在本次评测中,我们将一览市场上各种各样的身份认证(authentication)设备。从指纹扫描器,到单一登录软件(single sign-on software)和生物鉴别——我们几乎覆盖了整个的身份认证设备市场。
一些总想着征服世界的天才总会设计出能够自我复制的恶意蠕虫,并且能把这些小家伙通过任何网络传输到他们所知道每一台计算机。蠕虫的唯一目标的是在系统上驻扎起来,监视用户在系统上所键入的字节信息。一旦被触发,蠕虫将会捕获这些信息并把信息回送到多个隐藏得很好的服务器上。这些服务器一直等待着为蠕虫的设计者们服务,他们会把这些信息收集起来,并在任何可能的情况下使用这些信息以达到罪恶的目的。
因此,企业犯罪集团更加喜欢那些能够把这些梦想变为现实的聪明程序员。他们能够收集到各种各样有价值的数据。他们会去偷取哪种数据?信用卡信息?银行帐户详单和密码?跨国企业网络的用户名和密码列表?或许都有可能,但所有的这些情况如今都将会渐渐消失,犯罪集团们也找到了更吸引他们的目标。
现在,所有的一切都将同个人信息有关。绝大多数这样的信息已经通过因特网和垃圾箱被公开出来,当然,如果有人的确愿意在上述地点去寻找这些信息。怀有恶意的人完全可以利用大量关于某人的个人信息来有效的获取这个人的身份。这就是众所周知的身份窃贼(identity theft),未授权用户常常通过这样的手段来进行身份欺诈。
身份窃贼已经不是什么新鲜的东西,实际上它已经出现多年。传统上看,一些并没有涉及到电子技术的伎俩就被人们用来逃避法律制裁和税收,使用者们还宣称他们并不是一定要通过这样的手段获取什么利益。联邦政府和航空管理局空中交通管理组织所成立的反欺诈工作组每时每刻都在对付身份欺诈行为。所有的这些情况都是随着授权技术能更方便快捷的应用于大量匿名帐户之上而产生的。
在信息通信领域,事情更为复杂。在网络上不只是用户具有身份,任何一个对象都会有。因此,需要一个能够提供各种身份管理并能够确定谁能或不能被授权访问相关资源的一揽子系统。通常,这种系统被称作身份和访问管理(identity and aclearcase/" target="_blank" >ccess management,IAM)。这一系统基本的假设是身份认证和授权有着非常巨大的差异。
身份认证和授权
在Webopedia上面可以找到认证的定义:“确定某个个体身份的过程。通常是通过用户名和密码。在安全系统中,认证和授权有着显著的差别。后者是基于其身份授予个体对某个系统对象的访问权限。认证仅仅确保某个用户符合其所宣称的身份,并没有定义该用户的访问权限。
根据Webopedia的定义,授权则是:“对某个用户赋予访问网络资源权限或者拒绝其访问的过程。绝大多数的计算机安全系统都基于两步骤。
第一个部分是认证。该步骤确保某个用户符合其所宣称的身份。第二个步骤是授权,根据用户身份来允许用户访问各种网络资源。”
本文为了便于对数据认证产品的描述,“主体”表示某个尝试访问某设备的身份,“客体”则是设备。
认证因子
有很多种类型的身份认证,最为常用的就是密码或个人身份号码(PIN)。这就是所谓的单因子认证。最安全的认证过程将会使用多种因子的集合,例如主体知道的(密码、密码短语或PIN),主体所拥有的(智能卡、令牌或标签),以及主体本身的特征(指纹、手写、虹膜或视网膜扫描等等)。
其它一些没有直接同用户交互的认证技术包括数字证书(digital certificates)和数字签名(digital signatures)。PGP(Pretty Good Privacy)技术使用了密钥和数字签名对电子邮件信息进行认证,确保邮件确是来自发送方。与之类似,安全Web站点也使用了数字证书使主体确定这些站点的身份,确保他们能够被信任。
一次性密码和令牌设备
一次性密码是安全性能良好且相对廉价的选择。顾名思义,密码仅仅能被使用一次,如果相同的密码在一次登录尝试中被再度使用,主体将被拒绝访问。
令牌则是同认证服务器系统同步连接的小型设备。当用户按下设备上的按钮的时候,系统将提供给用户一份密码。
如果管理员担心那些靠尝试反复输入密码登录或是间谍软件入侵来从计算机上收集数据的攻击方式,那么一次性密码就是最好的选择了。另一优势是一次性密码还能够防止有组织的身份欺诈。
Vasco Data Security公司为我们提供了其Radius服务器中间件的一份拷贝以及一台其生产的令牌设备。Vasco已经在令牌设备中引入了双因子认证:用户首先需要输入静态PIN,诸如1234(他们知道这一PIN),然后是令牌系统提供的一次性密码(他们所拥有的)。采用这样的机制,登录过程看起来就像是输入1234这样简单(令牌的代码)。他们的产品还提供了基于Web、Citrix、Lotus/Domino、Windows以及Novell系统的登录接口。RSA、Verisign和Giesecke & Devrient同样提供了生成一次性密码的令牌设备。
| 制造商: |
LM Gemplus |
| Web地址 |
www.lmgemplus.com |
| 电话 |
03 9583 7744 |
| 技术产品 |
令牌以及智能卡 |
| 产品型号 |
Gemsafe产品 |
| 价格 |
智能卡起价5.50澳元,读卡器起价60.6澳元。软件价格根据应用和站点需求不同有所变化 |
测评评分(以下评分为5分满分)
互用性 3.5
由于主要涉足于智能卡技术,Gemsafe产品广泛兼容多种类型智能卡。
可升级性 3.5
在软件方面有很多升级内容(超过100兆),系统能够方便的得到扩展
性价比 4
合理的价格,尤其考虑到公司能很好的为企业设计和实施智能卡解决方案
服务 3.5
一年质保——采用此种解决方案人均成本很低,一年质保足够了。
总体评价 4
| 制造商: |
Vasco Data Security |
| Web地址 |
www.vasco.com |
| 电话 |
02 8920 9633 |
| 技术产品 |
Tokens & RADIUS软件 |
| 产品型号 |
Go 3 |
| 价格 |
10令牌共1452澳元,包括维护和RADIUS软件的费用 |
测评评分(以下评分为5分满分)
互用性 4
具有很好的互用性:支持RADIUS以及基于Web的上网登陆,支持Citrix、Lotus/Domino、Windows以及Novell。
可升级性 3
相对于让用户把密码写在便签纸上或者承担间谍软件获取登录密码的风险,采用一次性密码将会是更加安全的认证手段。
性价比 4
多种安全认证手段中相对廉价的形式
服务 4.5
从两年基本服务到长达五年的合同服务提供适合不同企业的服务水平
总体评价 4
单一登录
如果每一个已有的认证系统都被某个体使用,那么可以在这些系统上采用单一登录,即对其应用单独的认证技术。例如某用户每天需要通过密码访问12个离散对象,这12个密码可以被减少到一个,由此提供对12个离散对象的访问。
然而,如果在这一技术中使用的是静态密码,那么可能会出现单点失败(a single point of failure)的情况。但如果结合其它更为安全的认证形式,诸如令牌、智能卡、生物特征等等,单一登录还是一种非常具有吸引力的选择。
单一登陆的概念可以分为两种主要类型。第一类是企业范围的单一登录,第二种是Web单一登录或是联合(通常是借助Web接口)单一登录。企业单一登录就是每个企业中,尤其是在信息通信技术部门中已经得到多年应用的方式,这一方式现在仍然被企业大力推广。想想每个雇员为了完成自己的工作每一天需要登录多少应用程序:财务系统、股票控制系统、操作系统、CRM应用、电子邮件、企业内部网络、外部网络、因特网代理,甚至是老式应用程序。
绝大多数的应用都处于漫长生命期中的某个特定阶段,无法在某一天的最后一刻突然被一种很好的应用所替代(X.500、LDAP或者其它)。
这就是为什么需要建立一个中间层来朝着单一登录的方向努力,由此实现智能程序和那些适应标准程序之间的平衡。
诸如Citrix这样的公司已经开发了类似的产品。Citrix的MetaFrame Password Manager Access Suit提供了强有力的管理工具,它允许系统管理员获取和设置多种形式的密码控制方式,甚至可以对机密应用强制采取复杂密码策略,即使这些应用程序在以前从来没有这样的选项。而这样做不需要重新编写应用程序或接口。
联合单一登录则是多个Web站点通过达成某种协议,确定能够接收和信赖新人某个用户在其中一个站点的认证,并将该认证推广到加入该协议的其它各个站点。这意味着用户只需要在他第一个访问的站点中进行登录就可以了。
无论是企业单一登录还是联合单一登录,CA公司都具有最好的实施环境。
CA通过其eTrust eDirectory方式实现了真正意义上的企业级目录服务。eTrust eDirectory提供了在IAM(身份和访问管理即identity and access management)应用范围中实施企业单一认证的能力。通过最近并购Netegrity,现在Computer Associates也拥有了名为eTrust SiteMinder的联合单一登录产品。
| 制造商: |
Citrix |
| Web地址 |
www.citrix.com.au |
| 电话 |
02 8870 0800 |
| 技术产品 |
单一登录系统 |
| 产品型号 |
MetaFrame Password Manager Access Suite |
| 价格 |
未知 |
测评评分(以下评分为5分满分)
互用性 5
可以同多种应用程序登录方式互工作,甚至可以使用屏幕向量实现命令行登录。
可升级性 4
仍然是围绕密码技术进行工作。如果能结合其它形式的认证,例如令牌、智能卡和生物特征,单一登录还是能提供很高的安全性。
性价比 未知
服务 未知
总体评价 3.5
| 制造商: |
Computer Associates |
| Web地址 |
www.ca.com/au |
| 电话 |
1800 224 636 |
| 技术产品 |
单一登录系统 |
| 产品型号 |
eTrust SiteMinder & eTrust eDirectory |
| 价格 |
年许可证(使用、支持和维护):
eTrust SiteMinder ——23澳元每用户/每年
eTrust Directory ——10,000澳元每服务器/每年 |
测评评分(以下评分为5分满分)
互用性 5
由于并购了Netigrity,CA现在已经能够提供针对Web和目录服务的完整单一登录解决方案
可升级性 4
仍然是围绕密码技术进行工作。如果能结合其它形式的认证,例如令牌、智能卡和生物特征,单一登录还是能提供很高的安全性。
性价比 4
包括了支持和维护的费用,所有产品的价格都十分合理
服务 4.5
在许可证有效日期内,提供了很好的支持和维护服务。
总体评价 4.5
模板
教程
环境
性能
功能
管理
