您现在的位置是:首页 > IT基础架构 > 网络与安全 >
给身份上把锁 阻截非法侵入
2008-09-09 23:46:00作者:王琨玥来源:
摘要身份认证技术可以用于解决访问者的物理身份和数字身份的一致性问题,给其他安全技术提供权限管理的依据。所以说,身份认证是整个信息安全体系的基础。...
身份认证是一个非常基础的安全部分。随着在线交易或电子商务的发展,它现在变得越来越重要,包括微软在内的很多巨头厂商都开始注重身份认证的利用,比如ThinkPad笔记本电脑的指纹验证就是最好的应用。可以说,身份认证技术能够密切结合企业的业务流程,阻止对重要资源的非法访问。身份认证技术可以用于解决访问者的物理身份和数字身份的一致性问题,给其他安全技术提供权限管理的依据。所以说,身份认证是整个信息安全体系的基础。
身份认证问清你是谁
身份认证不仅仅定义用户是谁;它把“谁”与“什么”直接联系在一起。用户在组织中的角色是什么,用户需要访问什么资源和信息,以及他/她能够对信息做什么操作,不能做什么操作……身份认证是一张全景图,它使整体策略和流程全面而一致地应用于整个企业中。
通过强化每个用户的访问与授权信息,身份认证解决方案可以让网络状态及时更新。身份认证解决方案使新员工能够迅速访问网络,同时在前任员工有机会入侵之前清理掉其留下的无用账户;能够提供审核信息,以确保企业对管理法规条例的遵守;能够保护隐私和加强访问控制。但最重要的是,基于身份认证的网络管理使安全脱离数据中心,并与企业的需求相符。
中国国际财务公司的运营总监梁俊认为:“身份认证标准化有利于创建更为直接的基于角色和基于策略的安全控制。通过准确定义用户身份和用户在网络中以及跨网络的角色和职责,数据可以被更好地保护起来,以避免不正当的使用。”
中信银行的网管中心主任寇建中认为:“访问控制需要同时适用于内部用户和外部用户的身份认证。要通过允许客户访问公司数据库的特定部分,可对外部用户进行访问控制。而策略的部署能够加强对隐私的保护,使敏感数据只对需要的人开放。对于那些数据访问已经规范化的领域(如银行业)来说,这一点显然很重要;事实上当今的任何行业都不敢对隐私保护掉以轻心。”
如何通过技术手段保证物理身份与数字身份相对应呢?在真实世界中,验证一个人的身份主要通过三种方式:一是根据你所知道的信息来证明身份,假设某些信息只有某人知道,比如暗号等,通过询问这个信息就可以确认此人的身份;二是根据你所拥有的物品来证明身份,假设某一物品只有某人才有,比如印章等,通过出示该物品也可以确认个人的身份;三是直接根据你独一无二的身体特征来证明身份,比如指纹、虹膜等。而从信息化发展的进程来看,指纹、虹膜这样的生物认证技术将是未来的潮流。
目前,口令保护依然是主流的访问认证方式。90%以上的美国公司报告称口令是他们基本的访问控制手段。尽管市场上出现了多种强大的验证访问控制产品,但是这一数字多年以来变化都不大。尽管口令存在易攻击性、用户失效以及管理成本等诸多问题,但为什么仍然在业内拥有如此巨大的优势?究其根本,是因为口令已经植根于我们的社会和公司文化之中——弃用基于口令的系统需要对我们的社会理念和公司基础结构做出巨大改变。密码自1963年启用以来,凭借其三大优势得到了广泛的应用:免费使用、简单易用以及足够的安全程度。40年后,密码到处都是,它成了最普遍的安全方式。然而,密码最初的三大优势,如今已经看不到了。
虽然密码简单易用,但是,任何数字超过三到四个组合时就会变得让人生厌。在公司里,用户可能需要进入15~20个不同的应用才能完成他们的工作,在这样的条件下,密码认证不仅成了一种低级的认证方式,而且还会影响员工的工作效率。另外,对于那些不常用的应用程序,密码很容易被忘记,从而造成时间的浪费。密码保护很容易被破坏。面对如此多的密码,许多用户为了图方便而忽视了安全性。他们往往选择很容易被猜中的密码,而且在多个帐户上使用同一个密码,甚至把密码放在容易被复制或盗取的地方。所有这些不良习惯,都可能造成在线密码的失窃。
寇建中谈到:“目前的口令密码方式已经是身份认证的最低端应用,已经不能满足企业的需求。企业在寻求更简便,更有效的身份认证形式。目前银行系统很多都采用USB KEY的方式进行认证,即不用记住繁多的口令,也不会因为怕忘记密码而把密码记在纸上,造成泄漏。”
单点登录强化身份认证
为了解决与口令相关的现实问题,在过去几年中已经出现了多种不同的访问控制产品,已经通过其它的、更为强大的验证机制代替了传统的口令。例如动态(一次性使用)口令、数字证书、生理特征验证以及cookies。除了增强安全性以外,这些产品的另一个目标是实现单点登录解决方案,根据这种解决方案用户在通话过程中仅需要进行一次身份验证。不过对这些单点登录解决方案的接受程度仍不普遍,因为这些解决方案仍未完全解决多种不同的缺陷。这些缺陷是口令仍然在广泛使用的主要原因。
于是,人们开始考虑用单点登录技术(Single Sign-On,SSO)以及集成智能卡和USB令牌技术来提供最为广泛的应用范围,同时减少了基于口令的访问控制所带来的管理负担、成本及用户烦恼。提供所有这些优点的同时可以加强安全性并提高用户的生产效率。
对于那些密码保护不能提供足够价值的应用来讲,强认证是唯一的最佳选择。因为,强认证不仅可以增强安全性,而且还可提高用户的方便性,并减少架构成本。那么,强认证和密码认证到底有什么区别呢?从安全的趋势来看,关键的区别在于用户进入受保护资源之前,必须提供足够强的识别信息。这些信息是由多种识别和因素组成的。一个用户提供的因素越多,应用的安全性就越高。
利用单个识别向用户提供进入受保护资源的认证,强认证解决方案可以用在多个应用上。当企业把强认证应用到大量增长的资源和用户上时,最初的基础投资和持续的管理成本将被分摊到更大的资源基础上,这样投资回报率就会大大增加。逐渐地,强认证解决方案正在与Web接入管理相组合,为多个应用提供单点接入(SSO)功能。这允许用户无缝浏览应用程序和域,以及减少需要记忆的密字数量。强认证解决方案能够集成一系列认证方式,包括一次性认证代码、数字证书、PIN码、密码以及生物识别器。这些不同的因素能够组合在一起,满足一系列的安全要求。
单点登录技术中的智能卡目前已经是一种成熟的技术,该技术为增强和简化安全解决方案提供了新的巨大机会。由于用户熟悉并且接受它,(可以是信用卡大小的卡或是一个USB令牌)、其处理能力和存储能力及数字证书安全保护机制,智能卡技术正在成为访问在线服务及应用程序提供安全认证保护的首选方法。
智能卡(及与之相同的USB令牌)是一种用于存储个人信息的硬件设备。除非智能卡的所有者通过口令或PIN码登录该卡,否则存储在智能卡的信息无法被访问,这与用户输入一个PIN码来使用ATM卡的方法十分相似。智能卡启用了双因素认证功能:您拥有的东西(智能卡)和您知道的东西(口令)。双因素安全性能对于智能卡的加密功能和个人信息的访问进行控制。智能卡在PKI及VPN体系中为私钥和证书提供安全存储的载体。对于那些需要对企业网络进行安全远程访问的企业而言,加密智能卡是对VPN解决方案的完美补充。除此之外,智能卡还具有许多附加功能可提供更为强大且更为简单的安全解决方案,同时向用户提供更多的增值和收益。
在启用了SSO的环境中,每个用户的身份认证定义了他能在网络上做什么。因此,用户只需登录一次,就可以得到对网络中所有应用程序和数据的相应访问权限。实际应用中,虽然用户毫不例外地都喜欢SSO的“魔力”,但一些IT管理员担心,一次登录就能够访问多个应用程序会使攻击者对网络的破坏范围更大。事实并非如此,当用户不得不维护多个用户名和口令时,他们更倾向于选择一些容易被猜出的密码,安全性很容易受到威胁。如果是由IT部门来指定不易猜测的密码,用户又会把登录信息写下来放在不安全的地方,例如贴粘在显示器上。
身份认证管理系统量身做
对企业来说,重要的是找到适合其独特需求的身份认证管理系统,而不是改动自身的业务实践来生硬地套用某个解决方案。客户可能会问:我应该买什么样的身份认证管理系统,一个周末就可以安装好吗?其实身份认证管理并非简单地安装即可,也不是即插即用的产品,而是要有战略计划。在开始比较产品之前,要识别出目前无法妥善解决的问题,并对希望产品完成哪些工作心里有数。”
没有哪一种解决方案能够普遍适用于任何组织,而且成功的身份认证应用开始时规模会比较小。企业不要期望立刻就能从基于身份认证的网络管理中获得回报,和任何大型IT项目一样,要真正做到为业务服务则需要磨合的时间。这可能需要几个月时间来为它搭建起工作的架构,还需要另外几个月时间来让头几个部分正常运转起来,系统部署2~3个月后,才可能开始看到它的价值,完全认识其价值则需要6个月时间。所以整个周期将长达1年甚至更长。然而,如果企业的目标是使网络更安全和更适合未来发展,那么花在应用身份认证上的时间无疑是值得的。
盛大网络曾携手第一理财、中商网、中国票务中心、核新软件、金银岛、当当网六家企业,共同打造网络生活的全新身份认证平台,提高网上安全级别身份认证。出品了具有自主知识产权的盛大密宝,主要用于提高网络身份认证的安全级别,进一步保障帐号和交易安全。盛大密宝采用了基于时间同步的双因素动态密码认证技术,每分钟会产生一个绝不重复、无规律、且不可第2次使用的6位或8位数字密码。用户的帐号一旦绑定了“盛大密宝”,即实现了双因素认证。用户登陆时需在原帐号密码(又称静态密码)输入的基础上再输入密宝当时所显示的动态密码,其不可预知的特性使得盗号者风险加大,从而提高了帐号的安全性。
在机器之间进行身份认证数据的交换,将有助于跨组织间的安全交易。但信任机制真的可以自动化吗?无论你原来将钱存在什么地方,在世界上任何地方的ATM机上插入银行卡,敲入密码,几分钟内便可取出当地的货币。撇开手续费不考虑,这个交易是无缝透明的,与你在家乡取钱没什么两样。这就是同盟系统。通过使用简单的身份验证,加盟银行基于相互的信任来提供资金,彼此独立的各家银行在同盟网络里可以共享业务处理的交易流。如今,IT主要供应商和他们的客户都认为,同样的模型也可以用于供应商、合作伙伴和消费者之间的集成网络系统。随着开放的同盟化身份认证标准日渐成熟,IT 业界将能够成功部署复杂并安全的访问控制。
广东电信是应用单点登录的很好范例。由于业务运营的需要,广东电信企业内部的用户需要同时访问多个业务系统,并时常浏览企业内部网中的相关信息资源。在实施企业门户系统之前,由于用户在访问不同系统时需要分别独立启动不同的应用程序,因而获得的信息较为零散;同时,用户需要在各系统间频繁地切换,操作较复杂,无法快速地获得相关业务信息并加以分析利用;此外,用户在进行业务操作时,需要分别登录到不同的应用系统中,由于系统较多,用户账号或密码遗忘现象时有发生; 而在安全性和系统管理方面,广东电信需要大量的IT技术管理人员,分别管理和维护不同系统(如:ERP、统计分析、OA等)的用户信息。
针对这种状况,广东电信希望通过实施建立一个企业级的门户,为企业用户提供统一的信息资源访问入口,建立统一的、基于角色的和个性化的信息访问、集成平台;通过实施单点登录功能,使用户只需一次登录就可以根据相关的规则去访问不同的应用系统,提高IT系统的易用性;并且在此基础上进一步实现企业用户协同和知识管理功能。
采用单点登录方案后,当用户登录时,通过SSL协议进行认证。在建立SSL握手通信时,用户将其数字证书提交给门户Web服务器,门户Web服务器对客户端的身份进行认证,并由统一的LDAP中的CA认证中心向该用户发出证书。同时,门户服务器将客户端的证书同门户用户进行映射。广东电信用户认为:单点登录系统可以提供基于角色和Web的内、外统一的用户界面,使企业员工随时随地获取自己所需要的信息。
当然,目前最先进的身份认证还要数生物识别技术。中国从事生物特征识别技术产品开发的厂家多达200多家,但产品趋同化现象严重,超过40%的产品都用于低端的考勤、门禁上。在技术方面,多数企业的硬件设备还只是源于国外的几个硬件供应商。尤其在虹膜识别这一细化领域内,由于虹膜识别技术研究难度大,能够进入者更在少数。中国是除美国外,目前世界上第二个拥有此项技术的国家。
(本文不涉密)
责任编辑:
下一篇:等级保护瞄向内网安全