多因素认证(Multi Factor Authentication,简称 MFA)的使用背景主要出于对账户和系统安全性的增强需求。传统的用户名和密码认证方式在面对日益复杂的网络威胁时显得不够安全,因为密码可能被泄露、猜测或被暴力破解。随着攻击者拥有越来越先进的工具,对更安全的认证协议的需求正在加大。多因素认证通过引入额外的认证因素,提供了更强大的安全层级。同时,将“实体所有”、“实体特征”、 “实体所知”三种不同认证因素结合起来增强系统或设备的安全性是研究人员容易设想的方向,因此多因素认证解决认证安全问题是大势所趋。
多因素认证是一种简单有效的安全实践方法,旨在提供两层或更多的身份验证保护。最常见的三种验证因素包括知识(实体所知)、持有物(实体所有)和固有属性(实体特征)。知识因素指的是用户知道的信息,如安全密保问题或个人识别号码如pin码;持有物因素是用户拥有的物品,例如SMS密码或硬件令牌;固有属性则与用户的身体特征有关,如指纹或面部识别等。这种方法提高了安全性,因为即使某个因素被泄露或破解,攻击者仍需要其他因素才能访问用户账户或系统。尤其是在面临日益复杂的网络安全威胁时,MFA的实施可以有效减少未经授权的访问,提高账户安全性。
三种验证因素可以总结如下:
基于实体所知的方法是最为广泛使用的方法,如密码、验证码等,其成本低、实现简单,但同时也面临较大安全威胁如暴力破解和木马侵入等。
基于实体所有的方法是安全性较高、成本较高的一类,主要应用在IC卡、门禁卡和数字签名等。但缺点是基于实体所有的方法因为存在固体实物,因此会面临着损坏和被复制的风险。
基于实体特征的方法是安全性最高的一种方式,通常采用生物识别方法进行验证。主要应用在指纹、虹膜、声波特征等验证方式。实体特性鉴别的准确性和效率主要取决于开发过程中的算法特征。
研究现状
最近,许多研究人员进行的相关研究,将身份认证技术组合实现多因素认证,还可以将传统身份认证技术与OpenCV等其他技术结合实现。
[1]提出了一种基于设备序列化和数字签名认证的新型认证算法,来认证物联网设备和服务器,并设计了一个系统:只有当设备完成多因素认证时,才允许它访问网络,否则就只能从头开始身份验证。这种认证技术可以应用到所有的物联网设备上,但是需要注意的是,先进的加密标准和对称密钥加密等加密算法确保了数据保护,而且通常是相当安全的,但这些方法耗电量高,消耗电池更快。
[2]中提出了一种基于行为特征的持续性多因素认证系统,这个系统利用智能手表上的传感器采集到的数据作为用户认证的额外判断依据。二级身份认证基于在计算机键盘上输入用户名和密码、智能手机模式解锁或智能手机密码或智能手机输入时包含的细微的手势。用户只需要在佩戴智能手表时使用他们首选的认证方法(比如账号密码)对自己进行身份验证,利用从手表上的传感器收集到的运动数据,就可以连续进行额外的第二级身份验证,可以高精度地预测用户的真实性,而且第二级身份验证对用户是透明的,不会影响正常用户的活动。此外,[2]中采用的双因素认证方法考虑到了用户的隐私性问题,很多基于生物特征采集的身份认证系统都会持续监控和记录用户的行为,从而引发了用户关于隐私的担忧。文章提出的HS-MFA可以通过蓝牙在本地工作,而不需要互联网或蜂窝网络连接。而且,它不会在用户的设备上存储密码或安全问题等数据。
[3]开发了一个多模态的认证系统,使用一个人的人脸特征来识别他。为了开发这样一个系统,研究人员使用了软硬件结合的方法包括树莓(Raspberry Pi)、OpenCV和AWS服务。其中,树莓派是一种微型计算机,可以运行Linux系统,具有高灵活性和对高端性能的鲁棒性,用来配置文件和控制访问。使用OpenCV进行人脸检测,它使用HAAR分类器来检测对象。用到的AWS服务包括用于识别人脸的AWS recognition,和用于存储从识别过程中生成的人脸id以及相应的人员姓名的AWS DynamoDB。
[4]使用了谷歌提供的麻省理工学院应用程序开发者工具,创建了一个可以对用户进行身份验证的安卓应用程序。程序中添加了一个Makeblock计算机视觉扩展服务,借此可以添加面部识别功能,还使用TinyWebDB来存储用户名和密码,因此这个应用程序可以实现一个三因素认证。同时,作者还给出了应用程序改进的方向,如创建自己的自定义数据集,使用openCV提供面部识别服务而不是调用微软的API等。
[5]介绍了一种身份验证和密钥协议,适用于希望能够访问部署在现场的受限传感器节点的用户,例如医生访问病人的医疗保健节点。传感器(物联网设备)和用户设备分别依赖于物理上不可克隆的函数(PUF)和生物识别技术,提供直接的多因素认证。此外,方案提供了防止半可信第三方存在的保护机制,具有完美的前向保密、匿名、不可追溯性的特点,以及针对会话数据的丢失攻击的保护。此外,实验结果表明,该方案在计算和通信成本方面优于大多数最先进的方案。
可以看到,针对不同系统和不同应用场景的多因素身份认证设计在安全性,隐私性,保密性,成本,识别精确度上进行了研究,已经有了成熟的研究体系,多因素认证成为了身份认证研究的主流趋势,具有广阔的应用前景。
虽然多因素认证技术减轻了传统身份验证系统的一些漏洞,但它们也带有自身的挑战。在不同的应用场景和认证技术中,还是存在各自的不足和亟待改进的地方。比如,尽管用于物联网环境的多因素认证协议解决了单因素认证协议的安全性问题,然而物联网环境的本质需要轻量级的协议,因为各种各样的物联网传感器和设备的资源有限和功率有限。如何将多因素认证技术和一些轻量级设备更好融合并且提高不同应用场景的健壮性是值得思考的问题。虽然多因素认证技术使用了加密、哈希函数、计算、模糊提取器等特性,并不是所有提出的多因素认证协议都证明了对各种攻击的弹性以及能否应对不同的攻击。一些协议可能提供一些乐观的方法,但需要特殊的硬件,不适合当前和旧的物联网设备。[6]例如,向用户的设备发送临时密码的双因素认证方案依赖于互联网可用性或流量接收。另外,采用生物学特征识别有时需要添加一个二级物理设备,这会带来新的成本负担,这都是亟待解决的问题。
零信任安全的概念是基于重建访问控制的信任基础,它依赖于身份认证和授权。为了确保合法性,网络需要对发起接入请求的所有终端进行动态、连续的身份认证。持续认证是在一定时间内建立安全的通信会话,它是相互认证的补充,以确保在会话开始时被认证的设备始终保持不变。
持续自适应多因素认证(Continuous Adaptive Multi-Factor Authentication,CAMFA)是一种安全身份验证方法,它在自适应多因素认证的基础上引入了实时风险评估技术,以动态评估用户的安全级别。在时间上,CAMFA 在用户整个使用过程中不断对其进行信任评估,以决定是否需要增加额外的认证步骤。这种方法的优势在于企业的安全状态可以实时监控,而用户只在执行风险操作时才会被要求进行额外的认证。
可见,要想建立起更安全更健壮的身份认证机制,持续性认证和零信任安全是未来的多因素认证机制必不可少的特性,也是可以深入探究的新兴领域。
综上所述,多因素认证是提升身份验证安全性的有效方式,它不仅仅依赖于单一的密码,还结合了其他因素增加了攻击者攻击的难度。随着技术的不断发展,多因素认证的方法也在不断演化,带来更多创新和便利性。在今后的数字化世界中,多因素认证将继续发挥重要作用,保护用户的隐私和数据安全。
[1] N. Odyuo, S. Lodh and S. Walling, “Multifactor Mutual Authentication of IoT Devices and Server,” 2023 5th International Conference on Smart Systems and Inventive Technology (ICSSIT), Tirunelveli, India, 2023, pp. 391 -396, doi: 10.1109/ICSSIT55814.2023.10061113.
[2] J. G. Maes, K. A. Rahman and A. Mukherjee, “Hybrid Smartwatch Multi- factor Authentication,” 2023 IEEE 17th International Symposium on Medical Information and Communication Technology (ISMICT), Lincoln, NE, USA, 2023, pp. 1-6, doi: 10.1109/ISMICT58261 .2023.10152114.
[3] A. Kumar and D. K. Jhariya, “Multifactor Authentication System,” 2023 2nd International Conference on Paradigm Shifts in Communications Embedded Systems, Machine Learning and Signal Processing (PCEMS), Nagpur, India, 2023, pp. 1-4, doi: 10.1109/PCEMS58491.2023.10136041.
[4] A. Bissada and A. Olmsted, Mobile multi-factor authentication, 2017 12th International Conference for Internet Technology and Secured Transactions (ICITST), Cambridge, UK, 2017, pp. 210-211, doi 10. 23919ICITST.2017.8356383.
[5] A. Braeken, “Highly Efficient Bidirectional Multifactor Authentication and Key Agreement for Real-Time Access to Sensor Data,” in IEEE Internet of Things Journal, vol. 10, no. 23, pp. 21089-21099 , 1 Dec.1, 2023, doi: 10.1109/JIOT.2023.3284501.
[6]Z. A. -A. Mohammad Fneish, M. El-Hajj and K. Samrouth, “Survey on IoT Multi-Factor Authentication Protocols: A Systematic Literature Review,” 2023 11th International Symposium on Digital Forensics and Security (ISDFS), Chattanooga, TN, USA, 2023, pp. 1-7, doi: 10.1109/ISDFS58141.2023.10131870.
声明:本文来自中国保密协会科学技术分会,版权归作者所有。文章内容仅代表作者独立观点,不代表沃通CA立场,转载目的在于传递更多信息。如有侵权,请联系删除。
4006-967-446
沃通数字证书商店
