网络安全认证技术概况
网络安全认证技术是网络安全技术的重要组成部分之一。认证指的是证实被认证对象是否属实和是否有效的一个过程。基本思想是通过验证被认证对象的属性来达到确认被认证对象是否真实有效的目的。被认证对象的属性可以是口令、数字签名或者像指纹、声音、视网膜这样的生理特征。认证常常被用于通信双方相互确认身份,以保证通信的安全。一般可以分为两种:
(1)身份认证:用于鉴别用户身份。
(2)消息认证:用于保证信息的完整性和抗否认性;在很多情况下,用户要确认网上信息是不是假的,信息是否被第三方修改或伪造,这就需要消息认证。
1.身份认证技术 认证(Authentication)是证实实体身份的过程,是保证系统安全的重要措施之一。当服务器提供服务时,需要确认来访者的身份,访问者有时也需要确认服务提供者的身份。
身份认证是指计算机及网络系统确认操作者身份的过程。计算机网络系统是一个虚拟的数字世界。在这个数字世界中,一切信息包括用户的身份信息都是用一组特定的数据来表示的,计算机只能识别用户的数字身份,所有对用户的授权也是针对用户数字身份的授权。而现实世界是一个真实的物理世界,每个人都拥有独一无二的物理身份。如何保证以数字身份进行操作的操作者就是这个数字身份合法拥有者,也就是说,保证操作者的物理身份与数字身份相对应,就成为一个很重要的问题。身份认证技术的诞生就是为了解决这个问题。
如何通过技术手段保证用户的物理身份与数字身份相对应呢?在真实世界中,验证一个人的身份主要通过三种方式判定:一是根据你所知道的信息来证明你的身份(what you know),假设某些信息只有某个人知道,比如暗号等,通过询问这个信息就可以确认这个人的身份;二是根据你所拥有的东西来证明你的身份(what you have),假设某一个东西只有某个人有,比如印章等,通过出示这个东西也可以确认个人的身份;三是直接根据你独一无二的身体特征来证明你的身份(who you are),比如指纹、面貌等。在信息系统中,一般来说,有三个要素可以用于认证过程,即:用户的知识(Knowledge),如口令等;用户的物品(Possession),如IC卡等;用户的特征(Characteristic),如指纹等。
现在计算机及网络系统中常用的身份认证方法如下:
身份认证技术从是否使用硬件来看,可以分为软件认证和硬件认证;从认证需要验证的条件来看,可以分为单因子认证和双因子认证;从认证信息来看,可以分为静态认证和动态认证。身份认证技术的发展,经历了从软件认证到硬件认证,从单因子认证到双因子认证,从静态认证到动态认证的过程。下面介绍常用的身份认证方法。
(1)基于口令的认证方法
传统的认证技术主要采用基于口令的认证方法。当被认证对象要求访问提供服务的系统时,提供服务的认证方要求被认证对象提交该对象的口令,认证方收到口令后,将其与系统中存储的用户口令进行比较,以确认被认证对象是否为合法访问者。
这种认证方法的优点在于:一般的系统(如UNIX/Linux,Windows NT/XP,NetWare等)都提供了对口令认证的支持,对于封闭的小型系统来说不失为一种简单可行的方法。
(2)双因素认证
在双因素认证系统中,用户除了拥有口令外,还拥有系统颁发的令牌访问设备。当用户向系统登录时,用户除了输入口令外,还要输入令牌访问设备所显示的数字。该数字是不断变化的,而且与认证服务器是同步的。
(3)一次口令机制
一次口令机制其实采用动态口令技术,是一种让用户的密码按照时间或使用次数不断动态变化,每个密码只使用一次的技术。它采用一种称之为动态令牌的专用硬件,内置电源、密码生成芯片和显示屏,密码生成芯片运行专门的密码算法,根据当前时间或使用次数生成当前密码并显示在显示屏上。认证服务器采用相同的算法计算当前的有效密码。用户使用时只需要将动态令牌上显示的当前密码输入客户端计算机,即可实现身份的确认。由于每次使用的密码必须由动态令牌来产生,只有合法用户才持有该硬件,所以只要密码验证通过就可以认为该用户的身份是可靠的。而用户每次使用的密码都不相同,即使黑客截获了一次密码,也无法利用这个密码来仿冒合法用户的身份。
(4)生物特征认证
生物特征认证是指采用每个人独一无二的生物特征来验证用户身份的技术,常见的有指纹识别、虹膜识别等。从理论上说,生物特征认证是最可靠的身份认证方式,因为它直接使用人的物理特征来表示每一个人的数字身份,不同的人具有相同生物特征的可能性可以忽略不计,因此几乎不可能被仿冒。
(5)USB Key认证
基于USB Key的身份认证方式是近几年发展起来的一种方便、安全、经济的身份认证技术,它采用软硬件相结合一次一密的强双因子认证模式,很好地解决了安全性与易用性之间的矛盾。USB Key是一种USB接口的硬件设备,它内置单片机或智能卡芯片,可以存储用户的密钥或数字证书,利用USB Key内置的密码学算法实现对用户身份的认证。基于USB Key身份认证系统主要有两种应用模式:一是基于冲击/响应的认证模式,二是基于PKI体系的认证模式。
2.消息认证技术
随着网络技术的发展,对网络传输过程中信息的保密性提出了更高的要求,这些要求主要包括:
(1)对敏感的文件进行加密,即使别人截取文件也无法得到其内容。
(2)保证数据的完整性,防止截获人在文件中加入其他信息。
(3)对数据和信息的来源进行验证,以确保发信人的身份。
现在业界普遍通过加密技术方式来满足以上要求,实现消息的安全认证。消息认证就是验证所收到的消息确实是来自真正的发送方且未被修改的消息,也可以验证消息的顺序和及时性。
消息认证实际上是对消息本身产生一个冗余的信息——MAC(消息认证码),消息认证码是利用密钥对要认证的消息产生新的数据块并对数据块加密生成的。它对于要保护的信息来说是唯一的,因此可以有效地保护消息的完整性,以及实现发送方消息的不可抵赖和不能伪造。
消息认证技术可以防止数据的伪造和被篡改,以及证实消息来源的有效性,已广泛应用于信息网络。随着密码技术与计算机计算能力的提高,消息认证码的实现方法也在不断的改进和更新之中,多种实现方式会为更安全的消息认证码提供保障。