摘 要:從目前來看,已經有密碼認證、PIN碼認證、“智能卡”、生物識別、CHAP認證、雙因素認證等多種認證體系。不同安全級別的認證方法有很大區別,安全性是認證方式的最重要的考慮因素,但并非全部。我們還需要關注他們的兼容性、方便性以及使用成本等。
從目前來看,已經有密碼認證、PIN碼認證、“智能卡”、生物識別、CHAP認證、雙因素認證等多種認證體系。不同安全級別的認證方法有很大區別,安全性是認證方式的最重要的考慮因素,但并非全部。我們還需要關注他們的兼容性、方便性以及使用成本等。
現代信息安全體系是由三個主要的部分組成的,它們是:認證、授權和可追究責任(審計)。其中認證是這三個因素中最基本的一個,因為它是發生在其他兩個因素之前的。
術語“認證”或者“用戶認證”指的都是確定那些要求訪問計算機、網絡或者計算機資源的人的身份。如果不能將一個人從未受限制的人中區分出來,那么限制這個人行為的授權就變得沒有什么意義了。如果一個用戶行為記錄的可信度受到質疑的話,那么可追究責任或者審計記錄就不能夠防止用戶權利被濫用。如果在身份明確的用戶和身份不明用戶的要求下,系統都可以給信息解密的話,那么即使為所有的信息加了密的這個系統也是沒有什么價值的。這一切都意味著在授權規則、系統加密和審計機制發生作用之前必須確定一個認可的和適當的認證。
在配置任何一個安全系統時,安全性和方便性之間都會經常存在矛盾。組織必須在受保護的信息價值和易于使用以及配置可以滿足他們需要的系統的成本之間取得平衡。事實上,一個“足夠安全”并能提供給很多人使用的系統似乎比一個高安全級別卻很少人使用的系統要有價值得多。因為組織有不同的風險級別,就需要有多種解決方案來滿足不同的安全級別。
記憶式密碼認證
在過去,所有計算機的安全系統都是試圖通過單一的記憶式密碼認證用戶的。實際上,所有計算機和網絡都是與記憶式密碼認證方案兼容的。然而,在近20年中,強大而廣闊的計算機發展趨勢使得記憶式密碼的認證方式在大多時候根本起不到安全作用。
以前,常規的補救方法是將密碼的位數延長和增加它的復雜性,并且不斷提醒用戶改變和記住他們的新密碼。以往經驗非常明確地告訴我們,這兩種方法在當前的使用環境中根本不起作用,而且根本不能克服前面提及的那兩個領域中存在的弱點。
隨著公共網絡的出現,以廣泛的拓撲結構、個人電腦和電腦工作者為基礎的個人網絡要重新考慮通常的記憶式密碼的認證形式了,因為很多使用環境都需要有更強大的認證方式。
雖然記憶式密碼的安全性不是很好,但是在低風險環境中使用它是最方便的。例如一個職員可以在被信任的基礎上登錄一個安全公司的網絡。在這里,這種低級別的安全就可以滿足需要了,而且對于雇員來說還能節省很多時間。如果個別人的物理智能卡或者口令牌丟失了,記憶式密碼還可以作為臨時的可依靠的認證機制來使用。
PIN碼認證
記憶式密碼的一個比較高級的變形是個人身份代碼,或者由American Banker's Association定義的稱作“PIN”碼。PIN碼廣泛應用于銀行信用卡和自動提款機的配合使用上。
有些人認為PIN碼僅是包含數字的簡單的記憶式密碼。然而實際上,PIN碼通常是加密的或由一些只有接收者和發送者知道的動態的變量組成的,這樣可以彌補二者存在的不足。PIN碼和密碼的不同之處在于,PIN碼可以沒有任何風險地在公共網上傳輸,即使對手能夠監督、記錄或者重現這個網絡路線。
因為保護PIN碼的機制必須足夠復雜以抗攻擊,所以PIN碼系統通常要在用戶所在位置、計算機所在位置、或者兩個位置同時配備額外的硬件。這些與當前設備兼容的額外硬件必須仔細定制計劃,有時它們要占用相當大的成本。PIN碼通常要依靠共享的設備,而不專門針對個人用戶。當依照ABA的標準配置時,在任何可以接受記憶式密碼也可以接受PIN碼的地方進行認證,也可以在記憶式密碼不能滿足條件2和5(關于密碼能夠儲存、重現和在網絡上暴露密碼)的環境中使用它。
CHAP認證
應更強大的記憶式密碼認證系統的需要——能適用在公共網絡中——Internet Engineering Task Force公布了一個被稱作“CHAP”的協議標準和使用指導。利用這一協議,專門設計的應用程序和網絡設備就可以發出密碼寫成的挑戰/應答對話,來確定彼此的身份。
對用戶來說,CHAP認證通常是自動的和一目了然的。事實上,CHAP的主要作用不是進行用戶認證,而是主要用來幫助“黑匣子”進行信息傳播。CHAP在現代網關裝置中比較常見,例如路由器和一般服務器,它們在允許網絡連接之前,都要詢問和鑒定CHAP加密的記憶式密碼。
CHAP認證幾乎和所有的路由器以及一般服務器設備兼容,因此可以安裝在幾乎所有的Internet網關上。它也與大部分的PPP客戶端軟件兼容,其中包括Microsoft Windows提供的一些主流PPP客戶端。然而,它與大多數的“legacy”應用不能兼容,其中包括絕大多數的主機設備和微機的登錄系統。
在Internet上傳輸時,CHAP表現出了足夠強大的抗攻擊性。然而,當CHAP全自動和透明時,它就不能夠準確鑒別人類用戶的身份了。即使要求輸入記憶式密碼而且這個密碼還被CHAP加密,它也仍然存在被身后的人輕松窺視到的致命弱點。因此,通常認可的計算機操作在承認記憶式密碼的地方也允許使用CHAP認證,同時可以在單獨使用記憶式密碼不能滿足條件5(網絡暴露)時使用CHAP認證。然而,即使是最好的CHAP配置也不能夠解決條件3(有關環境的物理安全和可接近性)的所列問題,因為使用記憶式密碼時通常是不能遠離身邊其他電腦工作者的。
智能卡認證
“智能卡”是一個小的、類似信用卡的卡片。由于它帶有集成塊,所以這種卡可以植入實際的智能。認證應用中的智能卡含有機密的認證信息。
目前智能卡還不能夠兼容很多類型的PC和網絡工作站。當與一個電子讀卡器和電源相結合時,它們就僅僅是真正的“smart enough”。讀卡器連接到一個端口、槽口或插座上,然后就可以連接到一臺網絡計算機上了。
一個小型的責任明確的用戶組在專業的、高價值的或高風險的應用中選擇智能卡是明智的;常規的軟件應用可以購買、安裝、配置智能卡讀卡器。遺憾的是,添加一個智能卡讀卡器會使這個方案的成本大大增加,在大數量的用戶中配置是不可行的。目前還沒有人能想出一個方法使得讀卡器便宜得能為每一個計算機用戶配置一個。而且計算機用戶也不情愿一天要好幾次離開他們辦公室的椅子,去使用一個部門共享的讀卡器,即使這樣的確降低了公司的成本。
生物識別認證
近年來,各種類型的生物辨認裝置不斷被開發出來,它們能夠精確測定指紋、視網膜圖案、手相、書寫法定簽名時的筆跡或者在計算機鍵盤上打字的手勢。這種設備載有的信息通常被稱為生物信息,它通常可成為每個用戶能辨認的、穩定的區別特性。
如果在一個特定的認證系統中使用生物測定裝置或軟件確實能夠取得所有用戶的唯一的特性樣本,那么通常情況下,公認的安全慣例是允許在任何承認記憶式密碼的區域內通過這些生物系統以及記憶式密碼系統進行認證的。這些系統也適用于由于不能夠滿足條件3而使得記憶式密碼不能安全地單獨使用的區域。
但生物特性不是萬能的,因為授權的用戶不能夠改變他們的生物特征,所以生物系統必須謹慎設計以防止用戶的生物特性暴露在不安全的環境中。
這使生物辨認系統意識到在實際傳送生物特性時,絕對不能采取可能被重現的方式,或者永遠不泄漏它們的真正數值。保護生物信息的方法隨著它們的配置和精密水平而變化。在將來,上面提到的有些動態密碼認證器在正確發出動態密碼之前可能會要求輸入一些生物信息。
雙因素認證
雙因素認證采用兩級認證方式,它包括一個“口令牌”,口令牌動態生成的密碼與系統生成的密碼相同時,系統才會得到確認。我們所有的口令牌都是針對更高安全級別,使用“動態密碼技術”來生成真正的一次性密碼的。這種一次性密碼的優點是,任何一個攻擊者取得的動態密碼在用戶使用過后都不能再進行下次網絡認證,因為它已經不再有效。
為了進一步增強安全性,用戶在登錄網絡時,可以與密碼一起鍵入一個PIN碼。例如Secure Computing的SafeWord Platinum口令牌就要求用戶往口令牌中輸入一個PIN碼來激活它。這種口令牌提供了最高級別的安全,當安全需求非常緊迫時,我們建議使用這種認證方式。
口令牌基本上有兩種認證方式:事件同步、時間同步和異步。時間同步的認證器在一段固定的時間內——通常是一分鐘——也可以生成一個唯一的、動態的密碼。這種認證器也非常便于使用,因為它們一直開啟著,不間斷地生成不同的密碼。同時,密鑰和加密體系保證了認證器生成的密碼是唯一的。