站内搜索:
数据存在的价值就是被合理访问,建立信息安全体系的目的是保证系统中的数据只能被有权限的"人"访问。如果没有有效的身份认证管理手段,访问者的身份就很容易被伪造,使得任何安全防范体系都形同虚设。
记得2006年中一个最经典的安全理论:"不要让安全木桶漏了底儿"。这个木桶理论在安全领域被广为接受,信息安全体系看作一个木桶,那么防火墙、入侵检测、VPN、安全网关等安全设备就是木桶的壁板,而身份管理就相当于木桶底。由此可见,身份认证管理是整个信息安全体系的基础。
另外,从应用系统的安全管理特性上看,身份认证是进入应用系统的钥匙。我们通常将应用系统的安全范围定义在5大类安全技术,分别为:身份认证、访问控制、数据保密性、数据完整性以及不可否认性。身份认证作为排位靠前的安全管理技术,原因在于,它是对一个用户合法身份的管理,是进入网络大门的第一道通行证,它授权系统的外部用户或内部用户对系统资源的访问以及对敏感信息的访问。
例如:出入控制和存取控制。出入控制主要是阻止非授权用户进入机构或组织,一般是以电子技术、生物技术或者电子技术与生物技术结合阻止非授权用户进入。存取控制指主体访问客体时的存取控制,如通过对授权用户存取系统敏感信息时进行安全性检查,以实现对授权用户的存取权限的控制,如用PKI体系建立CA系统等。
由密码建立起来的身份认证管理体系是第一代信任服务体系。最有代表性的是R.Rivest于上个世纪90年代初开发出来MD5加密,即"Message-Digest Algorithm 5(信息-摘要算法)也就是HASH算法。MD5算法是一种应用广泛的身份认证算,它的最大作用在于它是一种不可逆的算法,即把密码明文都转换成一个128位的数据,而这个数据不能通过返函数的方式推导出原来的数据。
如果要判断一个密码是否与原来的密码相等,只能把新的数据进行一次MD5变换,然后用该变换结果与原来数据的变换结果比较。但MD5完全可以信赖吗?其实从MD5诞生之日起,Van Oorschot和Wiener的两位密码学专家就发现了一个暴力搜寻冲突的函数,一直到2004国际密码学年会上,来自中国山东大学王小云教授的一篇关于"破译MD5、HAVAL-128、MD4以及RIPEMD-128算法"的报告引起了轰动,报告中提到的新破译方法几乎标志着世界通信密码标准--MD5堡垒的轰然倒塌。
我这这里暂且不再讨论MD5是如何破解的了,单单在实际管理中,以单一密码为身份认证的管理体系就漏洞具多,比如:
但传统的基于密码体系的认证系统经常会遭受到暴力破解、木马盗取、网络监听(中间人攻击)的困扰,可谓危机四伏,四面楚歌。很多网管员都熟悉一些安全工具和技术,这些主要是针对密码进行的防范技术。比如获得Windows系统一定的访问权限,需要"从Guest→Administrator→SYSTEM"。所以很多管理员用一些系统的安全策略来控制访问用户,比如密码复杂性策略、账户锁定策略等。
但最近一位朋友告诉我:"他在Joel Scambray(微软公司的MSN网站的高级安全主管)的大作中找到了一篇窃听Windows身份验证过程的文章,并按照另外一个黑客提供线索,成功地破解了一个域管理员帐户的复杂性密码,并在ISA SERVER(代理防火墙服务器)上提升自己客户端的权限,肆无忌惮的下载HDTV电影。"我按照他的方法做了一个实验,居然也能成功,愕然。
随着互联网日益蓬勃及新兴电子商务应运而生,个人的身份识别问题日渐受到重视。这不仅仅是由于网络安全问题日益严重,更是因为这是决定真正的网上交易能否达成的关键。如何识别某人的真实身份,进而赋予其相应的权限,允许其完成一定的操作,已经成为目前安全领域中迫切需要解决的问题。目前,在静态密码的基础上,提供二次身份验证的技术主要有图片验证码技术、数字证书、USB移动证书、动态密码等方式。
图片验证码是为了防范客户使用暴力程序不断尝试获取用户密码,而采用的一种技术,它是在图片中加入使用者可以识别而计算机不能自动识别的随机数字或符号,从而达到防范黑客攻击的目的。
数字证书是一个经证书认证中心(CA)数字签名的包含用户身份信息、用户公钥信息的数据文件。由认证中心(CA)负责验证数字证书的有效性,以实现对用户身份的认证。数字证书认证技术采用加密传输和数字签名技术,可以较好的保障网上信息安全。
将用户的密钥或数字证书存储在USB Key硬件设备中,利用 USB Key 内置的密码学算法实现对用户身份的认证。
随着人们针对传统密码认证的质疑越来越多,就连比尔盖茨都公开表示希望在将来取消密码认证。从传统的密码保护方式迁移到更高级的认证方式,已经成为很多公司的选择,尤其是对于在网上传输敏感信息的机构而言。对于美国的很多受到联邦财务机构监察委员会的要求,必须采用双因子认证方式。
根据2006年4月Search Security网站针对358名信息化负责人的调查,大多数人认为单一密码保护已经无法保证身份认证以及访问管理的安全需求:74%的受访者认为信息系统的用户需要记住的密码太多,超过56%的受访者表示他们经常需要帮助用户重置密码,79%的受访者宣布他们今年将投资花费在身份管理领域,64%的受访者已经考虑购买密码令牌。
动态口令双因子安全认证系统(LGET DynaPass Two Factors Authentication System)为计算机信息网络系统用户的合法身份认证提供了简捷、有效的认证手段。双因子认证提供了比密码更加安全的模式,这种网络安全超出了传统意义的静态密码功能。用户要想访问某个特定的数据或信息资源,必须输入他所知道的密码,还要输入一个动态的代码。比如,某个分支机构的用户要访问企业核心数据库。他除去要输入IT管理员为每个员工配备的密码之外,还需要输入SecurID认证设备上每隔60秒就生成的不同代码。因此,双因子认证体系受到企业的亲睐,应用范围也将更为广泛:
目前,动态口令双因子安全认证系统主要有RSA、Safeword等产品,它们分别都建设了相应的认证中心,以便于更好的认证。例如,动联信息技术有限公司就联合RSA,创建了动码令身份认证中心,该认证中心是专门针对如SCM(供应链管理)、CRM、OA等信息化软件、电子商务平台等中小型网络应用,以低成本的加盟方式,做到商户系统与动码令中心的无缝接入,为最终消费者提供专业的动态密码认证服务。同时,动码令中心,还增加了多商户认证的功能,让用户可以凭借一枚令牌,轻松登陆多项不同公司的网络应用。
 |
