智能卡安全認證與其它認證體系的比較與分析
文章出處:http://m.compasssalessolutions.com 作者:語馨 收編 人氣: 發(fā)表時間:2011年09月26日
從目前來看,已經(jīng)有密碼認證、PIN碼認證、“智能卡”、生物識別、CHAP認證、雙因素認證等多種認證體系。不同安全級別的認證方法有很大區(qū)別,安全性是認證方式的最重要的考慮因素,但并非全部。我們還需要關(guān)注他們的兼容性、方便性以及使用成本等。
現(xiàn)代信息安全體系是由三個主要的部分組成的,它們是:認證、授權(quán)和可追究責任(審計)。其中認證是這三個因素中最基本的一個,因為它是發(fā)生在其他兩個因素之前的。
術(shù)語“認證”或者“用戶認證”指的都是確定那些要求訪問計算機、網(wǎng)絡(luò)或者計算機資源的人的身份。如果不能將一個人從未受限制的人中區(qū)分出來,那么限制這個人行為的授權(quán)就變得沒有什么意義了。如果一個用戶行為記錄的可信度受到質(zhì)疑的話,那么可追究責任或者審計記錄就不能夠防止用戶權(quán)利被濫用。如果在身份明確的用戶和身份不明用戶的要求下,系統(tǒng)都可以給信息解密的話,那么即使為所有的信息加了密的這個系統(tǒng)也是沒有什么價值的。這一切都意味著在授權(quán)規(guī)則、系統(tǒng)加密和審計機制發(fā)生作用之前必須確定一個認可的和適當?shù)恼J證。
在配置任何一個安全系統(tǒng)時,安全性和方便性之間都會經(jīng)常存在矛盾。組織必須在受保護的信息價值和易于使用以及配置可以滿足他們需要的系統(tǒng)的成本之間取得平衡。事實上,一個“足夠安全”并能提供給很多人使用的系統(tǒng)似乎比一個高安全級別卻很少人使用的系統(tǒng)要有價值得多。因為組織有不同的風險級別,就需要有多種解決方案來滿足不同的安全級別。
記憶式密碼認證
在過去,所有計算機的安全系統(tǒng)都是試圖通過單一的記憶式密碼認證用戶的。實際上,所有計算機和網(wǎng)絡(luò)都是與記憶式密碼認證方案兼容的。然而,在近20年中,強大而廣闊的計算機發(fā)展趨勢使得記憶式密碼的認證方式在大多時候根本起不到安全作用。
以前,常規(guī)的補救方法是將密碼的位數(shù)延長和增加它的復雜性,并且不斷提醒用戶改變和記住他們的新密碼。以往經(jīng)驗非常明確地告訴我們,這兩種方法在當前的使用環(huán)境中根本不起作用,而且根本不能克服前面提及的那兩個領(lǐng)域中存在的弱點。
隨著公共網(wǎng)絡(luò)的出現(xiàn),以廣泛的拓撲結(jié)構(gòu)、個人電腦和電腦工作者為基礎(chǔ)的個人網(wǎng)絡(luò)要重新考慮通常的記憶式密碼的認證形式了,因為很多使用環(huán)境都需要有更強大的認證方式。
雖然記憶式密碼的安全性不是很好,但是在低風險環(huán)境中使用它是最方便的。例如一個職員可以在被信任的基礎(chǔ)上登錄一個安全公司的網(wǎng)絡(luò)。在這里,這種低級別的安全就可以滿足需要了,而且對于雇員來說還能節(jié)省很多時間。如果個別人的物理智能卡或者口令牌丟失了,記憶式密碼還可以作為臨時的可依靠的認證機制來使用。
PIN碼認證
記憶式密碼的一個比較高級的變形是個人身份代碼,或者由American Banker's Association定義的稱作“PIN”碼。PIN碼廣泛應(yīng)用于銀行信用卡和自動提款機的配合使用上。
有些人認為PIN碼僅是包含數(shù)字的簡單的記憶式密碼。然而實際上,PIN碼通常是加密的或由一些只有接收者和發(fā)送者知道的動態(tài)的變量組成的,這樣可以彌補二者存在的不足。PIN碼和密碼的不同之處在于,PIN碼可以沒有任何風險地在公共網(wǎng)上傳輸,即使對手能夠監(jiān)督、記錄或者重現(xiàn)這個網(wǎng)絡(luò)路線。
因為保護PIN碼的機制必須足夠復雜以抗攻擊,所以PIN碼系統(tǒng)通常要在用戶所在位置、計算機所在位置、或者兩個位置同時配備額外的硬件。這些與當前設(shè)備兼容的額外硬件必須仔細定制計劃,有時它們要占用相當大的成本。PIN碼通常要依靠共享的設(shè)備,而不專門針對個人用戶。當依照ABA的標準配置時,在任何可以接受記憶式密碼也可以接受PIN碼的地方進行認證,也可以在記憶式密碼不能滿足條件2和5(關(guān)于密碼能夠儲存、重現(xiàn)和在網(wǎng)絡(luò)上暴露密碼)的環(huán)境中使用它。
CHAP認證
應(yīng)更強大的記憶式密碼認證系統(tǒng)的需要——能適用在公共網(wǎng)絡(luò)中——Internet Engineering Task Force公布了一個被稱作“CHAP”的協(xié)議標準和使用指導。利用這一協(xié)議,專門設(shè)計的應(yīng)用程序和網(wǎng)絡(luò)設(shè)備就可以發(fā)出密碼寫成的挑戰(zhàn)/應(yīng)答對話,來確定彼此的身份。
對用戶來說,CHAP認證通常是自動的和一目了然的。事實上,CHAP的主要作用不是進行用戶認證,而是主要用來幫助“黑匣子”進行信息傳播。CHAP在現(xiàn)代網(wǎng)關(guān)裝置中比較常見,例如路由器和一般服務(wù)器,它們在允許網(wǎng)絡(luò)連接之前,都要詢問和鑒定CHAP加密的記憶式密碼。
CHAP認證幾乎和所有的路由器以及一般服務(wù)器設(shè)備兼容,因此可以安裝在幾乎所有的Internet網(wǎng)關(guān)上。它也與大部分的PPP客戶端軟件兼容,其中包括Microsoft Windows提供的一些主流PPP客戶端。然而,它與大多數(shù)的“legacy”應(yīng)用不能兼容,其中包括絕大多數(shù)的主機設(shè)備和微機的登錄系統(tǒng)。
在Internet上傳輸時,CHAP表現(xiàn)出了足夠強大的抗攻擊性。然而,當CHAP全自動和透明時,它就不能夠準確鑒別人類用戶的身份了。即使要求輸入記憶式密碼而且這個密碼還被CHAP加密,它也仍然存在被身后的人輕松窺視到的致命弱點。因此,通常認可的計算機操作在承認記憶式密碼的地方也允許使用CHAP認證,同時可以在單獨使用記憶式密碼不能滿足條件5(網(wǎng)絡(luò)暴露)時使用CHAP認證。然而,即使是最好的CHAP配置也不能夠解決條件3(有關(guān)環(huán)境的物理安全和可接近性)的所列問題,因為使用記憶式密碼時通常是不能遠離身邊其他電腦工作者的。
智能卡認證
“智能卡”是一個小的、類似信用卡的卡片。由于它帶有集成塊,所以這種卡可以植入實際的智能。認證應(yīng)用中的智能卡含有機密的認證信息。
目前智能卡還不能夠兼容很多類型的PC和網(wǎng)絡(luò)工作站。當與一個電子讀卡器和電源相結(jié)合時,它們就僅僅是真正的“smart enough”。讀卡器連接到一個端口、槽口或插座上,然后就可以連接到一臺網(wǎng)絡(luò)計算機上了。
一個小型的責任明確的用戶組在專業(yè)的、高價值的或高風險的應(yīng)用中選擇智能卡是明智的;常規(guī)的軟件應(yīng)用可以購買、安裝、配置智能卡讀卡器。遺憾的是,添加一個智能卡讀卡器會使這個方案的成本大大增加,在大數(shù)量的用戶中配置是不可行的。目前還沒有人能想出一個方法使得讀卡器便宜得能為每一個計算機用戶配置一個。而且計算機用戶也不情愿一天要好幾次離開他們辦公室的椅子,去使用一個部門共享的讀卡器,即使這樣的確降低了公司的成本。
生物識別認證
近年來,各種類型的生物辨認裝置不斷被開發(fā)出來,它們能夠精確測定指紋、視網(wǎng)膜圖案、手相、書寫法定簽名時的筆跡或者在計算機鍵盤上打字的手勢。這種設(shè)備載有的信息通常被稱為生物信息,它通??沙蔀槊總€用戶能辨認的、穩(wěn)定的區(qū)別特性。
如果在一個特定的認證系統(tǒng)中使用生物測定裝置或軟件確實能夠取得所有用戶的唯一的特性樣本,那么通常情況下,公認的安全慣例是允許在任何承認記憶式密碼的區(qū)域內(nèi)通過這些生物系統(tǒng)以及記憶式密碼系統(tǒng)進行認證的。這些系統(tǒng)也適用于由于不能夠滿足條件3而使得記憶式密碼不能安全地單獨使用的區(qū)域。
但生物特性不是萬能的,因為授權(quán)的用戶不能夠改變他們的生物特征,所以生物系統(tǒng)必須謹慎設(shè)計以防止用戶的生物特性暴露在不安全的環(huán)境中。
這使生物辨認系統(tǒng)意識到在實際傳送生物特性時,絕對不能采取可能被重現(xiàn)的方式,或者永遠不泄漏它們的真正數(shù)值。保護生物信息的方法隨著它們的配置和精密水平而變化。在將來,上面提到的有些動態(tài)密碼認證器在正確發(fā)出動態(tài)密碼之前可能會要求輸入一些生物信息。
雙因素認證
雙因素認證采用兩級認證方式,它包括一個“口令牌”,口令牌動態(tài)生成的密碼與系統(tǒng)生成的密碼相同時,系統(tǒng)才會得到確認。我們所有的口令牌都是針對更高安全級別,使用“動態(tài)密碼技術(shù)”來生成真正的一次性密碼的。這種一次性密碼的優(yōu)點是,任何一個攻擊者取得的動態(tài)密碼在用戶使用過后都不能再進行下次網(wǎng)絡(luò)認證,因為它已經(jīng)不再有效。
為了進一步增強安全性,用戶在登錄網(wǎng)絡(luò)時,可以與密碼一起鍵入一個PIN碼。例如Secure Computing的SafeWord Platinum口令牌就要求用戶往口令牌中輸入一個PIN碼來激活它。這種口令牌提供了最高級別的安全,當安全需求非常緊迫時,我們建議使用這種認證方式。
口令牌基本上有兩種認證方式:事件同步、時間同步和異步。時間同步的認證器在一段固定的時間內(nèi)——通常是一分鐘——也可以生成一個唯一的、動態(tài)的密碼。這種認證器也非常便于使用,因為它們一直開啟著,不間斷地生成不同的密碼。同時,密鑰和加密體系保證了認證器生成的密碼是唯一的。