“身份”属于少数人 登录人身份如何验证
作者:admin 来源:简约科技 发表时间:2015-07-23 浏览量:
对于企业而言,21世纪重要的除了人才恐怕还要加上一点,那就是数据。于是乎,各种安全手段纷纷上马,一是保护企业正常业务,二就是保护企业重要数据。无论防火墙、防病毒、防黑客、防入侵等等,都或多或少地肩负着一些保护数据的责任。
保护数据不仅仅是要让数据正确、长久地存在,更重要的是,要让不该看到数据的人看不到。这方面,就必须依靠身份认证技术来给数据加上一把锁。“门锁”的意义就在于,让该进来的人进来,而挡住不该进入的人。数据存在的价值就是需要被合理访问,而不是把它押在箱子底下不让人问津。所以,建立信息安全体系的目的应该是保证系统中的数据只能被有权限的人访问,未经授权的人则无法访问到数据。如果没有有效的身份认证手段,访问者的身份就很容易被伪造,使得未经授权的人仿冒有权限的人的身份,这样,任何安全防范体系就都形同虚设,所有安全投入就被无情地浪费了。就好像人们建造了一座非常结实的房子,安装了非常坚固的大门,却没有锁门。
可以说,身份认证技术能够密切结合企业的业务流程,阻止对重要资源的非法访问。身份认证技术可以用于解决访问者的物理身份和数字身份的一致性问题,给其他安全技术提供权限管理的依据。所以说,身份认证是整个信息安全体系的基础。
身份如何验证
如何通过技术手段保证物理身份与数字身份相对应呢?在真实世界中,验证一个人的身份主要通过三种方式:一是根据你所知道的信息来证明身份,假设某些信息只有某人知道,比如暗号等,通过询问这个信息就可以确认此人的身份;二是根据你所拥有的物品来证明身份,假设某一物品只有某人才有,比如印章等,通过出示该物品也可以确认个人的身份;三是直接根据你独一无二的身体特征来证明身份,比如指纹、虹膜等。这三种方式中,恐怕只有指纹的安全系数是比较高的,其他方式都容易被他人仿冒。不过应用指纹识别的企业可谓凤毛麟角,或者并没有用到保护数据上。
更简单、更有效的身份认证可以使用身份认证安全产品来实现。而身份认证技术又可以分为软件认证和硬件认证。从认证需要验证的条件来看,身份认证技术还可以分为单因子认证和双因子认证。单因子认证是仅通过一个条件来验证一个人的身份。由于只使用一种条件判断用户的身份,单因子认证很容易被仿冒。双因子认证通过组合两种不同条件(如通过密码和芯片组合)来证明一个人的身份,安全性有了明显提高。从认证信息来看,身份认证技术还可以分为静态认证和动态认证。现在计算机及网络系统中常用的身份认证方式主要有以下几种
用户名/密码方式 这是简单也是较常用的身份认证方法。每个用户的密码是由用户自己设定的,只有自己才知道。只要能够正确输入密码,计算机就认为操作者是合法用户。实际上,由于许多用户为了防止忘记密码,经常采用诸如生日、电话号码等容易被猜测的字符串作为密码,或者把密码抄在纸上放在一个自认为安全的地方,这样很容易造成密码泄漏。即使能保证用户密码不被泄漏,由于密码是静态的数据,在验证过程中需要在计算机内存中和网络中传输,而每次验证使用的验证信息都是相同的,很容易被驻留在计算机内存中的木马程序或网络中的监听设备截获。因此用户名/密码方式在保密要求稍高一些的地方已经被认为是一种极不安全的身份认证方式。
IC卡认证 IC卡是一种内置集成电路的芯片,芯片中存有与用户身份相关的数据, IC卡由专门的厂商通过专门的设备生产,是不可复制的硬件。IC卡由合法用户随身携带,登录时必须将IC卡插入专用的读卡器读取其中的信息,以验证用户的身份。然而由于每次从IC卡中读取的数据是静态的,通过内存扫描或网络监听等技术还是很容易截取到用户的身份验证信息,因此还是存在安全隐患。
动态口令 动态口令技术是一种让用户密码按照时间或使用次数不断变化、每个密码只能使用一次的技术。它采用一种叫作动态令牌的专用硬件,内置电源、密码生成芯片和显示屏,密码生成芯片运行专门的密码算法,根据当前时间或使用次数生成当前密码并显示在显示屏上。认证服务器采用相同的算法计算当前的有效密码。用户使用时只需要将动态令牌上显示的当前密码输入客户端计算机,即可实现身份认证。由于每次使用的密码必须由动态令牌来产生,只有合法用户才持有该硬件,所以只要通过密码验证就可以认为该用户的身份是可靠的。而用户每次使用的密码都不相同,即使黑客截获了一次密码,也无法利用这个密码来仿冒合法用户的身份。动态口令技术采用一次一密的方法,有效保证了用户身份的安全性。但是如果客户端与服务器端的时间或次数不能保持良好的同步,就可能发生合法用户无法登录的问题。并且用户每次登录时需要通过键盘输入一长串无规律的密码,一旦输错就要重新操作,使用起来非常不方便。
生物特征认证 生物特征认证是指采用每个人独一无二的生物特征来验证用户身份的技术。常见的有指纹识别、虹膜识别等。从理论上说,生物特征认证是可靠的身份认证方式,因为它直接使用人的物理特征来表示每一个人的数字身份,不同的人具有不同的生物特征,因此几乎不可能被仿冒。生物特征认证基于生物特征识别技术,受到该技术成熟度的影响,采用生物特征的认证技术具有较大的局限性。首先,生物特征识别的准确性和稳定性还有待提高,特别是如果用户身体受到伤病的影响,往往导致无法正常识别,造成合法用户无法登陆。其次,由于研发投入较大和产量较小等原因,生物特征认证系统的成本非常高,目前只适合于一些安全性要求非常高的场合,如银行、部队等使用,目前还无法做到大面积推广。
USB Key认证 就像用钥匙开启门锁一样,基于USB Key的身份认证方式是一种方便、安全的开启电脑的方式。它采用软硬件相结合、一次一密的强双因子认证模式,很好地解决了安全性与易用性之间的矛盾。USB Key是一种USB接口的硬件设备,它内置单片机或智能卡芯片,可以存储用户的密钥或数字证书,利用USB Key内置的密码算法实现对用户身份的认证。USB Key具有安全可靠,便于携带、使用方便、成本低廉的优点,加上PKI体系完善的数据保护机制,使用USB Key存储数字证书的认证方式已经成为目前主要的认证模式。
身份管理更上层楼
如果企业采用了先进的身份认证技术,而没有对其进行有效管理的话,身份认证技术的效果就会大打折扣。据预测,到2015年,身份管理软件的全球收入将达到100亿美元,年复合增长率将达到9.7%。又据Gartner报告显示,一个1万人的企业若导入一套完整身份管理方案,可以在三年内获得高达300%的投资回报率,节省将近350万美元的企业成本;此外,Giga Information Group也指出身份管理对于IT部们的工作效率、成本、帐号控管、权限设定等有很大的改善。而Price water house公司也表示目前会计公司的身份管理软体每年都以2倍的速度在增长。这一些都表明,身份管理方案已渐成趋势。
用户身份管理是在企业、乃至更大范围内管理用户身份的一个过程。它可帮助企业以低成本将恰当的资源提供给用户。它的管理覆盖用户的整个工作流程,包括在不同系统上创建账号、将访问权扩展到外部服务,以及临时暂停访问权限或永久废除账号。有效的用户身份服务能够降低诸如密码保密性能不足之类的安全风险,并较大可能地消除可能影响用户生产力的障碍。另外,用户身份服务还可通过基于角色的账户创建和企业资源访问权限,来实现集中的管理功能和自动化功能。
企业应该按业务对用户分组:员工、客户、供应商、合作伙伴等等。每位用户都有独立的在线“身份”,以便于管理,以减少风险。相比而言,一个用户只有一个身份要比有多个身份管理起来容易许多。企业可以按用户的需求来管理他们的身份,并籍此不断提高客户满意度。在企业内部,用户身份管理工具由IT部门部署,并与人力资源应用程序集成。具体的用户角色都有预定义的访问权限。当员工成为某一“角色”时,他对企业资源的访问权限会按IT部门预定义的权限动态进行更新。这种方法从根本上降低了成本,并有效地实现了企业流程的自动化。在企业外部,当它吸引了一个客户、供应商或合作伙伴时,它一定要确保用户身份的注册和交易过程是直接、顺畅和安全的,这一点至关重要。为了让用户有被重视的感觉,一定要让他们相信,他们所提交的信息将成为高度机密,并且不会出现安全问题。
身份管理系统如何选
对于许多企业来说,对大多数安全产品的选购基本可以做到心中有数了。但是对于身份管理系统来说,并不知道从哪些方面考察指标。下面几个方面是身份管理系统所应该具备的。
目录式基础架构 利用目录,企业可以将员工信息归类到易于访问的分层结构中。身份管理系统需要一个以稳定且可扩展的目录为基础的强大的基础性骨干架构。这种体系结构的优势使目录能够在简单的分布式环境中同步、复制和链接不同信息库的信息。目录能够跨越不同的地理位置提供超强的快速查找功能,这对企业的成功至关重要。
用户验证 我们现在可用生物识别、智能卡和数字许可证证书等方式来验证用户的身份。它们是可信交易的基础。通过这些方式,企业可以在确保其与用户之间的通信保持高度机密的同时,验证用户提交的信息,从而在双方之间建立一定的信任级别。
单点登录和安全访问 单点登录技术可以简化对企业应用程序的访问。它使用户不必再为需要记住多个系统的多个访问密码而烦恼。安装了这一功能后,管理员使用一个界面就可以管理多个系统,从而有助于降低IT部门的管理成本。基于Web的业务提供了不同的系统接入点,让用户能通过因特网、外部网和内部网等多种方式进行连接,轻松实现对多种公司资源的安全访问。
自助式注册和自助式管理 自助式注册和自助式管理通过将相应的管理权交给用户,从而降低了企业成本,提高了用户效率。例如,用户提交了一份基于Web的表格后就可完成关于某一业务的自助式注册,然后立即就可以开始安全交易。这期间只需要很少,或者根本就不需要人工干预。密码重设的成本也非常昂贵,如果用户能够自己重设遗忘的密码,这不仅有利于公司的运营,同时还能减少IT部门的工作量,提高用户工作效率。
帐户移动性 身份管理战略的一个关键要求就是要确保用户账户的移动性,便于移动商务办公。关键是用户移动时,其身份也要移动,且无论用户从何处连接公司网络,他们都要具有相同的访问级别。身份管理基础架构必须具备足够的灵活性,才能满足这一类型用户对移动性的需求。另外,身份管理基础架构还必须具有开放和可扩展的特点,以便支持未来的Web服务和与其他业务环境的集成。
总体而言,身份和访问管理问题通常具有双重性质。一方面要增加安全性,另一方面要降低成本。可以根据企业的具体需求,将天平倾向安全或成本。