網(wǎng)絡(luò)安全之身份認(rèn)證

在網(wǎng)絡(luò)環(huán)境下的信息世界，身份是區(qū)別于其他個(gè)體的一種標(biāo)識(shí)。為了與其他個(gè)體有所區(qū)別，身份必須具有唯一性。當(dāng)然，唯一性也是有范圍的，如電話號(hào)碼，在一個(gè)區(qū)域內(nèi)是唯一的，如果考慮多個(gè)區(qū)域，可能會(huì)有相同的號(hào)碼，但只要再添加區(qū)域號(hào)段，又能唯一區(qū)分開(kāi)來(lái)。網(wǎng)絡(luò)環(huán)境下的身份不僅僅用于標(biāo)識(shí)一個(gè)人，也可以用于標(biāo)識(shí)一個(gè)機(jī)器、一個(gè)物體，甚至一個(gè)虛擬的東西（如進(jìn)程、會(huì)話過(guò)程等）。因此，網(wǎng)絡(luò)環(huán)境下的身份是只在一定范圍內(nèi)用于標(biāo)識(shí)事、物、人的字符串。
一、身份認(rèn)證概述

網(wǎng)絡(luò)環(huán)境下的認(rèn)證不是對(duì)某個(gè)事物的資質(zhì)審查，而是對(duì)事物真實(shí)性的確認(rèn)。結(jié)合起來(lái)考慮，身份認(rèn)證就是要確認(rèn)通信過(guò)程中另一端的個(gè)體是誰(shuí)（人、物、虛擬過(guò)程）。

那么，怎么知道通信的另一端是誰(shuí)呢？通常，通信協(xié)議都要求通信者把身份信息傳輸過(guò)來(lái)，但這種身份信息僅用于識(shí)別，不能保證該信息是真實(shí)的，因?yàn)檫@個(gè)身份信息在傳輸過(guò)程中是可以被惡意篡改的。那么，怎樣才能防止身份信息在傳輸過(guò)程中被惡意篡改呢？事實(shí)上要完全杜絕惡意篡改是不可能的，特別是在公共網(wǎng)絡(luò)（如互聯(lián)網(wǎng)）上傳輸?shù)男畔?，而能做的，就是在身份信息被惡意篡改后，接收端可以很容易檢測(cè)出來(lái)。

要識(shí)別真?zhèn)?，首先要“認(rèn)識(shí)”真實(shí)的身份。通過(guò)網(wǎng)絡(luò)傳遞的身份可能是陌生人的身份，如何判斷真?zhèn)?？這里需要闡述一個(gè)觀點(diǎn)：要識(shí)別真?zhèn)危仨毾扔行湃?。在網(wǎng)絡(luò)環(huán)境下，信任不是對(duì)一個(gè)人的可靠性認(rèn)可，而是表明已經(jīng)掌握了被驗(yàn)證身份者的重要秘密信息，如密鑰信息。假設(shè)A與B之間有一個(gè)得到確信的共享密鑰，不管這個(gè)共享密鑰是怎么建立的，他們之間就建立了相互信任。如果A確信掌握B的公開(kāi)密鑰，也可以說(shuō)A對(duì)B建立了信任，但還不能說(shuō)明B對(duì)A建立了信任。從上述討論不難看到，在完全沒(méi)有信任基礎(chǔ)的情況下，新的信任是不能通過(guò)網(wǎng)絡(luò)建立的，否則是不可靠的。

二、身份認(rèn)證機(jī)制

身份認(rèn)證的目的是鑒別通信中另一端的真實(shí)身份，防止偽造和假冒等情況發(fā)生。進(jìn)行身份認(rèn)證的技術(shù)方法主要是密碼學(xué)方法，包括使用對(duì)稱(chēng)加密算法、公開(kāi)密鑰密碼算法、數(shù)字簽名算法等。

對(duì)稱(chēng)加密算法是根據(jù)Shannon理論建立的一種變換過(guò)程，該過(guò)程將一個(gè)密鑰和一個(gè)數(shù)據(jù)充分混淆和置亂，使非法用戶在不知密鑰的情況下無(wú)法獲得原始數(shù)據(jù)信息。當(dāng)然一個(gè)加密算法幾乎總伴隨著一個(gè)對(duì)應(yīng)的解密算法，并在對(duì)稱(chēng)密鑰的參與下執(zhí)行。典型的對(duì)稱(chēng)加密算法包括DES和AES。

公鑰密碼算法需要2個(gè)密鑰和2個(gè)算法：一個(gè)是公開(kāi)密鑰，用于對(duì)消息的加密；一個(gè)是私鑰（私有密鑰），用于對(duì)加密消息的解密。根據(jù)名稱(chēng)可以理解，公開(kāi)密鑰是一個(gè)能公開(kāi)的密鑰，而私鑰只能由合法用戶掌握。典型的公鑰密碼算法包括RSA公鑰密碼算法和數(shù)字簽名標(biāo)準(zhǔn)DSS。

數(shù)字簽名實(shí)際是公鑰密碼的一種應(yīng)用，其工作原理是，用戶使用自己的私鑰對(duì)某個(gè)消息進(jìn)行簽名，驗(yàn)證者使用簽名者的公開(kāi)密鑰進(jìn)行驗(yàn)證，這樣就實(shí)現(xiàn)了只有擁有合法私鑰的人才能產(chǎn)生數(shù)字簽名（不可偽造性）和得到用戶公鑰的公眾才可以進(jìn)行驗(yàn)證（可驗(yàn)證性）的功能。

根據(jù)身份認(rèn)證的對(duì)象不同，認(rèn)證手段也不同，但針對(duì)每種身份的認(rèn)證都有很多種不同的方法。如果被認(rèn)證的對(duì)象是人，則有三類(lèi)信息可以用于認(rèn)證：（1）你所知道的（what you know），這類(lèi)信息通常理解為口令；（2）你所擁有的（what you have），這類(lèi)信息包括密碼本、密碼卡、動(dòng)態(tài)密碼生產(chǎn)器、U盾等；（3）你自身帶來(lái)的（what you are），這類(lèi)信息包括指紋、虹膜、筆跡、語(yǔ)音特征等。一般情況下，對(duì)人的認(rèn)證只需要一種類(lèi)型的信息即可，如口令（常用于登錄網(wǎng)站）、指紋（常用語(yǔ)登錄電腦和門(mén)禁設(shè)備）、U盾（常用于網(wǎng)絡(luò)金融業(yè)務(wù)），而用戶的身份信息就是該用戶的賬戶名。在一些特殊應(yīng)用領(lǐng)域，如涉及資金交易時(shí)，認(rèn)證還可能通過(guò)更多方法，如使用口令的同時(shí)也使用U盾，這類(lèi)認(rèn)證稱(chēng)為多因子認(rèn)證。

如果被認(rèn)證的對(duì)象是一般的設(shè)備，則通常使用“挑戰(zhàn)—應(yīng)答”機(jī)制，即認(rèn)證者發(fā)起一個(gè)挑戰(zhàn)，被認(rèn)證者進(jìn)行應(yīng)答，認(rèn)證者對(duì)應(yīng)答進(jìn)行檢驗(yàn)，如果符合要求，則通過(guò)認(rèn)證；否則拒絕。移動(dòng)通信系統(tǒng)中的認(rèn)證就是一個(gè)典型的對(duì)設(shè)備的認(rèn)證，這里設(shè)備標(biāo)識(shí)是電話卡（SIM卡或USIM卡），認(rèn)證過(guò)程則根據(jù)不同的網(wǎng)絡(luò)有不同的方法，例如，GSM網(wǎng)絡(luò)和3G網(wǎng)絡(luò)就有很大區(qū)別，LTE網(wǎng)絡(luò)又與前2種網(wǎng)絡(luò)有很大不同，但都使用了“挑戰(zhàn)—應(yīng)答”機(jī)制。

在物聯(lián)網(wǎng)應(yīng)用環(huán)境下，一些感知終端節(jié)點(diǎn)的資源有限，包括計(jì)算資源、存儲(chǔ)資源和通信資源，實(shí)現(xiàn)“挑戰(zhàn)—應(yīng)答”機(jī)制可能需要付出很大代價(jià)，這種情況下需要輕量級(jí)認(rèn)證。為了區(qū)分對(duì)人的認(rèn)證和對(duì)設(shè)備的認(rèn)證，把這種輕量級(jí)認(rèn)證稱(chēng)為對(duì)物的認(rèn)證。其實(shí)，對(duì)物的認(rèn)證不是很?chē)?yán)格的說(shuō)法，因?yàn)樵诰唧w技術(shù)上是對(duì)數(shù)據(jù)來(lái)源的認(rèn)證。

三、對(duì)“人”的認(rèn)證

人在網(wǎng)絡(luò)上進(jìn)行一些活動(dòng)時(shí)通常需要登錄到某個(gè)業(yè)務(wù)平臺(tái)，這時(shí)需要進(jìn)行身份認(rèn)證。身份認(rèn)證主要通過(guò)下面3種基本途徑之一或其組合來(lái)實(shí)現(xiàn)：所知（what you know），個(gè)人所知道的或掌握的知識(shí)，如口令；所有（what you have），個(gè)人所擁有的東西，如×××、護(hù)照、信用卡、鑰匙或證書(shū)等；個(gè)人特征（what you are），個(gè)人所具有的生物特性，如指紋、掌紋、聲紋、臉形、DNA、視網(wǎng)膜等。