信息安全保护之身份认证技术

信息安全管理体系

您当前所在位置：首页 > 常见问题&知识园地 > 信息安全管理体系

发布时间： 2021-12-03 13:04:25

当今，信息安全越来越受到人们的重视。建立信息安全体系的目的就是要保证存储在计算机及网络系统中的数据只能够被有权操作的人访问，所有未被授权的人无法访问到这些数据。身份认证技术是在计算机网络中确认操作者身份的过程而产生的解决方法。计算机网络世界中一切信息包括用户的身份信息都是用一组特定的数据来表示的，计算机只能识别用户的数字身份，所有对用户的授权也是针对用户数字身份的授权。如何保证以数字身份进行操作的操作者就是这个数字身份合法拥有者，也就是说保证操作者的物理身份与数字身份相对应，身份认证技术就是为了解决这个问题，作为防护网络资产的第一道关口，身份认证有着举足轻重的作用。通过认识、掌握身份认证技术，使自己的网络信息资源得到更好的保障。

一、身份认证技术简介

相信大家都还记得一个经典的漫画，一条狗在计算机面前一边打字，一边对另一条狗说：“在互联网上，没有人知道你是一个人还是一条狗！”这个漫画说明了在互联网上很难识别身份。

身份认证是指计算机及网络系统确认操作者身份的过程。计算机系统和计算机网络是一个虚拟的数字世界，在这个数字世界中，一切信息包括用户的身份信息都是用一组特定的数据来表示的，计算机只能识别用户的数字身份，所有对用户的授权也是针对用户数字身份的授权。而我们生活的现实世界是一个真实的物理世界，每个人都拥有独一无二的物理身份。如何保证以数字身份进行操作的操作者就是这个数字身份合法拥有者，也就是说保证操作者的物理身份与数字身份相对应，就成为一个很重要的问题。身份认证技术的诞生就是为了解决这个问题。

身份认证技术是在计算机网络中确认操作者身份的过程而产生的解决方法。

所谓“没有不透风的墙”，你所知道的信息有可能被泄露或者还有其他人知道，杨子荣就是掌握了“天王盖地虎，宝塔镇河妖”的接头暗号成功的伪造了自己的身份。而仅凭借一个人拥有的物品判断也是不可靠的，这个物品有可能丢失，也有可能被人盗取，从而伪造这个人的身份。只有人的身体特征才是独一无二，不可伪造的，然而这需要我们对这个特征具有可靠的识别能力。

二、身份认证方法

在真实世界，对用户的身份认证基本方法可以分为这三种：

1) 根据你所知道的信息来证明你的身份 (你知道什么)；

2) 根据你所拥有的东西来证明你的身份 (你有什么)；

3) 直接根据独一无二的身体特征来证明你的身份 (你是谁)，比如指纹、面貌等。

三、常用的身份认证方式及应用

1、静态密码（口令）

静态密码，是最简单也是最常用的身份认证方法，它是基于“你知道什么”的验证手段。每个用户的密码是由这个用户自己设定的，只有他自己才知道，因此只要能够正确输入密码，计算机就认为他就是这个用户。然而实际上，由于许多用户为了防止忘记密码，经常采用诸如自己或家人的生日、电话号码等容易被他人猜测到的有意义的字符串作为密码，或者把密码抄在一个自己认为安全的地方，这都存在着许多安全隐患，极易造成密码泄露。即使能保证用户密码不被泄漏，由于密码是静态的数据，并且在验证过程中需要在计算机内存中和网络中传输，而每次验证过程使用的验证信息都是相同的，很容易被驻留在计算机内存中的木马程序或网络中的监听设备截获。因此，静态密码是一种极不安全的身份认证方式。可以说基本上没有任何安全性可言。

2、动态口令：

动态口令技术是一种让用户的密码按照时间或使用次数不断动态变化，每个密码只使用一次的技术，它是基于“你有什么”的验证手段。它采用一种称之为动态令牌的专用硬件，内置电源、密码生成芯片和显示屏，密码生成芯片运行专门的密码算法，根据当前时间或使用次数生成当前密码并显示在显示屏上。认证服务器采用相同的算法计算当前的有效密码。用户使用时只需要将动态令牌上显示的当前密码输入客户端计算机，即可实现身份的确认。由于每次使用的密码必须由动态令牌来产生，只有合法用户才持有该硬件，所以只要密码验证通过就可以认为该用户的身份是可靠的。而用户每次使用的密码都不相同，即使黑客截获了一次密码，也无法利用这个密码来仿冒合法用户的身份。

动态口令技术采用一次一密的方法，有效地保证了用户身份的安全性。但是如果客户端硬件与服务器端程序的时间或次数不能保持良好的同步，就可能发生合法用户无法登陆的问题。并且用户每次登录时还需要通过键盘输入一长串无规律的密码，一旦看错或输错就要重新来过，用户的使用非常不方便。该技术广泛应用在VPN、网上银行、电子政务、电子商务等领域。

3、短信动态密码（口令）：

短信密码以手机短信形式请求包含6位随机数的动态密码，身份认证系统以短信形式发送随机的6位密码到客户的手机上。客户在登录或者交易认证时候输入此动态密码，从而确保系统身份认证的安全性。它利用“你有什么”方法。具有以下优点：

1）安全性：由于手机与客户绑定比较紧密，短信密码生成与使用场景是物理隔绝的，因此密码在通路上被截取几率降至最低。

2）普及性：只要会接收短信即可使用，大大降低短信密码技术的使用门槛，学习成本几乎为0，所以在市场接受度上面不会存在阻力。

3）易收费：由于移动互联网用户天然养成了付费的习惯，这和PC时代互联网截然不同的理念，而且收费通道非常的发达，如果是网银、第三方支付、电子商务可将短信密码作为一项增值业务，每月通过SP收费不会有阻力，因此也可增加收益。

4）易维护：由于短信网关技术非常成熟，大大降低短信密码系统上马的复杂度和风险，短信密码业务后期客服成本低，稳定的系统在提升安全同时也营造良好的口碑效应，这也是目前银行也大量采纳这项技术很重要的原因。

4、USB Key认证：

基于USB Key的身份认证方式是近几年发展起来的一种方便、安全、经济的身份认证技术，它采用软硬件相结合一次一密的强双因子认证模式，很好地解决了安全性与易用性之间的矛盾。USB Key是一种USB接口的硬件设备，它内置单片机或智能卡芯片，可以存储用户的密钥或数字证书，利用USB Key内置的密码学算法实现对用户身份的认证。基于USB Key身份认证系统主要有两种应用模式：一是基于冲击/相应的认证方式，二是基于PKI 体系的认证方式。

1）基于冲击/响应的双因子认证方式

当需要在网络上验证用户身份时，先由客户端向服务器发出一个验证请求。服务器接到此请求后生成一个随机数并通过网络传输给客户端（此为冲击）。客户端将收到的随机数通过USB接口提供给ePass，由ePass使用该随机数与存储在ePass中的密钥进行MD5-HMAC运算并得到一个结果作为认证证据传给服务器（此为响应）。与此同时，服务器也使用该随机数与存储

在服务器数据库中的该客户密钥进行MD5-HMAC运算，如果服务器的运算结果与客户端传回的响应结果相同，则认为客户端是一个合法用户。

密钥运算分别在ePass硬件和服务器中运行，不出现在客户端内存中，也不在网络上传输，由于MD5-HMAC算法是一个不可逆的算法，就是说知道密钥和运算用随机数就可以得到运算结果，而知道随机数和运算结果却无法计算出密钥，从而保护了密钥的安全，也就保护了用户身份的安全。

2）基于PKI体系的认证方式

随着PKI技术日趋成熟，许多应用中开始使用数字证书进行身份认证与数字加密。数字证书是由权威公正的第三方机构即CA中心签发的，以数字证书为核心的加密技术，可以对网络上传输的信息进行加密和解密、数字签名和签名验证，确保网上传递信息的机密性、完整性，以及交易实体身份的真实性，签名信息的不可否认性，从而保障网络应用的安全性。

USB Key作为数字证书的存储介质，可以保证数字证书不被复制，并可以实现所有数字证书的功能。目前主要运用在电子政务、网上银行。

5、IC卡认证：

IC卡是一种内置集成电路的卡片，卡片中存有与用户身份相关的数据，IC卡由专门的厂商通过专门的设备生产，可以认为是不可复制的硬件。IC卡由合法用户随身携带，登录时必须将IC卡插入专用的读卡器读取其中的信息，以验证用户的身份。IC卡认证是基于“你有什么”的手段，通过IC卡硬件不可复制来保证用户身份不会被仿冒。IC卡广泛地应用于金融财务、社会保险、交通旅游、医疗卫生、政府行政、商品零售、休闲娱乐、学校管理及其它领域。

6、生物识别技术：

生物识别技术是指采用每个人独一无二的生物特征来验证用户身份的技术。常见的有指纹识别、虹膜识别等。从理论上说，生物特征认证是最可靠的身份认证方式，因为它直接使用人的物理特征来表示每一个人的数字身份，不同的人具有相同生物特征的可能性可以忽略不计，因此几乎不可能被仿冒。生物特征认证基于生物特征识别技术，受到现在的生物特征识别技术成熟度的影响，采用生物特征认证还具有较大的局限性。首先，生物特征识别的准确性和稳定性还有待提高，特别是如果用户身体受到伤病或污渍的影响，往往导致无法正常识别，造成合法用户无法登陆的情况。其次，由于研发投入较大和产量较小的原因，生物特征认证系统的成本非常高。

指纹、指静脉、虹膜、声纹、人脸，生物识别技术飞速发展，人们的生活越来越便利：线上支付、小区门禁、单位考勤、机场安检......甚至到小店买个包子，你都可以刷脸支付。但增加生活便利的同时，数据滥用、数据盗用的情况也越来越多，数据安全隐患、隐私泄露风险越来越大。如何从技术上解决便利性和安全性的矛盾呢？一方面需要生物识别技术本身的进步，另一方面生物识别技术一定要和密码技术结合，以保证体征数据的安全性。

首先就是生物识别技术本身的进步：识别载体、识别手段、识别算法不断的进步才能防止应用的漏洞百出。还记得去年杭州小学生用父母的照片，就能打开丰巢柜吗？这样的人脸识别不是“打脸”吗？

所有的生物识别技术，都涉及到两个重要指标：认假率和拒真率。认假率（FAR：FALSE Acceptance Rate）是把他人误认为特征库里的某人而错误通过的概率，简单地说就是贾玲拿着林志玲的手机指纹（人脸）验证通过。而拒真率（FRR：FALSE Rejection Rate）是指生物特征库存在，但未被识别出的概率，也就是贾玲拿着自己的手机解锁未通过。

认假率和拒真率是非线性相关的，在实际应用中通过调整阈值来取得体验和安全的平衡。比如公安的应用，在侦查阶段，把阈值调低，容忍认假率，从而尽可能不放过一个坏人；而在司法鉴定阶段，则要把阈值调高，降低认假率，不冤枉一个好人。

很多人有这样的体会：我的指纹在自己手机上识别好好的，非常迅速，但单位的考勤机上老是刷不出来，考勤机的指纹识别太烂了。这实在是一种误解，因为你的手机别人来验证的机会是很低的，所以为了提高体验感，阈值设得比较低。而单位里有几十、几百人的特征库，阈值调得低，就有认假的可能，单位可能会选择容忍一定的拒真率。如果一家单位恰好有指纹相似的个人，认假率和拒真率的矛盾就会凸显出来。

另一方面，生物识别技术一定要和密码技术结合。以人脸识别为例，虽然目前2D 人脸算法逐步进步到3D立体人脸算法，并配合了“活体检测”技术，但如果没有密码技术的保护，人脸识别技术依然是非常危险的。不管是特征数据的提取、传输，还是入库、比对等过程，如果数据泄漏，很容易被黑客利用，形成“重复攻击”。而且，体征数据是伴随一生的，密码泄漏了，你可以随时更改，而一旦体征数据被黑客掌握，恐惧可能将伴随你的余生。而防止数据泄漏，采用加密等密码技术就是最好的保护手段，也是数据安全最后的防线。

7、数字签名：

数字签名又称电子加密，可以区分真实数据与伪造、被篡改过的数据。这对于网络数据传输，特别是电子商务是极其重要的，一般要采用一种称为摘要的技术，摘要技术主要是采用 HASH 函数（ HASH（哈希）函数提供了这样一种计算过程：输入一个长度不固定的字符串，返回一串定长度的字符串，又称 HASH 值）将一段长的报文通过函数变换，转换为一段定长的报文，即摘要。签名过程是报文的发送方用一个哈希函数从报文文本中生成报文摘要（散列值），发送方用自己的私人密钥对这个散列值进行加密。然后，这个加密后的散列值将作为报文的附件和报文一起发送给报文的接收方。报文的接收方首先用与发送方一样的哈希函数从接收到的原始报文中计算出报文摘要，接着再用发送方的公用密钥来对报文附加的数字签名进行解密。如果两个散列值相同、那么接收方就能确认该数字签名是发送方的。通过数字签名能够实现对原始报文的鉴别。数字签名有两种功效：一是能确定消息确实是由发送方签名并发出来的，因为别人假冒不了发送方的签名。二是数字签名能确定消息的完整性。因为数字签名的特点是它代表了文件的特征，文件如果发生改变，数字签名的值也将发生变化。不同的文件将得到不同的数字签名。一次数字签名涉及到一个哈希函数、发送者的公钥、发送者的私钥。身份识别是指用户向系统出示自己身份证明的过程，主要使用约定口令、智能卡和用户指纹、视网膜和声音等生理特征。数字证明机制提供利用公开密钥进行验证的方法。主要应用电子商务，网上银行等领域。

8、密码技术认证

基于密码技术的身份认证是指通过采用密码技术设计安全的身份认证协议实现身份认证的技术，这种技术比基于口令或者基于主机地址的认证方法更加安全可靠，而且能够提供更多的安全服务。在网站建设各种密码算法，如单钥密码算法、公钥密码算法和哈希函数算法都可以用来构造身份认证协议，各自具有不同的特点。

四、体会

当今社会是一个网络信息的社会，通过对身份认证技术的学习与掌握，随着网络资源的普及与发展，网络安全问题显得尤为重要，我们要学习好关于网络安全的知识，身份认证技术是一种十分重要的网络安全技术，我们要深刻的认识它，防止我们的信息丢失或被窃取，以免造成重大的损失。我们可以将两种认证方法结合起来，进一步加强认证的安全性。例如，动态口令牌+静态密码，USB KEY + 静态密码，等等。

五、总结

综上，阐明了关于身份认证技术的简介，身份认证方法，常用的身份认证方式及应用：静态密码、动态口令、短信密码、USB Key认证、IC卡认证、生物识别技术、数字签名、密码技术认证。如今，社会的发展与进步时时刻刻离不开网络，网络信息的安全是个举足轻重的课题，掌握、运用身份认证技术在我们这个网络信息时代占据着相当重要的位置。只有深刻理解，认识身份认证技术，它才能更好的为我们的学习、生活和工作服务。

返回上一级