认证技术对网络信息的安全防护

2023-10-18 理论教育版权反馈

【摘要】：身份认证技术是在计算机网络中确认操作者身份而使用的技术。目前，基于生物特征识别的身份认证技术主要有指纹识别技术、语音识别技术、视网膜图样识别技术、虹膜图样识别技术以及脸型识别技术等。基于USB Key的身份认证技术是近几年发展起来的一种方便、安全、经济的身份认证技术，它采用软硬件相结合的一次一密的强双因子认证模式，很好地解决了安全性与易用性之间的矛盾。

身份认证技术是在计算机网络中确认操作者身份而使用的技术。

计算机网络世界中一切信息包括用户的身份信息都是用一组特定的数据来表示的，计算机只能识别用户的数字身份，所有对用户的授权也是针对用户数字身份的授权。

如何保证以数字身份进行操作的操作者就是这个数字身份的合法拥有者，即保证操作者的物理身份与数字身份相对应，这就是身份认证技术所需要解决的问题。作为防护网络资产的第一道关口，身份认证起着举足轻重的作用。数字签名和鉴别技术的一个最主要的应用领域就是身份认证。

身份认证技术是在计算机网络中确认操作者身份的过程而产生的解决方法。计算机网络世界中一切信息包括用户的身份信息都是用一组特定的数据来表示的，计算机只能识别用户的数字身份，所有对用户的授权也是针对用户数字身份的授权。如何保证以数字身份进行操作的操作者就是这个数字身份合法拥有者，也就是说保证操作者的物理身份与数字身份相对应，身份认证技术就是为了解决这个问题，作为防护网络资产的第一道关口，身份认证有着举足轻重的作用。网络用户的身份认证可以通过下述3种基本途径之一或它们的组合来实现。

（1）所知（Knowledge）个人所掌握的密码、口令等。

（2）所有（Possess）个人的身份认证、护照、信用卡、钥匙等。

（3）个人特征（Characteristics）人的指纹、声音、笔记、手型、血型、视网膜、DNA以及个人动作方面的特征等。

下面是几种常见的认证形式。

（一）静态密码

用户的密码是由用户自己设定的。在网络登录时输入正确的密码，计算机就认为操作者就是合法用户。实际上，由于许多用户为了防止忘记密码，经常采用诸如生日、电话号码等容易被猜测的字符串作为密码，或者把密码抄在纸上放在一个自认为安全的地方，这样很容易造成密码泄漏。如果密码是静态的数据，在验证过程中需要在计算机内存中和网络中传输，而每次验证使用的验证信息都是相同的，很容易被驻留在计算机内存中的木马程序或网络中的监听设备截获。因此，静态密码机制无论是使用还是部署都非常简单，但从安全性上讲，用户名/密码方式是一种不安全的身份认证方式。它利用what you know方法。这种认证形式的优点是方法简单；缺点是用户采用的密码一般较短，且容易猜测，容易受到口令猜测攻击；口令的明文传输使得攻击者可以通过窃听通信信道等手段获得用户口令；加密口令还存在加密密钥的交换问题。

（二）智能卡

智能卡又称IC卡（Integrated Circuit Card）。智能卡于1970年由法国人Roland Moreno发明，同年，日本发明家Kunitaka Arimura（有村国孝）取得了首项智能卡的专利，距今已有了40多年的历史。智能卡是一个或多个集成电路芯片组成并封装成便于人们携带的卡片，已经在电信、交通、银行、医疗等行业及部门广泛应用。

智能卡认证是通过智能卡硬件的不可复制性来保证用户身份不会被仿冒的。然而由于每次从智能卡中读取的数据是静态的，通过内存扫描或网络监听等技术还是很容易截取到用户的身份验证信息，因此仍存在安全隐患。

（三）生物识别技术

生物统计学正在成为个人身份认证技术中最简单且安全的方法，它利用个人的生理特征来实现对个人身份的认证。由于个人生理特征具有唯一性、便携性、难丢失、难伪造的特点，因此非常适合用于个人身份认证。目前，基于生物特征识别的身份认证技术主要有指纹识别技术、语音识别技术、视网膜图样识别技术、虹膜图样识别技术以及脸型识别技术等。

不过，生物特征认证是基于生物特征识别技术的，受到目前生物特征识别技术成熟度的影响，采用生物特征认证还具有较大的局限性：首先，生物特征识别的准确性和稳定性还有待提高；其次，由于研发投入较大而产量较小的原因，生物特征认证系统的成本非常高。

（四）单因子和双因子身份认证

单因子也称单向认证，它是指仅通过一个条件来认证一个人的身份的技术。若李四和张三在网上通信时，李四只需要认证张三的身份即可，李四需要获取张三的数字证书，方法有两种：一种是在通信时由张三直接将证书传送给李四；另一种是李四向认证服务器CA的目录服务器检索下载。当李四获得张三的数字证书后，首先用CA的根证书的公钥来验证该证书的签名，验证通过则说明该证书是第三方CA签发的合法证书，然后检查证书的使用期限和有效性。

所谓双因子就是将两种认证方法结合起来，进一步加强认证的安全性，目前使用最为广泛的双因素有：动态口令牌+静态密码、USB Key+静态密码、二层静态密码等。(www.chuimin.cn)

（五）USB Key

U-Key（USB Key）是一种USB接口的硬件存储设备。USB Key的模样跟普通的U盘差不多，不同的是它里面存放了单片机或智能卡芯片，USB Key有一定的存储空间，可以存储用户的私钥以及数字证书，利用USB Key内置的公钥算法芯片可以自动产生公私密钥对，实现对用户身份的认证。

基于USB Key的身份认证技术是近几年发展起来的一种方便、安全、经济的身份认证技术，它采用软硬件相结合的一次一密的强双因子认证模式，很好地解决了安全性与易用性之间的矛盾。最典型的应用例子就是我国各银行网上银行用的U-Key。

（六）动态口令

动态口令技术是一种让用户的密码按照时间或使用次数不断动态变化，每个密码只使用一次的技术。它采用一种称之为动态令牌的专用硬件，内置电源、密码生成芯片和显示屏，密码生成芯片运行专门的密码算法，根据当前时间或使用次数生成当前密码并显示在显示屏上。认证服务器采用相同的算法计算当前的有效密码。用户使用时只需要将动态令牌上显示的当前密码输入客户端计算机，即可实现身份的确认。由于每次使用的密码必须由动态令牌来产生，只有合法用户才持有该硬件，所以只要密码验证通过就可以认为该用户的身份是可靠的。而用户每次使用的密码都不相同，即使黑客截获了一次密码，也无法利用这个密码来仿冒合法用户的身份。

动态口令技术采用一次一密的方法，有效地保证了用户身份的安全性。但是如果客户端硬件与服务器端程序的时间或次数不能保持良好的同步，就可能发生合法用户无法登录的问题。并且用户每次登录时还需要通过键盘输入一长串无规律的密码，一旦看错或输错就要重新来过，用户使用非常不方便。

（七）短信密码

短信密码以手机短信形式请求包含6位随机数的动态密码，身份认证系统以短信形式发送随机的6位密码到客户的手机上。客户在登录或者交易认证时输入此动态密码，从而确保系统身份认证的安全性。它利用what you have方法。

短信密码具有以下优点：

1.安全性

由于手机与客户绑定比较紧密，短信密码生成与使用场景是物理隔绝的，因此密码在通路上被截取概率降至最低。

2.普及性

使用者只要会接收短信即可使用，大大降低短信密码技术的使用门槛，学习成本几乎为0，所以在市场接受度上不会存在阻力。

3.易收费

由于移动互联网用户长期以来已养成了付费的习惯，这是和PC互联网时代截然不同的理念，而且收费通道非常发达。网银、第三方支付、电子商务可将短信密码作为一项增值业务，每月通过SP收费不会有阻力，因此也可增加收益。

4.易维护

由于短信网关技术非常成熟，大大降低了短信密码系统上马的复杂度和风险，短信密码业务后期客服成本低。稳定的系统在提升安全性的同时也营造了良好的口碑效应。这也是目前银行也大量采纳这项技术很重要的原因。

认证技术对网络信息的安全防护

相关推荐