在常用认证算法的基础上,近年来常用的认证协议主要有基于口令的认证、基于挑战/应答的认证,经典跨域认证协议(如 Kerberos)和多因素认证技术。
(1)基于口令的认证
利用口令来确认用户的身份是当前最常用的认证技术。系统通过用户输入的用户名和密码查找对应口令表里的内容,确认是否匹配,从而完成对用户的认证。这种认证方式存在口令容易遗忘、简单口令容易被攻破等问题。
(2)基于挑战/应答的认证
在挑战/应答认证方式下,用户要求登录时,系统产生一个挑战信息发送给用户,用户根据这条消息连同自己的秘密口令产生一个口令字,输入这个口令字并发送给系统,从而完成一次登录过程。由于系统发送的挑战信息具有随机性,因此挑战应答方式可以很好地抵抗重放攻击。
(3)跨域认证协议
跨域认证的目的是允许用户访问跨多个域的多个服务器的资源,而不需要重新认证。也就是说,用户在一个web站点登录,一旦通过认证,用户再次访问同信任域或者联盟的网络域时,不需要再次被认证就可以访问相应的资源。典型的跨域认证协议是 Kerberos V5Kerberos V5协议是域内主要的安全身份验证协议,它校验了用户身份和网络服务,这种双重验证也称为相互身份验证。
Kerberos V5的身份验证机制颁发用于访问网络服务的票证,这些票证包含能够向请求的服务确认用户身份的经过加密的数据,其中包括加密的密码。除了输入密码或智能卡凭据,整个身份验证过程对用户都是不可见的Kerberos V5中的一项重要服务是密钥分发中心(KDC)。KDC作为 Active Directory目录服务的一部分在每个域控制器上运行,它存储了所有客户端密码和其他账户信息Kerberos V5身份验证过程如下:
1)客户端系统上的用户使用密码或智能卡向KDC进行身份验证。
2)KDC向此客户端颁发一个特别的授权票证,客户端系统使用该授权票证(TGT)访问授票服务(TGS),这是域控制器上的 Kerberos v5身份验证机制的一部分。
3)TGS向客户端颁发服务票证。
4)客户端向所请求的网络服务出示服务票证,服务票证向此服务证明用户的身份,同时也向该用户证明服务的身份。
5) Kerberos V5服务安装在每个域控制器上, Kerberos客户端安装在每个工作站和服务器上。
6)每个域控制器作为KDC使用,客户端使用域名服务(DNS)定位最近的可用域控制器,域控制器在用户登录会话中作为该用户的首选KDC运行。如果首选KDC不可用,系统将定位备用的KDC来提供身份验证。
(4)多因素身份认证
多因素身份验证是一种安全系统,是为了验证一项交易的合理性而实行的多种身份验证。其目的是建立一个多层次的防御体系,使未经授权的人难以访问计算机系统或网络多因素身份验证是通过结合两个或三个独立的凭证来完成的,这些凭证主要分为三种。
用户知道什么(知识型的身份验证)、用户有什么(安全性令牌或者智能卡)、用户是什么(生物识别验证)。
①一次性密码
一次性密码(One-Time- Password,OTP)的主要思路是:在登录过程中加入不确定因素,使每次登录过程中传送的信息都不相同,从而提高登录过程安全性。一次性密码系统通过采用基于时间、事件和密钥三个变量产生的一次性动态密码代替传统的静态密码。一次性密码系统通常由用户手中的动态密码卡和认证用户身份的服务器端两部分组成。每个动态密码卡都有一个唯一的密钥,该密钥同时存放在服务器端,每次认证时,动态密码卡与服务器分别根据同样的密钥、同样的随机参数(时间、事件)和同样的算法计算待认证的动态密码,从而在双边确保密码的一致性,实现用户的身份认证。因为每次认证时的随机参数不同,所以每次产生的动态密码也不同,而参数的随机性保证了每次密码的不可预测性,从而在最基本也是最重要的密码认证环节保证了系统的安全性。
一次性密码的实现机制主要有两种
·挑战/应答( Challenge- Response)机制。认证时,认证服务器端给客户端发送一个不同的“挑战”字串,客户端程序收到这个“挑战”字串后,做出相应的应答。
时间同步( Time Synchronization)机制。即以用户登录时间作为随机因素,连同用户的密码共同产生一个密码字,这种方式对双方的时间准确度要求较高,一般采取以分钟为时间单位的折中方法,对时间误差的容忍可达1分钟。
一个一次性密码认证过程。
1)客户向认证服务器发出请求,要求进行身份认证。
2)认证服务器查询用户数据库,确认用户是否是合法的用户。若不是合法用户,则不做进一步处理。
3)认证服务器内部产生一个随机数作为“挑战”发送给客户
4)客户将用户名字和随机数合并,使用单向散列函数,例如MD5算法生成一个字节串作为“应答”。
5)认证服务器将应答串与自己的计算结果比较,若二者相同,则通过一次认证,否则认证失败。
6)认证服务器通知客户认证成功或失败。
相比于传统的密码体制,OTP具有如下优点:
有效解决使用者在密码记忆与保存上的困难性。
由于密码只能使用一次,而且密码一分钟随机变化一次,因此不可预测,也只有一次的使用有效性,从而大大提升使用的安全程度。
②生物特征识别
生物特征识别是一种根据人体自身所固有的生理特征和行为特征来识别身份的技术,即通过计算机与光学、声学、生物传感器和生物统计学原理等高科技手段密切结合,利用人体固有的生理特征来进行个人身份的鉴定。这些技术包括指纹识别、声音识别、虹膜扫描等。
指纹识别。实现指纹识别有多种方法,其中有些是仿效传统的公安部门使用的方法,比较指纹的局部细节;有些则直接通过全部特征进行识别;还有一些更独特的方法,如指纹的波纹边缘模式和超声波。在所有生物识别技术中,指纹识别是当前应用最为广泛的一种技术。
声音识别。声音识别就是通过分析使用者的声音物理特性来进行识别的技术。目前,虽然已经有一些声音识别产品进入市场,但使用起来还不太方便,主要是因为传感器和人的声音可变性都很大。另外,比起其他的生物识别技术,其使用的步骤也比较复杂,在某些场合显得不方便。关于声音识别,还有很多研究工作正在进行中。
除了上面提到的生物特征识别技术以外,还有通过虹膜识别、气味、耳垂和其他人体特征进行识别的技术,但目前这些技术还处于研究阶段。
