登錄
注冊
生物識別:身份認證第五張“王牌”
作者:RFID世界網 收編
來源:中國計算機安全
日期:2009-09-29 11:36:44
摘要:身份認證用于解決訪問者的物理身份和數字身份的一致性問題,給其他安全技術提供權限管理的依據,而防火墻等技術針對數字身份進行權限管理,解決數字身份能干什么的問題。由此可見,身份鑒別和認證是整個信息安全體系的基礎。
在信息化虛擬世界的信息安全體系中,身份認證更是最為核心的一環。如果把信息安全體系看作一個木桶,那么防火墻、入侵檢測、VPN、安全網關等就是木桶的壁板,身份認證就相當于木桶底。可以說,身份認證用于解決訪問者的物理身份和數字身份的一致性問題,給其他安全技術提供權限管理的依據,而防火墻等技術針對數字身份進行權限管理,解決數字身份能干什么的問題。由此可見,身份鑒別和認證是整個信息安全體系的基礎。
那么,現在有什么方式打造身份認證的安全防線?未來又會有什么樣的趨勢?
基本套路:身份認證安全“三板斧”
身份鑒別是用戶向系統出示自己身份證明的過程。身份認證是系統查核用戶身份證明的過程。這兩個過程是判明和確認通信雙方真實身份的兩個重要環節,人們常把這兩項工作統稱為身份鑒別驗證(或身份驗證、或身份認證、或身份鑒別)。
計算機和計算機網絡組成了一個虛擬的數字世界。在數字世界中,一切信息包括用戶的身份信息都是由一組特定的數據表示,計算機只能識別用戶的數字身份,給用戶的授權也是針對用戶數字身份進行的。而我們生活的現實世界是一個真實的物理世界,每個人都擁有獨一無二的物理身份。如何保證以數字身份進行操作的訪問者就是這個數字身份的合法擁有者,即如何保證操作者的物理身份與數字身份相對應,就成為一個重要的安全問題。身份認證技術的誕生就是為了解決這個問題。
如何通過技術手段保證物理身份與數字身份相對應呢?在真實世界中,驗證一個人的身份主要通過三種方式:一是根據你所知道的信息來證明身份(what you know),假設某些信息只有某人知道,比如暗號等,通過詢問這個信息就可以確認此人的身份;二是根據你所擁有的物品來證明身份(what you have),假設某一物品只有某人才有,比如印章等,通過出示該物品也可以確認個人的身份;三是直接根據你獨一無二的身體特征來證明身份(who you are),比如指紋、面貌等。不過,你所知道的信息有可能被泄露或者還有其他人知道,你所擁有的物品或能丟失、被盜竊或被復制,因此僅憑一個人擁有的信息或物品判斷其身份是不可靠的。
從是否使用硬件來看,身份認證技術可以分為軟件認證和硬件認證;從認證需要驗證的條件來看,身份認證技術還可以分為單因子認證和雙因子認證。僅通過一個條件來驗證一個人的身份的技術稱為單因子認證。由于只使用一種條件判斷用戶的身份,單因子認證很容易被仿冒。雙因子認證通過組合兩種不同條件(如通過密碼和芯片組合)來證明一個人的身份,安全性有了明顯提高;從認證信息來看,身份認證技術還可以分為靜態認證和動態認證等。
組合防護:身份認證五大常見方式
現在計算機及網絡系統中常用的身份認證方式主要有用戶名+密碼方式、IC卡認證方式、動態口令方式、USB Key認證方式、生物識別認證方式等。
第一類——用戶名+密碼方式
用戶名+密碼是最簡單也是最常用的身份認證方法,是基于“what you know”的驗證手段。每個用戶的密碼是由用戶自己設定的,只有用戶自己才知道。只要能夠正確輸入密碼,計算機就認為操作者就是合法用戶。實際上,由于許多用戶為了防止忘記密碼,經常采用諸如生日、電話號碼等容易被猜測的字符串作為密碼,或者把密碼抄在紙上放在一個自認為安全的地方,這樣很容易造成密碼泄漏。即使能保證用戶密碼不被泄漏,由于密碼是靜態的數據,在驗證過程中需要在計算機內存中和網絡中傳輸,而每次驗證使用的驗證信息都是相同的,很容易被駐留在計算機內存中的木馬程序或網絡中的監聽設備截獲。因此用戶名+密碼方式一種是極不安全的身份認證方式。
這種身份認證的加密方式,已經基本上沒有專業安全廠商來做了,它已經成為一般的應用軟件必備的功能模塊之一。
第二類——IC卡認證方式
IC卡是一種內置集成電路的芯片,芯片中存有與用戶身份相關的數據,IC卡由專門的廠商通過專門的設備生產的硬件。IC卡由合法用戶隨身攜帶,登錄時必須將IC卡插入專用的讀卡器讀取其中的信息,以驗證用戶的身份。IC卡認證是基于“what you have”的手段,通過IC卡硬件不易復制性來保證用戶身份不會被仿冒。然而由于每次從IC卡中讀取的數據是靜態的,通過內存掃描或網絡監聽等技術還是很容易截取到用戶的身份驗證信息,或者IC卡丟失和被盜用,導致非法用戶變成合法用戶進行信息系統,因此還是存在安全隱患。
此類身份認證主要應用于一般的低密級要求的社會生活中,因為技術門檻日益降低,而且社會化市場也比較大,應用比較廣泛,因此已經產生一大批IC卡廠商,其中復旦微電子等幾家芯片公司是目前國內市場領先的IC卡芯片供應商。
第三類——動態口令方式
動態口令技術是一種讓用戶密碼按照時間或使用次數不斷變化、每個密碼只能使用一次的技術。它采用一種叫做動態令牌的專用硬件,內置電源、密碼生成芯片和顯示屏,密碼生成芯片運行專門的密碼算法,根據當前時間或使用次數生成當前密碼并顯示在顯示屏上。認證服務器采用相同的算法計算當前的有效密碼。用戶使用時只需要將動態令牌上顯示的當前密碼輸入客戶端計算機,即可實現身份認證。由于每次使用的密碼必須由動態令牌來產生,只有合法用戶才持有該硬件,所以只要通過密碼驗證就可以認為該用戶的身份是可靠的。而用戶每次使用的密碼都不相同,即使黑客截獲了一次密碼,也無法利用這個密碼來仿冒合法用戶的身份。
動態口令技術采用一次一密的方法,有效保證了用戶身份的安全性。但是如果客戶端與服務器端的時間或次數不能保持良好的同步,就可能發生合法用戶無法登錄的問題。并且用戶每次登錄時需要通過鍵盤輸入一長串無規律的密碼,如果輸入錯誤就要重新操作,使用起來非常不方便。同樣這種動態令牌的專用硬件也會丟失或被盜用,存在一定的安全隱患。因為相對復雜和不便捷,目前此類身份認證技術在國內相對市場不大,比較有名的國外的RSA和國內的華安信達等一批安全廠商。
第四類——USB Key認證方式
基于USB Key的身份認證方式是近幾年發展起來的一種方便、安全的身份認證技術。它采用軟硬件相結合、一次一密的強雙因子認證模式,很好地解決了安全性與易用性之間的矛盾。USB Key是一種USB接口的硬件設備,它內置單片機或智能卡芯片,可以存儲用戶的密鑰或數字證書,利用USB Key內置的密碼算法實現對用戶身份的認證。基于USB Key身份認證系統主要有兩種應用模式:一是基于沖擊/響應的認證模式,二是基于PKI體系的認證模式。
每個USB Key硬件都具有用戶PIN碼,以實現雙因子認證功能。USB Key內置單向散列算法(MD5),預先在USB Key和服務器中存儲一個證明用戶身份的密鑰,當需要在網絡上驗證用戶身份時,先由客戶端向服務器發出一個驗證請求。服務器接到此請求后生成一個隨機數并通過網絡傳輸給客戶端(此為沖擊)。客戶端將收到的隨機數提供給插在客戶端上的USB Key,由USB Key使用該隨機數與存儲在USB Key中的密鑰進行帶密鑰的單向散列運算(HMAC-MD5)并得到一個結果作為認證證據傳送給服務器(此為響應)。與此同時,服務器使用該隨機數與存儲在服務器數據庫中的該客戶密鑰進行HMAC-MD5運算,如果服務器的運算結果與客戶端傳回的響應結果相同,則認為客戶端是一個合法用戶。同樣這種USB Key硬件和用戶使用的PIN碼也會丟失或被盜用,并且存于硬件內的數字證書(通常為私鑰)正常情況下在數字認中心有備份,也在存在一定的安全隱患。
目前國內市場主要金融領域應用較廣,以國外的SafeNet和國內的飛天誠信等企業市場份額相對較大。
第五類——生物識別認證方式
生物識別認證是指采用每個人獨一無二的生物特征來驗證用戶身份的技術,又稱生物特征認證。從理論上說,生物特征認證是最可靠的身份認證方式,因為它直接使用人的物理特征來表示每一個人的數字身份,不同的人具有不同的生物特征,因此幾乎不可能被仿冒和復制。
生物識別技術主要是通過可測量的身體或行為等生物特征進行身份認證的一種技術;而生物特征是指唯一的可以測量或可自動識別和驗證的生理特征或行為方式。生物特征分為身體特征和行為特征兩類。身體特征包括:指紋、掌型、視網膜、虹膜、人體氣味、臉型、手的血管、骨骼和DNA等;行為特征包括:簽名、語音、行走步態等。
生物識別技術在“9•11”事件發生后,由于在身份鑒別上發生的重大漏洞,引起美國及西方各國高度重視。美國曾經連續簽署了3個國家安全法案(愛國者法案、航空安全法案、邊境簽證法案),要求必須采用生物認證技術。于是基于指紋識別的生物識別技術的個人身份驗證方法,得到了發展。全球領先的生物識別技術提供商亞略特科技創始人邵宇認為:“由于指紋識別技術利用人體本身固有的生物特征,與傳統的方法完全不同,具有唯一性、不存在丟失、遺忘或被偽造等問題,用它進行身份驗證,具有更好的安全性、可靠性和有效性。”
由于生物識別市場剛剛興起,而且技術門檻比較高,目前相對有實力的廠商不多,國外以UPek為代表,國內以深圳亞略特和無錫指網科技為代表,其中作為中國最早一批從事生物識別指紋識別技術研究的亞略特研究院專家團隊,更是已經將本土生物識別技術打到了國際市場。
那么,現在有什么方式打造身份認證的安全防線?未來又會有什么樣的趨勢?
基本套路:身份認證安全“三板斧”
身份鑒別是用戶向系統出示自己身份證明的過程。身份認證是系統查核用戶身份證明的過程。這兩個過程是判明和確認通信雙方真實身份的兩個重要環節,人們常把這兩項工作統稱為身份鑒別驗證(或身份驗證、或身份認證、或身份鑒別)。
計算機和計算機網絡組成了一個虛擬的數字世界。在數字世界中,一切信息包括用戶的身份信息都是由一組特定的數據表示,計算機只能識別用戶的數字身份,給用戶的授權也是針對用戶數字身份進行的。而我們生活的現實世界是一個真實的物理世界,每個人都擁有獨一無二的物理身份。如何保證以數字身份進行操作的訪問者就是這個數字身份的合法擁有者,即如何保證操作者的物理身份與數字身份相對應,就成為一個重要的安全問題。身份認證技術的誕生就是為了解決這個問題。
如何通過技術手段保證物理身份與數字身份相對應呢?在真實世界中,驗證一個人的身份主要通過三種方式:一是根據你所知道的信息來證明身份(what you know),假設某些信息只有某人知道,比如暗號等,通過詢問這個信息就可以確認此人的身份;二是根據你所擁有的物品來證明身份(what you have),假設某一物品只有某人才有,比如印章等,通過出示該物品也可以確認個人的身份;三是直接根據你獨一無二的身體特征來證明身份(who you are),比如指紋、面貌等。不過,你所知道的信息有可能被泄露或者還有其他人知道,你所擁有的物品或能丟失、被盜竊或被復制,因此僅憑一個人擁有的信息或物品判斷其身份是不可靠的。
從是否使用硬件來看,身份認證技術可以分為軟件認證和硬件認證;從認證需要驗證的條件來看,身份認證技術還可以分為單因子認證和雙因子認證。僅通過一個條件來驗證一個人的身份的技術稱為單因子認證。由于只使用一種條件判斷用戶的身份,單因子認證很容易被仿冒。雙因子認證通過組合兩種不同條件(如通過密碼和芯片組合)來證明一個人的身份,安全性有了明顯提高;從認證信息來看,身份認證技術還可以分為靜態認證和動態認證等。
組合防護:身份認證五大常見方式
現在計算機及網絡系統中常用的身份認證方式主要有用戶名+密碼方式、IC卡認證方式、動態口令方式、USB Key認證方式、生物識別認證方式等。
第一類——用戶名+密碼方式
用戶名+密碼是最簡單也是最常用的身份認證方法,是基于“what you know”的驗證手段。每個用戶的密碼是由用戶自己設定的,只有用戶自己才知道。只要能夠正確輸入密碼,計算機就認為操作者就是合法用戶。實際上,由于許多用戶為了防止忘記密碼,經常采用諸如生日、電話號碼等容易被猜測的字符串作為密碼,或者把密碼抄在紙上放在一個自認為安全的地方,這樣很容易造成密碼泄漏。即使能保證用戶密碼不被泄漏,由于密碼是靜態的數據,在驗證過程中需要在計算機內存中和網絡中傳輸,而每次驗證使用的驗證信息都是相同的,很容易被駐留在計算機內存中的木馬程序或網絡中的監聽設備截獲。因此用戶名+密碼方式一種是極不安全的身份認證方式。
這種身份認證的加密方式,已經基本上沒有專業安全廠商來做了,它已經成為一般的應用軟件必備的功能模塊之一。
第二類——IC卡認證方式
IC卡是一種內置集成電路的芯片,芯片中存有與用戶身份相關的數據,IC卡由專門的廠商通過專門的設備生產的硬件。IC卡由合法用戶隨身攜帶,登錄時必須將IC卡插入專用的讀卡器讀取其中的信息,以驗證用戶的身份。IC卡認證是基于“what you have”的手段,通過IC卡硬件不易復制性來保證用戶身份不會被仿冒。然而由于每次從IC卡中讀取的數據是靜態的,通過內存掃描或網絡監聽等技術還是很容易截取到用戶的身份驗證信息,或者IC卡丟失和被盜用,導致非法用戶變成合法用戶進行信息系統,因此還是存在安全隱患。
此類身份認證主要應用于一般的低密級要求的社會生活中,因為技術門檻日益降低,而且社會化市場也比較大,應用比較廣泛,因此已經產生一大批IC卡廠商,其中復旦微電子等幾家芯片公司是目前國內市場領先的IC卡芯片供應商。
第三類——動態口令方式
動態口令技術是一種讓用戶密碼按照時間或使用次數不斷變化、每個密碼只能使用一次的技術。它采用一種叫做動態令牌的專用硬件,內置電源、密碼生成芯片和顯示屏,密碼生成芯片運行專門的密碼算法,根據當前時間或使用次數生成當前密碼并顯示在顯示屏上。認證服務器采用相同的算法計算當前的有效密碼。用戶使用時只需要將動態令牌上顯示的當前密碼輸入客戶端計算機,即可實現身份認證。由于每次使用的密碼必須由動態令牌來產生,只有合法用戶才持有該硬件,所以只要通過密碼驗證就可以認為該用戶的身份是可靠的。而用戶每次使用的密碼都不相同,即使黑客截獲了一次密碼,也無法利用這個密碼來仿冒合法用戶的身份。
動態口令技術采用一次一密的方法,有效保證了用戶身份的安全性。但是如果客戶端與服務器端的時間或次數不能保持良好的同步,就可能發生合法用戶無法登錄的問題。并且用戶每次登錄時需要通過鍵盤輸入一長串無規律的密碼,如果輸入錯誤就要重新操作,使用起來非常不方便。同樣這種動態令牌的專用硬件也會丟失或被盜用,存在一定的安全隱患。因為相對復雜和不便捷,目前此類身份認證技術在國內相對市場不大,比較有名的國外的RSA和國內的華安信達等一批安全廠商。
第四類——USB Key認證方式
基于USB Key的身份認證方式是近幾年發展起來的一種方便、安全的身份認證技術。它采用軟硬件相結合、一次一密的強雙因子認證模式,很好地解決了安全性與易用性之間的矛盾。USB Key是一種USB接口的硬件設備,它內置單片機或智能卡芯片,可以存儲用戶的密鑰或數字證書,利用USB Key內置的密碼算法實現對用戶身份的認證。基于USB Key身份認證系統主要有兩種應用模式:一是基于沖擊/響應的認證模式,二是基于PKI體系的認證模式。
每個USB Key硬件都具有用戶PIN碼,以實現雙因子認證功能。USB Key內置單向散列算法(MD5),預先在USB Key和服務器中存儲一個證明用戶身份的密鑰,當需要在網絡上驗證用戶身份時,先由客戶端向服務器發出一個驗證請求。服務器接到此請求后生成一個隨機數并通過網絡傳輸給客戶端(此為沖擊)。客戶端將收到的隨機數提供給插在客戶端上的USB Key,由USB Key使用該隨機數與存儲在USB Key中的密鑰進行帶密鑰的單向散列運算(HMAC-MD5)并得到一個結果作為認證證據傳送給服務器(此為響應)。與此同時,服務器使用該隨機數與存儲在服務器數據庫中的該客戶密鑰進行HMAC-MD5運算,如果服務器的運算結果與客戶端傳回的響應結果相同,則認為客戶端是一個合法用戶。同樣這種USB Key硬件和用戶使用的PIN碼也會丟失或被盜用,并且存于硬件內的數字證書(通常為私鑰)正常情況下在數字認中心有備份,也在存在一定的安全隱患。
目前國內市場主要金融領域應用較廣,以國外的SafeNet和國內的飛天誠信等企業市場份額相對較大。
第五類——生物識別認證方式
生物識別認證是指采用每個人獨一無二的生物特征來驗證用戶身份的技術,又稱生物特征認證。從理論上說,生物特征認證是最可靠的身份認證方式,因為它直接使用人的物理特征來表示每一個人的數字身份,不同的人具有不同的生物特征,因此幾乎不可能被仿冒和復制。
生物識別技術主要是通過可測量的身體或行為等生物特征進行身份認證的一種技術;而生物特征是指唯一的可以測量或可自動識別和驗證的生理特征或行為方式。生物特征分為身體特征和行為特征兩類。身體特征包括:指紋、掌型、視網膜、虹膜、人體氣味、臉型、手的血管、骨骼和DNA等;行為特征包括:簽名、語音、行走步態等。
生物識別技術在“9•11”事件發生后,由于在身份鑒別上發生的重大漏洞,引起美國及西方各國高度重視。美國曾經連續簽署了3個國家安全法案(愛國者法案、航空安全法案、邊境簽證法案),要求必須采用生物認證技術。于是基于指紋識別的生物識別技術的個人身份驗證方法,得到了發展。全球領先的生物識別技術提供商亞略特科技創始人邵宇認為:“由于指紋識別技術利用人體本身固有的生物特征,與傳統的方法完全不同,具有唯一性、不存在丟失、遺忘或被偽造等問題,用它進行身份驗證,具有更好的安全性、可靠性和有效性。”
由于生物識別市場剛剛興起,而且技術門檻比較高,目前相對有實力的廠商不多,國外以UPek為代表,國內以深圳亞略特和無錫指網科技為代表,其中作為中國最早一批從事生物識別指紋識別技術研究的亞略特研究院專家團隊,更是已經將本土生物識別技術打到了國際市場。
