身份认证技术的应用
信息系统中,通过一个条件的符合来证明一个人的身份称之为单因子认证,由于仅使用一种条件判断用户的身份容易被仿冒,可以通过组合两种不同条件来证明一个人的身份,称之为双因子认证。从认证信息来看,可以分为静态认证和动态认证。身份认证技术的发展,经历了从软件认证到硬件认证,从单因子认证到双因子认证,从静态认证到动态认证的过程。
1.One-Time Password
一般的解决办法是使用一次性口令(OTP,One-Time Password)机制。这种机制的最大优势是无须在网上传输用户的真实口令,并且由于具有一次性的特点,可以有效防止重放攻击(Replay Attack)。根据一次性口令生成机制的不同,通常OTP可分为:时间同步的安全标志符,Challenge-Response的Crypto Card(密码卡)和增强的S/Key(安全密钥)等。RADIUS协议就是属于这种类型的认证协议;强认证机制一般将运用多种加密手段来保护认证过程中相互交换的信息,其中,Kerberos协议是此类认证协议中比较完善、较具优势的协议,得到了广泛的应用。
在OTP认证系统,你需要拥有一些东西(你的令牌卡/软件)和知道一些东西(你的个人识别码“personal identification number,PIN” )。生成和同步密码的方法随OTP系统的不同而不同。在比较流行的OTP方法中,令牌卡在一个时间间隔内(通常为每60s)生成登密码(passcode)。这个看上去随机的数字串实际上与OTP服务器和令牌上运行的数学算法紧密相关。
OTP用以下方式改进了密码:
* 用户不能选择使用弱密码认证,密码的强壮性是强制的;
* 用户只要记住PIN,而不用记住传统的密码值,这也就解决了用户密码出现明文的问题;
* 可防止Sinffer攻击,一旦密码被使用一次,即使在线路上被嗅探到,此密码也不会重复被利用;
* 强身份认证可防止网络钓鱼(Phishing)攻击双因子身份认证后,其中的时间同步加密系统在每一次使用时都会产生一次性口令,并在短时间内失效,即使人们不慎登入Phising网站,也不会遭受欺骗。
2.智能卡技术
应该说智能卡本身就可以算是一个功能齐全的计算机,它们有自己的内存、微处理器和智能卡读取器的串行接口,所有的这些都被包含在一个信用卡大小或是更小的介质里。比如全球移动通信系统(Global System for Mobile Communications ,GSM)电话的客户身份识别卡(subscriber identity modules ,SIM)卡的例子。
从安全的观点看,智能卡提供了在卡里存储身份识别信息的能力,该信息能够被智能卡阅读器所读取。智能卡阅读器能够连到PC上验证VPN连接或访问另一个网络系统的用户。智能卡是比PC本身更为安全的存储密钥的地方,因为即使你的计算机完全被别人掌握,你的私钥不会随之一起被盗,所以你的身份对于网络应用系统来说依然是可信任的。
