口令身份認證的存儲方式
Ⅰ Windows操作系統中賬戶口令以什麼形式儲存在什麼文件中
一般情況下會用啟動盤:
可以直接清除口令,這樣再次開機的時候就沒有密碼了
可以修改口令,這樣再次開機的時候就是修改後的口令
可以繞過密碼開機,這樣開機的時候不需要口令,可以直接啟動電腦
一般來說,操作系統密碼存在一個sam的文件中在c盤下
Ⅱ 關於身份認證技術
身份認證的方式
大致上來講,身份認證可分為用戶與主機間的認證和主機與主機之間的認證.用戶與主機之間的認證可以基於如下一個或幾個因素:
用戶所知道的東西,例如口令,密碼等.
用戶擁有的東西,例如印章,智能卡(如信用卡等).
用戶所具有的生物特徵,例如指紋,聲音,視網膜,簽字,筆跡等.
下面對這些方法的優劣進行比較一下:
基於口令的認證方式是一種最常見的技術,但是存在嚴重的安全問題.它是一種單因素的認證,安全性依賴於口令,口令一旦泄露,用戶即可被冒充.
基於智能卡的認證方式,智能卡具有硬碟加密功能,有較高的安全性.每個用戶持有一張智能卡,智能卡存儲用戶個性化的秘密秘密信息,同時在驗證伺服器中也存放該秘密信息.進行認證時,用戶輸入PIN(個人身份識別碼),智能卡認證PIN,成功後,即可讀出秘密信息,進而利用該信息與主機之間進行認證.基於智能卡的認證方式是一種雙因素的認證方式(PIN+智能卡),即使PIN或智能卡被竊取,用戶仍不會被冒充.
基於生物特徵的認證方式是以人體惟一的,可靠的,穩定的生物特徵(如指紋,虹膜,臉部,掌紋等)為依據,採用計算機的強大功能和網路技術進行圖像處理和模式識別.該技術具有很好的安全性,可靠性和有效性,與傳統的身份確認手段相比,無疑產生了質的飛躍.
當然,身份認證的工具應該具有不可復制及防偽等功能,使用者應依照自身的安全程度需求選擇一種或多種工具進行.在一般的觀念上,認為系統需要輸入密碼,才算是安全的,但是重復使用的單一密碼就能確保系統的安全嗎?答案是否定的.常用的單一密碼保護設計,使無法保障網路重要資源或機密的.主要是由於傳統所用的密碼很容易被猜測出來因為在一般人的習性上,為了記憶方便通常都採用簡單易記的內容,例如單一字母,帳號名稱,一串相容字母或是有規則變化的字元串等,甚至於採用電話號碼,或者生日,身份證號碼的內容.雖然很多系統都都會設計登錄不成功的限制次數,但不足以防止長時間的嘗試猜測,只要經過一定的時間總會被猜測出來.另外有些系統會使用強迫更改密碼的方法,防止這種入侵,但是依照習性及好記的原則下選擇的密碼,仍然很容易被猜測出來.
生物認證技術應該是最安全的了。
Ⅲ 試述身份認證技術的三種基本方式,並指出何種安全性高。
用戶身份認證可通過三種基本方式或其組合方式來實現:
(1)用戶所知道的某個秘密信息,例如用戶知道自己的口令。
(2)用戶所持有的某個秘密信息(硬體),即用戶必須持有合法的隨身攜帶的物理介質,例如智能卡中存儲用戶的個人化參數,以及訪問系統資源時必須要有的智能卡。
(3)用戶所具有的某些生物學特徵,如指紋、聲音、DNA圖案、視網膜掃描等等,這種認證方案一般造價較高,多半適用於保密程度很高的場合。
Ⅳ 身份認證的方式有幾種可供選擇,所以要看用戶對自己網路的配置
無線上網設置1、無線網的身份認證採用校園統一身份認證系統,用戶名為一卡通卡號,密碼為統一身份認證密碼。用戶可以登錄my.seu.e.cn進行密碼維護。2、搜索無線網路:無線網路服務提供2個SSID,seu-wlan-web和seu-wlan,用戶可以任意選擇一個:3、選擇「seu-wlan-web」服務選中「seu-wlan-web」點擊連接,出現如下窗口:選擇「仍然連接」即可。4、當出現「已連接上」後:打開瀏覽器,輸入/seiclocal/BrasHelp.htm10、第一次身份認證成功後,Windows操作系統會自動將用戶名和口令保存在注冊表中,以後連接無線網時會自動登錄。如果您和別人共用計算機,為了保障您的帳戶安全,請下載本注冊表文件,在使用完畢後運行該文件來清空您的用戶記錄。
Ⅳ 身份認證技術的歷史
身份認證技術是指計算機及網路系統確認操作者身份的過程所應用的技術手段。
計算機系統和計算機網路是一個虛擬的數字世界。在這個數字世界中,一切信息包括用戶的身份信息都是用一組特定的數據來表示的,計算機只能識別用戶的數字身份,所有對用戶的授權也是針對用戶數字身份的授權。而我們生活的現實世界是一個真實的物理世界,每個人都擁有獨一無二的物理身份。如何保證以數字身份進行操作的操作者就是這個數字身份合法擁有者,也就是說保證操作者的物理身份與數字身份相對應,就成為一個很重要的問題。身份認證技術的誕生就是為了解決這個問題。
在真實世界中,驗證一個人的身份主要通過三種方式判定,一是根據你所知道的信息來證明你的身份(what you know),假設某些信息只有某個人知道,比如暗號等,通過詢問這個信息就可以確認這個人的身份;二是根據你所擁有的東西來證明你的身份(what you have) ,假設某一個東西只有某個人有,比如印章等;三是直接根據你獨一無二的身體特徵來證明你的身份(who you are),比如指紋、面貌等。
信息系統中,對用戶的身份認證手段也大體可以分為這三種,僅通過一個條件的符合來證明一個人的身份稱之為單因子認證,由於僅使用一種條件判斷用戶的身份容易被仿冒,可以通過組合兩種不同條件來證明一個人的身份,稱之為雙因子認證。
身份認證技術從是否使用硬體可以分為軟體認證和硬體認證,從認證需要驗證的條件來看,可以分為單因子認證和雙因子認證。從認證信息來看,可以分為靜態認證和動態認證。身份認證技術的發展,經歷了從軟體認證到硬體認證,從單因子認證到雙因子認證,從靜態認證到動態認證的過程。 常用的身份認證方式用戶名/密碼是最簡單也是最常用的身份認證方法,它是基於「what you know」的驗證手段。每個用戶的密碼是由這個用戶自己設定的,只有他自己才知道,因此只要能夠正確輸入密碼,計算機就認為他就是這個用戶。然而實際上,由於許多用戶為了防止忘記密碼,經常採用諸如自己或家人的生日、電話號碼等容易被他人猜測到的有意義的字元串作為密碼,或者把密碼抄在一個自己認為安全的地方,這都存在著許多安全隱患,極易造成密碼泄露。即使能保證用戶密碼不被泄漏,由於密碼是靜態的數據,並且在驗證過程中需要在計算機內存中和網路中傳輸,而每次驗證過程使用的驗證信息都是相同的,很容易駐留在計算機內存中的木馬程序或網路中的監聽設備截獲。因此用戶名/密碼方式一種是極不安全的身份認證方式。可以說基本上沒有任何安全性可言。
IC卡認證
IC卡是一種內置集成電路的卡片,卡片中存有與用戶身份相關的數據, IC卡由專門的廠商通過專門的設備生產,可以認為是不可復制的硬體。IC卡由合法用戶隨身攜帶,登錄時必須將IC卡插入專用的讀卡器讀取其中的信息,以驗證用戶的身份。IC卡認證是基於「what you have」的手段,通過IC卡硬體不可復制來保證用戶身份不會被仿冒。然而由於每次從IC卡中讀取的數據還是靜態的,通過內存掃描或網路監聽等技術還是很容易截取到用戶的身份驗證信息。因此,靜態驗證的方式還是存在根本的安全隱患。
生物特徵認證
生物特徵認證是指採用每個人獨一無二的生物特徵來驗證用戶身份的技術。常見的有指紋識別、虹膜識別等。從理論上說,生物特徵認證是最可靠的身份認證方式,因為它直接使用人的物理特徵來表示每一個人的數字身份,不同的人具有相同生物特徵的可能性可以忽略不計,因此幾乎不可能被仿冒。
生物特徵認證基於生物特徵識別技術,受到現在的生物特徵識別技術成熟度的影響,採用生物特徵認證還具有較大的局限性。首先,生物特徵識別的准確性和穩定性還有待提高,特別是如果用戶身體受到傷病或污漬的影響,往往導致無法正常識別,造成合法用戶無法登錄的情況。其次,由於研發投入較大和產量較小的原因,生物特徵認證系統的成本非常高,目前只適合於一些安全性要求非常高的場合如銀行、部隊等使用,還無法做到大面積推廣。
USB Key認證
基於USB Key的身份認證方式是近幾年發展起來的一種方便、安全、經濟的身份認證技術,它採用軟硬體相結合一次一密的強雙因子認證模式,很好地解決了安全性與易用性之間的矛盾。USB Key是一種USB介面的硬體設備,它內置單片機或智能卡晶元,可以存儲用戶的密鑰或數字證書,利用USB Key內置的密碼學演算法實現對用戶身份的認證。基於USB Key身份認證系統主要有兩種應用模式:一是基於沖擊/相應的認證模式,二是基於PKI體系的認證模式。
動態口令/動態密碼
動態口令技術是一種讓用戶的密碼按照時間或使用次數不斷動態變化,每個密碼只使用一次的技術。它採用一種稱之為動態令牌的專用硬體,內置電源、密碼生成晶元和顯示屏,密碼生成晶元運行專門的密碼演算法,根據當前時間或使用次數生成當前密碼並顯示在顯示屏上。認證伺服器採用相同的演算法計算當前的有效密碼。用戶使用時只需要將動態令牌上顯示的當前密碼輸入客戶端計算機,即可實現身份的確認。由於每次使用的密碼必須由動態令牌來產生,只有合法用戶才持有該硬體,所以只要密碼驗證通過就可以認為該用戶的身份是可靠的。而用戶每次使用的密碼都不相同,即使黑客截獲了一次密碼,也無法利用這個密碼來仿冒合法用戶的身份。
動態口令技術採用一次一密的方法,有效地保證了用戶身份的安全性。 下面以PASSPOD系統為例,說明使用動態口令進行身份認證的過程。
PASSPOD動態口令身份認證系統主要由認證伺服器、管理工作站、SDK開發包和客戶端組成。
認證伺服器 是系統的核心部分,安裝在網路服務商的機房內,與業務系統伺服器通過區域網相連接,控制所有上網用戶對網路的訪問,提供動態口令身份認證,根據業務系統的授權,訪問系統資源。認證伺服器具有自身數據安全保護功能,所用戶數據經加密後存儲在資料庫中,認證伺服器與管理工作站的數據交換也是將數據變換後,以密碼的方式在網上傳輸。認證伺服器有五個功能模塊組成:用戶管理、實時運算、認證管理、資料庫、加密演算法軟體。
管理工作站 提供認證伺服器的管理界面,它在網路管理員與認證伺服器之間提供一個友好的操作界面,便於網路管理員實現系統維護和用戶管理。通過管理工作站,網路管理員可以進行網路配置、發放客戶端、刪除、用戶信息修改、服務統計和用戶查詢等操作。
SDK開發包 是針對不同網路服務商的應用平台而提供的不同的系統介面,網路服務商針對自己的應用系統調用相應的開發包即可使用PASSPOD系統。
客戶端 是購買的一個專用硬體或是下載並安裝在用戶移動通訊終端上的應用程序,用戶在登錄時通過這個客戶端獲取動態一次性口令。
用戶在登錄時必須輸入由客戶端生成的一個動態密碼,在登錄伺服器接收到這個密碼後會將密碼發送至PASSPOD伺服器進行驗證,驗證通過用戶就可以正常登錄,失敗的話伺服器將拒絕用戶的登錄,成功使用過的密碼將不能重復使用。
一個典型的用戶認證過程如下:
(1)用戶接通客戶伺服器,等候認證提示;
(2)運行客戶端,輸入顯示的結果作為此時的登錄口令;
(3)客戶伺服器前端接受認證口令,調用認證代理軟體包與認證伺服器進行通信並等待認證結果;
(4)認證伺服器根據由用戶身份確定的秘密數據計算出認證口令,與用戶輸入口令比較,並返回認證結果。
(5)客戶伺服器根據由認證伺服器返回的結果決定用戶登錄成功與否。
未來,身份認證技術將朝著更加安全、易用,多種技術手段相結合的方向發展。動態口令將會成為身份認證技術的發展方向之一,動態口令的易用性也將不斷提高。
身份認證技術主要包括數字簽名、身份驗證和數字證明。 數字簽名數字簽名又稱電子加密,可以區分真實數據與偽造、被篡改過的數據。這對於網路數據傳輸 , 特別是電子商務是極其重要的,一般要採用一種稱為摘要的技術,摘要技術主要是採用 HASH 函數( HASH( 哈希 ) 函數提供了這樣一種計算過程:輸入一個長度不固定的字元串,返回一串定長度的字元串,又稱 HASH 值 ) 將一段長的報文通過函數變換,轉換為一段定長的報文,即摘要。身份識別是指用戶向系統出示自己身份證明的過程,主要使用約定口令、智能卡和用戶指紋、視網膜和聲音等生理特徵。數字證明機制提供利用公開密鑰進行驗證的方法。
Ⅵ 身份認證協議如何設計
在現實生活中,我們個人的身份主要是通過各種證件來確認的,如身份證、戶口本等。計算機網路信息系統中,各種計算資源(如文件、資料庫、應用系統等)也需要認證機制的保護,確保這些資源被合法的使用者使用。在大多數情況下,認證機制和授權、審計緊密地結合在一起。身份認證是對網路中的主體進行驗證的過程,用戶必須提供他是誰的證明,即證實客戶的身份與其所聲稱的身份是否相符的過程。身份認證往往是許多應用系統中安全保護的第一道防線,它的失敗可能導致整個系統的失敗。身份認證的依據包括:用戶所知道的信息,例如口令、密鑰等;用戶所擁有的東西,例如身份證、護照、密鑰盤等;用戶的特徵,例如指紋、筆跡、聲紋、虹膜、DNA等。
身份認證分為單向認證和雙向認證。如果通信的雙方只需要一方被另一方鑒別身份,這樣的認證過程就是一種單向認證。在雙向認證過程中,通信雙方需要互相確認對方的身份。
基於口令的認證
目前各類計算資源主要靠固定口令的方式來保護。這種以固定口令為基礎的認證方式存在很多問題,對口令的攻擊包括以下幾種。
網路數據流竊聽。攻擊者通過竊聽網路數據,非法截獲口令,如下圖所示。大量的通信協議(如Telnet、Ftp、基本HTTP)使用明文口令,這意味著它們在網路上是以未加密的格式傳輸數據的,而入侵者只需要使用協議分析器就能查看到這些信息,從而得到口令。
字典攻擊。根據調查結果可知,大部分的人為方便記憶選用的密碼都與自己周遭的事物有關,例如:身份證號碼、生日、車牌號碼等。某些攻擊者會使用字典中的單詞來嘗試用戶的密碼。所以大多數系統都建議用戶在口令中加入特殊字元,以增加口令的安全性。- 窮舉攻擊。也稱蠻力破解。這是一種特殊的字典攻擊,它使用字元串的全集作為字典。如果用戶的口令較短,很容易被窮舉出來,因而很多系統都建議用戶使用長口令。
- 窺探。攻擊者利用與被攻擊系統接近的機會,安裝監視器或親自窺探合法的用戶輸入口令的過程,從而獲得口令。
- 冒充欺騙。採用欺騙的方式獲取口令。比如冒充是處長或局長騙取管理員信任得到口令等。冒充合法用戶發送郵件或打電話給管理人員,以騙取用戶口令等。
- 垃圾搜索。攻擊者通過搜索被攻擊者的廢棄物,得到攻擊系統有關的信息,如果用戶將口令寫在紙上又隨便丟棄,則很容易成為垃圾搜索攻擊的對象。
在口令的設置過程中,有許多個人因素在起作用,攻擊者可以利用這些因素來解密。由於口令安全性的考慮,人們會被禁止把口令寫在紙上,因此很多人都設法使自己的口令容易記憶,而這就給攻擊者以可乘之機。
為了加強口令的安全性,可以採取以下措施:
- 在創建口令時執行檢查功能,如檢查口令的長度、是否是弱口令等。
- 強制使口令周期性過期,也就是定期更換口令。
- 保持口令歷史記錄,使用戶不能循環使用舊口令。
基於口令的認證主要有以下幾種方式:
基於單向函數
計算機存儲口令的單向函數值而不是存儲口令。在這種驗證機制中,用戶的口令在系統中以密文的形式存儲,並且對用戶口令的加密應使得從口令的密文恢復出口令的明文在計算上是不可行的。也就是說,口令一旦加密,將永不可能以明文形式在任何地方出現。這就要求對口令加密的演算法是單向的,即只能加密,不能解密。用戶訪問系統時提供其口令,系統對該口令用單向函數加密,並與存儲的密文相比較。若相等,則確認用戶身份有效,否則確認用戶身份無效。由於計算機不在存儲口令表,所以敵手侵入計算機偷取口令的威脅就減少了。
摻雜口令
如果敵手獲得了存儲口令的單向函數值的文件,採用字典攻擊是有效的。敵手計算猜測的口令的單向函數值,然後搜索文件,觀察是否有匹配的。
Salt是使這種攻擊更困難的一種方法。Salt是一隨機字元串,它與口令連接在一起,再用單向函數對其運算。然後將Salt值和單向函數運算的結果存入主機中。Salt只防止對整個口令文件採用的字典攻擊,不能防止對單個口令的字典攻擊。
S/KEY
Lamport提出了一個簡單的方法來挫敗在線的口令竊聽。該技術可以看作是一次性口令機制。這里,「一次性」的意思是A發送給H的口令不會重復,但是這些口令在計算上是相關的。這樣,因為從協議的某次執行中竊聽的口令以後不能再用,所以也就成功地防止了口令竊聽。
在用戶初始化時,A的口令記錄設置為(IDA,fn(PA)),其中
fn(PA)=f(…(…(f(PA))…)…)
n是一個大整數。用戶A只需記住PA。
用戶A和H首次運行口令認證協議,在要求輸入口令時,A的計算設備會要求A輸入PA,然後重復計算f函數n-1次,得到fn-1(PA)。即使當n比較大時也能夠很有效地完成。
在接收到fn-1(PA)以後,H會對接收到的口令執行一次f運算,得到fn(PA),然後執行正確性檢驗。如果通過檢驗,H就認為接收到的值是fn-1(PA),並且是從PA計算得到的,而該PA是在初始化時設定的,因此通信對方必然是A。這樣A就被允許進入該系統。另外,H將會更新A的口令記錄:用fn-1(PA)替換fn(PA)。
在下次運行這個協議時,A和H會分別使用fn-2(PA)和fn-1(PA),就像前面一次使用fn-1(PA)和fn(PA)一樣。所以該協議是有狀態的,它使用了計數器從n遞減到1。當計數器的值是1時,A和H應該重新設置口令。
這種方法要求A和H在口令的狀態上是同步的:當H在fi(PA)狀態時,A必須處於fi-1(PA)狀態。這種同步可能會丟失,例如因為「不可靠」的通信鏈路或主機系統「死機」。應該注意,這里的「不可靠」或「死機」可能是Malice造成的。
Lamport提出了一種簡單的方法用於同步丟失時重建同步。本質上,該方法要求系統「向前跳」:如果A在fj(PA)狀態而H在fk(PA),並且j≠k+1,那麼同步就丟失了,此時我們要求系統「向前跳」,H到達fi(PA)狀態,A到達fi-1(PA),其中i≤min(j,k)。很明顯,這種重新同步的機制需要H和A的雙方認證通信。
Lamport基於口令的遠端訪問機制已經被修補成一次性口令系統,稱為S/KEY。S/KEY機制的修補是為解決不可靠通信問題提出的,該修補要求H為A維護一個計數器。在用戶初始化時,H保存用戶A的口令記錄(IDA, fc(PA),c),其中c初始化為n。S/KEY機制過程如下:
前提:用戶A和主機H已經設定A的初始口令記錄(IDA, fn(PA),n),其中f是密碼Hash函數;A知道口令PA,H中A的當前口令記錄是(IDA, fn(PA),c),其中1≤c≤n。
目標:A向H認證,同時不以明文形式傳輸PA。
1). A→H:IDA;
2). H→A:c,「輸入口令」;
3). A→H:fn-1(PA);
4). H從其口令文檔中查找記錄(IDA, fc(PA),c);如果f(Q)= fc(PA),就允許它接入,並把A的口令記錄更新為(IDA, Q,c–1)。
(轉載請提前告知)
Ⅶ 計算機中身份認證和消息認證的區別
1、性質不同
身份認證指通過一定的手段,完成對用戶身份的確認。
消息認證(message authentication)指驗證消息的完整性,當接收方收到發送方的報文時,接收方能夠驗證收到的報文是真實的和未被篡改的。它包含兩層含義:驗證信息的發送者是真正的而不是冒充的,即數據起源認證;驗證信息在傳送過程中未被篡改、重放或延遲等。
2、目的不同
身份驗證的目的為確認當前所聲稱為某種身份的用戶,確實是所聲稱的用戶。在日常生活中,身份驗證並不罕見;比如,通過檢查對方的證件,我們一般可以確信對方的身份。雖然日常生活中的這種確認對方身份的做法也屬於廣義的「身份驗證」,但「身份驗證」一詞更多地被用在計算機、通信等領域。
消息認證目的為了防止傳輸和存儲的消息被有意無意的篡改。
3、方法不同
身份驗證的方法有很多,基本上可分為:基於共享密鑰的身份驗證、基於生物學特徵的身份驗證和基於公開密鑰加密演算法的身份驗證。不同的身份驗證方法,安全性也各有高低。
消息認證包括消息內容認證(即消息完整性認證)、消息的源和宿認證(即身份認證0)、及消息的序號和操作時間認證等。它在票據防偽中具有重要應用(如稅務的金稅系統和銀行的支付密碼器)。
Ⅷ 計算機中使用什麼方式驗證用戶身份合法性
1、靜態密碼
用戶的密碼是由用戶自己設定的。在網路登錄時輸入正確的密碼,計算機就認為操作者就是合法用戶。實際上,由於許多用戶為了防止忘記密碼,經常採用諸如生日、電話號碼等容易被猜測的字元串作為密碼,或者把密碼抄在紙上放在一個自認為安全的地方,這樣很容易造成密碼泄漏。
2、智能卡
內嵌有微晶元的塑料卡(通常是一張信用卡的大小)的通稱。一些智能卡包含一個微電子晶元,智能卡需要通過讀寫器進行數據交互。智能卡配備有CPU、RAM和I/O,可自行處理數量較多的數據而不會干擾到主機CPU的工作。
3、USB KEY
基於USB Key的身份認證方式是近幾年發展起來的一種方便、安全的身份認證技術。它採用軟硬體相結合、一次一密的強雙因子認證模式,很好地解決了安全性與易用性之間的矛盾。
4、簡訊密碼
簡訊動態密碼也稱簡訊密碼,是以手機簡訊形式發送的6位隨機數的動態密碼,也是一種手機動態口令形式,身份認證系統以簡訊形式發送隨機的6至8位密碼到客戶的手機上,客戶在登錄或者交易認證時候輸入此動態密碼,從而確保系統身份認證的安全性 。
5、動態口令
動態口令牌是客戶手持用來生成動態密碼的終端,主流的是基於時間同步方式的,每60秒變換一次動態口令,口令一次有效,它產生6位動態數字進行一次一密的方式認證。
Ⅸ 門戶中如何實現單點登錄和統一身份認證
本案涉及三個概念及功能模塊,即門戶、單點登錄和統一身份認證。
單點登錄(Single Sign-On,縮寫為SSO),它是目前業務整合時使用較多的一種解決方案,通過SSO,用戶只需要在某個應用系統入口登錄一次,就可以訪問所有與該應用系統相互信任的其它應用系統。
目前成熟的SSO實現框架有很多,開源的有JOSSO、CAS等很多,你可以選擇其中之一與門戶集成即可,集成方法的問題可在選型後在網路中查找,可選方案請參考《Liferay 集成 CAS 實現單點登錄與應用系統集成》 http://www.ibm.com/developerworks/cn/opensource/os-cn-liferay-cas/index.html
所謂身份認證,就是判斷一個用戶是否為合法用戶的處理過程。最常用的簡單身份認證方式是系統通過核對用戶輸入的用戶名和口令,看其是否與系統中存儲的該用戶的用戶名和口令一致,來判斷用戶身份是否正確。復雜一些的身份認證方式採用一些較復雜的加密演算法與協議,需要用戶出示更多的信息(如私鑰)來證明自己的身份,如Kerberos身份認證系統。
目前基於SOA架構,可跨平台與多種類型的應用系統對接的統一身份認證平台也有很多,
身份存儲方式有:通用關系型資料庫、LDAP目錄、Microsoft Active Directory(AD)等形式,可選方案可參考《Web Service Case Study: 統一身份認證服務》
https://www.ibm.com/developerworks/cn/webservices/ws-casestudy/part4/
或《Liferay與CAS及LDAP》http://www.huqiwen.com/2013/12/18/liferay-cas-ldap/
Ⅹ 如何利用加密技術進行身份認證
引言
隨著互聯網的不斷發展,越來越多的人們開始嘗試在線交易。然而病毒、黑客、網路釣魚以及網頁仿冒詐騙等惡意威脅,給在線交易的安全性帶來了極大的挑戰。據調查機構調查顯示,去年美國由於網路詐騙事件,使得銀行和消費者遭受的直接損失總計達24億美元,平均每位受害者付出了約1200美元的代價。另據香港明報消息,香港去年由於網路詐騙導致的直接損失達140萬港元。
層出不窮的網路犯罪,引起了人們對網路身份的信任危機,如何證明「我是誰?」及如何防止身份冒用等問題又一次成為人們關注的焦點。
主要的身份認證技術分析
目前,計算機及網路系統中常用的身份認證方式主要有以下幾種:
用戶名/密碼方式
用戶名/密碼是最簡單也是最常用的身份認證方法,是基於「what you know」的驗證手段。每個用戶的密碼是由用戶自己設定的,只有用戶自己才知道。只要能夠正確輸入密碼,計算機就認為操作者就是合法用戶。實際上,由於許多用戶為了防止忘記密碼,經常採用諸如生日、電話號碼等容易被猜測的字元串作為密碼,或者把密碼抄在紙上放在一個自認為安全的地方,這樣很容易造成密碼泄漏。即使能保證用戶密碼不被泄漏,由於密碼是靜態的數據,在驗證過程中需要在計算機內存中和網路中傳輸,而每次驗證使用的驗證信息都是相同的,很容易被駐留在計算機內存中的木馬程序或網路中的監聽設備截獲。因此,從安全性上講,用戶名/密碼方式一種是極不安全的身份認證方式。
智能卡認證
智能卡是一種內置集成電路的晶元,晶元中存有與用戶身份相關的數據, 智能卡由專門的廠商通過專門的設備生產,是不可復制的硬體。智能卡由合法用戶隨身攜帶,登錄時必須將智能卡插入專用的讀卡器讀取其中的信息,以驗證用戶的身份。智能卡認證是基於「what you have」的手段,通過智能卡硬體不可復制來保證用戶身份不會被仿冒。然而由於每次從智能卡中讀取的數據是靜態的,通過內存掃描或網路監聽等技術還是很容易截取到用戶的身份驗證信息,因此還是存在安全隱患。
動態口令
動態口令技術是一種讓用戶密碼按照時間或使用次數不斷變化、每個密碼只能使用一次的技術。它採用一種叫作動態令牌的專用硬體,內置電源、密碼生成晶元和顯示屏,密碼生成晶元運行專門的密碼演算法,根據當前時間或使用次數生成當前密碼並顯示在顯示屏上。認證伺服器採用相同的演算法計算當前的有效密碼。用戶使用時只需要將動態令牌上顯示的當前密碼輸入客戶端計算機,即可實現身份認證。由於每次使用的密碼必須由動態令牌來產生,只有合法用戶才持有該硬體,所以只要通過密碼驗證就可以認為該用戶的身份是可靠的。而用戶每次使用的密碼都不相同,即使黑客截獲了一次密碼,也無法利用這個密碼來仿冒合法用戶的身份。
動態口令技術採用一次一密的方法,有效保證了用戶身份的安全性。但是如果客戶端與伺服器端的時間或次數不能保持良好的同步,就可能發生合法用戶無法登錄的問題。並且用戶每次登錄時需要通過鍵盤輸入一長串無規律的密碼,一旦輸錯就要重新操作,使用起來非常不方便。
USB Key認證
基於USB Key的身份認證方式是近幾年發展起來的一種方便、安全的身份認證技術。它採用軟硬體相結合、一次一密的強雙因子認證模式,很好地解決了安全性與易用性之間的矛盾。USB Key是一種USB介面的硬體設備,它內置單片機或智能卡晶元,可以存儲用戶的密鑰或數字證書,利用USB Key內置的密碼演算法實現對用戶身份的認證。基於USB Key身份認證系統主要有兩種應用模式:一是基於沖擊/響應的認證模式,二是基於PKI體系的認證模式。
技術的回歸
傳統的身份認證技術,一直游離於人類體外,有關身份驗證的技術手段一直在兜圈子,而且兜得越來越大,越來越復雜。以「用戶名+口令」方式過渡到智能卡方式為例,首先需要隨時攜帶智能卡,其次容易丟失或失竊,補辦手續繁瑣冗長,並且仍然需要你出具能夠證明身份的其它文件,使用很不方便。
直到生物識別技術得到成功的應用,這個圈子才終於又兜了回來。這種「兜回來」,意義不只在技術進步,站在「體驗經濟」和人文角度,它真正回歸到了對人類最原始生理性的貼和,並通過這種終極貼和,回歸給了人類「絕對個性化」的心理感受,與此同時,還最大限度釋放了這種「絕對個性化」原本具有的,在引導人類自身安全、簡約生活上的巨大能量。
生物識別技術主要是指通過可測量的身體或行為等生物特徵進行身份認證的一種技術。生物特徵是指唯一的可以測量或可自動識別和驗證的生理特徵或行為方式。生物特徵分為身體特徵和行為特徵兩類。身體特徵包括:指紋、掌型、視網膜、虹膜、人體氣味、臉型、手的血管和DNA等;行為特徵包括:簽名、語音、行走步態等。目前部分學者將視網膜識別、虹膜識別和指紋識別等歸為高級生物識別技術;將掌型識別、臉型識別、語音識別和簽名識別等歸為次級生物識別技術;將血管紋理識別、人體氣味識別、DNA識別等歸為「深奧的」生物識別技術。
與傳統身份認證技術相比,生物識別技術具有以下特點:
(1) 隨身性:生物特徵是人體固有的特徵,與人體是唯一綁定的,具有隨身性。
(2) 安全性:人體特徵本身就是個人身份的最好證明,滿足更高的安全需求。
(3) 唯一性:每個人擁有的生物特徵各不相同。
(4) 穩定性:生物特徵如指紋、虹膜等人體特徵不會隨時間等條件的變化而變化。
(5) 廣泛性:每個人都具有這種特徵。
(6) 方便性:生物識別技術不需記憶密碼與攜帶使用特殊工具(如鑰匙),不會遺失。
(7) 可採集性:選擇的生物特徵易於測量。
(8) 可接受性:使用者對所選擇的個人生物特徵及其應用願意接受。
基於以上特點,生物識別技術具有傳統的身份認證手段無法比擬的優點。採用生物識別技術,可不必再記憶和設置密碼,使用更加方便。
展望
就目前趨勢來看,將生物識別在內的幾種安全機制整合應用正在成為新的潮流。其中,較為引人注目的是將生物識別、智能卡、公匙基礎設施(PKI)技術相結合的應用,如指紋KEY產品。PKI從理論上,提供了一個完美的安全框架,其安全的核心是對私鑰的保護;智能卡內置CPU和安全存儲單元,涉及私鑰的安全運算在卡內完成,可以保證私鑰永遠不被導出卡外,從而保證了私鑰的絕對安全;生物識別技術不再需要記憶和設置密碼,個體的絕對差異化使生物識別樹立了有始以來的最高權威。三種技術的有機整合,正可謂是一關三卡、相得益彰,真正做到使人們在網上沖浪時,不經意間,享受便捷的安全。