网络身份认证方式综述
身份认证是系统安全中最重要的问题,只有在进行安全可靠的身份认证的基础上,各种安全产品才能最有效地发挥安全防护作用;也只有完成了身份认证,网络系统才可能安全、高效地开放和共享各种网络资源、系统资源、信息资源。一般来说,身份认证是通过三种基本方式或其组合方式来完成:
第一:用户所知道的某个秘密信息,如用户口令。
第二:用户所持有的某个秘密信息(硬件),即用户必须持有合法的随身携带的物理介质,如磁卡、智能卡或用户所申请领取的公钥证书。
第三:用户所具有的某些生物特征,如指纹,声音,DNA图案,视网膜扫描等。
目前采用各种密码算法的身份认证技术,从表现形式上有:传统的静态口令认证技术、动态口令身份认证技术、特征认证技术、基于单钥的智能卡身份认证技术、基于双钥的智能卡身份认证技术、生物识别身份认证技术等。
1.传统的静态口令认证技术
传统的静态口令认证技术是现今大多数网络系统所使用的最简单的访问控制方法,通过口令的匹配来确认用户的合法性。传统的身份认证方式就是用户名口令核对法:系统为每一个合法用户建立一个ID/PW 对,当用户登录系统时,提示用户输入自己的用户名和口令,系统通过核对用户输入的用户名,口令与系统内已有的合法用户的ID/PW 是否匹配,来验证用户的身份。这种方法的缺点是:其安全性仅仅基于用户口令的保密性,而用户口令一般较短且容易猜测,因此这种方案不能抵御口令猜测攻击;另外,攻击者可能窃听通信信道或进行网络窥探(nsiffing),口令的明文传输使得攻击者只要能在口令传输过程中获得用户口令,系统就会被攻破。为了避免口令的弱点,最受推崇的是基于各种密码技术的口令认证。
2.动态口令认证技术
以静态口令为基础的认证方式面临着很多的安全问题,己无法满足网络时代的安全需求。为解决静态口令所存在的各种问题,于是提出了动态口令的概念,它采用了基于时间或事件而产生的一次性口令来代替传统的静态口令,从而避免了口令泄密带来的安全隐患。
目前,基于动态口令的身份认证系统己应用在电子商务,电子政务,银行、证券等诸多领域。
3.生物特征认证技术
基于生物特征的身份认证是以人体唯一的、可靠的、稳定的生物特征(如指纹、虹膜、脸部、掌纹等)为依据,采用计算机的强大功能和网络技术进行图像处理和模式识别。它是一种可信度高而又难以伪造的认证方式,也正在成为自动化世界所需要的自动化个人身份认证技术中最简单而安全的方法。但是这类方案技术复杂,并因为其成本高而尚未被广泛采用。
4.基于磁卡/智能卡的认证技术
磁卡认证也是目前广泛应用的用来证实身份的手段,系统提供验证磁卡信息真实性的手段来认证持卡人的身份。但由于磁卡不具有数据处理能力,持卡人无法验证系统的真伪。
智能卡正在不断地取代磁卡作为一种更有效的用来认证身份的个人持有物。由于智能卡具有数据处理能力,它可进行较复杂的操作,能实现系统与持卡人之间的相互认证,所以用智能卡作为用户身份标识,并采用合适的认证协议,可以使系统的安全性大大提高。
USB Key是一种USB接口的硬件设备。它内置单片机或智能卡芯片,有一定的存储空间,可以存储用户的私钥以及数字证书,利用USB Key内置的公钥算法实现对用户身份的认证。由于用户私钥保存在密码锁中,理论上使用任何方式都无法读取,因此保证了用户认证的安全性。USB Key的硬件和PIN码构成了可以使用证书的两个必要因素。如果用户PIN码被泄漏,只要USB Key本身不被盗用即安全。USB Key的一个最重要的优点就是成本低廉。
