近日,某知名浏览器被网友在网络论坛爆出浏览器存在安全漏洞,导致大量用户账户被泄密,造成了重大浏览器泄密事件。其中有淘宝、国家质检总局、等等多个机构账户涉及被泄露。该事件已得到著名漏洞报告平台乌云的确认,另外中央电视台也有栏目详细报道了记者亲自验证该漏洞信息的全过程。
使用用户名和密码登录极易泄密,那么,怎样才能实现高效身份认证,杜绝身份被仿冒、账号信息被盗的风险呢?
传统身份认证解决方案的问题:
身份认证是网络安全的重要机制之一,也是实现身份信息保密的重要技术。目前大多数应用系统采用用户名加口令方式实现身份验证,网络之间的信息传输都是明文。这种传统的认证方式存在很多的安全隐患,信息极易泄密。用户为了便于记忆,其用户名和密码往往过于简单且带有一定的规律性,易被猜测、易泄露;同时用户在输入密码时易被偷窥,而密码在传输的过程中也易被黑客截获;信息以明文形式传输,或密文的加密强度太低,很容易破解;而使用PKI/CA证书体系的身份认证机制,需要事先申请证书,这对用户来说申请过程繁琐、使用复杂,对应用商来说开发难度大、部署困难,难以推广。
IBC身份认证解决方案:
IBC(Identity-Based Cryptography标识密码算法)是新兴的密码技术。在标识的密码系统中,每个实体具有一个有意义的、唯一的标识,这个标识本身就是实体的公钥。无需预先协商密码或者交换证书,可以大大减少传统证书体系中申请和验证环节,易于使用。该算法于2008年正式获得国家密码管理局的商密算法型号:SM9(商密九号算法)。
深圳市奥联科技有限公司基于IBC实现安全身份认证,通过用户的手机号码或邮件地址作为标识,简单易用,认证过程中没有任何用户名和密码传递,安全可靠。其工作原理主要采用了挑战/应答模式的CHAP认证协议,简称CHAP(Challenge Authentication Protocol)。该协议基于签名的挑战/应答,可以抵抗木马、口令字典等攻击。如下图所示:
CHAP协议认证图
实现方式:
要实现通过IBC(SM9算法)实现安全身份认证,应用开发商只需调用奥联科技提供的IBCSDK开发套件,通过调用两个函数接口即可实现安全升级,彻底告别用户名和密码登陆的时代。升级之后的效果如下图所示:
升级前、后的系统登陆界面图
图中的OA系统,升级前采用的是使用用户名和密码登录方式,升级后则使用USBKey硬件方式登录,不再输入用户名和密码,只需输入KEY的PIN码即可实现安全身份鉴别。而且PIN码可以设置错误次数,登录错误超过设定次数即被锁定。通过这样的升级方式,其加密强度可达1536位,目前的电脑计算能力破解需要百万年。
对于无法更新的应用系统,奥联科技还提供基于云安全接入平台的硬件升级方式,无需对应用系统进行改动,直接部署硬件设备和USBKey来实现身份认证和数据加密的安全保护。
使用奥联科技的SM9身份认证解决方案,具有如下优势:
1、部署灵活,快速实现安全升级:支持软、硬件两种部署方式。软件方式只需两个函数实现,方便易用;硬件方式直接部署设备和USBKey,无需更改应用系统;升级周期较短;
2、高安全性,杜绝密码泄密:登录过程没有任何用户密码信息传递,杜绝用户名和密码泄露的风险。服务器端也无需存储用户密码信息,通信过程均加密。支持多种加密算法、还可实现云端的签名和验签功能;
3、易于使用和开发:无需改变用户使用习惯,可同时支持USBKey或用户名密码方式登录。支持多种开发环境、多种操作系统,并提供开发范例源代码。
IBC身份认证解决方案,目前已成功为内蒙公安、吐哈油田、深圳国税、奥运信息亭实现了各种应用软件系统的安全升级,并获得了用户的高度认可。