产生原因
电脑网路世界中一切信息包括使用者的身份信息都是用一组特定的资料来表示的,电脑只能识别使用者的数位身份,所有对使用者的授权也是针对使用者数位身份的授权。
如何保证以数位身份进行操作的操作者就是这个数位身份合法拥有者,也就是说保证操作者的物理身份与数位身份相对应,身份识别就是为了解决这个问题,作为防护网路资产的第一道关口,身份识别有着举足轻重的作用。
识别方法
在真实世界,对使用者的身份识别基本方法可以分为这三种:
(1) 根据你所知道的信息来证明你的身份(what you know ,你知道什麽 ) ;
(2) 根据你所拥有的东西来证明你的身份(what you have ,你有什麽 ) ;
(3) 直接根据独一无二的身体特征来证明你的身份(who you are ,你是谁 ) ,比如指纹、面貌等。
在网路世界中手段与真实世界中一致,为了达到更高的身份识别安全性,某些场景会将上面3种挑选2种混合使用,即所谓的双因素识别。
以下罗列几种常见的识别形式:
识别工具
EID是网际网路身份识别的工具之一,也是未来网际网路基础设施的基本构成之一。EID即是俗称的网路身份证,网际网路络信息世界中标识使用者身份的工具,用于在网路通讯中识别通讯各方的身份及表明我们的身份或某种资格。
静态密码
使用者的密码是由使用者自己设定的。在网路登录时输入正确的密码,电脑就认为操作者就是合法使用者。实际上,由于许多使用者为了防止忘记密码,经常採用诸如生日、电话号码等容易被猜测的字元串作为密码,或者把密码抄在纸上放在一个自认为安全的地方,这样很容易造成密码泄漏。如果密码是静态的资料,在验证过程中 需要在电脑记忆体中和传输过程可能会被木马程式或网路中截获。因此,静态密码机製无论是使用还是部署都非常简单,但从安全性上讲,使用者名称/密码方式一种是不安全的身份识别方式。 它利用what you know方法。
智慧型卡
一种内置积体电路的晶片,晶片中存有与使用者身份相关的资料,智慧型卡由专门的厂商通过专门的设备生产,是不可复製的硬体。智慧型卡由合法使用者随身携带,登录时必须将智慧型卡插入专用的读卡器读取其中的信息,以验证使用者的身份。
智慧型卡识别是通过智慧型卡硬体不可复製来保证使用者身份不会被仿冒。然而由于每次从智慧型卡中读取的资料是静态的,通过记忆体扫描或网路监听等技术还是很容易截取到使用者的身份验证信息,因此还是存在安全隐患。它利用what you have方法。
简讯密码
简讯密码以手机简讯形式请求包含6位乱数的动态密码,身份识别系统以简讯形式传送随机的6位密码到客户的手机上。客户在登录或者交易识别时候输入此动态密码,从而确保系统身份识别的安全性。它利用what you have方法。
具有以下优点:
简讯密码(1)安全性
由于手机与客户绑定比较紧密,简讯密码生成与使用场景是物理隔绝的,因此密码在通路上被截取几率降至最低。
(2)普及性
只要会接收简讯即可使用,大大降低简讯密码技术的使用门槛,学习成本几乎为0,所以在市场接受度上面不会存在阻力。
(3)易收费
由于移动网际网路使用者天然养成了付费的习惯,这和PC时代网际网路截然不同的理念,而且收费通道非常的发达,如果是网银、第三方支付、电子商务可将简讯密码作为一项增值业务,每月通过SP收费不会有阻力,因此也可增加收益。
(4)易维护 由于简讯网关技术非常成熟,大大降低简讯密码系统上马的复杂度和风险,简讯密码业务后期客服成本低,稳定的系统在提升安全同时也营造良好的口碑效应,这也是银行也大量採纳这项技术很重要的原因。
本质上这也是一种what you have的方式。(you have the phone)
动态口令
目前最为安全的身份识别方式,也利用what you have方法,也是一种动态密码。
动态口令牌是客户手持用来生成动态密码的终端,主流的是基于时间同步方式的,每60秒变换一次动态口令,口令一次有效,它产生6位动态数位进行一次一密的方式识别。
但是由于基于时间同步方式的动态口令牌存在60秒的时间视窗,导致该密码在这60秒记忆体在风险,现在已有基于事件同步的,双向识别的动态口令牌。基于事件同步的动态口令,是以使用者动作触发的同步原则,真正做到了一次一密,并且由于是双向识别,即:伺服器验证客户端,并且客户端也需要验证伺服器,从而达到了彻底杜绝木马网站的目的。
由于它使用起来非常便捷,85%以上的世界500强企业运用它保护登录安全,广泛套用在VPN、网上银行、电子政务、电子商务等领域。
动态口令是套用最广的一种身份识别方式,一般是长度为5~8的字元串,由数位、字母、特殊字元、控製字元等组成。使用者名称和口令的方法几十年来一直用于提供所属权和準安全的识别来对伺服器提供一定程度的保护。当你每天访问自己的电子邮件伺服器、伺服器要採用使用者名称与动态口令对使用者进行识别的,一般还要提供动态口令变更工具。系统(尤其是网际网路上新兴的系统)通常还提供使用者提醒工具以防忘记口令。
USB KEY
基于USB Key的身份识别方式是近几年发展起来的一种方便、安全的身份识别技术。它採用软硬体相结合、一次一密的强双因子识别模式,很好地解决了安全性与易用性之间的矛盾。USB Key是一种USB接口的硬体设备,它内置单片机或智慧型卡晶片,可以存储使用者的密钥或数位证书,利用USBKey内置的密码演算法实现对使用者身份的识别。基于USB Key身份识别系统主要有两种套用模式:一是基于沖击/回响(挑战/应答)的识别模式,二是基于PKI体系的识别模式,运用在电子政务、网上银行。
usb key生物识别
运用who you are方法, 通过可测量的身体或行为等生物特征进行身份识别的一种技术。生物特征是指唯一的可以测量或可自动识别和验证的生理特征或行为方式。生物特征分为身体特征和行为特征两类。身体特征包括:指纹、掌型、视网膜、虹膜、人体气味、脸型、手的血管和DNA等;行为特征包括:签名、语音、行走步态等。部分学者将视网膜识别、虹膜识别和指纹识别等归为高级生物识别技术;将掌型识别、脸型识别、语音识别和签名识别等归为次级生物识别技术;将血管纹理识别、人体气味识别、 DNA识别等归为"深奥的"生物识别技术,指纹识别技术套用广泛的领域有门禁系统、微型支付等。
双因素
所谓双因素就是将两种识别方法结合起来,进一步加强识别的安全性,目前使用最为广泛的双因素有:
动态口令牌+ 静态密码
USB KEY + 静态密码
二层静态密码等等。
识别流程图Infogo
网路安全準入设备製造商,联合国内专业网路安全準入实验室,推出安全身份认统。
虹膜识别
是与现有的大量指纹鑒别产品的相比,在可靠性、安全性(指纹易仿造)、稳定精度等方面,虹膜鑒别仍具有巨大的优势。在巨大的生物识别产品市场,虹膜识别特别具有优势地位。指纹识别的接触式取像虽然更为直接。但是这本身也是个缺点:接触式取像污染接触面,影响可靠性;手指污染还可能引起法律纠纷,香港曾出现过索赔事件;此外,取像设备不能做得比拇指更小;提取单个手指图像时影响可靠性,提取多个指纹图像则影响实用性;较易製作假指纹、可进行手术移植、接触面上的指纹印痕易被他人窃取作假。由此可以看出,虹膜识别具有全方位的优势,在人体生物特征识别市场中细分的市场中将成为主流产品。北京虹安翔宇公司在虹膜这方面强大的技术支持和丰富的高中低端产品, 服务不错。
