智能卡安全認(rèn)證與其它認(rèn)證體系的比較與分析

文章出處：http://linbycaravans.com 作者：語(yǔ)馨 收編   人氣： 發(fā)表時(shí)間：2011年09月26日

     從目前來(lái)看，已經(jīng)有密碼認(rèn)證、PIN碼認(rèn)證、“智能卡”、生物識(shí)別、CHAP認(rèn)證、雙因素認(rèn)證等多種認(rèn)證體系。不同安全級(jí)別的認(rèn)證方法有很大區(qū)別，安全性是認(rèn)證方式的最重要的考慮因素，但并非全部。我們還需要關(guān)注他們的兼容性、方便性以及使用成本等。

　現(xiàn)代信息安全體系是由三個(gè)主要的部分組成的，它們是：認(rèn)證、授權(quán)和可追究責(zé)任(審計(jì))。其中認(rèn)證是這三個(gè)因素中最基本的一個(gè)，因?yàn)樗前l(fā)生在其他兩個(gè)因素之前的。

　術(shù)語(yǔ)“認(rèn)證”或者“用戶(hù)認(rèn)證”指的都是確定那些要求訪(fǎng)問(wèn)計(jì)算機(jī)、網(wǎng)絡(luò)或者計(jì)算機(jī)資源的人的身份。如果不能將一個(gè)人從未受限制的人中區(qū)分出來(lái)，那么限制這個(gè)人行為的授權(quán)就變得沒(méi)有什么意義了。如果一個(gè)用戶(hù)行為記錄的可信度受到質(zhì)疑的話(huà)，那么可追究責(zé)任或者審計(jì)記錄就不能夠防止用戶(hù)權(quán)利被濫用。如果在身份明確的用戶(hù)和身份不明用戶(hù)的要求下，系統(tǒng)都可以給信息解密的話(huà)，那么即使為所有的信息加了密的這個(gè)系統(tǒng)也是沒(méi)有什么價(jià)值的。這一切都意味著在授權(quán)規(guī)則、系統(tǒng)加密和審計(jì)機(jī)制發(fā)生作用之前必須確定一個(gè)認(rèn)可的和適當(dāng)?shù)恼J(rèn)證。

　在配置任何一個(gè)安全系統(tǒng)時(shí)，安全性和方便性之間都會(huì)經(jīng)常存在矛盾。組織必須在受保護(hù)的信息價(jià)值和易于使用以及配置可以滿(mǎn)足他們需要的系統(tǒng)的成本之間取得平衡。事實(shí)上，一個(gè)“足夠安全”并能提供給很多人使用的系統(tǒng)似乎比一個(gè)高安全級(jí)別卻很少人使用的系統(tǒng)要有價(jià)值得多。因?yàn)榻M織有不同的風(fēng)險(xiǎn)級(jí)別，就需要有多種解決方案來(lái)滿(mǎn)足不同的安全級(jí)別。

　記憶式密碼認(rèn)證

　在過(guò)去，所有計(jì)算機(jī)的安全系統(tǒng)都是試圖通過(guò)單一的記憶式密碼認(rèn)證用戶(hù)的。實(shí)際上,所有計(jì)算機(jī)和網(wǎng)絡(luò)都是與記憶式密碼認(rèn)證方案兼容的。然而，在近20年中，強(qiáng)大而廣闊的計(jì)算機(jī)發(fā)展趨勢(shì)使得記憶式密碼的認(rèn)證方式在大多時(shí)候根本起不到安全作用。

　　以前，常規(guī)的補(bǔ)救方法是將密碼的位數(shù)延長(zhǎng)和增加它的復(fù)雜性，并且不斷提醒用戶(hù)改變和記住他們的新密碼。以往經(jīng)驗(yàn)非常明確地告訴我們，這兩種方法在當(dāng)前的使用環(huán)境中根本不起作用，而且根本不能克服前面提及的那兩個(gè)領(lǐng)域中存在的弱點(diǎn)。

　隨著公共網(wǎng)絡(luò)的出現(xiàn)，以廣泛的拓?fù)浣Y(jié)構(gòu)、個(gè)人電腦和電腦工作者為基礎(chǔ)的個(gè)人網(wǎng)絡(luò)要重新考慮通常的記憶式密碼的認(rèn)證形式了，因?yàn)楹芏嗍褂铆h(huán)境都需要有更強(qiáng)大的認(rèn)證方式。

　雖然記憶式密碼的安全性不是很好，但是在低風(fēng)險(xiǎn)環(huán)境中使用它是最方便的。例如一個(gè)職員可以在被信任的基礎(chǔ)上登錄一個(gè)安全公司的網(wǎng)絡(luò)。在這里，這種低級(jí)別的安全就可以滿(mǎn)足需要了，而且對(duì)于雇員來(lái)說(shuō)還能節(jié)省很多時(shí)間。如果個(gè)別人的物理智能卡或者口令牌丟失了，記憶式密碼還可以作為臨時(shí)的可依靠的認(rèn)證機(jī)制來(lái)使用。

　PIN碼認(rèn)證

　記憶式密碼的一個(gè)比較高級(jí)的變形是個(gè)人身份代碼，或者由American Banker's Association定義的稱(chēng)作“PIN”碼。PIN碼廣泛應(yīng)用于銀行信用卡和自動(dòng)提款機(jī)的配合使用上。

　有些人認(rèn)為PIN碼僅是包含數(shù)字的簡(jiǎn)單的記憶式密碼。然而實(shí)際上，PIN碼通常是加密的或由一些只有接收者和發(fā)送者知道的動(dòng)態(tài)的變量組成的，這樣可以彌補(bǔ)二者存在的不足。PIN碼和密碼的不同之處在于，PIN碼可以沒(méi)有任何風(fēng)險(xiǎn)地在公共網(wǎng)上傳輸，即使對(duì)手能夠監(jiān)督、記錄或者重現(xiàn)這個(gè)網(wǎng)絡(luò)路線(xiàn)。

　因?yàn)楸Ｗo(hù)PIN碼的機(jī)制必須足夠復(fù)雜以抗攻擊，所以PIN碼系統(tǒng)通常要在用戶(hù)所在位置、計(jì)算機(jī)所在位置、或者兩個(gè)位置同時(shí)配備額外的硬件。這些與當(dāng)前設(shè)備兼容的額外硬件必須仔細(xì)定制計(jì)劃，有時(shí)它們要占用相當(dāng)大的成本。PIN碼通常要依靠共享的設(shè)備，而不專(zhuān)門(mén)針對(duì)個(gè)人用戶(hù)。當(dāng)依照ABA的標(biāo)準(zhǔn)配置時(shí)，在任何可以接受記憶式密碼也可以接受PIN碼的地方進(jìn)行認(rèn)證，也可以在記憶式密碼不能滿(mǎn)足條件2和5(關(guān)于密碼能夠儲(chǔ)存、重現(xiàn)和在網(wǎng)絡(luò)上暴露密碼)的環(huán)境中使用它。

    CHAP認(rèn)證

　應(yīng)更強(qiáng)大的記憶式密碼認(rèn)證系統(tǒng)的需要——能適用在公共網(wǎng)絡(luò)中——Internet Engineering Task Force公布了一個(gè)被稱(chēng)作“CHAP”的協(xié)議標(biāo)準(zhǔn)和使用指導(dǎo)。利用這一協(xié)議，專(zhuān)門(mén)設(shè)計(jì)的應(yīng)用程序和網(wǎng)絡(luò)設(shè)備就可以發(fā)出密碼寫(xiě)成的挑戰(zhàn)/應(yīng)答對(duì)話(huà)，來(lái)確定彼此的身份。

　對(duì)用戶(hù)來(lái)說(shuō)，CHAP認(rèn)證通常是自動(dòng)的和一目了然的。事實(shí)上，CHAP的主要作用不是進(jìn)行用戶(hù)認(rèn)證，而是主要用來(lái)幫助“黑匣子”進(jìn)行信息傳播。CHAP在現(xiàn)代網(wǎng)關(guān)裝置中比較常見(jiàn)，例如路由器和一般服務(wù)器，它們?cè)谠试S網(wǎng)絡(luò)連接之前，都要詢(xún)問(wèn)和鑒定CHAP加密的記憶式密碼。

　CHAP認(rèn)證幾乎和所有的路由器以及一般服務(wù)器設(shè)備兼容，因此可以安裝在幾乎所有的Internet網(wǎng)關(guān)上。它也與大部分的PPP客戶(hù)端軟件兼容，其中包括Microsoft Windows提供的一些主流PPP客戶(hù)端。然而，它與大多數(shù)的“legacy”應(yīng)用不能兼容，其中包括絕大多數(shù)的主機(jī)設(shè)備和微機(jī)的登錄系統(tǒng)。

　在Internet上傳輸時(shí)，CHAP表現(xiàn)出了足夠強(qiáng)大的抗攻擊性。然而，當(dāng)CHAP全自動(dòng)和透明時(shí)，它就不能夠準(zhǔn)確鑒別人類(lèi)用戶(hù)的身份了。即使要求輸入記憶式密碼而且這個(gè)密碼還被CHAP加密，它也仍然存在被身后的人輕松窺視到的致命弱點(diǎn)。因此，通常認(rèn)可的計(jì)算機(jī)操作在承認(rèn)記憶式密碼的地方也允許使用CHAP認(rèn)證，同時(shí)可以在單獨(dú)使用記憶式密碼不能滿(mǎn)足條件5(網(wǎng)絡(luò)暴露)時(shí)使用CHAP認(rèn)證。然而，即使是最好的CHAP配置也不能夠解決條件3(有關(guān)環(huán)境的物理安全和可接近性)的所列問(wèn)題，因?yàn)槭褂糜洃浭矫艽a時(shí)通常是不能遠(yuǎn)離身邊其他電腦工作者的。

　智能卡認(rèn)證

　“智能卡”是一個(gè)小的、類(lèi)似信用卡的卡片。由于它帶有集成塊，所以這種卡可以植入實(shí)際的智能。認(rèn)證應(yīng)用中的智能卡含有機(jī)密的認(rèn)證信息。

　目前智能卡還不能夠兼容很多類(lèi)型的PC和網(wǎng)絡(luò)工作站。當(dāng)與一個(gè)電子讀卡器和電源相結(jié)合時(shí)，它們就僅僅是真正的“smart enough”。讀卡器連接到一個(gè)端口、槽口或插座上，然后就可以連接到一臺(tái)網(wǎng)絡(luò)計(jì)算機(jī)上了。

　一個(gè)小型的責(zé)任明確的用戶(hù)組在專(zhuān)業(yè)的、高價(jià)值的或高風(fēng)險(xiǎn)的應(yīng)用中選擇智能卡是明智的;常規(guī)的軟件應(yīng)用可以購(gòu)買(mǎi)、安裝、配置智能卡讀卡器。遺憾的是，添加一個(gè)智能卡讀卡器會(huì)使這個(gè)方案的成本大大增加，在大數(shù)量的用戶(hù)中配置是不可行的。目前還沒(méi)有人能想出一個(gè)方法使得讀卡器便宜得能為每一個(gè)計(jì)算機(jī)用戶(hù)配置一個(gè)。而且計(jì)算機(jī)用戶(hù)也不情愿一天要好幾次離開(kāi)他們辦公室的椅子，去使用一個(gè)部門(mén)共享的讀卡器，即使這樣的確降低了公司的成本。

　生物識(shí)別認(rèn)證

　近年來(lái)，各種類(lèi)型的生物辨認(rèn)裝置不斷被開(kāi)發(fā)出來(lái)，它們能夠精確測(cè)定指紋、視網(wǎng)膜圖案、手相、書(shū)寫(xiě)法定簽名時(shí)的筆跡或者在計(jì)算機(jī)鍵盤(pán)上打字的手勢(shì)。這種設(shè)備載有的信息通常被稱(chēng)為生物信息，它通?？沙蔀槊總€(gè)用戶(hù)能辨認(rèn)的、穩(wěn)定的區(qū)別特性。

　如果在一個(gè)特定的認(rèn)證系統(tǒng)中使用生物測(cè)定裝置或軟件確實(shí)能夠取得所有用戶(hù)的唯一的特性樣本，那么通常情況下，公認(rèn)的安全慣例是允許在任何承認(rèn)記憶式密碼的區(qū)域內(nèi)通過(guò)這些生物系統(tǒng)以及記憶式密碼系統(tǒng)進(jìn)行認(rèn)證的。這些系統(tǒng)也適用于由于不能夠滿(mǎn)足條件3而使得記憶式密碼不能安全地單獨(dú)使用的區(qū)域。

　但生物特性不是萬(wàn)能的，因?yàn)槭跈?quán)的用戶(hù)不能夠改變他們的生物特征，所以生物系統(tǒng)必須謹(jǐn)慎設(shè)計(jì)以防止用戶(hù)的生物特性暴露在不安全的環(huán)境中。

　這使生物辨認(rèn)系統(tǒng)意識(shí)到在實(shí)際傳送生物特性時(shí)，絕對(duì)不能采取可能被重現(xiàn)的方式，或者永遠(yuǎn)不泄漏它們的真正數(shù)值。保護(hù)生物信息的方法隨著它們的配置和精密水平而變化。在將來(lái)，上面提到的有些動(dòng)態(tài)密碼認(rèn)證器在正確發(fā)出動(dòng)態(tài)密碼之前可能會(huì)要求輸入一些生物信息。

　雙因素認(rèn)證

　雙因素認(rèn)證采用兩級(jí)認(rèn)證方式，它包括一個(gè)“口令牌”，口令牌動(dòng)態(tài)生成的密碼與系統(tǒng)生成的密碼相同時(shí)，系統(tǒng)才會(huì)得到確認(rèn)。我們所有的口令牌都是針對(duì)更高安全級(jí)別，使用“動(dòng)態(tài)密碼技術(shù)”來(lái)生成真正的一次性密碼的。這種一次性密碼的優(yōu)點(diǎn)是，任何一個(gè)攻擊者取得的動(dòng)態(tài)密碼在用戶(hù)使用過(guò)后都不能再進(jìn)行下次網(wǎng)絡(luò)認(rèn)證，因?yàn)樗呀?jīng)不再有效。

　為了進(jìn)一步增強(qiáng)安全性，用戶(hù)在登錄網(wǎng)絡(luò)時(shí)，可以與密碼一起鍵入一個(gè)PIN碼。例如Secure Computing的SafeWord Platinum口令牌就要求用戶(hù)往口令牌中輸入一個(gè)PIN碼來(lái)激活它。這種口令牌提供了最高級(jí)別的安全，當(dāng)安全需求非常緊迫時(shí)，我們建議使用這種認(rèn)證方式。

　口令牌基本上有兩種認(rèn)證方式：事件同步、時(shí)間同步和異步。時(shí)間同步的認(rèn)證器在一段固定的時(shí)間內(nèi)——通常是一分鐘——也可以生成一個(gè)唯一的、動(dòng)態(tài)的密碼。這種認(rèn)證器也非常便于使用，因?yàn)樗鼈円恢遍_(kāi)啟著，不間斷地生成不同的密碼。同時(shí)，密鑰和加密體系保證了認(rèn)證器生成的密碼是唯一的。