身份认证技术的发展与展望.doc

身份认证技术的发展与展望 Internet迅猛发展带来了信息共享与安全这对矛盾共同体，加强网络安全建设、保障网络的安全运行成为网络存在的根本之道。网络身份认证技术发展到今天已经成为信息管理系统中必不可少的一部分，扮演着网络系统“看门人”的角色。针对不同的安全威胁，目前存在多种主机安全技术和相关安全产品，如防病毒技术、个人防火墙、安全应用程序(如文件加密程序)、安全操作系统等。这些技术和产品在一定程度上满足人们的安全需求，却没有很好地解决以下两个问题： 系统访问，即开机时的保护问题，目前普遍采用的是基于口令的弱身份认证技术，很容易被攻破而造成泄密； 运行时保护，即在合法用户进入系统后因某种原因暂时离开计算机，此时任何人员均可在此系统之上进行操作，从而造成泄密。将密码写在上挂在电脑旁边，这样的事情相信很多公司的员工都曾经为之。出于安全的要求，现在公司的安全策略普遍要求员工的登陆密码要定期更换，而且不能重复，这使得想出一个自己能记住的长串密码成为一件让员工头疼的事情。为了便于记忆，员工往往会选择常用词或者号码作为密码，如果攻击者使用“字典攻击法”或者穷举尝试法来破译，很容易被穷举出来。传统的账号加密码的形式，密码容易被猜中，容易忘记，也容易被盗。据统计，一个人平均下来要记15到20个密码。静态密码的隐患显而易见，尤其是在证券、银行等行业，轰动一时的“银广夏盗卖案”早就为业界敲响了警钟。为了解决静态密码的安全问题，目前网上客户对网上交易使用的密码的安全性没有信心。因为这些信息基本上是不改动的，很容易被网络犯罪分子劫取。比如通过网上钓鱼的方式就很容易获取一些疏于防范的客户的账户信息。目前银行普遍提供USB移动证书。USB 采用软硬件相结合一次一密的强双因子认证模式，是一种 USB 接口的硬件设备，它内置单片机或智能卡芯片，可以存储用户的密钥或数字证书，利用 USB Key 内置的密码学算法实现对用户身份的认证。但是USB Key只能在己安装相应驱动程序的电脑上进行操作，在其他没有 USB 插口的设备上则无法使用，使用范围相对狭窄。另外由于必须连接电脑，在已经出现相应的木马病毒的情况下，仍然存在安全隐患。动态密码也称一次性密码（One-time Password），它指用户的密码按照时间或使用次数不断动态变化，每个密码只使用一次。动态密码采用一种称之为动态令牌的专用硬件，大小相当于一张闪存盘，显示方式类似于电子手表，它内置电源、密码生成芯片和显示屏。密码生成芯片运行专门的密码算法，根据当前时间或使用次数生成当前密码并显示在显示屏上。认证服务器采用相同的算法计算当前的有效密码。由于每次使用的密码必须由动态令牌来产生，只有合法用户才持有该硬件，所以只要密码验证通过，系统就可以认为该用户的身份是可靠的。而用户每次使用的密码都不相同，即使黑客截获了一次密码，也无法利用这个密码来仿冒合法用户的身份。为了保证安全性，电子令牌一般被设计为不可拆卸的，这样的设计就意味着无法更换电池，导致电子令牌的使用寿命非常有限。时间漂移问题，和认证服务器的时间不一定能完全同步，有可能造成用户无法登陆系统。 基于RFID身份认证系统的主要特点为： 双密码认证机制和单密码认证机制并存：可以不使用RFID密码认证，只使用个人静态口令认证或者只使用RFID密码认证，不需要记忆任何的个人口令，只要拥有RFID密码发射器就可以了。最好是个人口令和RFID认证均要求。 利用公司代码，则每家的RFID生成密码均是完全不同的。 一旦个人RFID密码发射器丢失，则不可能进入软件应用系统，就可以立刻知道登陆应用系统存在安全隐患，而不会出现个人静态口令丢失却完全不知情的安全严重隐患。一旦个人RFID密码发射器丢失，则可以要求系统管理员暂时修改该用户的认证方式为个人口令认证，同时，向系统管理员申请新的RFID密码发射器、修改原有个人口令、甚至用户名。重新生成的RFID密码发射器和原有的RFID密码发射器完全不同。拥有原有的RFID密码发射器的人也无法进入软件应用系统。 我们提供RFID密码写入装置和RFID密码发射器本身，提供相应的密码生成算法。企业可以自主控制用户群体数量的大小以及能够使用RFID密码发射器的人群。相关的用户人员的权限以及是否可以访问系统，也由企业自主控制。 不需要认证服务器，也不存在和认证服务器对时的要求，也不需要电池，可以长期使用，并且可以多次写入。 RFID密码发射器能够长期有效，不需要电池。同时小巧、精致，可以作为装饰品放在钥匙串，方便携带，易于使用。 工作临时需要交接，可以暂时把RFID密码发射器交给交接人使用，一旦出差或办事回来，交接人把RFID密码发射器还给原拥有人就行了，不需要每次均修改密码或者因忘记密码，存在大量安全隐患。 一个人知道个人口令或者拥