最有看点的互联网金融门户

最有看点的互联网金融门户
专栏国内资讯金融信息服务

身份认证应用探索(一):公共安全领域第一道防线

本文共4137字,预计阅读时间139

身份认证在安全系统中的地位极其重要,是最基本的安全服务,其它的安全服务都要依赖于它。一旦身份认证系统被攻破,系统的所有安全措施将形同虚设。本文节选汪德嘉博士《身份危机》一书中身份认证技术应用章节,与大家分享身份认证技术在在政企、军事、社保等领域中重要意义!

公安:身份核查系统提供公民身份溯源

全国公民身份证号码查询服务中心成立于2001年3月27日,是由中央机构编制委员会(中编办[2001]36号)批准成立的公安部直属自收自支事业单位。“中心”负责全国人口信息库的系统建设和系统运营,自成立以来,“中心”已经向税务、银行、保险、证券、汽车金融等行业用户及各大公司人力资源部提供公民身份信息服务,核查量累计超过4000万次。

公安部全国公民身份证号码查询服务中心正式面向公民个人推出公民身份信息核查、同名同姓查询网上自助服务。公民可以登录身份查询中心网站(www.nciic.com.cn)进行核查,公民可通过公安部的上网自助服务,可用于房东和房客之间、家教的双方、网上交易的双方、网上交友的多方相互进行身份信息查询,从而确认对方身份的真实性和可信度。

社保局:声纹识别或成认证被保人身份的关键

社保社会化以后,因为就业单位的搬迁、变更、关闭,退休人员异地养老等原因,造成投保人员频繁流动、分散。所以确定投保人的生存状况一直是社保支付理赔工作中的一个难题,全国各地陆续出现了社保基金被冒领的现象,尤其是养老保险金被冒领的情况更为严重;解决这一难题的唯一出路在于采用生物识别技术进行身份认证,而语音生物特征(声纹)识别是唯一可用于非接触式、通过电话网络远程安全控制的生物识别方法。

养老金能否被冒领的关键问题之一就是:能否快速安全准确地远程识别和确认社保对象的身份;只要能通过某种简单方便且安全可靠的手段确保身份合法,就可以基本杜绝养老金被非法领取的现象。

如果能够预先采集到养老金领取人的声音样本,从中抽取出声纹识别“基因”序列,然后在定期的资格认证时,将领取人的声纹与声纹库中的声纹进行比对确认,就能够轻易地判断领取人是否合法。对于极少量的聋哑人群等特殊人群,再辅以人工检查手段确认。这样两者结合起来,不仅将大幅度降低冒领的可能性,而且极大地提供社保服务机构的工作效率。

军事:不得不提的认证、防护与档案管理

军用网络安全技术的发展与军事需求密切相关,一般来讲,由于军用网络承载的业务大多为各类指挥信息,涉密度高,因而对网络安全技术提出了很高的要求。

一、军用网络身份认证技术及防护策略

军用网络必须对用户身份进行准确识别,才能保证各级用户按照规定的权限存取数据,不发生越权访问事件。身份认证一般采用口令认证、生物特征认证、机器码认证等手段实施,美军为其军事人员配发了身份认证卡,确保其在任何位置、任何时间访问军用网络时,都能准确标示其身份信息。

军用网络安全,“三分靠技术、七分靠管理”,要针对军用网络的特点,对组成网络的各个关键点采取不同的安全防护策略,并在管理上加强教育。如要按规定进行网络安全测试检查、定期进行杀毒维护、加强系统日志审计,确保防患于未然,并采取交叉的、后备的保护措施,维护安全体系的相对独立性、并对每一种安全措施都精心筹划,不给黑客留下死角。

二、军事数字档案馆统一身份认证

1、军事数字档案馆对身份认证需求

1)敏感信息共享带来的系统各实体间的相互认证问题:军队数字档案馆上的实体主要包括用户和服务器,由于在军队数字档案馆上共享的数据往往是军队内部的重要信息。因此需要防止非法用户访问,因此服务器必须对提出访问请求的用户进行身份认证。同时,为了防止用户身份信息被假冒的服务器窃取,还要对服务器进行认证。

2)多用户共享信息带来的身份认证问题:军队数字档案馆为军队所有用户使用,网上共享的信息的保密级别不同,各个用户对于不同的信息的访问权限也不同。为了保护敏感信息,必须能够提供强有力的身份认证,才能给合法用户授予正确的权限,并防止非法用户的访问和合法用户的越权访问。

3)多个应用系统带来的用户的多次登录问题:为了方便用户,减少对多个用户名口令的维护工作和安全问题,系统要在保证系统安全的前提下,做到用户登录各个应用系统的尽量简化。

4)多用户带来的用户管理问题:与军队人事变动相关,系统管理员必须及时地增加,删除和修改用户,由于各个应用系统中都有一个用户数据库,存有与应用系统资源相关的用户名,口令字,用户权限等,系统的用户管理方案必须让管理员统一高效地修改用户信息,同时避免用户信息更新不及时带来的各种安全问题。

5)潜在威胁:防止军队数字档案馆内外部存在的各种潜在的威胁,包括重发攻击、智能卡的盗用、智能卡的复制、监听用户身份信息和认证消息的篡改。

6)系统必须具有高度的兼容性:军队数字档案馆上多个应用系统具有多样性,可能使用不同的客户端和服务器。例如,对于web应用,作为客户端的浏览器可能是Netspace、InternetExplore、而web服务器可能是Netspace Fast Track Server,Windows上的IIS,Oracle的WebServer等。因此认证系统本身必须独立于具体的应用程序。同时,由于应用系统本身具有独立性和完整性,有用户的登录和用户的身份认证机制,在增加整个系统安全性的同时应当尽可能的避免对应用系统本身结构和功能的修改。

7)系统结构必须具有高度的灵活性:军队数字档案馆上多个应用系统具有多平台特性,运行于不同的操作系统,因此认证系统的结构必须具有高度的灵活性,能够适用于多种应用平台共存的军队数字档案馆结构,同时系统的结构还应具有高可缩放性,适应于将来应用系统的增加或改变,以及系统自身功能的扩展。

2、解决方案

1)建立一个公钥基础结构:在军队数字档案馆上设置一认证服务器AS(AuthenticationServer),作为权威机构CA,进行公钥证书的产生和用户的身份认证。CA使用自己的私钥签名产生的公钥证书,CA自己的公钥在为军队数字档案馆上每个实体拥有并绝对信任。军队数字档案馆上的服务器和用户拥有CA签名的公钥证书。使用公钥证书,用户和服务器端相互进行强身份认证。

2)使用智能卡进行用户的双因子身份认证:使用智能卡(IC卡或者是USB接口的卡)存放用户的私钥,智能卡使用保护。每一个客户端的计算机都连接读卡器或者是拥有的USB接口。当用户要求登录军队数字档案馆门户网站,进行应用系统的访问时,系统要求用户插入智能卡,同时还必须输入智能卡的PIN号码。智能卡为系统的安全提供了硬件基础,通过智能卡技术,双因子的身份认证机制为系统提供了更高的安全性。这种认证方式是针对进入军队数字档案馆门户的用户,进入各个应用系统的强制认证方式。

3)采用改进的基于角色的用户管理方案:考虑到军队数字档案馆门户和部队用户流动性大等特点,该系统采用基于角色的用户管理方案。

4)用户的有限集中统一管理:使用军队数字档案馆统一的用户ID号唯一标识系统的用户,同一个用户对于各个应用系统使用各自应用系统的用户名和口令字。在认证服务器端,设置一个中心用户数据库,统一存放着系统用户个人身份认证信息和关联过的所有应用系统的认证信息。在各个的应用系统,都有一个各自用户库,存有与该应用系统有关的用户信息。其中的中心用户数据库必须与各个应用系统的独自用户库中的用户身份信息保持一致。系统提供对用户中心数据库的管理界面,让系统管理员对中心数据库统一进行操作,然后通过后台的更新代理程序将全系统内各个用户库的认证信息保持同步,从而实现了集中、统一、高效的用户管理。

5)基于代理的灵活结构:从军队数字档案馆本身结构的开放性考虑,认证系统没有采用紧密祸合的结构,而是通过在客户端和服务器端加载代理程序,代理程序端和服务器端间的登录以及所有访问请求。这种松散藕合的结构,可以很方便的增加新的应用系统或者取消原来的应用系统,利于系统的扩展。同时通过编制不同平台的代理程序可以充分满足军队数字档案馆的多平台特性。独立于具体应用系统之外的代理程序使得认证系统可以很好地与现有的数字档案馆应用系统兼容。应用系统只需做很小的改动或者几乎可以不做任何的改动。

6)用户一次身份认证和安全透明的应用登录:用户在初次发出军队数字档案馆应用系统访问请求时,系统在客户端驻留的代理程序将要求用户插入智能卡并输入PIN号码,然后系统将进行用户身份认证,并给通过了身份认证的用户的客户端代理程序颁发一个有时效的访问令牌。用户只需要在初次访问军队数字档案馆时进行插卡登录,其后的应用系统的登录对用户是透明的。避免了口令字在网上的明文传输。对于一般用户(时间短,权限小)的用户来说从而节省费用和简化手续。

7)对多种攻击方法的安全防范:防止重发,使用时间戳加随机数及客户端的IP地址防止智能卡的盗用和复制使用智能卡的PIN号,同时使用用户的访问记录,监测智能卡的盗用防止用户身份信息的监听和篡改用户口令,ID号传输的加密和完整性验证,认证信息的完整性保护。

8)认证系统使用帐号关联和个性化定制,实现个性化服务:军队数字档案馆中的资源很多,涉及到众多的应用系统和平台,而军队数字档案馆的各个用户,日常访问以及有权访问的应用系统和平台,有着各自的差异,通过帐号关联和个性化定制,实现按需服务和个性化服务的特点。

结语:身份验证技术不仅应用在政府机关、军事等领域,在其他领域,如:金融单位、电信企业、安防、物流平台、商业流通等领域都有着很大应用,对于保障金融领域交易安全、电信企业防骗终端和欠费骗费、物流行业防止假司机骗货、用人单位确认员工身份、教育考试领域预防“枪手”代考等产生了积极效果,遏制和打击了利用假身份证进行欺骗和犯罪的行为。身份认证技术在各种不同领域中都有着很重要地位,是安全保障的核心,在接下来的章节中将为大家继续分享身份信认证技术在其他不同领域的应用,敬请期待!

本文系未央网专栏作者汪德嘉发表,属作者个人观点,不代表网站观点,未经许可严禁转载,违者必究!


用微信扫描可以分享至好友和朋友圈

扫描二维码或搜索微信号“iweiyangx”
关注未央网官方微信公众号,获取互联网金融领域前沿资讯。

发表评论

发表评论

您的评论提交后会进行审核,审核通过的留言会展示在下方留言区域,请耐心等待。

评论

您的个人信息不会被公开,请放心填写! 标记为的是必填项

取消

汪德嘉 | 通付盾科技未央青年

26
总文章数

通付盾公司创始人、董事长兼CEO,时空码的发明者;数字空间身...

隐私信息“裸奔”:论网上证券交易身份认证的重要性

汪德嘉 | 通付盾科技 06-08

身份管理与认证平台Auth0获5500万美元D轮融资

Paul Sawer... | 猎云网 05-17

从全局看未来 态势感知成身份识别大杀器

汪德嘉 | 通付盾科技 04-27

多因子身份认证如何实现基于风险的匿名身份识别

汪德嘉 | 通付盾科技 04-20

闻声识人:声纹识别技术轻松解决身份认证问题

汪德嘉 | 通付盾科技 04-13

版权所有 © 清华大学五道口金融学院互联网金融实验室 | 京ICP备17044750号-1