身份認證技術的發(fā)展與展望.doc

.身份認證技術的發(fā)展與展望Internet迅猛發(fā)展帶來了信息共享與安全這對矛盾共同體，加強網(wǎng)絡安全建設、保障網(wǎng)絡的安全運行成為網(wǎng)絡存在的根本之道。網(wǎng)絡身份認證技術發(fā)展到今天已經(jīng)成為信息管理系統(tǒng)中必不可少的一部分，扮演著網(wǎng)絡系統(tǒng)“看門人”的角色。針對不同的安全威脅，目前存在多種主機安全技術和相關安全產(chǎn)品，如防病毒技術、個人防火墻、安全應用程序(如文件加密程序)、安全操作系統(tǒng)等。這些技術和產(chǎn)品在一定程度上滿足人們的安全需求，卻沒有很好地解決以下兩個問題： （1）系統(tǒng)訪問，即開機時的保護問題，目前普遍采用的是基于口令的弱身份認證技術，很容易被攻破而造成泄密； （2）運行時保護，即在合法用戶進入系統(tǒng)后因某種原因暫時離開計算機，此時任何人員均可在此系統(tǒng)之上進行操作，從而造成泄密。將密碼寫在記事本上掛在電腦旁邊，這樣的事情相信很多公司的員工都曾經(jīng)為之。出于安全的要求，現(xiàn)在公司的安全策略普遍要求員工的登陸密碼要定期更換，而且不能重復，這使得想出一個自己能記住的長串密碼成為一件讓員工頭疼的事情。為了便于記憶，員工往往會選擇常用詞或者號碼作為密碼，如果攻擊者使用“字典攻擊法”或者窮舉嘗試法來破譯，很容易被窮舉出來。傳統(tǒng)的賬號加密碼的形式，賬號基本上都是公開的，密碼容易被猜中，容易忘記，也容易被盜。據(jù)統(tǒng)計，一個人平均下來要記15到20個密碼。靜態(tài)密碼的隱患顯而易見，尤其是在證券、銀行等行業(yè)，轟動一時的“銀廣夏盜賣案”早就為業(yè)界敲響了警鐘。為了解決靜態(tài)密碼的安全問題，一種方式是同一個人員使用不同的密碼進入不同的應用系統(tǒng)，避免所有的雞蛋都在一個籃子里面的問題，然而需要記憶多個密碼；第二種方式，采用軟件VPN方式，登陸前先要使用VPN連接，這樣可以面向一部分機器開放，但是第一次使用時下載VPN軟件，每次訪問系統(tǒng)前登陸VPN，一則麻煩，有些系統(tǒng)要VPN，有些不需要VPN，需要時常切換；二則不利于移植辦公；三則登陸VPN后，其整個系統(tǒng)也處于開放狀態(tài)。并且VPN的認證本身也是一種靜態(tài)密碼的形式。靜態(tài)密碼的最可怕之處就是密碼泄漏了，用戶卻可能完全不知情。結果長期使用這個密碼，相關的商業(yè)秘密就長期泄漏，我們也不可能經(jīng)常修改密碼，為了方便記憶，密碼設置本身也就是那些姓名、生日、常規(guī)單詞等容易被猜測、被攻擊的信息。目前網(wǎng)上客戶對網(wǎng)上交易使用的密碼的安全性就沒有多少信心。因為這些信息基本上是不改動的，很容易被網(wǎng)絡犯罪分子劫取。比如通過網(wǎng)上釣魚的方式就很容易獲取一些疏于防范的客戶的賬戶信息。第三種方式，就是目前銀行普遍提供的USB移動證書。USB 密碼采用軟硬件相結合一次一密的強雙因子認證模式，是一種 USB 接口的硬件設備，它內(nèi)置單片機或智能卡芯片，可以存儲用戶的密鑰或數(shù)字證書，利用 USB Key 內(nèi)置的密碼學算法實現(xiàn)對用戶身份的認證。但是USB Key只能在己安裝相應驅動程序的電腦上進行操作，在其他沒有 USB 插口的設備上則無法使用，使用范圍相對狹窄。另外由于必須連接電腦，在已經(jīng)出現(xiàn)相應的木馬病毒的情況下，仍然存在安全隱患。第四種方式，就是目前采用的動態(tài)密碼技術。動態(tài)密碼也稱一次性密碼（One-time Password），它指用戶的密碼按照時間或使用次數(shù)不斷動態(tài)變化，每個密碼只使用一次。動態(tài)密碼采用一種稱之為動態(tài)令牌的專用硬件，大小相當于一張閃存盤，顯示方式類似于電子手表，它內(nèi)置電源、密碼生成芯片和顯示屏。密碼生成芯片運行專門的密碼算法，根據(jù)當前時間或使用次數(shù)生成當前密碼并顯示在顯示屏上。認證服務器采用相同的算法計算當前的有效密碼。由于每次使用的密碼必須由動態(tài)令牌來產(chǎn)生，只有合法用戶才持有該硬件，所以只要密碼驗證通過，系統(tǒng)就可以認為該用戶的身份是可靠的。而用戶每次使用的密碼都不相同，即使黑客截獲了一次密碼，也無法利用這個密碼來仿冒合法用戶的身份。其中一種就是現(xiàn)在比較常規(guī)使用的短信認證，每次登陸前，系統(tǒng)會計算出一個驗證碼，同時給登陸者的手機上發(fā)布包括這個驗證碼的短信息，登陸者收到這個驗證碼短信后輸入系統(tǒng)，通過驗證后才能夠進入系統(tǒng)；另外一種就是一個手表性的密碼生成裝置，一直處于運行狀態(tài)，時刻生成密碼；同時應用系統(tǒng)那邊也有一個認證服務器時刻運轉，生成相同的密碼。登陸的時候，把密碼生成裝置上的密碼輸入系統(tǒng)，和認證服務器上生成密碼進行匹配，如果匹配成功，則就可以登陸系統(tǒng)。動態(tài)密碼技術雖然可以防止黑客、病毒等攻擊，但是也存在著一些問題：（1）短信認證，雖然便利，但是一則短信要收費；二則短信不穩(wěn)定，不能夠保證及時收到。（2）密碼生成裝置是一個易耗品，為了保證安全性，電子令牌一般被設計為不可拆卸的，這樣的設計就意味著無法更換電池，導致電子令牌的使用壽命非常有限。同時，還存在著時間漂移問題，密碼生成器和認證服務器的時間不一定能完全同步，有可能造成用戶無法登陸系統(tǒng)?？梢钥闯?，目前的身份認證安全存在著一系列的麻煩。如何改進靜態(tài)密碼的認證機制和簡化動態(tài)密碼的成本因素，將是后期身份認證機制需要著重考慮的問題。下面，我們提出我們的第五代身份認證機制，基于RFID的身份認證。提到RFID，事先肯定想到的就是收發(fā)裝置，還有天線等。事實上，正是因為RFID需要在每一個產(chǎn)品上安裝一個發(fā)射裝置，導致成本太高，才沒有在倉庫、海關等大量應用。所以，我們的身份認證機制要極力避免這個問題。我們的RFID身份認證系統(tǒng)主要有以下設備：（1）RFID密碼寫入裝置；（2）RFID密碼發(fā)射器。公司代碼用戶名密碼生成算法RFID寫入裝置RFID密碼發(fā)射器個人口令軟件應用系統(tǒng)用戶名個人口令密碼生成算法密碼匹配公司代碼基于RFID身份認證系統(tǒng)的主要特點為：（1） 雙密碼認證機制和單密碼認證機制并存：可以不使用RFID密碼認證，只使用個人靜態(tài)口令認證或者只使用RFID密碼認證，不需要記憶任何的個人口令，只要擁有RFID密碼發(fā)射器就可以了。最好是個人口令和RFID認證均要求。（2） 利用公司代碼，則每家的RFID生成密碼均是完全不同的。（3） 一旦個人RFID密碼發(fā)射器丟失，則不可能進入軟件應用系統(tǒng)，就可以立刻知道登陸應用系統(tǒng)存在安全隱患，而不會出現(xiàn)個人靜態(tài)口令丟失卻完全不知情的安全嚴重隱患。一旦個人RFID密碼發(fā)射器丟失，則可以要求系統(tǒng)管理員暫時修改該用戶的認證方式為個人口令認證，同時，向系統(tǒng)管理員申請新的RFID密碼發(fā)射器、修改原有個人口令、甚至用戶名。重新生成的RFID密碼發(fā)射器和原有的RFID密碼發(fā)射器完全不同。擁有原有的RFID密碼發(fā)射器的人也無法進入軟件應用系統(tǒng)。（4） 我們提供RFID密碼寫入裝置和RFID密碼發(fā)射器本身，提供相應的密碼生成算法。企業(yè)可以自主控制用戶群體數(shù)量的大小以及能夠使用RFID密碼發(fā)射器的人群。相關的用戶人員的權限以及是否可以訪問系統(tǒng)，也由企業(yè)自主控制。（5） 不需要認證服務器，也不存在和認證服務器對時的要求，也不需要電池，可以長期使用，并且可以多次寫入。（6） RFID密碼發(fā)射器能夠長期有效，不需要電池。同時小巧、精致，可以作為裝飾品放在鑰匙串，方便攜帶，易于使用。（7） 工作臨時需要交接，可以暫時把RFID密碼發(fā)射器交給交接人使用，一旦出差或辦事回來，交接人把RFID密碼發(fā)射器還給原擁有人就行了，不需要每次均修改密碼或者因忘記密碼，存在大量安全隱患。（8） 一個人知道個人口令或者擁有RFID密碼發(fā)射器，均不能夠進入軟件系統(tǒng)，必須兩樣均有，這樣能夠更高層次的保證企業(yè)核心數(shù)據(jù)的安全。也有利于確認在企業(yè)商業(yè)機密泄漏后，發(fā)現(xiàn)是誰的疏忽或者惡意，造成了相關損失。原有密碼系統(tǒng)，只要告訴一個外地人，個人帳號、口令就可以登陸軟件應用系統(tǒng)。而RFID密碼發(fā)射器能夠保證只有一個人擁有，從物理裝置上和產(chǎn)生原理（一旦生成過，就再也不能夠生成第二張同樣的RFID卡）上，沒有辦法兩個人共享。（9） RFID密碼發(fā)射器是可以遠距離發(fā)射，不涉及到USB插拔的問題，也不涉及到需要安裝驅動程序的問題，任何計算機上只要有沒有被占用的并行口或者串口就行了。我們提供一個并行口或者串口設置窗口。（10） RFID密碼發(fā)射器，可以在高溫、高熱、嚴寒等環(huán)境下使用。（11） RFID密碼發(fā)射器屬于硬件裝置，無法仿照。（12） RFID密碼生成算法，企業(yè)可以自主設置相關密碼長度，增強系統(tǒng)的安全性，生成的密碼也不在數(shù)據(jù)庫中間保存，系統(tǒng)管理員也無法直接在數(shù)據(jù)庫中寫入。同時從管理上，可以設定系統(tǒng)管理員和RFID密碼發(fā)射器的寫入人員不是一個