身份认证技术的发展与展望.doc

《身份认证技术的发展与展望.doc》由会员分享，可在线阅读，更多相关《身份认证技术的发展与展望.doc（7页珍藏版）》请在得力文库 - 分享文档赚钱的网站上搜索。

1、身份认证技术的开展与展望Internet迅猛开展带来了信息共享与平安这对矛盾共同体，加强网络平安建立、保障网络的平安运行成为网络存在的根本之道。网络身份认证技术开展到今天已经成为信息管理系统中必不可少的一局部，扮演着网络系统“看门人的角色。针对不同的平安威胁，目前存在多种主机平安技术与相关平安产品，如防病毒技术、个人防火墙、平安应用程序(如文件加密程序)、平安操作系统等。这些技术与产品在一定程度上满足人们的平安需求，却没有很好地解决以下两个问题： 1系统访问，即开机时的保护问题，目前普遍采用的是基于口令的弱身份认证技术，很容易被攻破而造成泄密； 2运行时保护，即在合法用户进入系统后因某种原因暂

2、时离开计算机，此时任何人员均可在此系统之上进展操作，从而造成泄密。将密码写在记事本上挂在电脑旁边，这样的事情相信很多公司的员工都曾经为之。出于平安的要求，现在公司的平安策略普遍要求员工的登陆密码要定期更换，而且不能重复，这使得想出一个自己能记住的长串密码成为一件让员工头疼的事情。为了便于记忆，员工往往会选择常用词或者号码作为密码，如果攻击者使用“字典攻击法或者穷举尝试法来破译，很容易被穷举出来。传统的账号加密码的形式，账号根本上都是公开的，密码容易被猜中，容易忘记，也容易被盗。据统计，一个人平均下来要记15到20个密码。静态密码的隐患显而易见，尤其是在证券、银行等行业，轰动一时的“银广夏盗卖案

3、早就为业界敲响了警钟。为了解决静态密码的平安问题，一种方式是同一个人员使用不同的密码进入不同的应用系统，防止所有的鸡蛋都在一个篮子里面的问题，然而需要记忆多个密码；第二种方式，采用软件VPN方式，登陆前先要使用VPN连接，这样可以面向一局部机器开放，但是第一次使用时下载VPN软件，每次访问系统前登陆VPN，一那么麻烦，有些系统要VPN，有些不需要VPN，需要时常切换；二那么不利于移植办公；三那么登陆VPN后，其整个系统也处于开放状态。并且VPN的认证本身也是一种静态密码的形式。静态密码的最可怕之处就是密码泄漏了，用户却可能完全不知情。结果长期使用这个密码，相关的商业秘密就长期泄漏，我们也不可能

4、经常修改密码，为了方便记忆，密码设置本身也就是那些姓名、生日、常规单词等容易被猜想、被攻击的信息。目前网上客户对网上交易使用的密码的平安性就没有多少信心。因为这些信息根本上是不改动的，很容易被网络犯罪分子劫取。比方通过网上钓鱼的方式就很容易获取一些疏于防范的客户的账户信息。第三种方式，就是目前银行普遍提供的USB移动证书。USB 密码采用软硬件相结合一次一密的强双因子认证模式，是一种 USB 接口的硬件设备，它内置单片机或智能卡芯片，可以存储用户的密钥或数字证书，利用 USB Key 内置的密码学算法实现对用户身份的认证。但是USB Key只能在己安装相应驱动程序的电脑上进展操作，在其他没有

5、USB 插口的设备上那么无法使用，使用范围相对狭窄。另外由于必须连接电脑，在已经出现相应的木马病毒的情况下，仍然存在平安隐患。第四种方式，就是目前采用的动态密码技术。动态密码也称一次性密码One-time Password，它指用户的密码按照时间或使用次数不断动态变化，每个密码只使用一次。动态密码采用一种称之为动态令牌的专用硬件，大小相当于一张闪存盘，显示方式类似于电子手表，它内置电源、密码生成芯片与显示屏。密码生成芯片运行专门的密码算法，根据当前时间或使用次数生成当前密码并显示在显示屏上。认证效劳器采用一样的算法计算当前的有效密码。由于每次使用的密码必须由动态令牌来产生，只有合法用户才持有该

6、硬件，所以只要密码验证通过，系统就可以认为该用户的身份是可靠的。而用户每次使用的密码都不一样，即使黑客截获了一次密码，也无法利用这个密码来仿冒合法用户的身份。其中一种就是现在比拟常规使用的短信认证，每次登陆前，系统会计算出一个验证码，同时给登陆者的手机上发布包括这个验证码的短信息，登陆者收到这个验证码短信后输入系统，通过验证后才能够进入系统；另外一种就是一个手表性的密码生成装置，一直处于运行状态，时刻生成密码；同时应用系统那边也有一个认证效劳器时刻运转，生成一样的密码。登陆的时候，把密码生成装置上的密码输入系统，与认证效劳器上生成密码进展匹配，如果匹配成功，那么就可以登陆系统。动态密码技术虽然

7、可以防止黑客、病毒等攻击，但是也存在着一些问题：1短信认证，虽然便利，但是一那么短信要收费；二那么短信不稳定，不能够保证及时收到。2密码生成装置是一个易耗品，为了保证平安性，电子令牌一般被设计为不可拆卸的，这样的设计就意味着无法更换电池，导致电子令牌的使用寿命非常有限。同时，还存在着时间漂移问题，密码生成器与认证效劳器的时间不一定能完全同步，有可能造成用户无法登陆系统。可以看出，目前的身份认证平安存在着一系列的麻烦。如何改良静态密码的认证机制与简化动态密码的本钱因素，将是后期身份认证机制需要着重考虑的问题。下面，我们提出我们的第五代身份认证机制，基于RFID的身份认证。提到RFID，事先肯定想

8、到的就是收发装置，还有天线等。事实上，正是因为RFID需要在每一个产品上安装一个发射装置，导致本钱太高，才没有在仓库、海关等大量应用。所以，我们的身份认证机制要竭力防止这个问题。我们的RFID身份认证系统主要有以下设备：1RFID密码写入装置；2RFID密码发射器。公司代码用户名密码生成算法RFID写入装置RFID密码发射器个人口令软件应用系统用户名个人口令密码生成算法密码匹配公司代码基于RFID身份认证系统的主要特点为：（1） 双密码认证机制与单密码认证机制并存：可以不使用RFID密码认证，只使用个人静态口令认证或者只使用RFID密码认证，不需要记忆任何的个人口令，只要拥有RFID密码发射器

9、就可以了。最好是个人口令与RFID认证均要求。（2） 利用公司代码，那么每家的RFID生成密码均是完全不同的。（3） 一旦个人RFID密码发射器丧失，那么不可能进入软件应用系统，就可以立刻知道登陆应用系统存在平安隐患，而不会出现个人静态口令丧失却完全不知情的平安严重隐患。一旦个人RFID密码发射器丧失，那么可以要求系统管理员暂时修改该用户的认证方式为个人口令认证，同时，向系统管理员申请新的RFID密码发射器、修改原有个人口令、甚至用户名。重新生成的RFID密码发射器与原有的RFID密码发射器完全不同。拥有原有的RFID密码发射器的人也无法进入软件应用系统。（4） 我们提供RFID密码写入装置与

10、RFID密码发射器本身，提供相应的密码生成算法。企业可以自主控制用户群体数量的大小以及能够使用RFID密码发射器的人群。相关的用户人员的权限以及是否可以访问系统，也由企业自主控制。（5） 不需要认证效劳器，也不存在与认证效劳器对时的要求，也不需要电池，可以长期使用，并且可以屡次写入。（6） RFID密码发射器能够长期有效，不需要电池。同时小巧、精致，可以作为装饰品放在钥匙串，方便携带，易于使用。（7） 工作临时需要交接，可以暂时把RFID密码发射器交给交接人使用，一旦出差或办事回来，交接人把RFID密码发射器还给原拥有人就行了，不需要每次均修改密码或者因忘记密码，存在大量平安隐患。（8） 一个

11、人知道个人口令或者拥有RFID密码发射器，均不能够进入软件系统，必须两样均有，这样能够更高层次的保证企业核心数据的平安。也有利于确认在企业商业机密泄漏后，发现是谁的疏忽或者恶意，造成了相关损失。原有密码系统，只要告诉一个外地人，个人帐号、口令就可以登陆软件应用系统。而RFID密码发射器能够保证只有一个人拥有，从物理装置上与产生原理一旦生成过，就再也不能够生成第二张同样的RFID卡上，没有方法两个人共享。（9） RFID密码发射器是可以远距离发射，不涉及到USB插拔的问题，也不涉及到需要安装驱动程序的问题，任何计算机上只要有没有被占用的并行口或者串口就行了。我们提供一个并行口或者串口设置窗口。（

12、10） RFID密码发射器，可以在高温、高热、严寒等环境下使用。（11） RFID密码发射器属于硬件装置，无法仿照。（12） RFID密码生成算法，企业可以自主设置相关密码长度，增强系统的平安性，生成的密码也不在数据库中间保存，系统管理员也无法直接在数据库中写入。同时从管理上，可以设定系统管理员与RFID密码发射器的写入人员不是一个人，系统管理员只能够增加人员，但没有RFID密码写入装置，无法做RFID密码发射器。就可以防止系统管理员疏忽没有删除无用用户或测试用户以及其他黑客获得了系统管理员权限后的破坏。 综合以上可以看出，原有前4代的密码认证机制所存在的平安隐患或者不便利之处，均可以在我们的RFID身份认证机制下解决。同时，RFID身份认证机制可以大量的提高身份认证的平安性以及便利性。第 7 页