身份认证,在社会生活的安全体系中,无疑是最核心的一环。连小沈阳上台都会说:“我是有身份(证)的人。”
在信息化虚拟世界的信息安全体系中,身份认证更是最为核心的一环。如果把信息安全体系看作一个木桶,那么防火墙、入侵检测、VPN、安全网关等就是木桶的壁板,身份认证就相当于木桶底。可以说,身份认证用于解决访问者的物理身份和数字身份的一致性问题,给其他安全技术提供权限管理的依据,而防火墙等技术针对数字身份进行权限管理,解决数字身份能干什么的问题。由此可见,身份鉴别和认证是整个信息安全体系的基础。
那么,现在有什么方式打造身份认证的安全防线?未来又会有什么样的趋势?
基本套路:身份认证安全“三板斧”
身份鉴别是用户向系统出示自己身份证明的过程。身份认证是系统查核用户身份证明的过程。这两个过程是判明和确认通信双方真实身份的两个重要环节,人们常把这两项工作统称为身份鉴别验证(或身份验证、或身份认证、或身份鉴别)。
计算机和计算机网络组成了一个虚拟的数字世界。在数字世界中,一切信息包括用户的身份信息都是由一组特定的数据表示,计算机只能识别用户的数字身份,给用户的授权也是针对用户数字身份进行的。而我们生活的现实世界是一个真实的物理世界,每个人都拥有独一无二的物理身份。如何保证以数字身份进行操作的访问者就是这个数字身份的合法拥有者,即如何保证操作者的物理身份与数字身份相对应,就成为一个重要的安全问题。身份认证技术的诞生就是为了解决这个问题。
如何通过技术手段保证物理身份与数字身份相对应呢?在真实世界中,验证一个人的身份主要通过三种方式:一是根据你所知道的信息来证明身份(what you know),假设某些信息只有某人知道,比如暗号等,通过询问这个信息就可以确认此人的身份;二是根据你所拥有的物品来证明身份(what you have),假设某一物品只有某人才有,比如印章等,通过出示该物品也可以确认个人的身份;三是直接根据你独一无二的身体特征来证明身份(who you are),比如指纹、面貌等。不过,你所知道的信息有可能被泄露或者还有其他人知道,你所拥有的物品或能丢失、被盗窃或被复制,因此仅凭一个人拥有的信息或物品判断其身份是不可靠的。
从是否使用硬件来看,身份认证技术可以分为软件认证和硬件认证;从认证需要验证的条件来看,身份认证技术还可以分为单因子认证和双因子认证。仅通过一个条件来验证一个人的身份的技术称为单因子认证。由于只使用一种条件判断用户的身份,单因子认证很容易被仿冒。双因子认证通过组合两种不同条件(如通过密码和芯片组合)来证明一个人的身份,安全性有了明显提高;从认证信息来看,身份认证技术还可以分为静态认证和动态认证等。
组合防护:身份认证五大常见方式
现在计算机及网络系统中常用的身份认证方式主要有用户名+密码方式、IC卡认证方式、动态口令方式、USB Key认证方式、生物识别认证方式等。
第一类——用户名+密码方式
用户名+密码是最简单也是最常用的身份认证方法,是基于“what you know”的验证手段。每个用户的密码是由用户自己设定的,只有用户自己才知道。只要能够正确输入密码,计算机就认为操作者就是合法用户。实际上,由于许多用户为了防止忘记密码,经常采用诸如生日、电话号码等容易被猜测的字符串作为密码,或者把密码抄在纸上放在一个自认为安全的地方,这样很容易造成密码泄漏。即使能保证用户密码不被泄漏,由于密码是静态的数据,在验证过程中需要在计算机内存中和网络中传输,而每次验证使用的验证信息都是相同的,很容易被驻留在计算机内存中的木马程序或网络中的监听设备截获。因此用户名+密码方式一种是极不安全的身份认证方式。
这种身份认证的加密方式,已经基本上没有专业安全厂商来做了,它已经成为一般的应用软件必备的功能模块之一。
第二类——IC卡认证方式
IC卡是一种内置集成电路的芯片,芯片中存有与用户身份相关的数据,IC卡由专门的厂商通过专门的设备生产的硬件。IC卡由合法用户随身携带,登录时必须将IC卡插入专用的读卡器读取其中的信息,以验证用户的身份。IC卡认证是基于“what you have”的手段,通过IC卡硬件不易复制性来保证用户身份不会被仿冒。然而由于每次从IC卡中读取的数据是静态的,通过内存扫描或网络监听等技术还是很容易截取到用户的身份验证信息,或者IC卡丢失和被盗用,导致非法用户变成合法用户进行信息系统,因此还是存在安全隐患。
此类身份认证主要应用于一般的低密级要求的社会生活中,因为技术门槛日益降低,而且社会化市场也比较大,应用比较广泛,因此已经产生一大批IC卡厂商,其中复旦微电子等几家芯片公司是目前国内市场领先的IC卡芯片供应商。
第三类——动态口令方式
动态口令技术是一种让用户密码按照时间或使用次数不断变化、每个密码只能使用一次的技术。它采用一种叫做动态令牌的专用硬件,内置电源、密码生成芯片和显示屏,密码生成芯片运行专门的密码算法,根据当前时间或使用次数生成当前密码并显示在显示屏上。认证服务器采用相同的算法计算当前的有效密码。用户使用时只需要将动态令牌上显示的当前密码输入客户端计算机,即可实现身份认证。由于每次使用的密码必须由动态令牌来产生,只有合法用户才持有该硬件,所以只要通过密码验证就可以认为该用户的身份是可靠的。而用户每次使用的密码都不相同,即使黑客截获了一次密码,也无法利用这个密码来仿冒合法用户的身份。
动态口令技术采用一次一密的方法,有效保证了用户身份的安全性。但是如果客户端与服务器端的时间或次数不能保持良好的同步,就可能发生合法用户无法登录的问题。并且用户每次登录时需要通过键盘输入一长串无规律的密码,如果输入错误就要重新操作,使用起来非常不方便。同样这种动态令牌的专用硬件也会丢失或被盗用,存在一定的安全隐患。因为相对复杂和不便捷,目前此类身份认证技术在国内相对市场不大,比较有名的国外的RSA和国内的华安信达等一批安全厂商。
第四类——USB Key认证方式
基于USB Key的身份认证方式是近几年发展起来的一种方便、安全的身份认证技术。它采用软硬件相结合、一次一密的强双因子认证模式,很好地解决了安全性与易用性之间的矛盾。USB Key是一种USB接口的硬件设备,它内置单片机或智能卡芯片,可以存储用户的密钥或数字证书,利用USB Key内置的密码算法实现对用户身份的认证。基于USB Key身份认证系统主要有两种应用模式:一是基于冲击/响应的认证模式,二是基于PKI体系的认证模式。
每个USB Key硬件都具有用户PIN码,以实现双因子认证功能。USB Key内置单向散列算法(MD5),预先在USB Key和服务器中存储一个证明用户身份的密钥,当需要在网络上验证用户身份时,先由客户端向服务器发出一个验证请求。服务器接到此请求后生成一个随机数并通过网络传输给客户端(此为冲击)。客户端将收到的随机数提供给插在客户端上的USB Key,由USB Key使用该随机数与存储在USB Key中的密钥进行带密钥的单向散列运算(HMAC-MD5)并得到一个结果作为认证证据传送给服务器(此为响应)。与此同时,服务器使用该随机数与存储在服务器数据库中的该客户密钥进行HMAC-MD5运算,如果服务器的运算结果与客户端传回的响应结果相同,则认为客户端是一个合法用户。同样这种USB Key硬件和用户使用的PIN码也会丢失或被盗用,并且存于硬件内的数字证书(通常为私钥)正常情况下在数字认中心有备份,也在存在一定的安全隐患。
目前国内市场主要金融领域应用较广,以国外的SafeNet和国内的飞天诚信等企业市场份额相对较大。
第五类——生物识别认证方式
生物识别认证是指采用每个人独一无二的生物特征来验证用户身份的技术,又称生物特征认证。从理论上说,生物特征认证是最可靠的身份认证方式,因为它直接使用人的物理特征来表示每一个人的数字身份,不同的人具有不同的生物特征,因此几乎不可能被仿冒和复制。
生物识别技术主要是通过可测量的身体或行为等生物特征进行身份认证的一种技术;而生物特征是指唯一的可以测量或可自动识别和验证的生理特征或行为方式。生物特征分为身体特征和行为特征两类。身体特征包括:指纹、掌型、视网膜、虹膜、人体气味、脸型、手的血管、骨骼和DNA等;行为特征包括:签名、语音、行走步态等。
生物识别技术在“9?11”事件发生后,由于在身份鉴别上发生的重大漏洞,引起美国及西方各国高度重视。美国曾经连续签署了3个国家安全法案(爱国者法案、航空安全法案、边境签证法案),要求必须采用生物认证技术。于是基于指纹识别的生物识别技术的个人身份验证方法,得到了发展。全球领先的生物识别技术提供商亚略特科技(www.aratek.com.cn)创始人邵宇认为:“由于指纹识别技术利用人体本身固有的生物特征,与传统的方法完全不同,具有唯一性、不存在丢失、遗忘或被伪造等问题,用它进行身份验证,具有更好的安全性、可靠性和有效性。”
由于生物识别市场刚刚兴起,而且技术门槛比较高,目前相对有实力的厂商不多,国外以UPek为代表,国内以深圳亚略特和无锡指网科技为代表,其中作为中国最早一批从事生物识别指纹识别技术研究的亚略特研究院专家团队,更是已经将本土生物识别技术打到了国际市场。