首页>技术支持>强身份认证技术选型指南

强身份认证技术选型指南

现由于用户名 / 密码方式的单因素身份认证方式无法应对日益猖獗的在线欺诈犯罪行为,各种强身份认证技术纷纷登场,因为使用双因素或多因素身份认证技术是解决目前网上身份盗窃和在线欺诈的唯一有效手段。美国 联邦金融机构检查委员会 (FFIEC) 就要求美国金融业必须在 2006 年底之前为网上银行提供双因素用户身份认证,这实际上是给各行各业的网上应用指明了一个如何确保用户在线信息安全努力方向。

本文就对现有的各种成熟的身份认证技术做一个简单的介绍,让广大网上应用提供商能够明智地根据自己的业务需要和风险评估来合理选择强身份认证技术,而不是一味地听取某些强势厂商的一面之词而贸然确定,从而让广大网上用户承受技术选型失误带来的痛苦。

一、强身份认证技术的选择原则

在选择强身份认证解决方案时,最重要的是要评估各种解决方案的优缺点,主要包括:是否容易实施和安全,而最终用户是否使用方便和低成本应该是第一考虑因素。

任何信息安全技术主要包含三个概念:机密性、完整性和实用性,如果一种安全解决方案仅仅能保证数据不会被非法访问 ( 机密性 ) 和保证确实是合法用户在访问 ( 完整性 ) ,但如果失去了实用性,也是不合适的方案。实用性就是要求此解决方案是可管理的、低成本的,而且不会给用户带来太多的痛苦的 ( 用户实用方便 ) 。

在选择强身份认证解决方案时还有一个问题不得不重视,那就是成本。网上应用服务提供商必须考虑采用此方案与其他方案的成本比较 ( 包括服务提供商的投资成本和最终用户成本 ) ,同时还要考虑与用户、合作伙伴、雇员通信不会仅仅是 Web 方式,还应考虑此解决方案是否还可以为其他网上通信提供安全保障,如电子邮件通信。

二、现有的身份认证技术

现有的在线身份认证技术依赖许多因素,但主要可以归纳为三大类:

(1) 根据你所知道的信息来证明你的身份 (what you know ,你知道什么 ) ,假设某些信息只有你本人知道,如暗号、密码等,通过询问这个信息就可以确认你的身份;

(2) 根据你所拥有的东西来证明你的身份 (what you have ,你有什么 ) ,假设某一个东西只有你本人拥有,如 IC 卡、 USB Key 、单位数字证书等,通过出示这个东西也可以确认你的身份;

(3)直接根据你独一无二的身体特征来证明你的身份 (who you are ,你是谁 ) ,比如指纹、面貌等。

单因素认证方式 ( 如密码 ) 只是简单地依赖一个因素:你知道什么。而当你到 ATM 柜员机上取钱时就是使用双因素认证,即:你知道什么 ( 密码 ) 和你有什么 ( 银行卡 ) 。其他双因素认证则注重于你是谁,如生物特征解决方案:指纹扫描识别和声音识别等。然而,实施生物特征解决方案费用高,也不容易管理和大范围的使用,而且还较高的错误识别率。

由于“你有什么”和“你是谁”不适宜在网上实施,所以一些网上应用服务提供商试图让用户知道许多个什么,如多重密码、循环密码等,这些也许比单一密码要安全些,但其实并没有增加多少安全。而且,密码越多,用户越记不住,网上应用服务提供商就要花费更多投入来为用户重设密码,也给用户带来了使用上的不便。

有些网上应用服务提供商已经使用了动态时间令牌,可以动态产生一组数字作为登录密码,但费用太贵,实施成本实在太高,而且容易丢失、转借、硬件显示不清、时间不能同步和电池没电等问题,更重要的是,动态密码登录后如果服务器不部署 SSL 证书,则用户登录后查询的机密信息仍然非常容易被非法窃听。多重密码方式相对来讲费用最低,但并不比单一密码安全许多,而询问用户这些问题只适合于填写开户申请表格,而不是用于身份认证,因为这些常用的问题并不仅仅用户一个人知道。

实际上,“你有什么”并不意味着一定要物理上“你有什么”,你可以拥有虚拟物品,那就是存储在你的电脑、智能 IC 卡和 USB Key 中的客户端单位数字证书。客户端数字证书是基于 PKI 公钥基础设施的加密技术的最理想的双因素认证方式,它可以以电子方式发送给用户来提供强身份认证,能保护用户数据的完整性和提供对用户透明登录方式而不会对用户造成任何不便。它可以直接存储在用户电脑上,或为了方便携带,可以存放在智能 IC 卡或 USB Key 上。

三、正确选择用户强身份认证技术

既然简单的用户名 / 密码方式不安全,那为何大家又都普遍使用此方式呢?答案很简单:对用户和网上应用服务提供商来讲都非常方便。用户名 / 密码容易记住,非常容易和快速登录帐户,而且对网上应用服务提供商来讲还是成本最低的解决方案。用户当然希望有一种非常方便的方式来访问自己的帐户,而网上应用服务提供商当然是希望此方式的操作成本最低。

正是由于用户名 / 密码方式使用非常方便而受到用户的青睐,但也同时吸引了犯罪分子。密码方式安全性最低,因为用户往往会把密码记在本子上,而且是多个网站使用同一个密码。用户在输入密码时非常有可能被旁人观察到,也非常容易被猜到,也极有可能被间谍软件窃获。网上各种应用使用简单的用户名 / 密码方式是方便了用户但牺牲了安全,这就需要网上应用服务提供商和用户在方便和安全两个方面做出一个平衡的选择。

那么,哪种身份认证方式是最容易实施的和最可靠的呢?可以看出,有许多技术可以提供比用户名 / 密码方式更强的用户认证,如:多重口令、秘密问题回答、动态时间令牌、一次性口令、生物特征和客户端数字证书 ( 可以直接安装到用户电脑中或智能 IC 卡、 USB Key 中 ) 。而根据选择原则,本文认为: 目前唯一的容易部署、低成本、安全的、方便的强身份认证方式只有客户端数字证书,不仅可以提供 Web 方式应用的强身份认证,还能提供非 Web 方式应用的强身份认证和电子邮件通信的机密信息加密和数字签名。

四、使用客户端数字证书实现安全的在线应用

单向认证的 SSL 证书已经在服务器上广泛使用,当安全锁显示在浏览器的下方时,它表明了有一个服务器 SSL 证书正在为用户电脑与服务器之间的通信提供一个加密通道来保护数据传输安全。然而,这忽略了一个最重要的事情:用户端的身份认证 -- 是谁正在使用此安全通道。解决这个问题的最好解决方案是也要求用户端使用数字证书来证明其身份,从而实现服务器端和客户端的双向身份认证。

当用户从 CA 获得客户端数字证书后,用户就拥有了电子化的身份证明用于向服务器证明其真实身份。数字证书在原基于用户名 / 密码认证方式基础上提供了更加安全的强身份认证机制,是最安全的多层身份认证解决方案。为了便于携带,客户端数字证书可以安装到智能 IC 卡或 USB Key 中。

那么,什么是网上应用服务提供商颁发客户端数字证书最经济的解决方案呢?一个集中管理的外包式 PKI 证书管理服务(如: WoSign 超管CA-企业版)是网上应用服务提供商和企业自己颁发客户端数字证书最经济的解决方案,可以大大降低昂贵的内部 PKI 基础设施的投资,减轻网上应用服务提供商和企业的投资负担和管理负担,充分利用现有 CA 完善的 PKI 基础设施来轻松颁发客户端数字证书。更重要的是:由于浏览器和电子邮件客户端软件已经预置了这些可信任的证书颁发机构的根证书,所以当给用户颁发这些 CA 签名的客户端数字证书时,浏览器就不会出现不友好的安全警告,用户也无需另外安装根证书,将大大方便了用户的使用。

把颁发客户端数字证书和 PKI 管理外包给支持所有浏览器的可信任证书颁发机构后,网上应用服务提供商和企业仍然可以完全控制整个证书的生命周期,包括:在线申请、续期和废止。同时,可控制的集中管理的密钥产生、私钥备份和恢复等将提供最大限度地安全和私钥保护。总之,使用客户端数字证书来实现身份双因素身份认证是目前唯一容易部署的、低成本的、安全的、方便的强身份认证方式,而外包 PKI 证书管理服务(如: WoSign 超管CA-企业版)又是网上应用服务提供商和企业颁发客户端数字证书最经济的最快捷的解决方案。