胡文俊

（景德鎮(zhèn)藝術(shù)職業(yè)大學(xué) 工程學(xué)院，江西 景德鎮(zhèn) 333001）

在信息技術(shù)、通信技術(shù)廣泛普及的今天，網(wǎng)絡(luò)也滲透到教育、管理、經(jīng)濟(jì)等諸多領(lǐng)域，實(shí)現(xiàn)了和人們生活的緊密聯(lián)結(jié)。但當(dāng)前互聯(lián)網(wǎng)的安全功能尚不健全，其運(yùn)營也面臨著諸多威脅因素。而在網(wǎng)絡(luò)安全領(lǐng)域?qū)ι矸菡J(rèn)證技術(shù)加以運(yùn)用，借助計(jì)算機(jī)或者網(wǎng)絡(luò)系統(tǒng)來認(rèn)證操作者的身份，能夠令操作者的數(shù)字身份和物理身份對應(yīng)起來，有效保障網(wǎng)絡(luò)安全運(yùn)行，提升其運(yùn)營的效率和質(zhì)量。

1 身份認(rèn)證技術(shù)的現(xiàn)實(shí)應(yīng)用

1.1 身份認(rèn)證技術(shù)的概念

身份認(rèn)證技術(shù)是確保網(wǎng)絡(luò)信息安全的重要方式，是能夠鑒別網(wǎng)絡(luò)通信雙方真實(shí)身份的一種手段。它能夠?qū)W(wǎng)絡(luò)使用者的身份進(jìn)行判定，看其是否具備真實(shí)性、合法性，判定完畢后再?zèng)Q定是否將訪問權(quán)限授予使用者。在網(wǎng)絡(luò)環(huán)境中，標(biāo)識使用者身份的往往是特定的數(shù)據(jù)，而網(wǎng)絡(luò)使用權(quán)限也是依照該數(shù)據(jù)決定是否開放的。確保使用者的數(shù)字身份和現(xiàn)實(shí)物理身份完全吻合是當(dāng)前網(wǎng)絡(luò)安全視域下身份認(rèn)證技術(shù)的關(guān)鍵課題。

在網(wǎng)絡(luò)安全領(lǐng)域，身份認(rèn)證技術(shù)是一個(gè)關(guān)鍵環(huán)節(jié)，也是網(wǎng)絡(luò)用戶的一個(gè)重要的保護(hù)屏障。在運(yùn)用互聯(lián)網(wǎng)時(shí)，使用者要先借助網(wǎng)絡(luò)認(rèn)證系統(tǒng)對自身的身份加以鑒別，待系統(tǒng)確認(rèn)完畢會(huì)明確使用者的權(quán)限，使用者的訪問范圍便被圈定。另外，在使用網(wǎng)絡(luò)的具體過程中，網(wǎng)絡(luò)安全系統(tǒng)會(huì)登記和跟蹤使用者信息，這些信息涵蓋了其身份信息及訪問信息等。通過跟蹤信息，網(wǎng)絡(luò)安全系統(tǒng)會(huì)判斷使用者在使用網(wǎng)絡(luò)過程中其行為是否逾越了安全范圍[1]。

身份認(rèn)證技術(shù)具有下列特點(diǎn)：一是具有延遲性，技術(shù)的落實(shí)要借助加密算法實(shí)現(xiàn)，由此便會(huì)出現(xiàn)延遲，令網(wǎng)絡(luò)通信速率降低；二是在單機(jī)狀態(tài)下身份認(rèn)證的實(shí)現(xiàn)有著較大難度，并且即便使用者的操作逾越了安全范圍，身份認(rèn)證系統(tǒng)也無法有效實(shí)現(xiàn)權(quán)限的控制；三是使用者的信息存在被非法攔截或竊取的風(fēng)險(xiǎn)；四是網(wǎng)絡(luò)使用者流動(dòng)性強(qiáng)，同一位使用者可能在不同終端進(jìn)行操作，因此身份認(rèn)證要確保使用者身份的唯一性。

1.2 身份認(rèn)證技術(shù)的應(yīng)用

當(dāng)前的網(wǎng)絡(luò)身份認(rèn)證技術(shù)主要有基于特定知識、基于標(biāo)識物和基于生物特征等的技術(shù)。這里闡述應(yīng)用廣泛的幾種認(rèn)證技術(shù)。

1.2.1 指紋身份認(rèn)證技術(shù)

人類個(gè)體的指紋成型于胎兒時(shí)期，并且每個(gè)個(gè)體的指紋終身不變、獨(dú)一無二。指紋影像是在指紋基礎(chǔ)上產(chǎn)生的有著特殊排列方式以及由諸多圖形線條組成的一種影像。在此基礎(chǔ)上發(fā)展起來的指紋身份認(rèn)證技術(shù)得到了廣泛應(yīng)用。在現(xiàn)實(shí)世界中，該技術(shù)的應(yīng)用通常涉及指紋圖像采集、處理，提取及入庫相應(yīng)特征，還有匹配和比對特征值等諸多動(dòng)作。

1.2.2 口令身份認(rèn)證技術(shù)

運(yùn)用口令認(rèn)證技術(shù)前，需要先注冊用戶賬號，并且在數(shù)據(jù)庫中認(rèn)證者應(yīng)當(dāng)具有唯一性。另外有以下注意事項(xiàng)：第一，請求認(rèn)證者的口令應(yīng)具備可靠性、安全性，即賬號的請求認(rèn)證者應(yīng)當(dāng)是口令的唯一掌握者；第二，在認(rèn)證過程中也要保證口令傳輸?shù)陌踩裕簿褪钦f避免口令在傳輸過程中被他人竊看或者是替換；第三，在實(shí)施請求認(rèn)證前先確認(rèn)請求者的身份，避免誤讓冒充認(rèn)證者獲取口令，唯有如此才可切實(shí)提升口令認(rèn)證技術(shù)的穩(wěn)定性及安全性[2]。

1.2.3 持證認(rèn)證方式

此種認(rèn)證方式需要借助實(shí)物實(shí)現(xiàn)，這里所說的實(shí)物類似于個(gè)人持有物，作用是啟動(dòng)對應(yīng)的電子設(shè)備。目前得到廣泛應(yīng)用的當(dāng)屬有磁條的塑料卡，它將個(gè)人識別號記錄在磁條上，但由于它被偽造的可能性較大，因此催生了集成電路卡或稱為智能卡，這種認(rèn)證方式更為有效、安全。但此種智能卡僅提供硬件基礎(chǔ)，唯有與安全協(xié)議綜合運(yùn)用才能實(shí)現(xiàn)安全識別。

1.2.4 視網(wǎng)膜認(rèn)證技術(shù)

視網(wǎng)膜也是終身不變的，且不同個(gè)體之間有著明顯差異，由此便產(chǎn)生了視網(wǎng)膜身份認(rèn)證技術(shù)。將此種技術(shù)和算法整合起來能夠有效提升認(rèn)證的準(zhǔn)確程度，即便錄入的視網(wǎng)膜信息有十幾億甚至幾十億條，也很少會(huì)出現(xiàn)認(rèn)假等問題，但該技術(shù)當(dāng)前所面臨的阻礙是錄入問題。盡管如此，此種認(rèn)證方式的高精確度仍舊賦予了其極強(qiáng)的競爭性。

視網(wǎng)膜這種生物特征具有極強(qiáng)的穩(wěn)定性，它一般不會(huì)出現(xiàn)磨損、老化等問題，因而在身份認(rèn)證技術(shù)方面視網(wǎng)膜認(rèn)證是精確度較高的一種認(rèn)證方式。另外，視網(wǎng)膜被偽造、改變的概率較低，且區(qū)分能力明顯，因此在很多講求高度安全的領(lǐng)域得到了普遍應(yīng)用。但應(yīng)當(dāng)指出，視網(wǎng)膜的掃描錄入面臨著較大阻礙，因?yàn)槊癖娬J(rèn)為長期運(yùn)用紅外線不利于視網(wǎng)膜的健康，因而很多民眾的配合程度較低，所以此項(xiàng)技術(shù)在生活中較難推廣開來。另外，相關(guān)認(rèn)證系統(tǒng)需要大量資金投入，降低成本較為困難，加之操作難度較高，因此普通消費(fèi)者大多不會(huì)選擇此種方式。

1.2.5 語音身份認(rèn)證技術(shù)

相較于指紋、視網(wǎng)膜等識別方式來說，語音身份認(rèn)證技術(shù)更注重對行為特征的強(qiáng)調(diào)。它借助聲音錄入設(shè)備來記錄、測量聲音的各種波形變化，之后展開頻譜分析，并把聲音進(jìn)行數(shù)字化處理，將其變?yōu)槁曇裟０宕鎯ζ饋恚嗉绰暭y識別。聲紋指的是借助儀器來描繪人類的聲音圖像，即聲音頻譜，盡管人類個(gè)體的發(fā)音器官十分相似，但是聲音的發(fā)出卻是極為復(fù)雜的過程，涉及多個(gè)器官，因?yàn)椴煌瑐€(gè)體在牙齒、喉頭的形態(tài)及尺寸方面有一定的差異，所以不同個(gè)體的聲紋頻譜圖存在著較為明顯的區(qū)別，因此借助聲紋來實(shí)現(xiàn)對身份的識別和認(rèn)證有充分的科學(xué)依據(jù)。

在實(shí)際應(yīng)用時(shí)要先對鑒別對象的聲音進(jìn)行采集，也就是錄入其語音信號，并進(jìn)行微波處理等，之后完成兩個(gè)環(huán)節(jié)——特征提取、模式匹配，特征提取指的是在聲音中選取出穩(wěn)定的、有效的并且代表說話人身份的特征，模式匹配指的是對訓(xùn)練、鑒別的特征模式展開相似性匹配[3]。

1.2.6 組合認(rèn)證方式

人們在選用識別技術(shù)時(shí)往往會(huì)對多層面因素做出綜合考量，以獲取最佳身份認(rèn)證效果。從安全層面來說，可以整合持證認(rèn)證、視網(wǎng)膜認(rèn)證和口令認(rèn)證等方式，實(shí)現(xiàn)多因素綜合認(rèn)證，避免因?yàn)閬G失智能卡、忘記口令等因素而導(dǎo)致無法完成身份認(rèn)證，并且從多角度切實(shí)提升網(wǎng)絡(luò)安全度。所以，在現(xiàn)實(shí)應(yīng)用中要從實(shí)際情況出發(fā)有機(jī)結(jié)合不同認(rèn)證技術(shù)的優(yōu)勢，從多個(gè)層面維護(hù)網(wǎng)絡(luò)運(yùn)營的安全性和穩(wěn)定性。

2 身份認(rèn)證過程現(xiàn)存風(fēng)險(xiǎn)探析

2.1 重播攻擊

攻擊者獲取認(rèn)證成功的數(shù)據(jù)分組之后，對該數(shù)據(jù)進(jìn)行多次使用，假冒合法用戶對系統(tǒng)進(jìn)行登錄，從而令認(rèn)證安全存在巨大隱患。

2.2 暴力破解

暴力破解涵蓋了窮舉法和密鑰猜測攻擊2種攻擊方式。窮舉法是羅列出所有可能的密碼，并對它們逐個(gè)展開推算，直到最終獲取正確密碼。密鑰猜測攻擊的含義是以截獲的密文為依據(jù)，攻擊者對密鑰展開猜測，并最終獲取到正確密碼。

2.3 釣魚攻擊

攻擊者將自己偽裝成某些企業(yè)或個(gè)人騙取用戶信任，在此基礎(chǔ)上誘導(dǎo)用戶點(diǎn)擊某網(wǎng)站并把個(gè)人信息輸入其中。通過這種方式攻擊者就能夠得到用戶的諸多敏感信息。通常即時(shí)通信、郵件等是釣魚攻擊的常用渠道。

2.4 中間人攻擊

攻擊者處于通信雙方的中間位置，也就是說位于客戶端和服務(wù)器端通信線路的中間，攻擊者會(huì)對原本的通信線路加以破壞，從而獲取其中一端的消息，之后再對這些消息進(jìn)行轉(zhuǎn)發(fā)，但接收端對象可能會(huì)發(fā)生改變。

2.5 篡改認(rèn)證結(jié)果

客戶端對認(rèn)證信息加以提交，服務(wù)端認(rèn)證模塊對其展開認(rèn)證判斷，并且把認(rèn)證結(jié)果發(fā)送回客戶端。攻擊者借助某種技術(shù)對認(rèn)證結(jié)果進(jìn)行非法獲取和修改，并將修改之后的結(jié)果發(fā)送回客戶端，從而實(shí)現(xiàn)身份認(rèn)證[4]。

2.6 撞庫攻擊

在某種業(yè)務(wù)中，攻擊者對其中泄露出來的用戶名及密碼等進(jìn)行獲取，并形成字典表，之后運(yùn)用這些信息在其他業(yè)務(wù)領(lǐng)域進(jìn)行登錄，從而獲取一系列能夠登錄成功的用戶名及密碼等信息。

2.7 Session攻擊

為了確保用戶狀態(tài)正常，客戶端應(yīng)將其特定的身份標(biāo)識傳送給服務(wù)器端。之后服務(wù)器端對該標(biāo)識進(jìn)行驗(yàn)證，看其是否具備合法性。在此種背景下，攻擊者也可以通過非法方式獲取身份標(biāo)識，例如借助網(wǎng)絡(luò)嗅探工具或者是暴力破解等，令自己順利實(shí)現(xiàn)對系統(tǒng)的訪問。

3 網(wǎng)絡(luò)身份認(rèn)證技術(shù)發(fā)展趨勢

3.1 生物身份認(rèn)證新技術(shù)

以往的生物身份認(rèn)證主要借助對人體特征的識別實(shí)現(xiàn)，但生物身份認(rèn)證新技術(shù)卻突破了這一限制，開始從思維和行為層面展開識別。行為身份認(rèn)證技術(shù)通過采集使用者規(guī)律性的生活習(xí)慣來對使用者的身份進(jìn)行認(rèn)證。通常身份認(rèn)證系統(tǒng)會(huì)跟蹤并記錄使用者的行為習(xí)慣，并在此基礎(chǔ)上構(gòu)建起使用者特定的行為身份模型。若是使用者實(shí)施的行為無法匹配系統(tǒng)模型，那么安全系統(tǒng)就會(huì)立即發(fā)出警報(bào)取消使用者的權(quán)限。思維身份認(rèn)證則屬于更高層次的識別技術(shù)，該技術(shù)往往借助外端檢測設(shè)備對使用者在面對特定問題時(shí)的腦波頻率信號進(jìn)行檢測，并將它們和原本的數(shù)據(jù)進(jìn)行對比，以此來明確使用者的身份是否正常[5]。

3.2 量子密碼身份認(rèn)證

該技術(shù)是在密碼學(xué)、量子力學(xué)的根基上生成的身份認(rèn)證新技術(shù)，它對使用者的身份信息進(jìn)行量子化處理，借助量子傳輸通道對使用者的身份密鑰進(jìn)行傳遞。通過量子力學(xué)的海森堡測不準(zhǔn)定律可知，同樣時(shí)間下無法同時(shí)精確地測算出單個(gè)量子的位置和速度，因?yàn)樵跍y量其中一項(xiàng)時(shí)就會(huì)對另外一項(xiàng)造成影響。以測不準(zhǔn)定律為根基，在對量子密碼進(jìn)行傳輸時(shí)就可以有效防止密碼被復(fù)制，即便強(qiáng)行復(fù)制也無法得到完全準(zhǔn)確的使用者身份信息。另外，即便有人通過技術(shù)手段非法攔截量子密碼身份認(rèn)證信息，攔截者也無法對密碼進(jìn)行破譯?？芍孔用艽a身份認(rèn)證技術(shù)的出現(xiàn)令身份認(rèn)證的安全性邁上了一個(gè)新臺階。

3.3 IBE身份認(rèn)證技術(shù)

IBE身份認(rèn)證技術(shù)指的是把當(dāng)前使用者公開的部分?jǐn)?shù)字信息當(dāng)作公鑰加密的一種技術(shù)。在此種技術(shù)下，使用者無須對對方的公鑰證書進(jìn)行獲取，能夠直接借助對方的數(shù)字標(biāo)識來加密身份信息。此種認(rèn)證方式相較而言更為簡單便捷，并且有著多種優(yōu)勢：第一，該技術(shù)對橢圓曲線加密算法進(jìn)行了運(yùn)用，縮短了密鑰長度，且增強(qiáng)了密鑰的安全性；第二，它令身份認(rèn)證步驟變得更為簡單，弱化了對公鑰證書的依賴程度，同時(shí)緩解了服務(wù)器的運(yùn)算壓力；第三，它能夠動(dòng)態(tài)地對使用者進(jìn)行授權(quán)，在動(dòng)態(tài)環(huán)境中依照使用者的標(biāo)識信息賦予其對應(yīng)的權(quán)限級別；第四，在該技術(shù)下，更換使用者私鑰更加簡單[6]。

4 結(jié)束語

在網(wǎng)絡(luò)應(yīng)用服務(wù)中，身份認(rèn)證是不可缺少的關(guān)鍵環(huán)節(jié)，伴隨著網(wǎng)絡(luò)支付、電子商務(wù)等的進(jìn)一步發(fā)展普及，身份認(rèn)證技術(shù)的前景無疑會(huì)更加廣闊。本文對網(wǎng)絡(luò)安全視域下的身份認(rèn)證技術(shù)的概念及種類展開了詳細(xì)分析，并對其現(xiàn)存風(fēng)險(xiǎn)及未來趨勢進(jìn)行了深入探究，對身份認(rèn)證技術(shù)的發(fā)展及改進(jìn)有著突出的現(xiàn)實(shí)意義。