信息系统中,通过一个条件的符合来证明一个人的身份称之为单因子认证,由于仅使用一种条件判断用户的身份容易被仿冒,可以通过组合两种不同条件来证明一个人的身份,称之为双因子认证。从认证信息来看,可以分为静态认证和动态认证。身份认证技术的发展,经历了从软件认证到硬件认证,从单因子认证到双因子认证,从静态认证到动态认证的过程。
1.One-Time Password
一般的解决办法是使用一次性口令(OTP,One-Time Password)机制。这种机制的最大优势是无须在网上传输用户的真实口令,并且由于具有一次性的特点,可以有效防止重放攻击(Replay Attack)。根据一次性口令生成机制的不同,通常OTP可分为:时间同步的安全标志符,Challenge-Response的Crypto Card(密码卡)和增强的S/Key(安全密钥)等。RADIUS协议就是属于这种类型的认证协议;强认证机制一般将运用多种加密手段来保护认证过程中相互交换的信息,其中,Kerberos协议是此类认证协议中比较完善、较具优势的协议,得到了广泛的应用。
在OTP认证系统,你需要拥有一些东西(你的令牌卡/软件)和知道一些东西(你的个人识别码“personal identification number,PIN” )。生成和同步密码的方法随OTP系统的不同而不同。在比较流行的OTP方法中,令牌卡在一个时间间隔内(通常为每60s)生成登密码(passcode)。这个看上去随机的数字串实际上与OTP服务器和令牌上运行的数学算法紧密相关。
OTP用以下方式改进了密码:
* 用户不能选择使用弱密码认证,密码的强壮性是强制的;
* 用户只要记住PIN,而不用记住传统的密码值,这也就解决了用户密码出现明文的问题;
* 可防止Sinffer攻击,一旦密码被使用一次,即使在线路上被嗅探到,此密码也不会重复被利用;
* 强身份认证可防止网络钓鱼(Phishing)攻击双因子身份认证后,其中的时间同步加密系统在每一次使用时都会产生一次性口令,并在短时间内失效,即使人们不慎登入Phising网站,也不会遭受欺骗。
2.智能卡技术
应该说智能卡本身就可以算是一个功能齐全的计算机,它们有自己的内存、微处理器和智能卡读取器的串行接口,所有的这些都被包含在一个信用卡大小或是更小的介质里。比如全球移动通信系统(Global System for Mobile Communications ,GSM)电话的客户身份识别卡(subscriber identity modules ,SIM)卡的例子。
从安全的观点看,智能卡提供了在卡里存储身份识别信息的能力,该信息能够被智能卡阅读器所读取。智能卡阅读器能够连到PC上验证VPN连接或访问另一个网络系统的用户。智能卡是比PC本身更为安全的存储密钥的地方,因为即使你的计算机完全被别人掌握,你的私钥不会随之一起被盗,所以你的身份对于网络应用系统来说依然是可信任的。
3.科幻当真“科幻”?生物识别真假战
好莱坞电影,例如《回到未来》、《碟中碟3》中出现过用视网膜、掌形、指纹等作为身份识别的场景,可见,未来将是生物特征识别做认证的世界。所谓生物识别,可以这样简单理解:在门禁上用钥匙开门是用你拥有的东西,用密码是用你知道的东西,而用视网膜等生物特征则是用你身体的一部分。换言之,你也许会丢掉钥匙或是忘记密码,但用自己身体的一部分则没有这样的顾虑。
由奥斯卡影帝尼古拉斯 凯奇主演的《国家宝藏》中,他利用墨水放入在古币里,当黛安 克鲁格玩古币时,手会沾上墨水,他用透明胶带上的指纹打开第一道门(在现实中是不可能的)。
生物特征认证是指采用每个人独一无二的生物特征来验证用户身份的技术。利用生物特征的主要手段就是生物识别技术,生物识别技术是指通过计算机利用人体固有的生理特征或者行为特征来进行身份鉴定的过程。由于生物特征本身与传统的密码等身份鉴别相比,具有很大的优点,因此得到了广泛而深入的研究和应用。
目前较常用来进行身份鉴别的生物特征有:面像、指纹、虹膜、声纹、步态、签名等。从理论上说,生物特征认证是最可靠的身份认证方式,因为它直接使用人的物理特征来表示每一个人的数字身份,不同的人具有相同生物特征的可能性可以忽略不计,因此几乎不可能被仿冒。
在前几年,生物特征认证基于生物特征识别技术,受到现在的生物特征识别技术成熟度的影响,采用生物特征认证还具有较大的局限性。首先,生物特征识别的准确性和稳定性还有待提高,特别是如果用户身体受到伤病或污渍的影响,往往导致无法正常识别,造成合法用户无法登录的情况。其次,由于研发投入较大和产量较小的原因,生物特征认证系统的成本非常高,无法做到大面积推广。
随着这项技术的不断成熟,其造价也逐步下降,于是出现了指纹识别笔记本、指纹U盘、指纹加密器等产品。生物识别技术与电脑技术的紧密结合,满足了现代企业保护数据的安全和可靠性管理的需求,特别为企业管理人员等对公司机密接触较多的人员,提供了更好的信息安全解决方案。对系统管理员、IT程序员以及各类设计创意人员来说,对于自己的工作机密,也有了更安全的管理方式。同时还可以为私人使用者提供有价值的服务,保护不愿他人知晓的个人资料。
事实上,关注扩大产品线和降低价格,以加速指纹产品全民应用时代来临的例子已然出现:256M的指纹U盘如见的市场价格也就几百元。在信息价值已大于硬件价格的前提下,生物识别产品的市场和应用前景无疑巨大。
信息系统中,通过一个条件的符合来证明一个人的身份称之为单因子认证,由于仅使用一种条件判断用户的身份容易被仿冒,可以通过组合两种不同条件来证明一个人的身份,称之为双因子认证。从认证信息来看,可以分为静态认证和动态认证。身份认证技术的发展,经历了从软件认证到硬件认证,从单因子认证到双因子认证,从静态认证到动态认证的过程。
1.One-Time Password
一般的解决办法是使用一次性口令(OTP,One-Time Password)机制。这种机制的最大优势是无须在网上传输用户的真实口令,并且由于具有一次性的特点,可以有效防止重放攻击(Replay Attack)。根据一次性口令生成机制的不同,通常OTP可分为:时间同步的安全标志符,Challenge-Response的Crypto Card(密码卡)和增强的S/Key(安全密钥)等。RADIUS协议就是属于这种类型的认证协议;强认证机制一般将运用多种加密手段来保护认证过程中相互交换的信息,其中,Kerberos协议是此类认证协议中比较完善、较具优势的协议,得到了广泛的应用。
在OTP认证系统,你需要拥有一些东西(你的令牌卡/软件)和知道一些东西(你的个人识别码“personal identification number,PIN” )。生成和同步密码的方法随OTP系统的不同而不同。在比较流行的OTP方法中,令牌卡在一个时间间隔内(通常为每60s)生成登密码(passcode)。这个看上去随机的数字串实际上与OTP服务器和令牌上运行的数学算法紧密相关。
OTP用以下方式改进了密码:
* 用户不能选择使用弱密码认证,密码的强壮性是强制的;
* 用户只要记住PIN,而不用记住传统的密码值,这也就解决了用户密码出现明文的问题;
* 可防止Sinffer攻击,一旦密码被使用一次,即使在线路上被嗅探到,此密码也不会重复被利用;
* 强身份认证可防止网络钓鱼(Phishing)攻击双因子身份认证后,其中的时间同步加密系统在每一次使用时都会产生一次性口令,并在短时间内失效,即使人们不慎登入Phising网站,也不会遭受欺骗。
2.智能卡技术
应该说智能卡本身就可以算是一个功能齐全的计算机,它们有自己的内存、微处理器和智能卡读取器的串行接口,所有的这些都被包含在一个信用卡大小或是更小的介质里。比如全球移动通信系统(Global System for Mobile Communications ,GSM)电话的客户身份识别卡(subscriber identity modules ,SIM)卡的例子。
从安全的观点看,智能卡提供了在卡里存储身份识别信息的能力,该信息能够被智能卡阅读器所读取。智能卡阅读器能够连到PC上验证VPN连接或访问另一个网络系统的用户。智能卡是比PC本身更为安全的存储密钥的地方,因为即使你的计算机完全被别人掌握,你的私钥不会随之一起被盗,所以你的身份对于网络应用系统来说依然是可信任的。
3.科幻当真“科幻”?生物识别真假战
好莱坞电影,例如《回到未来》、《碟中碟3》中出现过用视网膜、掌形、指纹等作为身份识别的场景,可见,未来将是生物特征识别做认证的世界。所谓生物识别,可以这样简单理解:在门禁上用钥匙开门是用你拥有的东西,用密码是用你知道的东西,而用视网膜等生物特征则是用你身体的一部分。换言之,你也许会丢掉钥匙或是忘记密码,但用自己身体的一部分则没有这样的顾虑。
由奥斯卡影帝尼古拉斯 凯奇主演的《国家宝藏》中,他利用墨水放入在古币里,当黛安 克鲁格玩古币时,手会沾上墨水,他用透明胶带上的指纹打开第一道门(在现实中是不可能的)。
生物特征认证是指采用每个人独一无二的生物特征来验证用户身份的技术。利用生物特征的主要手段就是生物识别技术,生物识别技术是指通过计算机利用人体固有的生理特征或者行为特征来进行身份鉴定的过程。由于生物特征本身与传统的密码等身份鉴别相比,具有很大的优点,因此得到了广泛而深入的研究和应用。
目前较常用来进行身份鉴别的生物特征有:面像、指纹、虹膜、声纹、步态、签名等。从理论上说,生物特征认证是最可靠的身份认证方式,因为它直接使用人的物理特征来表示每一个人的数字身份,不同的人具有相同生物特征的可能性可以忽略不计,因此几乎不可能被仿冒。
在前几年,生物特征认证基于生物特征识别技术,受到现在的生物特征识别技术成熟度的影响,采用生物特征认证还具有较大的局限性。首先,生物特征识别的准确性和稳定性还有待提高,特别是如果用户身体受到伤病或污渍的影响,往往导致无法正常识别,造成合法用户无法登录的情况。其次,由于研发投入较大和产量较小的原因,生物特征认证系统的成本非常高,无法做到大面积推广。
随着这项技术的不断成熟,其造价也逐步下降,于是出现了指纹识别笔记本、指纹U盘、指纹加密器等产品。生物识别技术与电脑技术的紧密结合,满足了现代企业保护数据的安全和可靠性管理的需求,特别为企业管理人员等对公司机密接触较多的人员,提供了更好的信息安全解决方案。对系统管理员、IT程序员以及各类设计创意人员来说,对于自己的工作机密,也有了更安全的管理方式。同时还可以为私人使用者提供有价值的服务,保护不愿他人知晓的个人资料。
事实上,关注扩大产品线和降低价格,以加速指纹产品全民应用时代来临的例子已然出现:256M的指纹U盘如见的市场价格也就几百元。在信息价值已大于硬件价格的前提下,生物识别产品的市场和应用前景无疑巨大。