身份认证是信息安全中最前沿的一道防线,其他的安全服务都要依赖于它。一旦身份认证系统被攻破,那么系统的所有安全措施将形同虚设
身份认证指的是对实体身份的证实,用以识别合法或者非法的实体,阻止非法实体假冒合法实体窃取或者访问网络资源
古人采取的身份认证方法
官府下发海捕文书并贴出悬赏告示
玄奘每经过一个国家都要倒换通关文牒
在契约上签字画押
给立功的将领发放免死金牌
出生时记下生辰八字和胎记
接头秘密暗号:天王盖地虎------小鸡炖蘑菇
书生临走时留下定情信物
手持尚方宝剑先斩后奏
阿里巴巴大喊芝麻开门
认证凭据
典型的身份认证机密(authentication credentials)
something you know,如口令、提问等
something you have,如令牌,智能卡,手机,身份证等
something you are,如指纹、DNA等
很多情况下需要双因素或多因素认证
What you know
静态口令(password)
基于口令的认证方式是较常用的一种技术。
用户在系统中注册自己的用户名和登录口令,存储在系统内部数据库中,这个口令一般是长期有效的,因此也称为静态口令。
基于静态口令的身份认证技术因其简单和低成本而得到了广泛使用。但这种方式存在严重的安全问题, 安全性仅依赖于口令,口令一旦泄露,用户就可能被假冒。
动态口令(one time password)
为克服静态口令带来的种种安全隐患,动态口令认证逐渐成为口令认证的主流技术。
用户每次登录系统的口令都不一样,具有"一次一密"的特点,有效保证了用户身份的安全性。
在银行支付、网上银行转账、交易时一般采用静态口令+动态口令双因素组合的方式进行认证,可以大大提高使用的安全性。
密保问题
密保问题通常用于静态密码的找回。
问题的内容通常由账号使用者自己决定。
密保问题应尽量避免选择大众化问题,如劳动节是哪天等,而应该选择一些较私密的问题,如我的小学校名等,这样才能较好的起到帐号保护的作用。
密保问题的答案通常很容易被熟人猜出,所以一般设置3个以上不同方向的问题。
图形验证
图形验证码主要用于区分用户是计算机还是人的全自动程序。基于CAPTCHA(全自动区分计算机和人类的图灵测试)设计。
图形验证码利用程序生成只有人类才能解答的评判问题,是现在很多网站必备的一种验证方式。
主要作用:防止暴力破解密码、刷票、论坛灌水,防止恶意注册大量无效用户等。
What you have
各类证照
如身份证、工作证、护照、驾照等。
由国家、行政单位、公司等发放,在一定范围内具有法律效力。
一般都包含持证人的面部信息,用于核查身份真实性。
存在伪造证件的情况。
各类卡片、USB-key
如银行卡、IC卡、电卡水卡、U盾等。
通过实体设备验证身份,以提供服务。
卡片都自带芯片、内存、基于密码学算法,不易破解、伪造。
丢失后容易被冒用且不同企业往往独立发卡,卡片数量过多。
手机(SIM卡)
目前智能手机发展迅速,已具备计算机的绝大多数功能。
个人的核心信息几乎全部都在手机中存储或可在手机中查询。
手机有逐渐取代证照、卡片的趋势。
丢失或更换SIM卡号码后处理比较麻烦。
What you are
生物认证的定义:基于个人独特的生理或行为特征进行自动身份认证的技术。
what you are? ------与生俱来,身体的各个部分拿来用。
what you do? ------后天习惯使然,无法轻易模仿伪造。
可以证明一个人的生物特征列举:
生物认证的优点:
(1)普遍性:生物认证所依赖的身体特征基本上是人人天生就有的。
(2)方便性:生物特征不会像口令或者磁卡那样容易被遗忘或者丢失。
(3)不可复制性:在一个活人身上伪造另一个人的生物特征是非常困难的。
(4)高安全性:人的生理或行为是人本身所固有的、独特且不容易改变的,不可以借给其他人使用的。
(5)生物认证技术能够提供主动监控技术。
