论坛: 编程破解 标题: 分析互联网行业的身份认证技术 复制本贴地址    
作者: leo9127 [leo9127]    论坛用户   登录
引言:本文结合笔者的学习和工作经验,针对互联网行业的特点,尝试从多个角度分析互联网行业的身份认证方面的安全技术,并分析和比较了几种目前主流的认证技术。本文尽量使用平实的语言,不会使用过多的专业术语。

一)互联网行业需要什么样的身份认证技术?
互联网行业需要什么样的身份认证技术呢?在回答这个问题之前,我们首先得分析一下互联网行业的特点。综合来看,互联网行业有如下几个特点:
用户量巨大。互联网的用户是以千万计的,在这种环境下,如果完全照搬传统行业的安全准则,则很难满足用户的需求。实际上,在互联网行业,最好用的方式是“自助”,大家可以设想一下“帐号注册”、“帐号密码修改”等常见概念,如果这些都用管理员分配的方式,其成本和复杂程度是难以想象的。
应用服务众多。互联网发展到现在,各种应用服务已经是十分丰富了,每个网站都在试图聚拢自己的用户群,于是我们就有了不计其数的“帐号”和“密码”。读这篇文章的读者现在可以用心数一下,自己在网上有多少个帐号?这些帐号有多少是密码重复的?
各种应用对于安全性的需求各有不同。各种服务由于重要性不同,自然对于安全性的要求就不同。如果我的一个经常浏览的论坛的帐号丢失了,最多我会郁闷几天,再注册一个就好了,但是如果我的一个网上银行的帐号丢失了,则有可能会损失真金白银。
互联网的网络环境复杂。互联网的最大优点是开放,最大缺点也是开放。互联网上的威胁是无处不在的,各种木马病毒在互联网上到处传播,特别是木马,具有很高的隐蔽性,很难防范。用户经常是访问了一个网站之后就莫名其妙的丢失了很多帐号,其实通常都是由于木马的原因。真是成也萧何,败也萧何。

二)目前互联网行业主流的几种身份认证安全技术
目前常见的身份认证安全技术有:
PKI技术。PKI技术是基于公私钥密码体系的一种身份认证技术,通过为每一个用户分配一个私钥和一个公钥证书,实现安全的身份认证和数据加密功能。PKI技术经过很多年的沉淀,已经十分成熟,目前在网上银行领域应用的很广泛,举个简单的例子,现在所有网上银行的网站都是HTTPS协议的,而不是普通的HTTP协议。这个后面的S代表安全,实际上就是采用PKI技术作为支撑的。
动态口令技术。在传统的静态口令的技术上进行调整,把用户记忆的口令变成用户持有的设备生成的口令,并且不断变化。这样可以有效的避免由于病毒木马等恶意程序引发的密码丢失问题,因为口令是一次性的,用过之后即使被窃取也没有用了。
矩阵卡技术。这种技术可以说是动态口令技术的一种简化,其基本原理是在一张卡片上预先印刷好一些随机的数字,用户在每次登录时,系统会随机的要求用户输入卡片上的部分数字,而不是全部。这样,就达到了用户这次和下次登录输入的密码内容不一样的效果。
一次性密码卡技术。这种技术可以说是最完美的技术也最难实际应用的技术。卡上预先印刷好一些随机的数字密码,用户登录时拿出一个来使用,使用过一次这个密码就作废,下次登录就必须使用另外一个,等到一张卡上全部的密码都使用完了,就再去换一张卡。这种方式在实际使用中最大的问题就是麻烦,用户需要经常去换卡,虽然这种方式安全性很好,符合密码学里“一次一密”的思想。

三)未来的方向。
比较目前各种流行的身份认证技术,都各有优点和缺点:PKI技术成熟,但受到成本和易用性的制约,很难成为大众化的方案;矩阵卡技术只是一种简化的过渡性产品,基本不予考虑;一次性密码卡技术虽然十分完美,但是几乎一、两个月就更换一张卡,比较麻烦;动态口令技术实现方便,唯一的不足就是得随身携带一个特定的硬件设备。

笔者认为,未来的方向应该是具有易用、低成本和便携性的手机软件动态口令的方式。我们不妨看看现在国内有多少部手机,GPRS网络的资费也一再下调,再加上未来的3G,不难看出,手机软件动态口令技术是一个未来发展的方向。虽不能说是最完美的解决方案,但却是最有可能大规模普及的下一代互联网身份认证技术之一。

作者介绍:pacer目前致力于身份认证技术的研究,特别是动态密码技术,如果你对动态密码技术感兴趣,可以加入QQ群:30130716,或是访问 http://www.passpod.org/
文章来源: http://www.passpod.com/

地主 发表时间: 06-09-13 14:40

回复: TecZm [teczm]   版主   登录
安全性不够
1. 手机丢失==银行密码丢失
2. 口令不足以满足真实身份验证必然关系
3. 仍然存在会话劫持威胁
4. 不满足信息完整性需求


B1层 发表时间: 06-09-14 09:28

论坛: 编程破解

20CN网络安全小组版权所有
Copyright © 2000-2010 20CN Security Group. All Rights Reserved.
论坛程序编写:NetDemon

粤ICP备05087286号