在生活中,我们每一天都逃脱不了被认证身份的宿命,每日出行需要扫健康码认证,进入公司园区需要刷卡认证;登录手机银行APP需要刷脸认证;登录社交网络平台需要账号密码认证……
身份认证作为防护的第一道关口,无论是线上线下都需要进行“身份认证”, 我们每天扮演不同的角色,如员工、客户、管理者、服务者等,我们每天都会面临哪些身份认证,这到底是如何实现的呢?
身份认证(即“身份验证”或“身份鉴别”)是证实我们的真实身份与其对外的身份是否相符的过程,从而确定我们的信息是否可靠,防止非法人员假冒其他合法人员获得一系列相关权限,保证我们信息的安全、合法利益。
在现实中对身份的认证的方式有很多种,但大多数都要基于信息秘密、信任物体、生物特征三种验证方法。
信息秘密如静态密码、共享秘钥、动态口令等,根据已知的信息来证明你的身份(what you know),设置某些信息只有某些人知道。如密码锁,可通过输入密码来确认这个人的身份。
信任物体如智能卡、银行卡、证书、钥匙、印章等,根据你所拥有的东西来证明你的身份(what you have),当你成为公司员工时,获得能够识别身份的智能卡,证明你属于这个公司,同时记录个人身份信息。
生物特征如脸像、虹膜、指纹、声音、笔迹等等,根据你独一无二的身体特征来证明你的身份(who you are),以人体唯一不变的生物特征为依据,利用计算机的强大功能和网络技术进行图像处理和模式识别,与传统的身份确认手段相比具有很好的安全性,可靠性和有效性。
在信息系统中,计算机仅仅识别用户的数字身份,对用户的授权就是对用户数字身份的授权。当我们打开网页连接到服务器,输入用户名和密码时,系统会对用户进行单向的身份认证,当用户名和密码都通过了验证,用户就可以使用系统分配的权限执行相关操作。由于用户名和密码属于静态口令,因此很容易被驻留在计算机内存中的木马程序或者网络中的监听设备截获。
在现实生活中,我们每个人还都拥有很多的物理身份,为了保证操作者与数字身份相对应,大多数场景应用是通过组合两种或两种以上要素组合形成安全可靠的身份认证系统。根据不同的身份认证手段,身份认证技术可分为:
-
根据认证设备,身份认证技术可以分为软件认证和硬件认证。
-
根据认证信息,身份认证技术可以分为静态认证和动态认证。
-
根据验证条件,身份认证技术可以分为单因子认证和双因子认证。
这么多种的身份认证的方法,在现实中是如何应用的?小编选择了生活中大家经常会遇到的几种认证技术,详细介绍一下~
智能卡认证技术
智能卡是一种内置集成电路的卡片,卡片中存有与用户身份相关的数据, 智能卡由特定的制作厂商生产,通过硬件和软件相结合的验证方式。智能卡小巧方便随身携带,登录时需要相对应的硬件设备识别读取其中的信息,以验证用户的身份。智能卡认证是基于信任物体的手段,通过硬件+软件两种模式,双重保证用户身份信息。但由于每次从智能卡中读取的数据还是静态的,还是很容易通过内存扫描或网络监听等技术截取到用户的身份验证信息。所以智能卡也是存在一定的安全隐患。
PKI认证技术
PKI(Public Key Infrastructure,公开密钥基础设施)是利用公开密钥机制来提供安全服务的基础设施,PKI的主要是用来发行“身份证明书”。其核心内容就是证明书的制作和分发的机制,注册中心(RA)只负责接受用户的注册和申请信息的鉴别,审核用户身份,并决定是否同意认证中心给申请者签发数字证书。认证中心(CA)负责通过签发证书将主体与公钥进行捆绑,使一个身份对应一对公/私密钥。证书库是关系数据库,集中分发证书并提供公众查询。
在PKI机制中,公开密钥可以被任意的自由分发,如果发送的内容被他人盗取了,只要保证接收人的私人密钥不被盗走,其他人也无法破解。完整的 PKI 系统应该还需具备证书吊销系统、密钥备份及恢复系统、PKI应用接口系统等。
动态口令认证技术用
动态口令技术是使用户的密码按照时间或使用次数不断动态变化,每个密码只使用一次的技术。目前大多数动态口令应用于移动客户端,通过专门的密码算法,根据当前时间或使用次数生成当前密码。认证服务器采用相同的算法计算当前的有效密码。用户使用时只需要将动态令牌显示的当前密码输入客户端计算机,即可实现身份的确认。由于每次使用的密码必须由动态口令来产生,所以当你持有动态口令生成器,获取到密码就可以验证身份通过了。因为用户每次使用的密码都不相同,即使黑客截获了一次密码,也无法利用这个密码来仿冒合法用户的身份,但我们一定要保护好自己的动态口令生成器。
无论哪一种身份认证,都不是百分百的安全,那我们应该怎么避免这些不安全威胁呢?
在日常中,因为繁琐的认证方式和频繁认证过程,迫使大家经常性会选择重复使用或简单容易记忆的密码,使得账户很容易受到网络钓鱼和暴力攻击。当然随着科技的发展,身份认证系统的设计也在不断的完善中,很多认证系统也会选择多个服务器来执行信息密码认证,防止大量的网络钓鱼攻击和按键记录软件截取获得用户密码,保证信息不泄露。认证受到的攻击是防不胜防,再完善的技术解决方案,不如从自身做起,在设置密码时,应该限制密码的重复使用,且需要定期修改,最好设置字母、数字、特殊字符等多种组合密码,对特别需要加密的内容设置多道密码,设置高安全度密码并且定期修改,保证个人信息安全。
转载内容仅代表作者观点
不代表中科院物理所立场
如需转载请联系原公众号
来源:中兴文档
编辑:老头
,