身份认证安全之本

信息安全的6项基本要求
• • • • • • 机密性（Confidentiality） 身份认证（Authentication） 完整性（Integrity） 授权控制（Authorization） 抗抵赖性（Non Repudiation） 可用性（Availability）
4、信息安全三环安全模型
• 口令长度问题：大家知道，一般而言口令 的长度较长就较安全。第二代的时间同步 式令牌由于要由用户手工抄录到计算机的 键盘上去，所以一般只有6位口令码，再加 上4位PIN码，已要手工输入10位，很不方 便。如果为了提高其安全度，要采用更多 位数的口令的话，用户更感不便了。 • 而我们的新一代产品由于不需要用户用手 工来输入口令码，所以可以采用更长的口 令来保证其高安全性。（12位十进数）
三、动态口令系统
静态口令情况
（1） （2） （3）
myname 1688888
动态口令如何使用？
（1） （5） （ 4）
myname
1688888 （3）
（2） 输入开机PIN码“111111”
口令令牌的几种形式
• 硬件令牌（token）：
• 智能卡令牌（带CPU的IC卡）：可以同时实现静态 口令、同步和非同步的动态口令以及PKI和数字证 书等功能。 • USB 令牌 ：功能与智能卡的相同，但是不需要读卡 器，可以直接插入计算机 • 软件令牌 • 手机令牌
• 操作限制问题：第二代时间同步产品由于 每60秒要变化一次，所以用户在使用时必 须注意到在令牌上当前显示的口令还有多 少秒就要变化，是否来得及输入到计算机 中去。 • 而我们的新一代产品不采用时间同步，所 以在使用上没有这种限制，可以极为随意。
• 工作稳定问题：第二代动态口令系统能否正常工 作的一个重要条件是服务器与所有用户的令牌的 时钟必须严格同步。当不能确保这一点时，例如 服务器的时钟发生漂移或被系统管理员重新设定 的话，用户的认证就可能发生问题，常常会出现 有时通过、有时通不过认证的“不稳定”现象， 在失步以后需要与发令牌处联系重新处理，非常 麻烦。 • 而我们的新一代产品不采用时间同步的方式，所 以对服务器和用户的令牌之间没有任何时间上的 严格同步要求。
• （1）“银广夏事件”
从2001年9月下旬到10月12日，北京各大 报纸的头版头条多次报道股民股票账户被 恶意操纵事件：在银广夏股票连续5个跌停 日，全国9位股民的账户上股票被盗卖后再 被盗买入银广夏股票，涉及到6家证券公司 的7个营业部，9位股民的资金顷刻间化为 乌有，股民累计损失达126.56万元。
• （1）第一代动态口令技术的特点是盘问-应 答式（challenge- response）动态口令。
• （2）第二代动态口令技术的特点是采用时 间作为变量的算法来产生动态口令。以美 国的RSA公司的产品SecureID为典型代表， 其口令令牌每60秒变化一次，来实现动态 口令。
• （3）第三代动态口令技术的特点是采用事 件计数器作为变量来产生动态口令，与第 二代产品不同之处： • 一是采用多变量的口令发生算法，以避免 时间同步方法的种种缺点； • 二是具有多种口令令牌形式，以方便用户 灵活使用。 • 以海星“口令之神”为代表。
• （4）百万用户资料被盗 上海一公司30万 元捉黑客
上海某网络公司的员工发现，他们辛苦经营的 网络游戏上12月20日以前注册的用户资料被人在 许多著名网站上公布。经过公司的紧急核实，尽 管其中绝大多数信息为伪造数据，但在其中也确 实发现了部分服务器组的一定日期前的用户帐户 和密码。 在发现后该公司利用各种可能的媒体，正式发 布公告提请涉及的用户(所有在2001年12月20日之 前注册并且至今从未修改密码的用户)马上修改密 码，宣布为所有用户免费补偿一周时间（约损失 850万元）。同时立即向上海市公安部门报案。
• （5） 美国Citibank于1994年被黑客闯入了 现金管理系统，盗取了帐户经理们的密码， 把大量现金转送到世界其他地方的银行帐 户中去，总值达到1000万美元。后来采用 了动态口令技术，给每个帐户经理以及其 他有关人员都发放一个动态口令认证卡， 就基本上解决了这个问题。
（6） 电子邮件假花旗集团之名 欺骗用户帐户信息
• Authorization 授权控制
• Accountability 审计确认 （Auditing，Administration）
核心——数据安全层
• 数据存储安全：
数据保密——软件方法；硬件方法等 数据备份
• 数据传送安全：加密方法；各种安全协议； VPN等
Fra Baidu bibliotek
二、身份认证技术简述
1、几则新闻报道：
• 破坏（disruption），即中断或阻挠系统的正常工 作，或破坏系统中的数据资料 • 泄露（disclosure）,即泄露或窃取系统中的数据 资料，或对信息的非授权访问 • 欺骗（deception），即接受了伪造的数据，或伪 装、冒充合法用户的人
• 篡夺（usurpation），即对系统某个部分的非授 权控制
海星SeaStar IDzeus 口令之神体系结构
外 部
用于远程访问的SeaStarPack
访 问 入 口
内
部
• 远程用户登录认证： 为银行、证券、税务、海关、 社保及IDC等公共服务平台提供身份认证服务， 主要可应用于电话银行、网上银行、自助银行、 电话炒股、网上炒股、远程报税、远程报关、 IDC用户认证、社保医疗付费等领域。
• ChinaByte8月19日消息 周一(18日)Citigroup(花旗 集团)旗下Citibank(花旗集团银行)警告用户，不要 被一封虚假的电子邮件所欺骗。该邮件威胁说， 如果用户不提供其社保号码，那么他们的帐户将 被关闭。 • Citibank指出，许多人收到了声称向他们通告 新条款的电子邮件。邮件中包含了与Citibank网址 非常相似的网址，并要求用户提供社保号码，作 为一种认证形式。
身份认证安全之本 —— 动态口令系统
西安海星信息技术研究院院长
王以和
教授
目录
• 身份认证 安全之本 • 身份认证技术简述
• 动态口令系统
• 新一代动态口令技术的优点 • 与文警系统、OKey安全锁、PKI 数字证书的集成
一、身份认证 安全之本
• 1、信息安全简析 • 对许多网络用户而言，他们知道面临着一 定的威胁。但这种威胁来自哪里、究竟有 什么后果，他们并不十分清楚。就让我们 先来了解一下您正在面临的威胁。 一般来说，对普通的网络用户来说， 面临的安全性威胁主要有以下4大类：
• PIN码传送问题：为了防止硬件口令令牌丢失所 引起的安全问题，一般要在令牌之外增加一个 PIN码来实现双因素安全认证。但是时间同步式 的第二代产品在令牌上没有供输入PIN码用的按 键，所以只能在用计算机的键盘输入动态口令时 再加上此PIN码，一起通过网络传送到服务器端 进行认证。而PIN码并非是动态变化的，所以攻 击者很容易从网上截取到这个PIN码，从而造成 安全威胁。 • 而我们的新一代产品，虽然PIN码一般也通过计 算机键盘输入，可是PIN码的验证只在本地计算 机上进行，不用经过网络传送，因此攻击者无法 截取此PIN码。
• 大型企事业单位内部管理认证： 为实行现代化、 国际化管理模式的大中型企业、国家党政机关、 部队、学校及社会服务机构提供内部身份认证服 务。动态口令认证系统可使用人单位免除人员流 动的后顾之忧。（银行等的内部防范）
静态 口令
PKI静
动态 口令
PKI动
生物 特征
四、第三代动态口令技术的优点
1、动态口令技术的发展简史
7. 8. 9. 10. 11. 12. 13.
不要用单个英文单词 不要用身份证号码或部分号码 不要用单词加数字的形式 不要将口令存于计算机文件中 不要在不同系统上使用同一个口令 不要长期不变地使用一个口令 不要将口令写下来
那么复杂，又不让写下来， 怎么记得住呢？
解决问题的办法？
使用方便，对原应用系统 改动不大，安全可靠的身 份认证！
• 2、身份认证系统的5个基本组成部分
1. 需要被认证的人 2. 区别于其他人的特性 3. 资源所有者或系统管理员 4. 身份认证机制，验证是否具有此特性 5. 访问控制机制，赋予通过认证者一定 权限，拒绝失败者访问
• 3、身份认证特性的3个基本因素
o 你知道什么（如：口令） o 你拥有什么（如：身份证） o 你是什么特征（如：指纹等生物特征）
• 该电子邮件的部分内容包括:“亲爱的 Citibank用户，我们通知您，作为Citibank查 询帐户的持有人，您必须熟悉我们新的 Terms & Conditions，并同意这些新条款。 请认真阅读我们新的Terms & Conditions中 所有内容，并寄来您的同意书。否则，我 们将不得不暂停您在Citibank的查询帐户。”
• 2、海星新一代动态口令系统与第二代产品 相比的优越性—— • • • • 更安全 更方便 更灵活 更便宜
（1）安全强度更高
• 时间同步问题：考虑到令牌时钟与服务器 时钟之间的漂移，在认证检验时实际的有 效时间区间还要比60秒大几倍，因而给攻 击者留下更大的攻击区间。 • 而我们的新一代产品不采用时间同步方式， 不存在安全隐患时间区间，严格的保证每 个口令只能使用一次，即使立即再次输入 也无法通过认证。
2、威胁的主要来源
• 非法访问和入侵（黑客、攻击者、
入侵者）
• 计算机病毒
3、信息安全的要求和内容
• 安全涉及的范围很广，从广义来说，包括 硬件可靠性、可用性，软件可靠性、可用 性，系统、设计、运行、维护等各个方面。 还涉及到安全策略、管理制度、电磁辐射、 不间断供电、数据备份、灾难恢复、病毒 防范、黑客入侵、系统漏洞或缺陷等。
这些因素各有其优缺点，可以把这些方法组合起 来以提高安全级别，适应某种特殊需要，或弥补 某些鉴别上的不足。
4、静态口令存在的问题
网络上身份认证最常用的方法
• 用户帐号（名） ＋ 口令 = 某人的身份
用户帐号（名）：代表网络或电脑系统中 某个人的身份。 口令：用来验证是否真的是网络或电脑系 统所允许的该用户。（你知道什么）
• （2）2001年11月，江西省上饶市公安局破 获了一起电脑黑客袭击证券公司案件。犯 罪嫌疑人邬子亮在不到两个月的时间里， 破解了申银万国上饶营业部的78个股民账 号交易密码，并加以修改，导致部分股民 无法进入电脑交易系统，股民的账户被 “黑客”任意操纵，共产生非法交易额530 多万元。
• （3）2001年6月，西安的王某等，乘储户 填单或取款之机，假装打手机，将储户的 账号、密码偷偷记在手机上，或乘储户丢 弃取款凭条之机得到储户账号，用空白磁 卡伪造出信用卡窃取储户资金，仅6月11日 至20日10天时间，就从西安的多家银行柜 台和ATM自动柜员机前窃得10余个信用卡账 号、密码，然后以转账和取现金的方式将 一储户4.5万元现金盗走，总计盗窃金额 6.4万元。
外 网 安 全 外 部 世 界 系统安全 数据安全
边界——外网安全层
• 外网安全层主要是防御外部的非法入侵 （包括病毒和攻击）造成对系统安全性的 损害。
防火墙 入侵检测 防病毒 物理隔离，等
基础——系统安全层
身份认证与AAA；
AAA是网络与信息安全的基础
• Authentication 身份认证
（2）使用更加方便
• 手工输入问题：如上所述，第二代时间同 步产品需要用户用手工把令牌上显示的口 令码逐位输入到计算机中，操作比较麻烦。 • 而我们的新一代产品采用鼠标在屏幕上拉 动的方式来把令牌（例如软令牌或USB令 牌）中产生的动态口令移至口令输入框中， 不管口令有多长，都是一拉即成，使用极 为方便。（我们一般采用12位数字！）
静态口令情况
（1） （2） （3）
myname 1688888
• 对口令的几种主要攻击手段：
猜测 窃取 截获 欺骗 重发
5、如何选择安全的口令
1. 必须是8位以上长度 2. 必须包括大写、小写、数字、字母，如果 有控制字符更好 3. 不要太常见的 4. 不应是自己的名字或名字的一部分或者名 字加数字 5. 不要用自己的电话号码 6. 不要用自己或家人的生日