在常用認證算法的基礎上,近年來常用的認證協議主要有基於口令的認證����、基於挑戰/應答的認證,經典跨域認證協議(如 Kerberos)和多因素認證技術。
(1)基於口令的認證
利用口令來確認用戶的身份是當前最常用的認證技術。系統顺利获得用戶輸入的用戶名和密碼查找對應口令表裏的內容,確認是否匹配,從而完成對用戶的認證。這種認證方式存在口令容易遺忘��、簡單口令容易被攻破等問題。
(2)基於挑戰/應答的認證
在挑戰/應答認證方式下,用戶要求登錄時,系統產生一個挑戰信息發送給用戶,用戶根據這條消息連同自己的秘密口令產生一個口令字,輸入這個口令字並發送給系統,從而完成一次登錄過程。由於系統發送的挑戰信息具有隨機性,因此挑戰應答方式可以很好地抵抗重放攻擊。
(3)跨域認證協議
跨域認證的目的是允許用戶訪問跨多個域的多個服務器的資源,而不需要重新認證。也就是說,用戶在一個web站點登錄,一旦顺利获得認證,用戶再次訪問同信任域或者聯盟的網絡域時,不需要再次被認證就可以訪問相應的資源。典型的跨域認證協議是 Kerberos V5Kerberos V5協議是域內主要的安全身份驗證協議,它校驗了用戶身份和網絡服務,這種雙重驗證也稱為相互身份驗證。
Kerberos V5的身份驗證機制頒發用於訪問網絡服務的票證,這些票證包含能夠向請求的服務確認用戶身份的經過加密的數據,其中包括加密的密碼。除了輸入密碼或智能卡憑據,整個身份驗證過程對用戶都是不可見的Kerberos V5中的一項重要服務是密鑰分發中心(KDC)。KDC作為 Active Directory目錄服務的一部分在每個域控制器上運行,它存儲了所有客戶端密碼和其他賬戶信息Kerberos V5身份驗證過程如下��:
1)客戶端系統上的用戶使用密碼或智能卡向KDC進行身份驗證。
2)KDC向此客戶端頒發一個特別的授權票證,客戶端系統使用該授權票證(TGT)訪問授票服務(TGS),這是域控制器上的 Kerberos v5身份驗證機制的一部分。
3)TGS向客戶端頒發服務票證。
4)客戶端向所請求的網絡服務出示服務票證,服務票證向此服務證明用戶的身份,同時也向該用戶證明服務的身份。
5) Kerberos V5服務安裝在每個域控制器上, Kerberos客戶端安裝在每個工作站和服務器上。
6)每個域控制器作為KDC使用,客戶端使用域名服務(DNS)定位最近的可用域控制器,域控制器在用戶登錄會話中作為該用戶的首選KDC運行。如果首選KDC不可用,系統將定位備用的KDC來给予身份驗證。
(4)多因素身份認證
多因素身份驗證是一種安全系統,是為了驗證一項交易的合理性而實行的多種身份驗證。其目的是建立一個多層次的防禦體系,使未經授權的人難以訪問計算機系統或網絡多因素身份驗證是顺利获得結合兩個或三個獨立的憑證來完成的,這些憑證主要分為三種。
用戶知道什麼(知識型的身份驗證)���、用戶有什麼(安全性令牌或者智能卡)��、用戶是什麼(生物識別驗證)。
①一次性密碼
一次性密碼(One-Time- Password,OTP)的主要思路是:在登錄過程中加入不確定因素,使每次登錄過程中傳送的信息都不相同,從而提高登錄過程安全性。一次性密碼系統顺利获得採用基於時間���、事件和密鑰三個變量產生的一次性動態密碼代替傳統的靜態密碼。一次性密碼系統通常由用戶手中的動態密碼卡和認證用戶身份的服務器端兩部分組成。每個動態密碼卡都有一個唯一的密鑰,該密鑰同時存放在服務器端,每次認證時,動態密碼卡與服務器分別根據同樣的密鑰��、同樣的隨機參數(時間����、事件)和同樣的算法計算待認證的動態密碼,從而在雙邊確保密碼的一致性,實現用戶的身份認證。因為每次認證時的隨機參數不同,所以每次產生的動態密碼也不同,而參數的隨機性保證了每次密碼的不可預測性,從而在最基本也是最重要的密碼認證環節保證了系統的安全性。
一次性密碼的實現機制主要有兩種
·挑戰/應答( Challenge- Response)機制。認證時,認證服務器端給客戶端發送一個不同的“挑戰”字串,客戶端程序收到這個“挑戰”字串後,做出相應的應答。
時間同步( Time Synchronization)機制。即以用戶登錄時間作為隨機因素,連同用戶的密碼共同產生一個密碼字,這種方式對雙方的時間準確度要求較高,一般採取以分鐘為時間單位的折中方法,對時間誤差的容忍可達1分鐘。
一個一次性密碼認證過程。
1)客戶向認證服務器發出請求,要求進行身份認證。
2)認證服務器查詢用戶數據庫,確認用戶是否是合法的用戶。若不是合法用戶,則不做進一步處理。
3)認證服務器內部產生一個隨機數作為“挑戰”發送給客戶
4)客戶將用戶名字和隨機數合併,使用單向散列函數,例如MD5算法生成一個字節串作為“應答”。
5)認證服務器將應答串與自己的計算結果比較,若二者相同,則顺利获得一次認證,否則認證失敗。
6)認證服務器通知客戶認證成功或失敗。
相比於傳統的密碼體制,OTP具有如下優點:
有效解決使用者在密碼記憶與保存上的困難性。
由於密碼只能使用一次,而且密碼一分鐘隨機變化一次,因此不可預測,也只有一次的使用有效性,從而大大提升使用的安全程度。
②生物特徵識別
生物特徵識別是一種根據人體自身所固有的生理特徵和行為特徵來識別身份的技術,即顺利获得計算機與光學���、聲學���、生物傳感器和生物統計學原理等高科技手段密切結合,利用人體固有的生理特徵來進行個人身份的鑑定。這些技術包括指紋識別����、聲音識別����、虹膜掃描等。
指紋識別。實現指紋識別有多種方法,其中有些是仿效傳統的公安部門使用的方法,比較指紋的局部細節;有些則直接顺利获得全部特徵進行識別;還有一些更獨特的方法,如指紋的波紋邊緣模式和超聲波。在所有生物識別技術中,指紋識別是當前應用最為廣泛的一種技術。
聲音識別。聲音識別就是顺利获得分析使用者的聲音物理特性來進行識別的技術。现在,雖然已經有一些聲音識別產品進入市場,但使用起來還不太方便,主要是因為傳感器和人的聲音可變性都很大。另外,比起其他的生物識別技術,其使用的步驟也比較複雜,在某些場合顯得不方便。關於聲音識別,還有很多研究工作正在進行中。
除了上面提到的生物特徵識別技術以外,還有顺利获得虹膜識別����、氣味���、耳垂和其他人體特徵進行識別的技術,但现在這些技術還處於研究階段。
