在51CTO安全頻道特別策劃的CISSP的成長之路系列的上一篇文章《講解身份驗證過程》里,J0ker給大家介紹了用戶驗證時所依賴的三種驗證要素、密碼和密碼短語及其安全使用原則。作為技術(shù)實施難度和成本最低的用戶驗證方案，基于密碼的用戶驗證方案廣泛應(yīng)用于我們的日常生活和工作中。但由于密碼本身的脆弱性，很容易被攻擊者所破解或竊取，因此，在高安全級別的系統(tǒng)中，往往會在使用密碼驗證的基礎(chǔ)上，再增加其他的驗證手段，以增強系統(tǒng)的安全性——這便是本文要介紹的用戶所有的憑證（Something you have）和下一篇文章要介紹的用戶生物特征..

　　在51CTO安全頻道特別策劃的CISSP的成長之路系列的上一篇文章《講解身份驗證過程》里,J0ker給大家介紹了用戶驗證時所依賴的三種驗證要素、密碼和密碼短語及其安全使用原則。作為技術(shù)實施難度和成本最低的用戶驗證方案，基于密碼的用戶驗證方案廣泛應(yīng)用于我們的日常生活和工作中。但由于密碼本身的脆弱性，很容易被攻擊者所破解或竊取，因此，在高安全級別的系統(tǒng)中，往往會在使用密碼驗證的基礎(chǔ)上，再增加其他的驗證手段，以增強系統(tǒng)的安全性——這便是本文要介紹的用戶所有的憑證(Something you have)和下一篇文章要介紹的用戶生物特征(Something you are)這兩種用戶驗證手段。

　　用戶所有的憑證，和傳統(tǒng)的密碼方式最大的不同在于，用戶所有的憑證，對用戶來說是他所有的一個物品，用戶不需要了解它們具體是怎么運作的，只需要在系統(tǒng)要求用戶進行身份驗證時提供它們即可。大家可能會覺得J0ker這樣說有點抽象，舉個簡單的例子，用戶要進入一個有警衛(wèi)看守的房間，如果只需要對上暗號而不需要警衛(wèi)驗證用戶的其他屬性就能進入，就是傳統(tǒng)的密碼方式。如果用戶對上暗號之后，警衛(wèi)還需要用戶提供自己的工作證或者鑰匙才能進入，這就是使用用戶所有的憑證的驗證方式，更進一步的，按照規(guī)定用戶還必須是警衛(wèi)認(rèn)識的人，用戶才能進入，這就是用戶生物特征的身份驗證方式。因此，用戶所有的憑證，也就相當(dāng)于用戶進入系統(tǒng)的鑰匙。

　　用戶所有的憑證按照存在的形式還可以分成邏輯存在和物理存在： 邏輯存在的用戶所有憑證通常是保存在用戶的系統(tǒng)中，在使用時自動或由用戶手動提交給驗證系統(tǒng)，這種存在形式的用戶所有憑證常見的有各種數(shù)字證書、某個包含有特殊字符或內(nèi)容的文件，或者軟件實現(xiàn)的Token一類的產(chǎn)品等。而物理存在的用戶所有憑證則包括一次性密碼(OTP)、存儲卡和智能卡等，因為邏輯存在的用戶所有憑證有被攻擊者復(fù)制利用的風(fēng)險，因此，物理存在的用戶所有憑證在安全上要比邏輯存在的更勝一籌。

　　下面J0ker將給大家介紹目前使用最為廣泛的兩種用戶所有憑證方案，一次性密碼(OTP)和智能卡：

　　一次性密碼(One Time Password，OTP)和傳統(tǒng)的可多次使用密碼不一樣，一次性密碼只能使用一次，使用之后便告失效。這樣，即使用戶的一次性密碼被攻擊者所獲取，攻擊者也不能使用一次性密碼再去登錄用戶的系統(tǒng)，因為這個一次性密碼已經(jīng)失效。

　　和大家認(rèn)為的不一樣，一次性密碼使用的歷史相當(dāng)長，一次性密碼的使用甚至還早于計算機出現(xiàn)——近代軍事和間諜領(lǐng)域常用的密碼本，便可以認(rèn)為是一次性密碼的前身。直到現(xiàn)在，將許多個一次性密碼列表打印在紙上，并交給用戶使用，仍然是最為廉價但安全性相當(dāng)高的一種一次性密碼方案，國內(nèi)有的銀行在加強網(wǎng)上銀行安全性的時候便選擇了這樣的一次性密碼實現(xiàn)方式，大家可以在使用相關(guān)銀行的網(wǎng)上銀行時留意一下。當(dāng)然，這種一次性密碼實現(xiàn)的安全取決于用戶是否能妥善保管打印有一次性密碼的密碼本。

　　更多的一次性密碼方案采用電子和計算機技術(shù)來實現(xiàn)，這類一次性密碼方案的用戶端通常是一個類似于小的計算器或鑰匙吊墜般外形的設(shè)備，上面有個數(shù)不等的按鈕，行業(yè)里也將這個設(shè)備稱為令牌設(shè)備(Token Device)。用戶按照一定的規(guī)則向令牌設(shè)備輸入數(shù)據(jù)，令牌設(shè)備計算后返回一個結(jié)果給用戶，這個結(jié)果就是用戶登錄系統(tǒng)的一次性密碼。令牌設(shè)備可以根據(jù)實現(xiàn)方式分成同步式令牌設(shè)備和異步式令牌設(shè)備：

　　同步式令牌設(shè)備(Synchronous Token)：令牌設(shè)備內(nèi)保存有和驗證服務(wù)器相同的一個基準(zhǔn)值，如精確到微秒的時間，或用管理員設(shè)置的一個可變數(shù)值。基于時間同步的令牌設(shè)備稱為Clock-based Token，而基于可變數(shù)值計算的則稱為Counter-based Token。它們生成一次性密碼的方式大致相同，都是用戶輸入密碼后，由令牌設(shè)備利用與服務(wù)器同步的變量作為一個參數(shù)，重新生成一個用于登錄系統(tǒng)的一次性密碼。而驗證服務(wù)器端則會使用相同的變量及算法處理保存在數(shù)據(jù)庫中的用戶密碼，如果用戶提供的一次性密碼和驗證服務(wù)器計算的相同，就可以證明該用戶是系統(tǒng)的合法用戶。

　　

　　圖1，基于時間同步的令牌設(shè)備(Clock-based Token)的工作流程

　　

　　圖2，基于變量同步的令牌設(shè)備(Counter-based Token)的工作流程

　　異步式令牌設(shè)備(Asynchronous Token)：由于同步式令牌設(shè)備需要和驗證服務(wù)器相一致的時間或數(shù)值變量，所以同步式令牌設(shè)備的部署和維護并不輕松。異步式令牌設(shè)備則沒有這個缺點，它不需要驗證服務(wù)器維護和令牌設(shè)備之間的時間或變量同步。異步式令牌設(shè)備采取挑戰(zhàn)-回答(Challenge-Response)的一次性密碼生成方式，在用戶提出登錄請求后，驗證服務(wù)器將根據(jù)用戶輸入的密碼返回一個數(shù)字，用戶再將這個數(shù)字輸入到令牌設(shè)備中進行計算后，把計算結(jié)果返回給驗證服務(wù)器，驗證服務(wù)器也會進行相同的計算步驟并將結(jié)果和用戶的輸入進行比較，如兩個值相同，則驗證通過，用戶可以登入系統(tǒng)。

　　近幾年市面上還出現(xiàn)了使用安裝在用戶系統(tǒng)內(nèi)的令牌程序代替物理令牌設(shè)備的一次性密碼方案，這種方案進一步降低了用戶部署和維護的成本，也更加適用于追求安全性，又對驗證方案的成本敏感的企業(yè)使用。

　　智能卡(Smart Card)：智能卡是一張類似信用卡大小的塑料卡片，在它里面有一塊微型的芯片，這款芯片可以存儲一些與用戶驗證相關(guān)的信息。有的高級智能卡還包括專用的計算芯片，能夠提供一定的加解密或其他運算功能。智能卡的使用要比一次性密碼更為廣泛，經(jīng)常被企業(yè)用于提供物理安全的訪問控制方案中。

轉(zhuǎn)載于:https://www.cnblogs.com/China-Dragon/archive/2009/03/22/1419320.html

總結(jié)

以上是生活随笔為你收集整理的CISSP的成长之路（二十一）：用户持有凭证的全部內(nèi)容，希望文章能夠幫你解決所遇到的問題。

如果覺得生活随笔網(wǎng)站內(nèi)容還不錯，歡迎將生活随笔推薦給好友。