分析互联网行业的身份认证技术

leo9127

引言：本文结合笔者的学习和工作经验，针对互联网行业的特点，尝试从多个角度分析互联网行业的身份认证方面的安全技术，并分析和比较了几种目前主流的认证技术。本文尽量使用平实的语言，不会使用过多的专业术语。

一）互联网行业需要什么样的身份认证技术？
互联网行业需要什么样的身份认证技术呢？在回答这个问题之前，我们首先得分析一下互联网行业的特点。综合来看，互联网行业有如下几个特点：
        用户量巨大。互联网的用户是以千万计的，在这种环境下，如果完全照搬传统行业的安全准则，则很难满足用户的需求。实际上，在互联网行业，最好用的方式是“自助”，大家可以设想一下“帐号注册”、“帐号密码修改”等常见概念，如果这些都用管理员分配的方式，其成本和复杂程度是难以想象的。
        应用服务众多。互联网发展到现在，各种应用服务已经是十分丰富了，每个网站都在试图聚拢自己的用户群，于是我们就有了不计其数的“帐号”和“密码”。读这篇文章的读者现在可以用心数一下，自己在网上有多少个帐号？这些帐号有多少是密码重复的？
        各种应用对于安全性的需求各有不同。各种服务由于重要性不同，自然对于安全性的要求就不同。如果我的一个经常浏览的论坛的帐号丢失了，最多我会郁闷几天，再注册一个就好了，但是如果我的一个网上银行的帐号丢失了，则有可能会损失真金白银。
        互联网的网络环境复杂。互联网的最大优点是开放，最大缺点也是开放。互联网上的威胁是无处不在的，各种木马病毒在互联网上到处传播，特别是木马，具有很高的隐蔽性，很难防范。用户经常是访问了一个网站之后就莫名其妙的丢失了很多帐号，其实通常都是由于木马的原因。真是成也萧何，败也萧何。

二）目前互联网行业主流的几种身份认证安全技术
目前常见的身份认证安全技术有：
        PKI技术。PKI技术是基于公私钥密码体系的一种身份认证技术，通过为每一个用户分配一个私钥和一个公钥证书，实现安全的身份认证和数据加密功能。PKI技术经过很多年的沉淀，已经十分成熟，目前在网上银行领域应用的很广泛，举个简单的例子，现在所有网上银行的网站都是HTTPS协议的，而不是普通的HTTP协议。这个后面的S代表安全，实际上就是采用PKI技术作为支撑的。
        动态口令技术。在传统的静态口令的技术上进行调整，把用户记忆的口令变成用户持有的设备生成的口令，并且不断变化。这样可以有效的避免由于病毒木马等恶意程序引发的密码丢失问题，因为口令是一次性的，用过之后即使被窃取也没有用了。
        矩阵卡技术。这种技术可以说是动态口令技术的一种简化，其基本原理是在一张卡片上预先印刷好一些随机的数字，用户在每次登录时，系统会随机的要求用户输入卡片上的部分数字，而不是全部。这样，就达到了用户这次和下次登录输入的密码内容不一样的效果。
        一次性密码卡技术。这种技术可以说是最完美的技术也最难实际应用的技术。卡上预先印刷好一些随机的数字密码，用户登录时拿出一个来使用，使用过一次这个密码就作废，下次登录就必须使用另外一个，等到一张卡上全部的密码都使用完了，就再去换一张卡。这种方式在实际使用中最大的问题就是麻烦，用户需要经常去换卡，虽然这种方式安全性很好，符合密码学里“一次一密”的思想。

三）未来的方向。
比较目前各种流行的身份认证技术，都各有优点和缺点：PKI技术成熟，但受到成本和易用性的制约，很难成为大众化的方案；矩阵卡技术只是一种简化的过渡性产品，基本不予考虑；一次性密码卡技术虽然十分完美，但是几乎一、两个月就更换一张卡，比较麻烦；动态口令技术实现方便，唯一的不足就是得随身携带一个特定的硬件设备。

笔者认为，未来的方向应该是具有易用、低成本和便携性的手机软件动态口令的方式。我们不妨看看现在国内有多少部手机，GPRS网络的资费也一再下调，再加上未来的3G，不难看出，手机软件动态口令技术是一个未来发展的方向。虽不能说是最完美的解决方案，但却是最有可能大规模普及的下一代互联网身份认证技术之一。

作者介绍：pacer目前致力于身份认证技术的研究，特别是动态密码技术，如果你对动态密码技术感兴趣，可以加入QQ群：30130716，或是访问http://www.passpod.org/
文章来源：http://www.passpod.com

teczm

动态口令厂商AD帖---鉴定完毕。

西门飞

同意楼上意见！

批准 删除 ！

lscz

前面写的很对啊

langue

可能有人看不明白。我解释一下：批评别人就是为了推广自己。别人真的就那么坏，自己却那么好吗？

leo9127

难道文章上说得不对吗?

teczm

原帖由 leo9127 于 2006-9-13 23:34 发表
难道文章上说得不对吗?

手机丢失==银行密码丢失  
手机和自然人不存在必然联系，拥有手机者不一定是账户所有者
密码输入中仍然存在偷窥可能
密码传输中不能满足完整性要求，除非附加非对称密钥技术验证签名(如果附加不如直接用证书，哈哈)
信息传输中不能满足完整性要求，同上
增加手机制造成本
限定手机持有者仅可用某厂商加密技术，造成垄断，妨碍技术竞争，侵害消费者自主选择权

ps:给各身份认证厂商提个醒，与其在客户端媒介上动脑子，不如扩大认证代理范围、提高认证代理兼容性和稳定性。:em11:

leo9127

原帖由 teczm 于 2006-9-14 09:34 发表

手机丢失==银行密码丢失  
手机和自然人不存在必然联系，拥有手机者不一定是账户所有者
密码输入中仍然存在偷窥可能
密码传输中不能满足完整性要求，除非附加非对称密钥技术验证签名(如果附加不如直接用证书 ...

   手机丢失 （对方只能生成动态密码却不见得会知道你的帐号，对象得到你的手机并不见得知道你的绑定另外还有挂失的功能，如果手机丢失并且得到手机者能够进入你的帐号，一定是对你很熟悉的人）
  密码输入中仍然存在偷窥可能（偷窥并没有用，密码每分钟都在变化并且是不可以重复使用的）
  密码传输中不能满足完整性要求（也许可以在数据传输阶段取得你的密码并且给服务器发送一个虚假密码，并且用这个取得的密码在限定的时间内登陆服务器，过了时间这个密码就没有用了，Passpod也支持SSL可以保证在传输阶段对数据的加密）
   并且该程序并不是绑定在手机中，是依据用户的需要下载，如果用户不愿意使用手机版的完全可以购买一个密宝令牌！
  无可否认，动态密码不能100%的保证你帐号的安全，但与传统的静态密码相比却是有无可比拟的优势的，
微软与RSA安全公司已经开始联合测试新的身份认证技术，该技术采用SecurID令牌系统，通过一次性动态密码取代传统的Windows密码保护系统。
     我认为当一种新的认证技术出现的时候并不是盲目的去否定它，而是应该提出更多有实际作用的意见，只有这样技术才能进步。一种在欧美发达国家都在大力研究的技术在国内却少有人问津，甚至很多的IT人员都不了解，这是不是一种可悲呢？

aqiwie

原帖由 langue 于 2006-9-13 18:57 发表
可能有人看不明白。我解释一下：批评别人就是为了推广自己。别人真的就那么坏，自己却那么好吗？

teczm

手机丢失 （对方只能生成动态密码却不见得会知道你的帐号，对象得到你的手机并不见得知道你的绑定另外还有挂失的功能，如果手机丢失并且得到手机者能够进入你的帐号，一定是对你很熟悉的人）---要防的正是熟悉的人。

密码输入中仍然存在偷窥可能（偷窥并没有用，密码每分钟都在变化并且是不可以重复使用的）----会话劫持有用没阿 哈哈

密码传输中不能满足完整性要求（也许可以在数据传输阶段取得你的密码并且给服务器发送一个虚假密码，并且用这个取得的密码在限定的时间内登陆服务器，过了时间这个密码就没有用了，Passpod也支持SSL可以保证在传输阶段对数据的加密）===所以我说么不如用证书

并且该程序并不是绑定在手机中，是依据用户的需要下载，如果用户不愿意使用手机版的完全可以购买一个密宝令牌！-----不是固化的阿 那更危险了 谁知道下载的是不是什么其它东西

无可否认，动态密码不能100%的保证你帐号的安全，但与传统的静态密码相比却是有无可比拟的优势的，
微软与RSA安全公司已经开始联合测试新的身份认证技术，该技术采用SecurID令牌系统，通过一次性动态密码取代传统的Windows密码保护系统。----N年前就有了,至少2003年我已经在用此类的"安全"产品了

我认为当一种新的认证技术出现的时候并不是盲目的去否定它，而是应该提出更多有实际作用的意见，只有这样技术才能进步。一种在欧美发达国家都在大力研究的技术在国内却少有人问津，甚至很多的IT人员都不了解，这是不是一种可悲呢？ -------大佬，是不是新技术大家都清楚的很。

ps:LZ知道为什么国内动态口令厂商在上海的那么多么？

[ 本帖最后由 teczm 于 2006-9-17 17:24 编辑 ]