身份認證技術(shù)的應(yīng)用

luckypoem 2008-02-13

展開全文

信息系統(tǒng)中，通過一個條件的符合來證明一個人的身份稱之為單因子認證，由于僅使用一種條件判斷用戶的身份容易被仿冒，可以通過組合兩種不同條件來證明一個人的身份，稱之為雙因子認證。從認證信息來看，可以分為靜態(tài)認證和動態(tài)認證。身份認證技術(shù)的發(fā)展，經(jīng)歷了從軟件認證到硬件認證，從單因子認證到雙因子認證，從靜態(tài)認證到動態(tài)認證的過程。
1．One-Time Password
一般的解決辦法是使用一次性口令（OTP，One-Time Password）機制。這種機制的最大優(yōu)勢是無須在網(wǎng)上傳輸用戶的真實口令，并且由于具有一次性的特點，可以有效防止重放攻擊（Replay Attack）。根據(jù)一次性口令生成機制的不同，通常OTP可分為：時間同步的安全標志符，Challenge-Response的Crypto Card（密碼卡）和增強的S/Key（安全密鑰）等。RADIUS協(xié)議就是屬于這種類型的認證協(xié)議；強認證機制一般將運用多種加密手段來保護認證過程中相互交換的信息，其中，Kerberos協(xié)議是此類認證協(xié)議中比較完善、較具優(yōu)勢的協(xié)議，得到了廣泛的應(yīng)用。
在OTP認證系統(tǒng)，你需要擁有一些東西（你的令牌卡/軟件）和知道一些東西（你的個人識別碼“personal identification number,PIN” ）。生成和同步密碼的方法隨OTP系統(tǒng)的不同而不同。在比較流行的OTP方法中，令牌卡在一個時間間隔內(nèi)（通常為每60s）生成登密碼（passcode）。這個看上去隨機的數(shù)字串實際上與OTP服務(wù)器和令牌上運行的數(shù)學算法緊密相關(guān)。
OTP用以下方式改進了密碼：
* 用戶不能選擇使用弱密碼認證，密碼的強壯性是強制的；
* 用戶只要記住PIN，而不用記住傳統(tǒng)的密碼值，這也就解決了用戶密碼出現(xiàn)明文的問題；
* 可防止Sinffer攻擊，一旦密碼被使用一次，即使在線路上被嗅探到，此密碼也不會重復(fù)被利用；
* 強身份認證可防止網(wǎng)絡(luò)釣魚（Phishing）攻擊雙因子身份認證后，其中的時間同步加密系統(tǒng)在每一次使用時都會產(chǎn)生一次性口令，并在短時間內(nèi)失效，即使人們不慎登入Phising網(wǎng)站，也不會遭受欺騙。
2．智能卡技術(shù)
應(yīng)該說智能卡本身就可以算是一個功能齊全的計算機，它們有自己的內(nèi)存、微處理器和智能卡讀取器的串行接口，所有的這些都被包含在一個信用卡大小或是更小的介質(zhì)里。比如全球移動通信系統(tǒng)（Global System for Mobile Communications ,GSM）電話的客戶身份識別卡（subscriber identity modules ,SIM）卡的例子。
從安全的觀點看，智能卡提供了在卡里存儲身份識別信息的能力，該信息能夠被智能卡閱讀器所讀取。智能卡閱讀器能夠連到PC上驗證VPN連接或訪問另一個網(wǎng)絡(luò)系統(tǒng)的用戶。智能卡是比PC本身更為安全的存儲密鑰的地方，因為即使你的計算機完全被別人掌握，你的私鑰不會隨之一起被盜，所以你的身份對于網(wǎng)絡(luò)應(yīng)用系統(tǒng)來說依然是可信任的。
3.科幻當真“科幻”?生物識別真假戰(zhàn)
好萊塢電影，例如《回到未來》、《碟中碟3》中出現(xiàn)過用視網(wǎng)膜、掌形、指紋等作為身份識別的場景，可見，未來將是生物特征識別做認證的世界。所謂生物識別，可以這樣簡單理解：在門禁上用鑰匙開門是用你擁有的東西，用密碼是用你知道的東西，而用視網(wǎng)膜等生物特征則是用你身體的一部分。換言之，你也許會丟掉鑰匙或是忘記密碼，但用自己身體的一部分則沒有這樣的顧慮。
由奧斯卡影帝尼古拉斯凱奇主演的《國家寶藏》中，他利用墨水放入在古幣里,當黛安克魯格玩古幣時，手會沾上墨水，他用透明膠帶上的指紋打開第一道門(在現(xiàn)實中是不可能的)。
生物特征認證是指采用每個人獨一無二的生物特征來驗證用戶身份的技術(shù)。利用生物特征的主要手段就是生物識別技術(shù)，生物識別技術(shù)是指通過計算機利用人體固有的生理特征或者行為特征來進行身份鑒定的過程。由于生物特征本身與傳統(tǒng)的密碼等身份鑒別相比，具有很大的優(yōu)點，因此得到了廣泛而深入的研究和應(yīng)用。
目前較常用來進行身份鑒別的生物特征有：面像、指紋、虹膜、聲紋、步態(tài)、簽名等。從理論上說，生物特征認證是最可靠的身份認證方式，因為它直接使用人的物理特征來表示每一個人的數(shù)字身份，不同的人具有相同生物特征的可能性可以忽略不計，因此幾乎不可能被仿冒。
在前幾年，生物特征認證基于生物特征識別技術(shù)，受到現(xiàn)在的生物特征識別技術(shù)成熟度的影響，采用生物特征認證還具有較大的局限性。首先，生物特征識別的準確性和穩(wěn)定性還有待提高，特別是如果用戶身體受到傷病或污漬的影響，往往導致無法正常識別，造成合法用戶無法登錄的情況。其次，由于研發(fā)投入較大和產(chǎn)量較小的原因，生物特征認證系統(tǒng)的成本非常高，無法做到大面積推廣。
隨著這項技術(shù)的不斷成熟，其造價也逐步下降，于是出現(xiàn)了指紋識別筆記本、指紋U盤、指紋加密器等產(chǎn)品。生物識別技術(shù)與電腦技術(shù)的緊密結(jié)合，滿足了現(xiàn)代企業(yè)保護數(shù)據(jù)的安全和可靠性管理的需求，特別為企業(yè)管理人員等對公司機密接觸較多的人員，提供了更好的信息安全解決方案。對系統(tǒng)管理員、IT程序員以及各類設(shè)計創(chuàng)意人員來說，對于自己的工作機密，也有了更安全的管理方式。同時還可以為私人使用者提供有價值的服務(wù)，保護不愿他人知曉的個人資料。
事實上，關(guān)注擴大產(chǎn)品線和降低價格，以加速指紋產(chǎn)品全民應(yīng)用時代來臨的例子已然出現(xiàn)：256M的指紋U盤如見的市場價格也就幾百元。在信息價值已大于硬件價格的前提下，生物識別產(chǎn)品的市場和應(yīng)用前景無疑巨大。