鉴别和认证专业技术.doc

鉴别和认证技术是访问控制的关键技术，对访问控制系统的安全防护水平有着重大影响。涉及到鉴别和认证技术的内容包括：鉴别和认证技术简介基于用户所知的鉴别和认证基于用户所有的鉴别和认证基于用户本身的鉴别和认证鉴别和认证系统的部署一次性登录访问控制列表生物识别访问控制软件1. 鉴别和认证技术简介鉴别和认证是用来防止计算机系统被非授权用户或进程侵入的技术手段，属于第一道防线。由于鉴别和认证是其它大多数访问控制和建立用户职能的基础，所以它被看作计算机安全的关键基础构件。并不是所有的访问控制都需要鉴别和认证过程。例如，访问公众信息系统可能不需要鉴别和认证。访问控制经常需要区分不同的用户。例如，访问控制经常要基于“最小特权原则”，即只给用户完成工作所需的最小访问权限。用户职能要求将特定个人在计算机系统中的活动和他本人联系起来，所以需要对用户进行鉴别。出于对个人审计的需要，审计日志需要建立和个人职能的联系。鉴别通过用户向系统提供自己的身份完成。认证通过确定该身分的真实性完成。认证也用于验证消息或文件未被修改或来源于特定用户。计算机系统基于收到的识别信息识别用户。认证涉及多个步骤：收集认证信息、安全地传输认证信息、确定使用计算机的人就是发送认证信息的人。例如，用户没有退出就离开终端时另一个人可能趁机使用。有三种认证用户身份的方法，这三种方法可以单独使用或联合使用：（1）用户知道的（秘密如：口令、个人识别号（PIN）或密钥），（2）用户拥有的（令牌如：银行卡或智能卡），和（3）用户本身的（生物特征如：语音特征、笔迹特征或指纹）。虽然这些方法都可能提供强认证服务，但每种方法都有自己的局限性。如果有人想冒充别人使用计算机系统，他们有可能猜测或通过其它方式得到的口令；他们也可能偷窃或者伪造令牌。对于合法用户和系统管理员来说，每种方法都有缺点：用户可能忘记口令或丢失令牌，系统管理员可能要经常辨别认证数据和令牌的真实性。生物识别系统具有技术先进和用户容易接受的优点，但价格昂贵是它的问题。2. 基于用户所知的鉴别和认证最常见的鉴别和认证方式是用户识别码（ID）加上口令。这种技术只基于用户所知的秘密。除了传统的口令外还有其它基于知识的技术，如知晓加密密钥。用户识别码和口令通常，口令系统工作时需要用户的识别码及其口令（或口令字或个人身份号）。系统将口令和该用户预存在系统中的口令进行比较。如果口令匹配，用户就被认证并获准访问。有些主机操作系统和很多个人计算机（PC）应用程序把口令做为系统限制访问特定资源的措施。通过输入口令而不是使用诸如访问控制列表之类的机制实现访问控制。使用口令的副作用是降低了整个系统的安全性。口令做为访问控制手段很常用，不过它经常不是最佳和最有效的途径。密钥这种认证虽然是通过基于用户所知的知晓密钥方式实现，但是这种方式也需要用户拥有（或能够接触）能够进行加密计算的设备如PC或智能卡。加密为鉴别和认证提供两种服务：支持认证数据的机密性，支持通过知晓或拥有令牌而不是通过传输数据获得访问权限的协议，这样可以挫败通过重演登录过程获得访问权限的企图。3. 基于用户所有的鉴别和认证联合使用用户所知和用户所有的方式比单独使用两者之一能提供更强的安全性。用户为了鉴别和认证的目的所拥有的物体叫做令牌，令牌包括记忆令牌和智能令牌。记忆令牌记忆令牌存储但不处理信息。对令牌的读写通过专用读写器完成。最常见的记忆令牌是磁卡，磁卡表面封装有磁性薄条（例如在信用卡的背面）。在计算机系统中使用记忆令牌进行认证的常见应用是自动提款机。这个应用结合了了用户拥有的（卡）和相应的用户所知道的（个人身份号）。令牌系统还经常被应用于物理访问控制。记忆令牌系统的优点记忆令牌和个人身份号的联合使用比单用口令要更安全。而且记忆令牌的制造成本比较低。对于黑客和其他冒充者想要假冒别的用户就必须得到正确的令牌和相关个人身份号两件东西。这比只得到正确的口令和用户识别码（用户识别码通常是公开的）要困难得多。令牌的另一个优点是计算机可以自动重复扫描令牌，这样员工无需每次键入用户识别码就可以产生相应的日志记录。当令牌用于出入口控制时，人们只有在取下计算机上的令牌后才能离开，这样可以协助对认证的维护。记忆令牌系统的缺点虽然使用复杂的技术能够破解记忆令牌系统，但它们的问题主要涉及到费用、管理、令牌丢失、用户不满和个人身份号被破解。丢失的令牌会被想要攻击系统的人捡到，或偷窃或伪造。智能令牌智能令牌内部装有集成电路以扩展令牌的功能。用于认证时，智能令牌是基于用户所有的认证的另一个例子。通常，使用智能令牌时还需要用户所知（如个人身份号或口令）用来为智能令牌“解锁”以便使用。有多种智能令牌。智能令牌通常基于物理特性、接口和使用的协议进行分类。这三种分类也不是互相排斥的。物理特性智能令牌可分为两组：智能卡和其它令牌。智能卡看起来象信用卡，只不过里面封装有微处理器。智能卡由国际标准化组织（ISO）定义。不是智能卡的智能令牌可能看起来象计算器、钥匙或其它小的便携设备。接口智能令牌可以有人工接口也可以有电子接口。人工接口令牌有显示窗和（或）小键盘供人和令牌通讯。电子接口智能令牌必须通过专用读写设备读取。智能卡是电子接口的智能令牌，看起来象计算器的智能令牌通常使用人工接口。电子接口有多种类型，有的使用PC插口有的使用外接设备。大多数人工接口包括小键盘和显示窗。协议智能令牌用于认证时有多种协议可供使用。通常可分为三类：静态口令交换、动态口令生成和征询应答。在静态口令交换方案中，静态令牌的作用类似于记忆令牌，不同的是用户在令牌上认证自己，然后通过令牌在计算机上认证用户。在动态口令生成方案中，令牌使用动态口令生成协议产生一个唯一值，例如一个八位数，这个值定期变化（如每隔一分钟）。如果令牌有人工接口，用户只需读取目前数值输入计算机系统即可进行认证。如果是电子接口令牌这种传输会自动进行。如果数值正确登录就会成功，用户获准访问系统。在征询应答方案中，令牌让计算机按照征询应答协议产生一个类似于随机数字串的征询。智能令牌基于此征询产生一个应答。此应答传回计算机，计算机根据应答认证用户。征询应答协议是基于加密的。征询应答令牌可以是电子接口也可以是人工接口。智能令牌的优点智能令牌具备很大的灵活性能够解决许多认证问题。不同类型的智能令牌有不同的优点。通常它们比记忆令牌安全得多。智能令牌能够使用一次性口令解决在开放网络环境中有可能受到电子监控情况下进行安全认证的问题。一次性口令（one-time password）。智能令牌使用动态口令生成协议或征询应答协议产生一次性口令。由于用户每次进行计算机认证时都使用不同的口令所以一次性口令可以解决存在电子监控条件下认证的安全性。（黑客可以通过电子监控获得一次性口令但是却已毫无价值）降低被伪造风险（reduced risk of forgery）。通常，读取智能令牌内容时都要输入个人身份号。再者，这类令牌比较复杂，所以伪造起来比较困难。多应用（multi-application）。像智能卡这样的电子接口智能令牌只要一次登录就能访问多个网络中的多个计算机。再者，一张智能卡可以有多个用途，比如用于物理访问控制或做为记帐卡。智能令牌的缺点类似于记忆令牌，智能令牌的问题同样涉及到费用、系统管理和用户满意度。智能令牌的认证通常发生在卡内故而个人身份号不太容易被破解（当然不排除输入个人身份号时被人偷窥然后被盗走卡片的情况）。由于使用了更加复杂的技术，所以智能令牌比记忆令牌的费用高，尤其是征询应答型的。需要读写器或人工介入。智能令牌可以使用电子和人工接口。电子接口需要读写器而增加了额外的成本。人工介入增加了用户的操作负担。带人工接口的征询应答令牌尤其是这样，因为它需要用户在智能令牌上输入征询并把应答输入计算机。这样会增加用户的不满。附带的管理工作。就像口令和记忆令牌一样，智能令牌也需要严格的管理。对于使用加密技术的令牌还包括密钥管理。4. 基于用户本身的鉴别和认证生物识别认证技术利用各人独一无二的特征（或属性）对人的身份进行识别。这包括生理属性（如指纹、手掌几何形状或视网膜图案）或行为特征（如语音模式和笔迹签署）。这些属性已经被开发应用于计算机登录。生物识别认证通常以如下方式操作：在开始认证前，用户要先通过生成所要求的物理特性的特征文件（或模板）进行注册。所生成的模板和该用户的身份关联存储以备将来使用。进行认证时，对用户的生物属性进行测量。将得到的用户测量特征和先前存储的参照生物特征相比较。比较的结果用于判断接受或拒绝用户的认证请求。生物识别技术复杂、费用高昂，用户接受起来比较困难。但是随着时间的推移技术会越来越稳定，价格也会越来越便宜，使用会越来越方便。生物识别系统可以提升计算机系统的安全性。但是这种技术相对于记忆令牌和智能令牌来说还不太成熟。生物识别技术的缺陷源于测量和抽取生物特征的技术的复杂性和生物属性的自然变化。这些特征在某些情况下会发生变化。例如人的话语特征会因紧张或喉咙病变而发生变化。5. 鉴别和认证系统的部署有关鉴别和认证部署的问题主要涉及到管理、认证维护和一次性登录。管理问题对于所有类型的认证系统来说认证数据的管理都是很关键的。鉴别和认证的管理工作是很繁琐的。鉴别和认证系统需要创建、分配和储存认证数据。对于口令来说，需要创建口令、将它们分配给用户以及维护口令文件。令牌系统涉及到创建和分配令牌个人身份号以及计算机识别合法令牌或个人身份号所需的数据。对于生物识别系统包括产生和储存特性文件。产生和分配认证数据和令牌的管理工作可能是附加的。鉴别数据需要通过增加新用户和删除过期用户来保持数据的最新状态。如果口令或令牌的分配不受控制，系统管理员就有理由怀疑口令和令牌可能落到非法用户手中。所以分配系统必须确保认证数据被分配到应该得到该数据的人那里。另外，鉴别和认证管理工作还应关注口令和令牌的丢失问题。通常系统有必要监控被盗的和共享的帐户的情况。认证数据存储的安全与否关系到数据的机密性、完整性和可用性。如果机密性被攻破，就可能会有人利用这些信息冒充合法用户。如果系统管理员能够读取认证文件，他们就可能冒充其他用户。许多系统使用加密措施来防止系统管理员接触认证数据。完全防止系统管理员冒充用户是不可能的。但是，通过一些控制手段可以把系统管理员的不良行为记载在审计记录中。如果完整性被攻破，就可以添加认证数据或破坏系统。如果可用性被攻破，系统就无法认证用户，用户就可能无法工作。认证维护通过初始认证后，登录中的合法用户帐户也可能被人利用。这是因为当用户登录后，所有从该用户设备（如个人计算机或终端）发出的命令都被视作该用户发出的。很多计算机系统通过用户退出、锁定显示器和会话闲置一定时间后自动退出的方法来解决这个问题。但是这些方法可能会影响用户的工作效率并使用户感到不方便。6. 一次性登录在完成日常工作中，用户可能不得不在许多不同的计算机和网络中登录。通常，每个系统都要求用户输入用户名和口令。因为对大多数用户来说记忆多个口令是困难的，这造成他们不得不将口令记在纸上（经常贴在计算机显示器上）否则就会忘记。用户的另一种做法是在所有的计算机系统中都使用一个相同的口令。但是，不同的系统有不同的口令规则，或口令的有效期不同，这又会造成用户将口令记录在纸上。从提高效率的观点来说，用户希望只要登录一次就可以访问本地和远程系统中的各种应用和数据，即使这些系统要求用户进行认证。这被称为一次性登录。一次性登录这个词汇不太恰当。目前通过一次登录使用户可以访问所有想要访问的计算机系统还不现实。这里所说的一次性登录主要是针对一组系统（一个组织或联盟内）。认证数据库需要使用访问控制手段进行保护。鉴别和认证通常是访问控制的基础。回叫调制解调器和防火墙能够帮助防止黑客的登录企图。如果访问发生在一台计算机内，那么使用当前的访问控制系统（如访问控制列表）就可以实现一次性登录。如果访问发生在多个平台中，那么情况就变得复杂了。一次性登录（SSO）系统应该使多个口令的使用对用户透明。这通过如下多种不同的方式实现：有些一次性登录系统只是创建包含各种用户名和相应口令以及登录命令的脚本。这样减轻了用户的负担但却将维护这些脚本的负担传给了管理人员。这种脚本通常要求安全存放，因为滥用这些脚本将导致该用户在所有系统中的权限被非法利用。另外的一次性登录如那些基于Kerberos使用了加密技术将用户的权限传送到用户需要访问的每个网络或服务器。这些系统需要建立和使用权限服务器，也要求将一次性登录技术整合到需要访问的每一个系统中。在多计算机环境中实现一次性登录主要有三种技术：主机对主机的认证、认证服务器组和用户对主机的认证。主机对主机的认证使用主机对主机的认证方式，用户只需对一台主机认证自己的身份。这台计算机会对其它主机认证自己的身份并担保该用户。主机对主机的认证可以通过传输识别符、口令或通过征询应答机制或其它一次性口令的方案实现。这种方式需要计算机实现互相识别和互相信任。认证服务器组当使用认证服务器组时，用户会一台特定的计算机主机（认证服务器）认证自己的身份。这台计算机对其它用户想要访问的计算机认证用户的身份。使用这种方式需要其它计算机信任认证服务器（认证服务器无需是一台独立的计算机，但是多数情况下这样做是比较有效和安全的）。如果需要，认证服务器可以在地理上或逻辑上分布使用以减少网络负荷。用户对主机的认证用户对主机的认证方式要求用户登录每一台计算机主机。但是，包含所有认证数据的智能令牌（如智能卡）可以完成这项任务。对于用户来说就像只有一次认证。一次性登录和单点故障单点故障是因为风险集中于一个位置或一个人而导致的安全风险。单点故障的例子包括一次性登录、防火墙、系统管理员和拨号网络电话。如果一次性登录系统无法工作或防火墙失效都会造成整个系统被攻破。如果系统管理员无法工作又没有后备人员，客户服务就会受到限制。如果拨号网络电话无法工作，呼叫请求就无法传入。为了将单点故障的损失和破坏降到最低限度需要补偿型控制、预备的设施、备用规程（fallback procedure）和（或）冗余特性。在一次性登录中安全和便捷需要进行平衡妥协7. 访问控制列表访问控制列表（ACLs）是（1）被允许使用特定系统资源的用户和（2）其被允许访问的类型的登记表。有两种ACLs：基本的和高级的。基本ACLs（如“权限位”）是为多用户系统提供访问控制的最常用方法。在这种方案中，使用一个比较短的事先设定好的关于文件或其它系统资源的访问权限列表。类似于基本ACLs，高级ACLs也是提供基于逻辑登记表的访问控制方法，只是提供了更精细的访问控制。约束性用户界面常与ACLs联合使用用来限制用户访问某些功能以防止用户非法使用信息、功能或其它系统特定资源。它有三种主要类型：（1）菜单和命令解释器，（2）数据库视图，和（3）物理约束性用户界面。菜单和命令解释器是限制用户访问的一种方式。约束性用户界面可以提供一种与机构中的操作紧密相关的访问控制方式。许多系统允许管理员直接限制用户使用操作系统或应用系统的能力。用户只能执行管理员提供的命令，典型的方法是使用菜单。另一种限制用户的方法是通过限制性的命令解释器限制用户能够启动的命令。菜单和命令解释器的使用常常使系统更容易使用和有助于减少出错。数据库视图是一种限制用户访问数据库中数据的机制。有时用户需要访问数据库，但并不需要访问数据库中的所有数据（例如不需要一条记录的所有字段或不需要数据库中的所有记录）。视图可用于满足数据库应用中经常遇到的复杂的访问需求，如基于字段内容的访问需求。例如，人事部门的职员被安排管理按姓氏拼音排列的某个范围（如A-C）的员工档案。无需允许该职员有权访问所有的员工档案，只要根据姓氏字段第一个字母使用视图允许该用户访问其负责的档案即可。物理约束性用户界面也可以对用户进行限制。一个普通的例子是自动柜员机上的按钮只提供几种选择，而没有常见的键盘。8. 生物识别有三种验证人身份的基本方法：个人所知道的，如口令；个人所拥有的，如钥匙或出入卡；或有关个人本身，如指纹、签名、语音或其它各人特征。个人所知道的内容想获得非法访问权限的人也可能知道，这是第一种方法的缺点。同样，钥匙和卡可能被盗用。通过独一无二的个人特征进行自动的身份验证可以很大地提高安全性。尽管操作结果还不是很精确，使用个人特征进行身份验证已经逐渐开始应用。无法做到很精确的原因在于对人的解剖学和生物学特征的测量存在误差。事实上，用于生物识别的设备需要在拒绝正确的用户（错误类型一）和允许假冒的用户（错误类型二）之间进行折衷调整。由于人们的理解和使用的设备的不同，所以生物识别技术还没有得到广泛的接受。指纹对指纹进行人工比较来进行身份验证是广泛应用于刑侦工作和对特殊文书进行核对的众所周知的技术。指纹的比较主要基于指纹的“节点”，也就是可以由检查者辨别的各种细节，如指纹突起的终结点和分叉点。自动化的指纹匹配技术被发展用来验证个人身份。不用墨水就可以提取指纹图像并将其和参考文件中提取的图像或细节进行比较的仪器也已经开始使用。有两种方法用来进行比较：（1）直接将新获取的影像和文件中的影像进行比较，以及（2）将数字化图像进行处理以提取节点的方向和位置信息并与参考文件中的节点列表进行比较。节点列表可以在个人终端或中心设备上提取。后续的验证过程需要和中心设备有宽带连接；在终端上提取从技术上和经济上都是可行的。提取完节点列表后，有三种方法可以采用。第一是在设备中存储所有合法用户的节点文件以便需要比较时提取特定文件。特定文件由用户所宣称的身份决定。第二是设备从存储有节点文件的受到安全保护的中央计算机那里获得特定的文件，然后在本地进行比较。第三是设备把节点列表传到中央计算机在那里进行比较。在数据传送期间可以使用适当的加密技术以保证安全。第三种方法具有无需在设备中存储参考文件而把参考文件存储在安全场所的优点。指纹识别时间指纹扫描时间用户鉴别时间指纹定位时间重新进行指纹定位的次数越多指纹识别花费的时间也就越多。有时可能需要多次定位手指的位置，或者在识别失败后换另一个手指进行识别。手形人们发现人手的形状（手形）有着很大的个体差异足以用来对人进行辨别区分。现有仪器已经可以对手形也就是手指的长度进行测量，并使用这些信息对人的身份进行验证。进行手形识别需要建立一系列含有丰富信息的特征值，这些特征值通过自动化手段可以在同一个人那里反复得到，而又能在相当多的人群中加以正确区分。有这么一种设备，用户携带一个记录有用户帐号的磁条卡，用户的手指长度也被记录在卡中。卡中的数据被打乱以防被人轻易破解。使用这种设备时，用户将他的卡插入到设备的插槽中并把手放在测量表面上，测量表面上有协助手指定位的浅槽。设备测量手指长度并将得到的数值和卡中解码得到的数值相比较，然后设备输出一个成功或失败的指示信号。设备也可以和一台存储有参考文件的中央计算机相连并在上面进行比较操作。这种情况下，用户可以通过使用电子卡或数字键盘输入他们的识别号。如果设备使用的是远程终端，用户可以先登录到终端，通过终端进行他们的身份认证。在被提示进行身份验证时，用户将手放在手形识别设备上，设备对手指进行测量并把结果传到中央计算机。如果验证通过，用户将被允许使用终端，否则会被拒绝进入网络。适当的传输安全如加密措施将被用于保护传输的数据。当计算机被用于维护参考文件和进行比较操作时，可以对不同的人实行不同的容错标准。对于那些测量参数比较一致的人容错方面可以要求严格，而对于那些测量参数飘忽不定的人容错要求可以宽松一些。使用计算机可以追踪人体测量数据的变化趋势。对于性能良好的系统这种方式运行的不错，但对于性能较差的系统会由于测量误差导致参考文件扭曲造成系统效能低下。更好的识别能力可以通过对双手进行测量来达到。签名动力通过计算机对书写签名过程中产生的电信号进行测量和分析可以做为对人进行身份验证的一种手段。在书写签名过程中物理位移所表现出来的个体差异足以对不同的人进行区分，并将类型一和类型二错误控制在非常合理的范畴中。模仿他人签名的动力移动特征是非常困难的。签名的动力特征信息比静态签名图像中的信息丰富。对书写好的签名进行扫描和与参考复件进行比较的设备很容易被签名复件或精心伪造的签名所欺骗。使用签名动态涉及到随时间变化的移动和力度参数所以难以了解和模仿。对于具体应用所要重点考虑的是需要对于一个给定的输入产生一致的和可重复的输出，而且输出信号要含有足够多的信息以确保设备有足够的分辨率。语音验证计算机是对不同人说话时的微小差别进行分析的有效工具，可以在系统中通过语音进行身份验证。为了建立用于比较的参考数据，在第一次注册时由用户多次重复一组预设的词汇来生成参考文件。用户将这些词汇读入麦克风后，产生的信号被数字化后传送到计算机中。计算机对预设的每一个词汇产生一个参考文件。这样，当用户需要验证身份时，计算机要求其重复这些词汇然后将获得的数据和参考文件进行比较。必须采取措施防止冒名顶替者通过对合法用户的声音进行简单录音和回放来获取访问权限。例如，当用户注册时，由形容词、名词、动词和副词四种词汇组成预设词汇。然后当需要身份验证时，用户被要求重复由这些词汇随机组成的语句。如果需要重复再试，还会产生新的随机语句。使用这种方法可以阻止那些不是很专业的入侵者。在发现成功的入侵后，可以将输入的原声记录下来，对成功的案例进行分析找到内在的原因然后改进算法以防止此类事件的再次发生。也可以对由于年龄等因素引起的语音变化进行跟踪使系统对于变化进行自动适应。当人患有感冒、喉炎这些影响嗓音的疾病时，语音识别就会有困难。9. 访问控制软件当用户的身份被验证通过后，还需要确保用户只能访问被授权访问的资源和数据。对于主机计算机来说，这些功能是由访问控制软件执行的。用户的访问和在线活动会被访问控制软件记录在审计跟踪文件中。访问控制安全系统软件包可以用来保护数据记录、数据集（数据文件）、系统库和计算机程序免遭非法访问和使用。保护的级别有各种各样，有的保护整个数据库，有的保护数据库的一部分如数据记录或数据字段，有的对口令进行保护。评价访问控制安全软件的最重要的标准是确定如果不保护有价值的信息将会遭受多大的损失。访问控制安全软件包的特点和功能安全系统软件有时也叫安全控制软件，包括诸如RACF、ACF2、SECURE、TOP SECRET和用于IBM环境中的GUARDIAN。这些由供应商提供的软件包可以用于阻止、防止、探测非法访问