生物識(shí)別智能卡公匙三種技術(shù)的有機(jī)整合

文章出處：http://www.xianjuhong.com 作者：   人氣： 發(fā)表時(shí)間：2011年09月13日

   生物識(shí)別、智能卡、公匙基礎(chǔ)設(shè)施(PKI)三種技術(shù)的有機(jī)整合，正可謂是一關(guān)三卡、相得益彰，真正做到使人們?cè)诰W(wǎng)上沖浪時(shí)，不經(jīng)意間，享受便捷的安全。

    1引言

　　隨著互聯(lián)網(wǎng)的不斷發(fā)展，越來(lái)越多的人們開(kāi)始嘗試在線交易。然而病毒、黑客、網(wǎng)絡(luò)釣魚(yú)以及網(wǎng)頁(yè)仿冒詐騙等惡意威脅，給在線交易的安全性帶來(lái)了極大的挑戰(zhàn)。據(jù)調(diào)查機(jī)構(gòu)調(diào)查顯示，去年美國(guó)由于網(wǎng)絡(luò)詐騙事件，使得銀行和消費(fèi)者遭受的直接損失總計(jì)達(dá)24億美元，平均每位受害者付出了約1200美元的代價(jià)。另?yè)?jù)香港明報(bào)消息，香港去年由于網(wǎng)絡(luò)詐騙導(dǎo)致的直接損失達(dá)140萬(wàn)港元。

　　層出不窮的網(wǎng)絡(luò)犯罪，引起了人們對(duì)網(wǎng)絡(luò)身份的信任危機(jī)，如何證明“我是誰(shuí)?”及如何防止身份冒用等問(wèn)題又一次成為人們關(guān)注的焦點(diǎn)。

　　2 主要的身份認(rèn)證技術(shù)分析

　　目前，計(jì)算機(jī)及網(wǎng)絡(luò)系統(tǒng)中常用的身份認(rèn)證方式主要有以下幾種:

　　2.1 用戶(hù)名/密碼方式

　　用戶(hù)名/密碼是最簡(jiǎn)單也是最常用的身份認(rèn)證方法，是基于“what you know”的驗(yàn)證手段。每個(gè)用戶(hù)的密碼是由用戶(hù)自己設(shè)定的，只有用戶(hù)自己才知道。只要能夠正確輸入密碼，計(jì)算機(jī)就認(rèn)為操作者就是合法用戶(hù)。實(shí)際上，由于許多用戶(hù)為了防止忘記密碼，經(jīng)常采用諸如生日、電話號(hào)碼等容易被猜測(cè)的字符串作為密碼，或者把密碼抄在紙上放在一個(gè)自認(rèn)為安全的地方，這樣很容易造成密碼泄漏。即使能保證用戶(hù)密碼不被泄漏，由于密碼是靜態(tài)的數(shù)據(jù)，在驗(yàn)證過(guò)程中需要在計(jì)算機(jī)內(nèi)存中和網(wǎng)絡(luò)中傳輸，而每次驗(yàn)證使用的驗(yàn)證信息都是相同的，很容易被駐留在計(jì)算機(jī)內(nèi)存中的木馬程序或網(wǎng)絡(luò)中的監(jiān)聽(tīng)設(shè)備截獲。因此，從安全性上講，用戶(hù)名/密碼方式一種是極不安全的身份認(rèn)證方式。

　　2.2 智能卡認(rèn)證

　　智能卡是一種內(nèi)置集成電路的芯片，芯片中存有與用戶(hù)身份相關(guān)的數(shù)據(jù)，智能卡由專(zhuān)門(mén)的廠商通過(guò)專(zhuān)門(mén)的設(shè)備生產(chǎn)，是不可復(fù)制的硬件。智能卡由合法用戶(hù)隨身攜帶，登錄時(shí)必須將智能卡插入專(zhuān)用的讀卡器讀取其中的信息，以驗(yàn)證用戶(hù)的身份。智能卡認(rèn)證是基于“what you have”的手段，通過(guò)智能卡硬件不可復(fù)制來(lái)保證用戶(hù)身份不會(huì)被仿冒。然而由于每次從智能卡中讀取的數(shù)據(jù)是靜態(tài)的，通過(guò)內(nèi)存掃描或網(wǎng)絡(luò)監(jiān)聽(tīng)等技術(shù)還是很容易截取到用戶(hù)的身份驗(yàn)證信息，因此還是存在安全隱患。

　　2.3 動(dòng)態(tài)口令

　　動(dòng)態(tài)口令技術(shù)是一種讓用戶(hù)密碼按照時(shí)間或使用次數(shù)不斷變化、每個(gè)密碼只能使用一次的技術(shù)。它采用一種叫作動(dòng)態(tài)令牌的專(zhuān)用硬件，內(nèi)置電源、密碼生成芯片和顯示屏，密碼生成芯片運(yùn)行專(zhuān)門(mén)的密碼算法，根據(jù)當(dāng)前時(shí)間或使用次數(shù)生成當(dāng)前密碼并顯示在顯示屏上。認(rèn)證服務(wù)器采用相同的算法計(jì)算當(dāng)前的有效密碼。用戶(hù)使用時(shí)只需要將動(dòng)態(tài)令牌上顯示的當(dāng)前密碼輸入客戶(hù)端計(jì)算機(jī)，即可實(shí)現(xiàn)身份認(rèn)證。由于每次使用的密碼必須由動(dòng)態(tài)令牌來(lái)產(chǎn)生，只有合法用戶(hù)才持有該硬件，所以只要通過(guò)密碼驗(yàn)證就可以認(rèn)為該用戶(hù)的身份是可靠的。而用戶(hù)每次使用的密碼都不相同，即使黑客截獲了一次密碼，也無(wú)法利用這個(gè)密碼來(lái)仿冒合法用戶(hù)的身份。

　　動(dòng)態(tài)口令技術(shù)采用一次一密的方法，有效保證了用戶(hù)身份的安全性。但是如果客戶(hù)端與服務(wù)器端的時(shí)間或次數(shù)不能保持良好的同步，就可能發(fā)生合法用戶(hù)無(wú)法登錄的問(wèn)題。并且用戶(hù)每次登錄時(shí)需要通過(guò)鍵盤(pán)輸入一長(zhǎng)串無(wú)規(guī)律的密碼，一旦輸錯(cuò)就要重新操作，使用起來(lái)非常不方便。

 

　　2.4 USB Key認(rèn)證

　　基于USB Key的身份認(rèn)證方式是近幾年發(fā)展起來(lái)的一種方便、安全的身份認(rèn)證技術(shù)。它采用軟硬件相結(jié)合、一次一密的強(qiáng)雙因子認(rèn)證模式，很好地解決了安全性與易用性之間的矛盾。USB Key是一種USB接口的硬件設(shè)備，它內(nèi)置單片機(jī)或智能卡芯片，可以存儲(chǔ)用戶(hù)的密鑰或數(shù)字證書(shū)，利用USB Key內(nèi)置的密碼算法實(shí)現(xiàn)對(duì)用戶(hù)身份的認(rèn)證。基于USB Key身份認(rèn)證系統(tǒng)主要有兩種應(yīng)用模式:一是基于沖擊/響應(yīng)的認(rèn)證模式，二是基于PKI體系的認(rèn)證模式。

　　3 技術(shù)的回歸

　　傳統(tǒng)的身份認(rèn)證技術(shù)，一直游離于人類(lèi)體外，有關(guān)身份驗(yàn)證的技術(shù)手段一直在兜圈子，而且兜得越來(lái)越大，越來(lái)越復(fù)雜。以“用戶(hù)名+口令”方式過(guò)渡到智能卡方式為例，首先需要隨時(shí)攜帶智能卡，其次容易丟失或失竊，補(bǔ)辦手續(xù)繁瑣冗長(zhǎng)，并且仍然需要你出具能夠證明身份的其它文件，使用很不方便。

　　直到生物識(shí)別技術(shù)得到成功的應(yīng)用，這個(gè)圈子才終于又兜了回來(lái)。這種“兜回來(lái)”，意義不只在技術(shù)進(jìn)步，站在“體驗(yàn)經(jīng)濟(jì)”和人文角度，它真正回歸到了對(duì)人類(lèi)最原始生理性的貼和，并通過(guò)這種終極貼和，回歸給了人類(lèi)“絕對(duì)個(gè)性化”的心理感受，與此同時(shí)，還最大限度釋放了這種“絕對(duì)個(gè)性化”原本具有的，在引導(dǎo)人類(lèi)自身安全、簡(jiǎn)約生活上的巨大能量。

　　生物識(shí)別技術(shù)主要是指通過(guò)可測(cè)量的身體或行為等生物特征進(jìn)行身份認(rèn)證的一種技術(shù)。生物特征是指唯一的可以測(cè)量或可自動(dòng)識(shí)別和驗(yàn)證的生理特征或行為方式。生物特征分為身體特征和行為特征兩類(lèi)。身體特征包括:指紋、掌型、視網(wǎng)膜、虹膜、人體氣味、臉型、手的血管和DNA等;行為特征包括:簽名、語(yǔ)音、行走步態(tài)等。目前部分學(xué)者將視網(wǎng)膜識(shí)別、虹膜識(shí)別和指紋識(shí)別等歸為高級(jí)生物識(shí)別技術(shù);將掌型識(shí)別、臉型識(shí)別、語(yǔ)音識(shí)別和簽名識(shí)別等歸為次級(jí)生物識(shí)別技術(shù);將血管紋理識(shí)別、人體氣味識(shí)別、DNA識(shí)別等歸為“深?yuàn)W的”生物識(shí)別技術(shù)。

　　與傳統(tǒng)身份認(rèn)證技術(shù)相比，生物識(shí)別技術(shù)具有以下特點(diǎn):

　　(1) 隨身性:生物特征是人體固有的特征，與人體是唯一綁定的，具有隨身性。

　　(2) 安全性:人體特征本身就是個(gè)人身份的最好證明,滿足更高的安全需求。

　　(3) 唯一性:每個(gè)人擁有的生物特征各不相同。

　　(4) 穩(wěn)定性:生物特征如指紋、虹膜等人體特征不會(huì)隨時(shí)間等條件的變化而變化。

　　(5) 廣泛性:每個(gè)人都具有這種特征。

　　(6) 方便性:生物識(shí)別技術(shù)不需記憶密碼與攜帶使用特殊工具(如鑰匙)，不會(huì)遺失。

　　(7) 可采集性:選擇的生物特征易于測(cè)量。

　　(8) 可接受性:使用者對(duì)所選擇的個(gè)人生物特征及其應(yīng)用愿意接受。

　　基于以上特點(diǎn)，生物識(shí)別技術(shù)具有傳統(tǒng)的身份認(rèn)證手段無(wú)法比擬的優(yōu)點(diǎn)。采用生物識(shí)別技術(shù)，可不必再記憶和設(shè)置密碼，使用更加方便。

　　4 展望

　　就目前趨勢(shì)來(lái)看，將生物識(shí)別在內(nèi)的幾種安全機(jī)制整合應(yīng)用正在成為新的潮流。其中，較為引人注目的是將生物識(shí)別、智能卡、公匙基礎(chǔ)設(shè)施(PKI)技術(shù)相結(jié)合的應(yīng)用，如指紋KEY產(chǎn)品。PKI從理論上，提供了一個(gè)完美的安全框架，其安全的核心是對(duì)私鑰的保護(hù);智能卡內(nèi)置CPU和安全存儲(chǔ)單元，涉及私鑰的安全運(yùn)算在卡內(nèi)完成，可以保證私鑰永遠(yuǎn)不被導(dǎo)出卡外，從而保證了私鑰的絕對(duì)安全;生物識(shí)別技術(shù)不再需要記憶和設(shè)置密碼，個(gè)體的絕對(duì)差異化使生物識(shí)別樹(shù)立了有始以來(lái)的最高權(quán)威。三種技術(shù)的有機(jī)整合，正可謂是一關(guān)三卡、相得益彰，真正做到使人們?cè)诰W(wǎng)上沖浪時(shí)，不經(jīng)意間，享受便捷的安全。