上一节中的单向认证和双向认证实例都采用加密技术来确认通信主体的真实性和合法性。本节介绍不使用密码体制就可达到认证效果的认证方式,应用较广泛的有口令认证、智能卡认证和生物特征认证等。
1.口令认证
口令认证是最常用也是最简单的认证方式,系统为每一个合法用户建立一个用户名/口令对,当用户登录系统或使用某项功能时,提示用户输入自己的用户名和口令,系统通过核对用户输入的用户名/口令对与系统内已有的合法用户的用户名/口令对是否匹配,如与某一项用户名/口令对匹配,则该用户的合法性得到认证。
(1)静态口令认证
如果系统内存有的合法用户的口令在一段时间内是固定不变的,那么口令被看做是用户登录系统的静态凭证,这种认证方式是一种静态口令认证方式。
由于口令简单易记,静态口令认证方式在日常生活得到了广泛的应用,如计算机操作系统开机登录、企业内部用户登录等。然而,在远程开放网络通信的环境下,这种认证方式存在一些缺点:
1)它的安全性仅仅基于用户口令的保密性,而用户口令一般较短且容易猜测,因此它难以抵御口令猜测攻击。
2)用户口令以明文形式在网络中传输,攻击者可以窃听通信信道或进行网络窥探来获得用户口令,因此它容易受到在线口令窃听。
(2)动态口令认证
动态口令认证过程中,当用户登录系统时,输入的认证口令是动态变化的。其思路是:在登录过程中加入不确定因素,如用户名和时间,产生一个不断变化的、没有重复的、无法猜测的动态口令来代替传统的静态口令,系统接收到登录口令后做一个验算即可验证用户的合法性。动态口令认证避免了口令泄露带来的安全隐患,解决了由静态口令泄露而导致的入侵问题。动态口令相对于静态口令而言,它具有以下优点:
●动态性:每隔一分钟或更短的时间就产生一个动态口令。
●随机性:动态口令随机产生具有不可推测性。
●一次性:动态口令使用过一次,就不能再被使用。
●方便性:用户不需要记忆口令。(www.xing528.com)
2.智能卡认证
智能卡(Smart Card)是一种内置集成电路的芯片,由专门的厂商通过专门的设备生产,是不可复制的硬件。智能卡中存有用户个性化的秘密信息,同时在验证服务器中也存放该秘密信息。智能卡由合法用户随身携带,用户登录时必须将智能卡插入专用的读卡器读取其中的信息,以验证用户的身份。
智能卡认证方式是一种双因素的认证方式,由用户的个人身份识别码和智能卡两个因素来保证认证过程的安全性,即使个人身份识别码或智能卡被窃取,用户仍不会被冒充。智能卡认证是基于“What you have”的手段,通过智能卡硬件不可复制来保证用户身份不会被仿冒。然而,由于每次从智能卡中读取的数据是静态的,通过内存扫描或网络监听等技术还是很容易截取到用户的身份验证信息的,因此还是存在安全隐患。
3.生物特征认证
生物特征认证是指以人体的生理特征或行为特征为依据,采用计算机的强大功能进行图像处理和模式识别。目前,利用生理特征进行生物识别的主要方法有指纹识别、虹膜识别、手掌识别、视网膜识别和脸相识别;利用行为特征进行识别的主要方法有语音识别、笔迹识别和击键识别等。
生物特征认证的工作原理是:首先采集合法用户生物特征样本,并将之转换为数字信息存储于数据库中。认证时,用户向系统提供同一性质的样本,如指纹、虹膜等,系统将用户提供的样本与数据库中存储的样本进行比较,如果两个样本在一定的条件下匹配,则认为用户合法,否则认为无效。
生物特征认证方式有很好的安全性、可靠性和有效性,与传统的认证方式相比,无疑产生了质的飞跃,它的应用前景十分广阔。但只有满足以下条件的生理特征或行为特征才可以用来作为认证用户身份的依据。
●普遍性:每个人都应该具有这一特征。
●唯一性:每个人在这一特征上有不同的表现。
●稳定性:这一特征不会随着年龄的增长、时间的改变而改变。
●易采集性:这一特征应该是容易采集的。
●可接受性:人们接受这种生物认证方式。
免责声明:以上内容源自网络,版权归原作者所有,如有侵犯您的原创版权请告知,我们将尽快删除相关内容。
