我們生活的現實世界是一個真實的物理世界,每個人都擁有獨一無二的物理身份。而今我們也生活在數字世界中,一切信息都是由一組特定的數據表示,當然也包括用戶的身份信息。而計算機只能識別用戶的數字身份,所以計算機給用戶的授權也是針對用戶數字身份進行的。保證訪問者的數字身份與物理身份相對應,就是身份認證管理系統所需要解決的問題。
身份認證——進入大門的鑰匙
數據存在的價值就是被合理訪問,建立信息安全體系的目的是保證系統中的數據只能被有權限的“人”訪問。如果沒有有效的身份認證管理手段,訪問者的身份就很容易被偽造,使得任何安全防范體系都形同虛設。
記得2006年中一個最經典的安全理論:“不要讓安全木桶漏了底兒”。這個木桶理論在安全領域被廣為接受,信息安全體系看作一個木桶,那么防火墻、入侵檢測、VPN、安全網關等安全設備就是木桶的壁板,而身份管理就相當于木桶底。由此可見,身份認證管理是整個信息安全體系的基礎。
另外,從應用系統的安全管理特性上看,身份認證是進入應用系統的鑰匙。我們通常將應用系統的安全范圍定義在5大類安全技術,分別為:身份認證、訪問控制、數據保密性、數據完整性以及不可否認性。身份認證作為排位靠前的安全管理技術,原因在于,它是對一個用戶合法身份的管理,是進入網絡大門的第一道通行證,它授權系統的外部用戶或內部用戶對系統資源的訪問以及對敏感信息的訪問。
例如:出入控制和存取控制。出入控制主要是阻止非授權用戶進入機構或組織,一般是以電子技術、生物技術或者電子技術與生物技術結合阻止非授權用戶進入。存取控制指主體訪問客體時的存取控制,如通過對授權用戶存取系統敏感信息時進行安全性檢查,以實現對授權用戶的存取權限的控制,如用PKI體系建立CA系統等。
密碼體系的身份驗證有何弊端?
由密碼建立起來的身份認證管理體系是第一代信任服務體系。最有代表性的是R.Rivest于上個世紀90年代初開發出來MD5加密,即"Message-Digest Algorithm 5(信息-摘要算法)也就是HASH算法。MD5算法是一種應用廣泛的身份認證算,它的最大作用在于它是一種不可逆的算法,即把密碼明文都轉換成一個128位的數據,而這個數據不能通過返函數的方式推導出原來的數據。
如果要判斷一個密碼是否與原來的密碼相等,只能把新的數據進行一次MD5變換,然后用該變換結果與原來數據的變換結果比較。但MD5完全可以信賴嗎?其實從MD5誕生之日起,Van Oorschot和Wiener的兩位密碼學專家就發現了一個暴力搜尋沖突的函數,一直到2004國際密碼學年會上,來自中國山東大學王小云教授的一篇關于“破譯MD5、HAVAL-128、MD4以及RIPEMD-128算法”的報告引起了轟動,報告中提到的新破譯方法幾乎標志著世界通信密碼標準——MD5堡壘的轟然倒塌。
我這這里暫且不再討論MD5是如何破解的了,單單在實際管理中,以單一密碼為身份認證的管理體系就漏洞具多,比如:
* 為了便于記憶,用戶多選擇生日、電話號碼等作為密碼,黑客可以通過暴力程序不斷嘗試并且很容易破譯密碼;
* 靜態密碼明文傳輸,容易被中間人程序(Sniffer工具)采用截取、重放的方式,對經過簡單加密后傳輸的認證信息進行分辨,也可推算出用戶的密碼,造成密碼破解;
* 利用郵件和釣魚網站詐騙,等手段獲取用戶的密碼;
* 網管或內部其他人員可通過合法授權取得用戶密碼而非法使用;
* 離職員工對于沒有密碼賬戶依然具有使用和資源訪問權限。
發生在身邊“身份冒用”
但傳統的基于密碼體系的認證系統經常會遭受到暴力破解、木馬盜取、網絡監聽(中間人攻擊)的困擾,可謂危機四伏,四面楚歌。很多網管員都熟悉一些安全工具和技術,這些主要是針對密碼進行的防范技術。比如獲得Windows系統一定的訪問權限,需要“從Guest→Administrator→SYSTEM”。所以很多管理員用一些系統的安全策略來控制訪問用戶,比如密碼復雜性策略、賬戶鎖定策略等。
但最近一位朋友告訴我:“他在Joel Scambray(微軟公司的MSN網站的高級安全主管)的大作中找到了一篇竊聽Windows身份驗證過程的文章,并按照另外一個黑客提供線索,成功地破解了一個域管理員帳戶的復雜性密碼,并在ISA SERVER(代理防火墻服務器)上提升自己客戶端的權限,肆無忌憚的下載HDTV電影。”我按照他的方法做了一個實驗,居然也能成功,愕然。
動態身份驗證成為趨勢
隨著互聯網日益蓬勃及新興電子商務應運而生,個人的身份識別問題日漸受到重視。這不僅僅是由于網絡安全問題日益嚴重,更是因為這是決定真正的網上交易能否達成的關鍵。如何識別某人的真實身份,進而賦予其相應的權限,允許其完成一定的操作,已經成為目前安全領域中迫切需要解決的問題。目前,在靜態密碼的基礎上,提供二次身份驗證的技術主要有圖片驗證碼技術、數字證書、USB移動證書、動態密碼等方式。
* 圖片驗證碼
圖片驗證碼是為了防范客戶使用暴力程序不斷嘗試獲取用戶密碼,而采用的一種技術,它是在圖片中加入使用者可以識別而計算機不能自動識別的隨機數字或符號,從而達到防范黑客攻擊的目的。
* 數字證書
數字證書是一個經證書認證中心(CA)數字簽名的包含用戶身份信息、用戶公鑰信息的數據文件。由認證中心(CA)負責驗證數字證書的有效性,以實現對用戶身份的認證。數字證書認證技術采用加密傳輸和數字簽名技術,可以較好的保障網上信息安全。
* USB移動證書
將用戶的密鑰或數字證書存儲在USB Key硬件設備中,利用 USB Key 內置的密碼學算法實現對用戶身份的認證。
隨著人們針對傳統密碼認證的質疑越來越多,就連比爾·蓋茨都公開表示希望在將來取消密碼認證。從傳統的密碼保護方式遷移到更高級的認證方式,已經成為很多公司的選擇,尤其是對于在網上傳輸敏感信息的機構而言。對于美國的很多受到聯邦財務機構監察委員會的要求,必須采用雙因子認證方式。
根據2006年4月Search Security網站針對358名信息化負責人的調查,大多數人認為單一密碼保護已經無法保證身份認證以及訪問管理的安全需求:74%的受訪者認為信息系統的用戶需要記住的密碼太多,超過56%的受訪者表示他們經常需要幫助用戶重置密碼,79%的受訪者宣布他們今年將投資花費在身份管理領域,64%的受訪者已經考慮購買密碼令牌。
動態口令雙因子安全認證系統(LGET DynaPass Two Factors Authentication System)為計算機信息網絡系統用戶的合法身份認證提供了簡捷、有效的認證手段。雙因子認證提供了比密碼更加安全的模式,這種網絡安全超出了傳統意義的靜態密碼功能。用戶要想訪問某個特定的數據或信息資源,必須輸入他所知道的密碼,還要輸入一個動態的代碼。比如,某個分支機構的用戶要訪問企業核心數據庫。他除去要輸入IT管理員為每個員工配備的密碼之外,還需要輸入SecurID認證設備上每隔60秒就生成的不同代碼。因此,雙因子認證體系受到企業的親睞,應用范圍也將更為廣泛:
* 網上委托系統身份認證
* 撥號登錄訪問
* 通過動態口令對安全網頁訪問進行限制
* 證券電話委托、電話銀行
* 網絡設備的口令管理及主機登錄
* NETWARE/NT/ UNIX系統登錄功能
* ORACLE/SQL SERVER等大型數據庫的用戶連接訪問控制
目前,動態口令雙因子安全認證系統主要有RSA、Safeword等產品,它們分別都建設了相應的認證中心,以便于更好的認證。例如,動聯信息技術有限公司就聯合RSA,創建了動碼令身份認證中心,該認證中心是專門針對如SCM(供應鏈管理)、CRM、OA等信息化軟件、電子商務平臺等中小型網絡應用,以低成本的加盟方式,做到商戶系統與動碼令中心的無縫接入,為最終消費者提供專業的動態密碼認證服務。同時,動碼令中心,還增加了多商戶認證的功能,讓用戶可以憑借一枚令牌,輕松登陸多項不同公司的網絡應用。
