物聯(lián)傳媒 旗下網(wǎng)站
登錄 注冊

生物識別:身份認(rèn)證第五張“王牌”

作者:RFID世界網(wǎng) 收編
來源:中國計(jì)算機(jī)安全
日期:2009-09-29 11:36:44
摘要:身份認(rèn)證用于解決訪問者的物理身份和數(shù)字身份的一致性問題,給其他安全技術(shù)提供權(quán)限管理的依據(jù),而防火墻等技術(shù)針對數(shù)字身份進(jìn)行權(quán)限管理,解決數(shù)字身份能干什么的問題。由此可見,身份鑒別和認(rèn)證是整個信息安全體系的基礎(chǔ)。
  在信息化虛擬世界的信息安全體系中,身份認(rèn)證更是最為核心的一環(huán)。如果把信息安全體系看作一個木桶,那么防火墻、入侵檢測、VPN、安全網(wǎng)關(guān)等就是木桶的壁板,身份認(rèn)證就相當(dāng)于木桶底。可以說,身份認(rèn)證用于解決訪問者的物理身份和數(shù)字身份的一致性問題,給其他安全技術(shù)提供權(quán)限管理的依據(jù),而防火墻等技術(shù)針對數(shù)字身份進(jìn)行權(quán)限管理,解決數(shù)字身份能干什么的問題。由此可見,身份鑒別和認(rèn)證是整個信息安全體系的基礎(chǔ)。
  
  那么,現(xiàn)在有什么方式打造身份認(rèn)證的安全防線?未來又會有什么樣的趨勢?
  
  基本套路:身份認(rèn)證安全“三板斧”
  
  身份鑒別是用戶向系統(tǒng)出示自己身份證明的過程。身份認(rèn)證是系統(tǒng)查核用戶身份證明的過程。這兩個過程是判明和確認(rèn)通信雙方真實(shí)身份的兩個重要環(huán)節(jié),人們常把這兩項(xiàng)工作統(tǒng)稱為身份鑒別驗(yàn)證(或身份驗(yàn)證、或身份認(rèn)證、或身份鑒別)。
  
  計(jì)算機(jī)和計(jì)算機(jī)網(wǎng)絡(luò)組成了一個虛擬的數(shù)字世界。在數(shù)字世界中,一切信息包括用戶的身份信息都是由一組特定的數(shù)據(jù)表示,計(jì)算機(jī)只能識別用戶的數(shù)字身份,給用戶的授權(quán)也是針對用戶數(shù)字身份進(jìn)行的。而我們生活的現(xiàn)實(shí)世界是一個真實(shí)的物理世界,每個人都擁有獨(dú)一無二的物理身份。如何保證以數(shù)字身份進(jìn)行操作的訪問者就是這個數(shù)字身份的合法擁有者,即如何保證操作者的物理身份與數(shù)字身份相對應(yīng),就成為一個重要的安全問題。身份認(rèn)證技術(shù)的誕生就是為了解決這個問題。
  
  如何通過技術(shù)手段保證物理身份與數(shù)字身份相對應(yīng)呢?在真實(shí)世界中,驗(yàn)證一個人的身份主要通過三種方式:一是根據(jù)你所知道的信息來證明身份(what you know),假設(shè)某些信息只有某人知道,比如暗號等,通過詢問這個信息就可以確認(rèn)此人的身份;二是根據(jù)你所擁有的物品來證明身份(what you have),假設(shè)某一物品只有某人才有,比如印章等,通過出示該物品也可以確認(rèn)個人的身份;三是直接根據(jù)你獨(dú)一無二的身體特征來證明身份(who you are),比如指紋、面貌等。不過,你所知道的信息有可能被泄露或者還有其他人知道,你所擁有的物品或能丟失、被盜竊或被復(fù)制,因此僅憑一個人擁有的信息或物品判斷其身份是不可靠的。
  
  從是否使用硬件來看,身份認(rèn)證技術(shù)可以分為軟件認(rèn)證和硬件認(rèn)證;從認(rèn)證需要驗(yàn)證的條件來看,身份認(rèn)證技術(shù)還可以分為單因子認(rèn)證和雙因子認(rèn)證。僅通過一個條件來驗(yàn)證一個人的身份的技術(shù)稱為單因子認(rèn)證。由于只使用一種條件判斷用戶的身份,單因子認(rèn)證很容易被仿冒。雙因子認(rèn)證通過組合兩種不同條件(如通過密碼和芯片組合)來證明一個人的身份,安全性有了明顯提高;從認(rèn)證信息來看,身份認(rèn)證技術(shù)還可以分為靜態(tài)認(rèn)證和動態(tài)認(rèn)證等。
  
  組合防護(hù):身份認(rèn)證五大常見方式
  
  現(xiàn)在計(jì)算機(jī)及網(wǎng)絡(luò)系統(tǒng)中常用的身份認(rèn)證方式主要有用戶名+密碼方式、IC卡認(rèn)證方式、動態(tài)口令方式、USB Key認(rèn)證方式、生物識別認(rèn)證方式等。
  
  第一類——用戶名+密碼方式
  
  用戶名+密碼是最簡單也是最常用的身份認(rèn)證方法,是基于“what you know”的驗(yàn)證手段。每個用戶的密碼是由用戶自己設(shè)定的,只有用戶自己才知道。只要能夠正確輸入密碼,計(jì)算機(jī)就認(rèn)為操作者就是合法用戶。實(shí)際上,由于許多用戶為了防止忘記密碼,經(jīng)常采用諸如生日、電話號碼等容易被猜測的字符串作為密碼,或者把密碼抄在紙上放在一個自認(rèn)為安全的地方,這樣很容易造成密碼泄漏。即使能保證用戶密碼不被泄漏,由于密碼是靜態(tài)的數(shù)據(jù),在驗(yàn)證過程中需要在計(jì)算機(jī)內(nèi)存中和網(wǎng)絡(luò)中傳輸,而每次驗(yàn)證使用的驗(yàn)證信息都是相同的,很容易被駐留在計(jì)算機(jī)內(nèi)存中的木馬程序或網(wǎng)絡(luò)中的監(jiān)聽設(shè)備截獲。因此用戶名+密碼方式一種是極不安全的身份認(rèn)證方式。
  
  這種身份認(rèn)證的加密方式,已經(jīng)基本上沒有專業(yè)安全廠商來做了,它已經(jīng)成為一般的應(yīng)用軟件必備的功能模塊之一。
  
  第二類——IC卡認(rèn)證方式
  
  IC卡是一種內(nèi)置集成電路的芯片,芯片中存有與用戶身份相關(guān)的數(shù)據(jù),IC卡由專門的廠商通過專門的設(shè)備生產(chǎn)的硬件。IC卡由合法用戶隨身攜帶,登錄時必須將IC卡插入專用的讀卡器讀取其中的信息,以驗(yàn)證用戶的身份。IC卡認(rèn)證是基于“what you have”的手段,通過IC卡硬件不易復(fù)制性來保證用戶身份不會被仿冒。然而由于每次從IC卡中讀取的數(shù)據(jù)是靜態(tài)的,通過內(nèi)存掃描或網(wǎng)絡(luò)監(jiān)聽等技術(shù)還是很容易截取到用戶的身份驗(yàn)證信息,或者IC卡丟失和被盜用,導(dǎo)致非法用戶變成合法用戶進(jìn)行信息系統(tǒng),因此還是存在安全隱患。
  
  此類身份認(rèn)證主要應(yīng)用于一般的低密級要求的社會生活中,因?yàn)榧夹g(shù)門檻日益降低,而且社會化市場也比較大,應(yīng)用比較廣泛,因此已經(jīng)產(chǎn)生一大批IC卡廠商,其中復(fù)旦微電子等幾家芯片公司是目前國內(nèi)市場領(lǐng)先的IC卡芯片供應(yīng)商。
  
  第三類——動態(tài)口令方式
  
  動態(tài)口令技術(shù)是一種讓用戶密碼按照時間或使用次數(shù)不斷變化、每個密碼只能使用一次的技術(shù)。它采用一種叫做動態(tài)令牌的專用硬件,內(nèi)置電源、密碼生成芯片和顯示屏,密碼生成芯片運(yùn)行專門的密碼算法,根據(jù)當(dāng)前時間或使用次數(shù)生成當(dāng)前密碼并顯示在顯示屏上。認(rèn)證服務(wù)器采用相同的算法計(jì)算當(dāng)前的有效密碼。用戶使用時只需要將動態(tài)令牌上顯示的當(dāng)前密碼輸入客戶端計(jì)算機(jī),即可實(shí)現(xiàn)身份認(rèn)證。由于每次使用的密碼必須由動態(tài)令牌來產(chǎn)生,只有合法用戶才持有該硬件,所以只要通過密碼驗(yàn)證就可以認(rèn)為該用戶的身份是可靠的。而用戶每次使用的密碼都不相同,即使黑客截獲了一次密碼,也無法利用這個密碼來仿冒合法用戶的身份。
  
  動態(tài)口令技術(shù)采用一次一密的方法,有效保證了用戶身份的安全性。但是如果客戶端與服務(wù)器端的時間或次數(shù)不能保持良好的同步,就可能發(fā)生合法用戶無法登錄的問題。并且用戶每次登錄時需要通過鍵盤輸入一長串無規(guī)律的密碼,如果輸入錯誤就要重新操作,使用起來非常不方便。同樣這種動態(tài)令牌的專用硬件也會丟失或被盜用,存在一定的安全隱患。因?yàn)橄鄬?fù)雜和不便捷,目前此類身份認(rèn)證技術(shù)在國內(nèi)相對市場不大,比較有名的國外的RSA和國內(nèi)的華安信達(dá)等一批安全廠商。
  
  第四類——USB Key認(rèn)證方式
  
  基于USB Key的身份認(rèn)證方式是近幾年發(fā)展起來的一種方便、安全的身份認(rèn)證技術(shù)。它采用軟硬件相結(jié)合、一次一密的強(qiáng)雙因子認(rèn)證模式,很好地解決了安全性與易用性之間的矛盾。USB Key是一種USB接口的硬件設(shè)備,它內(nèi)置單片機(jī)或智能卡芯片,可以存儲用戶的密鑰或數(shù)字證書,利用USB Key內(nèi)置的密碼算法實(shí)現(xiàn)對用戶身份的認(rèn)證?;赨SB Key身份認(rèn)證系統(tǒng)主要有兩種應(yīng)用模式:一是基于沖擊/響應(yīng)的認(rèn)證模式,二是基于PKI體系的認(rèn)證模式。
  
  每個USB Key硬件都具有用戶PIN碼,以實(shí)現(xiàn)雙因子認(rèn)證功能。USB Key內(nèi)置單向散列算法(MD5),預(yù)先在USB Key和服務(wù)器中存儲一個證明用戶身份的密鑰,當(dāng)需要在網(wǎng)絡(luò)上驗(yàn)證用戶身份時,先由客戶端向服務(wù)器發(fā)出一個驗(yàn)證請求。服務(wù)器接到此請求后生成一個隨機(jī)數(shù)并通過網(wǎng)絡(luò)傳輸給客戶端(此為沖擊)??蛻舳藢⑹盏降碾S機(jī)數(shù)提供給插在客戶端上的USB Key,由USB Key使用該隨機(jī)數(shù)與存儲在USB Key中的密鑰進(jìn)行帶密鑰的單向散列運(yùn)算(HMAC-MD5)并得到一個結(jié)果作為認(rèn)證證據(jù)傳送給服務(wù)器(此為響應(yīng))。與此同時,服務(wù)器使用該隨機(jī)數(shù)與存儲在服務(wù)器數(shù)據(jù)庫中的該客戶密鑰進(jìn)行HMAC-MD5運(yùn)算,如果服務(wù)器的運(yùn)算結(jié)果與客戶端傳回的響應(yīng)結(jié)果相同,則認(rèn)為客戶端是一個合法用戶。同樣這種USB Key硬件和用戶使用的PIN碼也會丟失或被盜用,并且存于硬件內(nèi)的數(shù)字證書(通常為私鑰)正常情況下在數(shù)字認(rèn)中心有備份,也在存在一定的安全隱患。
  
  目前國內(nèi)市場主要金融領(lǐng)域應(yīng)用較廣,以國外的SafeNet和國內(nèi)的飛天誠信等企業(yè)市場份額相對較大。
  
  第五類——生物識別認(rèn)證方式
  
  生物識別認(rèn)證是指采用每個人獨(dú)一無二的生物特征來驗(yàn)證用戶身份的技術(shù),又稱生物特征認(rèn)證。從理論上說,生物特征認(rèn)證是最可靠的身份認(rèn)證方式,因?yàn)樗苯邮褂萌说奈锢硖卣鱽肀硎久恳粋€人的數(shù)字身份,不同的人具有不同的生物特征,因此幾乎不可能被仿冒和復(fù)制。
   
  生物識別技術(shù)主要是通過可測量的身體或行為等生物特征進(jìn)行身份認(rèn)證的一種技術(shù);而生物特征是指唯一的可以測量或可自動識別和驗(yàn)證的生理特征或行為方式。生物特征分為身體特征和行為特征兩類。身體特征包括:指紋、掌型、視網(wǎng)膜、虹膜、人體氣味、臉型、手的血管、骨骼和DNA等;行為特征包括:簽名、語音、行走步態(tài)等。
  
  生物識別技術(shù)在“9•11”事件發(fā)生后,由于在身份鑒別上發(fā)生的重大漏洞,引起美國及西方各國高度重視。美國曾經(jīng)連續(xù)簽署了3個國家安全法案(愛國者法案、航空安全法案、邊境簽證法案),要求必須采用生物認(rèn)證技術(shù)。于是基于指紋識別的生物識別技術(shù)的個人身份驗(yàn)證方法,得到了發(fā)展。全球領(lǐng)先的生物識別技術(shù)提供商亞略特科技創(chuàng)始人邵宇認(rèn)為:“由于指紋識別技術(shù)利用人體本身固有的生物特征,與傳統(tǒng)的方法完全不同,具有唯一性、不存在丟失、遺忘或被偽造等問題,用它進(jìn)行身份驗(yàn)證,具有更好的安全性、可靠性和有效性?!?
  
  由于生物識別市場剛剛興起,而且技術(shù)門檻比較高,目前相對有實(shí)力的廠商不多,國外以UPek為代表,國內(nèi)以深圳亞略特和無錫指網(wǎng)科技為代表,其中作為中國最早一批從事生物識別指紋識別技術(shù)研究的亞略特研究院專家團(tuán)隊(duì),更是已經(jīng)將本土生物識別技術(shù)打到了國際市場。