广州天卓软件科技有限公司
电 话:020-87568789
手 机:18028592966(微信同号)
传 真:020-87568789-999
Email:tianzhuo168@gq.com
网 址:www.gztzsoft.com
地 址:广州市朱村大道东178号威华国际商务楼S2栋66号(客户中心)
广州市天河区棠东官育路22号棠丰商业大厦(总部)
微信公众号:tianzhuo8
随着信息化建设的高速发展,在三网融合等应用背景下,为了解决网络应用中的身份假冒、授权管理等问题,身份认证技术是首当其冲的问题,在互连网应用的初期大多采用用户名+口令的认证方式,这种方式很容易受到攻击;后来RSA推出了动态口令卡,采用动态的双因子认证技术解决口令认证的重放、穷举等攻击手段,从本质上讲动态口令还是基于口令的认证方式;基于公钥技术PKI的身份认证,采用数字证书的认证方式,从根本上提高了身份认证的安全强度,是目前公认的安全认证方式。
目前在互联网应用的业务系统中采用的认证方式主要包括:用户名+口令、动态口令认证、生物识别方式、数字证书文件、数字证书Usbkey等。在各种身份认证方式与过程中涉及到下列相关术语:
1) 单向认证:通信的双方只需要一方被另一方鉴别身份,这样的认证过程就是一种单向认证,即前面所述口令核对法就算是一种单向认证,一般只验证客户端,易受冒名攻击,如钓鱼网站等。
2) 双向认证:通信双方需要互相鉴别各自的身分,然后交换会话密鈅,保密性高但会遇到消息重放攻击,可以通过时间戳等方式避免重放攻击。
3) 数字签名技术:采用公钥技术对信息进行数字签名,能够有效保证数据的完整性、有效性、不可抵赖性,电子签名法的出台使得数字签名具有手写签名同等的法律效力。
4) 认证载体:一般为手持设备,能够有效的保护用户的机密信息不被窃取,是双因子认证的关键技术。
(1)应用情况
系统为合法用户建立用户名/口令对,一般情况用户名口令存放在数据库中,用户登录时,服务器从数据库中读取口令,并验证用户口令是否匹配。
这种认证方式是互联网应用早期的应用模式。
(2)优缺点
优点是使用简单,应用广泛,容易被客户接受。
缺点非常明显,其安全性依赖于口令的保密性,口令一般较短且是静态数据,容易猜测,且易被攻击,采用窥探、字典攻击、穷举尝试、网络数据流窃听、重放攻击等。
(1)应用情况
动态口令卡采用专用硬件,内置电源、密码生成芯片和显示屏,密码生成芯片运行专门的密码算法,根据当前时间或使用次数生成当前密码并显示在显示屏上。认证服务器采用相同的算法计算当前的有效密码。
用户使用时需要将动态令牌上显示的当前密码输入客户端计算机,由于用户每次使用的密码都不相同,即使黑客截获了一次密码,也无法利用这个密码来仿冒合法用户的身份。
目前银行系统比如中国银行、建设银行等采用了动态口令的认证方式。
(2)优缺点
优点:遵循了用户采用用户名+口令进行身份认证的使用习惯,并采用动态口令的方式解决重放攻击问题。
缺点:
² 如果客户端与服务器端的时间或次数不能保持良好的同步,就可能发生合法用户无法登录的问题。
² 客户端和服务器端的口令生成算法本身采用的是伪随机序列发生器技术,一旦算法被破解将会造成连续泄密。
² 用户每次登录时需要通过键盘输入一长串无规律的密码,一旦输错就要重新操作,性能受到影响。
² 没有数字签名技术,无法保证业务的不可抵赖性。
² 另外基于动态口令的认证方式对于跨域登录、单点登录支持的安全性不高。
(1)应用情况
生物特征认证是指采用每个人独一无二的生物特征来验证用户身份的技术。常见的有指纹识别、虹膜识别等。
目前生物识别技术在军工、矿井、门禁、考勤等方面应用广泛。
(2)优缺点
优点:从理论上说,生物特征认证是最可靠的身份认证方式,因为它直接使用人的物理特征来表示每一个人的数字身份,不同的人具有不同的生物特征,因此几乎不可能被仿冒。
缺点:认证时需要单独的生物特征采集设备,如指纹录入设备、虹膜读取设备等,成本较高;生物识别技术也是一种单向认证技术,并且没有数字签名功能,客户的行为不能防止抵赖行为。
(1)应用情况
数字证书就是网上的数字身份证,基于PKI(Public Key Infrastructure,公钥基础设施)构架的数字证书认证方式可以有效保证用户的身份安全和数据安全。数字证书是由可信任的第三方认证机构颁发的一组包含用户身份信息(密钥)的数据结构,PKI体系通过采用加密算法构建了一套完善的流程,保证数字证书持有人的身份安全,身份认证时需要输入证书文件的保护口令。
目前招商银行、建行等支持软件数字证书的认证方式,一般用于小额的转账、网上交易等应用。
(2)优缺点
优点:采用了PKI的认证技术,安全性较高,数字证书文件一般为PKCS#12格式,该文件保存在用户的主机上,使用时需要输入文件的使用口令,身份认证过程可以支持单向/双向认证模式。
缺点:证书文件的安全性无法保证,由于可以被直接复制,一旦泄漏其安全性等同于用户名+口令模式。
(1)应用情况
采用USB Key作为数字证书载体,USB Key是一种USB接口的硬件设备,它内置单片机或智能卡芯片,可以存储用户的密钥或数字证书,利用USB Key内置的密码算法实现对用户身份的认证,可以实现强身份认证,支持单向/双向认证模式,安全性高。
目前大额的资金交易、网上转帐、内部人员管理等身份认证都采用了基于Usbkey的方式,比如农行的柜面业务、建行的网银、招行网银等。
(2)优缺点
优点:采用了基于PKI的身份认证方式,使用USB key作为证书载体,确保证书无法被复制,从而确保证书是唯一性,对用户的密钥提供高强度安全保护。
缺点:需要提供独立的USBKEY硬件,增加了少量应用成本。
因此,基于USBkey的数字证书,是安全性最有保障的一种身份认证方式。
各种认证方式的比较
|
认证方式 |
数字签名 |
认证类型 |
认证载体 |
安全级别 |
|
用户名+口令 |
无 |
单向认证 |
无 |
★ |
|
动态口令卡 |
无 |
单向认证 |
有 |
★★ |
|
生物识别方式 |
无 |
单向认证 |
有 |
★★★ |
|
数字证书文件 |
有 |
单向认证/双向认证 |
无 |
★★★★ |
|
数字证书USBKey |
有 |
单向认证/双向认证 |
有 |
★★★★★ |
温馨提示:广州天卓软件科技,是您最值的信赖的信息安全产品供应商!
热线电话:18028592966
