智能卡安全認證與其它認證體系的比較與分析

文章出處：http://psychicreadingswithdeb.com 作者：語(yǔ)馨 收編   人氣： 發(fā)表時(shí)間：2011年09月26日

     從目前來(lái)看，已經(jīng)有密碼認證、PIN碼認證、“智能卡”、生物識別、CHAP認證、雙因素認證等多種認證體系。不同安全級別的認證方法有很大區別，安全性是認證方式的最重要的考慮因素，但并非全部。我們還需要關(guān)注他們的兼容性、方便性以及使用成本等。

　現代信息安全體系是由三個(gè)主要的部分組成的，它們是：認證、授權和可追究責任(審計)。其中認證是這三個(gè)因素中最基本的一個(gè)，因為它是發(fā)生在其他兩個(gè)因素之前的。

　術(shù)語(yǔ)“認證”或者“用戶(hù)認證”指的都是確定那些要求訪(fǎng)問(wèn)計算機、網(wǎng)絡(luò )或者計算機資源的人的身份。如果不能將一個(gè)人從未受限制的人中區分出來(lái)，那么限制這個(gè)人行為的授權就變得沒(méi)有什么意義了。如果一個(gè)用戶(hù)行為記錄的可信度受到質(zhì)疑的話(huà)，那么可追究責任或者審計記錄就不能夠防止用戶(hù)權利被濫用。如果在身份明確的用戶(hù)和身份不明用戶(hù)的要求下，系統都可以給信息解密的話(huà)，那么即使為所有的信息加了密的這個(gè)系統也是沒(méi)有什么價(jià)值的。這一切都意味著(zhù)在授權規則、系統加密和審計機制發(fā)生作用之前必須確定一個(gè)認可的和適當的認證。

　在配置任何一個(gè)安全系統時(shí)，安全性和方便性之間都會(huì )經(jīng)常存在矛盾。組織必須在受保護的信息價(jià)值和易于使用以及配置可以滿(mǎn)足他們需要的系統的成本之間取得平衡。事實(shí)上，一個(gè)“足夠安全”并能提供給很多人使用的系統似乎比一個(gè)高安全級別卻很少人使用的系統要有價(jià)值得多。因為組織有不同的風(fēng)險級別，就需要有多種解決方案來(lái)滿(mǎn)足不同的安全級別。

　記憶式密碼認證

　在過(guò)去，所有計算機的安全系統都是試圖通過(guò)單一的記憶式密碼認證用戶(hù)的。實(shí)際上,所有計算機和網(wǎng)絡(luò )都是與記憶式密碼認證方案兼容的。然而，在近20年中，強大而廣闊的計算機發(fā)展趨勢使得記憶式密碼的認證方式在大多時(shí)候根本起不到安全作用。

　　以前，常規的補救方法是將密碼的位數延長(cháng)和增加它的復雜性，并且不斷提醒用戶(hù)改變和記住他們的新密碼。以往經(jīng)驗非常明確地告訴我們，這兩種方法在當前的使用環(huán)境中根本不起作用，而且根本不能克服前面提及的那兩個(gè)領(lǐng)域中存在的弱點(diǎn)。

　隨著(zhù)公共網(wǎng)絡(luò )的出現，以廣泛的拓撲結構、個(gè)人電腦和電腦工作者為基礎的個(gè)人網(wǎng)絡(luò )要重新考慮通常的記憶式密碼的認證形式了，因為很多使用環(huán)境都需要有更強大的認證方式。

　雖然記憶式密碼的安全性不是很好，但是在低風(fēng)險環(huán)境中使用它是最方便的。例如一個(gè)職員可以在被信任的基礎上登錄一個(gè)安全公司的網(wǎng)絡(luò )。在這里，這種低級別的安全就可以滿(mǎn)足需要了，而且對于雇員來(lái)說(shuō)還能節省很多時(shí)間。如果個(gè)別人的物理智能卡或者口令牌丟失了，記憶式密碼還可以作為臨時(shí)的可依靠的認證機制來(lái)使用。

　PIN碼認證

　記憶式密碼的一個(gè)比較高級的變形是個(gè)人身份代碼，或者由American Banker's Association定義的稱(chēng)作“PIN”碼。PIN碼廣泛應用于銀行信用卡和自動(dòng)提款機的配合使用上。

　有些人認為PIN碼僅是包含數字的簡(jiǎn)單的記憶式密碼。然而實(shí)際上，PIN碼通常是加密的或由一些只有接收者和發(fā)送者知道的動(dòng)態(tài)的變量組成的，這樣可以彌補二者存在的不足。PIN碼和密碼的不同之處在于，PIN碼可以沒(méi)有任何風(fēng)險地在公共網(wǎng)上傳輸，即使對手能夠監督、記錄或者重現這個(gè)網(wǎng)絡(luò )路線(xiàn)。

　因為保護PIN碼的機制必須足夠復雜以抗攻擊，所以PIN碼系統通常要在用戶(hù)所在位置、計算機所在位置、或者兩個(gè)位置同時(shí)配備額外的硬件。這些與當前設備兼容的額外硬件必須仔細定制計劃，有時(shí)它們要占用相當大的成本。PIN碼通常要依靠共享的設備，而不專(zhuān)門(mén)針對個(gè)人用戶(hù)。當依照ABA的標準配置時(shí)，在任何可以接受記憶式密碼也可以接受PIN碼的地方進(jìn)行認證，也可以在記憶式密碼不能滿(mǎn)足條件2和5(關(guān)于密碼能夠儲存、重現和在網(wǎng)絡(luò )上暴露密碼)的環(huán)境中使用它。

    CHAP認證

　應更強大的記憶式密碼認證系統的需要——能適用在公共網(wǎng)絡(luò )中——Internet Engineering Task Force公布了一個(gè)被稱(chēng)作“CHAP”的協(xié)議標準和使用指導。利用這一協(xié)議，專(zhuān)門(mén)設計的應用程序和網(wǎng)絡(luò )設備就可以發(fā)出密碼寫(xiě)成的挑戰/應答對話(huà)，來(lái)確定彼此的身份。

　對用戶(hù)來(lái)說(shuō)，CHAP認證通常是自動(dòng)的和一目了然的。事實(shí)上，CHAP的主要作用不是進(jìn)行用戶(hù)認證，而是主要用來(lái)幫助“黑匣子”進(jìn)行信息傳播。CHAP在現代網(wǎng)關(guān)裝置中比較常見(jiàn)，例如路由器和一般服務(wù)器，它們在允許網(wǎng)絡(luò )連接之前，都要詢(xún)問(wèn)和鑒定CHAP加密的記憶式密碼。

　CHAP認證幾乎和所有的路由器以及一般服務(wù)器設備兼容，因此可以安裝在幾乎所有的Internet網(wǎng)關(guān)上。它也與大部分的PPP客戶(hù)端軟件兼容，其中包括Microsoft Windows提供的一些主流PPP客戶(hù)端。然而，它與大多數的“legacy”應用不能兼容，其中包括絕大多數的主機設備和微機的登錄系統。

　在Internet上傳輸時(shí)，CHAP表現出了足夠強大的抗攻擊性。然而，當CHAP全自動(dòng)和透明時(shí)，它就不能夠準確鑒別人類(lèi)用戶(hù)的身份了。即使要求輸入記憶式密碼而且這個(gè)密碼還被CHAP加密，它也仍然存在被身后的人輕松窺視到的致命弱點(diǎn)。因此，通常認可的計算機操作在承認記憶式密碼的地方也允許使用CHAP認證，同時(shí)可以在單獨使用記憶式密碼不能滿(mǎn)足條件5(網(wǎng)絡(luò )暴露)時(shí)使用CHAP認證。然而，即使是最好的CHAP配置也不能夠解決條件3(有關(guān)環(huán)境的物理安全和可接近性)的所列問(wèn)題，因為使用記憶式密碼時(shí)通常是不能遠離身邊其他電腦工作者的。

　智能卡認證

　“智能卡”是一個(gè)小的、類(lèi)似信用卡的卡片。由于它帶有集成塊，所以這種卡可以植入實(shí)際的智能。認證應用中的智能卡含有機密的認證信息。

　目前智能卡還不能夠兼容很多類(lèi)型的PC和網(wǎng)絡(luò )工作站。當與一個(gè)電子讀卡器和電源相結合時(shí)，它們就僅僅是真正的“smart enough”。讀卡器連接到一個(gè)端口、槽口或插座上，然后就可以連接到一臺網(wǎng)絡(luò )計算機上了。

　一個(gè)小型的責任明確的用戶(hù)組在專(zhuān)業(yè)的、高價(jià)值的或高風(fēng)險的應用中選擇智能卡是明智的;常規的軟件應用可以購買(mǎi)、安裝、配置智能卡讀卡器。遺憾的是，添加一個(gè)智能卡讀卡器會(huì )使這個(gè)方案的成本大大增加，在大數量的用戶(hù)中配置是不可行的。目前還沒(méi)有人能想出一個(gè)方法使得讀卡器便宜得能為每一個(gè)計算機用戶(hù)配置一個(gè)。而且計算機用戶(hù)也不情愿一天要好幾次離開(kāi)他們辦公室的椅子，去使用一個(gè)部門(mén)共享的讀卡器，即使這樣的確降低了公司的成本。

　生物識別認證

　近年來(lái)，各種類(lèi)型的生物辨認裝置不斷被開(kāi)發(fā)出來(lái)，它們能夠精確測定指紋、視網(wǎng)膜圖案、手相、書(shū)寫(xiě)法定簽名時(shí)的筆跡或者在計算機鍵盤(pán)上打字的手勢。這種設備載有的信息通常被稱(chēng)為生物信息，它通?？沙蔀槊總€(gè)用戶(hù)能辨認的、穩定的區別特性。

　如果在一個(gè)特定的認證系統中使用生物測定裝置或軟件確實(shí)能夠取得所有用戶(hù)的唯一的特性樣本，那么通常情況下，公認的安全慣例是允許在任何承認記憶式密碼的區域內通過(guò)這些生物系統以及記憶式密碼系統進(jìn)行認證的。這些系統也適用于由于不能夠滿(mǎn)足條件3而使得記憶式密碼不能安全地單獨使用的區域。

　但生物特性不是萬(wàn)能的，因為授權的用戶(hù)不能夠改變他們的生物特征，所以生物系統必須謹慎設計以防止用戶(hù)的生物特性暴露在不安全的環(huán)境中。

　這使生物辨認系統意識到在實(shí)際傳送生物特性時(shí)，絕對不能采取可能被重現的方式，或者永遠不泄漏它們的真正數值。保護生物信息的方法隨著(zhù)它們的配置和精密水平而變化。在將來(lái)，上面提到的有些動(dòng)態(tài)密碼認證器在正確發(fā)出動(dòng)態(tài)密碼之前可能會(huì )要求輸入一些生物信息。

　雙因素認證

　雙因素認證采用兩級認證方式，它包括一個(gè)“口令牌”，口令牌動(dòng)態(tài)生成的密碼與系統生成的密碼相同時(shí)，系統才會(huì )得到確認。我們所有的口令牌都是針對更高安全級別，使用“動(dòng)態(tài)密碼技術(shù)”來(lái)生成真正的一次性密碼的。這種一次性密碼的優(yōu)點(diǎn)是，任何一個(gè)攻擊者取得的動(dòng)態(tài)密碼在用戶(hù)使用過(guò)后都不能再進(jìn)行下次網(wǎng)絡(luò )認證，因為它已經(jīng)不再有效。

　為了進(jìn)一步增強安全性，用戶(hù)在登錄網(wǎng)絡(luò )時(shí)，可以與密碼一起鍵入一個(gè)PIN碼。例如Secure Computing的SafeWord Platinum口令牌就要求用戶(hù)往口令牌中輸入一個(gè)PIN碼來(lái)激活它。這種口令牌提供了最高級別的安全，當安全需求非常緊迫時(shí)，我們建議使用這種認證方式。

　口令牌基本上有兩種認證方式：事件同步、時(shí)間同步和異步。時(shí)間同步的認證器在一段固定的時(shí)間內——通常是一分鐘——也可以生成一個(gè)唯一的、動(dòng)態(tài)的密碼。這種認證器也非常便于使用，因為它們一直開(kāi)啟著(zhù)，不間斷地生成不同的密碼。同時(shí)，密鑰和加密體系保證了認證器生成的密碼是唯一的。