理论教育 安全协议:双因子认证解析

安全协议:双因子认证解析

时间:2023-10-28 理论教育 版权反馈
【摘要】:最常用的解决策略是双因子认证,因为它将两个认证因子联系起来了。认证机制中包含两个认证因子,即被称作双因子认证。常见的双因子认证一般结合口令以及用户手中的口令卡、IC卡、USBkey、动态口令牌、指纹、手机短信等进一步验证用户的身份,从而抵御非法访问者,提高认证的可靠性。双因子认证在银行、证券公司以及各大企业得到了广泛应用。

安全协议:双因子认证解析

登录网络的用户需要通过用户名和口令来进行身份验证,像电子信箱、微博等大多是静态口令。但静态口令有很大的安全隐患,例如,盗号木马可以在用户登录时获取口令,利用黑客工具破解静态口令也较为简单。最常用的解决策略是双因子认证,因为它将两个认证因子联系起来了。

双因子是在静态口令的基础上,使用了认证增强机制。认证机制中包含两个认证因子,即被称作双因子认证。常见的双因子认证一般结合口令以及用户手中的口令卡、IC卡、USBkey、动态口令牌、指纹手机短信等进一步验证用户的身份,从而抵御非法访问者,提高认证的可靠性。比如,基于令牌的认证系统一般与口令相联系。这阻止了用户因为令牌丢失(因为攻击者不知道口令)或口令被盗(因为攻击者没有令牌)引发的风险。双因子认证在银行、证券公司以及各大企业得到了广泛应用。

1.口令卡

口令卡上以矩阵的形式印有若干字符串,客户在使用时,系统就会随机给出一组口令卡坐标,客户根据坐标从卡片中找到口令组合并输入。只有当口令组合输入正确时,客户才能完成相关交易。这种口令组合是动态变化的,使用者每次使用时输入的口令都不一样,交易结束后即失效。

2.动态口令牌

当前最主流的是基于时间同步的硬件令牌,它是用来生成动态口令的终端设备,称为动态口令牌、动态令牌。85%的500强企业内部采用硬件令牌。硬件令牌不仅安全,而且使用方便,无须安装驱动,无须与计算机、手机连接。用户只要根据网上系统的提示,输入动态口令牌当前显示的动态口令即可。基于时间同步认证技术的动态口令牌是把时间作为不确定因子,一般更新率为60秒,每60秒产生一个新口令。所谓“同步”是指基于令牌和服务器的时间同步。这里的时间同步方法不是用“时间统一系统”技术,而是用“滑动窗口”技术。登录口令随时间变化,口令一次性使用,可以有效抵御键盘监控型木马程序窃取客户口令和防止重放攻击行为。

动态口令认证系统的优点如下。

(1)动态性:口令每60秒更新一次,不同的时刻有不同的动态口令。

(2)随机性:每一次口令都不一样。

(3)一次性:每个动态口令只能使用一次。

(4)抵抗偷窥:由于动态口令每次都不一样,即使被看到了也无所谓。

(5)不可复制性:动态口令牌不能被随意地复制,每个动态口令牌都是唯一的。动态口令牌是密封的,动态口令牌内密钥数据一旦断电就会丢失。其他用户无法获得,也无法共享。(www.daowen.com)

(6)方便性:动态口令牌可以随身带着,就像身份证一样,口令显示在令牌上,不需要记忆。

(7)危险及时发现性:动态口令牌都是随身携带,如果丢失会及时地发现。

3.USBkey

串行总线USB(Universal Serial Bus)认证令牌USBkey一般包含一个私钥、一个公钥和一个认证机关颁发的证书,其内置微型智能卡处理器。远程系统发一个挑战给令牌来验证用户确实拥有相应的私钥;然后,系统询问数据库验证证书上的名字是否与授权访问的身份一致。

4.生物信息

生物特征信息可用作认证的一个因子,通过计算机与各种传感器和生物统计学原理结合,利用人体固有的生理特性和行为特征来进行个人身份识别。生理特征与生俱来,多为先天性的;行为特征则是习惯使然,多为后天性的。将生理特征和行为特征统称为生物特征。目前常用的是指纹识别、人脸识别

5.手机短信

手机短信可用作认证的一个凭证,通过手机短信内容的验证码来验证身份。目前使用的最普遍的有各大银行网上银行、网上商城、团购网站、票务公司等。手机短信验证码适用于触发类的应用,表现为由用户的某一个事件或操作所触发的短信,例如,在手机银行转账时,要求输入银行发来的短信验证码。

6.硬件信息

基于硬件信息的认证发展迅速,它是通过计算机本身的唯一硬件特征来标识使用者的身份,结合PIN的使用,可以实现一种高强度的双因子认证。这种认证依然是建立在公钥密码体制之上的。它的基本假定就是对于固定的用户,其使用的计算机也是相对固定的(在公用的计算机上是不应该执行任何涉及个人机密的操作的,否则安全根本得不到任何保障),那么通过对这台计算机的识别,加上对当时使用计算机的用户识别,就可以实现对用户的远程认证。其难点和重点在于识别计算机的唯一硬件特征。我们使用的网卡都有一个全球唯一的MAC地址,网卡生产商都遵循统一的规定,按照统一的分配来给自己生产的网卡指定MAC地址。同样的,对于CPU、硬盘主板等其他计算机部件,都存在着相应的协议和规范。而这些参数的联合足够构成一个全球唯一的硬件标识号码。其工作原理是:首先对合法用户的计算机进行硬件特征采集,通过对于硬件标识号码的实时获取,可以实时地认证一台具有唯一特征值的计算机是否是已经注册的合法使用者。而认证的另外一个过程发生在认证开始之前,用户要启动认证过程,首先要输入自己的PIN。这样,通过对用户PIN和计算机硬件特征值的联合识别,可以确认用户的身份。

免责声明:以上内容源自网络,版权归原作者所有,如有侵犯您的原创版权请告知,我们将尽快删除相关内容。

我要反馈