身份認證與管理：下一個安全部署重點

申請免費試用、咨詢電話：400-8352-114

    數(shù)據(jù)存在的價值就是被合理訪問。建立信息安全體系的目的是保證系統(tǒng)中的數(shù)據(jù)只能被有權限的“人”訪問，未經(jīng)授權的“人”無法訪問數(shù)據(jù)。如果沒有有效的身份認證手段，訪問者的身份就很容易被偽造，使得任何安全防范體系都形同虛設。就好像人們建造了一座非常結實的保險庫，安裝了非常堅固的大門，卻沒有安裝門鎖。

    如果把信息安全體系看作一個木桶，那么防火墻、入侵檢測、VPN、安全網(wǎng)關等就是木桶的壁板，身份認證就相當于木桶底?？梢哉f，身份認證用于解決訪問者的物理身份和數(shù)字身份的一致性問題，給其他安全技術提供權限管理的依據(jù)，而防火墻等技術針對數(shù)字身份進行權限管理，解決數(shù)字身份能干什么的問題。

    由此可見，身份認證是整個信息安全體系的基礎。

    無所不在的身份認證

    相信大家都記得這樣一幅漫畫，一條狗在計算機面前一邊打字，一邊對另一條狗說：“在互聯(lián)網(wǎng)上，沒有人知道你是一個人還是一條狗！”這個漫畫說明了在互聯(lián)網(wǎng)上很難進行身份識別。

    身份認證是指計算機及網(wǎng)絡系統(tǒng)確認操作者身份的過程。計算機和計算機網(wǎng)絡組成了一個虛擬的數(shù)字世界。在數(shù)字世界中，一切信息包括用戶的身份信息都是由一組特定的數(shù)據(jù)表示，計算機只能識別用戶的數(shù)字身份，給用戶的授權也是針對用戶數(shù)字身份進行的。而我們生活的現(xiàn)實世界是一個真實的物理世界，每個人都擁有獨一無二的物理身份。如何保證以數(shù)字身份進行操作的訪問者就是這個數(shù)字身份的合法擁有者，即如何保證操作者的物理身份與數(shù)字身份相對應，就成為一個重要的安全問題。身份認證技術的誕生就是為了解決這個問題。

    如何通過技術手段保證物理身份與數(shù)字身份相對應呢？在真實世界中，驗證一個人的身份主要通過三種方式：一是根據(jù)你所知道的信息來證明身份（what you know），假設某些信息只有某人知道，比如暗號等，通過詢問這個信息就可以確認此人的身份；二是根據(jù)你所擁有的物品來證明身份(what you have) ，假設某一物品只有某人才有，比如印章等，通過出示該物品也可以確認個人的身份；三是直接根據(jù)你獨一無二的身體特征來證明身份(who you are)，比如指紋、面貌等。

    不過，你所知道的信息有可能被泄露或者還有其他人知道，因此僅憑一個人擁有的物品判斷其身份是不可靠的，這個物品有可能丟失，也有可能被人盜取，從而偽造此人的身份。

    從是否使用硬件，身份認證技術可以分為軟件認證和硬件認證。從認證需要驗證的條件來看，身份認證技術還可以分為單因子認證和雙因子認證。這里需要對單因子認證和雙因子認證多說幾句。僅通過一個條件來驗證一個人的身份的技術稱為單因子認證。由于只使用一種條件判斷用戶的身份，單因子認證很容易被仿冒。雙因子認證通過組合兩種不同條件（如通過密碼和芯片組合）來證明一個人的身份，安全性有了明顯提高。RSA SecurID以及Safenet ikey2000等都是雙因子認證技術的代表產(chǎn)品。從認證信息來看，身份認證技術還可以分為靜態(tài)認證和動態(tài)認證?，F(xiàn)在計算機及網(wǎng)絡系統(tǒng)中常用的身份認證方式主要有以下幾種。

    用戶名/密碼方式

    用戶名/密碼是最簡單也是最常用的身份認證方法，是基于“what you know”的驗證手段。每個用戶的密碼是由用戶自己設定的，只有用戶自己才知道。只要能夠正確輸入密碼，計算機就認為操作者就是合法用戶。實際上，由于許多用戶為了防止忘記密碼，經(jīng)常采用諸如生日、電話號碼等容易被猜測的字符串作為密碼，或者把密碼抄在紙上放在一個自認為安全的地方，這樣很容易造成密碼泄漏。即使能保證用戶密碼不被泄漏，由于密碼是靜態(tài)的數(shù)據(jù)，在驗證過程中需要在計算機內(nèi)存中和網(wǎng)絡中傳輸，而每次驗證使用的驗證信息都是相同的，很容易被駐留在計算機內(nèi)存中的木馬程序或網(wǎng)絡中的監(jiān)聽設備截獲。因此用戶名/密碼方式一種是極不安全的身份認證方式。

    IC卡認證

    IC卡是一種內(nèi)置集成電路的芯片，芯片中存有與用戶身份相關的數(shù)據(jù)， IC卡由專門的廠商通過專門的設備生產(chǎn)，是不可復制的硬件。IC卡由合法用戶隨身攜帶，登錄時必須將IC卡插入專用的讀卡器讀取其中的信息，以驗證用戶的身份。IC卡認證是基于“what you have”的手段，通過IC卡硬件不可復制來保證用戶身份不會被仿冒。然而由于每次從IC卡中讀取的數(shù)據(jù)是靜態(tài)的，通過內(nèi)存掃描或網(wǎng)絡監(jiān)聽等技術還是很容易截取到用戶的身份驗證信息，因此還是存在安全隱患。

    動態(tài)口令

    動態(tài)口令技術是一種讓用戶密碼按照時間或使用次數(shù)不斷變化、每個密碼只能使用一次的技術。它采用一種叫作動態(tài)令牌的專用硬件，內(nèi)置電源、密碼生成芯片和顯示屏，密碼生成芯片運行專門的密碼算法，根據(jù)當前時間或使用次數(shù)生成當前密碼并顯示在顯示屏上。認證服務器采用相同的算法計算當前的有效密碼。用戶使用時只需要將動態(tài)令牌上顯示的當前密碼輸入客戶端計算機，即可實現(xiàn)身份認證。由于每次使用的密碼必須由動態(tài)令牌來產(chǎn)生，只有合法用戶才持有該硬件，所以只要通過密碼驗證就可以認為該用戶的身份是可靠的。而用戶每次使用的密碼都不相同，即使黑客截獲了一次密碼，也無法利用這個密碼來仿冒合法用戶的身份。

    動態(tài)口令技術采用一次一密的方法，有效保證了用戶身份的安全性。但是如果客戶端與服務器端的時間或次數(shù)不能保持良好的同步，就可能發(fā)生合法用戶無法登錄的問題。并且用戶每次登錄時需要通過鍵盤輸入一長串無規(guī)律的密碼，一旦輸錯就要重新操作，使用起來非常不方便。

    生物特征認證

    生物特征認證是指采用每個人獨一無二的生物特征來驗證用戶身份的技術。常見的有指紋識別、虹膜識別等。從理論上說，生物特征認證是最可靠的身份認證方式，因為它直接使用人的物理特征來表示每一個人的數(shù)字身份，不同的人具有不同的生物特征，因此幾乎不可能被仿冒。

    生物特征認證基于生物特征識別技術，受到該技術成熟度的影響，采用生物特征的認證技術具有較大的局限性。首先，生物特征識別的準確性和穩(wěn)定性還有待提高，特別是如果用戶身體受到傷病的影響，往往導致無法正常識別，造成合法用戶無法登陸。其次，由于研發(fā)投入較大和產(chǎn)量較小等原因，生物特征認證系統(tǒng)的成本非常高，目前只適合于一些安全性要求非常高的場合，如銀行、部隊等使用，目前還無法做到大面積推廣。

    USB Key認證

    基于USB Key的身份認證方式是近幾年發(fā)展起來的一種方便、安全的身份認證技術。它采用軟硬件相結合、一次一密的強雙因子認證模式，很好地解決了安全性與易用性之間的矛盾。USB Key是一種USB接口的硬件設備，它內(nèi)置單片機或智能卡芯片，可以存儲用戶的密鑰或數(shù)字證書，利用USB Key內(nèi)置的密碼算法實現(xiàn)對用戶身份的認證?；赨SB Key身份認證系統(tǒng)主要有兩種應用模式：一是基于沖擊/響應的認證模式，二是基于PKI體系的認證模式。

    每個USB Key硬件都具有用戶PIN碼，以實現(xiàn)雙因子認證功能。USB Key內(nèi)置單向散列算法（MD5），預先在USB Key和服務器中存儲一個證明用戶身份的密鑰，當需要在網(wǎng)絡上驗證用戶身份時，先由客戶端向服務器發(fā)出一個驗證請求。服務器接到此請求后生成一個隨機數(shù)并通過網(wǎng)絡傳輸給客戶端（此為沖擊）?？蛻舳藢⑹盏降碾S機數(shù)提供給插在客戶端上的USB Key，由USB Key使用該隨機數(shù)與存儲在USB Key中的密鑰進行帶密鑰的單向散列運算（HMAC-MD5）并得到一個結果作為認證證據(jù)傳送給服務器（此為響應）。與此同時，服務器使用該隨機數(shù)與存儲在服務器數(shù)據(jù)庫中的該客戶密鑰進行HMAC-MD5運算，如果服務器的運算結果與客戶端傳回的響應結果相同，則認為客戶端是一個合法用戶，原理如下圖所示。

    圖中“R”代表服務器提供的隨機數(shù)，“Key”代表密鑰，“X”代表隨機數(shù)和密鑰經(jīng)過HMAC-MD5運算后的結果。通過網(wǎng)絡傳輸?shù)闹挥须S機數(shù)“R”和運算結果“X”，用戶密鑰“Key”既不在網(wǎng)絡上傳輸也不在客戶端電腦內(nèi)存中出現(xiàn)，網(wǎng)絡上的黑客和客戶端電腦中的木馬程序都無法得到用戶的密鑰。由于每次認證過程使用的隨機數(shù)“R”和運算結果“X”都不一樣，即使在網(wǎng)絡傳輸?shù)倪^程中認證數(shù)據(jù)被黑客截獲，也無法逆推獲得密鑰。這就從根本上保證了用戶身份無法被仿冒。飛天誠信的ePass1000、Safenet的iKey1000都屬于這一類產(chǎn)品。

    沖擊響應模式可以保證用戶身份不被仿冒，卻無法保護用戶數(shù)據(jù)在網(wǎng)絡傳輸過程中的安全。而基于PKI（Public Key Infrastructure，公鑰基礎設施）構架的數(shù)字證書認證方式可以有效保證用戶的身份安全和數(shù)據(jù)安全。數(shù)字證書是由可信任的第三方認證機構頒發(fā)的一組包含用戶身份信息（密鑰）的數(shù)據(jù)結構，PKI體系通過采用加密算法構建了一套完善的流程，保證數(shù)字證書持有人的身份安全。然而，數(shù)字證書本身也是一種數(shù)字身份，還是存在被復制的危險。使用USB Key可以保障數(shù)字證書無法被復制，所有密鑰運算由USB Key實現(xiàn)，用戶密鑰不在計算機內(nèi)存出現(xiàn)也不在網(wǎng)絡中傳播，只有USB Key的持有人才能夠對數(shù)字證書進行操作，安全性有了保障。

    由于USB Key具有安全可靠，便于攜帶、使用方便、成本低廉的優(yōu)點，加上PKI體系完善的數(shù)據(jù)保護機制，使用USB Key存儲數(shù)字證書的認證方式已經(jīng)成為目前主要的認證模式。

    未來，身份認證技術將朝著更加安全、易用、多種技術手段相結合的方向發(fā)展。USB Key將會成為身份認證的主要發(fā)展方向，USB Key的運算能力和易用性也將不斷提高。隨著指紋識別技術的不斷成熟和成本降低，USB Key 將會使用指紋識別技術以保證硬件本身的安全性。

幾種身份認證技術特點的比較

    化繁為簡的集成身份管理

    身份認證是身份管理的基礎。在完成了身份認證之后，接下來就要進行身份管理。

    在許多企業(yè)里，某個員工離開原公司后仍然還能通過原來的賬戶訪問企業(yè)內(nèi)部信息和資源，原來的信箱仍然可以使用。為什么會出現(xiàn)這種現(xiàn)象呢？原因在于，當員工離開公司后，盡管人事部門將其除名，但在IT系統(tǒng)中相應的多個用戶授權卻沒有被及時刪除。

    據(jù)統(tǒng)計，每個員工在公司里注冊的用戶賬號最多可以達到17個之多，如E-mail賬號、登錄內(nèi)部網(wǎng)絡賬號、訪問企業(yè)特定應用的賬號等。當員工數(shù)量越來越多時，管理員不可能對每一個離職員工的系統(tǒng)賬號進行徹底刪除。只要存在一個沒有被刪除的賬號，就會給系統(tǒng)留下后門。身份管理系統(tǒng)能夠解決以上問題。

    集成身份管理的內(nèi)涵

    幾乎每個安全的IT系統(tǒng)都有自己獨特的身份認證與管理技術，但是企業(yè)中越來越多的IT系統(tǒng)，再加上企業(yè)需要與合作伙伴甚至客戶的系統(tǒng)進行溝通，帶來了日趨復雜的身份管理，簡化統(tǒng)一身份管理的需求催生了集成的身份管理，這種技術是否真正得到廣泛應用還要取決于標準的不斷成熟。

    身份管理分為兩個方面：管理企業(yè)內(nèi)部用戶和管理企業(yè)外部用戶，即合作伙伴和供應商等。相對而言，管理內(nèi)部用戶身份要比管理外部用戶身份容易一些。

    自員工工作加入公司、合作伙伴簽約后，身份管理系統(tǒng)就開始追蹤和管理所有的關系。隨著身份的變更，身份識別管理可以自動實現(xiàn)所要求的訪問變更，并且啟動所有的工作流程和批準過程。對于一個內(nèi)部用戶而言，身份識別管理的時間跨度從員工加入公司開始直到這名員工離開公司。進入公司后，新員工最先接觸的系統(tǒng)是人力資源系統(tǒng)，然后會獲得門卡、辦公設備等工具，然后還會獲得網(wǎng)絡的授權，通過授權訪問公司的資源。這些不同的應用系統(tǒng)可能來自于不同的廠商，而身份管理系統(tǒng)可以把這些資源都集中起來。新員工的資料一旦添加到人力資源管理系統(tǒng)之后，系統(tǒng)就會自動生成各種口令和授權，基于Web的授權也可以在這個流程中一次性完成，而且還會把這名員工在公司里所做的任何訪問都記錄下來。當員工離開時，網(wǎng)管員只需將其從人力資源管理系統(tǒng)中刪除，身份識別管理系統(tǒng)就會自動地到所有的后臺系統(tǒng)中把與該員工相關的授權全面刪除，這是一個非常自動化的過程。

    集成身份管理的四個層次

    CA eTrust身份識別解決方案、IBM　Tivoli管理套件都是很具代表性的身份管理解決方案。此外，微軟、Novell也提供類似解決方案。這些解決方案都是由身份認證基礎、身份控制、身份生命管理、身份聯(lián)盟四個層次組成，對內(nèi)部用戶、外部客戶以及合作伙伴的身份進行管理。

    身份基礎層定義了構建身份管理基礎架構所需的技術組件。其中，目錄模塊可以整合不同目錄的數(shù)據(jù)；元目錄模塊用于進行不同端點數(shù)據(jù)庫之間數(shù)據(jù)的轉換和分發(fā)；工作流模塊能夠自動執(zhí)行請求處理過程，并與業(yè)務系統(tǒng)進行集成；報告模塊用于匯總數(shù)據(jù)報表。基于標準協(xié)議的Web技術可以促進不同組件之間通過防火墻進行信息交互。

    身份控制層負責管理和審核保護策略在整個企業(yè)中執(zhí)行，支持任何類型的用戶身份認證方法，控制已驗證用戶對任何資源的訪問。訪問控制與單點登錄模塊支持Web單點登錄，進行基于Web的分布式管理，集中授權，保護應用程序和操作系統(tǒng)資源。個人信息的訪問控制模塊保護個人身份信息和執(zhí)行隱私管理。監(jiān)控和審核用戶活動模塊實時監(jiān)控事件，以檢測可能出現(xiàn)的資源濫用或攻擊。

    身份生命周期管理層負責跨應用平臺簡化用戶應用體驗以及進行身份管理和訪問策略管理。其中，用戶注冊模塊用于處理用戶信息，根據(jù)業(yè)務策略進行自動驗證、批準和生成用戶數(shù)據(jù)。用戶自我管理模塊能夠降低管理用戶請求的成本，幫助改善用戶的體驗。用戶個人偏好管理模塊用于管理用戶的個人身份信息以及保密合同。用戶配置文件管理模塊用于處理定義用戶所需的屬性。憑證管理模塊用于管理用戶登錄信息。策略管理模塊用于管理用戶訪問權限和資源訪問策略。

    聯(lián)邦身份層是公司之間身份信息的交互層，允許在Web應用程序之間共享用戶身份和屬性信息。其中，跨企業(yè)供應模塊自動識別不同的用戶注冊，并為他們提供默認服務?？缙髽I(yè)身份映象模塊在企業(yè)之間進行憑證與身份的轉換，進行“匿名”和“角色”管理。委托代理處理模塊用于企業(yè)之間建立安全、可信的信息交流。

    來源：CCW