网络可信身份认证技术的发展与演进研究
宋宪荣;张猛
【摘 要】心理健康手抄报内容身份认证是系统安全防护的第一道防线,用户登录、支付、授权都需要使用各种各样的网络身份认证手段,从传统的账号密码到指纹支付,到最先进的大数据行为分析,种种身份认证技术令用户眼花缭乱。我国《网络安全法》明确指出“国家实施网络可信身份战略,支持研究开发安全、方便的电子身份认证技术,推动不同电子身份认证之间的互认”。论文从技术演进角度对网络可信身份认证技术的演进进行分析,方便用户理解、选择适合不同应用场景的身份认证技术。
【期刊名称】《网络空间安全》
【年(卷),期】2018(009)008
【总页数】6页(P48-53)
【关键词】网络空间安全;可信身份认证;大数据;行为分析
【作 者】宋宪荣;张猛
【作者单位】[1]南京理工大学计算机科学与工程学院,江苏南京210094;[2]赛迪智库网络空间研究所,北京100846;
【正文语种】中 文
【中图分类】TP393
1 引言
身份认证的关键技术经历了三代的发展,第一代以静态密码技术和动态密码技术为代表,典型应用方式为账号+口令、手机动态验证码;第二代以PKI技术为代表,典型应用方式为文件证书、USB Key、手机盾、eID、FIDO等;第三代以生物识别、大数据行为分析、量子加密等技术为代表,这些新技术在移动互联网应用高速发展的背景下诞生。三代身份认证技术的基本原理、应用成本和适用范围各有不同,以下从技术发展角度进行梳理。
2 第一代身份认证技术
第一代身份认证技术以静态密码技术和动态密码技术为代表,在20世纪60年代左右开始出现并在计算机上应用,目前相关技术发展已经十分成熟,虽然其有种种缺陷,但仍未被完全淘汰。
2.1 静态密码技术
静态密码技术的典型身份认证应用是账号+口令。用户输入账号和静态口令后,服务器查询口令数据库进行匹配,匹配通过即完整核验。该方式历史最为悠久、使用极为简单、成本极其低廉、应用极其广泛。但随着计算机运算能力的不断增强,静态密码抗暴力攻击的能力越来越差,密码位数由早期的4位逐渐升级的6位、8位、16位、18位,由简单数字组合逐渐升级为数字+字母(不区分大小写)组合、数字+字母(区分大小写)组合、数字+字母(区分大小写)+特殊字符组合。虽然密码长度和强度不断升级,静态密码技术由于先天存在易被字典攻击、易被监听偷录等缺陷,在低安全等级应用中可以作为一种主要身份认证技术,但在高安全等级应用中只能作为一种辅助手段。
2.2 动态密码技术
鉴于静态口令的种种缺陷,安全专家提出采用动态密码来进行身份验证。根据动态密码中采用的“动态因子”不同,该技术可分为两大类:同步认证技术和异步认证技术。同步认证技术中主要包括基于时间同步认证技术;异步认证技术主要包括挑战/响应认证技术(事件响应)。同步认证技术最早取得突破,20世纪80年代,美国著名加密算法研究实验室RSA研制成功了基于时间同步的动态密码认证系统RSA SecurID,该系统通过时间同步方式,同一时间令牌认证服务器的认证系统每60秒变换一次动态口令,口令一次有效,它产生6位动态数字进行一次一密的方式认证[1]。
我最亲爱的你过得怎么样国内中国银行、工商银行早期曾发行过一种动态密码口令牌,就是基于时间同步原理。由于同步认证技术对时间敏感,硬件和操作要求较高,异步认证技术后来居上。以手机动态验证码为例,用户在登录时点击“发送手机验证码”,服务器以当前时间或者事件序号作为动态因子计算出验证码并发送至指定手机号,用户收到后将验证码输入,系统完成核验后授权用户登录。整个验证流程中,验证码一般5-30分钟有效,用户在规定时间内输入就可以。此外,国内工商银行早期曾发行过一种纸质动态密码卡,用户登录网银时,网银生成二维坐标,用户需刮开密码卡对应区域输入相应密码,此方式也是异步认证技术。随着移动互联网时代的到来,动态口令牌、动态口令卡由于携带不便,已经逐渐被手机动态验证
码所取代,账号+手机验证码已经成为当前最重要的身份认证方式之一。
2.3 第三方互联网账号授权技术
该认证方式使用户在登录当前网站或APP时无需注册,使用第三方互联网账号(如腾讯、支付宝、新浪微博等)进行授权登录,免去账号注册过程并完成身份认证。目前,OAuth、OpenID、SAML、FIDO等标准已成为该认证方式的事实标准。当前大多数电子商务、社交网站等都已经逐渐接受该认证模式,互联认证登录普遍存在。在该模式下网站及相关应用不需要对用户身份进行管理,用户身份管理及认证完全由第三方平台进行。
3 第二代身份认证技术
臭脚第二代身份认证技术以PKI技术为代表,相关概念于20世纪80年代提出,其安全性远高于一代身份认证技术。近十几年来,各国投入巨资实施PKI的建设和研究,PKI理论研究和应用在非对称密码算法、杂凑算法、证书载体形式、轻量级身份认证协议和数据的组织记录形式五个方面取得了巨大的进展。
3.1 非对称加密算法
该算法中用户有两个密钥,一个公开密钥,一个私有密钥,从公开密钥推导私有密钥极其困难。非对称加密算法完美解决了对称加密算法的密钥管理分发难题,在PKI架构和数字签名中具有重要应用,但运算效率较低。美国在1978年首次提出基于大整数素因子分解的RSA算法,1985又提出了基于离散对数问题的ELGamal算法,其中RSA算法是目前应用较为广泛[2]。RSA算法的强度与其算法密钥长度有关,RSA1024已经在2012年被美国密码学家攻破,目前最新版本为RSA4096。由于过长的RSA密钥会导致运算效率大大下降,美国NIST和欧洲NESSIE的专家又提出了椭圆曲线和超椭圆曲线密码ECC,该算法只需282bit的密钥长度即可媲美RSA4096的加密强度,运算效率大大提高,是目前非对称密码技术研究的热点。目前,我国正在大力推广国产SM2椭圆密码算法在关系到国计民生的重要应用系统中的应用。
3.2 杂凑算法
洗衣机哪个牌子好杂凑算法又名哈希算法、摘要算法,它能够将任意长度的消息压缩成固定长度的摘要,能够赋予每个消息唯一的“数字指纹”[3]。其专门解决信息的非法篡改问题,是PKI中数字签名和数据完整性保护的基础,研究进展迅速。杂凑算法与对称/非对称加密算法的区别是,后
两种算法是用于防止信息被窃取,而杂凑算法的目标是用于证明原文的完整性,也就是说用于防止信息被篡改。
杂凑算法的典型代表是美国NIST发布的SHA系列,1995年SHA-1正式发布,经过二十余年的发展,SHA-1算法逐渐成为互联网最基础的数字签名算法。由于SHA家族算法本身的问题存在“碰撞”破解的可能性,SHA算法被攻破的时间仅依赖于所使用的计算能力,所以欧美密码学家不断调整改进SHA算法,既SHA-1后推出SHA-224、SHA-256、SHA-384和SHA-512。2017年2月23日,谷歌联合荷兰CWI机构给出了SHA-1碰撞实例,攻破了SHA-1算法。目前,我国正在大力推进国产SM3杂凑密码算法对SHA系列算法的替代升级工作。
3.3 证书载体形式
PKI证书应用的一种外在表现形式,近年来随着应用环境的变化,证书载体形式日趋丰富。目前主流的证书载体分为文件证书、硬件介质数字证书和移动数字证书三大类。文件证书产生和应用最早,但安全性低,无法应对基于内存分析以恢复和调用用户密钥为目的的攻击,目前只有少数电商和政务系统还在使用。为解决文件证书安全性低的问题,硬件
介质数字证书逐渐兴起,其用户私钥不可导出,具有高安全性和高可靠性特点,应用最为广泛,如各类USB Key、蓝牙Key、音频Key、IC卡、eID卡等。随着移动互联网的快速发展,基于移动数字证书(手机盾)的电子签名技术于2014年初出现,主要应用于移动端的电子签名,基于密钥分割和协作签名技术,利用软件方式实现安全等级较高的电子签名功能,弥补了文件证书安全性低、硬件介质证书(蓝牙Key、音频Key等)便携性差的问题,同时其也可以通过“扫码签名”等方式,兼顾PC端电子签名应用场景。
3.4 轻量级身份认证协议
FIDO线上快速身份验证标准(以下简称FIDO标准)是由FIDO联盟(Fast Identity Online Alliance)提出的一个开放的标准协议,旨在提供一个高安全性、跨平台兼容性、极佳用户体验与用户隐私保护的在线身份验证技术架构[4]。FIDO联盟于2012年7月成立,并于2015年推出并完善了1.0版本身份认证协议,提出了U2F与UAF两种用户在线身份验证协议。其中U2F协议兼容现有密码验证体系,在用户进行高安全属性的在线操作时,其需提供一个符合U2F协议的验证设备作为第二身份验证因素,即可保证交易足够安全。而UAF则充分地吸收了移动智能设备所具有的新技术,更加符合移动用户的使用习惯。
在需要验证身份时,智能设备利用生物识别技术(如指纹识别、面部识别、虹膜识别等)取得用户授权,然后通过非对称加密技术生成加密的认证数据供后台服务器进行用户身份验证操作。整个过程可完全不需要密码,真正意义上实现了“终结密码”。根据UAF协议,用户所有的个人生物数据与私有密钥都只存储在用户设备中,无需经网络传送到网站服务器,而服务器只需存储有用户的公钥即可完成用户身份验证。这样就大大降低了用户验证信息暴露的风险。即使网站服务器被黑客攻击,他们也得不到用户验证信息伪造交易,也消除了传统密码数据泄露后的连锁式反应。
暗黑破坏神2死灵法师加点>劳动仲裁流程
版权声明:本站内容均来自互联网,仅供演示用,请勿用于商业和其他非法用途。如果侵犯了您的权益请与我们联系QQ:729038198,我们将在24小时内删除。
发表评论