3.5 移动互联网中使用的认证技术
随着信息技术的不断发展,人类进入移动互联网时代。由于网络的虚拟化和业务交易的移动化,在获取各种网络资源并进行各项网络交易的过程中,身份认证变得十分重要。一旦用户身份被盗取和冒用,将直接影响用户各项业务交易的安全性以及对网络资源的获取。在移动互联网时代,确保用户身份安全是移动互联网业务开展的安全基石。身份认证是普通用户在访问各类应用时的必经过程,它决定着各项资源访问权限的具体分配,也直接影响到权限分配的合法性和合理性。
传统的身份认证方式显然已经无法满足用户身份认证过程中对安全性、准确性和灵活性等方面的要求。如何应对移动互联网中涉及的各种各样的身份识别和认证的问题就成为移动互联网安全和应用的关键。所以,适用于移动互联网的身份认证技术急需更新升级。
下面对移动互联网中使用的两种认证技术做简要介绍。
3.5.1 WPKI技术
1. WPKI简介
WPKI即“无线公开密钥体系”,它是将互联网电子商务中的公钥基础设施(Public Key Infrastructrue,PKI)安全机制引入到无线网络环境中的一套遵循既定标准的密钥及证书管理体系。PKI是利用公钥理论和技术建立的提供信息安全服务的基础设施,它是国际公认的互联网电子商务的安全认证机制。WPKI可以对移动网络环境中使用的公开密钥和数字证书进行管理,并有效地建立起一个安全和值得信赖的无线网络环境。
WPKI并不是一个全新的PKI标准,它是传统的PKI技术应用于无线环境的优化扩展。WPKI采用了优化的ECC椭圆曲线加密算法和压缩的X. 509数字证书。它同样采用证书来管理公钥,通过第三方可信机构——认证中心(CA)来验证用户的身份,从而实现信息的安全传输。
2. WPKI技术架构
WPKI是PKI技术在无线网络中的延伸。PKI技术是利用公钥理论和技术建立的提供信息安全服务的基础设施,它利用现代密码学中的公钥密码技术在开放的互联网环境下提供数据加密以及数字签名服务的统一技术框架。在这一框架中,加密密钥和解密密钥不相同,发送方利用接收方的公钥加密发送信息,接收方利用自己专有的私钥进行解密。这种方式既保证了信息的机密性,又能保证信息的不可否认性。
与PKI系统相似,WPKI系统也必须具有以下几部分:PKI客户端、认证机构(CA)、注册机构(RA)和数字证书库以及应用接口等基本组成部分。除PKI客户端外,其他各部件的作用和功能说明如下。
1)认证机构(CA):认证机构系统是PKI的信任基础,负责分发和验证数字证书,规定证书的有效期,发布证书的废除列表。
2)注册机构(RA):注册机构为用户和认证机构之间提供一个接口,它是认证机构的校验者,需要在数字证书分发给请求者之前对证书进行验证。
3)数字证书库:用于存储已经签发的数字证书和公钥,用户可以由此获得所需的其他用户的证书及公钥。
4)应用接口:一个完整的WPKI系统必须提供良好的应用接口系统,使各种应用能够以安全、一致、可信的方式与WPKI进行交换,确保安全网络环境的完整性和便捷性。
认证机构通常作为数字证书的签发机构,它是WPKI系统的核心。数字证书,是由认证机构进行数字签名并发放的,其中包含了公钥拥有者以及公钥的相关信息,可以用来证明数字证书持有者的真实身份。它采用公钥密码算法,即使用一对相互匹配但又无法互相推导的密钥对进行加密和解密。
3. WPKI技术的应用
随着移动互联网的快速普及,无线通信技术在银行、商务、贸易等各方面的需求越来越多,无线通信的安全性也显得日益重要。所以,WPKI技术也逐渐发展起来,它为移动环境下的安全认证和电子支付奠定了基础。下面将举例说明WPKI技术的相关应用。
(1)收发电子邮件
由于商业活动信息交换频繁且实时性较强,商务人士可能需要随时发送电子邮件来沟通、交换一些秘密的或是有商业价值的信息,因而通过移动终端来收发电子邮件就成为一种便捷、高效的信息交换方式。但是,这同时也引发了对安全问题的顾虑,例如,邮件内容和附件可能在收发双方毫不知情的情况下被窃取或篡改,而且,发信一方的身份也可能是伪造的,这就会造成相关人员的经济损失。
在使用加密和签名技术的安全电子邮件协议的情况下,采用WPKI技术就可以解决这些安全问题。当使用移动终端发送邮件给一位或多位收件人时,发送方会对邮件进行加密和签名。这样一来,只有指定的收件人才能在认证机构的服务器上取得公钥并开启邮件。即使该邮件被他人截获,也会因为得不到公钥而无法阅读邮件内容。
(2)移动电子商务
在移动电子商务领域,如何实现在线、实时、安全的支付是技术应用的核心。特别是在移动环境下,需要准确地识别用户的身份、鉴别账号的真伪,并迅速安全地实现资金的相关操作。由于WPKI技术实现了无线通信环境下的安全认证,使其在移动电子商务领域得到了广泛的应用。在诸如网上银行的生活缴费、移动电子支付和网上证券交易等场景中,WPKI技术都得到了普遍的应用,移动用户可以通过使用个人拥有的数字证书,使信息获得更有效、更安全的保障。
3.5.2 双因子认证技术
双因子认证,又称为双因素认证,是一种安全认证方法。在这一认证过程中,需要用户提供两种不同的认证因素来证明自己的身份,从而更好地保护用户证书和可访问的资源。双因子认证比基于单因子的验证方式提供了一种更高级别的保证。在单因子认证中,用户只需提供一种认证因子,一般是密码或者口令。双因子认证不仅需要用户提供密码,而且还需要用户提供第二个因子,通常情况下这一因子可能是一个安全令牌或生物特征标志(如指纹或面部)。
因为仅仅知道密码还不足以通过认证检查,双因子认证通过增加攻击者访问用户设备和在线账户的难度来达到为身份认证过程添加额外安全层的目的。
1.身份认证的因素
人们在不同情况下可以使用多种方法进行身份认证。目前,大多数身份认证方法依赖于传统密码这样的认证因素,而双因子认证添加了持有物因素或特征因素。
认证因素在认证过程中被采用和计算的一般顺序如下。
1)认证因素:指用户所知道的事物,如密码、PIN码或其他类型的共享密钥。
2)持有物因素:指用户拥有的东西,如身份证、安全令牌、智能手机或其他移动设备。
3)特征因素:指用户自身固有的特性,如指纹、面部、语音等。
4)未知因素:指认证时所处的位置,可以用特定位置的特定设备来强制限定认证,最常见的方式是跟踪认证来源的IP地址或来源于移动电话或其他设备的地理信息。
5)时间因素:限制用户在特定的时间窗口内进行认证登录,并在该时间段之外限制对系统的访问。
绝大多数情况下,双因子认证方法依赖前3个认证因素。双因子认证是多因子认证的一种形式。一般情况下,凡是需要两个认证因子才能访问的系统或服务,就可以使用双因子认证。而且,使用同一类别的两个因子并不构成双因子认证,例如:某系统认证需要提供密码和共享密钥,但仍然会被认为是单因子认证,因为密码和共享密钥都属于同一类认证因素。
就单因子认证服务而言,用户ID和密码不是最安全的。基于密码认证的一个问题是需要知识和努力来创建并记住强密码。密码需要保护,以避免受到内部威胁。而且,密码也容易受到外部威胁,如果给予足够的时间和资源,攻击者通常可以攻破基于密码的安全系统。因为成本低、易于实现,密码仍然是单因子认证的最常见形式之一。
2.移动设备的双因子认证
目前,移动设备采用的双因子认证是一种应用了时间同步技术的系统,使用基于时间、事件和密钥3种因素而产生的一次性密码来代替传统的静态密码。每个动态密码卡都有一个唯一的密钥,该密钥同时存放在服务器端。每次认证的时候,动态密码卡与服务器分别根据同样的密钥、同样的随机参数(时间、事件)与同样的算法计算出认证的动态密码,从而确保密码的一致性,并实现用户的认证。由于每次认证使用的随机参数不同,每次产生的动态密码也会不同。正是因为每次计算时参数的随机性保证了每次密码的不可预测性,从而在基本的密码认证这一环节上保证了系统的安全性。这一认证系统可以消除因为口令欺诈而导致损失的安全隐患,防止人为恶意破坏,解决了由口令泄露导致的入侵问题。
双因子身份认证,就是只有把“用户知道的”与“用户拥有的”这两个因素组合到一起才能发挥作用的身份认证系统。例如,在银行ATM机上取款时,使用的银行卡本质上就是一个双因子认证机制的实际应用,取款人需要同时持有银行卡并知道取款密码才能够正常办理各项业务。
目前主流的双因子认证系统都是基于时间同步的,市场占有率较高的有DKEY双因子认证系统、RSA双因子认证系统等,由于DKEY增加了对短信密码的认证支持,即短信+令牌混合认证,相比于RSA双因子认证系统要更具竞争力。