应用业务用户鉴别(User Authentication).docVIP

应用业务用户鉴别(User Authentication) 　　【摘要】应用业务的层次和域分，要求严格进行用户的规划和设计。应用业务对异域或分层用户的鉴别，存在着多种应用解决方案。根据不同类的应用业务，选择适应鉴别技术，科学的设计解决方案，合理部署系统。这是一个很值得深入研究的课题。本文概述应用系统中鉴别技术概况，介绍鉴别技术在实际应用系统中的选择和部署要点。谨以此供大家参考。 　　【关键词】安全；鉴别技术；网络设计 　　一、用户鉴别技术的概述 　　1.关于用户鉴别技术 　　用户鉴别技术作为用户的访问控制机制的一部分，是指通过技术辨别用户身份，确定用户性质，保护用户和业务数据安全的一系列控制行为。用户鉴别技术是保证用户行为符合系统要求，合法安全使用系统的基本途径。用户鉴别技术是系统行为控制的前提。用户管理策略为用户鉴别技术提供鉴别的规范和依据。 　　2.常见的用户鉴别方式 　　用户鉴别方式多种多样。应用业务开发中常见的用户鉴别方式包括“知道什么”，“用有什么”，“是什么”。 　　a.“知道什么”是指通过判断用户知道什么，来确定用户的合法身份。例如应用业务中最常使用的，通过用户名，密码的用户鉴定方式；通过提问，解答的的用户鉴别方式等，都属于这一类鉴别方式。 　　b.“有什么”是指通过判断用户拥有什么，来确定用户的合法身份。常见此类鉴别方式有检验用户持有的物理凭证，数字证书等。通过用户提供其持有的安全凭证来验证用户的合法性。 　　c.“是什么”是指通过直接判断用户的特征，来确认用户的合法身份。常见的生物鉴别等属于这种类型。例如通过指纹的扫描，面部扫描确认用户身份。生物鉴别方式有时涉及个人隐私的安全性。使用时应谨慎对待。 　　3.常见鉴别凭证的介绍 　　A．物理凭证鉴别技术： 　　常见的物理凭证使用一些物理电子器件实现。例如ic卡，加密狗等。设备接入系统后，由系统特定的输入设备，获取器件的特征。以此判断凭证的合法性。理论上物理凭证由于其固化的特征，形成其唯一的，不能复制的特性。所以其安全性较高，但需要使用者携带，存放存在不方便。??实际中应用较为广泛。 　　B．数字凭证鉴别技术： 　　数字凭证是在成熟的数学理论上形成，使用特定的算法生成唯一，安全的数字证书，密码。用户使用数字证书接受系统的检验，以判断用户的身份。数字凭证具有安全，便携的特性。但管理上注意防止复制，盗用等的安全隐患的发生。数字凭证是目前应用最为广泛的用户鉴别方式之一。即可作为临时连接性质双方互认。也可以作为持久性连接的用户身份鉴别。非对称的加解密算法的应用更是有便于于密钥的保存和传递。 　　C．生物凭证鉴别技术： 　　生物凭证是通过用户的生物特征判断用户的身份。安全准确，便携。是目前鉴别技术的一个热点。但其可能会涉及用户个人隐私的泄露。在使用中业内存在一定争议。所以在使用生物凭证时应谨慎对待。 　　单一的鉴别技术常常存在一定的局限性和安全隐患。完善优秀的鉴别技术，往往是多种鉴别技术综合应用。通过多角度，互补的使用各种鉴别技术才能根本上保证系统鉴别有效性，高效性，安全性。 　　二、关于鉴别技术的安全 　　1.基于物理凭证的安全 　　在物理凭证制作上，要注意制造工艺的复杂性和防伪难度。复杂的制造工艺及防伪特征会尽可能的保证凭证的唯一不可复制性。需要特别注意的是。在凭证的管理上应有科学，严格的管理制度。保证凭证的存放和传递，使用的安全。尤其需要注意的是鉴别系统与凭证接口环境的安全。确保系统能够安全，真实，准确获取凭证信息。防止侵入者中途的窃取和篡改。接口环境的安全性需要用户严格日常维护和良好的使用习惯。 　　2.基于数字凭证的安全 　　数字凭证加解密算法的选择是很重要的。常见的加密算法有对称算法和不对称算法。两者也常常混合使用。这些安全算法不仅在数字凭证中使用。其他类型的凭证的安全也需要有一定的安全算法来保障。 　　对称算法是指加密密钥能和解密密钥相同或能互相推算。很多对称算法，加解密只有唯一的密钥。只要通信需要保密，密钥就必须保密。 　　非对称加密算法拥有一对不相同的密钥—公钥和私钥。两个密钥完全独立，不能相互推算出对方。在使用非对称加密算法时候。通常只能使用一个密钥加密，而使用另一个密钥解密。密钥使用者使用自己保密的私钥加解密数据。并将公钥公开发布。对方可以使用公钥完成机密数据的对端操作。 　　非对称算法的解密难度相当于大数分解。破解的计算量非常庞大。攻击者主要是通过杂凑或一些设计漏洞来实现对机密数据的破解。从目前来看，应该说非对称算法的机密等级还是令人满意的。 　　非对称算法的优点：由于公钥和私钥分离。密钥的管理变得非常容易。密钥传送也非常方便。密钥的安全程度较高。解密困难。非对称密钥系统既可以做数字证书也可以实