認證技術(shù)是在計算機網(wǎng)絡(luò)中確認操作者身份的過程而產(chǎn)生的解決方法,。計算機網(wǎng)絡(luò)世界中一切信息包括用戶的身份信息都是用一組特定的數(shù)據(jù)來表示的,計算機只能識別用戶的數(shù)字身份,,所有對用戶的授權(quán)也是針對用戶數(shù)字身份的授權(quán),。如何保證以數(shù)字身份進行操作的操作者就是這個數(shù)字身份合法擁有者,也就是說保證操作者的物理身份與數(shù)字身份相對應(yīng),,身份認證技術(shù)就是為了解決這個問題,,作為防護網(wǎng)絡(luò)資產(chǎn)的第一道關(guān)口,身份認證有著舉足輕重的作用,。通過認識,、掌握身份認證技術(shù),使自己的網(wǎng)絡(luò)信息資源得到更好的保障,。
一,、身份認證技術(shù)簡介
相信大家都還記得一個經(jīng)典的漫畫,一條狗在計算機面前一邊打字,,一邊對另一條狗說:“在互聯(lián)網(wǎng)上,,沒有人知道你是一個人還是一條狗!”這個漫畫說明了在互聯(lián)網(wǎng)上很難識別身份,。
身份認證是指計算機及網(wǎng)絡(luò)系統(tǒng)確認操作者身份的過程,。計算機系統(tǒng)和計算機網(wǎng)絡(luò)是一個虛擬的數(shù)字世界,在這個數(shù)字世界中,一切信息包括用戶的身份信息都是用一組特定的數(shù)據(jù)來表示的,,計算機只能識別用戶的數(shù)字身份,,所有對用戶的授權(quán)也是針對用戶數(shù)字身份的授權(quán)。而我們生活的現(xiàn)實世界是一個真實的物理世界,,每個人都擁有獨一無二的物理身份,。如何保證以數(shù)字身份進行操作的操作者就是這個數(shù)字身份合法擁有者,也就是說保證操作者的物理身份與數(shù)字身份相對應(yīng),,就成為一個很重要的問題,。身份認證技術(shù)的誕生就是為了解決這個問題。
身份認證技術(shù)是在計算機網(wǎng)絡(luò)中確認操作者身份的過程而產(chǎn)生的解決方法,。
所謂“沒有不透風(fēng)的墻”,,你所知道的信息有可能被泄露或者還有其他人知道,楊子榮就是掌握了“天王蓋地虎,,寶塔鎮(zhèn)河妖”的接頭暗號成功的偽造了自己的身份,。而僅憑借一個人擁有的物品判斷也是不可靠的,這個物品有可能丟失,,也有可能被人盜取,,從而偽造這個人的身份。只有人的身體特征才是獨一無二,,不可偽造的,,然而這需要我們對這個特征具有可靠的識別能力,。
二,、身份認證方法
在真實世界,對用戶的身份認證基本方法可以分為這三種:
1) 根據(jù)你所知道的信息來證明你的身份 (你知道什么),;
2) 根據(jù)你所擁有的東西來證明你的身份 (你有什么),;
3) 直接根據(jù)獨一無二的身體特征來證明你的身份 (你是誰),比如指紋,、面貌等,。
三、常用的身份認證方式及應(yīng)用
1,、靜態(tài)密碼(口令)
靜態(tài)密碼,,是最簡單也是最常用的身份認證方法,它是基于“你知道什么”的驗證手段,。每個用戶的密碼是由這個用戶自己設(shè)定的,,只有他自己才知道,因此只要能夠正確輸入密碼,,計算機就認為他就是這個用戶,。然而實際上,由于許多用戶為了防止忘記密碼,經(jīng)常采用諸如自己或家人的生日,、電話號碼等容易被他人猜測到的有意義的字符串作為密碼,,或者把密碼抄在一個自己認為安全的地方,這都存在著許多安全隱患,,極易造成密碼泄露,。即使能保證用戶密碼不被泄漏,由于密碼是靜態(tài)的數(shù)據(jù),,并且在驗證過程中需要在計算機內(nèi)存中和網(wǎng)絡(luò)中傳輸,,而每次驗證過程使用的驗證信息都是相同的,很容易被駐留在計算機內(nèi)存中的木馬程序或網(wǎng)絡(luò)中的監(jiān)聽設(shè)備截獲,。因此,,靜態(tài)密碼是一種極不安全的身份認證方式??梢哉f基本上沒有任何安全性可言,。
2、動態(tài)口令:
動態(tài)口令技術(shù)是一種讓用戶的密碼按照時間或使用次數(shù)不斷動態(tài)變化,,每個密碼只使用一次的技術(shù),,它是基于“你有什么”的驗證手段。它采用一種稱之為動態(tài)令牌的專用硬件,,內(nèi)置電源,、密碼生成芯片和顯示屏,密碼生成芯片運行專門的密碼算法,,根據(jù)當(dāng)前時間或使用次數(shù)生成當(dāng)前密碼并顯示在顯示屏上,。認證服務(wù)器采用相同的算法計算當(dāng)前的有效密碼。用戶使用時只需要將動態(tài)令牌上顯示的當(dāng)前密碼輸入客戶端計算機,,即可實現(xiàn)身份的確認,。由于每次使用的密碼必須由動態(tài)令牌來產(chǎn)生,只有合法用戶才持有該硬件,,所以只要密碼驗證通過就可以認為該用戶的身份是可靠的,。而用戶每次使用的密碼都不相同,即使黑客截獲了一次密碼,,也無法利用這個密碼來仿冒合法用戶的身份,。
動態(tài)口令技術(shù)采用一次一密的方法,有效地保證了用戶身份的安全性,。但是如果客戶端硬件與服務(wù)器端程序的時間或次數(shù)不能保持良好的同步,,就可能發(fā)生合法用戶無法登陸的問題。并且用戶每次登錄時還需要通過鍵盤輸入一長串無規(guī)律的密碼,,一旦看錯或輸錯就要重新來過,,用戶的使用非常不方便,。該技術(shù)廣泛應(yīng)用在VPN、網(wǎng)上銀行,、電子政務(wù),、電子商務(wù)等領(lǐng)域。
3,、短信動態(tài)密碼(口令):
短信密碼以手機短信形式請求包含6位隨機數(shù)的動態(tài)密碼,,身份認證系統(tǒng)以短信形式發(fā)送隨機的6位密碼到客戶的手機上??蛻粼诘卿浕蛘呓灰渍J證時候輸入此動態(tài)密碼,,從而確保系統(tǒng)身份認證的安全性。它利用“你有什么”方法,。具有以下優(yōu)點:
1)安全性:由于手機與客戶綁定比較緊密,,短信密碼生成與使用場景是物理隔絕的,因此密碼在通路上被截取幾率降至最低,。
2)普及性:只要會接收短信即可使用,,大大降低短信密碼技術(shù)的使用門檻,學(xué)習(xí)成本幾乎為0,,所以在市場接受度上面不會存在阻力,。
3)易收費:由于移動互聯(lián)網(wǎng)用戶天然養(yǎng)成了付費的習(xí)慣,這和PC時代互聯(lián)網(wǎng)截然不同的理念,,而且收費通道非常的發(fā)達,,如果是網(wǎng)銀、第三方支付,、電子商務(wù)可將短信密碼作為一項增值業(yè)務(wù),,每月通過SP收費不會有阻力,因此也可增加收益,。
4)易維護:由于短信網(wǎng)關(guān)技術(shù)非常成熟,,大大降低短信密碼系統(tǒng)上馬的復(fù)雜度和風(fēng)險,短信密碼業(yè)務(wù)后期客服成本低,,穩(wěn)定的系統(tǒng)在提升安全同時也營造良好的口碑效應(yīng),這也是目前銀行也大量采納這項技術(shù)很重要的原因,。
4,、USB Key認證:
基于USB Key的身份認證方式是近幾年發(fā)展起來的一種方便、安全,、經(jīng)濟的身份認證技術(shù),,它采用軟硬件相結(jié)合一次一密的強雙因子認證模式,很好地解決了安全性與易用性之間的矛盾,。USB Key是一種USB接口的硬件設(shè)備,,它內(nèi)置單片機或智能卡芯片,,可以存儲用戶的密鑰或數(shù)字證書,利用USB Key內(nèi)置的密碼學(xué)算法實現(xiàn)對用戶身份的認證,?;赨SB Key身份認證系統(tǒng)主要有兩種應(yīng)用模式:一是基于沖擊/相應(yīng)的認證方式,二是基于PKI 體系的認證方式,。
1)基于沖擊/響應(yīng)的雙因子認證方式
當(dāng)需要在網(wǎng)絡(luò)上驗證用戶身份時,,先由客戶端向服務(wù)器發(fā)出一個驗證請求。服務(wù)器接到此請求后生成一個隨機數(shù)并通過網(wǎng)絡(luò)傳輸給客戶端(此為沖擊),??蛻舳藢⑹盏降碾S機數(shù)通過USB接口提供給ePass,由ePass使用該隨機數(shù)與存儲在ePass中的密鑰進行MD5-HMAC運算并得到一個結(jié)果作為認證證據(jù)傳給服務(wù)器(此為響應(yīng)),。與此同時,,服務(wù)器也使用該隨機數(shù)與存儲
在服務(wù)器數(shù)據(jù)庫中的該客戶密鑰進行MD5-HMAC運算,如果服務(wù)器的運算結(jié)果與客戶端傳回的響應(yīng)結(jié)果相同,,則認為客戶端是一個合法用戶,。
密鑰運算分別在ePass硬件和服務(wù)器中運行,不出現(xiàn)在客戶端內(nèi)存中,,也不在網(wǎng)絡(luò)上傳輸,,由于MD5-HMAC算法是一個不可逆的算法,就是說知道密鑰和運算用隨機數(shù)就可以得到運算結(jié)果,,而知道隨機數(shù)和運算結(jié)果卻無法計算出密鑰,,從而保護了密鑰的安全,也就保護了用戶身份的安全,。
2)基于PKI體系的認證方式
隨著PKI技術(shù)日趨成熟,,許多應(yīng)用中開始使用數(shù)字證書進行身份認證與數(shù)字加密。數(shù)字證書是由權(quán)威公正的第三方機構(gòu)即CA中心簽發(fā)的,,以數(shù)字證書為核心的加密技術(shù),,可以對網(wǎng)絡(luò)上傳輸?shù)男畔⑦M行加密和解密、數(shù)字簽名和簽名驗證,,確保網(wǎng)上傳遞信息的機密性,、完整性,以及交易實體身份的真實性,,簽名信息的不可否認性,,從而保障網(wǎng)絡(luò)應(yīng)用的安全性。
USB Key作為數(shù)字證書的存儲介質(zhì),,可以保證數(shù)字證書不被復(fù)制,,并可以實現(xiàn)所有數(shù)字證書的功能。目前主要運用在電子政務(wù),、網(wǎng)上銀行,。
5,、IC卡認證:
IC卡是一種內(nèi)置集成電路的卡片,卡片中存有與用戶身份相關(guān)的數(shù)據(jù),,IC卡由專門的廠商通過專門的設(shè)備生產(chǎn),,可以認為是不可復(fù)制的硬件。IC卡由合法用戶隨身攜帶,,登錄時必須將IC卡插入專用的讀卡器讀取其中的信息,,以驗證用戶的身份。IC卡認證是基于“你有什么”的手段,,通過IC卡硬件不可復(fù)制來保證用戶身份不會被仿冒,。IC卡廣泛地應(yīng)用于金融財務(wù)、社會保險,、交通旅游,、醫(yī)療衛(wèi)生、政府行政,、商品零售,、休閑娛樂、學(xué)校管理及其它領(lǐng)域,。
6,、生物識別技術(shù):
生物識別技術(shù)是指采用每個人獨一無二的生物特征來驗證用戶身份的技術(shù)。常見的有指紋識別,、虹膜識別等,。從理論上說,生物特征認證是最可靠的身份認證方式,,因為它直接使用人的物理特征來表示每一個人的數(shù)字身份,,不同的人具有相同生物特征的可能性可以忽略不計,因此幾乎不可能被仿冒,。生物特征認證基于生物特征識別技術(shù),,受到現(xiàn)在的生物特征識別技術(shù)成熟度的影響,采用生物特征認證還具有較大的局限性,。首先,,生物特征識別的準確性和穩(wěn)定性還有待提高,特別是如果用戶身體受到傷病或污漬的影響,,往往導(dǎo)致無法正常識別,,造成合法用戶無法登陸的情況。其次,,由于研發(fā)投入較大和產(chǎn)量較小的原因,生物特征認證系統(tǒng)的成本非常高,。
指紋,、指靜脈,、虹膜、聲紋,、人臉,,生物識別技術(shù)飛速發(fā)展,人們的生活越來越便利:線上支付,、小區(qū)門禁,、單位考勤、機場安檢......甚至到小店買個包子,,你都可以刷臉支付,。但增加生活便利的同時,數(shù)據(jù)濫用,、數(shù)據(jù)盜用的情況也越來越多,,數(shù)據(jù)安全隱患、隱私泄露風(fēng)險越來越大,。如何從技術(shù)上解決便利性和安全性的矛盾呢,?一方面需要生物識別技術(shù)本身的進步,另一方面生物識別技術(shù)一定要和密碼技術(shù)結(jié)合,,以保證體征數(shù)據(jù)的安全性,。
首先就是生物識別技術(shù)本身的進步:識別載體、識別手段,、識別算法不斷的進步才能防止應(yīng)用的漏洞百出,。還記得去年杭州小學(xué)生用父母的照片,就能打開豐巢柜嗎,?這樣的人臉識別不是“打臉”嗎,?
所有的生物識別技術(shù),都涉及到兩個重要指標:認假率和拒真率,。認假率(FAR:FALSE Acceptance Rate)是把他人誤認為特征庫里的某人而錯誤通過的概率,,簡單地說就是賈玲拿著林志玲的手機指紋(人臉)驗證通過。而拒真率(FRR:FALSE Rejection Rate)是指生物特征庫存在,,但未被識別出的概率,,也就是賈玲拿著自己的手機解鎖未通過。
認假率和拒真率是非線性相關(guān)的,,在實際應(yīng)用中通過調(diào)整閾值來取得體驗和安全的平衡,。比如公安的應(yīng)用,在偵查階段,,把閾值調(diào)低,,容忍認假率,從而盡可能不放過一個壞人,;而在司法鑒定階段,,則要把閾值調(diào)高,,降低認假率,不冤枉一個好人,。
很多人有這樣的體會:我的指紋在自己手機上識別好好的,,非常迅速,但單位的考勤機上老是刷不出來,,考勤機的指紋識別太爛了,。這實在是一種誤解,因為你的手機別人來驗證的機會是很低的,,所以為了提高體驗感,,閾值設(shè)得比較低。而單位里有幾十,、幾百人的特征庫,,閾值調(diào)得低,就有認假的可能,,單位可能會選擇容忍一定的拒真率,。如果一家單位恰好有指紋相似的個人,認假率和拒真率的矛盾就會凸顯出來,。
另一方面,,生物識別技術(shù)一定要和密碼技術(shù)結(jié)合。以人臉識別為例,,雖然目前2D 人臉算法逐步進步到3D立體人臉算法,,并配合了“活體檢測”技術(shù),但如果沒有密碼技術(shù)的保護,,人臉識別技術(shù)依然是非常危險的,。不管是特征數(shù)據(jù)的提取、傳輸,,還是入庫,、比對等過程,如果數(shù)據(jù)泄漏,,很容易被黑客利用,,形成“重復(fù)攻擊”。而且,,體征數(shù)據(jù)是伴隨一生的,,密碼泄漏了,你可以隨時更改,,而一旦體征數(shù)據(jù)被黑客掌握,,恐懼可能將伴隨你的余生。而防止數(shù)據(jù)泄漏,采用加密等密碼技術(shù)就是最好的保護手段,,也是數(shù)據(jù)安全最后的防線,。
7,、數(shù)字簽名:
數(shù)字簽名又稱電子加密,,可以區(qū)分真實數(shù)據(jù)與偽造、被篡改過的數(shù)據(jù),。這對于網(wǎng)絡(luò)數(shù)據(jù)傳輸,,特別是電子商務(wù)是極其重要的,一般要采用一種稱為摘要的技術(shù),,摘要技術(shù)主要是采用 HASH 函數(shù)( HASH(哈希)函數(shù)提供了這樣一種計算過程:輸入一個長度不固定的字符串,,返回一串定長度的字符串,又稱 HASH 值)將一段長的報文通過函數(shù)變換,,轉(zhuǎn)換為一段定長的報文,,即摘要。簽名過程是報文的發(fā)送方用一個哈希函數(shù)從報文文本中生成報文摘要(散列值),,發(fā)送方用自己的私人密鑰對這個散列值進行加密,。然后,這個加密后的散列值將作為報文的附件和報文一起發(fā)送給報文的接收方,。報文的接收方首先用與發(fā)送方一樣的哈希函數(shù)從接收到的原始報文中計算出報文摘要,,接著再用發(fā)送方的公用密鑰來對報文附加的數(shù)字簽名進行解密。如果兩個散列值相同,、那么接收方就能確認該數(shù)字簽名是發(fā)送方的,。通過數(shù)字簽名能夠?qū)崿F(xiàn)對原始報文的鑒別。數(shù)字簽名有兩種功效:一是能確定消息確實是由發(fā)送方簽名并發(fā)出來的,,因為別人假冒不了發(fā)送方的簽名,。二是數(shù)字簽名能確定消息的完整性。因為數(shù)字簽名的特點是它代表了文件的特征,,文件如果發(fā)生改變,,數(shù)字簽名的值也將發(fā)生變化。不同的文件將得到不同的數(shù)字簽名,。一次數(shù)字簽名涉及到一個哈希函數(shù),、發(fā)送者的公鑰、發(fā)送者的私鑰,。身份識別是指用戶向系統(tǒng)出示自己身份證明的過程,,主要使用約定口令、智能卡和用戶指紋,、視網(wǎng)膜和聲音等生理特征,。數(shù)字證明機制提供利用公開密鑰進行驗證的方法。主要應(yīng)用電子商務(wù),網(wǎng)上銀行等領(lǐng)域,。
8,、密碼技術(shù)認證
基于密碼技術(shù)的身份認證是指通過采用密碼技術(shù)設(shè)計安全的身份認證協(xié)議實現(xiàn)身份認證的技術(shù),這種技術(shù)比基于口令或者基于主機地址的認證方法更加安全可靠,,而且能夠提供更多的安全服務(wù),。在網(wǎng)站建設(shè)各種密碼算法,如單鑰密碼算法,、公鑰密碼算法和哈希函數(shù)算法都可以用來構(gòu)造身份認證協(xié)議,,各自具有不同的特點 。
四,、體會
當(dāng)今社會是一個網(wǎng)絡(luò)信息的社會,,通過對身份認證技術(shù)的學(xué)習(xí)與掌握,隨著網(wǎng)絡(luò)資源的普及與發(fā)展,,網(wǎng)絡(luò)安全問題顯得尤為重要,,我們要學(xué)習(xí)好關(guān)于網(wǎng)絡(luò)安全的知識,身份認證技術(shù)是一種十分重要的網(wǎng)絡(luò)安全技術(shù),,我們要深刻的認識它,,防止我們的信息丟失或被竊取,以免造成重大的損失,。我們可以將兩種認證方法結(jié)合起來,,進一步加強認證的安全性。例如,,動態(tài)口令牌+靜態(tài)密碼,,USB KEY + 靜態(tài)密碼,等等,。
五,、總結(jié)
綜上,闡明了關(guān)于身份認證技術(shù)的簡介,,身份認證方法,,常用的身份認證方式及應(yīng)用:靜態(tài)密碼、動態(tài)口令,、短信密碼,、USB Key認證、IC卡認證,、生物識別技術(shù),、數(shù)字簽名、密碼技術(shù)認證,。如今,,社會的發(fā)展與進步時時刻刻離不開網(wǎng)絡(luò),,網(wǎng)絡(luò)信息的安全是個舉足輕重的課題,掌握,、運用身份認證技術(shù)在我們這個網(wǎng)絡(luò)信息時代占據(jù)著相當(dāng)重要的位置,。只有深刻理解,認識身份認證技術(shù),,它才能更好的為我們的學(xué)習(xí),、生活和工作服務(wù)。
關(guān)注卓越空間
關(guān)注卓越微博
關(guān)注卓越微信