身份认证技术的发展与展望

合集下载
  1. 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
  2. 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
  3. 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。

身份认证技术的发展与展望

Internet迅猛发展带来了信息共享与安全这对矛盾共同体,加强网络安全建设、保障网络的安全运行成为网络存在的根本之道。网络身份认证技术发展到今天已经成为信息管理系统中必不可少的一部分,扮演着网络系统“看门人”的角色。

针对不同的安全威胁,目前存在多种主机安全技术和相关安全产品,如防病毒技术、个人防火墙、安全应用程序(如文件加密程序)、安全操作系统等。这些技术和产品在一定程度上满足人们的安全需求,却没有很好地解决以下两个问题:

(1)系统访问,即开机时的保护问题,目前普遍采用的是基于口令的弱身份认证技术,很容易被攻破而造成泄密;

(2)运行时保护,即在合法用户进入系统后因某种原因暂时离开计算机,此时任何人员均可在此系统之上进行操作,从而造成泄密。

将密码写在记事本上挂在电脑旁边,这样的事情相信很多公司的员工都曾经为之。出于安全的要求,现在公司的安全策略普遍要求员工的登陆密码要定期更换,而且不能重复,这使得想出一个自己能记住的长串密码成为一件让员工头疼的事情。为了便于记忆,员工往往会选择常用词或者作为密码,如果攻击者使用“字典攻击法”或者穷举尝试法来破译,很容易被穷举出来。传统的账号加密码的形式,账号基本上都是公开的,密码容易被猜中,容易忘记,也容易被盗。据统计,一个人平均下来要记15到20个密码。静态密码的隐患显而易见,尤其是在证券、银行等行业,轰动一时的“银广夏盗卖案”早就为业界敲响了警钟。

为了解决静态密码的安全问题,一种方式是同一个人员使用不同的密码进入不同的应用系统,避免所有的鸡蛋都在一个篮子里面的问题,然而需要记忆多个密码;第二种方式,采用软件VPN方式,登陆前先要使用VPN连接,这样可以面向一部分机器开放,但是第一次使用时下载VPN软件,每次

访问系统前登陆VPN,一则麻烦,有些系统要VPN,有些不需要VPN,需要时常切换;二则不利于移植办公;三则登陆VPN后,其整个系统也处于开放状态。并且VPN的认证本身也是一种静态密码的形式。

静态密码的最可怕之处就是密码泄漏了,用户却可能完全不知情。结果长期使用这个密码,相关的商业秘密就长期泄漏,我们也不可能经常修改密码,为了方便记忆,密码设置本身也就是那些、生日、常规单词等容易被猜测、被攻击的信息。目前网上客户对网上交易使用的密码的安全性就没有多少信心。因为这些信息基本上是不改动的,很容易被网络犯罪分子劫取。比如通过网上钓鱼的方式就很容易获取一些疏于防的客户的账户信息。

第三种方式,就是目前银行普遍提供的USB移动证书。USB 密码采用软硬件相结合一次一密的强双因子认证模式,是一种USB 接口的硬件设备,它置单片机或智能卡芯片,可以存储用户的密钥或数字证书,利用USB Key 置的密码学算法实现对用户身份

的认证。但是USB Key只能在己安装相应驱动程序的电脑上进行操作,在其他没有USB 插口的设备上则无法使用,使用围相对狭窄。另外由于必须连接电脑,在已经出现相应的木马病毒的情况下,仍然存在安全隐患。

第四种方式,就是目前采用的动态密码技术。动态密码也称一次性密码(One-time Password),它指用户的密码按照时间或使用次数不断动态变化,每个密码只使用一次。动态密码采用一种称之为动态令牌的专用硬件,大小相当于一闪存盘,显示方式类似于电子手表,它置电源、密码生成芯片和显示屏。密码生成芯片运行专门的密码算法,根据当前时间或使用次数生成当前密码并显示在显示屏上。认证服务器采用相同的算法计算当前的有效密码。由于每次使用的密码必须由动态令牌来产生,只有合法用户才持有该硬件,所以只要密码验证通过,系统就可以认为该用户的身份是可靠的。而用户每次使用的密码都不相同,即使黑客截获了一次密码,也无法利用这个密码来仿冒合

法用户的身份。其中一种就是现在比较常规使用的短信认证,每次登陆前,系统会计算出一个验证码,同时给登陆者的手机上发布包括这个验证码的短信息,登陆者收到这个验证码短信后输入系统,通过验证后才能够进入系统;另外一种就是一个手表性的密码生成装置,一直处于运行状态,时刻生成密码;同时应用系统那边也有一个认证服务器时刻运转,生成相同的密码。登陆的时候,把密码生成装置上的密码输入系统,和认证服务器上生成密码进行匹配,如果匹配成功,则就可以登陆系统。动态密码技术虽然可以防止黑客、病毒等攻击,但是也存在着一些问题:(1)短信认证,虽然便利,但是一则短信要收费;二则短信不稳定,不能够保证及时收到。(2)密码生成装置是一个易耗品,为了保证安全性,电子令牌一般被设计为不可拆卸的,这样的设计就意味着无法更换电池,导致电子令牌的使用寿命非常有限。同时,还存在着时间漂移问题,密码生成器和认证服务器的时间不一定能完全同步,有可能造成用户无法登陆系统。

可以看出,目前的身份认证安全存在着一系列的麻烦。如何改进静态密码的认证机制和简化动态密码的成本因素,将是后期身份认证机制需要着重考虑的问题。

下面,我们提出我们的第五代身份认证机制,基于RFID的身份认证。提到RFID,事先肯定想到的就是收发装置,还有天线等。事实上,正是因为RFID需要在每一个产品上安装一个发射装置,导致成本太高,才没有在仓库、海关等大量应用。所以,我们的身份认证机制要极力避免这个问题。我们的RFID身份认证系统主要有以下设备:(1)RFID密码写入装置;(2)RFID密码发射器。

基于RFID身份认证系统的主要特点为:(1)双密码认证机制和单密码认证机制

并存:可以不使用RFID密码认证,只使用个人静态口令认证或者只使用RFID密码认证,不需要记忆任何的个人口令,只要拥有RFID密码发射器就可以了。最好是个人口令和RFID认证均要求。

(2)利用公司代码,则每家的RFID生成密码均是完全不同的。

(3)一旦个人RFID密码发射器丢失,则不可能进入软件应用系统,就可以立刻知道登陆应用系统存在安全隐患,而不会出现个人静态口令丢失却完全不知情的安全严重隐患。一旦个人RFID密码发射器丢失,则可以要求系统管理员暂时修改该用户的认证方式为个人口令认证,同时,向系统管理员申请新的RFID密码发射器、修改原有个人口令、甚至用户名。重新生成的RFID密码发射器和原有的RFID密码发射器完全不同。拥有原有的RFID密码发射器的人也无法进入软件应用系统。

(4)我们提供RFID密码写入装置和

相关文档
最新文档