身份认证技术指南.pdfVIP

身份认证技术指南 身份认证技术指南 一次RSA 遭攻击事件，将安全业内人员的目光吸引过来。谁能想到RSA SecureID 会被 盗？一时间，业界沸沸扬扬，各种猜测和讨论不断出现。与此同时，各大安全厂商在这个时间 宣传自己的认证方案，吸引用户选择更换他们的产品。 复杂的不确定因素，眼花缭乱的产品选择，我们的认证该何去何从？如何才能实现有效的 身份认证和访问管理，从而保护我们的信息不被泄漏呢？ 本技术手册，将从三个部分：认证概念及认证方式，解析各认证方案的特点和风险，未来 认证技术的趋势，为你详细介绍有关认证方面的知识。帮助你选择合适的安全的认证方案。 认证概念及认证方式 身份认证是在计算机网络中确认操作者身份的过程。身份认证可分为用户与主机间的认证 和主机与主机之间的认证，用户与主机之间的认证可以基于如下一个或几个因素：用户所知道 的东西：例如口令、密码等，用户拥有的东西，例如印章、智能卡(如信用卡等）；用户所具 有的生物特征：例如指纹、声音、视网膜、签字、笔迹等。 这一部分中，我们将为你介绍各种认证工具及方式。 什么是身份认证？ ID 和密码认证：利用管理和策略保证数据安全 PKI 和数字证书：安全、认证和采用 生物认证的设备、系统和实施 安全令牌和智能卡认证 TT 安全技术专题之 “身份认证技术指南” 第2 页共37 页 确保网上银行安全的多重身份认证方案 抗击网络钓鱼的关键：电子邮件认证方式 用于电子身份验证的短信双因素认证 解析各认证方案的特点和风险 面对那么多的认证方案和各大厂商提供的各种各样的认证产品，我们该如何选择？不同的 认证方案之间有什么区别，又会带来哪些风险？这一部分，我们来分析一下各认证方案的特点 和风险。 确定认证系统缺陷 抵御黑客攻击 密码安全库：SSO 认证更好吗？ 数字签名和数字认证的不同 生物识别认证设备能与内部软件整合吗? 用户供应最佳实践：访问权限重新认证 未来认证技术的趋势 不管是不是炒作，我们都不得不承认，云计算的时代已经到来。当然，云计算环境还有许 多问题要解决，身份认证和管理就是其中之一。那么，在云计算时代，未来认证技术会有怎样 的趋势呢？ 安全认证如何选择 软件认证或取代硬件令牌？ 更强的双因素认证方案 TT 安全技术专题之 “身份认证技术指南” 第3 页共37 页 什么是身份认证？ 身份认证涉及判断是否是用户，也就是，他或者她想要成为谁。身份认证可以通过使用登 录密码、单点登录（SSO）系统，生物认证、数字认证和PKI （public key infrastructure）进行。 用户认证对于确保对系统和服务的合适的认证和访问很关键，特别是由于数据窃取和信息 安全威胁变得越来越先进。虽然身份认证不能完全阻止信息和身份窃取，但是我们可以确保使 用了几种认证方法，资源可以得到保护。 身份认证要考虑有三个因素：你知道的东西，例如用户ID 和密码；有些你具有的东西， 例如智能卡；和你的身份，这就是说身份特点，例如使用生物认证技术验证的指纹。这些因素 可以单独使用，或者他们可以综合构建强大的认证策略，这就是已知的双因素或者多因素认 证。以下几篇文章将介绍和这三种认证因素相关的方法。 (作者：SearchS 译者：Tina Guo 来源：TechTarget 中国) TT 安全技术专题之 “身份认证技术指南” 第4 页共37 页 ID 和密码认证：利用管理和策略保证数据安全 用户ID 和密码系统是最古老的数字认证方式。这种类型的认证系统可以简单的提示用户 输入她或他的ID 和密码以获得对系统的访问，这是实行和使用都很简单的方式，但是他们也 有很大的安全风险。 密码的最大问题之一