生活中的身份验证方式多种多样,旨在保障个人隐私和数据安全,防止身份盗用和未授权访问。以下是一些常见的身份验证方式及其原理:
传统身份认证(口令、印章):
约公元前 3000 年左右口令技术开始发展,在古代战乱时期,官兵进出城池均需按原先设定好的口令,以此辨别双方身份。公元前 500 年左右个人印章开始出现,在中世纪,身份验证通常是通过印章完成的,持有印章的个人可以在公共活动中证明自己的身份和荣誉
密码验证:
原理:用户设置一个只有自己知道的字符串,登录时输入这个字符串来证明自己的身份。
例子:登录电子邮件、社交媒体账户或银行账户时输入的密码。
常用技术手段:
1) 哈希函数:
技术原理:将用户输入的密码通过哈希函数转换成固定长度的字符串(哈希值),这个哈希值存储在数据库中。当用户再次尝试登录时,输入的密码会再次被哈希,然后与数据库中存储的哈希值进行比较。
例子:SHA-256、SHA-3、bcrypt、PBKDF 2 等。
2) 加盐(Salting):
技术原理:为了增强哈希密码的安全性,通常会在哈希之前将一个随机生成的字符串(盐)与密码组合。这样即使两个用户拥有相同的密码,它们的哈希值也会不同。
例子:每个用户的密码前都会添加一个唯一的盐值,然后进行哈希处理。
3) 密钥拉伸(Key Stretching):
技术原理:通过重复哈希过程多次来增加破解密码的难度,即使攻击者拥有大量计算资源,也需要更长的时间来尝试每一个可能的密码。
例子:bcrypt 和 PBKDF 2 都使用了密钥拉伸技术。
双因素认证(2 FA):
原理:结合两种或以上的不同验证方式,比如密码加上手机短信验证码、生物特征、邮箱、个人问题等,以提高安全性。
例子:国内强制实名上网绑定手机号.. Github\JetBrain\Microsoft 2 FA 验证
生物特征识别:
原理:利用个人独特的生理或行为特征来验证身份,如指纹、面部识别、虹膜扫描或声音识别。
硬件加密(智能卡和令牌):
原理:使用物理设备生成一次性密码或存储加密密钥来验证用户身份。
例子:银行的 U 盾、” 加密狗 “、商业软件授权注册机等
加密狗的工作原理:
硬件安全模块(HSM):
加密狗内部包含一个硬件安全模块,这是一个专门设计的微处理器,用于处理加密和解密任务。HSM 通常具备防篡改功能,使得任何外部尝试篡改设备的尝试都会导致数据自毁。
密钥生成和存储:
加密狗可以生成加密密钥,并将其安全地存储在设备的内部存储器中。这些密钥通常用于生成动态密码或作为加密通信的会话密钥。
挑战 - 应答机制:
在身份验证过程中,系统会向加密狗发送一个随机的挑战字符串。加密狗使用其内部的私钥对挑战进行加密,然后将加密后的应答发送回系统。系统使用对应的公钥来验证应答的正确性。
时间同步或事件驱动:
某些类型的加密狗根据时间或事件生成一次性密码(OTP)。这些密码在特定的时间窗口内有效,或者在使用后立即失效。
与系统的交互:
加密狗通过 USB、蓝牙或其他无线技术与应用程序或服务进行通信。用户只需将加密狗插入计算机或通过无线方式配对,即可使用其进行身份验证。
加密狗的硬件机制:
非易失性存储器:
加密狗通常包含非易失性存储器(NVRAM),用于存储加密密钥和其他重要数据。即使在断电后,这些数据也能被保留。
加密处理器:
设备内部的加密处理器负责执行加密算法,确保密钥的安全生成、存储和传输。
防篡改机制:
加密狗设计有物理和逻辑上的防篡改措施,如密封的外壳、自毁机制、温度和光传感器等,以防止未授权的物理访问和篡改。
认证芯片:
某些加密狗使用专门的认证芯片,这些芯片提供了硬件级别的安全措施,如安全的密钥存储和加密操作。
电池或无源设计:
一些加密狗可能包含内置电池,以支持时间同步和 OTP 生成。其他无源设备则依赖主机设备为其供电。
TPM 与 Bitlocker:
TPM(Trusted Platform Module)是一种嵌入在计算机主板或服务器上的安全芯片,它提供了硬件级别的安全性,用于存储加密密钥、执行加密操作和提供安全服务。
TPM 可以生成一个平台的测量值(measurement),这是一个代表平台当前状态的哈希值。这个测量值可以用来验证平台的状态是否被篡改,从而支持远程证明(Remote Attestation); 同时提供 API 来执行各种加密操作,如哈希、签名、验证和密钥交换。这些操作在 TPM 内部进行,有助于保护密钥不被泄露。
在操作系统加载之前,计算机的 BIOS 或 UEFI 固件会执行预启动认证。TPM 会验证启动环境是否自上次启动以来未被篡改。如果验证通过,TPM 将释放启动密钥,允许操作系统加载程序访问启动分区。
数字证书和数字签名:
原理:通过数字证书颁发机构(CA)颁发的证书来验证网站或个人的身份。
例子:HTTPS 网站使用的 SSL 证书,用于加密浏览器和服务器之间的数据传输。
HTTPS 证书验证的基本步骤:
建立连接:
用户通过 HTTPS URL 访问一个网站
服务器发送证书:
服务器接收到请求后,会向客户端发送它的数字证书。这个证书包含了服务器的公钥、证书持有者的信息、证书颁发机构(CA)的信息以及 CA 的数字签名。
客户端验证证书:
客户端(通常是浏览器)接收到证书后,会进行一系列验证步骤: a. 证书链验证:客户端会验证证书链,确保证书是由可信的 CA 签发的。这通常涉及到检查证书中的 CA 签名,并验证 CA 的证书是否在其信任的根证书列表中。 b. 有效期检查:客户端会检查证书是否在有效期内,以及是否已过期或尚未生效。 c. 撤销状态检查:客户端可能会检查证书是否已被撤销。这通常通过访问 CA 的证书撤销列表(CRL)或在线证书状态协议(OCSP)来实现。 d. 域名匹配:客户端会确认证书中的域名与它试图访问的域名相匹配,以防止攻击者使用无效证书。
生成会话密钥:
如果证书验证通过,客户端会生成一个随机的会话密钥,并使用服务器的公钥对其进行加密。这个会话密钥将用于对称加密,用于本次会话的后续数据传输。
安全通信:
服务器使用其私钥解密会话密钥,之后客户端和服务器使用这个会话密钥来加密和解密它们之间的数据通信。
没有绝对的安全
HTTPS 是否可以解密,这取决于几个因素:
加密强度:强加密算法和长密钥
私钥储存的安全性
中间人攻击:拦截和篡改通信。
例如 Fiddler 会作为一个代理服务器运行,拦截所有出站和入站的 HTTPS 流量。Fiddler 使用自己的证书替换原始服务器的证书,并与客户端建立加密连接,同时与服务器建立另一个加密连接。这样,Fiddler 就可以在两个加密连接之间转发流量,并在转发过程中解密和检查数据。
系统和软件的漏洞:操作系统、网络协议或 SSL/TLS 实现中的漏洞
法律和政府干预:在某些国家或地区,政府机构可能有能力要求 CA 颁发伪造的证书或使用其他方法解密 HTTPS 通信。例如漂亮国
区块链数字身份验证
基于区块链的数字身份认证方法是通过上面提到的公钥和数字证书来实现身份验证的,用户将身份信息封装为各个区块,将签名信息上传到区块链网络,最后实现身份信息上链共享。这样,用户在区块链上的身份认证就得以实现。并且具有不容易泄露隐私,不容易伪造信息的特点
行为分析:
原理:根据用户的行为模式(如键盘敲击节奏、鼠标移动模式)来识别用户。
例子:人机验证
声纹识别技术
将未知语音通过电声学仪器转换成声纹,与数据库中已有的声纹样本进行对比,再根据语音特征判断是否是同一个人。
声纹技术在各大领域均有广泛应用,例如银行、证券、公安司法、网络支付和声纹锁控等。
缺点是不同的收声设备、环境噪音和多人混合说话均会对识别结果产生干扰。
步态识别技术
与现有的基于生物特征的身份识别技术相比,步态识别的优势在于无接触,且不受距离影响,对图像的分辨率要求较低,步态识别技术现阶段主要应用于身份认定、犯罪嫌疑人追踪等方面。
手写签名技术
手写签名是一种生物行为特征,与其他行为特征相比,比较容易使人接受,没有侵犯性。
基于传统的离线签名技术,目前已经发展出了在线电子签名技术,不但可以记录笔迹,还可以记录书写速度、握笔压力和倾斜度等动态个人信息。
但是该技术发展至今仍然存在很多短板,例如书写环境、书写姿势、手写板材质、手写笔型号等都会影响身份认证识别率。如果用扫描仪扫描签名,待扫描图片在转换成电子签名过程中,字迹可能会变模糊,从而降低识别准确率,签名还具有易模仿性,现有算法很难保证较高的准确性。
持续身份验证
接口式(也就是一次性)身份认证方式容易被入侵的主要原因是在用户初次登录、验证通过后, 整个使用期间不再进行二次验证。一旦入侵者盗取了密码或人脸等认证数据并成功入侵系统, 系统将无法再对该入侵者进行有效防御。为解决上述问题, 持续身份认证开始受到业界的高度关注, 这一新兴认证方式的出现, 旨在解决现有接口式身份认证不能时刻认证用户身份的不足之处。
持续身份认证也被称为“隐性、透明或渐进”的认证, 通过比较当前的用户行为和注册用户的行为模板, 实时、持续验证设备的操作用户是否为设备的注册用户。与接口式身份认证相比, 持续身份认证会在用户整个会话活动中持续进行身份验证, 直到锁定设备。持续身份认证是提高移动智能终端安全性和隐私性的新选择。
参考文献
-
卢长青. 身份认证技术研究综述[J]. 计算机科学与应用,2023,13 (10): 1928-1937. DOI: 10.12677/CSA. 2023.1310191.
-
宋天乐, 蔺琛皓, 高书馨等. 基于移动智能终端交互行为的持续身份认证技术综述[J]. 信息通信技术与政策,2024,50 (01): 19-31.