时间:2022-09-29 22:34:26
关键词:身份认证 手机 数字证书 蓝牙传输协议
中图分类号:TP39文献标识码:A 文章编号:1007-3973 (2010) 05-044-02
1前 言
随着信息与计算机网络技术的发展,人类已经迎来了信息时代。互连网的发展大大的改变了人们的生活。然而随着这些新技术的日益普及,爆发出来的信息安全问题也越来越突出。在享受互连网带给人们便捷的同时,这把双刃剑也让人们感受到了严峻的考验。大量的通过计算机网络所实施的犯罪行为,让人们防不胜防。人们有必要对采用更为安全的技术手段来保护自己的敏感信息和交易不被未经过授权的他人截获和盗取。其中最重要的一个措施就是采用身份认证技术。
2 常见身份认证方式分析
身份认证的范围较广,没有统一的分类方法,根据身份认证的发展情况和认证方式的不同可以大致分为以下几类:
2.1用户名+口令的认证方式
这是最简单,最容易实现的认证技术,其优点在于操作简单,不需要任何附加设施,且成本低速度快。但是其缺点是安全性差,属于单因子软件认证的方式。抗猜测攻击性差,系统保存的是口令的明文形式,一旦被攻破,系统将受大极大威胁。这种认证方式属于弱认证方式。
2.2 依靠生物特征识别的认证方式
生物特征识别的认证方式,是为了进行身份识别而采用自动化技术测量人的生物特征,并将该特征与数据库的特征数据进行比较,从而完成身份识别的方式。因为不同的人具有的相同的生物特征的可能性是可以忽略不计的。所以从理论上来说,生物特征识别方式是最可靠的身份识别方式。它是以人的唯一的,可靠的,稳定的特征为依据的。目前比较成熟的可用于计算机系统的生物特征识别技术有:
(1)指纹身份认证技术。通过分析指纹的全局或者局部特征,抽取详尽的特征值来确认身份;
(2) 声纹身份识别技术。也称语音身份识别技术;
(3)虹膜身份认证技术。虹膜是人眼瞳孔和眼白之间的环壮组织。是人眼的可视部分。是最可靠的人体终身身份标识。虹膜识别在采集和精准度方式具有明显的优势;
(4)签名身份认证技术。是将人的手写速度,笔顺,压力和图象等人的个性化特征进行比对。是全新的生物特征认证技术。它不用记忆,方便,易为人接受。可用于计算机登录,信息网如网,信用卡签字等等。
生物特征识别的认证方式,虽然具有,不易遗忘丢失,防伪性能好,随是随地可用,不易伪造或者被盗等优点。但是它还有一系列暂时不能克服的缺点。表现在;技术不完全成熟,生物识别的准确性和稳定性急待提高。研发成本高,产量小和识别设备成本高,现阶段难以推广和大规模应用,对识别正确率没有确切的结论,难以做到真正的唯一性,和安全性。
2.3基于Kerberos的认证方式
Kerberos是一种秘密密钥网络认证协议。是由美国麻省理工学院(MIT)开发的一项身份认证技术。它的思路对后来的身份认证研究产生了很大的影响。它使用了数据加密标准DES(Data Encryption Standard)加密算法来进行加密和认证。Kerberos 设计的主要目的是解决在分布网络环境下,服务器如何对使用某台工作站接入的用户进行身份认证。Kerberos的安全不依赖于用户登录的主机,而是依赖于几个认证服务器。分别是:认证服务器(AS),用于验证用户登录时的身份。票据发放服务器(TGS),发放身份许可证明。服务提供服务器(Server),客户请求工作的执行者。
如下图所示:
基于Kerberos认证方式的缺点:
(1) 它是以对称的DES加密算法为基础,这使得在密钥的交换,保存,管理上存在着较大的安全隐患。
(2)Kerberos不能有效的防止字典攻击。并且防止口令猜测攻击的能力是很弱的。因为Kerberos的协议模型未对口令提供额外的保护。黑客或者攻击者可以收集大量的许可证,通过有些计算和密钥分析,进行口令猜测。倘若用户选择的口令不强,则容易被攻破。
(3)Kerberos协议最初设计是用来提供认证和密钥交换的。不能用它来进行数字签名,没有提供不可抵赖性的机制。
(4)在分布式系统中,认证中心错终复杂,域间的会话密钥太多,给密钥的管理,分配带来麻烦。
2.4基于PKI的身份认证方式
PKI(Pubic Key Infrastructure)公钥基础设施是一种遵循一定标准的密钥管理平台。能够为目前所有的网络应用透明的提供采用加密和数字签名等密码服务所必需的密钥管理和证书管理。它是现代电子商务和信息安全系统的主要技术之一。PKI做为新发展的安全技术和安全服务规范。不仅能确保网络数据的机密性,完整性,可用性,同时也可以解决通信双方身份的真实性问题。基于PKI的数字证书认证方式可以有效的保护用户的身份安全和数据安全。在基于证书的安全通信中,数字证书是证明用户身份合法和提供合法公钥的凭证。是建立保密通信的基础。因此数字证书的存储与管理显得非常重要。本文正是在PKI体系的基础上利用手机做为数字证书的载体,来实现对用户身份的认证。
3基于手机的身份认证方式
基于手机的身份认证是基于PKI的身份认证方式的一种改进或者说发展。为了更方便的说明这种认证方式的意义以及原理,特从以下几个方面进行分析。
3.1现实需求分析
基于PKI的身份认证方式是现阶段公认的保障信息网络社会安全的最佳体系,是信息安全的核心。数字证书的权威性和不可否任是PKI体系的基础。目前,国内外通常的做法是利用USBKey 做为数字证书的载体。例如中国建设银行使用的网银盾,中国工商银行推出的U盾等。他们都是将数字证书存储在USB Key中。其优点是较为安全可靠。但其缺点是管理较为麻烦,携带起来容易丢失。另外由于其工作原理是将数字证书固化在U盘里,证书不能实现远距离更新,实际使用起来,还是比较麻烦。目前很多公司和机构都开始研究下一代的证书存储工具。本论文正是在这样一个现状探索性采用人们常用的手机来作为数字证书的存储和管理工具。并以此展开思考和研究。
3.2理论基础
PKI(Public Key Infrastructure )公钥基础设施,它是一种遵循既定标准的密钥管理平台,它能够为所有网络应用提供数据加密和数字签名等密码服务及所必需的密钥和证书管理体系一种重要的身份认证技术。是简单来说,PKI就是利用公钥理论和技术建立的提供安全服务的基础设施。PKI技术是信息安全技术的核心,也是电子商务的关键和基础技术。PKI以公钥密码技术为基础,数字证书为媒介,结合对称加密和非对称加密技术,将个人的标识信息与各自的公钥绑在一起,其主要目的是通过管理密钥和证书,为用户建立起一个安全、可信的网络运行环境,使用户可以在多种应用环境下方便地使用加密和数字签名技术在客户端上验证用户的身份,从而保证了互联网上所传输信息的真实性、完整性、机密性和不可否认性。
3.3 研究方案及系统组成
计算机要能准确认证用户的身份,必须能准确的识别用户手机中的数字证书。其中将数字证书从手机中导入到计算机上中是借助蓝牙技术(也可以是红外技术)提供的数据传输通道。并且因为数字证书是通过蓝牙技术无线传输的,必须给这个通道加密,防止被非法用户窃取。系统组成如下图所示:
3.4关键问题及其解决方案
3.4.1系统中的关键问题
基于手机的身份认证是依赖于手机这个载体,以数字证书为媒介,最终需要保证计算机对手机中的数字证书准确识别。并且整个信息交换不被非授权的第三方截获。因此整个系统有以下两个关键问题。
(1)数字证书在手机中的安全性问题。数字证书是存放在手机的SD卡上的,要保证数字证书能方便的写入到SD卡中,并使其具有加密功能,在遗失,被盗的情况下仍能确保数字证书不被非法利用。
(2)计算机要识别手机上的数字证书,或者说信息要在手机和计算机之间安全传递,必须有一个安全的通道。虽然可以借助他们本身都带有的蓝牙功能,并且蓝牙具有抗干扰性强,成本低的特点。但是仍不能保证信息传递的绝对安全。还需要设计一传输协议来给他们之间的信息传递提供一个安全通道。
3.4.2关键问题的解决方案
(1)对于数字证书在手机中安全存储的问题,可以考虑采用加密SD卡的方法。Sandisk 公司近期研发了一种称为TrustedFlash 的新技术,可以在SD,Micro SD卡上实现加密。
a.安全加密:根据需要,可设定不同的加密方式和权限,支持采用AES,DESB和3DES的对称密钥身份验证及基于X。509证书链的RSAC非对称密钥身份验证。
b.支持数字版权管理(DRM):可在支持硬件加密技术的不同主机间实现移动。
c.具有硬件加密技术的主机向下兼容常规的存储卡,而硬件加密卡在非保护区域也可作为常规卡使用。
d.主机(如手机)只需要升级软件来支持硬件加密技术,不需要增加和更改硬件。主要应用于数据安全存取,身份认证及移动电子商务。
(2) 对于传输通道的设计。可以借鉴当前的密码协议SSL协议。SSL即安全套接字层(Secure Socket Layer)。它是网景公司(Netscape)开发的,主要应用于保障Internet上数据传输之安全。SSL协议可以分为两层:SSL记录协议和SSL握手协议。提供主要服务有:①认证用户和服务器,确保数据发送到正确的客户机和服务器;②加密数据以防止数据中途被窃取;③维护数据的完整性,确保数据在传输过程中不被改变。认证工作流程为:1)客户端(C)向服务器(S)发送一个会话请求信息“你好”2)服务器根据客户的信息确定是否需要生成新的主密钥,如需要则服务器在响应客户的“你好”信息时将包含生成主密钥所需的信息;3)客户根据收到的服务器响应信息,产生一个主密钥,并用服务器的公开密钥加密后传给服务器;4)服务器恢复该主密钥,并返回给客户一个用主密钥认证的信息,以此让客户认证服务器。同样手机和计算机之间的通信过程和上面相似。只是SSL是同过有线连接传递数据,而本系统是通过蓝牙技术无线传递,其工作原理完全相同。
4小结与展望
本文开头阐述了常见的身份认证的方式,并分析了它们的优缺点。 目的是为了说明基于手机的身份认证在整个身份认证体系中所在的位置。随着手机业务的不断发展。现在的手机已经不仅是局限于传统的通话业务。越来越多的智能手机投入市场。它们大多可以安装小型的操作系统具有较强的处理能力,如Symbian 、Windows mobile、Linux等手机操作系统。这就为基于手机的身份认证提供了很好的工具和平台。可以预见USBKEY的功能将会被手机取代。基于手机的身份认证技术将能更好的服务于人民的生活。
参考文献:
[1]冯国柱. PKI关键技术研究及其应用[D].长沙:国防科学技术大学,2006.
[2]赵小沫. 基于SSL的数据库安全研究及实现[D]. 武汉:武汉理工大学,2009.
【 关键词 】 一次性口令;脚本;身份验证
1 引言
口令是计算机用户普遍使用的一种认证方式,被普遍应用于Web系统中。一般的认证体系是使用静态口令进行用户身份验证,即用户网上传输的是重复使用同一个口令登录到系统中。但这种方法还存在许多缺陷,如易猜测、易被窃取、若不加密,能清楚地被看到明文。一次性口令验证方案就是在登录过程中加入不确定因素,使用户每次登录系统时传送的口令都不一样。
GJ.Simmons在1984年提出了认证系统的信息理论,为认证系统的研究奠定了理论基础。认证理论有两个主要目标:一个是推导出欺骗者成功的概率降低;另一个是构造欺骗者成功概率尽可能最小的认证码。一个安全的身份认证系统一般必备几个特征:1)验证者正确识别合法用户的概率极大;2)攻击者伪装成合法用户骗取验证者新人的成功率极小;3)通过重放认证信息进行欺骗和伪装的成功率极小;4)秘密参数能够安全储存;5)第三方可信赖。
身份认证的核心在于主体身份的验证。根据被认证方证明自己身份的不同,现有的身份认证技术都可以从三个方面研究:主体所掌握的秘密信息、主体所拥有的信物信息、主体本身具有独一无二的特征或能力。
目前,已有的身份认证系统有Kerberors认证系统、S/Key认证系统、智能卡认证系统、USBKey认证系统、指纹认证系统等。这些身份认证系统所采用的技术主要有几种。
静态口令。基于文本的用户名/密码方式是目前身份认证系统中应用最普通的认证技术。该技术的主要特点是操作简单、方便易用,并且也有一定的安全性,不便记忆和密码静态不变是这种认证方式的最大弊端。许多用户为了防止忘记密码,偏向于使用易被人联想到字符串作为密码,如名字拼音、电话号码、生日等。这在网络传输中很容易被窃听、截获及冒用。从安全性上来说,这种认证技术是极不安全的。
PKI认证技术。PKI认证的基础是公开密匙加密技术,能够保证传输信息的机密性、真实性、完整性、不可抵赖性,核心是证书的管理,理论是安全的。但PKI系统建设成本高,使用复杂,且存在证书保存的安全问题。
一次性口令。一次性口令OTP的基本原理是在登录过程中加入不确定因素,使每次登录过程中计算所得的密码都不一样。这是当前被认为是最安全的身份认证方式,在每次认证过程中,网络上传输的认证信息都是动态变化的,因此能有效地避免重放攻击,使静态密码在传输过程避免被窃取。但用户密码管理依旧是一次性口令无法忽视的问题,用户一旦不小心泄露了秘密通行短语,非法用户就可以伪装成合法用户的身份进行客户端登录。
生物识别技术。生物识别技术主要是通过可测量的身体或行为等特征进行身份认证的一种技术。生物特征是指唯一可以测量或可自动识别和验证的特征或行为方式。从理论上来说,生物特征认证是最可靠的身份认证方式,因为它直接使用人的物理特征来表示每一个人的数字身份,几乎不可能被仿冒。
相比于传统的身份认证方式,生物识别技术具有无法比拟的优点。生物识别技术使用方便,可不必再记忆和设置密码。其中指纹识别技术是目前发展最成熟的生物识别技术。正是由于生物特征的唯一性,不宜直接使用生物特征进行身份识别,因为一旦生物特征泄露,就会造成个人信息丢失的严重后果。而且,容易受到干扰是单一的生物特征在网络传输和匹配时最大的不足。
2 脚本语言的描述
脚本语言(Script Languages)是为了缩短传统的编写-编译-链接-运行过程而创建的计算机编程语言。早期的脚本语言经常被称为批量处理语言或工作控制语言。一个脚本通常是解释运行而非编译。虽然许多脚本语言都超越了计算机简单任务自动化的领域,成熟到可以编写精巧的程序,但仍然还是被称为脚本。几乎所有计算机系统的各个层次都有一种脚本语言。包括操作系统层,如计算机游戏、网络应用程序、字处理文档、网络软件等。在许多方面,高级编程语言和脚本语言之间互相交叉,二者之间没有明确的界限。一个脚本可以使得本来要用键盘进行的相互操作自动化。一个Shell脚本主要由原本需要在命令行输入的命令组成,或在一个文本编辑器中,用户可以使用脚本来把一些常用的操作组合成一组序列。很多脚本语言实际上已经超过简单的用户命令序列的指令,还可以编写更复杂的程序。
常见的有脚本语言有Java Script、VB Script、Perl、PHP、Python、Ruby、Lua。
脚本语言的特点是语法简单,一般以文本形式保存,并且不需要编译成目标程序,在调用的时候直接解释。这可以是脚本语言的判断标准,比如说JavaScript,你只需要用记事本新建一个Html文件,在里面加上一段脚本就可以了,在浏览器打开Html文件时自然会调用JS脚本。
脚本语言开发速度快、容易部署、易学易用,同已有技术的集成而能够有效地利用代码。
3 基于脚本的一次性口令实现
在网络应用系统中,身份验证是所有涉及安全性的一个必须环节。网站开发时可以利用以下方法来实现身份验证。
在身份验证的页面中设计一个表单,其中包含用户名和密码两个域。提交表单时浏览器将用户名和密码信息传给服务器,通过验证用户名和密码来判断该用户是否合法。这是最常见也是最简单的一种方案,但是安全性极低。因为使用这种方法时,用户名和密码都是以明文的形式在网上传输。一个在网络上运行的嗅探器很容易其网段的所有数据报文捕获,也包括用户的密码。
在使用一次性口令实现上面的过程之前,需将用户的相关信息保存到服务器端,其中包括用户ID的哈希值和秘密通行短语。一次性口令的认证过程需要在客户端进行很多的运算,这些运算将在客户端通过嵌入在HTML页面中的JavaScript代码计算实现,包括随机数产生、异或运算和哈希值。
挑战/应答方式是动态口令身份认证的方式之一。作为动态的身份认证,必须有一个动态因子:对挑战/应答方式来说就是客户向认证服务器发出请求,要求进行身份认证(登录);当服务器接收到用户发来的请求信息后产生一个挑战信息(随机数)发给用户,用户在客户端输入秘密通行短语并由一次性口令计算器产生一个OTP,服务器通过此OTP验证用户,验证成功后,下次验证则使用新生成的OTP。虽然挑战/应答方案存在一些不足,但其优点明显:易于在网络环境下用纯软件方式实现;可以通过秘密密钥鉴别,密钥不用在网络传送;认证机制灵活。
4 一次性口令的安全性分析
一次性口令对于用户口令泄露有很好的防范作用。在用户每次登录时,虽然用户在键盘上输入的内容是固定的用户密码,但每次网上传送的用户口令都会改变,。这种相对安全的用户登录模式让口令在网络的传输过程中的验证信息不会重复。
在一次性口令系统中,用户登录过程中所使用的口令是不重复的,每次都不一样。既避免了截取/重放攻击的威胁,又能缓解用户某一次登录时口令泄露带来的危险。
用户登录时的身份验证需要同时具备用户ID、用户口令、以及由一次性口令产生器提供的额外验证码等几个条件,实际上就是把用户身份验证信息进行分解。服务器收到用户ID、口令之后按照确定的算法进行验算,将用户提供的条件合并,最终得出用户身份合法或不合法的结果。
首先,一次性口令的实现是用户在登录时产生的登录认证信息每次都不一样,为了使认证信息产生变化,我们引入一些随机因素,它可以是时间、也可以是系统产生的随机数。
其次,为了防止用户口令通过网络泄露而引发各种安全问题,在每次登录后,使用户的口令产生变化。攻击者在得到用户的口令后,由于口令只能使用一次,他就无法将得到的口令直接用于登录系统。
最后,在用户向系统提交验证信息时,系统将对验证信息进行验算,并将验算结果传送到服务器端。服务器在收到用户提交的运算值后,进行相同的运算后将得出的值进行比较,若符合则表示用户合法,允许其登录。
整个系统的特点是在认证用户身份和同步一次性口令的过程中运用了单向函数,对口令及其密钥进行保护。窃听者得到正确口令或密钥的方法只有对该函数进行攻击,但是基于该函数的单向性特点,这项工作是很难完成的。经过多重的函数运算后,要求解出正确的函数是基本不可能的。
在系统中,对用户的认证信息进行了分解,将其分成了两部分:即用户口令和密钥,他们的合并是通过随机数函数运算完成的。攻击者在得到其中的一部分之后,都必须想办法得到另一部分才能通过服务器验证。这样,就提高了系统对用户认证的安全性。
程序实现了单机环境下,用户使用一次性口令登录,以及密钥文件的自动同步。对于系统中客户口令及密钥文件的储存方式、用户口令的更改,因涉及到具体的不同系统中,因此可采用多种方式来实现。
5 结束语
一个系统的安全性不仅体现在其运行时,还体现在其是否有完备的认证机制。一个好的口令对于保证用户数据的完整性、可靠性以及安全性都十分重要。
口令是广泛采用的认证形式之一,本文通过分析身份认证的一般实现方式,提出了基于脚本的一次性口令系统研究与实现的新的设计理念,提高了Web应用系统的安全性。
参考文献
[1] 百度百科.
[2] 方 俊. 一种基于挑战/应答模式的身份认证系统的研究与实现. 计算机时代,2009. 04.
[3] 雷超,雷劲.基于脚本级的一次性口令系统的实现.计算机应用, 2001年07期.
[4] 吴和生,范训礼,谢俊元. 环境下一次性口令身份认证的研究与实现.计算机科学.,2003.
[5] 卢开澄.计算机密码学—计算机网络中的数据保密与安全.清华大学出版社,2003.
[6] 王勇.随机函数及其在密码学中的应用研究[J].信息网络安全,2012,(03):17-18.
[7] 余幸杰,高能,江伟玉.云计算中的身份认证技术研究[J].信息网络安全,2012,(08):71-74.
[8] 向永谦,陈建华.一种基于身份的三方认证密钥交换协议[J].信息网络安全,2012,(11):32-35.
【 关键词 】 互联网;信息安全;账号密码;身份认证
Security Investigation on the Internet Users’ Accounts and Passwords
Xie Jin 1 Liu Fan-bao 2 Xie Tao 2
(1.The First High School of Changsha HunanChangsha 410005;
2. School of Computer Science, National University of Defense Technology HunanChangsha 410073)
【 Abstract 】 Being directed against the basic problem of information security, i.e. the security of the Internet users’ accounts and their corresponding passwords, an investigation on the security level of inland network identity authentication has been carried on for 3 years. The investigation focuses on testing the security mechanisms applied in the registration (create a new account) and sign-in procedures of some dominant inland Internet Email service providers, and testing the security mechanisms applied in the registration and sign-in procedures of some dominant inland Internet E-Business service providers. To make comparisons on the security mechanism with overseas Internet Email service providers, similar tests have also been carried out on the three dominant Internet Email service providers, namely Hotmail, Gmail and Yahoo!Mail. Research results show that, China’s current information security can be leveled as very severe, so that some emergent measures must be taken to hold up the network security as soon as possible, and the first and foremost remedy is not to send a user’s username\password over the circuit “in the clear” any more.
【 Keywords 】 internet;information security; account password; identity authentication
1 引言
与历史上改变人类生活方式的重大技术革命一样,网络技术已经成为一把名副其实的双刃剑。从模拟信号到数字信号、从有线连接到无线连接、从静止通讯到移动通讯、从单计算机应用到多计算机互联、从人-人互联到人-物与物-物互联,网络技术发展到今天,已经无处不在、不可或缺。但由于因特网的基础协议(TCP/IP)未考虑信息安全因素,使得在网络信息技术飞速发展的今天,安全问题也异常突出。网络账号密码泄密、网络阻塞、网站瘫痪、邮件伪造、黑客入侵、网络欺诈、假冒网站等信息安全问题,已经严重威胁电子金融、电子商务、电子政务、网络媒体、网络社交等互联网络服务的安全与信任问题。
愈演愈烈的“密码危机”已经演变成为对网络技术的信任危机。近年来,互联网用户信息泄露与入侵事件层出不穷,事件日益严重。例如,索尼上亿用户信息泄露,韩国SK通讯公司七成韩国人资料遭泄露,日本爱普生公司泄露3500万用户信息,美国银行与美国花旗银行信用卡信息遭泄露,华盛顿邮报百万用户信息遭泄露…… 近年来,我国也发生了史上最为严重的用户信息泄露事件。2011年12月,CSDN上600万用户资料被公开,知名团购网站美团网的用户账号密码信息也被宣告泄露,天涯社区、开心网、7K7K、猫扑等多个社区和游戏网站的用户数据相继外泄,网上公开暴露的网络账号密码超过1亿个。2013年3月,著名云笔记服务提供商Evernote 5000万用户身份密码遭黑客泄漏。 2014年12月,中国铁路客户服务中心12306用户数据在互联网遭到大量泄漏,包括用户账号、明文密码、身份证以及邮箱等。如何确保互联网上个人、组织、服务和设备之间的虚拟服务具有与现实服务同等的可靠度与诚信度,已成为网络安全行业在信息安全理论、技术、工程与管理上迫在眉睫、义不容辞的责任与使命。
身份认证是网络信息安全的基本保障。网络服务器通过身份认证与访问控制方式对合法注册用户进行授权与管理。用户首先通过注册(账号与密码)成为网络服务器的合法用户,只有通过身份认证的用户才能访问/使用(阅读、修改、下载等)网络服务器相应角色的资源。身份认证与访问控制是网络信息安全的基本技术和基本研究内容。网络信息安全涉及计算机操作系统、互联网络安全协议与密码算法的安全性,其中网络安全协议以密码算法为基础,采用网络协议的形式实现两个以上网络实体之间的远程身份认证、密钥协商以及确保消息的不可抵赖性。安全协议的安全性不仅取决于密码算法自身的安全性,同时也取决于协议形式的安全性。身份认证协议常用攻击方法包括网络监听、重放攻击、中间人攻击、在线攻击、离线攻击等等,一个不安全的身份认证协议可以被黑客利用进行网络攻击。因此,身份认证协议的安全性是确保网络身份认证安全的技术基础。
2 电子邮件系统与商业网站账号安全
我们首先对每个电子邮箱的三种登录方式分别进行了用户账号密码的传输方式测试,包括POP3登录方式、IMAP登录方式以及Web登录方式。然后,对每个电子邮箱注册服务过程中用户注册信息的传输方式进行测试。
2.1 电子邮箱POP3客户端登录安全方式调查
我们在2011年8月的调查结果表明,采用POP3客户端登录方式的所有国内电子邮件服务提供方默认使用明文密码进行用户身份认证,而且其中46%的境内邮件服务提供方(28家中的13家)仅支持明文密码认证。我们在2012年8月的调查结果表明,采用POP3客户端登录方式的所有境内电子邮件服务提供方仍然默认使用明文密码进行用户身份认证,而且其中39%的境内邮件服务提供方(28家中的11家)仅支持明文密码认证。一年期间,中国移动的139mail新增HTTPS支持,Tommail新增Login支持。此点说明,已经有境内电子邮件服务提供方开始认识到用户登录身份认证安全的重要性。调查统计结果如图1(a)所示。
2.2 电子邮箱IMAP客户端登录安全方式调查
我们在2012年8月的调查结果表明,25%的境内邮件服务提供方(28家中的7家)不支持IMAP客户端登录。在支持IMAP客户端登录的境内电子邮件服务提供方中,所有提供方默认使用明文密码进行用户身份认证,其中33%的提供方(21家中的7家)仅支持明文密码认证。调查统计结果如图1(b)所示。
2.3 电子邮箱Web页面注册与登录安全方式调查
我们在2012年8月的调查结果表明,除亿邮(eyou.mail)关闭了注册功能外,所有境内邮件服务提供方在用户注册过程中均将注册信息(包括账号与密码)以明文方式传输至注册服务器。在已调查的28个境内知名邮件服务提供方中有19个(比例为67.9%)为收费邮件服务(每月收取服务费用从五元至上百元不等),有9个(比例为32.1%)提供免费电子邮件服务。调查结果表明,境内邮件服务商信息安全意识不强,对用户私密信息缺乏足够安全保护。令人震惊的是,19家收费电子邮件系统中竟有16家(比例为84.2%)默认使用明文密码进行登录认证,仅有3家提供非明文密码的登录认证方式,而且其中一家仅仅采用极其简单的线性掩码变换方式对登录密码进行保护,另外两家则采用安全的HTTPS方式对登录过程中的密码传输进行加密保护。由此可见,境内电子邮件系统安全性十分脆弱。在9家免费电子邮件系统中,仅有搜狐旗下的4家提供安全的HTTPS对登录过程的密码传输进行加密保护,另外三个使用用户明文密码进行登录认证,剩余两家使用单向挑战响应认证方式对用户账号密码进行有限保护。根据轻量级(非公开密钥密码系统)动态身份认证方式中认证服务器数据库账号密码必须与用户登录密码一致的原理,可以推定其中使用单向挑战响应认证方式的两家邮件服务商均采用明文密码数据库,因此容易遭受因认证数据库泄密导致的集中泄密风险。调查统计结果如图2所示。
2.4 国外电子邮箱系统安全性调查
作为安全性比较分析,我们对境外三大电子邮箱服务器Hotmail、Gmail和Yahoo!Mail的安全身份认证方式进行了同样的测试工作,结果发现这些邮箱的注册与登录过程全部以安全HTTPS协议方式对用户账号密码信息进行加密传输,基本上没有明文账号密码传输认证方式选项。
境内电子邮件服务提供方仅采用最低安全级别的明文密码传输方式进行身份认证,而境外电子邮件服务方一般提供安全级别很高的口令密码加密传输保护方式。因此,境内电子邮件系统极易受到境内外黑客或者情报部门攻击,并利用用户个人私密信息进行商业牟利或政治与军事渗透活动。重视账号和内容安全的国内电子邮件用户因而转投境外电子邮件提供方。由于我们无法控制国外邮件服务器,而境外情报部门却能轻易控制并利用境内的电子邮箱信息,致使我国在网络信息安全技术领域处于不对称的弱势地位。此外,我国现有网络服务器等网络核心设备一般采用国外主机与操作系统,由网络设备制造方预设的硬件后门和软件后门所导致的安全风险也不容小觑。
2.5 商业网站账号安全性调查
名目繁多的境内互联网商业网站为用户提供购物、旅游、聊天、交友等系列服务,极大便利了广大用户的生活。这些网站数据库中留下了用户的各种私密信息(爱好、消费内容和习惯、交往人群等),如果这些用户信息发生集中泄露事件,用户就毫无隐私可言。2011年12月期间我国系列网站账号数据库集中泄露事件表明,境内商业网站的账号与密码的安全性令人质疑。
2012年8月我们集中调查了30家知名商业网站的账号密码安全性。受调查的商业网站涵盖生活、招聘、交友、团购、购物、旅游和视频等方面,在一定程度上代表了当前服务性商业网站的主流应用。我们主要通过监控用户注册过程和用户登录过程,检查网站是否提供必要的安全技术对用户的账号密码进行保护。其中29家商业网站在用户提交注册信息(包含账号密码)的过程中均未提供任何安全保护,包括知名购物网站淘宝网,用户设定的账号和密码通过明文方式经过不安全的互联网传送至网站服务器。京东商城使用HTTPS对注册和登录过程进行保护。
26家商业网站(比例86.7%)对用户的登录认证过程未提供任何安全保护,仅仅采用明文密码认证方式,包括知名团购网站拉手网和美团网以及三大招聘网站,如图3所示。仅有淘宝和京东商城提供了安全的HTTPS对用户登录认证过程的密码传输进行加密保护,另有三家网站(58同城、开心网和新浪微博)采用单向挑战响应认证方式对用户在登录认证过程中的密码传输进行了有限的保护。根据动态身份认证方式中认证服务器数据库账号密码必须与用户登录密码一致的原理,可以推定其中使用单向挑战响应认证方式的三家商业网站服务商采用明文密码数据库,因此容易遭受因认证数据库泄密导致的集中泄密风险。调查统计结果如图3所示。2014年8月,我们再一次对此30家知名商业网站的账号密码安全性进行复查,发现58同城网、CSDN论坛网、美团购物网、大公点评网以及去哪儿旅游网等几家商业或社交网站的注册与登录信息传输已经采用HTTPS安全协议进行了加密封装,其它网站仍然没有进行必要的安全升级。
3 调查结论与建议
3.1 调查结论
(1)境内互联网服务提供方用户的身份注册与登录认证过程普遍默认采用静态身份认证方式。虽然认证数据库用户的账号密码存储方式不明,但用户的账号密码却几乎全部采用明文密码传输方式。因此,容易遭受网络监听泄密风险。这是导致近几年国内外商业数据库账号密码泄密的主要技术原因。
(2)绝大部分境内互联网服务提供方的用户注册信息(账号与密码)传输仅仅提供唯一的明文传输方式,近半数境内互联网服务提供方用户登录身份认证的账号密码传输仅仅提供唯一的明文传输方式。因此,非常容易遭受网络监听泄密风险。这是导致近几年国内外商业数据库账号密码泄密的主要技术原因。
(3)境外互联网几大专业电子邮箱服务器Hotmail、Gmail和Yahoo!Mail均采用SSL\TLS协议对口令实施加密传输动态认证,防止账号口令密码网络明文传输泄密风险;认证服务器数据库则采用账号口令散列值加密方式,预防数据库内部集中泄密风险。
(4)为了确保网络身份认证数据库安全与认证过程中认证信息传输的安全性,无论是国际互联网还是包括军网在内的各种内部专网,必须采用SSL\TLS协议将网络身份认证过程加密封装,在口令密码散列值加密存储方式下实现非对称密码体制下的动态身份认证。
(5)密码算法、安全协议与网络工程以及操作系统各专业研究领域必须紧密合作,才能保证一项互联网应用工程中的信息安全。我国互联网普遍存在用户账号密码明文传输的不安全静态认证方式,根本原因在于互联网应用工程设计人员网络安全意识不强,对网络安全协议缺少研究,对常规网络攻击方法与行为缺乏了解,对潜在的网络攻击新理论与新技术更缺少关心。
根据轻量级动态身份认证的一致性原理可以推定,采用轻量级动态身份认证方式的认证数据库一般采用用户账号密码的明文存储方式。根据一致性原理同时可以推定,安全的认证数据库一般采用用户账号密码的单向散列值影子文件加密保护,而采用SSL/TLS安全协议将静态认证的明文密码传输转换成重量级动态认证的加密传输方式。这样,网络身份认证才能既可防止认证数据库的内部集中泄密风险,又能防止外部网络监听的重放攻击。
3.2 应急建议
(1)尽快对我国互联网开展一次用户身份认证方式的普查工作,检查认证数据库用户的账号密码存储方式与身份认证中账号密码的网络传输方式。
(2)尽快对我国各行业内部专用互联网(内部信息专网、政府办公专网、金融专网、邮电专网、铁路专网等等)开展一次用户身份认证方式的普查工作,检查认证数据库用户的账号密码存储方式与身份认证中账号密码的网络传输方式。
(3)采用SSL\TLS协议对我国互联网用户身份认证过程实现加密封装,确保身份认证过程的动态性。
(4)加强网络信息安全意识,建立互联网攻防新技术专业实验室,为复杂信息化环境下的军事斗争加紧培养既精通密码算法与安全协议的分析方法又通晓操作系统与网络工程技术的复合型高级专门技术人才。
参考文献
[1] 谢涛,陈火旺,康立山. 幻方身份双向认证与密约传输一体化方法.中国知识产权局,发明专利号:331608,2007年6月.
[2] 谢涛. 一种用于身份真伪鉴别的幻方签名方法.中国知识产权局,发明专利号:695757,2010年11月.
[3] Freier A, Karlton P, Kocher P. The Secure Sockets Layer (SSL)Protocol Version 3.0. RFC 6101 (Historic). August 2011. http:///rfc/rfc6101.txt.
[4] Dierks T, Rescorla E. The Transport Layer Security (TLS) Protocol Version 1.2. RFC 5246 (Proposed Standard). August 2008. Updated by RFCs 5746, 5878, 6176, http:///rfc/rfc5246.txt.
[5] Rescorla E. HTTP Over TLS. RFC 2818 (Informational). May 2000. Updated by RFC 5785, http:///rfc/rfc2818.txt.
[6] Fielding R, Gettys J, Mogul J, et al. Hypertext Transfer Protocol-HTTP/1.1. RFC 2616 (Draft Standard). June 1999. Updated by RFCs 2817, 5785, 6266, http:///rfc/rfc2616.txt.
[7] Crispin M. INTERNET MESSAGE ACCESS PROTOCOL - VER- SION 4rev1. RFC 3501 (Proposed Standard). March 2003. Updated by RFCs 4466, 4469, 4551, 5032, 5182, 5738, 6186, http:///rfc/rfc3501.txt.
基金项目:
本文工作得到国家自然科学基金项目NSF.61070228与 NSF.61472476的连续资助以及国防科技大学XXX实验室的大力支持。
作者简介:
谢瑾(1997-),女,湖南长沙人, 湖南省长沙市第一中学信息技术组成员;主要研究方向和关注领域:互联网应用创意、文学创作、数学游戏。
该文以高职院校为立脚点,对高职院校的统一身份管理平台进行建设分析和技术探讨。并从建设者的角度从基础服务、集成接口、身份管理控制台三个方面进行了深入分析。从技术层面,对标准化、可扩展、集成化、开放性、安全性等方面进行了深入阐述。文章最后提出了进行统一身份认证的必要性。
关键词:
高职院校;统一身份管理;建设分析;技术探讨
1概述
据不完全统计,在高职院校,绝大多数职能部门都自己独立的资源系统或者平台。教务处为了方便教学管理和教务管理,搭建了教务系统和排课系统,为了方便开展毕业生论文答辩,搭建了毕业论文管理系统,为了方便顶岗实训,又搭建了顶岗实训系统;学生工作处为了方便学生的管理和宿舍的检查,搭建了学生管理平台和宿舍管理平台;科技处为了统计教师每年的课题和科研工作量,搭建了自己的科技量统计平台;人事处为了随时能够了解教职工的学历提升情况、师资建设情况,搭建了自己的人事管理系统;有些高职院校,为迎接各种示范建设或者骨干建设,还成立了示范建设办公室,这个办公室为了能够快速收齐相关的资料,也会搭建自己的平台。
每个职能部门,自己搭建的平台都是相对独立的,完全不共享,是孤立的,独立存在的,数据不是共享的。这样会导致很多不良的后果,比如:同一个高职院校的同一名教师,手里面可能有数十个由各个系统分配过来的账户和密码,不便于管理;再比如,因为各职能部门的系统是完全独立,数据没有得到共享,如果教师在教务系统里面填制了一次个人信息,到人事系统、毕业系统、顶岗实训系统、科研系统、学工系统等其他系统里面又要重新填制一次甚至数十次的个人信息,看似为了提高工作效率的的系统,到了真正实施起来的时候,却变成了累赘、鸡肋。再比如,各个职能部门的系统分别由不同的厂家开发,研发的标准是完全不一样的,在没有形成统一的身份认证之前,系统之间都是不通气的,会形成大面积的资源浪费。为了解决以上这些繁琐的问题,我们提出了针对高职院校的统一身份管理系统建设。
2建设分析
统一身份管理平台,在设计之初,就应该充分考虑高职院校信息化建设的应用需求和未来发展,同时要降低系统的总体拥有成本。在系统设计、新系统开发和业务系统集成整个流程中,尽量减少身份管理平台对其他应用系统在技术上的依赖,确保身份管理平台(或功能模块)在未来发生变化(减少、增加和变更)时,能够快速方便地进行功能模块组合或修改(二次开发),以适应学校管理的新变化,将整个系统内部在技术上的相互依赖性减至最低,同时,不影响其他应用系统和整个信息化校园基础平台的运行。身份管理平台,要求采用B/S结构,可运行于Unix、Linux等高安全性操作系统。开发技术应遵循J2EE标准、组件技术及在数据交换上对XML的支持,整体架构采用SOA架构来实现,各个信息管理系统通过一个基于总线的核心基础平台有机的集成到SOA架构中。所有的服务都能通过标准的Web服务提供,采用SOAP协议传输。所有的服务通过基础平台实现统一的注册、、注销、管理等,所有的应用系统之间的整合都是通过调用基础平台的服务来实现统一的数据交换。各个应用系统要充分利用现有先进技术手段,尽可能采用相同的体系结构和运行平台,基于多层架构和组件技术进行构建,做到系统结构层次清晰合理。身份管理平台应能实现身份数据的统一存储、统一管理,实现高职院校各类应用的单点登陆,以及各类访问与操作安全审计。平台建设主要包括基础服务、集成接口、身份管理控制台三个方面。
2.1基础服务1)SSO认证服务;2)身份数据存储;3)账号数据同步服务;4)账号初始化密码服务;5)采取分级授权。
2.2集成接口1)集成接口;2)目录服务;3)集成方案:提供blackboard、sharepoint等第三方产品的集成认证方案;4)与中国移动网络或者中国联通无线网认证集成。提供解决方案,并在后期完成于网络认证系统的对接,使得无线认证通过与统一身份认证进行身份数据对接,身份数据用户名密码通过统一身份认证平台同步到无线网认证数据库中,当用户修改个人密码,身份认证管理员增加账号等操作的时候,身份数据通过身份认证的对外同步接口同步到无线网中,实现统一认证。能够实现认证平台与学校各应用系统的无缝对接。
2.3身份管理控制台1)负载均衡;2)身份自助服务;3)图形展示;4)帐号管理;5)认证管理;6)授权管理;7)审计管理;8)监控管理:监控内容包括总体状态、会话状态、进程状态、服务器状态和监控配置功能;9)系统管理:包括操作日志管理、管理员管理和配置管理功能;10)对外服务:提供对外的账号同步和对外密码同步插件,如果需要对外实行同步操作,通过开发并注册相关的插件即可完成,插件的注册和启动支持热拔插。另外,还为REST身份管理接口提供安全访问和授权的管理功能,从而保证了REST接口的安全。
3技术分析
在进行统一身份管理平台建设时,我们不能只是单纯的去考虑系统的实用性或者价廉物美,更要从系统的长远入手,从系统本身的标准化、可集成性、可扩展性、开放性、安全性、高性能、可管理性、高效特性等方面,去考虑系统的后续维护性、持久性和先进性。建设系统的目的,是让系统能更好为学校服务,而不能让系统后期的建设和高额的维护,限制了系统本身的发展。所以,在系统建设之初,规划者就应该把这些不必要的因素考虑进去,做好技术分析,最好是能做好SWOT的全貌分析。本文着重对系统本身的技术层面进行系统分析。
3.1标准化1)采用基于LDAP标准的目录服务器存储身份数据,并提供身份认证。2)平台基于J2EE标准架构,要求在安全认证方面基于JAAS技术。3)遵循CAS2.0协议规范。
3.2可集成性1)提供多种认证接口的异构支持,包括认证和LDAP目录服务接口。2)支持多种语言的接口方式,包括Java、.Net、PHP、C、C++等。3)单点登录从实现技术上基于session、cookie、rewrite技术和采用portal等几种方法,根据用户的情况可以选用其中的任何一种。4)支持Unix、Linux、Windows多种平台,完全支持跨平台的部署。
3.3可扩展性1)身份、授权、认证功能相对独立,可以灵活的与第三方产品对接。2)可实现用户名/口令认证模式,支持动态口令认证接口、CA证书认证接口、智能卡认证接口等认证方式的平滑扩展。3)支持集群、热备、负载均衡集成。4)支持同一个域内的多个应用系统间的单点登录,具有开放的跨平台SSO实现技术。
3.4开放性支持移动设备的无差别接入。包括通过移动设备访问身份认证系统。主流的移动端有三种系统:苹果系统、安卓系统、微软系统,针对这三种系统,进行重点开发。
3.5安全性1)系统需提供用户密码加密功能,支持扩展MD5、SSHA、CRYPT、SHA、RC4等多种密码加密算法,并可以快速扩展用户属性信息。2)对用户的操作行为进行日志记录,以追溯用户的行为过失,确保数据安全。3)用于单点登录的cookie不能在子域中共享。4)账号数据可进行自动备份,确保数据不丢失。5)在服务器端设置相关检测系统,对客户端的浏览端进行木马检测,后门扫描。3.6高性能1)可为数百个应用提供统一身份认证服务的同时保证亚秒
级的认证操作时间。2)支持20万级的用户容量;常用服务器配置下应能,单机部署时支持最大1000人的并发用户数,双机负载均衡部署时支持2000人的并发用户数。3.7高效特性提供灵活的同步策略配置,并通过小工具将权威数据源中新建和变更的用户身份数据同步至身份管理平台。
3.8可管理性1)友好易用的界面,更符合国人的操作习惯。2)集中的身份数据管理,不仅提供用户帐号的维护,还能提供便捷的批量导入、批量迁移等功能。3)平台应提供相关服务器的软硬件环境的监视,发现异常自动发出告警,并通知责任人。4)平台应提供历史事件的查询和认证会话的相关操作,建立完善的事后追溯机制。
4结束语
实现统一身份管理、单点登录,这是高职院校进行数字化校园建设、信息化校园建设、云平台化建设的必经之路,是为了学校更好发展、更快发展的良好铺垫。统一身份的目的,是为了学校管理者、全体教师和学生能够更方便的使用学校的数据资源,盘活学校的资产,创建节约型数字化校园。但在真正的建设和实施的过程中,道路并不是那么平坦,每个学校的建设思路、建设技巧、建设出发点都可能完全不一样,考虑的因素也就随之发生变化。本文针对大部分高职院校针对统一身份认证的通用做法,提出的通用的建设需求分析和技术分析,必然存在不足和瑕疵,这有待后期完善和补充。
参考文献:
[1]高大鹏.企业体系化统一身份管理平台设计[J].信息安全与通信保密,2014(11):126-133.
[2]刑宝存.统一认证与身份管理平台建设方案[J].信息安全与通信保密,2015(10):52-55.
[3]艾飞.数字校园统一身份管理模型及关键技术[J].大连海事大学学报,2010(2):126-128.
[4]李石师.统一身份管理系统的设计与实现[J].中国新技术新产品,2015-08-10.
[5]刘冰张明扬,虞闯.基于目录服务的数字化校园统一身份认证[J].科技创新导报,2007-12-21.
[6]贾峰,王丰.浅析统一身份认证系统的研究及实现[J].科技展望2014-12-10.
[7]陈培君.基于SOA的数字校园综合信息服务平台的研究与设计[D].电子科技大学,2013.
[8]张智秀.基于URP理论的新一代数字化校园建设的研究[D].电子科技大学,2012.
[9]王秋平,赵兰庚,王新艳.高等院校数字化校园建设初探[J].河北工程技术高等专科学校学报,2013(6).
[10]邱鸣.加快数字校园建设,提升学校核心竞争力[J].中国教育信息化,2008(5).
[关键词]电子商务信息化网络安全数字证书CA认证加密
企业信息化是现化企业发展的必然趋势,在企业信息化过程中,通过大量采用信息化技术改进和强化了企业物资流、资金流等信息的管理,对企业固有的经营思想和管理模式产生了强烈的冲击,带来了根本性的变革。信息技术与企业管理技术的发展与融合,使企业竞争战略不断创新,企业竞争力不断提高。电子商务是在企业信息化大潮下采用数字化方式,利用计算机网络进行商务数据交换,全面实现在线交易电子化的过程,是企业开展商业活动的新形式。企业电子商务平台不仅是相关企业宣传产品、销售产品、进行售后服务的窗口,也是树立企业形象的前沿。
通常企业电子商务系统会涉及到参与商务活动的各方(买家、服务商、供货商、银行和认证中心(CA)),一个完善的电子商务系统应当包括那些部分,目前还没有权威的论述。从企业电子商务实践来看,企业电子商务系统的系统架构是三层结构的:最底层是计算机网络平台,这一层是电子商务过程中的信息传送的载体和用户接入企业电子商务平台的途径;中间是电子商务基础平台,包括CA认证,支付网关和会员服务中心等内容,这一层主要用于保障网络交易的有效性和安全性;第三层是以电子商务平台为基础的各种各样的电子商务应用系统。
由于电子商务系统基于开放式的Internet平台,而Internet用户数量巨大,各种各样的人都有,这使得网上交易面临着种种危险,因此,电子商务发展的核心和关键问题是交易的安全性问题。电子商务的安全问题,总的来说分为二部分:一是网络安全,二是商务安全。
计算机网络安全主要包括:计算机网络设备安全、计算机网络系统安全、数据库安全等方面,其特征是针对计算机网络本身可能存在的安全问题,实施网络安全增强方案,以保证计算机网络自身的安全性为目标,目前针对计算机网络安全的防护技术主要有数据加密技术、身份识别和验证技术、防火墙技术、虚拟专用网络技术、网络安全扫描技术和网络攻击检测技术等技术。由于对计算机网络安全的研究已经比较深入了,其安全保障技术也比较成熟,这里就不多加讨论了。
商务安全则紧紧围绕传统商务在Internet上应用时产生的各种安全问题,在计算机网络安全的基础上,如何保障电子商务过程的顺利进行,即实现电子商务的保密性(在电子商务系统交易过程中的商务信息均有保密的要求。如信用卡的账号和用户名被人知悉,就可能被盗用,订货和付款的信息被竞争对手获悉,就可能丧失商机)、完整性和一致性(电子交易的过程是一个完整的过程,期间产生的信息是不能被修改的必需保证其一致性)、身份的真实性和不可伪装性(网上交易的双方很可能素昧平生,相隔千里。要使交易成功首先要能确认对方的身份,对商家要考虑客户端不能是骗子,而客户也会担心网上的商店不是一个玩弄欺诈的黑店。因此能方便而可靠地确认对方身份是交易的前提。对于为顾客或用户开展服务的银行、信用卡公司和销售商店,为了做到安全、保密、可靠地开展服务活动,都要进行身份认证的工作。)及不可抵赖性(由于商情的千变万化,交易一旦达成是不能被否认的,否则必然会损害一方的利益。)。
目前,电子商务交易过程中的商务安全性主要是通过CA认证来实现的,下面我们对电子商务过程中与CA认证有关的内容进行具体介绍。
一、CA
数字证书认证中心(CertficateAuthority:CA)就是一个负责发放和管理数字安全证书的权威机构。对于一个大型的应用环境,认证中心往往采用一种多层次的分级结构,各级的认证中心类似于各级行政机关,上级认证中心负责签发和管理下级认证中心的证书,最下一级的认证中心直接面向最终用户。认证中心主要有以下几种功能:证书的颁发;证书的更新;证书的查询;证书的作废;证书的归档。
二、PKI
公钥基础设施PKI(PublicKeyInfrastructure),是一种遵循既定标准的密钥管理平台,它能够为所有网络应用提供加密和数字签名等密码服务及所必需的密钥和证书管理体系,简单来说,PKI就是利用公钥理论和技术建立的提供安全服务的基础设施。PKI技术是信息安全技术的核心,也是电子商务的关键和基础技术。
PKI采用非对称的加密算法,即由原文加密成密文的密钥不同于由密文解密为原文的密钥,以避免第三方获取密钥后将密文解密。
PKI的基础技术包括加密、数字签名、数据完整性机制、数字信封、双重数字签名等。
完整的PKI系统必须具有权威认证机构(CA)、数字证书库、密钥备份及恢复系统、证书作废系统、应用接口(API)等基本构成部分,构建PKI也将围绕着这五大系统来着手构建。
三、数字安全证书
数字安全证书就是标志网络用户身份信息的一系列数据,用来在网络通讯中识别通讯各方的身份。数字安全证书是由权威公正的第三方机构即CA中心签发的,以数字安全证书为核心的加密技术可以对网络上传输的信息进行加密和解密、数字签名和签名验证,确保网上传递信息的机密性、完整性,以及交易实体身份的真实性,签名信息的不可否认性,从而保障网络应用的安全性。
数字安全证书采用公钥密码体制,即利用一对互相匹配的密钥进行加密、解密。每个用户拥有一把仅为本人所掌握的私有密钥(私钥),用它进行解密和签名;同时拥有一把公共密钥(公钥)并可以对外公开,用于加密和验证签名。当发送一份保密文件时,发送方使用接收方的公钥对数据加密,而接收方则使用自己的私钥解密,这样,信息就可以安全无误地到达目的地了,即使被第三方截获,由于没有相应的私钥,也无法进行解密。通过数字的手段保证加密过程是一个不可逆过程,即只有用私有密钥才能解密。
在公开密钥密码体制中,常用的一种是RSA体制。其数学原理是将一个大数分解成两个质数的乘积,加密和解密用的是两个不同的密钥。即使已知明文、密文和加密密钥(公开密钥),想要推导出解密密钥(私密密钥),在计算上是不可能的。按现在的计算机技术水平,要破解目前采用的1024位RSA密钥,需要上千年的计算时间。
公开密钥技术解决了密钥的管理问题,商户可以公开其公开密钥,而保留其私有密钥。购物者可以用人人皆知的公开密钥对发送的信息进行加密,安全地传送给商户,然后由商户用自己的私有密钥进行解密。
用户也可以采用自己的私钥对信息加以处理,由于密钥仅为本人所有,这样就产生了别人无法生成的文件,也就形成了数字签名。采用数字签名,能够确认以下两点:
1.保证信息是由签名者自己签名发送的,签名者不能否认或难以否认;
2.保证信息自签发后到收到为止未曾作过任何修改,签发的文件是真实文件。
数字安全证书的格式一般采用X.509国际标准。它包含了以下几点:数字安全证书拥有者的名称、数字安全证书拥有者的公共密钥、公共密钥的有效期、颁发数字安全证书的单位、数字安全证书的序列号,颁发数字安全证书单位的数字签名等内容。
数字安全证书根据应用领域的不同一般有:个人数字安全证书、机构数字安全证书、个人签名安全证书、机构签名安全证书、设备安全数字证书等几种类型。
个人数字安全证书中包含个人身份信息和个人的公钥,用于标识证书持有人的个人身份。数字安全证书和对应的私钥存储于ikey或IC卡中,用于个人在网上进行合同签定、定单、录入审核、操作权限、支付信息等活动中标明身份。
机构数字安全证书中包含企业信息和企业的公钥,用于标识证书持有企业的身份。数字安全证书和对应的私钥存储于Keynet卡中,可以用于企业在电子商务方面的对外活动,如合同签定、网上证券交易、交易致富信息等方面。
个人签名证书中包含个人身份信息和个人的签名私钥,用于标识证书持有人的个人身份。签名私钥存储于Keynet卡中,用于个人在网上进行合同签定、定单、录入审核、操作权限、支付信息等活动中标明身份。
机构签名证书中包含企业信息和企业的签名私钥,用于标识证书持有企业的身份。签名私钥存储于Keynet卡中,可以用于企业在电子商务方面的对外活动,如合同签定、网上证券交易、交易致富信息等方面。
设备数字安全证书中包含服务器信息和服务器的公钥,用于标识证书持有服务器的身份。数字安全证书和对应的私钥存储于Keynet卡中,用于表征该服务器的身份。主要用于网站交易服务器,目的是保证客户和服务。
数字安全证书由用户向相关的CA机构提供相应资料(不同类型的证书所需提交的资料是不一样的)进行申请并交纳一定费用,然后CA对用户提供资料进行审核,审核通过后由CA向用户颁发数字安全证书,并对数字安全证书进行管理。
数字安全证书可用于:发送安全电子邮件、访问安全站点、网上证券、网上招标采购、网上签约、网上办公、网上缴费、网上税务等网上安全电子事务处理和安全电子交易活动。
四、小结
由于利用Internet作为商务平台的电子商务系统可以提供网上电子交易,使得客户能够极其方便的获得企业和其产品的信息,并进行网上交易,降低了交易成本、提高了交易效率,但同时也增加了对某些敏感或有价值的数据被滥用的风险。电子商务系统必须保障在Internet上进行的一切金融交易运作都是安全可靠的,只有这样才能够使顾客、商家和企业等交易各方对电子商务系统具有绝对的信心,也只有这样电子商务系统才能进一步发展。因此,安全性在整个电子商务系统占据十分重要的地位。
目前,电子商务系统的安全体系结构是主要是通过构建认证中心(CA)证书的信任过程来实现的。
在电子商务应用中主要有以下五个交易参与方:买家、服务商、供货商、银行和认证中心(CA)。电子商务的交易流程主要有以下三个阶段:
第一阶段:认证中心(CA)证书的注册申请。交易各方通过认证中心(CA)获取各自的数字安全证书。
第二阶段:银行的支付中心对买家的数字安全证书进行验证,通过验证后,将买家的所付款冻结在银行中。此时服务商和供应商也相互进行数字安全证书的验证,通过验证后,可以履行交易内容进行发货。
第三阶段:银行验证服务商和供货商的数字安全证书后,将买家冻结在银行中的货款转到服务商和供货商的户头上,完成了此项电子交易。
由于参与交易的各方都持有认证中心(CA)所颁发的数字安全证书,所以,能够保证在交易的过程中参与各方的真实身份、防止他人假冒;也能够保证交易信息的保密性、不可否认性和不可修改性。
参考文献:
[1]石志国等编:计算机网络安全.清华大学出版社出版,2007年1月
[2]张福德编:电子商务网络市场.机械工业出版社,2001年8月
[3]祝凌曦编:电子商务安全.北方交通大学出版社,2006年11月
关键词:强身份认证;网络应用;单点登录
本文提出了一种安全、高效的自动单点登录系统,利用密码技术和身份认证技术对网络信息进行保护,以期为今后网络信息的安全提供一定的技术保障。
1 密码技术
在信息安全保障系统中,密码技术处于核心位置,是整个系统中至关重要的一部分。就当前信息安全系统中的密码技术来看,主要包括两大体制,即对称密码体制和非对称密码体制。其中,前者主要采取的是单个密钥来实现对数据的加密和解密,具有计算量小和效率高等优点,适用于私人文件加密;而后者则采用取两个密钥,只有将二者配合使用,才能够实现数据的加密和解密。由于后者具有不对称性,因此,比较适用于分布式系统中的数据加密。
通常情况下,为了能够更好的将这两种体制的优点发挥出来,在系统的设计中,会将这两种体制混合使用。在本文介绍的单点登录系统的设计中,主要应用了一次一密密码体制下的MD5_HMAC加密算法,这种加密算法具有运算简单、效率高的特点,而且随机串只能够用一次。因此,即使攻击者成功窃取了随机串,那么也无法对密文进行破解。此外,由于该算法没有已知的明文或密文作为参考,因此,即使穷尽法也无法猜测随机串的准确性,为网络信息安全提供了严密的保护。
2 身份认证技术
身份认证技术的主要任务是对意图访问的实体身份进行认证,通过认证程序查看意图访问者的身份是否与宣称身份相一致,并在此基础上实现对不同访客的控制。身份认证技术主要分为两种类型,即实体认证和数据起源认证。本系统所研究的主要是实体认证,在实体认证中,实体认证由参与某次会话或通信连接的一方提交,其身份一旦通过系统认证,便可以进行访问。本文所介绍的通过USB设备存储加密算法和密钥文件对用户进行身份认证的系统,其主要包括两个模块,即用户注册和用户认证。
无论是哪一种类型的用户,在登录认证服务器进行认证之前,首先都要进行注册,在注册环节填写个人信息。该系统对于此环节的设计任务主要包括三个部分:首先是初始化USB令牌,其次是登记注册数据库,最后是登记二级登录凭证数据库。通过对以上三项任务的实现,用户便可顺利完成用户注册。在完成注册之后,用户便可登录系统进行访问,用户认证的流程图如图1所示:
3 网络应用单点登录
⑴单点登录方案分析。虽然单点登录系统已经被提出,但与其相关的方案却并没有形成一个统一的标准,本文主要综合了两种方案,第一种是Broker-based单点登录方案,在该方案中设计了一个完成集中认证、用户账号管理的认证服务器、统一的用户数据库Broker为用户提供能够被用作用户进一步访问请求的电子身份凭证;第二种是Agent-based单点登录方案,该方案中设计了一个程度,该程序会自动对不同应用进行身份认证,自动为用户完成登录过程。
⑵Broker&Agent-based单点登录方案的实现。从图中我们可以看出,Broker&Agent-based单点登录方案的实现主要涉及了4大模块,分别是认证服务器、注册数据库和二级登录凭证数据库、USB令牌和单点登录客户端。其中,认证服务器模块主要用于认证的提供;注册数据库和二级登录凭证数据库模块主要用于对用户信息的存储;USB令牌模块主要负责二次登录阶段解密从二级登录凭证数据库中取得的用户私钥加密处理过的用户名/密码对;而单点登录客户端模块则主要为用户提供进行访问地址的途径,相当于方案中的Agent部分。
综上所述,随着计算机网络在我国社会发展中的广泛应用,网络信息的安全也会面临越来越多的威胁。本文所介绍的基于强身份认证的网络应用单点登录系统利用密码技术、身份认证技术来对网络信息进行加密,不仅性能稳定,而且安全性良好。可以预见,在未来的时间里,该系统必然会有较好的前景。
[参考文献]
密码技术是对信息进行重新编码,把“明文”的可读信息转换成不可读的信息即“密文”,从而达到将信息内容隐藏的目的,从而让非法用户无法获取信息真实内容的一种手段,要想显示出原来的内容就必须输入相应的密钥,其核心技术主要包括加密技术、认证技术和密钥管理技术三大技术,一个完整的加密系统,包括明文数据、加密后的密文、加密、解密设备或算法和加密、解密的密钥 4 个部分。结合现代加密技术和密码体制的特点,一般将现在的密码体制分为单钥(对称密码)、双钥 ( 非对称密码 )。
2 电子商务系统安全需求
电子商务与传统商贸活动最大的不同是:一方面,电子商务中购销双方不可见,相互间对身份真实性存有疑虑;另一方面,电子商务所含的信息流、资金流都是网上进行的,需通过不安全的因特网环境,电子商务面临的安全威胁主要有中断、窃听、篡改信息、伪造信息、交易抵赖等,没有商务交易安全保障,即使计算机网络本身再安全,电子商务都是不安全的。因此,在电子商务中,安全性是必须考虑和解决的核心问题。目前增强电子商务的安全方法很多,密码技术就是其中最常用的技术。密码技术是保证电子商务的数据传输保密性、数据完整性、有效的身份验证、交易的不可抵赖、可控性、审查能力特点的重要手段。
3 常用的密码技术
3.1 信息加密技术
信息加密技术是电子商务安全技术中一个重要的组成部分,信息加密后在传输过程中,如果被人以非法的手段窃取,无法破译的话,对窃取的人来说是这些信息就失去意义了。常用的有链路——链路加密、节点加密、端——端加密、ATM 网络加密和卫星通信加密五种方式。比较典型的算法有 DES(数据加密标准)算法及其变形 TripleDES(三重 DES)、IDEA、RC5 等。
3.2 身份认证技术
认证技术是保证电子商务安全不可缺少的重要技术手段,身份认证是指为了防止他人对传输的文件进行破坏以及如何确定发信人的身份,用户必须提供它自身的证明,以取得安全信息系统的信任。它是电子商务中的第一道关卡,其主要作用是信息的认证,通过电子手段确认发送者和接收者身份,并验证其文件完整性的技术,被认证者只有在被认证系统识别身份后,才能够根据用户的身份和授权级别来访问资源,主要包含数字签名、数字证书、数字时间戳、数字摘要等技术。在电子商务安全中,一旦身份认证系统被攻破,那么系统的所有安全措施将行同虚设。入侵者攻击的目标往往就是身份认证系统。
3.3 PKI 技术
PKI 是一个用公钥概念和技术实施和提供安全服务的具有普适性的安全基础设施,密码技术发展到今天,PKI 作为一项关键的密码技术,已经让网络安全离不开它。目前认为,基于 PKI 体系的身份认证完全可以满足电子商务的要求,并初步形成了一整套的解决方案。它除了具有加解密和密钥管理之外,还包括各种安全策略、安全协议以及安全服务。PKI 体系具体包括认证机构 CA 、证书与 CRL 数据存储区、用户三部分。它还支持 SET 、SSL 电子证书和数字签名。目前,该项技术在已经逐渐推广应用,但在我国,收技术影响,PKI 技术已经成为了我国电子商务发展的瓶颈。
3.4 SSL(Secure Sockets Layer) 安全协议
随着时代的进步和发展,电子商务也在逐步成熟起来,现在的电子交易安全是在密码技术基础上通过交易安全协议实现的,SSL就是其中一项很重要的协议。NETSCAPE 公司是因特网商业中领先技术的提供者,他们开发出了一种基于 RSA 和秘密密钥的应用于因特网的技术,也就是 SSL 协议,SSL 协议就是 Netscape 公司在网络传输层与应用层之间提供的一种基于 RSA 和保密密钥的用于浏览器与 Web 服务器之间的安全连接技术,主要用于提高应用程序之间的数据的安全系数。SSL 由两个子协议构成,即 SSL 记录(Record) 协议和SSL 握手(Handshake) 协议,主要功能是让收发双方在通过网络传输信息时,能够保障数据的完整性及机密性。但是该协议的整个认证过程只有商家对客户的认证,缺少了客户对商家的认证。3.5 SET(Secure Electronic Transaction) 安全协议SET协议是一个开放的协议,主要是为了解决用户、商家和银行之间通过信用卡支付的交易而设计的,具有成为追求电子交易安全的主要推动力的潜质。该协议核心技术主要有公开密匙加密、电子数字签名、电子信封、电子安全证书等,采用 DES 和 RSA 两种加密算法进行加密、解密处理,可以实现、确认能力、数据的完整性和多方的操作性,从而确保了交易数据的安全性、完整性和交易的不可否认性。目前,SET 这一标准被公认为全球国际网络的标准。SET 的缺点是它还仅限于使用信用卡方式的支付手段,用户需要安装特殊的软件。
4 结语
[关键词] 生物特征识别 数字签名 电子商务 身份安全认证
一、引言
在电子商务应用日益广泛的今天,从某种角度看,身份认证技术可能比信息加密本身更加重要。它是网络安全和信息系统安全的第一道屏障,是在信息安全时代备受关注的一个研究领域。
目前的应用主要是以“用户ID+口令+数字证书”来进行用户的身份认证。从根本上说这种身份认证不能解决访问者的物理身份和电子身份的一致性问题,即无法确认通过身份认证的访问者即获授权者。
启发于人的身体特征具有不可复制的特点,人们开始把目光转向了生物识别技术。人的指纹、虹膜、视网膜等都具有惟一性和稳定性的特征,为实现更安全、方便的用户身份认证提供了有利的物理条件。
用户最关注的问题是因特网的网络安全性和保密性。保障网络中数据传输的安全性通常需要借助信息安全功能来实现。在开放系统中对具有重要价值的信息或私密信息进行通信时,可使用数字签名等密码技术进行加密。
生物识别技术代表着用户身份认证技术的未来,有着广阔的应用前景。如果将生物特征识别技术和数字签名技术有机地结合在一起,可以提供一种更加安全、便捷的用户身份认证技术。
二、生物特征识别技术
生物特征识别技术是通过计算机与光学、声学传感器和生物统计学原理等高科技手段结合,利用人体固有的生理特性来进行个人身份的鉴定。其核心在于如何获取这些生物特征,并将之转换为数字信息,存储于计算机中,利用可靠的匹配算法来完成验证与识别个人身份的过程。
1.指纹识别——成熟的身份认证技术
在网络环境下的身份认证系统中,应用指纹作为身份确认依据是理想的。
第一,理论上,每个人的指纹是独一无二的。
第二,指纹样本便于获取,易于开发识别系统,实用性强。
第三,指纹识别中使用的模板而是由指纹图中提取的关键特征,使系统对模板库的存储量较小。也可以大大减少网络传输的负担,便于支持网络功能。
第四,指纹识别是生物特征识别中研究最早、技术最成熟、应用最广泛的技术,有着坚实的市场后盾。
指纹识别具有很高的实用性、可行性。随着固体传感器技术的发展。指纹传感器的价格正逐渐下降,在许多应用中基于指纹的生物认证系统的成本是可以承受的。
指纹识别原理和过程如下:首先,通过指纹读取设备读取到人体指纹图像,并对原始图像进行初步的处理,使之更清晰。然后,指纹辨识算法建立指纹的数字表示——特征数据。特征文件存储从指纹上找到被称为“细节点”(minutiae)的数据点,也就是那些指纹纹路的分叉点或末梢点。这些数据称为模板(至今仍然没有一种模板的标准,也没有一种标准的抽象算法,各厂商自行其是)。最后,通过计算机把两个指纹的模板进行比较,计算出它们的相似程度,得到两个指纹的匹配结果。
2.虹膜和视网膜——更准确、更可靠的身份认证技术
虹膜是一种在眼睛中瞳孔内的织物状各色环状物,每一个虹膜都包含一个独一无二的基于像冠、水晶体、细丝、斑点、结构、凹点、射线、皱纹和条纹等特征的结构。世界上两个指纹相同的几率为1/109,而两个虹膜图像相同的几率是1/1011,虹膜在人的一生中均保持稳定不变。因此,利用虹膜来识别身份能够成为独一无二的标识,其可靠性超过了指纹识别。
从直径11mm的虹膜上,Dr. Daugman的算法用3.4个字节的数据来代表每平方毫米的虹膜信息,一个虹膜约有266个量化特征点,而指纹识别技术只有40多个特征点。266个量化特征点的虹膜识别算法在众多虹膜识别技术资料中都有讲述,在算法和人类眼部特征允许的情况下,Dr. Daugman指出,通过他的算法可获得173个二进制自由度的独立特征点。这在生物识别技术中,所获得特征点的数量是相当大的。
关于虹膜的特征提取方面较有成效的主要有Daugman的利用多分辨率Gabor滤波器提取虹膜纹理的相位信息;Wildes的基于4种不同决策标准的拉普拉斯金字塔提取虹膜纹理特征;Boles和Boashash的基于小波变换过零检测虹膜识别算法以及中科院采用Gabor滤波和aubechies-4小波变换相结合的纹理分析方法。
虹膜技术上有一些地方有待完善;当前的虹膜识别系统只是用统计学原理进行小规模的试验,而没有进行过现实世界的惟一性认证的试验;目前图像获取设备相当昂贵。
视网膜是一些位于眼球后部十分细小的神经(一英寸的1/50),它是人眼感受光线并将信息通过视神经传给大脑的重要器官,用于生物识别的血管分布在神经视网膜周围,即视网膜四层细胞的最远处。
在20世纪30年代,通过研究就得出了人类眼球后部血管分布惟一性的理论,进一步的研究的表明,即使是孪生子,这种血管分布也是具有唯一性的,视网膜的结构形式在人的一生当中都相当稳定。所以,同虹膜识别技术一样,视网膜扫描可能是最可靠、最值得信赖的生物特征识别技术。视网膜扫描设备可以从使用者的视网膜上可以获得400个特征点,创建模板和完成确认。由此可见,视网膜扫描技术的录入设备的认假率低于0.0001%。但拒假率(FAR,指系统不正确地拒绝一个已经获得权限的用户)比较高,相信在进一步的研究中可以大大降低。
因为对视网膜难于采样,也无标准的视网膜样本库供系统软件开发使用,这就导致视网膜识别系统目前阶段难以开发,可行性较低。
与指纹识别技术的主要步骤以及原理相似,虹膜识别与视网膜识别一般包括图像采集、图像处理、特征提取、保存数据、特征值的比对和匹配等过程。
综上所述,指纹识别是最容易实现的;而虹膜识别与视网膜识别受到某些限制,目前除了一些高端应用外很难普及应用,但其有着巨大的技术优势和潜在的商业价值,必将是下一代生物特征识别技术的发展方向。
三、基于生物特征识别和数字签名技术的电子商务身份认证系统解决方案
1.方案设计要求
要确保基于指纹特征的用户身份认证系统的整体安全性,必须对基于指纹特征的网络身份认证方案设计一个安全的身份认证协议。良好的身份认证协议应该满足以下几个要求:
(1)能够准确识别被认证对象的身份;
(2)能够明确重要事件的责任人,并实现签名,避免事后抵赖;
(3)能够保障数据在存储和传送时的安全。
2.基于生物特征和数字签名技术的电子商务身份安全认证系统结构
基于秘密信息的身份认证协议:保证通信认证可以防止第三方的重放攻击,但由于客户端密钥存储和管理存在问题。基于生物特征的身份认证:能解决口令窥视和密钥管理难等问题,但很难阻止第三方的重放攻击。因而,笔者提出了综合前述的生物特征识别技术和数字签名后得到的电子商务身份认证系统的解决方案。
在网络环境下(B/S结构),用户(客户端)如果要访问远程服务器所管理的信息资源,在获得相关资源访问权限之前,必须通过生物特征身份认证,所有的信息资源访问权限都在身份认证系统(服务器端)管理之下,未通过身份认证的用户不能访问信息资源。当模板内置于服务器时,通过客户端的生物特征获取仪器获得用户的生物特征信息,该信息被加上数字签名后传送到服务器,在服务器首先校验签名是否有效,再与预先注册的模板进行比较,并完成身份认证。
3.身份认证步骤与协议
在生物认证系统中,为了保证生物特征值这不被非法用户所获得,采用数字签名技术。我们在此对协议中采用的符号做如下定义:A为用户,AS为认证服务器,KUAS为认证服务器公钥,TAS为认证服务器的时限,NA为A的现时数据,FA为A的生物特征值,IDA为A的标识。还需说明的是这里采用的是单向认证协议。基本协议如下:
(1)A用自己标识的签名向认证服务器AS请求认证。使用签名技术能有效地阻止一个虚假认证服务器对用户A的欺骗性连接。因为只有合法的认证服务器才保存有用户的公钥,从而能验证这个签名来获得IDA来为下面的认证过程来使用。
(2)认证服务器产生时限TAS,现时数据NA,并将自己的公钥KUAS、NA和时限TAS用用户A的公钥KUA加密后返回给客户端的A用户。
(3)客户端A接受到认证服务器公钥、时限和现时数据NA,同时在客户端的生物特征传感器读取用户的生物特征图像,并获得特征FA,把元组{TAS,NA,FA}用认证服务器的公钥KUAS加密后发送给认证服务器。
(4)认证服务器AS通过生物特征信息数据库进行比对,若匹配则A的身份通过认证。
这个方案与现时使用的认证体制基本类似,所以电子商务交易系统不必作重大改变。但因为引入了生物特征识别,安全性可以获得有效的加强。
四、结束语
在信息化日趋成为主流的今天,电子商务的业务已随着互联网的普及而飞速发展,与此同时,电子商务的安全性也成为业界的一个热点研究方向。本方案设计将基于生物特征的身份认证技术和数字签名相结合应用于电子商务,加强系统安全性,具有一定的研究和实用意义。
参考文献
[1]DAUGMAN J G. High confidence visual recognition of persons by a test of statistical independence[J]. Tran Pattern Analysis and Machine Intelligence. 1915(11): 1148-116
[2]MA Li, TAN Tieniu, WANG Yunhong. Efficient iris recognition by characterizing key local variations[J]. IEEE Transactions on Image Processing, 2004,13(6)739-750
[3]BOLES W W, BOASHASH B. A human identification technique using images of the iris and wavelet transform[J]. IEEE Transon Signal Processing. 1998,46(4): 1185-1188
[4]WILDS R P. Iris recognition: an emerging biometric technology[A]. Proceedings of the IEEE[C].Sanjuan Puertorico, 1997
[5]孟浩徐翠平:虹膜识别算法的研究[J].哈尔滨工程大学学报,2006,27(3): 400-403
[6]祝连庆穆婕马龙:虹膜识别技术的研究[J]. 仪器仪表学报,2006,26(6): 753-755
[7]叶炜李恒华田捷:生物识别技术在网上银行认证安全体系的应用[J].计算机工程,2003, 29(11): 192-194
关键词:身份认证;UEB Key;PKI体系;认证设计
中图分类号:TP393文献标识码:A文章编号:1009-3044(2008)23-930-02
Design Research of Authentication Client Based on USB Key under PKI System
ZHOU Hua-xiang
(Changsha Commerce & Tourism College, Changsha 410004, China)
Abstract: Due to universality and opening of the Internet,there're many hidden troubles of information security in the network, so, identity authentication has becomed the necessary measure to ensure the security. This paper compared and analyzed the relative merits of common classes of identity authentication, and on the basis of analysis, the authentication principle and its characteristics, and the authentication processing were also discussed, and after that, the identifying technology of USB Key with PKI system was designed from software and hardware detaily. All these design work and theory analysis is significative for enhance the security of the identifying authentication.
Key words: Identity authentication; USB Key; PKI System; Technology design
1 引言
当前,随着计算机技术的飞速发展,利用因特网高科技手段进行经济商业犯罪的现象已经屡见不鲜了,因此,如何采用更加安全的数据保护及加密技术,成为当前计算机工作者的研究热点与重点。但是很多身份认证技术由于本身算法的漏洞而不稳定或可靠,使得很多不法之徒有机可乘。因此,发展更加安全的数据加密算法和身份认证技术,是关系到社会经济稳定繁荣发展的关键,如何采用与设计更加安全的身份认证技术,成为当前计算机安全工作的重点。
现今,计算机及网络系统中最常用到的身份认证技术主要有以下几种:1)用户名密码方式认证;2)IC卡认证;3)动态口令认证;4)生物特征认证。
上述几种身份认证方式,或认证方式过于简单,或认证成本过高,或使用方法繁琐,在推广应用上都存在一定的限制因素;USB Key认证技术是一种方便、安全、经济的身份认证技术,它采用软硬件相结合、一次一密的强双因子认证模式,很好地解决了安全性与易用性之间的矛盾。
2 相关原理概述
2.1 PKI体系概述
PKI(Public Key Infrastructure)是一个用公钥密码体制来实现并提供安全服务的具有通用性的安全基础设施,具有可信任的权威认证机构CA,在公钥加密技术基础上实现证书的产生、管理、存档、发放以及证书作废管理等功能,并包括实现这些功能的硬件、软件、人力资源、相关政策和操作规范以及为PKI 体系中的各成员提供全部的安全服务。如实现通信中各实体的身份认证、数据保密性、数字完整性以及不可否认等。PKI必须具有认证机构CA、证书库、密钥备份及恢复系统、证书作废处理系统、PKI 应用接口系统等主要组成部分。
2.2 USB Key认证原理
每个USB Key硬件都具有用户PIN码,以实现双因子认证功能。USB Key内置单向散列算法(MD5) ,预先在USB Key和服务器中存储一个证明用户身份的密钥,当需要在网络上验证用户身份时,先由客户端向服务器发出一个验证请求。服务器接到此请求后生成一个随机数并通过网络传输给客户端,客户端将收到的随机数提供给插在客户端上的USB Key,由USB Key使用该随机数与存储在USB Key中的密钥进行带密钥的单向散列运算(HMACMD5)并得到一个结果作为认证证据传送给服务器,与此同时,服务器使用该随机数与存储在服务器数据库中的该客户密钥进行HMAC- MD5运算,如果服务器的运算结果与客户端传回的响应结果相同,则认为客户端是一个合法用户。
3 基于PKI体系的USB Key认证客户端的设计
3.1 总体设计
本方案基于USB接口,采用高性能的智能卡进行设计,把智能卡固有的安全性能和USB总线的即插即用、总线供电等优点结合起来,集二者之所长,研制出一种携带方便的PKI客户端设备,集数据加密和数据存储两大功能为一体,在硬件级安全的基础上完成身份认证、密钥管理、证书存储等功能。其系统结构框图如图1所示。
由图1的结构可以发现,本论文研究的客户端硬件模块由智能卡和USB 读卡器组成,采用智能卡芯片作为私钥安全管理的载体,它包括私钥的安全生成、存储和使用。智能卡芯片中含有CPU ,可以通过运算来产生公私密钥对,而且还含有一定的存储空间,可以存储私钥和其它用户资料。USB 读卡器的主要功能是完成智能卡与主机的通信。
由于智能卡的存储空间毕竟有限,对于需要进行密码运算的大文件,无法一次完全导入智能卡设备中,为此,我们将一部分密码运算的功能放在主机端的软件模块,以提高运算速度。
总体的设计思路是私钥的密码运算必须在智能卡中进行,而将一部分有可能对大文件进行的运算放在主机上来完成。这样既保证了私钥的生成、保存的高度安全性,又利用了主机容量大、运算快的优势。
3.2 系统硬件设计
3.2.1 智能卡芯片的设计
智能卡芯片是USB KEY的核心,采用一个高性能的处理器芯片,除了含有一个MCU 外,还集成有专门进行密码算法的协处理器,通过它可以提高密码运算的速度。在软件结构上,我们内置了一个卡内操作系统(COS) 以管理智能卡的所有软硬件资源。COS 分为四个模块:传输层模块、文件管理层模块、安全控制模块和算法库。
从整个安全策略、用户的方便性、产品的创新性等几点出发,客户端的智能卡芯片中需要实现签名、解密、RSA 密钥对的产生、私钥的保存及证书的验证等主要功能。
验证别人的证书,需要通过信任锚来完成。信任锚就是根CA 的公钥。通过它,我们可以验证在一个PKI 系统中所有的证书。由于主机的不安全性,如果将信任锚存储在主机端,很容易被黑客替换成一个假的信任锚,这样用户就无法验证别人证书的真伪。出于这样的考虑,我们将信任锚存储在智能卡中,由于智能卡芯片的硬件特性,驻留在里面的程序具有不可修改性,这样就使数据(私钥) 的保存和使用达到了硬件的安全级别,大大提高了PKI 系统的安全。
3.2.2 USB芯片的设计
由于用户需要通过驻留在主机上的用户程序来使用存储在智能卡中的私钥,为了使用的方便,我们将硬件模块设计成一个目前流行的USB KEY模型,即通过USB 接口来实现主机软件程序与智能卡的通讯。
USB 接口的设计由一个USB 芯片来实现。它主要有两个功能,一是通过USB 协议完成与主机的通信;二是完成与智能卡的通讯。由于智能卡与外界的信息交换遵循ISO781623协议,所以USB 芯片的CPU 必须模拟一个781623 协议来实现两者的通讯。
考虑到用户在使用客户端时的不安全性,如:在用户使用完USB KEY时,可能忘记将它从主机上拔下来,这时如果远程黑客通过驻留主机的木马程序获得了用户的PIN ,就会在用户无察觉的情况下,利用USB KEY来对任意的文件进行任意次的签名,从而对合法用户造成很大损失。为此,我们在USB 芯片上设计了一个按键,每次USB 芯片检测到签名操作的命令,便要求用户手工按键,然后再将命令发送到智能卡里,由智能卡完成签名运算。这样合法用户便可以控制签名次数,将风险降到最低水平。
3.2.3 时间芯片的设计
无论证书还是私钥,都有一定的生存期,过期后必须申请新的证书和私钥。要求PKI 用户以手工操作的方式来定期更新自己的证书是不现实的,用户往往忘记自己证书过期的时间,常在认证失败时才发现问题。为此,我们在USB 芯片上加载了一个时间芯片,用它来识别证书和私钥过期的时间。
3.3 系统软件设计
系统的软件设计采用Client/Server模式,一个标准的服务流程为:客户机提出请求,通过USB接口传输给USB接口控制器,USB接口控制器通过模拟7816协议来和智能卡进行通信,智能卡的片上操作系统COS收到该请求后,进行命令解释,调度相应的功能模块进行处理,然后将运算结果返回给USB接口控制器,最终传递给客户机的应用程序,完成一次服务请求。
软件程序的流程图如图2所示。
4 结束语
USB认证设备体积小巧、功能强大、价格低廉,可提供极高安全等级的认证和加密功能,有力地促进了PKI系统的实施,同时,它也可广泛应用于要求个人身份认证、识别、数据加密、安全存储等领域,应用前景广泛。目前,对于身份认证技术的研究方兴未艾,很多新的认证方式与认证技术正在出现,为人们的数据安全提供更加可靠的安全认证与保护。
展望将来,除了对基于PKI体系的USB Key认证方式继续探讨新的数据加密算法外,其他新的认证模式也正在兴起,如基于生物特征的生物认证技术,以及目前处于研究热潮的基于线上手写签名的身份认证技术,这些都将是安全性极高的认证手段。
参考文献:
[1] 胡道元,闵京华.网络安全[M].北京:清华大学出版社,2004.
[2] 蔡金清,万振凯.统一口令网络认证系统的分析与实现[J].天津:工业大学学报,2004,23(3):74-76.
[3] 关振胜.公钥基础设施PKI与认证机构CA[M].北京:电子工业出版社,2002.
6月29日,中国银监会颁布了《关于做好网上银行风险管理和服务的通知》(银监办发[2007]134号)(以下简称《通知》)的重要文件,要求各商业银行最迟于2007年12月31日前应对所有网上银行高风险账户操作统一使用双重身份认证。
以往,国内许多网银为了争夺客户,很少提及网银面临的安全风险,甚至对转账等高风险的操作也没有要求任何安全措施,这给用户带来极大的安全风险。而这一文件的出台,不仅标志着中国的网银正在与国际接轨,也标志着中国的网银安全即将进入一个新的时代。
网银安全令人担心
经过多年的发展,目前,中国乃至全世界的各种商业银行,都建立了网上银行系统。中国的网银用户的数量同样发展迅速,但遗憾的是,比较起中国的上网人数来说,其所占比例并不高。
iResearch公司最近的一份调查显示,近年来,网银用户在互联网用户中的总体比例不升反降,2007年比起2006年,网银用户所占比例由21.8%下降到21.7%,如图1所示。
图1 中国网上银行用户占互联网用户比例
原因是什么呢?iResearch公司的调查显示,最主要的原因是对网银安全的不放心,持有这一观点的占被调查人数的68.1%,其次,认为网银注册太麻烦的占总体人数的34.7%,如图2所示。
图2 网民不使用网上银行的原因
在这种情况下,采用各种技术手段以方便的方法保证网银的安全,成为各个商业银行必须采取的做法。而双因素身份认证技术,则再次成为网银安全的首选技术。
双因素身份认证技术的比较
事实上,各国政府对双因素技术都有清晰的认识,并从法律上进行了规定。2004年,新加坡金融管理局 (MAS) 提出规定,要求各银行在2006年12月之前为网银用户登录提供双因素身份认证;2005年,美国联邦金融机构监理委员会FFIEC (USA) 提出,合理实施的多重身份认证在应对网络欺诈威胁时更加可靠。而今年,中国银监会则开始要求网银加强用户身份管理,在2007年年底前对于高风险网上银行服务必须提供双重身份认证。
那么,什么是双因素身份认证技术呢?
双因素是密码学的一个概念,从理论上来说,身份认证有三个要素:
第一个要素:需要使用者记忆的身份认证内容,例如账户和密码等。
第二个要素:使用者拥有的特殊认证加强机制,例如数字证书、一次一密的动态密码、IC卡、磁卡等。
第三个要素:使用者本身的唯一特征,例如指纹、虹膜、声音等等……
一般人们登录网银只使用第一个要素,但它是一种不安全的方式。这种“用户名+密码”的方式又被称为静态密码,会产生很多问题,比如为了维护密码安全性,一般要求使用相当长的长度,中英文数字夹杂、大小写间隔等,但这给使用者带来极大的记忆麻烦,于是,为了方便,许多使用者常常采用一些习惯用的数字,例如家人的生日、自己的生日、身高体重、电话或门牌号码等,只要利用黑客工具,如字典攻击法等等便能在短时间内将密码破解; 甚至只要有人在身后窥视便可探知密码; 而熟悉的人则很容易猜测到密码。
因此,将其中两种要素结合则成为现在更安全的认证作法,这就是所谓的“双因素认证”,其可结合用户拥有的认证设备以及其已知的信息两个因素同时使用,就跟利用自动柜员机提款一样:使用者必需利用提款卡(认证设备),再输入个人识别号码(已知信息),才能提取其账户的款项。
目前,市场上常用的双因素认证技术有:数字证书(也叫CA证书)、动态密码(刮刮卡属于动态密码的一种)和生物识别技术。
这几种技术各有优缺点。
数字证书目前分两种:软件证书和USB Key硬件数字证书,这是目前中国的大多数商业银行采取的安全技术。软件数字证书使用虽然简单,但已经被证明有安全漏洞,一旦软件数字证书被人拷贝走,就面临很高的安全风险。目前中国的商业银行已经决定放弃软件数字证书。硬件数字证书被认为是非常安全的技术,也是被中国的商业银行大力采用的技术。但其最大的问题是使用起来很麻烦,人们必须携带USB Key,插入电脑中才能工作。对一些型号稍微老一点的桌面电脑来说,USB端口在主机的后面,拔插USB Key非常不方便。此外,USB Key的后台管理还存在一些难题,如在运行电子证书服务时,管理员权限过大;不同银行的方案有所不同,这样用户需要去熟悉各种不同的方案,造成了进一步的不方便。
动态密码技术是一次一变的密码技术,采取时间同步或事件同步的方式,让用户手中的令牌获得的密码与网银后台中的密码保持一致。这种双因素认证方式安全、高效,并且使用起来也很方便,逐渐被银行和用户接受,目前,这种方式已经在国外以及中国的香港、台湾地区的银行中获得了广泛的应用,并且,也逐渐被中国内地的银行接受。中国工商银行不久前推出的刮刮卡、矩阵卡,就是动态密码的一种类型。为了方便使用,某些银行还可通过手机短消息的方式提供动态密码。虽然安全,但动态密码方式也存在一个巨大的难题:一个人不可能只有一家银行的账户,在这种情况下,人们可能拿着多家银行的动态密码令牌,这依然造成了巨大的不方便,如何将各种不同的令牌统一起来,是银行面临的下一个课题。
生物认证技术从理论上说是更安全的网银安全技术,但从现实角度出发,这需要在每个计算机终端上安装生物识别读卡器,在目前的环境下,显然是做不到的,因此,它可能是未来的保护网银安全的技术,但在目前,它缺乏实用性。
各种网银双因素身份认证技术的比较如图3所示。
图3 网银各种双因素身份认证技术对比
中国香港银行的做法
网银采取什么安全措施,完全决定于商业银行自身。这里,我们讲讲中国香港的银行采取的做法。他们在网银方面比起内地发展要快一些,因此,其采用的安全技术,对内地的网银具有借鉴意义。
目前,香港的银行已经采纳了3种双因素认证方案:数字证书 (由香港邮政局颁发的电子证书 eCert)、产生一次性密码(OTP)的电子设备(动态令牌)以及包含一次性密码(OTP)的短消息 (SMS-OTP)服务。
在香港,多数银行都采用了数字证书的双因素认证方式。但由于香港的数字证书发放比较早,由于许多用户的电脑还比较陈旧,应用起来不方便,采用该项技术的人在逐渐减少,而颁发CA证书的香港邮政局也因为用户的减少而退出了CA服务,将该服务外包给另一家第三方服务提供商,这样用户更加不放心,因此,采用CA证书的网银用户在逐渐减少。香港银行采用各种网银安全技术的情况如图4所示。
动态密码令牌在这种情况下开始流行。它的优势在于,可降低欺诈和身份窃取的风险,随时随地提供,不受地域限制;可简化消费者的认证步骤;易于使用,响应快速。例如,中国建设银行亚洲分行(前身为美国银行的亚洲分部)就采取了这种方式。
在双因素身份认证技术的用法上,香港的一些银行并不一样,比如,汇丰银行采取了在一进入网银时,用户就进行双因素认证的做法。而其他的一些银行,比如建行亚洲分行,则采取相反的做法,只在3个高风险的交易中才采用双因素认证,其他业务依然采用单因素身份认证。这三个业务是: 一是没有登记的转账,就是把钱从自己的户口转到第三者的户口,这个户口如果没有登记,就要用双因素认证才可以把钱转过去;二是做海外的汇款;三是信用卡交易。
这两种用法各有利弊。前者可以保证所有业务的安全,但用户如果在此环境下长期挂在网上,容易被黑客入侵,反而增加了安全风险;后者在日常查询、浏览时安全性稍差,但即使这时网银被攻破,资金账户的安全还是有保证的,因此,笔者认为后者是更安全的一种做法。
此外,对于目前人们容易上当受骗的“钓鱼”网站,香港的银行也有很简单有效的防护方法,这就是与网银客户达成一个简单的小秘密:一旦用户登录进入网银,就弹出一个用户早已经提交的图片,比如家人、宠物、孩子、汽车等的照片,而“钓鱼”网站是不知道这些小秘密的,从技术实现来说也并不困难。通过这个小小的技巧,就有效地预防了“钓鱼”攻击。
目前,中国内地的许多银行采用的是数字证书的双因素认证方式。由于内地的电脑均比较新,USB端口也逐渐从设备的背后移到前面,再加上信息产业部正在大力推进数字证书的发展,因此,数字证书有可能在内地比香港更加流行。预计未来数字证书和动态密码将成为两种主流的网银双因素认证方式。
链接一:什么是双因素认证?
双重身份认证由基本身份认证和附加身份认证组成。基本身份认证是指网上银行用户知晓并使用,预先注册在银行的本人用户名及口令/密码;附加身份认证是指网上银行用户持有、保管并使用可实现其他身份认证方式的信息(物理介质或电子设备等)。附加身份认证信息应不易被复制、修改和破解。
从技术上来说,附加身份认证包括数字证书(USB Key)、动态密码(令牌、指纹、密码卡、刮刮卡)、生物认证(虹膜、指纹等)。
【关键词】生物识别技术 社保领域 应用研究
随着时代的不断进步,人力资源社会保障事业在社会中地位逐渐提升,为现代人的生活、工作提供了一定的保障,广大群众对人力资源社会保障服务的要求也在不断提高。生物识别技术在社保领域中的应用能够有效进行申报人的真实身份识别,打破了传统身份认证手段技术落后的困境,为人力资源社会保障业务的开展提供了更加安全、可靠的技术支持。
1 生物识别技术的相关概述
1.1 生物识别技术的介绍
生物识别技术是一种先进的身份识别技术,能够通过人脸、静脉、指纹、声音等生物信息来确定个人的真实身份。不同自然人的生物特征作为重要的信息储存在生物识别系统中进行统一管理,能够高效的为各个险种及网上业务办理提供身份认证服务。社保卡系统的稳定运行就是建立在生物识别技术基础之上的,合理的使用生物识别技术建立社保系统平台,在发放社保卡的过程中对参保人的生物特征信息进行收集,并且将其生物特征信息保存在生物识别系统中相对应的位置,建立生物特征信息库,为自然人的养老、医疗、工伤、生育各个险种以及网上业务办理提供真实可靠的数据参考。
1.2 生物识别技术的建设
1.2.1 构建生物识别身份认证平台
参保人在办理社保的同时,工作人员会对能够证实其身份的生物特征信息进行采集、抽取和审核,确保参保人身份信息准确无误之后,将其生物特征信息进行集中储存,为日后利用生物识别技术进行参保人身份识别提供数据支持。社保部门构建生物识别身份认证平台,并且定期将各基层社保机构采集到的参保人生物特征上传到生物识别身份认证平台中进行集中储存,确保对参保人生物特征信息的有效管理,通过社保卡实现生物识别身份认证平台中信息数据的共享,最大限度的发挥出生物识别技术在社保领域中的作用。
1.2.2 设计养老保险身份认证子系统
养老保险身份认证子系统是社保系统中的重要组成部分,主要利用生物识别技术为养老保险身份认证子系统提供人脸识别和指纹识别双重身份认证服务,利用储存的参保人的生物特征信息,为参保人身份信息的安全性提供基本保障,这样社保机构就能够随时随地进行参保人身份信息的查阅,为社保机构的日常工作提供了很大的便利,方便职能部门对参保相关数据进行统计分析。
1.2.3 硬件设施的合理配置
生物识别技术在社保领域的使用需要多种配套硬件设备的支持,社保部门利用购置先进的人脸识别仪和指纹识别仪,通过对参保人生物特征的准确采集与识别来进行其真实身份的认证。
1.3 生物识别技术的实现
生物识别技术的实现要对参保人的生物特征信息进行采集,主要分为人脸模板数据信息采集、指纹模板数据信息采集和其他生物特征模板数据信息采集。社保部门会将采集到的人脸数据信息与公安数据进行对比,将信息一致的数据直接传送到生物识别特征数据库中,将信息不一致的数据下发到相对应的社保机构,再一次进行参保人身份信息的核对。指纹数据信息的采集主要是在办理社保业务或者进行身份认证的时候,通过多种方式进行参保人指纹信息的采集。目前比较常见的其他生物特征数据信息的采集是指利用二代身份证照片作为社保卡照片,通过高质量的二代身份证照片进行参保人身份信息的核对。
2 生物识别技术在社保领域的应用
2.1 社保领取资格认证
人力资源社会保障中包含的业务种类非常丰富,并且不同类型的险种每年所需要办理的业务也不尽相同。像是养老保险、新农保等业务要求每年进行资格认证的领取,传统的认证模式比较繁琐,需要参保人到社保经办机构现场进行认证,或者提交参保人的生存证明来确定其身份信息。这种认证方式不仅会浪费参保人的时间,还在一定程度上降低了人力资源社会保障部门的工作效率。生物识别技术的应用能够有效改善这种传统认证方式存在的弊端,通过对参保人生物特征的识别来确定其身份信息,参保人可以在社保经办机构、家里、网吧等多种场所随时随地进行身份认证,为社保部门和参保人都提供了很大的方便。
2.2 网上自助业务申报
随着科学技术的飞速发展,互联网在现代人日常生活、工作中的应用越来越广泛,逐渐成为现代社会发展过程中不可或缺的重要组成部分,社保领域网上自助业务申报的实现也成为信息时代的必然发展趋势。参保人员可以使用电脑或手机等移动客户端进行相关社保业务的申报和办理,在填写完申报人相关信息之后,会采用生物识别技术对申报人的相关信息进行审核与认证,进一步对申报人的真实信息进行识别,_保相关信息的准确无误之后,才能够完成申报材料的报批。
2.3 社保自助业务终端身份认证
参保者在使用自助业务终端查询信息的时候,自助业务终端会利用生物识别技术对参保者的身份进行认证,确保参保者身份信息准确无误之后,才会为参保者提供信息查询、业务申报等服务,为人力资源社会保障事业中的信息安全和社保基金安全提供基本保障。
2.4 医保智能就医监控
医保管理部门构建医保智能就医监控系统,当参保人使用社保卡在医保定点医疗就够就医购药时,利用生物识别技术对参保人的真实身份进行认证,确认参保人身份信息无误后,方可允许参保人享受医保待遇,可以有效地防范虚假冒名住院、骗取医保基金等行为。
3 结论
综上分析可知,人力资源社会保障事业是现代社会发展中的重要组成部分,尤其是在信息时代的背景下,加强社保领域与生物识别技术的结合是非常必要的。社保部门可以利用生物识别技术进行参保人身份的认证与识别,为参保人提供更加优质、便利的服务。同时利用生物识别技术构建生物特征信息数据库,对参保人的生物特征信息进行统一管理,有利于实现信息共享和设备通用,进一步推动了人力资源社会保障事业的可持续发展。
参考文献
[1]陈虹.基于指静脉识别技术的社保系统的研究与实现[D].北京工业大学,2012.
[2]樊山水.生物识别在社保领域的应用――以河南超锐贸易有限公司为例[J].人才资源开发,2015(07):45-46.
关键词:互联网计算机;信息安全;用户身份认证
目前计算机信息技术已经得到广泛普及,当然使用要求也在随之提高,除了各种功能以外,安全技术的研究至关重要,当下用户身份认证技术,能够针对系统计算机操作过程中的用户身份进行确认,大幅度提高了计算机使用安全性。相比传统的安全措施,需要用户记住大量的密码,而且在实际运用过程中复杂、安全性较低,所以身份认证技术无疑更加便利,而且安全系数要更高。因此需要加大对用户身份认证技术的研究,并在重要的场所和领域中推广应用,以确保系统的计算机信息使用的安全。
1身份认证技术的含义
身份认证技术是用户在使用信息系统计算机的过程中,对其身份进行认证,以确保计算机信息使用安全。对于计算机和网络来说,其中所有内容都是通过信息数据来表示,也包括用户的个人身份信息,而该技术就是利用这一点,对用户信息进行识别和授权,这样就能确保用户的使用安全,这个过程中就利用了身份认证技术。因为计算机网络技术的全面发展,安全问题也逐渐受到关注,尤其是企业单位的使用,会充分利用身份认证技术,针对计算机信息进行安全防护,由此可见身份认证技术,在企业单位的使用中承担着重要任务。如果像以往采用单个电脑进行防护,就需要用户记住多个密码,因此在使用上十分复杂,而身份认证技术则做到了更加简化的操作,将登录、验证环节有效融合,为用户提供了更多便利。目前各大企业单位都建立了身份认证技术,并把其作为主要的安全保障系统,这样可以有效提高计算机信息的安全系数,也能简化以往的使用步骤,对于企业单位来说具有更多优势。
2计算机信息安全用户身份认证技术研究的重要性
从当下的实际使用来看,身份认证技术在计算机网络信息安全中,具有非常重要的地位,也是最直接、最有效的安全防护措施,能够充分判断合法用户与非法用户,允许并监督经过授权的操作,并针对非法操作进行阻止,以此来避免黑客入侵或计算机病毒破坏等安全问题。一般来说用户在登录之前,必须要向身份认证系统表明自己的身份,再经过详细的识别和确认后,才能进行有效的操作,或针对某一资源进行访问,安全系数大大提升。另外身份认证,技术支持检测系统,可以有效记录用户的行为,并针对系统进行检查,是否存在入侵的行为等,因此身份认证技术能够为用户提供更加全面的安全防护。在应用身份认证技术后,所有的安全服务都要用户提供信息验证,这样就能大大降低安全问题,不过由于身份系统的重要作用,很多黑客也开始集中供给身份认证系统,若身份认证系统被破坏,将会造成不可预估的损失。在这样的情况下,人们也愈发注重身份认证技术的研究,并演变出密码认证、智能卡认证以外的网关认证、生物认证、动态口令认证等等,由此可见身份认证技术研究的重要性。
3用户身份认证技术类型
3.1密码认证
由于网络计算机信息安全问题频出,所以身份认证技术得到了广泛重视,作为计算机系统安全防护的第1道关卡,密码认证是整个身份认证技术的基石,其核心在于密码算法,也就是密码算法会直接决定身份认证的强度。目前密码认证使用非常广泛,不仅限于计算机,还有移动智能设备等。密码认证是最为常用的技术之一,可以有效保护个人信息安全,而且能够准确识别用户身份信息,从而大大提高了储存文件的安全系数,不过也存在相应的问题,随着时代的发展,密码认证技术会遭到更为强大的挑战,因此也加大了量子加密算法与抗量子攻击算法的研究,以此来加强密码认证技术的安全性。密码认证数据必须要经过加密后才能进行储存,因此当下主要的研究方向为非对称密码技术,特别是基于PKI技术的二代身份认证技术,为了能够有效应对更多黑客攻击,量子密码技术也在研究过程中,这样才能确保密码认证的安全性,为用户提供更好的隐私保护。
3.2智能卡认证
智能卡也是较为常用的认证技术之一,在软硬件保护方面做得非常出色,可以确保卡内信息无法被黑客访问,其次智能卡中装有芯片也能实现加密的效果,这样就能大幅度提高智能卡认证技术的安全性,因此也被认为是非常安全的身份认证技术。当然智能卡的应用优势非常多,甚至给身份认证技术带来更多突破,例如智能卡与其他技术的结合,从而形成新的身份认证技术,而这种多因素认证,也能有效提高身份认证系统的安全性。其次用户在使用智能卡进行身份认证时,不仅要出示该智能卡,也要输入正确的PIN码,另外智能卡认证技术还有专属的ID号码,也是有效的防范措施,系统可以针对该号码进行识别是否由用户使用智能卡。目前智能卡技术得到了有效研究,而且衍生出更多新的人在技术,例如余数定理远程口令认证、EIGmaal密码远程认证等,对智能卡认证技术进一步升级,也实现了更加安全、更加可靠的身份认证。由此可见智能卡的使用,为身份认证技术研究,提供了更多动力。
3.3网关认证
近年来,手机号逐渐成为为信息系统账号,一种基于手机号码和运营商网络的认证方式随之产生。网关认证技术的前提是手机号码作为系统账号,并且接入到运营商网络中。用户在手机端登录时,从用户在手机终端访问运营商网络产生的网关信令中自动获取用户手机号码,实现安全便捷的登录。网关认证有两种形态,一是通过网关信令直接截取用户手机号码,反馈给用户,用户确认后实现账号认证,一种是用户输入自己的手机号码账号,与网关获取的号码进行比对,若比对一致则认证成功。网关认证的优势是无须记忆密码,操作简单便捷,安全性和效率均较高,缺点是需要有运营商网络。近几年随着移动互联网的兴起,该项技术的应用也越来越广泛。
3.4生物认证
生物特征认证技术,也是当下最常使用的认证技术之一,其核心在于利用人体特征,进行有效的身份认证,首先要针对用户的生物特征进行提取,其次再经过模数转换确定出唯一的特征,并形成最终的特征模板。目前生物认证技术安全性非常高,在实际认证过程中,需要获取用户的生物特征,在转换成预定义的数字格式,与提前设置好的特征模板进行有效对比,这样就能进行更加安全的身份认证,判断用户的合法性。其次生物认证的方式比较多样化,例如指纹认证、虹膜认证、视网膜认证、面部认证以及声音识别等等,尤其是面部认证在当下应用最为广泛。不过生物认证技术仍存在不足,尤其是特征提取与模式匹配这两个部分,仍然需要完善和探索,以此来减少识别过程中的错误概率。除此之外需要注意生物特征信息并不具备保密特点,例如指纹类的认证方式,就容易遗留在物体上从而产生被盗用的风险,另外生物认证信息不能随意更改,基于这些因素可以明确生物认证技术的研究方向,包括结构安全性、认证机制,安全性等等,这样才能增加安全保障。
3.5动态口令认证
动态口令认证技术其实就是由静态口令演变而来,只不过随着时展,静态口令的安全性无法满足用户需求,不然静态口令的使用却比较广泛,除了计算机的使用以外,例如银行卡、支付宝都采用了静态口令认证。其核心机制在于系统预先保存用户的ID和口令,这样在用户进行操作时,就需要针对用户的身份进行认证,首先系统获取用户输入的ID和口令信息,再与数据库中保存的信息进行对比,以此来判断用户的信息是否正确。但是静态口令认证技术的安全隐患比较严重,用户每次进行验证,静态口令都保持一致,除非进行自主修改,这也导致计算机信息安全风险。因此才有静态口令发展为动态口令认证技术,动态口令的核心就是一次性口令,用户每次进行验证,都会随机生成动态密码,再由认证服务器进行验证,从而大大提高认证过程的安全系数,因为每次传输的动态口令都不一致,所以能够防止被黑客攻击的情况。
3.6Usbkey技术认证
对于Usbkey认证技术来说,其核心就在于集合了多种身份认证技术的优势,例如密码认证、智能卡认证等等,可以说是多种技术融合而成,因此在使用上更加安全、可靠,尤其是内置CPU或智能卡芯片,整个加密运算过程都是在Usbkey中运行,这样用户端密钥就不会被计算机存储,在遭到黑客攻击时也不会泄漏密钥。其次该认真技术采用了双因子认证模式,并设计了USB接口,在使用上更加方便安全,与U盘大小一致,并没有太大的差别,但内部结构相对复杂,包括CPU、储存器、以及芯片操作系统等等。除此之外Usbkey具有硬件PIN码保护,这样就形成了两个重要的防护因素,不仅有内置的密码算法,还要提供PIN码才能实现成功认证,而且就算PIN码出现丢失、泄漏的问题,只要用户的Usbkey没有丢失,就不会出现安全问题。如果用户的Usbkey丢失,但PIN没有泄漏也不会造成安全问题,同时密钥与证书也是不能进行导出操作的,加上Usbkey硬件更是不可复制,因此Usbkey是非常安全的身份认证技术。
