身份認證是整個信息安全體系的基礎
相信大家都還記得一個經典的漫畫,一條狗在計算機面前一邊打字,一邊對另一條狗說:“在互聯網上,沒有人知道你是一個人還是一條狗!”這個漫畫說明了在互聯網上很難識別身份。
身份認證是指計算機及網絡系統確認操作者身份的過程。計算機系統和計算機網絡是一個虛擬的數字世界。在這個數字世界中,一切信息包括用戶的身份信息都是用一組特定的數據來表示的,計算機只能識別用戶的數字身份,所有對用戶的授權也是針對用戶數字身份的授權。
而我們生活的現實世界是一個真實的物理世界,每個人都擁有獨一無二的物理身份。如何保證以數字身份進行操作的操作者就是這個數字身份合法擁有者,也就是說保證操作者的物理身份與數字身份相對應,就成為一個很重要的問題。身份認證技術的誕生就是為了解決這個問題。
如何通過技術手段保證用戶的物理身份與數字身份相對應呢?在真實世界中,驗證一個人的身份主要通過三種方式判定:
一是根據你所知道的信息來證明你的身份(what you know),假設某些信息只有某個人知道,比如暗號等,通過詢問這個信息就可以確認這個人的身份;
二是根據你所擁有的東西來證明你的身份(what you have) ,假設某一個東西只有某個人有,比如印章等,通過出示這個東西也可以確認真個人的身份;
三是直接根據你獨一無二的身體特征來證明你的身份(who you are),比如指紋、面貌等。
所謂“沒有不透風的墻”,你所知道的信息有可能被泄露或者還有其他人知道,楊子榮就是掌握了“天王蓋地虎,寶塔鎮河妖”的接頭暗號成功的偽造了自己的身份。
而僅憑借一個人擁有的物品判斷也是不可靠的,這個物品有可能丟失,也有可能被人盜取,從而偽造這個人的身份。只有人的身體特征才是獨一無二,不可偽造的,然而這需要我們對這個特征具有可靠的識別能力。
信息系統中,對用戶的身份認證手段也大體可以分為這三種,僅通過一個條件的符合來證明一個人的身份稱之為單因子認證,由于僅使用一種條件判斷用戶的身份容易被仿冒,可以通過組合兩種不同條件來證明一個人的身份,稱之為雙因子認證。
身份認證技術從是否使用硬件可以分為軟件認證和硬件認證,從認證需要驗證的條件來看,可以分為單因子認證和雙因子認證。從認證信息來看,可以分為靜態認證和動態認證。身份認證技術的發展,經歷了從軟件認證到硬件認證,從單因子認證到雙因子認證,從靜態認證到動態認證的過程。現在計算機及網絡系統中常用的身份認證方式主要有以下幾種:
用戶名/密碼方式
用戶名/密碼是最簡單也是最常用的身份認證方法,它是基于“what you know”的驗證手段。每個用戶的密碼是由這個用戶自己設定的,只有他自己才知道,因此只要能夠正確輸入密碼,計算機就認為他就是這個用戶。
然而實際上,由于許多用戶為了防止忘記密碼,經常采用諸如自己或家人的生日、電話號碼等容易被他人猜測到的有意義的字符串作為密碼,或者把密碼抄在一個自己認為安全的地方,這都存在著許多安全隱患,極易造成密碼泄露。
即使能保證用戶密碼不被泄漏,由于密碼是靜態的數據,并且在驗證過程中需要在計算機內存中和網絡中傳輸,而每次驗證過程使用的驗證信息都是相同的,很容易駐留在計算機內存中的木馬程序或網絡中的監聽設備截獲。因此用戶名/密碼方式一種是極不安全的身份認證方式。可以說基本上沒有任何安全性可言。
IC卡認證
IC卡是一種內置集成電路的卡片,卡片中存有與用戶身份相關的數據,IC卡由專門的廠商通過專門的設備生產,可以認為是不可復制的硬件。IC卡由合法用戶隨身攜帶,登錄時必須將IC卡插入專用的讀卡器讀取其中的信息,以驗證用戶的身份。
IC卡認證是基于“what you have”的手段,通過IC卡硬件不可復制來保證用戶身份不會被仿冒。然而由于每次從IC卡中讀取的數據還是靜態的,通過內存掃描或網絡監聽等技術還是很容易截取到用戶的身份驗證信息。因此,靜態驗證的方式還是存在根本的安全隱患。#p#
動態口令
動態口令技術是一種讓用戶的密碼按照時間或使用次數不斷動態變化,每個密碼只使用一次的技術。它采用一種稱之為動態令牌的專用硬件,內置電源、密碼生成芯片和顯示屏,密碼生成芯片運行專門的密碼算法,根據當前時間或使用次數生成當前密碼并顯示在顯示屏上。認證服務器采用相同的算法計算當前的有效密碼。
用戶使用時只需要將動態令牌上顯示的當前密碼輸入客戶端計算機,即可實現身份的確認。由于每次使用的密碼必須由動態令牌來產生,只有合法用戶才持有該硬件,所以只要密碼驗證通過就可以認為該用戶的身份是可靠的。而用戶每次使用的密碼都不相同,即使黑客截獲了一次密碼,也無法利用這個密碼來仿冒合法用戶的身份。
動態口令技術采用一次一密的方法,有效地保證了用戶身份的安全性。但是如果客戶端硬件與服務器端程序的時間或次數不能保持良好的同步,就可能發生合法用戶無法登陸的問題。并且用戶每次登錄時還需要通過鍵盤輸入一長串無規律的密碼,一旦看錯或輸錯就要重新來過,用戶的使用非常不方便。
生物特征認證
生物特征認證是指采用每個人獨一無二的生物特征來驗證用戶身份的技術。常見的有指紋識別、虹膜識別等。從理論上說,生物特征認證是最可靠的身份認證方式,因為它直接使用人的物理特征來表示每一個人的數字身份,不同的人具有相同生物特征的可能性可以忽略不計,因此幾乎不可能被仿冒。
生物特征認證基于生物特征識別技術,受到現在的生物特征識別技術成熟度的影響,采用生物特征認證還具有較大的局限性。
首先,生物特征識別的準確性和穩定性還有待提高,特別是如果用戶身體受到傷病或污漬的影響,往往導致無法正常識別,造成合法用戶無法登陸的情況。
其次,由于研發投入較大和產量較小的原因,生物特征認證系統的成本非常高,目前只適合于一些安全性要求非常高的場合如銀行、部隊等使用,還無法做到大面積推廣。
USB Key認證
基于USB Key的身份認證方式是近幾年發展起來的一種方便、安全、經濟的身份認證技術,它采用軟硬件相結合一次一密的強雙因子認證模式,很好地解決了安全性與易用性之間的矛盾。
USB Key是一種USB接口的硬件設備,它內置單片機或智能卡芯片,可以存儲用戶的密鑰或數字證書,利用USB Key內置的密碼學算法實現對用戶身份的認證。基于USB Key身份認證系統主要有兩種應用模式:一是基于沖擊/相應的認證模式,二是基于PKI體系的認證模式。
由于USB Key具有安全可靠,便于攜帶、使用方便、成本低廉的優點,加上PKI體系完善的數據保護機制,使用USB Key存儲數字證書的認證方式已經成為目前以及未來最具有前景的主要認證模式。
現在信息安全越來越受到人們的重視。建立信息安全體系的目的就是要保證存儲在計算機及網絡系統中的數據只能夠被有權操作的人訪問,所有未被授權的人無法訪問到這些數據。這里說的是對“人”的權限的控制,即對操作者物理身份的權限控制。不論安全性要求多高的數據,它存在就必然要有相對應的授權人可以訪問它,否則,保存一個任何人都無權訪問的數據有什么意義?
然而,如果沒有有效的身份認證手段,這個有權訪問者的身份就很容易被偽造,那么,不論投入再大的資金,建立的再堅固安全防范體系都形同虛設。就好像我們建造了一座非常結實的保險庫,安裝了非常堅固的大門,卻沒有安裝門鎖一樣。所以身份認證是整個信息安全體系的基礎,是信息安全的第一道關隘。
大家熟悉的如防火墻、入侵檢測、VPN、安全網關、安全目錄等,與身份認證系統有什么區別和聯系呢?
我們從這些安全產品實現的功能來分析就明白了:防火墻保證了未經授權的用戶無法訪問相應的端口或使用相應的協議;入侵檢測系統能夠發現未經授權用戶攻擊系統的企圖;VPN在公共網絡上建立一個經過加密的虛擬的專用通道供經過授權的用戶使用;安全網關保證了用戶無法進入未經授權的網段,安全目錄保證了授權用戶能夠對存儲在系統中的資源迅速定位和訪問。這些安全產品實際上都是針對用戶數字身份的權限管理,他們解決了哪個數字身份對應能干什么的問題。
而身份認證解決了用戶的物理身份和數字身份相對應的問題,給他們提供了權限管理的依據
如果把信息安全體系看作一個木桶,那么這些安全產品就是組成木桶的一塊塊木板,則整個系統的安全性取決于最短的一塊木板。這些模塊在不同的層次上阻止了未經授權的用戶訪問系統,這些授權的對象都是用戶的數字身份。而身份認證模塊就相當于木桶的桶底,由它來保證物理身份和數字身份的統一,如果桶底是漏的,那桶壁上的木板再長也沒有用。
因此,身份認證是整個信息安全體系最基礎的環節,身份安全是信息安全的基礎。
【相關文章】
