身份鉴定.docVIP

如何打造电力信息安全的天罗地网——谈信息安全技术的发展现状与趋势 作者：王博 赵晶 艾小洋　2007·07 ? ? 身份鉴定篇：信息系统一指通 系统身份鉴定作为信息安全的“一道岗”在整个信息安全体系中占据着举足轻重的位置，它的成功应用对于“网络安全、终端安全、存储安全”三大安全子系统提供了有力的支持。目前，系统身份鉴定的方式方法也呈显多样化，从最早的“用户名+密码”登录到IC卡、磁卡、动态口令、USB-Key+PIN码再到指纹识别和CA认证，那么怎样的身份鉴定系统才是最安全的？是一种技术独领风骚，还是多种技术百花齐放，还是多种技术的融合体？ ? 黄磊明（安盟公司高级副总裁）: 信息安全通俗的讲就是以下几点 1.“进不来”---使用访问控制机制，阻止非授权用户进入网络，“进不来” 2.“拿不走”---使用授权机制，实现对用户的权限控制，即不该拿走的，“拿不走”； 3.“看不懂”---使用加密机制，确保信息不暴漏给未授权的实体或进程，即“看不懂”； 4.“改不了”---使用数据完整性鉴别机制，保证只有得到允许的人才能修改数据，而其它人“改不了”； 5.“走不脱”---使用审计、监控、防抵赖等安全机制，使得攻击者、破坏者、抵赖者走不脱。 目前很多信息网络在实现了边界安全之后，业务和应用的安全问题开始浮出水面。只有身份认证和管理技术能够密切结合企业的业务流程，才能防止重要资源不被非法访问。 数据存在的价值就是被合理访问。建立信息安全体系的目的是保证系统中的数据只能被有权限的“人”访问，未经授权的“人”无法访问数据。如果没有有效的身份认证手段，访问者的身份就很容易被伪造，使得任何安全防范体系都形同虚设。就好像人们建造了一座非常结实的保险库，安装了非常坚固的大门，却没有安装门锁。 如果把信息安全体系看作一个木桶，那么防火墙、入侵检测、VPN、安全网关等就是木桶的壁板，身份认证就相当于木桶底。可以说，身份认证用于解决访问者的物理身份和数字身份的一致性问题，给其他安全技术提供权限管理的依据，而防火墙等技术针对数字身份进行权限管理，解决数字身份能干什么的问题。 由此可见，身份认证是整个信息安全体系的基础，通常我们把身份认证称为信息安全的“门户技术”。 信息系统身份鉴定系统主要分为哪几大类？各自的技术特点是什么？他们各自的优缺点是什么？ 李厚民（天威诚信数字认证中心核心竞争力部副总监）：信息系统身份鉴证技术一般包括以下几类：用户口令方式、电子令牌、智能卡、生物识别、PKI/CA数字证书技术。正是因为传统的用户名和密码的脆弱性，引起了相关其他技术的发展。我们常见的电子令牌是基于一种时间密码的算法，同步产生一连串认证密码实现设备同步认证，但由于电子令牌较为昂贵且设备也有时间寿命，企业在采用过程中难免有所顾虑。其他一些生物识别技术，如虹膜识别技术利用激光照射眼球的背面，扫描提取几百个虹膜特征，经数字化处理后形成记忆模版存储与数据库中，供以后比对验证。虹膜作为一种稳定的生物特征，用于身份认证是一种精确度很高的验证技术，但也存在致命缺点就是使用困难，不适合直接数字签名和网络传输。声音识别也是同样的问题。而指纹识别虽可以部分解决签名问题，但需要建立大容量数据库，只适合本地传输，不适合大规模网上传输。 米国治（天津市国瑞数码安全系统有限公司技术部经理）：身份鉴定就是利用技术手段保证操作者的物理身份与数字身份相对应，在真实世界中，鉴别一个人的身份主要是从以下三个方面：（1）根据你所知道的信息来证明你的身份，即what you know.(2)根据你所拥有的东西来证明你的身份，即what you have. (3)根据你独一无二的身体特征来证明你的身份，即what you are.相对应的，在信息系统中，对用户的身份鉴定也可以大体分为三类方法，（1）用户名/密码。（2）智能卡(3)生物特征认证。当然，每一类方法中都有多种不同的实现方式，其中，有些认证方法组合了两种不同的技术来证明一个人的身份，称为双因子认证。这三类身份鉴定技术各自的特定和优缺点如下： 1、用户名/口令方式 特点——它是基于“what you know”的验证手段。每个用户的密码是由这个用户自己设定的，只有他自己才知道，因此只要能够正确输入密码，系统就认为他就是这个用户。 优点——简单、常用，能为系统提供一定的安全保护。 缺点——为了便于记忆，大多数网络用户选择常用词作口令，因此很容易被猜到；由于密码是静态的数据，并且在验证过程中需要在计算机内存中和网络中传输，而每次验证过程使用的验证信息都是相同的，很容易驻留在计算机内存中的木马程序或网络中的监听设备截获；口令自动破译工具使猜测口令的时间大大缩短，甚至克服了口令加密的问题。 采用动态口令机制能够增强这种方式的安全性。 2、智能