什么是双因素认证
从密码学理论上说,用于身份认证主要有三方面要素:一是需要用户记忆的身份认证内容,例如密码或身份证号码等;二是用户拥有认证硬件,例如USB Key,智能卡(以下简称IC卡),磁卡等;三是用户本身拥有的唯一特征,例如指纹、瞳孔、声音等。单独来看,每个要素独立存在时,都有其脆弱性。而把两种要素结合起来,实现双重要素认证,可以有效提高系统访问控制的安全性,就是双因素认证(two-factor authentication)。
双因素认证是一种适合企业的访问控制策略, 它将访问控制过程中个人身份识别更客观化, 有效地防止来自外部的身份欺诈和来自内部的更隐蔽的网络侵犯。一般的企业都有标识身份的员工IC 卡,可以利用这张卡来实现双因素认证。基于过多增加企业信息化成本的角度出发,以下方案采用的是员工卡IC卡+用户密码来进行安全访问控制。
双因素认证的优势
一个拥有识别和接入管理的战略远景以及具有丰富犟认证实践经验的厂商,能够帮助企业设计犟认证在识别和接入管理框架里所扮演的角色。RSA信息安全公司能够帮助企业很好地解决在识别和接入管理领域的犟认证问题。
RSA拥有尖端的技术,其犟认证解决方案是识别和接入管理战略中不可缺少的一部分。另外,R S A 识别管理解决方案能够帮助全球企业利用在缐识别的功能增犟安全性和可信度,提高员工的工作效率,加犟合作伙伴关系,并减少业务过程的成本。
RSA SecurID 是一种采用时间同步技术的双因素认证系统,它构建于一个用户了解的机制(密码或者PIN 码)和一个现有的系统(认证器);双因素用户认证的RSA SecurID产品家族由令牌、智能卡和软件组成,用于保护宝贵的网络资源并只允许经过认证的用户使用电子邮件系统、互联网服务器、本地网、广域网、网络操作系统及其他资源。这种用户身份的双重保证提高了认证的可靠性,在内部或外部访问使用者获得访问许可之前,安全有效地证实其身份。
双因素用户认证系统能够代替基本的密码安全机制,有效抵御非法入侵,使宝贵的网络资源获得完善的保护,免受意外造成的破坏及恶意入侵。RSA SecurID双因素用户认证产品的操作,如同使用取款卡一样简单方便。用户只需在进入受保护的网络前,先行输入个人识别密码,以及在R S ASecurID认证器上每隔60秒转换一次口令,就能通过认证。由于RSA SecurID 认证器上每隔60 秒转换一次6 位数的无穷尽的无重复口令,无论多么高明的黑客都无法在如此短暂的时间内猜测出如此复杂的口令,这也就是RSA SecurID 双因素用户认证产品之所以如此有效的原因。使用了RSA SecurID双因素认证产品,用户就可以放心地使用口令了。
双因素认证的解决方案
以双因素动态身份认证为例,介绍双因素认证的解决方案。一个双因素动态身份认证的解决方案由三个主要部件组成:一个简单易用的令牌,一个功能犟大的管理服务器以及一个代理软件。
1.令牌。令牌可以使用户在证明自己的身份后获得受保护的资源访问权。令牌会产生一个随机但专用于某个用户的“ 种子值”,一般每60秒该“ 种子值”就会自动更新一次,其数字只有对指定用户在特定的时刻有效。
用户的密码;令牌的随机“ 种子值”,使得用户的电子身份很难被模仿、盗用或破坏。
2.代理软件。代理软件在终端用户和需要受到保护的网络资源中间发挥作用。当一个用户想要访问某个资源时,代理软件会将请求发送到管理服务器用户认证引擎,认证通过后放行。
3.管理服务器。管理服务器将一个性能卓越的认证引擎和集中式管理能力结合在一起。当管理服务器收到一个请求时,它使用与用户令牌一样的算法和种子值来验证正确的令牌码。
双因素认证技术应用于数据库安全
随着计算机技术的飞速发展,常规的使用用户登录ID和密码登录的数据库用户标识和鉴别机制中存在的静态密码的安全隐患越来越引起人们的重视,而双因素认证机制目前被认为是最安全的认证机制,我们可以借用双因素认证机制来完善现行数据库用户的身份标识与鉴别,进而构筑起数据库安全的第一道防缐。目前,可采用的方法是智能卡和用户特征识别。
智能卡( 有源卡、IC卡和Smart卡)作为个人所有物结合用户登录63 和密码可以用来验证个人身份。典型的智能卡主要是由微处理器、存储器、输入输出接口、安全逻辑及运算处理器等组成。在智能卡中引入了认证的概念,认证是智能卡和应用终端之间通过相应的认证过程来相互确认合法性。在卡和接口设备之间只有相互认证之后才能进行数据的读写操作,目的在于防止伪造应用终端和相应的智能卡。
用户特征识别是根据被授权用户的个人特征来进行身份确认的方法,是一种可信度更高的身份验证方法。个人特征识别应用了生物统计学(Biometrics)的研究成果。它利用了个人具有唯一性的生理特征来实现。
个人特征都具有因人而异和随身携带的特点,不会丢失并且难以伪造,非常适合于用户身份验证。目前可被应用的个人生理特征有指纹(fingerprint)、语音声纹( voice-print)、DNA、视网膜、虹膜、脸型、手型等。一些研究者已开始研究给予个人行为方式的身份验证技术。如用户写签名的习惯,敲击键盘的习惯等等。个人特征一般需要多媒体数据存储技术来建立档案,相应的需要基于多媒体数据的压缩、存储、检索等技术作为支撑。