3.5 移動互聯網中使用的認證技術
隨著信息技術的不斷發展,人類進入移動互聯網時代。由于網絡的虛擬化和業務交易的移動化,在獲取各種網絡資源并進行各項網絡交易的過程中,身份認證變得十分重要。一旦用戶身份被盜取和冒用,將直接影響用戶各項業務交易的安全性以及對網絡資源的獲取。在移動互聯網時代,確保用戶身份安全是移動互聯網業務開展的安全基石。身份認證是普通用戶在訪問各類應用時的必經過程,它決定著各項資源訪問權限的具體分配,也直接影響到權限分配的合法性和合理性。
傳統的身份認證方式顯然已經無法滿足用戶身份認證過程中對安全性、準確性和靈活性等方面的要求。如何應對移動互聯網中涉及的各種各樣的身份識別和認證的問題就成為移動互聯網安全和應用的關鍵。所以,適用于移動互聯網的身份認證技術急需更新升級。
下面對移動互聯網中使用的兩種認證技術做簡要介紹。
3.5.1 WPKI技術
1. WPKI簡介
WPKI即“無線公開密鑰體系”,它是將互聯網電子商務中的公鑰基礎設施(Public Key Infrastructrue,PKI)安全機制引入到無線網絡環境中的一套遵循既定標準的密鑰及證書管理體系。PKI是利用公鑰理論和技術建立的提供信息安全服務的基礎設施,它是國際公認的互聯網電子商務的安全認證機制。WPKI可以對移動網絡環境中使用的公開密鑰和數字證書進行管理,并有效地建立起一個安全和值得信賴的無線網絡環境。
WPKI并不是一個全新的PKI標準,它是傳統的PKI技術應用于無線環境的優化擴展。WPKI采用了優化的ECC橢圓曲線加密算法和壓縮的X. 509數字證書。它同樣采用證書來管理公鑰,通過第三方可信機構——認證中心(CA)來驗證用戶的身份,從而實現信息的安全傳輸。
2. WPKI技術架構
WPKI是PKI技術在無線網絡中的延伸。PKI技術是利用公鑰理論和技術建立的提供信息安全服務的基礎設施,它利用現代密碼學中的公鑰密碼技術在開放的互聯網環境下提供數據加密以及數字簽名服務的統一技術框架。在這一框架中,加密密鑰和解密密鑰不相同,發送方利用接收方的公鑰加密發送信息,接收方利用自己專有的私鑰進行解密。這種方式既保證了信息的機密性,又能保證信息的不可否認性。
與PKI系統相似,WPKI系統也必須具有以下幾部分:PKI客戶端、認證機構(CA)、注冊機構(RA)和數字證書庫以及應用接口等基本組成部分。除PKI客戶端外,其他各部件的作用和功能說明如下。
1)認證機構(CA):認證機構系統是PKI的信任基礎,負責分發和驗證數字證書,規定證書的有效期,發布證書的廢除列表。
2)注冊機構(RA):注冊機構為用戶和認證機構之間提供一個接口,它是認證機構的校驗者,需要在數字證書分發給請求者之前對證書進行驗證。
3)數字證書庫:用于存儲已經簽發的數字證書和公鑰,用戶可以由此獲得所需的其他用戶的證書及公鑰。
4)應用接口:一個完整的WPKI系統必須提供良好的應用接口系統,使各種應用能夠以安全、一致、可信的方式與WPKI進行交換,確保安全網絡環境的完整性和便捷性。
認證機構通常作為數字證書的簽發機構,它是WPKI系統的核心。數字證書,是由認證機構進行數字簽名并發放的,其中包含了公鑰擁有者以及公鑰的相關信息,可以用來證明數字證書持有者的真實身份。它采用公鑰密碼算法,即使用一對相互匹配但又無法互相推導的密鑰對進行加密和解密。
3. WPKI技術的應用
隨著移動互聯網的快速普及,無線通信技術在銀行、商務、貿易等各方面的需求越來越多,無線通信的安全性也顯得日益重要。所以,WPKI技術也逐漸發展起來,它為移動環境下的安全認證和電子支付奠定了基礎。下面將舉例說明WPKI技術的相關應用。
(1)收發電子郵件
由于商業活動信息交換頻繁且實時性較強,商務人士可能需要隨時發送電子郵件來溝通、交換一些秘密的或是有商業價值的信息,因而通過移動終端來收發電子郵件就成為一種便捷、高效的信息交換方式。但是,這同時也引發了對安全問題的顧慮,例如,郵件內容和附件可能在收發雙方毫不知情的情況下被竊取或篡改,而且,發信一方的身份也可能是偽造的,這就會造成相關人員的經濟損失。
在使用加密和簽名技術的安全電子郵件協議的情況下,采用WPKI技術就可以解決這些安全問題。當使用移動終端發送郵件給一位或多位收件人時,發送方會對郵件進行加密和簽名。這樣一來,只有指定的收件人才能在認證機構的服務器上取得公鑰并開啟郵件。即使該郵件被他人截獲,也會因為得不到公鑰而無法閱讀郵件內容。
(2)移動電子商務
在移動電子商務領域,如何實現在線、實時、安全的支付是技術應用的核心。特別是在移動環境下,需要準確地識別用戶的身份、鑒別賬號的真偽,并迅速安全地實現資金的相關操作。由于WPKI技術實現了無線通信環境下的安全認證,使其在移動電子商務領域得到了廣泛的應用。在諸如網上銀行的生活繳費、移動電子支付和網上證券交易等場景中,WPKI技術都得到了普遍的應用,移動用戶可以通過使用個人擁有的數字證書,使信息獲得更有效、更安全的保障。
3.5.2 雙因子認證技術
雙因子認證,又稱為雙因素認證,是一種安全認證方法。在這一認證過程中,需要用戶提供兩種不同的認證因素來證明自己的身份,從而更好地保護用戶證書和可訪問的資源。雙因子認證比基于單因子的驗證方式提供了一種更高級別的保證。在單因子認證中,用戶只需提供一種認證因子,一般是密碼或者口令。雙因子認證不僅需要用戶提供密碼,而且還需要用戶提供第二個因子,通常情況下這一因子可能是一個安全令牌或生物特征標志(如指紋或面部)。
因為僅僅知道密碼還不足以通過認證檢查,雙因子認證通過增加攻擊者訪問用戶設備和在線賬戶的難度來達到為身份認證過程添加額外安全層的目的。
1.身份認證的因素
人們在不同情況下可以使用多種方法進行身份認證。目前,大多數身份認證方法依賴于傳統密碼這樣的認證因素,而雙因子認證添加了持有物因素或特征因素。
認證因素在認證過程中被采用和計算的一般順序如下。
1)認證因素:指用戶所知道的事物,如密碼、PIN碼或其他類型的共享密鑰。
2)持有物因素:指用戶擁有的東西,如身份證、安全令牌、智能手機或其他移動設備。
3)特征因素:指用戶自身固有的特性,如指紋、面部、語音等。
4)未知因素:指認證時所處的位置,可以用特定位置的特定設備來強制限定認證,最常見的方式是跟蹤認證來源的IP地址或來源于移動電話或其他設備的地理信息。
5)時間因素:限制用戶在特定的時間窗口內進行認證登錄,并在該時間段之外限制對系統的訪問。
絕大多數情況下,雙因子認證方法依賴前3個認證因素。雙因子認證是多因子認證的一種形式。一般情況下,凡是需要兩個認證因子才能訪問的系統或服務,就可以使用雙因子認證。而且,使用同一類別的兩個因子并不構成雙因子認證,例如:某系統認證需要提供密碼和共享密鑰,但仍然會被認為是單因子認證,因為密碼和共享密鑰都屬于同一類認證因素。
就單因子認證服務而言,用戶ID和密碼不是最安全的。基于密碼認證的一個問題是需要知識和努力來創建并記住強密碼。密碼需要保護,以避免受到內部威脅。而且,密碼也容易受到外部威脅,如果給予足夠的時間和資源,攻擊者通常可以攻破基于密碼的安全系統。因為成本低、易于實現,密碼仍然是單因子認證的最常見形式之一。
2.移動設備的雙因子認證
目前,移動設備采用的雙因子認證是一種應用了時間同步技術的系統,使用基于時間、事件和密鑰3種因素而產生的一次性密碼來代替傳統的靜態密碼。每個動態密碼卡都有一個唯一的密鑰,該密鑰同時存放在服務器端。每次認證的時候,動態密碼卡與服務器分別根據同樣的密鑰、同樣的隨機參數(時間、事件)與同樣的算法計算出認證的動態密碼,從而確保密碼的一致性,并實現用戶的認證。由于每次認證使用的隨機參數不同,每次產生的動態密碼也會不同。正是因為每次計算時參數的隨機性保證了每次密碼的不可預測性,從而在基本的密碼認證這一環節上保證了系統的安全性。這一認證系統可以消除因為口令欺詐而導致損失的安全隱患,防止人為惡意破壞,解決了由口令泄露導致的入侵問題。
雙因子身份認證,就是只有把“用戶知道的”與“用戶擁有的”這兩個因素組合到一起才能發揮作用的身份認證系統。例如,在銀行ATM機上取款時,使用的銀行卡本質上就是一個雙因子認證機制的實際應用,取款人需要同時持有銀行卡并知道取款密碼才能夠正常辦理各項業務。
目前主流的雙因子認證系統都是基于時間同步的,市場占有率較高的有DKEY雙因子認證系統、RSA雙因子認證系統等,由于DKEY增加了對短信密碼的認證支持,即短信+令牌混合認證,相比于RSA雙因子認證系統要更具競爭力。