身份认证–进入大门的钥匙
数据存在的价值就是被合理访问,建立信息安全体系的目的是保证系统中的数据只能被有权限的"人"访问。如果没有有效的身份认证管理手段,访问者的身份就很容易被伪造,使得任何安全防范体系都形同虚设。
记得2006年中一个最经典的安全理论:"不要让安全木桶漏了底儿"。这个木桶理论在安全领域被广为接受,信息安全体系看作一个木桶,那么防火墙、入侵检测、VPN、安全网关等安全设备就是木桶的壁板,而身份管理就相当于木桶底。由此可见,身份认证管理是整个信息安全体系的基础。
另外,从应用系统的安全管理特性上看,身份认证是进入应用系统的钥匙。我们通常将应用系统的安全范围定义在5大类安全技术,分别为:身份认证、访问控制、数据保密性、数据完整性以及不可否认性。身份认证作为排位靠前的安全管理技术,原因在于,它是对一个用户合法身份的管理,是进入网络大门的第一道通行证,它授权系统的外部用户或内部用户对系统资源的访问以及对敏感信息的访问。
例如:出入控制和存取控制。出入控制主要是阻止非授权用户进入机构或组织,一般是以电子技术、生物技术或者电子技术与生物技术结合阻止非授权用户进入。存取控制指主体访问客体时的存取控制,如通过对授权用户存取系统敏感信息时进行安全性检查,以实现对授权用户的存取权限的控制,如用PKI体系建立CA系统等。
密码体系的身份验证有何弊端?
由密码建立起来的身份认证管理体系是第一代信任服务体系。最有代表性的是R.Rivest于上个世纪90年代初开发出来MD5加密,即"Message-Digest Algorithm 5(信息-摘要算法)也就是HASH算法。MD5算法是一种应用广泛的身份认证算,它的最大作用在于它是一种不可逆的算法,即把密码明文都转换成一个128位的数据,而这个数据不能通过返函数的方式推导出原来的数据。
如果要判断一个密码是否与原来的密码相等,只能把新的数据进行一次MD5变换,然后用该变换结果与原来数据的变换结果比较。但MD5完全可以信赖吗?其实从MD5诞生之日起,Van Oorschot和Wiener的两位密码学专家就发现了一个暴力搜寻冲突的函数,一直到2004国际密码学年会上,来自中国山东大学王小云教授的一篇关于"破译MD5、HAVAL-128、MD4以及RIPEMD-128算法"的报告引起了轰动,报告中提到的新破译方法几乎标志着世界通信密码标准–MD5堡垒的轰然倒塌。
我这这里暂且不再讨论MD5是如何破解的了,单单在实际管理中,以单一密码为身份认证的管理体系就漏洞具多,比如:
* 为了便于记忆,用户多选择生日、电话号码等作为密码,黑客可以通过暴力程序不断尝试并且很容易破译密码;
* 静态密码明文传输,容易被中间人程序(Sniffer工具)采用截取、重放的方式,对经过简单加密后传输的认证信息进行分辨,也可推算出用户的密码,造成密码破解;
* 利用邮件和钓鱼网站诈骗,等手段获取用户的密码;
* 网管或内部其他人员可通过合法授权取得用户密码而非法使用;
* 离职员工对于没有密码账户依然具有使用和资源访问权限。
发生在身边"身份冒用"
但传统的基于密码体系的认证系统经常会遭受到暴力破解、木马盗取、网络监听(中间人攻击)的困扰,可谓危机四伏,四面楚歌。很多网管员都熟悉一些安全工具和技术,这些主要是针对密码进行的防范技术。比如获得Windows系统一定的访问权限,需要"从Guest→Administrator→SYSTEM"。所以很多管理员用一些系统的安全策略来控制访问用户,比如密码复杂性策略、账户锁定策略等。
但最近一位朋友告诉我:"他在Joel Scambray(微软公司的MSN网站的高级安全主管)的大作中找到了一篇窃听Windows身份验证过程的文章,并按照另外一个黑客提供线索,成功地破解了一个域管理员帐户的复杂性密码,并在ISA SERVER(代理防火墙服务器)上提升自己客户端的权限,肆无忌惮的下载HDTV电影。"我按照他的方法做了一个实验,居然也能成功,愕然。
动态身份验证成为趋势
随着互联网日益蓬勃及新兴电子商务应运而生,个人的身份识别问题日渐受到重视。这不仅仅是由于网络安全问题日益严重,更是因为这是决定真正的网上交易能否达成的关键。如何识别某人的真实身份,进而赋予其相应的权限,允许其完成一定的操作,已经成为目前安全领域中迫切需要解决的问题。目前,在静态密码的基础上,提供二次身份验证的技术主要有图片验证码技术、数字证书、USB移动证书、动态密码等方式。
* 图片验证码
图片验证码是为了防范客户使用暴力程序不断尝试获取用户密码,而采用的一种技术,它是在图片中加入使用者可以识别而计算机不能自动识别的随机数字或符号,从而达到防范黑客攻击的目的。
* 数字证书
数字证书是一个经证书认证中心(CA)数字签名的包含用户身份信息、用户公钥信息的数据文件。由认证中心(CA)负责验证数字证书的有效性,以实现对用户身份的认证。数字证书认证技术采用加密传输和数字签名技术,可以较好的保障网上信息安全。
* USB移动证书
将用户的密钥或数字证书存储在USB Key硬件设备中,利用 USB Key 内置的密码学算法实现对用户身份的认证。
随着人们针对传统密码认证的质疑越来越多,就连比尔盖茨都公开表示希望在将来取消密码认证。从传统的密码保护方式迁移到更高级的认证方式,已经成为很多公司的选择,尤其是对于在网上传输敏感信息的机构而言。对于美国的很多受到联邦财务机构监察委员会的要求,必须采用双因子认证方式。
根据2006年4月Search Security网站针对358名信息化负责人的调查,大多数人认为单一密码保护已经无法保证身份认证以及访问管理的安全需求:74%的受访者认为信息系统的用户需要记住的密码太多,超过56%的受访者表示他们经常需要帮助用户重置密码,79%的受访者宣布他们今年将投资花费在身份管理领域,64%的受访者已经考虑购买密码令牌。
动态口令双因子安全认证系统(LGET DynaPass Two Factors Authentication System)为计算机信息网络系统用户的合法身份认证提供了简捷、有效的认证手段。双因子认证提供了比密码更加安全的模式,这种网络安全超出了传统意义的静态密码功能。用户要想访问某个特定的数据或信息资源,必须输入他所知道的密码,还要输入一个动态的代码。比如,某个分支机构的用户要访问企业核心数据库。他除去要输入IT管理员为每个员工配备的密码之外,还需要输入SecurID认证设备上每隔60秒就生成的不同代码。因此,双因子认证体系受到企业的亲睐,应用范围也将更为广泛:
* 网上委托系统身份认证
* 拨号登录访问
* 通过动态口令对安全网页访问进行限制
* 证券电话委托、电话银行
* 网络设备的口令管理及主机登录
* NETWARE/NT/ UNIX系统登录功能
* ORACLE/SQL SERVER等大型数据库的用户连接访问控制
目前,动态口令双因子安全认证系统主要有RSA、Safeword等产品,它们分别都建设了相应的认证中心,以便于更好的认证。例如,动联信息技术有限公司就联合RSA,创建了动码令身份认证中心,该认证中心是专门针对如SCM(供应链管理)、CRM、OA等信息化软件、电子商务平台等中小型网络应用,以低成本的加盟方式,做到商户系统与动码令中心的无缝接入,为最终消费者提供专业的动态密码认证服务。同时,动码令中心,还增加了多商户认证的功能,让用户可以凭借一枚令牌,轻松登陆多项不同公司的网络应用。