PKI身份认证和动态口令身份认证技术比较
信息安全认证方案简介
•常规的“口令”代码认证 •动态口令(动态口令)认证 •生物技术(指纹、虹膜、面容等)认证 •数字证书(CA)认证等。 其中常规的“口令”代码认证是计算机系统的早期身份认 证产品, 因其“口令”的静态特性和重复使用性,存在易 窃取、易猜测、易破解等安全缺陷,是一种弱身份认证系 统,只能用于安全等级要求较低的信息系统。动态口令认 证、生物技术认证和数字证书认证是强身份认证系统,可 用于政府、金融、企业等重要信息系统的安全认证
信息安全认证方案简介
宁波港信息通信有限公司
安全认证内容
• 1、信息安全需求 、 • 2、信息安全认证技术 、信息安全认证技术 • 3、信息安全认证解决方案 、
信息安全的需求
• • • • • • 用户的身份鉴别 访问控制与授权 信息的保密性与安全性 保证数据的完整性 不可否认性 监听与审计系统
信息安全认证技术
目录服务系统(LDAP) 统一用户管理系统 USB智能密码钥匙
PKI安全基础设施实施
PKI
LDAP
OCSP
UMS
RA
CA
CA CA/ LDAP
KM
OTHER APP
CLP
CBOS
WAS
INTERNET
USB智能密码钥匙 智能密码钥匙
• USB KEY作为用户的证书存储介质,USB Key在全球首次将 位核心的高性能、高容量智能卡芯片用于 作为用户的证书存储介质, 在全球首次将32位核心的高性能 作为用户的证书存储介质 在全球首次将 位核心的高性能、高容量智能卡芯片用于USB 中, 提供高速硬件运算能力和超大容量存储空间,提供符合PC/SC标准的驱动程序,支持 标准的驱动程序, 智能卡登陆, 提供高速硬件运算能力和超大容量存储空间,提供符合 标准的驱动程序 支持Windows 智能卡登陆,通过非 对称密钥技术实现可靠的身份认证和数据加密,广泛应用于PKI体系,足以满足数字证书和电子印章用户的最高端需 体系, 对称密钥技术实现可靠的身份认证和数据加密,广泛应用于 体系 求。 • PC/SC标准驱动程序,支持 标准驱动程序, 标准驱动程序 支持Windows智能卡登录 智能卡登录 • 32位智能卡芯片 位智能卡芯片 • 自主知识产权的卡片操作系统 • 硬件产生 硬件产生1024位RSA密钥 位 密钥 • 硬件支持 硬件支持RSA、DES 、3DES、SHA-1和MD5算法 、 、 和 算法 • 内置国密算法 • 支持第三方算法下载 • 64位唯一硬件序列号 位唯一硬件序列号 • 硬件随机数生成器 • 对PKI应用具有强大的即插即用功能 应用具有强大的即插即用功能 • 提供标准安全中间件接口(CSP、PKCS#11) 提供标准安全中间件接口( 、 ) • 支持多个密钥的存储 • 硬件实现数字签名 • 支持 支持X.509 v3标准证书格式 标准证书格式 • 在浏览器中可以通过 在浏览器中可以通过ActiveX Control 和 Java Applet来访问 来访问 • 支持多种操作系统 支持多种操作系统Windows 98SE/Me/2000/XP/Server 2003、Linux、Mac OS 、 、 • 标准 标准USB1.1全速设备,支持 全速设备, 接口, 全速设备 支持USB2.0接口,通讯速率 接口 通讯速率12Mbps。 。 • 符合 和FCC标准 符合CE和 标准 • 1024位RSA密钥的签名、验证时间小于 秒,1024位RSA密钥的生成时间小于 秒; 密钥的签名、 密钥的生成时间小于5秒 位 密钥的签名 验证时间小于1秒 位 密钥的生成时间小于 • 数据保存 年以上,FLASH可擦写 万次以上。 数据保存20年以上 年以上, 可擦写60万次以上 可擦写 万次以上。
认证技术的原理与应用
认证技术的原理与应用1. 认证技术介绍认证技术是信息安全领域中的一项重要技术,用于确认用户的身份或数据的完整性。
它包括各种方法和技术,旨在确保只有经过授权的用户可以访问特定的资源或执行特定的操作。
本文将介绍认证技术的原理和常见的应用。
2. 认证技术原理认证技术实现身份验证的原理通常基于以下几种方法:2.1 用户名和密码用户名和密码是最常见的认证方法之一。
用户通过提供预先分配的用户名和密码进行身份验证。
这种方法简单方便,但也容易受到密码猜测、密码泄露等风险的影响。
2.2 双因素认证双因素认证是在用户名和密码的基础上引入第二个认证因素,提高身份验证的安全性。
常见的双因素认证包括使用短信验证码、动态口令、指纹识别等。
2.3 公钥基础设施公钥基础设施(PKI)利用非对称加密算法,通过数字证书对用户的身份进行认证。
用户拥有自己的私钥和公钥,公钥由权威机构签发。
服务端使用用户的公钥对消息进行加密,用户使用私钥解密消息。
2.4 生物特征识别生物特征识别技术利用个体独有的生理特征或行为特征进行身份验证,包括指纹识别、虹膜识别、声纹识别等。
生物特征识别在安全性和便利性上都具有优势,但也存在生物特征被伪造的风险。
3. 认证技术应用场景认证技术广泛应用于各个领域,以下是几个常见的应用场景的介绍:3.1 网络身份认证网络身份认证用于确认用户在互联网上的身份,常见的应用包括登陆网站、访问网络服务等。
除了用户名和密码,很多网站也引入了双因素认证和PKI技术,提高身份验证的安全性。
3.2 移动支付认证移动支付认证是指在移动支付场景中,确保支付交易的安全性和用户身份的有效性。
常见的认证方法包括指纹识别、面部识别等生物特征识别技术。
3.3 电子签名认证电子签名认证用于对电子文档进行加密和保护,确保文档的完整性和真实性。
PKI技术是实现电子签名认证的一种常见方法。
3.4 物理访问控制物理访问控制用于限制人员进入特定的区域或场所。
常见的应用场景包括大楼门禁、车辆进出等。
电子身份认证技术在军队物资采购网中的应用
电子身份认证技术在军队物资采购网中的应用作者:钟昊金明来源:《管理观察》2013年第14期【摘要】军队物资采购网()是全军采购信息发布的唯一权威媒体,也是组织采购活动的“阳光平台”,由全军物资采购主管部门——总后勤部军需物资油料部负责管理。
军队物资采购网以信息为主导、以流程为中心、以效率为目的,是实现采购信息网络化、采购管理规范化、采购过程电子化,提高军队物资采购透明度的重要手段。
【关键词】电子身份证军队物资采购网军队物资采购网()是全军采购信息发布的唯一权威媒体,也是组织采购活动的“阳光平台”,由全军物资采购主管部门——总后勤部军需物资油料部负责管理。
军队物资采购网以信息为主导、以流程为中心、以效率为目的,是实现采购信息网络化、采购管理规范化、采购过程电子化,提高军队物资采购透明度的重要手段。
随着军队物资采购信息化建设的稳步发展,网络平台在给我们工作带来极大便利的同时,也对信息的安全性提出了严峻挑战,迫切需要一种技术手段来为采购网保驾护航。
1.基于PKI/CA的电子身份认证技术PKI/CA(Public Key Infrastructure/Certificate Authority,公钥基础设施/认证中心)产生于20世纪80年代,是在公钥理论和密码技术的基础上发展起来的一种安全平台,能够透明地为网络应用提供加密和数字签名等密码服务,以及密钥和证书的管理,从而保证网络上数据信息的安全、保密、完整和抗抵赖性。
利用PKI/CA技术可以实现一个可信的电子身份认证平台,使得网络用户在这个环境里能够相互确认彼此的身份以及交互的信息,从而能够安全的进行各种活动。
PKI/CA电子身份认证技术具以下特点:(1)交互性。
PKI/CA具有良好的交互操作性,使得每个应用程序和设备都能以相同的方式访问和使用PKI;(2)开放性。
PKI/CA是一个开放的、国际公认的安全标准,技术方案可信和方便;(3)一致性。
PKI/CA为所有的应用程序和设备提供了可靠的、一致的解决方案;(4)独立性。
基于图形密码的身份认证
基于图形密码的身份认证作者:赵阳阳秦丽佳来源:《数字技术与应用》2013年第02期摘要:分析了目前身份认证的几种模式,为了解决文本口令认证带来的问题,给出了一种基于图形密码的身份认证方案,该认证方案不仅仅让用户容易记住密码,也提高了系统的安全性。
关键词:图形密码身份认证中图分类号:TP392 文献标识码:A 文章编号:1007-9416(2013)02-0177-011 引言身份认证是对系统中的主体进行验证的过程,用户必须提供他是谁的证明。
在现实生活中,我们每个人的身份主要是通过各种证件来确认的,比如:身份证、学生证、户口本等。
在电子世界认证一个用户的身份主要采用四种方法,一是,根据用户知道什么。
如借助口令验证,通过提问验证等。
二是根据用户拥有什么。
如用磁卡和个人识别卡PIN一起使用。
三是根据用户的生物特征。
验证用户具有哪些生理特征,如指纹、声音、视网膜纹路、声音、脚印、容貌等。
四是根据用户的下意思动作。
不同人的同一个动作会留下不同的特征,如手写签字。
目前也常常采用上面的几种方式联合认证用户,如用户是否具有银行卡,是否知道密码,更高级的是再采用一个验证码,只有知道密码,知道验证码的用户才能通过验证。
2 常见的身份认证模式用户名/密码模式:它是采用身份认证的第一种方法。
每一个合法用户都有系统给的一个用户名/口令对,当用户要求访问提供服务的系统时,系统就要求输入用户名、口令,在收到口令后,将其与系统中存储的用户口令进行比较,以确认被认证对象是否为合法访问者。
如果正确,则该用户的身份得到了验证。
由于每个用户的密码是由这个用户自己设定的,只有他自己才知道,因此只要能够正确输入密码,计算机就认为他就是这个用户。
IC卡认证模式:它是采用身份认证的第二种方法。
IC卡是一种内置了集成电路的卡片,卡片中存有与用户身份相关的数据,登录时必须将IC卡插入专用的读卡器中读取其中的信息,以验证用户的身份。
动态口令模式:它也属于身份认证的第一种方法。
第6章 身份认证与访问控制
6.2 身份认证系统与数字签名
图6-6 数字签名原理及过程
图6-7 数字签名的实现过程
讨论思考:
(1)基于口令认证的方法有哪些主要安全隐患? (2)数字签名和现实中的签名有哪些区别和联系?
6.2 身份认证系统与数字签名
4. 单次登入系统 单次登入(Single Sign On,SSO)也称单点登入,是指
用户只向网络系统进行一次身份验证,以后再无需另外验证身 份便可以访问所有授权的网络资源。单次登录优势主要体现5 个方面:
①网络安全性高。 ②管理控制方便。 ③使用快捷。 ④实现简单。 ⑤合并异构网络。
2.身份认证的类型
认证技术是用户身份认证与鉴别的重要手段,也是计算机系统 安全中一项重要内容.从鉴别对象上,分为消息认证和用户身份认证:
(1)消息认证:用于保证信息的完整性和不可否认性。 (2)身份认证:鉴别用户身份。包括识别和验证两部分。识别 是鉴别访问者的身份,验证是对访问者身份的合法性进行确认。
6.2.1 常用身份认证系统
1. 静态密码认证系统 静态密码(口令)认证系统是指对用户设定的用户名/
密码进行检验的认证系统。 由于这种认证系统具有静态、简便且相对固定特点,
容易受到以下攻击:
①字典攻击。 ②穷举尝试(Brute Force)。 ③网络数据流窃听(Sniffer)。 ④窥探。 ⑤认证信息截取/重放(Record/Replay)。 ⑥社会工程攻击。 ⑦垃圾搜索。
6.3 访问控制技术
2.访问控制的功能及原理
访问控制的主要功能:保证合法用户访问受权保护的网 络资源,防止非法的主体进入受保护的网络资源,并防止合法 用户对受保护的网络资源进行非授权的访问.访问控制的内 容包括认证、控制策略实现和安全审计,如图6-8所示。
第5章 身份认证与访问控制
5.1 身份认证技术概述
表5-1 证书的类型与作用 证书名称
个人证书
证书类型
个人证书
主要功能描述
个人网上交易、网上支付、电子邮件等相关网 络作业
单位身份证书 用于企事业单位网上交易、网上支付等
单位证书 服务器证书 代码签名证 书 Email证书 部门证书 企业证书 个人证书 企业证书 用于企事业单位内安全电子邮件通信 用于企事业单位内某个部门的身份认证 用于服务器、安全站点认证等 用于个人软件开发者对其软件的签名 用于软件开发企业对其软件的签名
2.认证技术Байду номын сангаас类型
认证技术是用户身份认证与鉴别的重要手段,也是计算机系统 安全中一项重要内容.从鉴别对象上,分为消息认证和用户身份认证: (1)消息认证:用于保证信息的完整性和不可否认性。 (2)身份认证:鉴别用户身份。包括识别和验证两部分。识别 是鉴别访问者的身份,验证是对访问者身份的合法性进行确认。 从认证关系上,身份认证也可分为用户与主机间的认证和主机之间 的认证,
2. 数字签名的功能
保证信息传输的完整性、发送者的身份认证、防止交易中的抵 赖行为发生。数字签名技术是将摘要信息用发送者的私钥加密,与 原文一起传送给接收者。最终目的是实现6种安全保障功能: (1)必须可信。(2)无法抵赖。(3)不可伪造。 (4)不能重用。(5)不许变更。(6)处理快、应用广。
5.2数字签名概述
5.3.2 访问控制的类型及机制
访问控制可以分为两个层次:物理访问控制和逻 辑访问控制。 1. 访问控制的类型 访问控制类型有3种模式: 1)自主访问控制 自主访问控制(Discretionary Access Control,DAC)是一种接入控制服务,通过执行基 于系统实体身份及其到系统资源的接入授权。包括 在文件,文件夹和共享资源中设置许可。
网络安全防护策略指导书
网络安全防护策略指导书第1章网络安全概述 (4)1.1 网络安全的重要性 (4)1.1.1 国家安全 (4)1.1.2 企业利益 (4)1.1.3 个人隐私 (4)1.2 常见网络安全威胁 (4)1.2.1 计算机病毒 (4)1.2.2 木马 (4)1.2.3 网络钓鱼 (5)1.2.4 拒绝服务攻击(DoS) (5)1.2.5 社交工程 (5)1.3 网络安全防护策略体系 (5)1.3.1 安全政策与法规 (5)1.3.2 安全技术措施 (5)1.3.3 安全管理 (5)1.3.4 安全培训与教育 (5)1.3.5 应急响应与恢复 (5)第2章物理安全防护 (5)2.1 物理安全威胁与防护措施 (5)2.1.1 物理安全威胁 (6)2.1.2 防护措施 (6)2.2 数据中心安全防护 (6)2.2.1 数据中心安全威胁 (6)2.2.2 防护措施 (6)2.3 通信线路安全防护 (7)2.3.1 通信线路安全威胁 (7)2.3.2 防护措施 (7)第3章边界安全防护 (7)3.1 防火墙技术 (7)3.1.1 防火墙概述 (7)3.1.2 防火墙的关键技术 (7)3.1.3 防火墙的部署策略 (7)3.2 入侵检测与防御系统 (7)3.2.1 入侵检测系统概述 (7)3.2.2 入侵检测技术 (8)3.2.3 入侵防御系统(IPS) (8)3.2.4 入侵检测与防御系统的部署策略 (8)3.3 虚拟私有网络(VPN) (8)3.3.1 VPN概述 (8)3.3.2 VPN技术 (8)3.3.3 VPN应用场景 (8)第4章访问控制策略 (9)4.1 基本访问控制 (9)4.1.1 访问控制概述 (9)4.1.2 访问控制原则 (9)4.1.3 访问控制实现方法 (9)4.2 身份认证技术 (9)4.2.1 身份认证概述 (9)4.2.2 用户名和密码认证 (9)4.2.3 二维码认证 (9)4.2.4 动态口令认证 (9)4.2.5 数字证书认证 (9)4.3 权限管理 (10)4.3.1 权限管理概述 (10)4.3.2 基于角色的权限管理 (10)4.3.3 基于属性的权限管理 (10)4.3.4 权限管理策略 (10)4.3.5 权限管理工具 (10)第5章恶意代码防范 (10)5.1 恶意代码概述 (10)5.2 防病毒软件与病毒库 (10)5.2.1 防病毒软件 (10)5.2.2 病毒库 (11)5.3 恶意代码防范策略 (11)5.3.1 预防措施 (11)5.3.2 检测与清除 (11)5.3.3 应急响应 (12)第6章网络安全审计 (12)6.1 安全审计概述 (12)6.1.1 安全审计的定义 (12)6.1.2 安全审计的目的 (12)6.1.3 安全审计的意义 (12)6.2 安全审计技术 (13)6.2.1 日志审计 (13)6.2.2 流量审计 (13)6.2.3 主机审计 (13)6.2.4 数据库审计 (13)6.3 安全审计策略与实施 (13)6.3.1 安全审计策略 (13)6.3.2 安全审计实施 (13)第7章数据加密与保护 (14)7.1 数据加密技术 (14)7.1.1 加密算法概述 (14)7.1.2 对称加密算法 (14)7.1.4 混合加密算法 (14)7.2 数字签名与认证 (14)7.2.1 数字签名概述 (14)7.2.2 数字签名算法 (14)7.2.3 数字证书与认证 (15)7.3 数据保护策略与应用 (15)7.3.1 数据保护策略概述 (15)7.3.2 数据加密应用 (15)7.3.3 数据保护策略实施与监控 (15)第8章应用层安全防护 (15)8.1 应用层安全威胁 (15)8.1.1 缓冲区溢出攻击 (15)8.1.2 SQL注入攻击 (16)8.1.3 跨站脚本攻击(XSS) (16)8.1.4 请求伪造攻击(CSRF) (16)8.1.5 文件漏洞 (16)8.2 Web应用安全防护 (16)8.2.1 输入验证 (16)8.2.2 数据编码 (16)8.2.3 使用安全的编程语言和框架 (16)8.2.4 权限控制 (16)8.2.5 安全配置 (16)8.2.6 加密通信 (17)8.3 数据库安全防护 (17)8.3.1 数据库访问控制 (17)8.3.2 数据库加密 (17)8.3.3 SQL语句过滤 (17)8.3.4 定期备份数据 (17)8.3.5 安全审计 (17)8.3.6 更新和漏洞修复 (17)第9章移动与物联网安全 (17)9.1 移动安全威胁与防护 (17)9.1.1 常见移动安全威胁 (17)9.1.2 移动安全防护措施 (17)9.2 物联网安全威胁与防护 (18)9.2.1 常见物联网安全威胁 (18)9.2.2 物联网安全防护措施 (18)9.3 移动与物联网安全策略 (18)9.3.1 统一安全策略 (18)9.3.2 安全技术策略 (18)9.3.3 安全管理策略 (18)第10章网络安全事件应急响应 (19)10.1 网络安全事件分类与等级划分 (19)10.1.2 事件等级划分 (19)10.2 应急响应流程与措施 (19)10.2.1 应急响应流程 (19)10.2.2 应急响应措施 (19)10.3 应急响应团队建设与培训 (20)10.3.1 应急响应团队建设 (20)10.3.2 应急响应培训 (20)第1章网络安全概述1.1 网络安全的重要性信息技术的飞速发展,网络已经深入到我们生活和工作的各个方面。
身份认证技术在石油企业信息系统中的应用探讨
身份认证技术在石油企业信息系统中的应用探讨[摘要]近几年,随着网络信息技术的飞速发展,数字身份认证技术在各行各业的应用也越来越广泛,在石油企业内部通过信息化系统办公平台实现网上办公已非常普遍,但随着各业务应用系统的频繁使用,随之而来的系统使用安全问题越来越被重视。
本文阐述了如何通过最新的数字身份认证技术实现石油企业各业务应用系统安全登陆以及使用过程中数据信息的保密。
[关键词]信包系统身份认证1前言随着网络和信息技术的飞速发展,社会信息化程度越来越高,信息安全越来越受到人们的重视。
便捷高效的电子政务、电子商务、其它信息服务越来越被人们接受,网上办公、网上交易、个人信息交换等逐步普及,但同时伴随着网络木马、病毒等恶意程序肆意泛滥,使得人们在网上的信息处理极不安全,网上盗窃、假冒等行为严重,致使目前网络信息应用系统存在如下安全问题:(1)某些应用系统用户设置了过于简单的口令,仅依靠用户名和口令登录系统。
这种单一的弱认证登陆方式缺乏安全可靠的身份认证,无法在传输前确认信息收发双方身份的真实性和可靠性,无法满足对身份认证的高可靠性要求,无法保证这些用户登录系统认证的安全性。
(2)多系统、多账户缺乏统一的用户身份认证。
对于经常发生的用户权限变更和密码丢失事件,需要耗费系统管理员大量时间和精力去处理,易由于误操作引起安全事故,迫切需要一个统一管理平台进行自动管理。
由于以上问题的出现,使得行业内部人员有机会进行越权访问或是被某些网络黑客非法入侵系统,利用木马病毒仿冒系统平台或网站进行网络欺诈,盗取用户名和密码,侵入系统窃取企业、商务机密,所以必须加强信息系统身份认证的强度。
因此需要通过一种集中、统一的技术实现方式实现一个统一的身份认证安全管理平台,有效解决当前存在的各种安全问题,能够为目前信息系统应用环境建立起一道可靠的安全屏障。
运用目前比较先进的数字身份认证技术,基于企业内部比较完善的PKI体系建立的统一身份认证平台(IAM),可以很好的解决如上信息系统存在的诸多安全问题。
第6章 (1)身份认证
6.2 身份认证系统与数字签名
2.动态口令认证(ACE)系统 动态口令认证系统也称为一次性口令(One Time Password,OTP)认证系统,在登录过程中 加入不确定因素,使每次登录过程中传送的密码信息 都不相同,从而可以增强认证系统的安全性。动态口 令认证系统的组成包括:
图6-1 认证系统网络结构图
6.1 身份认证技术
【案例5-1】AAA认证系统现阶段应用最广。认证
案例6-2
(Authentication)是验证用户身份与可使用网络服 务的过程;授权(Authorization)是依据认证结果 开放网络服务给用户的过程;审计(Accounting)是 记录用户对各种网络服务的操作及用量,审查并计费 的过程。
6.2 身份认证系统与数字签名
3. 双因素安全令牌及认证系统
双因子安全令牌及认证系统,如图6-5所示。 (1)E-Securer的组成 ①安全身份认证服务器。 ②双因子安全令牌(Secure Key)。 (2)E-Securer的安全性 (3)双因子身份认证系统的技术特点与优势
图6-5 E-Securer安全认证系统
6.1 身份认证技术
表6-1 数字证书的类型与作用 证书名称 证书类型
个人证书 个人证书
主要功能描述
个人网上交易、网上支付、 电子邮件等相关网络作业
单位身份证 用于企事业单位网上交易、 书 网上支付等 单位证书 Email证书 用于企事业单位内安全电子 邮件通信 用于企事业单位内某个部门 的身份认证 用于服务器、安全站点认证 用于个人软件开发者对其软 件的签名
统一身份认证平台【可编辑范本】
统一身份认证平台设计方案1)系统总体设计为了加强对业务系统和办公室系统的安全控管,提高信息化安全管理水平,我们设计了基于PKI/CA技术为基础架构的统一身份认证服务平台。
1.1.设计思想为实现构建针对人员帐户管理层面和应用层面的、全面完善的安全管控需要,我们将按照如下设计思想为设计并实施统一身份认证服务平台解决方案:内部建设基于PKI/CA技术为基础架构的统一身份认证服务平台,通过集中证书管理、集中账户管理、集中授权管理、集中认证管理和集中审计管理等应用模块实现所提出的员工帐户统一、系统资源整合、应用数据共享和全面集中管控的核心目标。
提供现有统一门户系统,通过集成单点登录模块和调用统一身份认证平台服务,实现针对不同的用户登录,可以展示不同的内容.可以根据用户的关注点不同来为用户提供定制桌面的功能。
建立统一身份认证服务平台,通过使用唯一身份标识的数字证书即可登录所有应用系统,具有良好的扩展性和可集成性.提供基于LDAP目录服务的统一账户管理平台,通过LDAP中主、从账户的映射关系,进行应用系统级的访问控制和用户生命周期维护管理功能。
用户证书保存在USB KEY中,保证证书和私钥的安全,并满足移动办公的安全需求.1.2.平台介绍以PKI/CA技术为核心,结合国内外先进的产品架构设计,实现集中的用户管理、证书管理、认证管理、授权管理和审计等功能,为多业务系统提供用户身份、系统资源、权限策略、审计日志等统一、安全、有效的配置和服务。
如图所示,统一信任管理平台各组件之间是松耦合关系,相互支撑又相互独立,具体功能如下:a)集中用户管理系统:完成各系统的用户信息整合,实现用户生命周期的集中统一管理,并建立与各应用系统的同步机制,简化用户及其账号的管理复杂度,降低系统管理的安全风险。
b)集中证书管理系统:集成证书注册服务(RA)和电子密钥(USB—Key)管理功能,实现用户证书申请、审批、核发、更新、吊销等生命周期管理功能,支持第三方电子认证服务。
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
PKI身份认证和动态口令身份认证技术比较
∙本文将就网络环境下的PKI认证技术和动态口令认证技术从实现原理、算法安全性、密钥安全性、通信安全性、系统风险性和可实施度六个方面进行技术比较。
1. 身份认证系统概述
对于身份认证而言,其目的就是鉴别网上实体的现实身份,即:网上虚拟实体所代表的现实对象。
举例:
Authen(我的账号)网上实体
XXX(姓名隐含) 现实实体
∙现实中能够凭借看到、听到、闻到、接触到、感觉到现实实体的特征来判定对象的真实性。
但是在网上如何判定虚拟实体的真实性呢?目前采用各种密码算法的身份认证技术,从表现形式而言有:传统静态口令认证技术、特征认证(如指纹、虹膜)技术、基于单钥的智能卡身份认证技术、基于双钥的智能卡身份认证技术、生物识别身份认证技术、动态口令身份认证技术等。
本文仅对基于双钥的PKI身份认证技术和动态口令身份认证技术进行探讨。
2. 两种身份认证技术实现原理
2.1 PKI身份认证技术实现原理
采用PKI技术的身份认证系统其基本认证模型为:
2.2 动态口令身份认证技术实现原理
动态口令认证技术有至少两个因子,一个是常量,即电子令牌瞬间触电的种子值;另一个是变量,即时间值。
采用动态口令技术的基本认证模型为:
3. 算法安全性分析
对于采用上述PKI基本模型的认证技术而言,其算法安全性目前可以说是安全的,但是某些PKI身份认证系统在认证流程中采用了简单的签名技术;其认证模型为:
随着2004年8月17日美国加州圣巴巴拉召开的国际密码学会议(Crypto’2004)上,山东大学王小云教授所作的破译MD5、HAVAL-128、MD4和RIPEMD算法的报告,宣告采用该种算法的身份认证技术已不再安全。
根据王小云教授的密码分析成果,现有的数字签名技术已不再可靠;因此现有的某些采用签名技术的身份认证系统实际上已经不能保证网络实体的唯一性。
对于采用PKI基本模型的认证技术而言,Authentication需要强劲的运算能力,特别是网内用户数量较多且并发量较高的网络环境。
采用动态口令技术的身份认证系统在国内市场可见,其安全性依赖于算法的严格保密。
4. 密钥安全性分析
采用PKI认证技术基本模型的系统而言,其私钥的安全保管可谓是系统整体安全的重中之重。
为防止私钥文件的复制,目前多采用两种私钥载体保存私钥。
一种是将私钥固化在IC芯片中,另一种是将私钥写入U-KEY外形的闪存中。
对于固化有私钥的IC芯片,其本身是个微系统,复制难度较大。
存储私钥的U-KEY介质目前分为两类,一种是带微系统的U-KEY,计算过程在U-KEY内完成,只输出结果;另一种是不带微系统的U-KEY,计算过程在计算机内存中完成。
后者(不带微系统的U-KEY)可能在计算机内存中被复制或影响计算过程。
采用动态口令技术的身份认证系统,用户持有的动态令牌,其本身物理封装,内含一块电池;设计为断电后芯片数据销毁工艺。
Authentication端为软件,运行在计算机内存中;对于其计算过程能否被复制的问题,如上所述。
但是不同的是:动态口令技术每次计算因子至少有一个是变化的,那就是时间,而U-KEY认证技术的后者(不带微系统的U-KEY)其计算因子应该是固定的,即噪声值可通过木马程序获得,私钥是相对静止的。
5. 通信安全性分析
对于认证通信过程而言,PKI认证技术可采用Authentication端公钥或Client端私钥加密通信,其健壮性目前是不容置疑的。
动态口令认证技术由于不需要在Client端安装软件,Client端与Authentication之间的通信就只能依赖于网络系统本身的加密通讯设备了。
目前在多个项目中,各家动态口令认证技术厂商已建议用户采用SSL或IPSEC技术来建立加密通道,以保证通信安全。
6. 系统风险性分析
任何一种技术都必然存在一定的风险,包括需求定位风险和技术可靠性风险。
PKI认证技术中以计算机外部存储器承载私钥的,存在被复制的风险,虽然可采用PIN码保护私钥,但PIN码作为一种相对静态的密码,其被穷举、猜测、嗅探或者木马记录,而造成滥用的可能性风险较大。
而采用IC芯片、U-KEY作为私钥载体的系统而言,必须要在Client端安装软件;IC芯片载体还需要相应的识别设备。
二者都需要与Client计算机物理接触,先不谈由于物理接触增加造成介质磨损或电子迁移所带来的识别成功率逐渐降低的可能,单是其设备驱动程序的安全性就值得考量。
IC芯片介质需配备一个读卡器,与Client计算机并口、串口或USB口连接,需要专门的驱动程序来实现通信,对于精通计算机C或汇编的入侵者而言,变更其合法驱动程序,替换为带有恶意目的的驱动程序,应该是可行的。
U-KEY介质虽然在某些系统环境下,不需要安装第三方驱动程序,但是系统本身的驱动程序能够被替换成恶意的驱动程序呢?
对于Client而言,其分布位置处于网络系统管理员不可控地点,是事实上的不安全域;物理接触者和网络入侵者的目的对于系统管理者而言是不可预知的。
对于不可预知对象可能对不安全域下的Client的行为构成了PKI认证技术的部署风险。
还需要说明的是对于极端要求网络而言,存在技术上没有障碍的数据输出端口是否安全,各个行业的标准就不一样了。
对于动态口令技术而言,其技术风险在于:认证算法的安全性和密码通信信道的私有性。
前者无需多言,后者在不采用加密通信的链路中可以实现会话劫持和冒用。
宁盾建议用户采用SSL和IPSEC技术保证链路安全。
7. 可实施度分析
可实施度包括网络安全级别定义和实施成本分析。
对于相对保密要求不高的网络而言,采用基于PKI基本模型(非数字签名认证模型)的认证系统,其相对安全性可以令人放心。
但是需加装Client端设备的系统成本可能较高,而不用加装终端设备的系统,如U-KEY系统,其物理磨损所造成的认证率逐渐下降的情况,对于个人用户可能不算什么,但行业用户未来的投资和使用者的抱怨,可能极大地损害系统管理者的耐心。
动态口令系统也有其成本的问题,电子令牌采用一次封装工艺,不可打开更换电池,令牌的使用寿命决定于电池的耐久度。
对于电池耗尽的令牌只能报废,用户需重新购买令牌。
动态口令牌使用时间大致分为30个月和48个月,且多采用防水、防震和防电磁干扰工艺。
8. 动态口令新机遇
由于动态口令国内市场目前都是使用硬件口令牌,而其3年左右更换令牌也让很多厂商在采用的时候会有所顾虑,随着3G的发展,将硬件令牌的功能完整转移到手机端,由于其在成本以及安全性上
的优势,在未来的一段时间会慢慢被客户接受,而成为主流。
9. 其它
网络中选用何种身份认证技术安全,在业内已争论多年。
就PKI认证技术和动态口令认证技术而言,其各具特色。
安全的定义需要根据实际的需求,网络安全级别和部署技术投入将成为决定身份认证技术采用的普遍标准。