网络窃密、监听和防泄密技术-安全接入和身份认证

1、第13章 安全接入和身份认证 13.1 可信计算技术13.2 网络安全接入13.3 网络身份认证13.1 可信计算技术可信计算组织(Trusted Computing Group，TCG)对“可信”的定义是：一个实体在实现给定目标时，若其行为总是如同预期，则该实体是可信的。这个定义将可信计算和当前的安全技术分开，可信强调行为结果可预期，但并不等于确认行为是安全的，这是两个不同的概念。从TCG的定义来看，可信实际上还包含了容错计算里可靠性的概念。可靠性保证硬件或者软件系统性能可预测。 13.1.1 可信计算概述1999年10月，为了解决PC机结构上的不安全问题，从基础上提高其可信性，由几大IT巨

2、头Compaq、HP、IBM、Intel和Microsoft牵头组织了可信计算平台联盟(Trusted Computing Platform Alliance，TCPA)，成员包括190家公司。TCPA定义了具有安全存储和加密功能的可信任平台模块(Trusted Platform Module，TPM)，致力于数据安全的可信计算，包括研制密码芯片、特殊的CPU、主板或操作系统安全内核。2003年3月TCPA改组为TCG，TCG在原TCPA强调安全硬件平台构建的宗旨之外，更进一步增加了对软件安全性的关注，旨在从跨平台和操作环境的硬件组件和软件接口两方面，促进不依赖特定厂商开发可信计算环境。TCG

3、组织以TPM为核心，逐步把可信由TPM推向网络和各种应用。现在TCG组织分成下列几个工作组： (1) 认证工作组。该组定义可信计算平台的认证机制的规范，包括生物识别与认证、智能卡等。(2) 硬件复制工作组。该组定义用于硬件复制设备的、开放的、与厂商无关的规范，硬件复制设备可利用TCG组织构建自己的可信根。(3) 基础结构工作组。该组定义结构框架以及整合结构的接口标准和元数据。(4) 移动工作组。该组定义可信的移动设备，包括手机、PDA等。(5) PC客户端工作组。该组为使用TCG组织的PC客户端提供公共的功能、接口及与安全性私密性相关的必要支撑条件。(6) 服务器工作组。该组为TCG技术实现服

4、务器提供定义、规范、指南等。 (7) 软件栈工作组。该组为利用TPM的应用系统厂商提供一组标准的API接口，目标是对使用TPM功能的应用程序提供一个唯一入口：提供对TPM的同步访问；管理TPM的资源；适当的时候释放TPM的资源等。(8) 存储工作组。该组重点制定专用存储系统的安全服务标准。(9) 可信网络连接(Trusted Network Connect，TNC)工作组。该组负责制定在接入控制阶段和接入后对端点进行完整性验证的方法、策略、标准和协议。(10) TPM工作组。该组制定TPM规范。TPM是可信根，该根是其他工作组的基础。(11) 虚拟化平台工作组。该组着重虚拟化平台上的可信计算。

5、 可信计算的主要手段是进行身份确认，使用加密进行存储保护及使用完整性度量进行完整性保护。基本思想是在计算机系统中首先建立一个信任根，再建立一条信任链，一级测量认证一级，一级信任一级，把信任关系扩大到整个计算机系统，从而确保计算机系统的可信。可信计算的主要思想是在硬件平台上引入安全芯片架构，提供硬件级底层安全保护、可靠身份识别、高强度加密等功能，从而将部分或整个计算平台变为“可信”的计算平台。可信计算平台的安全性根植于具有一定安全防护能力的安全硬件，它基于安全硬件实现隔离计算、计算环境完整性保证和远程安全性质证明等服务，以保证平台上计算实体行为的可信性，从而解决远程信任问题。基于以上的思想，TC

6、G计算机使用TPM安全芯片对硬盘中的数据进行加密。TPM安全芯片可以插入主板或直接以焊接到主板上的方式进入主机，还可以将它们与BIOS集成在一起。TPM实际上就是在计算机系统中加入了一个可信第三方，通过可信第三方对系统的度量和约束来保证一个系统可信。 在硬件级底层安全保护方面，TCG计算机使用自主可信计算根技术，在计算机启动时对操作系统进行校验，使只有用户设定的操作系统和应用软件才能正常加载运行。可信计算根会在启动之初对计算机系统中所有的运行软件进行可信性(完整性)分析，由此判定它们是否被非授权篡改。若判定不可信则阻止该软件运行，并自动恢复其合法的版本。因此计算机一旦嵌入了该技术，即可在启动操

7、作系统时发现内核已改，并根据用户需求进行阻止和恢复。由此，不仅能从硬件安全基础层面提升安全性，也能避免非法软件自运行的情况发生。 13.1.2 安全芯片的国内外发展现状在可信计算理论的实现上，目前国内外均致力于安全芯片的研制，主要分为国外的TPM和国内的TCM两大阵营。TPM安全芯片是指符合TPM标准的安全芯片，TPM标准由TCG制定。TCG是专门致力于制定可信计算标准的非营利性机构，它从安全的BIOS、安全的硬件、安全的操作系统、安全的网络连接等PC平台的各个方面入手来重新构建一个可信的计算机平台标准，作为安全产业基础的TCG标准将渗透到IT各个领域，包括PC平台(台式和笔记本)、手持移动设

8、备平台、可信网络接入及应用中间件、服务器平台、存储系统、应用软件等所有环节。TCG提出了TPM标准。符合TPM标准的芯片首先必须具有产生加密密钥和解密密钥的功能，此外还必须能够进行高速的资料加密和解密，以及充当保护BIOS和操作系统不被修改的辅助处理器。 为避免影响国家战略安全的核心技术控制在某些特定的国家/机构手中，中国及很多其他的国家/组织也在同步进行可信计算平台的研究和部署工作。其中，部署可信计算体系中，密码技术是最重要的核心技术。具体的方案是以密码算法为突破口，依据嵌入芯片技术，完全采用我国自主研发的密码算法和引擎，来构建一个安全芯片，称为可信密码模块(TCM)。TCM安全芯片主要通过

9、三个功能保护用户计算环境的可信： (1) 底层安全加固。安全芯片在开机时就会监控系统程序的装载，一旦发现某个程序状态异常就发出警报乃至禁止其运行。(2) 用户身份证明。TCM安全芯片中存储有标识平台身份的密钥，会在必要时通过签名或者数字证书的相关机制，向外界表明自己的身份，而且标识号是全球唯一的。(3) 数据加密。经过TCM安全芯片进行加密的数据就只能在该平台上进行解密和处理，从而把机密数据绑定在该平台上，即使数据被盗，因为脱离了对应平台而离开了解密密钥，数据将无法被识别，从而实现机密数据盗走也看不到，看到也传播不了的效果。 13.1.3 可信任平台模块(TPM)任何可信都是建立在某一个层次上

10、的，如果能直接访问更低的层次，那么上一个层次的保护将是毫无作用的。传统的系统中，密钥和授权信息都直接存储在内存和硬盘中，攻击者有很多方法来获取它们。在可信计算的体系中，所有这些机密数据都是由TPM来保护的。这样，攻击者只有攻破TPM才能攻破系统的防护。这样，TPM成为系统可信的最低层次，它提供了整个系统可信的基础。在TCG系统中，可信根(Root of trust) 是无条件被信任的，系统并不检测可信根的行为，因此可信根是否真正值得信任，是系统可信的关键。 TPM安全芯片是可信根的基础。TPM是一个含有密码运算部件和存储部件的小型片上系统，其规格往往是作为单个独立芯片产品来提供的，但是也可以作

11、为另一个芯片的一部分出现，比如以太网接口。如图13-1所示，TPM安全芯片包含了分别实现RSA、SHA-1和HMAC算法的多个硬件处理引擎，以及一个随机数字生成器。它既是密钥生成器，又是密钥管理器件，同时还提供了统一的编程接口。TPM通过提供密钥管理和配置管理等特性，与配套的应用软件一起，主要用于完成计算平台的可靠性认证、防止未经授权的软件修改、用户身份认证、数字签名以及全面加密硬盘和可擦写媒体的数据等功能。 图13-1 TPM内部结构 将TPM安装在输入/输出控制器(I/O Controller)，即连接外部设备与内存的总线中，让TPM可以监视每一个从外存装载入内存的软件。由于TPM处于硬件

12、层，所以只要用户选择了打开TCG功能，任何行为都无法逃避监视。TPM安全芯片首先验证当前底层固件的完整性，如正确则完成正常的系统初始化，然后由底层固件依次验证BIOS和操作系统完整性，如正确则正常运行操作系统，否则停止运行。之后，利用TPM安全芯片内置的加密模块生成系统中的各种密钥，对应用模块进行加密和解密，向上提供安全通信接口，以保证上层应用模块的安全。 TPM会按照整个系统及应用软件栈的装载顺序来监视装载到计算平台上的所有软件，TPM采用哈希扩展算法，以哈希值特征的形式来存储所有能够被平台装载的全部软件。例如，在X86平台运行过程中，从机器加电启动开始，TPM将按照如下的顺序监视/度量软硬

13、件系统及应用软件栈的装载过程：BIOS、MBR(引导扇区内容)、OS装载器(MBR所指向的一个足够大的磁盘区域，从其能够导入一个足够大的程序来执行OS的装载)、OS、用户应用程序1、用户应用程序2用户应用程序n。如此顺序装载的程序叫做一个链(Chain)，监视/度量的过程就是对该软件哈希计算的过程。TPM将计算平台上的整个软件链的哈希值进行记录，之后就能够把该平台上的软件加载状况向管理/安全中心报告。TPM可以对每个报告进行数字签名，确保报告的真实性。假定在这样一个链中的这些程序都是正确的，则这个从底部BIOS开始到顶部用户应用程序的链就叫做信任链(a Chain of Trust)，而BIO

14、S又叫做信任根(the Root of a Chain of Trust)。通过TCG技术，管理/安全机构可以通过TPM实时获得平台软件状况，据此判断处于各逻辑层次软件的合法性、安全性等，进而完成之后的管理和防御工作。 13.1.4 TPM在关键行业的应用 1军队应用可信计算技术在军队的应用主要集中在“身份验证”上。考虑到军队应用环境比较复杂，可以采取单机版和网络版相结合的混合部署。网络版挂接可信服务器，配合实施双网隔离、并通过双因素手段提高授权人身份可信度。现代化的军队机动性很强，组网模式多变，可信安全方面的需求也会随之发生较大变化。运用集成化的可信安全平台，可实现动态、高效的可信管理。 2

15、政府应用各级政府职能部门主要使用可信计算的“数据加密”功能。政府部门每天都要面对公众处理日常事务，对象相对复杂，增加了流失和泄露机密文件的概率，因此其数据交换的加密要硬件级的，而且密码必须存于硬件中。应用于政府部门的安全计算机通常会实现基于TCM安全芯片的硬件级加密方案，保护计算机上的机密数据。 3企业应用大型企业内部网络结构复杂，应用众多，需要进行大量的跨部门信息传递。因此，它对可信计算技术的需求最为强烈，以解决底层安全、身份认证、数据加密、集成管理等一系列问题。伴随着行业竞争的加剧，各级企业对非法窃取本公司商业机密的行为也都给予了足够的重视，其中，利用可信应用进行数据保全无疑是最好的解决办

16、法。企业用户的部门观念都相对较强，有些甚至达到了各自为营的地步，而集成管理平台可提供“授权密网”功能，为部门间的信息沟通与密文阻隔搭建平台。域令牌被实时存储于TCM芯片中，随用随取，而机要文件始终以域的方式存在。数据永远都处于企业网域的授权控制下，以增加信息资料的保密程度。 13.2 网络安全接入 13.2.1 概念和原理虽然多数用户并没有恶意企图，但未授权的计算机会给机构带来巨大的安全风险。安全接入技术的主要思路是从终端着手，通过定义和管理安全策略，并引入性能评估和增强化的方法，对接入私有网络的主机进行安全性检测，自动拒绝不安全的主机接入保护网络，同时还可以禁用或控制那些用户计算机上的高风险

17、应用程序，直到这些主机符合网络内的安全策略为止，从而可以减少机构的漏洞，避免了某些含有较多安全漏洞的终端成为整个网络的“安全短板”的可能。 网络接入控制(NAC)关键要求是确认并阻止欺诈性计算机，它已成为阻止潜在的窥探和攻击者的一种重要工具，也可用于管理复杂的Web许可和授权，这些许可和授权可适应于不同的用户组访问不同的网络部分。NAC还有助于企业与外部的规章和内部的策略保持一致性，并可以保护网络资源免受不断发展的网络威胁的危害。NAC的主要功能可分为以下三个部分：(1) 减少0天攻击风险。此功能防止缺乏反病毒、补丁、主机入侵防御软件的终端访问网络资源，并可阻止这种设备将其他计算机置于风险之中

18、。 (2) 增强策略。此功能允许网络操作员定义策略，例如，具体指定允许访问网络的用户角色或计算机类型，并在交换机、路由器等网络设备中强化这些策略。(3) 身份和访问管理。传统的IP网络根据IP地址增强访问策略，而NAC环境根据用户身份来增强安全性。如图13-2所示，安全接入系统的基本结构包含三个基本部分：访问请求者、策略决策点和策略执行点。策略决策点和策略执行点的单独功能可包含在一台服务器上，也可分散在多台服务器之间。一般而言，访问请求者负责请求访问，策略决策点负责指定策略，而策略执行点负责执行策略。 图13-2 安全接入技术理论模型 访问请求者是试图访问网络的节点，它可以是由安全接入系统管理

19、的任何设备，包括工作站、服务器、打印机、照相机及具有IP功能的其他设备。访问请求者可能自行执行主机评估，也有可能由另外某个系统来评估主机。访问请求者的评估结果被发送到策略决策点。策略决策点是核心部分。根据访问请求者的状况和定义的策略，策略决策点确定应当授予哪种访问权。在许多情况下，安全接入产品管理系统可能充当策略决策点。策略决策点依赖后端系统(包括反病毒、补丁管理或者用户目录)，以便帮助确定主机的条件。举例来说，反病毒软件管理器会确定主机的反病毒软件和特征版本是不是最新的，然后通知策略决策点。一旦策略决策点确定运用哪个策略，就会把访问控制决策传送给策略执行点以便执行。策略执行点可能是网络设备(

20、如交换机、防火墙或者路由器)，可能是管理动态主机配置协议(DHCP)或者地址解析协议(ARP)的带外设备，也可能是访问请求者机器上安装的访问代理软件。 13.2.2 安全接入技术实现方式分类按部署的位置而言，安全接入控制技术主要分为两大类：基于网络的接入控制和基于主机的接入控制。基于网络的接入控制主要有EAPOL(Extensible Authentication Protocol Over LAN)技术、EAPOU(Extensible Authentication Protocol Over UDP)技术；基于主机的接入控制主要有应用接入控制、客户端接入控制。1基于网络的接入控制基于网络的

21、接入控制方案的典型代表是Cisco NAC技术。网络接入的概念是由Cisco普及的，Cisco的NAC除了EAPOL，还有EAPOU(EAP Over UDP)。 (1) EAPOL。EAP是Extensible Authentication Protocol的缩写，EAP最初作为PPP的扩展认证协议，使PPP的认证更具安全性。无线局域网兴起后，人们在无线局域网接入领域引入了EAP认证，同时设计了专门封装和传送EAP认证数据的IEEE 802.1x协议格式。802.1x协议除了支持WLAN外，也支持传统的局域网类型，比如以太网、FDDI、Token Ring。EAP与802.1x的结合就是EA

22、POL(EAP Over LAN)，或者称为EAP over 802.1x。作为一种标准局域网的数据包协议，802.1x几乎得到所有网络设备厂商的支持。EAPOL不仅能用来解决终端计算机身份认证的问题，也可以用来认证计算机的安全状态。在进行身份认证的同时检查终端计算机的安全状态，并能根据认证状态设置端口状态，动态切换VLAN，或者下载ACL列表。因为802.1x协议被网络厂商广泛支持，所以EAPOL是支持范围最广的网络接入技术。EAPOL的优点是它可以做到最严格的接入控制，控制点是网络的接入层交换机，最接近终端计算机，对不符合策略的计算机可以完全禁止其访问任何网络，使其对网络的危害最小。 (2

23、) EAPOU。与EAPOL国际标准协议不同的是，EAPOU是Cisco的专有协议，即独家技术。EAPOU是Cisco NAC技术的第一个实现版本，2003年最早在Cisco的路由器上实现，后来在Cisco的3层交换机上也实现了EAPOU。EAPOL是在网络接入层进行接入控制，而EAPOU则是在网络的分布层或核心层进行接入控制。EAPOU的工作原理是当支持EAPOU的分布层设备接收到终端设备发来的数据包时，分布层EAPOU设备将要求终端设备进行EAP认证。EAP认证包封装在UDP包内，在EAP认证的内容中，身份认证其实并不重要，重要的则是安全状态认证。如果安全状态不符合企业策略，分布层EAPO

24、U设备将从策略服务器上下载ACL，限制不安全的客户端的网络访问，并对其进行修复。EAPOU技术的优点是它对网络接入设备要求不高，因而覆盖面较高，而且分布层设备一般明显少于接入层设备，因此部署相对要容易一些。 思科的网络接入控制NAC技术，微软的网络访问保护技术NAP以及TCG组织的可信网络连接TNC技术是很有代表性的安全接入技术，在目标和实现上具有很大相似性。首先，其目标都是保证主机的安全接入，即当PC或笔记本接入本地网络时，通过特殊的协议对其进行校验。除验证用户名密码、用户证书等用户身份信息外，还验证终端是否符合管理员制定好的安全策略，如操作系统补丁、病毒库版本等信息。并各自制定了自己的隔离

25、策略，通过接入设备(防火墙、交换机、路由器等)，强制将不符合要求的终端设备隔离在一个指定区域，只允许其访问补丁服务器进行下载更新。在终端主机没有安全问题后，再允许其接入被保护的网络。 其次，三种技术的实现思路也比较相似，都分为客户端、策略服务以及接入控制三个主要层次。NAC分为主机请求网络接入(Hosts Attempting Network Access)、网络接入设备(Network Access Device)、策略决策点(Police Decision Points)三层；NAP分为NAP客户端、NAP服务器端、NAP接入组件(DHCP、VPN、IPsec、802.1x)；TNC分为A

26、R、PEP、PDP三层。 同时，由于三种技术的发布者自身的背景，三种技术又存在不同的偏重性。NAC由于是Cisco发布的，所以更强调网络接入硬件设备(如交换机等)在其架构中的重要性；NAP则偏重在终端代理以及接入服务组件；而TNC技术则重点放在与TPM绑定的主机身份认证与主机完整性验证上，TNC的目的是给TCG发布的TPM提供一种应用支持。表13-1对两种典型的安全接入方式进行了比较。 从产品实现的角度而言，厂商提供的NAC产品类型有很多种。根据其使用的主要方法，可将NAC分为如下几种类型：(1) 基于代理的NAC。这种NAC产品依赖于安装到端点设备上的一个软件，即所谓代理。此代理与一个具有网

27、络连接的NAC服务器或设备通信。这种方法相对简单，但不太灵活，并要求在终端设备上安装和运用特定的软件。(2) 无代理的NAC。这种方法不要求在个人桌面和笔记本电脑等终端设备上安装一个特别代理。与之相反，代理是被存储在一个临时目录中的。不使用代理可使部署更简单，并可简化NAC的操作。 (3) 内联NAC。NAC的运行就如同一个网络访问层的防火墙一样，它掌管着通过它的所有客户端通信，并可以增强安全策略。这种方法相对简单，但在较大的网络中会产生吞吐量瓶颈。这种方法会随着时间的推移而引起成本增加，因为在通信量增加时，会要求增加更多的内联设备。(4) 带外NAC。这种方法使用现有的架构来增强性能，典型情

28、况下它是分布式的，因为客户端要将数据传输给中心控制台，控制台根据获得的实时信息，及时调整交换机的安全控制策略。相对而言，这种方法颇为复杂，不过它对网络性能造成的负面影响更小一些。 2基于主机的接入控制目前采用基于主机的接入控制技术的典型产品有微软NAP。如果用户的网络设备不支持网络接入，或不想花费部署和管理时间，还可以进行基于主机的接入控制。主机的概念包含网络中除网络设备之外的计算机主机，包括服务器和计算机终端。基于主机的接入控制最大特点就是容易部署。系统及应用接入是在服务器的操作系统中安装接入控制软件，当计算机终端访问服务器时，接入控制软件会检查对方的安全状态。如果符合策略则允许访问，如果不

29、符合将拒绝对方的访问，并给出相关提示。而客户端接入控制是终端相互之间进行访问时，安装在终端上的软件也会检查对方的安全状态。基于主机的接入控制点一般安装在代理服务器、邮件服务器、内网Web服务器、DNS服务器上或DHCP服务器上。这些服务器是企业内部员工最常访问的服务器，因此接入效果较好，覆盖面广。实际部署时，一般只需在一到两个服务器上部署控制点即可做到对全局的接入控制。 基于主机的接入控制优点：(1) 容易部署。一般网络接入配置起来都较复杂，不同型号的设备的配置都各不相同，如果网络规模较大，配置的工作量极其巨大，而基于主机的接入控制只需要在对应的主机上安装一个软件，相对而言容易得多。(2) 适

30、应性好，覆盖面广，不依赖任何网络设备的支持。(3) 对网络性能没有影响。基于网络的接入控制在运行时会根据客户端的认证状态和安全状态改变自己的状态，比如VLAN切换和动态ACL加载，这或多或少都将影响设备或网络的性能，特别是在大规模网络环境下。基于主机的接入控制将其控制分散到每个终端和主机，终端的状态变化对网络没有任何影响。 (4) 访问控制功能最强。基于主机的接入控制能够做到基于进程的访问控制，以及基于进程的带宽管理，因此对蠕虫、木马的防治就能更加积极主动。基于主机的接入控制的缺点主要是控制强度较弱，系统及应用接入控制点处于企业网络的核心，远离终端，而客户端接入依赖于网络中已经广泛部署的客户端

31、。 13.2.3 网络安全接入的实现步骤NAC方案通过评估并强化计算机的安全状态而准许授权的计算机访问。当终端计算机遵循企业的安全策略时，就允许其访问；当不遵循时，就要对其进行隔离或禁止。通过使用基于网络的和基于客户端的增强组合(如DHCP、802.1X、无线局域网、SSL或者IPSec VPN，以及基于客户端的增强等)，这些功能在执行起来最为有效。在多数情况下，网络和客户端软件提供了必须的增强和隔离机制。如图13-3所示，网络安全接入的实现步骤可分为四步：(1) 终端接入和识别。在连接到网络时，即访问资源之前发现端点。 (2) 评估和策略执行。只有对系统进行评估并确认其遵从IT策略后，才准予

32、该系统进行全面的网络访问。对于不遵从IT策略或不满足企业最低安全要求的系统，将对其进行隔离，限制或拒绝其对网络进行访问。(3) 安全控制。对不遵从的端点自动采取补救措施使管理员能够将这些端点快速变为遵从状态，随后再改变网络访问权限。管理员可以将补救过程完全自动化，这样会使该过程对最终用户完全透明；也可以将信息提供给用户，以便进行手动补救。(4) 持续监视和评估。以预先设置的时间间隔主动监视所有端点的遵从状况。如果在某一时刻端点的遵从状态发生了变化，那么该端点的网络访问权限也会随之变化。 图13-3 网络安全接入实现步骤 13.3 网络身份认证 13.3.1 新型多因素认证技术为保证敏感信息受到

33、保护，在用户访问资源之前，必须提供足够强的身份识别信息。这些信息必须由多种识别和因素组成。一个用户提供的因素越多，应用的安全性就越高。从理论上讲，身份认证的主要判别标准有三种：(1) 用户所知道的(Something you know)。此标准根据所知道的信息来证明身份，假设某些信息只有某人知道，比如暗号等，通过询问这个信息就可以确认此人的身份。(2) 用户所拥有的(Something you have)。此标准根据所拥有的物品来证明身份，假设某一物品只有某人才有，比如印章等，通过出示该物品也可以确认个人的身份。 (3) 用户本来就是的(Something you are)。此标准直接根据独一

34、无二的身体特征来证明身份，如指纹、虹膜等。而从信息化发展的进程来看，指纹、虹膜这样的生物认证技术将是未来的潮流。 目前，口令保护依然是主流的访问认证方式。口令已经植根于社会和公司文化之中。在公司，用户可能需要进入1520个不同的应用才能完成工作，并且每进入一个应用，都得输入一个密码，此时，密码认证不仅成了一种低级的认证方式，而且还会影响员工的工作效率。另外，对于那些不常用的应用程序，密码很容易被忘记，从而造成时间的浪费。密码保护很容易被破坏。面对如此多的密码，许多用户为了图方便而忽视了安全性。往往选择很容易被猜中的密码，而且在多个账户上使用同一个密码，甚至把密码放在容易被复制或盗取的地方。所有

35、这些不良习惯，都可能造成在线密码的失窃。此外，各种间谍软件、键盘记录工具的泛滥，也给密码保护带来了新的威胁。 采用多因素认证可以保证客户端登录网络的唯一性和高安全性。近几年，多因素认证取得了巨大的发展，已经有PIN码认证、智能卡、生物识别、CHAP认证、多因素认证等多种认证体系，不同安全级别的认证方法有很大的区别。对于那些密码保护不能提供足够价值的应用而言，多因素认证技术不仅可以增强安全性，而且还可提高用户的方便性，降低成本。一般可根据不同的安全需求，从以下认证方式中选择一个或多个搭配口令使用： (1) 生物识别(Biometrics)。生物识别是一种基于个体的身体和行为特征对个体进行识别的自

36、动化方法。比较通用的方法有指纹(fingerprint)、面孔(face)、虹膜(iris)、手型(hand geometry)、语音(voice)和签名(dynamic signature)等。生物识别系统对生物特征进行取样，提取其唯一的特征并且转化成数字代码，并进一步将这些代码组成特征模板，人们同识别系统交互进行身份认证时，识别系统获取其特征并与数据中的特征模板进行比对，以确定是否匹配。典型的解决方案用于机场、海关等部门，使用一种叫做“移动虹膜”的生物识别方法，该方法在人们以正常步行速度移动时寻找人的面孔，能够在远距离和宽视野范围内捕捉虹膜图像/面部图像，快速完成对大量人群的自动化识别和检

37、查工作，提高检查效率，避免出现出入境管制瓶颈，改善客户体验。 (2) TPM安全芯片。TPM安全芯片技术通常与指纹识别模块一起使用。普通的指纹识别技术一般是把指纹验证信息储存在硬盘中，而TPM安全芯片技术则是直接将指纹识别信息置于安全芯片中。一旦遭到破解，安全芯片就启动自毁功能，企业的信息资料也就不会泄密了。安全芯片通过LPC总线下的系统管理总线来与处理器进行通信，安全芯片的密码数据只能输入而不能输出。即关键的密码加密与解密的运算将在安全芯片内完成，而只将结果输出到上层。安全芯片和指纹识别配合能达到最高的安全级别。(3) 智能卡。智能卡是一种用于存储个人信息的硬件设备。除非智能卡的所有者通过口

38、令或PIN码登录该卡，否则存储在智能卡的信息无法被访问，这与用户输入一个PIN码来使用ATM卡的方法十分相似。智能卡在PKI及VPN体系中为私钥和证书提供安全存储的载体。 (4) USB Key。安全证书的生成可以提取其一些信息，比如网卡 MAC 地址、客户端CPU的序列号等，以便生成一个唯一对应的证书。所有的认证信息都可以导入认证服务器，从而在用户登录过程中可实现对客户端唯一性的检查。银行已经在网上银行系统中采用安全数字证书，并通过USB Key的方式进行保存。USB Key中存放的是用户个人的数字证书，银行和用户各有一份公钥和私钥，用户仅需记忆一个密码就可以使用。 (5) 动态令牌。动态令

39、牌根据基于时间的算法，每分钟都产生一个56位的认证串号。在客户端，用户通过一个类似电子表的硬件，计算出每分钟产生的令牌串号。那么用户登录系统，只要输入用户名和相应时间段的串号，就可以安全登录。动态令牌避免了记忆密码的过程，其寿命一般为三年。动态令牌分硬件令牌和软件令牌，通常，建议使用传统的、带动态PIN生成器的硬件令牌(hardware token)。这些硬件令牌效果明显且容易扩展，但是部署困难，价格也很昂贵。在某些情况下，金融机构倾向于使用软件令牌(soft tokens)，或者使用基于软件的PIN生成工具，用户能够进行下载然后安装在手持移动设备上。经过一个简单的注册过程以后，用户可以在他们的移动设备上生成PIN密码，其实质是把它们变成了个人的硬件令牌。这种方法性价比更高，可作为硬件令牌的替代方案。 (6) 一次性密码(OTP)。一次性密码有时也叫做交易认证数字(TAN)。在这种系统中，金融机构会发给每个用户一张特别的卡片，上面印有一次性密码或者密码短语列表。用户每次进行身份认证时，需要使用其中的一个密码或者短语(按顺序)，然后把使用过的