从目前来看,已经有密码认证、PIN码认证、“智能卡”、生物识别、CHAP认证、双因素认证等多种认证体系。不同安全级别的认证方法有很大区别,安全性是认证方式的最重要的考虑因素,但并非全部。我们还需要关注他们的兼容性、方便性以及使用成本等。
现代信息安全体系是由三个主要的部分组成的,它们是:认证、授权和可追究责任(审计)。其中认证是这三个因素中最基本的一个,因为它是发生在其他两个因素之前的。
术语“认证”或者“用户认证”指的都是确定那些要求访问计算机、网络或者计算机资源的人的身份。如果不能将一个人从未受限制的人中区分出来,那么限制这个人行为的授权就变得没有什么意义了。如果一个用户行为记录的可信度受到质疑的话,那么可追究责任或者审计记录就不能够防止用户权利被滥用。如果在身份明确的用户和身份不明用户的要求下,系统都可以给信息解密的话,那么即使为所有的信息加了密的这个系统也是没有什么价值的。这一切都意味着在授权规则、系统加密和审计机制发生作用之前必须确定一个认可的和适当的认证。
在配置任何一个安全系统时,安全性和方便性之间都会经常存在矛盾。组织必须在受保护的信息价值和易于使用以及配置可以满足他们需要的系统的成本之间取得平衡。事实上,一个“足够安全”并能提供给很多人使用的系统似乎比一个高安全级别却很少人使用的系统要有价值得多。因为组织有不同的风险级别,就需要有多种解决方案来满足不同的安全级别。
记忆式密码认证
在过去,所有计算机的安全系统都是试图通过单一的记忆式密码认证用户的。实际上,所有计算机和网络都是与记忆式密码认证方案兼容的。然而,在近20年中,强大而广阔的计算机发展趋势使得记忆式密码的认证方式在大多时候根本起不到安全作用。
以前,常规的补救方法是将密码的位数延长和增加它的复杂性,并且不断提醒用户改变和记住他们的新密码。以往经验非常明确地告诉我们,这两种方法在当前的使用环境中根本不起作用,而且根本不能克服前面提及的那两个领域中存在的弱点。
随着公共网络的出现,以广泛的拓扑结构、个人电脑和电脑工作者为基础的个人网络要重新考虑通常的记忆式密码的认证形式了,因为很多使用环境都需要有更强大的认证方式。
虽然记忆式密码的安全性不是很好,但是在低风险环境中使用它是最方便的。例如一个职员可以在被信任的基础上登录一个安全公司的网络。在这里,这种低级别的安全就可以满足需要了,而且对于雇员来说还能节省很多时间。如果个别人的物理智能卡或者口令牌丢失了,记忆式密码还可以作为临时的可依靠的认证机制来使用。
PIN码认证
记忆式密码的一个比较高级的变形是个人身份代码,或者由American Banker's Association定义的称作“PIN”码。PIN码广泛应用于银行信用卡和自动提款机的配合使用上。
有些人认为PIN码仅是包含数字的简单的记忆式密码。然而实际上,PIN码通常是加密的或由一些只有接收者和发送者知道的动态的变量组成的,这样可以弥补二者存在的不足。PIN码和密码的不同之处在于,PIN码可以没有任何风险地在公共网上传输,即使对手能够监督、记录或者重现这个网络路线。
因为保护PIN码的机制必须足够复杂以抗攻击,所以PIN码系统通常要在用户所在位置、计算机所在位置、或者两个位置同时配备额外的硬件。这些与当前设备兼容的额外硬件必须仔细定制计划,有时它们要占用相当大的成本。PIN码通常要依靠共享的设备,而不专门针对个人用户。当依照ABA的标准配置时,在任何可以接受记忆式密码也可以接受PIN码的地方进行认证,也可以在记忆式密码不能满足条件2和5(关于密码能够储存、重现和在网络上暴露密码)的环境中使用它。
CHAP认证
应更强大的记忆式密码认证系统的需要——能适用在公共网络中——Internet Engineering Task Force公布了一个被称作“CHAP”的协议标准和使用指导。利用这一协议,专门设计的应用程序和网络设备就可以发出密码写成的挑战/应答对话,来确定彼此的身份。
对用户来说,CHAP认证通常是自动的和一目了然的。事实上,CHAP的主要作用不是进行用户认证,而是主要用来帮助“黑匣子”进行信息传播。CHAP在现代网关装置中比较常见,例如路由器和一般服务器,它们在允许网络连接之前,都要询问和鉴定CHAP加密的记忆式密码。
CHAP认证几乎和所有的路由器以及一般服务器设备兼容,因此可以安装在几乎所有的Internet网关上。它也与大部分的PPP客户端软件兼容,其中包括Microsoft Windows提供的一些主流PPP客户端。然而,它与大多数的“legacy”应用不能兼容,其中包括绝大多数的主机设备和微机的登录系统。
在Internet上传输时,CHAP表现出了足够强大的抗攻击性。然而,当CHAP全自动和透明时,它就不能够准确鉴别人类用户的身份了。即使要求输入记忆式密码而且这个密码还被CHAP加密,它也仍然存在被身后的人轻松窥视到的致命弱点。因此,通常认可的计算机操作在承认记忆式密码的地方也允许使用CHAP认证,同时可以在单独使用记忆式密码不能满足条件5(网络暴露)时使用CHAP认证。然而,即使是最好的CHAP配置也不能够解决条件3(有关环境的物理安全和可接近性)的所列问题,因为使用记忆式密码时通常是不能远离身边其他电脑工作者的。
智能卡认证
“智能卡”是一个小的、类似信用卡的卡片。由于它带有集成块,所以这种卡可以植入实际的智能。认证应用中的智能卡含有机密的认证信息。
目前智能卡还不能够兼容很多类型的PC和网络工作站。当与一个电子读卡器和电源相结合时,它们就仅仅是真正的“smart enough”。读卡器连接到一个端口、槽口或插座上,然后就可以连接到一台网络计算机上了。
一个小型的责任明确的用户组在专业的、高价值的或高风险的应用中选择智能卡是明智的;常规的软件应用可以购买、安装、配置智能卡读卡器。遗憾的是,添加一个智能卡读卡器会使这个方案的成本大大增加,在大数量的用户中配置是不可行的。目前还没有人能想出一个方法使得读卡器便宜得能为每一个计算机用户配置一个。而且计算机用户也不情愿一天要好几次离开他们办公室的椅子,去使用一个部门共享的读卡器,即使这样的确降低了公司的成本。
生物识别认证
近年来,各种类型的生物辨认装置不断被开发出来,它们能够精确测定指纹、视网膜图案、手相、书写法定签名时的笔迹或者在计算机键盘上打字的手势。这种设备载有的信息通常被称为生物信息,它通常可成为每个用户能辨认的、稳定的区别特性。
如果在一个特定的认证系统中使用生物测定装置或软件确实能够取得所有用户的唯一的特性样本,那么通常情况下,公认的安全惯例是允许在任何承认记忆式密码的区域内通过这些生物系统以及记忆式密码系统进行认证的。这些系统也适用于由于不能够满足条件3而使得记忆式密码不能安全地单独使用的区域。
但生物特性不是万能的,因为授权的用户不能够改变他们的生物特征,所以生物系统必须谨慎设计以防止用户的生物特性暴露在不安全的环境中。
这使生物辨认系统意识到在实际传送生物特性时,绝对不能采取可能被重现的方式,或者永远不泄漏它们的真正数值。保护生物信息的方法随着它们的配置和精密水平而变化。在将来,上面提到的有些动态密码认证器在正确发出动态密码之前可能会要求输入一些生物信息。
双因素认证
双因素认证采用两级认证方式,它包括一个“口令牌”,口令牌动态生成的密码与系统生成的密码相同时,系统才会得到确认。我们所有的口令牌都是针对更高安全级别,使用“动态密码技术”来生成真正的一次性密码的。这种一次性密码的优点是,任何一个攻击者取得的动态密码在用户使用过后都不能再进行下次网络认证,因为它已经不再有效。
为了进一步增强安全性,用户在登录网络时,可以与密码一起键入一个PIN码。例如Secure Computing的SafeWord Platinum口令牌就要求用户往口令牌中输入一个PIN码来激活它。这种口令牌提供了最高级别的安全,当安全需求非常紧迫时,我们建议使用这种认证方式。
口令牌基本上有两种认证方式:事件同步、时间同步和异步。时间同步的认证器在一段固定的时间内——通常是一分钟——也可以生成一个唯一的、动态的密码。这种认证器也非常便于使用,因为它们一直开启着,不间断地生成不同的密码。同时,密钥和加密体系保证了认证器生成的密码是唯一的。