信息化觀察網(wǎng)

隨著網(wǎng)絡應用的深入發(fā)展和普及，網(wǎng)絡中存儲、流轉(zhuǎn)的數(shù)據(jù)類型和數(shù)量與日俱增，已成為網(wǎng)絡空間最有價值的資產(chǎn)之一。近些年針對數(shù)據(jù)信息的網(wǎng)絡攻擊層出不窮，一旦發(fā)生泄漏事件，就可能給企業(yè)、個人，乃至行業(yè)、國家造成嚴重的危害和影響。

時至今日，加強數(shù)據(jù)防護，保障信息安全早已成為網(wǎng)絡時代大眾的共識。

在網(wǎng)絡和信息安全領(lǐng)域，密碼對保障信息安全所起到的作用越來越大，其應用范圍及應用深度也在不斷發(fā)展。當前，信息系統(tǒng)想要實現(xiàn)安全目標，達到一定的防護水平，就必須具備有效的鑒別與訪問控制機制。其中，身份鑒別是信息安全領(lǐng)域很重要的一項基礎(chǔ)內(nèi)容。

身份鑒別概念

標識是實體身份的一種計算機表達。

信息系統(tǒng)在執(zhí)行操作時，首先要求用戶標識自己的身份，并提供證明自己身份的依據(jù)，不同的系統(tǒng)使用不同的方式表示實體的身份，同一實體可以有多個不同的身份。

鑒別是將標識和實體聯(lián)系在一起的過程。鑒別是信息系統(tǒng)的第一道安全防線，也為其他安全服務提供支撐。訪問控制機制的正確執(zhí)行依賴于對用戶身份的正確識別，標識和鑒別作為訪問控制的必要支持，以實現(xiàn)對資源機密性、完整性、可用性及合法使用的支持。如果與數(shù)據(jù)完整性機制結(jié)合起來使用，可以作為數(shù)據(jù)源認證的一種方法。

身份鑒別的類型

身份鑒別包括單向鑒別、雙向鑒別以及第三方鑒別。

在一個給定的網(wǎng)絡中，客戶A需要訪問服務器S的服務，客戶A必須被服務器鑒別，這個鑒別過程稱為單向鑒別。如果客戶A也需要鑒別服務器S，則稱為雙向鑒別。還有一些情況要求由雙方信任的第三方進行鑒別，以確認用戶和服務器的身份。

單向鑒別是當用戶希望在應用服務器上注冊時，用戶僅需被應用服務器鑒別。常見的單向鑒別是用戶發(fā)送其用戶名和口令給應用服務器，應用服務器收到的用戶名和口令進行驗證，確認用戶名和口令是由合法用戶發(fā)出。

雙向鑒別是一種相互鑒別，其過程在單向鑒別的基礎(chǔ)上還要增加兩個步驟：服務器向客戶端發(fā)送服務器名和口令，客戶端確認服務器身份的合法性。這種基于口令的雙向鑒別一般不常使用，假如有50個用戶（或應用服務器），每個用戶若均可與其它用戶通信，則每個用戶都應有能力鑒別其他用戶。在雙向鑒別的情況下，還應能被其它用戶鑒別，這樣每個用戶需要保存49個口令。一旦用戶增加、減少或改變口令，都要調(diào)整口令清單，管理繁瑣且效率低。

第三方鑒別是基于可信的第三方存儲驗證標識和鑒別信息。每個用戶或應用服務器都向可信第三方發(fā)送身份標識和口令，提高了口令存儲和使用的安全性，并且具有較高的效率。

身份鑒別的方式

實體身份鑒別一般依據(jù)3種基本情況或3種情況的組合，即：實體所知、實體所有和實體特征。

◇基于實體所知的鑒別，即實體所知道的，如口令，PIN碼等。常常將一個秘密信息發(fā)送到系統(tǒng)中，該秘密信息僅為用戶和系統(tǒng)已知。據(jù)此系統(tǒng)鑒別用戶身份。

◇基于實體所有的鑒別，即實體所擁有的物品，如鑰匙、磁卡等，借助這些物品使系統(tǒng)鑒別用戶。在鑒別時，用戶手持這些物品，通過外圍設(shè)備完成鑒別。

◇基于實體特征的鑒別，即實體所擁有的可被記錄、可比較的生理或行為方面的特征，這些特征能被系統(tǒng)觀察和記錄，通過與系統(tǒng)中存儲的特征比較進行鑒別。

◇多因素鑒別方法，使用多種鑒別機制檢查用戶身份的真實性。使用兩種鑒別方式的組合（雙因素鑒別）是常用的多因素鑒別形式。

例如，在網(wǎng)上銀行的轉(zhuǎn)賬驗證時，必須同時使用用戶名/密碼（實體所知）和USB Key（實體所有）才能完成一次轉(zhuǎn)賬驗證。使用多因素驗證能有效地提高安全性，降低身份濫用的風險。