隨著網絡應用的深入發展和普及,網絡中存儲、流轉的數據類型和數量與日俱增,已成為網絡空間最有價值的資產之一。近些年針對數據信息的網絡攻擊層出不窮,一旦發生泄漏事件,就可能給企業、個人,乃至行業、國家造成嚴重的危害和影響。時至今日,加強數據防護,保障信息安全早已成為網絡時代大眾的共識。
在網絡和信息安全領域,密碼對保障信息安全所起到的作用越來越大,其應用范圍及應用深度也在不斷發展。當前,信息系統想要實現安全目標,達到一定的防護水平,就必須具備有效的鑒別與訪問控制機制。其中,身份鑒別是信息安全領域很重要的一項基礎內容。
身份鑒別概念
標識是實體身份的一種計算機表達。
信息系統在執行操作時,首先要求用戶標識自己的身份,并提供證明自己身份的依據,不同的系統使用不同的方式表示實體的身份,同一實體可以有多個不同的身份。
鑒別是將標識和實體聯系在一起的過程。鑒別是信息系統的第一道安全防線,也為其他安全服務提供支撐。訪問控制機制的正確執行依賴于對用戶身份的正確識別,標識和鑒別作為訪問控制的必要支持,以實現對資源機密性、完整性、可用性及合法使用的支持。如果與數據完整性機制結合起來使用,可以作為數據源認證的一種方法。
身份鑒別的類型
身份鑒別包括單向鑒別、雙向鑒別以及第三方鑒別。
在一個給定的網絡中,客戶A需要訪問服務器S的服務,客戶A必須被服務器鑒別,這個鑒別過程稱為單向鑒別。如果客戶A也需要鑒別服務器S,則稱為雙向鑒別。還有一些情況要求由雙方信任的第三方進行鑒別,以確認用戶和服務器的身份。
單向鑒別是當用戶希望在應用服務器上注冊時,用戶僅需被應用服務器鑒別。常見的單向鑒別是用戶發送其用戶名和口令給應用服務器,應用服務器收到的用戶名和口令進行驗證,確認用戶名和口令是由合法用戶發出。
雙向鑒別是一種相互鑒別,其過程在單向鑒別的基礎上還要增加兩個步驟:服務器向客戶端發送服務器名和口令,客戶端確認服務器身份的合法性。這種基于口令的雙向鑒別一般不常使用,假如有50個用戶(或應用服務器),每個用戶若均可與其它用戶通信,則每個用戶都應有能力鑒別其他用戶。在雙向鑒別的情況下,還應能被其它用戶鑒別,這樣每個用戶需要保存49個口令。一旦用戶增加、減少或改變口令,都要調整口令清單,管理繁瑣且效率低。
第三方鑒別是基于可信的第三方存儲驗證標識和鑒別信息。每個用戶或應用服務器都向可信第三方發送身份標識和口令,提高了口令存儲和使用的安全性,并且具有較高的效率。
身份鑒別的方式
實體身份鑒別一般依據3種基本情況或3種情況的組合,即:實體所知、實體所有和實體特征。
◇ 基于實體所知的鑒別,即實體所知道的,如口令,PIN碼等。常常將一個秘密信息發送到系統中,該秘密信息僅為用戶和系統已知。據此系統鑒別用戶身份。
◇ 基于實體所有的鑒別,即實體所擁有的物品,如鑰匙、磁卡等,借助這些物品使系統鑒別用戶。在鑒別時,用戶手持這些物品,通過外圍設備完成鑒別。
◇ 基于實體特征的鑒別,即實體所擁有的可被記錄、可比較的生理或行為方面的特征,這些特征能被系統觀察和記錄,通過與系統中存儲的特征比較進行鑒別。
◇ 多因素鑒別方法,使用多種鑒別機制檢查用戶身份的真實性。使用兩種鑒別方式的組合(雙因素鑒別)是常用的多因素鑒別形式。
例如,在網上銀行的轉賬驗證時,必須同時使用用戶名/密碼(實體所知)和USB Key(實體所有)才能完成一次轉賬驗證。使用多因素驗證能有效地提高安全性,降低身份濫用的風險。
