基本介紹
- 中文名:身份認證技術
- 用途:身份認證
- 目的:保障身份認證安全
- 屬性:認證技術
認證方法,靜態密碼,智慧卡,簡訊密碼,動態口令,數字簽名,生物識別,身份認證,門禁套用,
認證方法
在真實世界,對用戶的身份認證基本方法可以分為這三種:
(1)基於信息秘密的身份認證
根據你所知道的信息來證明你的身份(what you know ,你知道什麼 ) ;
(2)基於信任物體的身份認證
根據你所擁有的東西來證明你的身份(what you have ,你有什麼 ) ;
(3)基於生物特徵的身份認證
以下羅列幾種常見的認證形式:
靜態密碼
用戶的密碼是由用戶自己設定的。在網路登錄時輸入正確的密碼,計算機就認為操作者就是合法用戶。實際上,由於許多用戶為了防止忘記密碼,經常採用諸如生日、電話號碼等容易被猜測的字元串作為密碼,或者把密碼抄在紙上放在一個自認為安全的地方,這樣很容易造成密碼泄漏。如果密碼是靜態的數據,在驗證過程中 需要在計算機記憶體中和傳輸過程可能會被木馬程式或網路中截獲。因此,靜態密碼機制無論是使用還是部署都非常簡單,但從安全性上講,用戶名/密碼方式一種是不安全的身份認證方式。 它利用what you know方法。
目前智慧型手機的功能越來越強大,裡面包含了很多私人信息,我們在使用手機時,為了保護信息安全,通常會為手機設定密碼,由於密碼是存儲在手機內部,我們稱之為本地密碼認證。與之相對的是遠程密碼認證,例如我們在登錄電子信箱時,電子信箱的密碼是存儲在信箱伺服器中,我們在本地輸入的密碼需要傳送給遠端的信箱伺服器,只有和伺服器中的密碼一致,我們才被允許登錄電子信箱。為了防止攻擊者採用離線字典攻擊的方式破解密碼,我們通常都會設定在登錄嘗試失敗達到一定次數後鎖定賬號,在一段時間內阻止攻擊者繼續嘗試登錄。
智慧卡
(IC卡)
一種內置積體電路的晶片,晶片中存有與用戶身份相關的數據, 智慧卡由專門的廠商通過專門的設備生產,是不可複製的硬體。智慧卡由合法用戶隨身攜帶,登錄時必須將智慧卡插入專用的讀卡器讀取其中的信息,以驗證用戶的身份。
智慧卡認證是通過智慧卡硬體不可複製來保證用戶身份不會被仿冒。然而由於每次從智慧卡中讀取的數據是靜態的,通過記憶體掃描或網路監聽等技術還是很容易截取到用戶的身份驗證信息,因此還是存在安全隱患。它利用what you have方法。
智慧卡自身就是功能齊備的計算機,它有自己的記憶體和微處理器,該微處理器具備讀取和寫入能力,允許對智慧卡上的數據進行訪問和更改。智慧卡被包含在一個信用卡大小或者更小的物體裡(比如手機中的SIM就是一種智慧卡)。智慧卡技術能夠提供安全的驗證機制來保護持卡人的信息,並且智慧卡的複製很難。從安全的角度來看,智慧卡提供了在卡片裡存儲身份認證信息的能力,該信息能夠被智慧卡讀卡器所讀取。智慧卡讀卡器能夠連到PC上來驗證VPN連線或驗證訪問另一個網路系統的用戶。
簡訊密碼
簡訊密碼以手機簡訊形式請求包含6位隨機數的動態密碼,身份認證系統以簡訊形式傳送隨機的6位密碼到客戶的手機上。客戶在登錄或者交易認證時候輸入此動態密碼,從而確保系統身份認證的安全性。它利用what you have方法。
簡訊密碼
簡訊密碼具有以下優點:
(1)安全性
由於手機與客戶綁定比較緊密,簡訊密碼生成與使用場景是物理隔絕的,因此密碼在通路上被截取幾率降至最低。
(2)普及性
只要會接收簡訊即可使用,大大降低簡訊密碼技術的使用門檻,學習成本幾乎為0,所以在市場接受度上面不會存在阻力。
(3)易收費
由於移動網際網路用戶天然養成了付費的習慣,這和PC時代網際網路截然不同的理念,而且收費通道非常的發達,如果是網銀、第三方支付、電子商務可將簡訊密碼作為一項增值業務,每月通過SP收費不會有阻力,因此也可增加收益。
(4)易維護
動態口令
但是由於基於時間同步方式的動態口令牌存在60秒的時間視窗,導致該密碼在這60秒記憶體在風險,現在已有基於事件同步的,雙向認證的動態口令牌。基於事件同步的動態口令,是以用戶動作觸發的同步原則,真正做到了一次一密,並且由於是雙向認證,即:伺服器驗證客戶端,並且客戶端也需要驗證伺服器,從而達到了徹底杜絕木馬網站的目的。
USB KEY
基於USB Key的身份認證方式是近幾年發展起來的一種方便、安全的身份認證技術。它採用軟硬體相結合、一次一密的強雙因子認證模式,很好地解決了安全性與易用性之間的矛盾。USB Key是一種USB接口的硬體設備,它內置單片機或智慧卡晶片,可以存儲用戶的密鑰或數字證書,利用USBKey內置的密碼算法實現對用戶身份的認證。基於USB Key身份認證系統主要有兩種套用模式:一是基於衝擊/回響的認證模式,二是基於PKI體系的認證模式,目前運用在電子政務、網上銀行。
USB KEY
USB KEYOCL
OCL不但可以提供身份認證,同時還可以提供交易認證功能,可以最大程度的保證網路交易的安全。它是智慧卡數據安全技術和隨身碟相結合的產物,為數據安全解決方案提供了一個強有力的平台,為客戶提供了堅實的身份識別和密碼管理的方案,為如網上銀行, 期貨,電子商務和金融傳輸提供了堅實的身份識別和真實交易數據的保證。
數字簽名
生物識別
運用who you are方法, 通過可測量的身體或行為等生物特徵進行身份認證的一種技術。生物特徵是指唯一的可以測量或可自動識別和驗證的生理特徵或行為方式。使用感測器或者掃瞄器來讀取生物的特徵信息,將讀取的信息和用戶在資料庫中的特徵信息比對,如果一致則通過認證。
生物特徵分為身體特徵和行為特徵兩類。身體特徵包括:聲紋(d-ear)、指紋、掌型、視網膜、虹膜、人體氣味、臉型、手的血管和DNA等;行為特徵包括:簽名、語音、行走步態等。目前部分學者將視網膜識別、虹膜識別和指紋識別等歸為高級生物識別技術;將掌型識別、臉型識別、語音識別和簽名識別等歸為次級生物識別技術;將血管紋理識別、人體氣味識別、 DNA識別等歸為“深奧的”生物識別技術。
目前我們接觸最多的是指紋識別技術,套用的領域有門禁系統、微型支付等。我們日常使用的部分手機和筆記本電腦已具有指紋識別功能,在使用這些設備前,無需輸入密碼,只要將手指在掃描器上輕輕一按就能進入設備的操作界面,非常方便,而且別人很難複製。
生物特徵識別的安全隱患在於一旦生物特徵信息在資料庫存儲或網路傳輸中被盜取,攻擊者就可以執行某種身份欺騙攻擊,並且攻擊對象會涉及到所有使用生物特徵信息的設備。
身份認證
雙因素身份認證
所謂雙因素就是將兩種認證方法結合起來,進一步加強認證的安全性,目前使用最為廣泛的雙因素有:
動態口令牌+ 靜態密碼
USB KEY + 靜態密碼
二層靜態密碼 等等。
iKEY雙因素動態密碼身份認證系統(以下簡稱iKEY認證系統)是由上海眾人網路安全技術有限公司(以下簡稱“眾人科技”) 自主研發,基於時間同步技術的雙因素認證系統,是一種安全便捷、穩定可靠的身份認證系統。其強大的用戶認證機制替代了傳統的基本口令安全機制,從而幫助消除因口令欺詐而導致的損失,防止惡意入侵者或員工對資源的破壞,解決了因口令泄密導致的所有入侵問題。 iKEY認證伺服器是iKEY認證系統的核心部分,其與業務系統通過區域網路相連線。該iKEY認證伺服器控制著所有上網用戶對特定網路的訪問,提供嚴格的身份認證,上網用戶根據業務系統的授權來訪問系統資源。 iKEY認證服務軟體具有自身數據安全保護功能,所有用戶數據經加密後存儲在資料庫中,其中iKEY認證伺服器與管理工作站的數據傳輸以加密傳輸的方式進行。
門禁套用
身份認證技術是門禁系統發展的基礎,密碼鍵盤和磁卡門禁與鎖具鑰匙相比有了質的飛躍,但是密碼易被破譯和磁卡存儲空間小、易磨損和複製等,由此使得密碼鍵盤和磁卡門禁的安全性和可靠性受到了限制。後來,出現了接觸式卡,儘管其比密碼和磁卡有了很大(存儲和處理能力)進步,但因其自身不可克服的缺點(磨損壽命較短、使用不便),也終成為其套用發展的障礙。同時,非接觸式射頻卡具有無機械磨損、壽命長、安全性高、使用簡單、很難被複製等優點,因此成為業界備受關注的新軍。從識別技術看,RFID技術的運用是非接觸式卡的潮流,更快的回響速度和更高的頻率是未來的發展趨勢。
上世紀80~90年代,計算機和光學掃描技術的飛速發展,使得指紋提取成為現實。圖像設備的引入和處理算法又為指紋識別套用提供了條件,促進了生物識別門禁系統的發展和套用。研究表明,指紋、掌紋、面部、視網膜、靜脈、虹膜、骨骼等都具有個體的唯一性和穩定性特點,且這些特點一般終身不會變化,因此可用這些特徵作為判別人員身份的依據。從而產生了基於這些特點的生物識別技術。由於人體的生物特徵具有可靠、唯一、終身不變、不會遺失和不可複製性的特點,所以,基於生物識別的門禁系統從識別的方式來講安全性和可靠性最高。目前,國內外研究和開發的門禁系統主要是非接觸感應式和基於生物識別技術的門禁系統。生物識別技術門禁中尤以指紋識別用最廣泛。
