身份認(rèn)證與管理：下一個(gè)安全部署重點(diǎn)

申請(qǐng)免費(fèi)試用、咨詢電話：400-8352-114

    數(shù)據(jù)存在的價(jià)值就是被合理訪問(wèn)。建立信息安全體系的目的是保證系統(tǒng)中的數(shù)據(jù)只能被有權(quán)限的“人”訪問(wèn)，未經(jīng)授權(quán)的“人”無(wú)法訪問(wèn)數(shù)據(jù)。如果沒(méi)有有效的身份認(rèn)證手段，訪問(wèn)者的身份就很容易被偽造，使得任何安全防范體系都形同虛設(shè)。就好像人們建造了一座非常結(jié)實(shí)的保險(xiǎn)庫(kù)，安裝了非常堅(jiān)固的大門(mén)，卻沒(méi)有安裝門(mén)鎖。

    如果把信息安全體系看作一個(gè)木桶，那么防火墻、入侵檢測(cè)、VPN、安全網(wǎng)關(guān)等就是木桶的壁板，身份認(rèn)證就相當(dāng)于木桶底?？梢哉f(shuō)，身份認(rèn)證用于解決訪問(wèn)者的物理身份和數(shù)字身份的一致性問(wèn)題，給其他安全技術(shù)提供權(quán)限管理的依據(jù)，而防火墻等技術(shù)針對(duì)數(shù)字身份進(jìn)行權(quán)限管理，解決數(shù)字身份能干什么的問(wèn)題。

    由此可見(jiàn)，身份認(rèn)證是整個(gè)信息安全體系的基礎(chǔ)。

    無(wú)所不在的身份認(rèn)證

    相信大家都記得這樣一幅漫畫(huà)，一條狗在計(jì)算機(jī)面前一邊打字，一邊對(duì)另一條狗說(shuō)：“在互聯(lián)網(wǎng)上，沒(méi)有人知道你是一個(gè)人還是一條狗！”這個(gè)漫畫(huà)說(shuō)明了在互聯(lián)網(wǎng)上很難進(jìn)行身份識(shí)別。

    身份認(rèn)證是指計(jì)算機(jī)及網(wǎng)絡(luò)系統(tǒng)確認(rèn)操作者身份的過(guò)程。計(jì)算機(jī)和計(jì)算機(jī)網(wǎng)絡(luò)組成了一個(gè)虛擬的數(shù)字世界。在數(shù)字世界中，一切信息包括用戶的身份信息都是由一組特定的數(shù)據(jù)表示，計(jì)算機(jī)只能識(shí)別用戶的數(shù)字身份，給用戶的授權(quán)也是針對(duì)用戶數(shù)字身份進(jìn)行的。而我們生活的現(xiàn)實(shí)世界是一個(gè)真實(shí)的物理世界，每個(gè)人都擁有獨(dú)一無(wú)二的物理身份。如何保證以數(shù)字身份進(jìn)行操作的訪問(wèn)者就是這個(gè)數(shù)字身份的合法擁有者，即如何保證操作者的物理身份與數(shù)字身份相對(duì)應(yīng)，就成為一個(gè)重要的安全問(wèn)題。身份認(rèn)證技術(shù)的誕生就是為了解決這個(gè)問(wèn)題。

    如何通過(guò)技術(shù)手段保證物理身份與數(shù)字身份相對(duì)應(yīng)呢？在真實(shí)世界中，驗(yàn)證一個(gè)人的身份主要通過(guò)三種方式：一是根據(jù)你所知道的信息來(lái)證明身份（what you know），假設(shè)某些信息只有某人知道，比如暗號(hào)等，通過(guò)詢問(wèn)這個(gè)信息就可以確認(rèn)此人的身份；二是根據(jù)你所擁有的物品來(lái)證明身份(what you have) ，假設(shè)某一物品只有某人才有，比如印章等，通過(guò)出示該物品也可以確認(rèn)個(gè)人的身份；三是直接根據(jù)你獨(dú)一無(wú)二的身體特征來(lái)證明身份(who you are)，比如指紋、面貌等。

    不過(guò)，你所知道的信息有可能被泄露或者還有其他人知道，因此僅憑一個(gè)人擁有的物品判斷其身份是不可靠的，這個(gè)物品有可能丟失，也有可能被人盜取，從而偽造此人的身份。

    從是否使用硬件，身份認(rèn)證技術(shù)可以分為軟件認(rèn)證和硬件認(rèn)證。從認(rèn)證需要驗(yàn)證的條件來(lái)看，身份認(rèn)證技術(shù)還可以分為單因子認(rèn)證和雙因子認(rèn)證。這里需要對(duì)單因子認(rèn)證和雙因子認(rèn)證多說(shuō)幾句。僅通過(guò)一個(gè)條件來(lái)驗(yàn)證一個(gè)人的身份的技術(shù)稱為單因子認(rèn)證。由于只使用一種條件判斷用戶的身份，單因子認(rèn)證很容易被仿冒。雙因子認(rèn)證通過(guò)組合兩種不同條件（如通過(guò)密碼和芯片組合）來(lái)證明一個(gè)人的身份，安全性有了明顯提高。RSA SecurID以及Safenet ikey2000等都是雙因子認(rèn)證技術(shù)的代表產(chǎn)品。從認(rèn)證信息來(lái)看，身份認(rèn)證技術(shù)還可以分為靜態(tài)認(rèn)證和動(dòng)態(tài)認(rèn)證。現(xiàn)在計(jì)算機(jī)及網(wǎng)絡(luò)系統(tǒng)中常用的身份認(rèn)證方式主要有以下幾種。

    用戶名/密碼方式

    用戶名/密碼是最簡(jiǎn)單也是最常用的身份認(rèn)證方法，是基于“what you know”的驗(yàn)證手段。每個(gè)用戶的密碼是由用戶自己設(shè)定的，只有用戶自己才知道。只要能夠正確輸入密碼，計(jì)算機(jī)就認(rèn)為操作者就是合法用戶。實(shí)際上，由于許多用戶為了防止忘記密碼，經(jīng)常采用諸如生日、電話號(hào)碼等容易被猜測(cè)的字符串作為密碼，或者把密碼抄在紙上放在一個(gè)自認(rèn)為安全的地方，這樣很容易造成密碼泄漏。即使能保證用戶密碼不被泄漏，由于密碼是靜態(tài)的數(shù)據(jù)，在驗(yàn)證過(guò)程中需要在計(jì)算機(jī)內(nèi)存中和網(wǎng)絡(luò)中傳輸，而每次驗(yàn)證使用的驗(yàn)證信息都是相同的，很容易被駐留在計(jì)算機(jī)內(nèi)存中的木馬程序或網(wǎng)絡(luò)中的監(jiān)聽(tīng)設(shè)備截獲。因此用戶名/密碼方式一種是極不安全的身份認(rèn)證方式。

    IC卡認(rèn)證

    IC卡是一種內(nèi)置集成電路的芯片，芯片中存有與用戶身份相關(guān)的數(shù)據(jù)， IC卡由專門(mén)的廠商通過(guò)專門(mén)的設(shè)備生產(chǎn)，是不可復(fù)制的硬件。IC卡由合法用戶隨身攜帶，登錄時(shí)必須將IC卡插入專用的讀卡器讀取其中的信息，以驗(yàn)證用戶的身份。IC卡認(rèn)證是基于“what you have”的手段，通過(guò)IC卡硬件不可復(fù)制來(lái)保證用戶身份不會(huì)被仿冒。然而由于每次從IC卡中讀取的數(shù)據(jù)是靜態(tài)的，通過(guò)內(nèi)存掃描或網(wǎng)絡(luò)監(jiān)聽(tīng)等技術(shù)還是很容易截取到用戶的身份驗(yàn)證信息，因此還是存在安全隱患。

    動(dòng)態(tài)口令

    動(dòng)態(tài)口令技術(shù)是一種讓用戶密碼按照時(shí)間或使用次數(shù)不斷變化、每個(gè)密碼只能使用一次的技術(shù)。它采用一種叫作動(dòng)態(tài)令牌的專用硬件，內(nèi)置電源、密碼生成芯片和顯示屏，密碼生成芯片運(yùn)行專門(mén)的密碼算法，根據(jù)當(dāng)前時(shí)間或使用次數(shù)生成當(dāng)前密碼并顯示在顯示屏上。認(rèn)證服務(wù)器采用相同的算法計(jì)算當(dāng)前的有效密碼。用戶使用時(shí)只需要將動(dòng)態(tài)令牌上顯示的當(dāng)前密碼輸入客戶端計(jì)算機(jī)，即可實(shí)現(xiàn)身份認(rèn)證。由于每次使用的密碼必須由動(dòng)態(tài)令牌來(lái)產(chǎn)生，只有合法用戶才持有該硬件，所以只要通過(guò)密碼驗(yàn)證就可以認(rèn)為該用戶的身份是可靠的。而用戶每次使用的密碼都不相同，即使黑客截獲了一次密碼，也無(wú)法利用這個(gè)密碼來(lái)仿冒合法用戶的身份。

    動(dòng)態(tài)口令技術(shù)采用一次一密的方法，有效保證了用戶身份的安全性。但是如果客戶端與服務(wù)器端的時(shí)間或次數(shù)不能保持良好的同步，就可能發(fā)生合法用戶無(wú)法登錄的問(wèn)題。并且用戶每次登錄時(shí)需要通過(guò)鍵盤(pán)輸入一長(zhǎng)串無(wú)規(guī)律的密碼，一旦輸錯(cuò)就要重新操作，使用起來(lái)非常不方便。

    生物特征認(rèn)證

    生物特征認(rèn)證是指采用每個(gè)人獨(dú)一無(wú)二的生物特征來(lái)驗(yàn)證用戶身份的技術(shù)。常見(jiàn)的有指紋識(shí)別、虹膜識(shí)別等。從理論上說(shuō)，生物特征認(rèn)證是最可靠的身份認(rèn)證方式，因?yàn)樗苯邮褂萌说奈锢硖卣鱽?lái)表示每一個(gè)人的數(shù)字身份，不同的人具有不同的生物特征，因此幾乎不可能被仿冒。

    生物特征認(rèn)證基于生物特征識(shí)別技術(shù)，受到該技術(shù)成熟度的影響，采用生物特征的認(rèn)證技術(shù)具有較大的局限性。首先，生物特征識(shí)別的準(zhǔn)確性和穩(wěn)定性還有待提高，特別是如果用戶身體受到傷病的影響，往往導(dǎo)致無(wú)法正常識(shí)別，造成合法用戶無(wú)法登陸。其次，由于研發(fā)投入較大和產(chǎn)量較小等原因，生物特征認(rèn)證系統(tǒng)的成本非常高，目前只適合于一些安全性要求非常高的場(chǎng)合，如銀行、部隊(duì)等使用，目前還無(wú)法做到大面積推廣。

    USB Key認(rèn)證

    基于USB Key的身份認(rèn)證方式是近幾年發(fā)展起來(lái)的一種方便、安全的身份認(rèn)證技術(shù)。它采用軟硬件相結(jié)合、一次一密的強(qiáng)雙因子認(rèn)證模式，很好地解決了安全性與易用性之間的矛盾。USB Key是一種USB接口的硬件設(shè)備，它內(nèi)置單片機(jī)或智能卡芯片，可以存儲(chǔ)用戶的密鑰或數(shù)字證書(shū)，利用USB Key內(nèi)置的密碼算法實(shí)現(xiàn)對(duì)用戶身份的認(rèn)證。基于USB Key身份認(rèn)證系統(tǒng)主要有兩種應(yīng)用模式：一是基于沖擊/響應(yīng)的認(rèn)證模式，二是基于PKI體系的認(rèn)證模式。

    每個(gè)USB Key硬件都具有用戶PIN碼，以實(shí)現(xiàn)雙因子認(rèn)證功能。USB Key內(nèi)置單向散列算法（MD5），預(yù)先在USB Key和服務(wù)器中存儲(chǔ)一個(gè)證明用戶身份的密鑰，當(dāng)需要在網(wǎng)絡(luò)上驗(yàn)證用戶身份時(shí)，先由客戶端向服務(wù)器發(fā)出一個(gè)驗(yàn)證請(qǐng)求。服務(wù)器接到此請(qǐng)求后生成一個(gè)隨機(jī)數(shù)并通過(guò)網(wǎng)絡(luò)傳輸給客戶端（此為沖擊）。客戶端將收到的隨機(jī)數(shù)提供給插在客戶端上的USB Key，由USB Key使用該隨機(jī)數(shù)與存儲(chǔ)在USB Key中的密鑰進(jìn)行帶密鑰的單向散列運(yùn)算（HMAC-MD5）并得到一個(gè)結(jié)果作為認(rèn)證證據(jù)傳送給服務(wù)器（此為響應(yīng)）。與此同時(shí)，服務(wù)器使用該隨機(jī)數(shù)與存儲(chǔ)在服務(wù)器數(shù)據(jù)庫(kù)中的該客戶密鑰進(jìn)行HMAC-MD5運(yùn)算，如果服務(wù)器的運(yùn)算結(jié)果與客戶端傳回的響應(yīng)結(jié)果相同，則認(rèn)為客戶端是一個(gè)合法用戶，原理如下圖所示。

    圖中“R”代表服務(wù)器提供的隨機(jī)數(shù)，“Key”代表密鑰，“X”代表隨機(jī)數(shù)和密鑰經(jīng)過(guò)HMAC-MD5運(yùn)算后的結(jié)果。通過(guò)網(wǎng)絡(luò)傳輸?shù)闹挥须S機(jī)數(shù)“R”和運(yùn)算結(jié)果“X”，用戶密鑰“Key”既不在網(wǎng)絡(luò)上傳輸也不在客戶端電腦內(nèi)存中出現(xiàn)，網(wǎng)絡(luò)上的黑客和客戶端電腦中的木馬程序都無(wú)法得到用戶的密鑰。由于每次認(rèn)證過(guò)程使用的隨機(jī)數(shù)“R”和運(yùn)算結(jié)果“X”都不一樣，即使在網(wǎng)絡(luò)傳輸?shù)倪^(guò)程中認(rèn)證數(shù)據(jù)被黑客截獲，也無(wú)法逆推獲得密鑰。這就從根本上保證了用戶身份無(wú)法被仿冒。飛天誠(chéng)信的ePass1000、Safenet的iKey1000都屬于這一類產(chǎn)品。

    沖擊響應(yīng)模式可以保證用戶身份不被仿冒，卻無(wú)法保護(hù)用戶數(shù)據(jù)在網(wǎng)絡(luò)傳輸過(guò)程中的安全。而基于PKI（Public Key Infrastructure，公鑰基礎(chǔ)設(shè)施）構(gòu)架的數(shù)字證書(shū)認(rèn)證方式可以有效保證用戶的身份安全和數(shù)據(jù)安全。數(shù)字證書(shū)是由可信任的第三方認(rèn)證機(jī)構(gòu)頒發(fā)的一組包含用戶身份信息（密鑰）的數(shù)據(jù)結(jié)構(gòu)，PKI體系通過(guò)采用加密算法構(gòu)建了一套完善的流程，保證數(shù)字證書(shū)持有人的身份安全。然而，數(shù)字證書(shū)本身也是一種數(shù)字身份，還是存在被復(fù)制的危險(xiǎn)。使用USB Key可以保障數(shù)字證書(shū)無(wú)法被復(fù)制，所有密鑰運(yùn)算由USB Key實(shí)現(xiàn)，用戶密鑰不在計(jì)算機(jī)內(nèi)存出現(xiàn)也不在網(wǎng)絡(luò)中傳播，只有USB Key的持有人才能夠?qū)?shù)字證書(shū)進(jìn)行操作，安全性有了保障。

    由于USB Key具有安全可靠，便于攜帶、使用方便、成本低廉的優(yōu)點(diǎn)，加上PKI體系完善的數(shù)據(jù)保護(hù)機(jī)制，使用USB Key存儲(chǔ)數(shù)字證書(shū)的認(rèn)證方式已經(jīng)成為目前主要的認(rèn)證模式。

    未來(lái)，身份認(rèn)證技術(shù)將朝著更加安全、易用、多種技術(shù)手段相結(jié)合的方向發(fā)展。USB Key將會(huì)成為身份認(rèn)證的主要發(fā)展方向，USB Key的運(yùn)算能力和易用性也將不斷提高。隨著指紋識(shí)別技術(shù)的不斷成熟和成本降低，USB Key 將會(huì)使用指紋識(shí)別技術(shù)以保證硬件本身的安全性。

幾種身份認(rèn)證技術(shù)特點(diǎn)的比較

    化繁為簡(jiǎn)的集成身份管理

    身份認(rèn)證是身份管理的基礎(chǔ)。在完成了身份認(rèn)證之后，接下來(lái)就要進(jìn)行身份管理。

    在許多企業(yè)里，某個(gè)員工離開(kāi)原公司后仍然還能通過(guò)原來(lái)的賬戶訪問(wèn)企業(yè)內(nèi)部信息和資源，原來(lái)的信箱仍然可以使用。為什么會(huì)出現(xiàn)這種現(xiàn)象呢？原因在于，當(dāng)員工離開(kāi)公司后，盡管人事部門(mén)將其除名，但在IT系統(tǒng)中相應(yīng)的多個(gè)用戶授權(quán)卻沒(méi)有被及時(shí)刪除。

    據(jù)統(tǒng)計(jì)，每個(gè)員工在公司里注冊(cè)的用戶賬號(hào)最多可以達(dá)到17個(gè)之多，如E-mail賬號(hào)、登錄內(nèi)部網(wǎng)絡(luò)賬號(hào)、訪問(wèn)企業(yè)特定應(yīng)用的賬號(hào)等。當(dāng)員工數(shù)量越來(lái)越多時(shí)，管理員不可能對(duì)每一個(gè)離職員工的系統(tǒng)賬號(hào)進(jìn)行徹底刪除。只要存在一個(gè)沒(méi)有被刪除的賬號(hào)，就會(huì)給系統(tǒng)留下后門(mén)。身份管理系統(tǒng)能夠解決以上問(wèn)題。

    集成身份管理的內(nèi)涵

    幾乎每個(gè)安全的IT系統(tǒng)都有自己獨(dú)特的身份認(rèn)證與管理技術(shù)，但是企業(yè)中越來(lái)越多的IT系統(tǒng)，再加上企業(yè)需要與合作伙伴甚至客戶的系統(tǒng)進(jìn)行溝通，帶來(lái)了日趨復(fù)雜的身份管理，簡(jiǎn)化統(tǒng)一身份管理的需求催生了集成的身份管理，這種技術(shù)是否真正得到廣泛應(yīng)用還要取決于標(biāo)準(zhǔn)的不斷成熟。

    身份管理分為兩個(gè)方面：管理企業(yè)內(nèi)部用戶和管理企業(yè)外部用戶，即合作伙伴和供應(yīng)商等。相對(duì)而言，管理內(nèi)部用戶身份要比管理外部用戶身份容易一些。

    自員工工作加入公司、合作伙伴簽約后，身份管理系統(tǒng)就開(kāi)始追蹤和管理所有的關(guān)系。隨著身份的變更，身份識(shí)別管理可以自動(dòng)實(shí)現(xiàn)所要求的訪問(wèn)變更，并且啟動(dòng)所有的工作流程和批準(zhǔn)過(guò)程。對(duì)于一個(gè)內(nèi)部用戶而言，身份識(shí)別管理的時(shí)間跨度從員工加入公司開(kāi)始直到這名員工離開(kāi)公司。進(jìn)入公司后，新員工最先接觸的系統(tǒng)是人力資源系統(tǒng)，然后會(huì)獲得門(mén)卡、辦公設(shè)備等工具，然后還會(huì)獲得網(wǎng)絡(luò)的授權(quán)，通過(guò)授權(quán)訪問(wèn)公司的資源。這些不同的應(yīng)用系統(tǒng)可能來(lái)自于不同的廠商，而身份管理系統(tǒng)可以把這些資源都集中起來(lái)。新員工的資料一旦添加到人力資源管理系統(tǒng)之后，系統(tǒng)就會(huì)自動(dòng)生成各種口令和授權(quán)，基于Web的授權(quán)也可以在這個(gè)流程中一次性完成，而且還會(huì)把這名員工在公司里所做的任何訪問(wèn)都記錄下來(lái)。當(dāng)員工離開(kāi)時(shí)，網(wǎng)管員只需將其從人力資源管理系統(tǒng)中刪除，身份識(shí)別管理系統(tǒng)就會(huì)自動(dòng)地到所有的后臺(tái)系統(tǒng)中把與該員工相關(guān)的授權(quán)全面刪除，這是一個(gè)非常自動(dòng)化的過(guò)程。

    集成身份管理的四個(gè)層次

    CA eTrust身份識(shí)別解決方案、IBM　Tivoli管理套件都是很具代表性的身份管理解決方案。此外，微軟、Novell也提供類似解決方案。這些解決方案都是由身份認(rèn)證基礎(chǔ)、身份控制、身份生命管理、身份聯(lián)盟四個(gè)層次組成，對(duì)內(nèi)部用戶、外部客戶以及合作伙伴的身份進(jìn)行管理。

    身份基礎(chǔ)層定義了構(gòu)建身份管理基礎(chǔ)架構(gòu)所需的技術(shù)組件。其中，目錄模塊可以整合不同目錄的數(shù)據(jù)；元目錄模塊用于進(jìn)行不同端點(diǎn)數(shù)據(jù)庫(kù)之間數(shù)據(jù)的轉(zhuǎn)換和分發(fā)；工作流模塊能夠自動(dòng)執(zhí)行請(qǐng)求處理過(guò)程，并與業(yè)務(wù)系統(tǒng)進(jìn)行集成；報(bào)告模塊用于匯總數(shù)據(jù)報(bào)表?；跇?biāo)準(zhǔn)協(xié)議的Web技術(shù)可以促進(jìn)不同組件之間通過(guò)防火墻進(jìn)行信息交互。

    身份控制層負(fù)責(zé)管理和審核保護(hù)策略在整個(gè)企業(yè)中執(zhí)行，支持任何類型的用戶身份認(rèn)證方法，控制已驗(yàn)證用戶對(duì)任何資源的訪問(wèn)。訪問(wèn)控制與單點(diǎn)登錄模塊支持Web單點(diǎn)登錄，進(jìn)行基于Web的分布式管理，集中授權(quán)，保護(hù)應(yīng)用程序和操作系統(tǒng)資源。個(gè)人信息的訪問(wèn)控制模塊保護(hù)個(gè)人身份信息和執(zhí)行隱私管理。監(jiān)控和審核用戶活動(dòng)模塊實(shí)時(shí)監(jiān)控事件，以檢測(cè)可能出現(xiàn)的資源濫用或攻擊。

    身份生命周期管理層負(fù)責(zé)跨應(yīng)用平臺(tái)簡(jiǎn)化用戶應(yīng)用體驗(yàn)以及進(jìn)行身份管理和訪問(wèn)策略管理。其中，用戶注冊(cè)模塊用于處理用戶信息，根據(jù)業(yè)務(wù)策略進(jìn)行自動(dòng)驗(yàn)證、批準(zhǔn)和生成用戶數(shù)據(jù)。用戶自我管理模塊能夠降低管理用戶請(qǐng)求的成本，幫助改善用戶的體驗(yàn)。用戶個(gè)人偏好管理模塊用于管理用戶的個(gè)人身份信息以及保密合同。用戶配置文件管理模塊用于處理定義用戶所需的屬性。憑證管理模塊用于管理用戶登錄信息。策略管理模塊用于管理用戶訪問(wèn)權(quán)限和資源訪問(wèn)策略。

    聯(lián)邦身份層是公司之間身份信息的交互層，允許在Web應(yīng)用程序之間共享用戶身份和屬性信息。其中，跨企業(yè)供應(yīng)模塊自動(dòng)識(shí)別不同的用戶注冊(cè)，并為他們提供默認(rèn)服務(wù)?？缙髽I(yè)身份映象模塊在企業(yè)之間進(jìn)行憑證與身份的轉(zhuǎn)換，進(jìn)行“匿名”和“角色”管理。委托代理處理模塊用于企業(yè)之間建立安全、可信的信息交流。

    來(lái)源：CCW