身份鉴定.doc

如何打造电力信息安全的天罗地网 ——谈信息安全技术的发展现状与趋势 作者：王博 赵晶 艾小洋　2007·07     身份鉴定篇：信息系统一指通 系统身份鉴定作为信息安全的“一道岗”在整个信息安全体系中占据着举足轻重的位置，它的成功应用对于“网络安全、终端安全、存储安全”三大安全子系统提供了有力的支持。目前，系统身份鉴定的方式方法也呈显多样化，从最早的“用户名+密码”登录到IC卡、磁卡、动态口令、USB-Key+PIN码再到指纹识别和CA认证，那么怎样的身份鉴定系统才是最安全的？是一种技术独领风骚，还是多种技术百花齐放，还是多种技术的融合体？   黄磊明（安盟公司高级副总裁）: 信息安全通俗的讲就是以下几点 1.“进不来”---使用访问控制机制，阻止非授权用户进入网络，“进不来” 2.“拿不走”---使用授权机制，实现对用户的权限控制，即不该拿走的，“拿不走”； 3.“看不懂”---使用加密机制，确保信息不暴漏给未授权的实体或进程，即“看不懂”； 4.“改不了”---使用数据完整性鉴别机制，保证只有得到允许的人才能修改数据，而其它人“改不了”； 5.“走不脱”---使用审计、监控、防抵赖等安全机制，使得攻击者、破坏者、抵赖者走不脱。 目前很多信息网络在实现了边界安全之后，业务和应用的安全问题开始浮出水面。只有身份认证和管理技术能够密切结合企业的业务流程，才能防止重要资源不被非法访问。 数据存在的价值就是被合理访问。建立信息安全体系的目的是保证系统中的数据只能被有权限的“人”访问，未经授权的“人”无法访问数据。如果没有有效的身份认证手段，访问者的身份就很容易被伪造，使得任何安全防范体系都形同虚设。就好像人们建造了一座非常结实的保险库，安装了非常坚固的大门，却没有安装门锁。 如果把信息安全体系看作一个木桶，那么防火墙、入侵检测、VPN、安全网关等就是木桶的壁板，身份认证就相当于木桶底。可以说，身份认证用于解决访问者的物理身份和数字身份的一致性问题，给其他安全技术提供权限管理的依据，而防火墙等技术针对数字身份进行权限管理，解决数字身份能干什么的问题。 由此可见，身份认证是整个信息安全体系的基础，通常我们把身份认证称为信息安全的“门户技术”。 信息系统身份鉴定系统主要分为哪几大类？各自的技术特点是什么？他们各自的优缺点是什么？ 李厚民（天威诚信数字认证中心核心竞争力部副总监）：信息系统身份鉴证技术一般包括以下几类：用户口令方式、电子令牌、智能卡、生物识别、PKI/CA数字证书技术。正是因为传统的用户名和密码的脆弱性，引起了相关其他技术的发展。我们常见的电子令牌是基于一种时间密码的算法，同步产生一连串认证密码实现设备同步认证，但由于电子令牌较为昂贵且设备也有时间寿命，企业在采用过程中难免有所顾虑。其他一些生物识别技术，如虹膜识别技术利用激光照射眼球的背面，扫描提取几百个虹膜特征，经数字化处理后形成记忆模版存储与数据库中，供以后比对验证。虹膜作为一种稳定的生物特征，用于身份认证是一种精确度很高的验证技术，但也存在致命缺点就是使用困难，不适合直接数字签名和网络传输。声音识别也是同样的问题。而指纹识别虽可以部分解决签名问题，但需要建立大容量数据库，只适合本地传输，不适合大规模网上传输。 米国治（天津市国瑞数码安全系统有限公司技术部经理）：身份鉴定就是利用技术手段保证操作者的物理身份与数字身份相对应，在真实世界中，鉴别一个人的身份主要是从以下三个方面：（1）根据你所知道的信息来证明你的身份，即what you know.(2)根据你所拥有的东西来证明你的身份，即what you have. (3)根据你独一无二的身体特征来证明你的身份，即what you are.相对应的，在信息系统中，对用户的身份鉴定也可以大体分为三类方法，（1）用户名/密码。（2）智能卡(3)生物特征认证。当然，每一类方法中都有多种不同的实现方式，其中，有些认证方法组合了两种不同的技术来证明一个人的身份，称为双因子认证。这三类身份鉴定技术各自的特定和优缺点如下： 1、用户名/口令方式 特点——它是基于“what you know”的验证手段。每个用户的密码是由这个用户自己设定的，只有他自己才知道，因此只要能够正确输入密码，系统就认为他就是这个用户。 优点——简单、常用，能为系统提供一定的安全保护。 缺点——为了便于记忆，大多数网络用户选择常用词作口令，因此很容易被猜到；由于密码是静态的数据，并且在验证过程中需要在计算机内存中和网络中传输，而每次验证过程使用的验证信息都是相同的，很容易驻留在计算机内存中的木马程序或网络中的监听设备截获；口令自动破译工具使猜测口令的时间大大缩短，甚至克服了口令加密的问题。 采用动态口令机制能够增强这种方式的安全性。 2、智能卡 特点——它是基于“what you have”的手段，智能卡（IC卡、USB-Key）由专门的厂商通过专门的设备生产。IC卡/USB-Key由合法用户随身携带，登录时必须插入专用的读卡器或计算机U盘接口中读取其中的信息，以验证用户的身份。 优点——可以有效防止用户身份被仿冒，使用PIN+智能卡，即使智能卡丢失，用户仍不会被冒充。 缺点——系统只认卡不认人，对于没有密码保护的智能卡，如果丢失，拾到或窃得智能卡的人将很容易假冒原持卡人的身份；智能卡存在被伪造的可能； 3、生物特征认证 特点——它是基于“what you are”的手段，采用每个人独一无二的生物特征来验证用户身份。常见的有指纹识别、虹膜识别等。 优点——从理论上说，生物特征认证是最可靠的身份认证方式，因为它直接使用人的物理特征来表示每一个人的数字身份，不同的人具有相同生物特征的可能性可以忽略不计，因此几乎不可能被仿冒。 缺点——生物特征认证基于生物特征识别技术，受到现在的生物特征识别技术成熟度的影响，采用生物特征认证还具有较大的局限性；生物特征识别的准确性和稳定性还有待提高，特别是如果用户身体受到伤病或污渍的影响，往往导致无法正常识别，造成合法用户无法登录的情况；由于研发投入较大和产量较小的原因，生物特征认证系统的成本非常高，目前只适合于一些安全性要求非常高的场合如银行、部队等使用，还无法做到大面积推广。 王晓东（同有赛博副总经理）：信息系统身份鉴定系统即现在应用越来越广的“强身份认证”。“强身份认证”是相对于安全性较弱的静态密码、简单身份认证而言的，即通过增加新的认证手段和认证强度，使假冒用户身份对应用系统非法入侵的可能性降到最低。强身份认证的实现方式有很多，但业界最常用的方法主要有动态口令（包括动态口令（OTP）短信、动态口令令牌、手机动态口令、软件令牌电子证书）、生物特征识别三类，它们各有不同的适应领域。 动态口令令牌：动态口令令牌是动态口令的发生器，可以根据内部存储的密钥和时间/事件变量产生一次性口令（OTP），提供给用户进行系统身份认证。OTP显示的数字密码每次都不同，只在有效时间内使用（如1分钟内）使用才有效，而且只可以使用一次，因此，不怕嗅探、不怕复制，无法猜测，只有其所属的身份认证系统才能够识别每次生成的OTP是否来自合法用户所执有的令牌。 令牌由PIN码进行保护，不怕暴力破解，只有N次试错的机会，超过N次就锁定，不经过身份认证系统复位就无法使用。 令牌还有良好的物理防护功能，无须换电池，一旦被拆开，加密芯片会立即自毁，不会给不法之徒留下可乘之机。 动态口令令牌的身份认证方式保留了信息系统原有口令认证机制的简单易用的优点，又增加了动态口令认证的安全性，令牌不需要专用的读入设备，体型轻巧，便于客户随身携带，整个系统简捷易用。 电子证书：电子证书是PKI/CA认证技术所开发的认证产品，可以为网上交易提供符合业界标准的、高强度的数据加密和身份认证所需密钥，可以实现网上交易的秘密性、完整性和不可抵赖性，但是只保证交易本身的安全性，并不对客户的帐户提供保护，并没有完全解决客户身份认证问题。 由于电子证书必须依靠电脑中的客户端软件进行加密处理，电子证书对自身的保护也采用静态密码加密，一般都存储在电脑磁盘、可移动硬盘、USB盘中，便于随身携带。有些银行为了提高电子证书本身的安全性，采用技术手段将电子证书加密到USB-Key盘或智能卡中。 由于电子证书是PKI/CA认证技术的核心所在，因此电子证书的分发管理是非常重要的，这也导致了整个CA系统的运营管理较复杂，成本较高。 生物特征识别：从理论上说，生物特征识别技术应该能够更好地、更真实地标示个人身份。但是，现有生物特征识别技术不够成熟，识别成功率低，且识别设备价格昂贵，不便远程使用，而且尚未形成统一的技术标准，因此，不便于大规模推广使用，现在多被用于高密级机构内部的现场身份识别。 生物特征识别没有自我保护措施，因此，该方法不适用于广大的公众服务领域。 1) 生物特征识别方式从理论上讲识别准确率最高，但由于成本较高和实际使用上的性能问题，不便于大规模推广使用。 2) 电子证书主要用于对网上交易的本身进行电子签名，保障交易本身的秘密性、完整性和不可抵赖性，在交易过程中具有交易的识别、确认功能。但由于证书多使用静态密码保护，证书被盗的可能性较高；同时证书不能较好地解决交易系统的登录问题，因此现在多用于网上交易和中间业务。 3) 动态口令令牌可以用于企业的所有渠道，保护客户的账户安全，结合客户端加密软件还能够对电子证书进行安全保护。从身份认证系统的角度，投资效益是最高的。由此看出，基于动态口令令牌的方案是最适合在大多数有身份认证需要的应用上，实施的强身份认证全面解决方案。 陈海林（Aladdin知识系统公司技术支持经理）：目前市场主要有这样几类身份验证方式：静态密码、智能卡和USB令牌、一次性密码令牌、混合令牌、软件令牌、指纹认证等。以下是不同认证的比较和优缺点。 认证方式 主要优点 主要缺点 静态密码 • 使用简单 • 实施成本低 • 最弱的身份验证方式 • 容易遗忘或者被窃取 • 维护成本高 智能卡 • 高度安全 • 易于携带 － 可放入钱包 • 支持多种安全性应用 • 需要安装用户软件 • 机动性低 － 需要读卡器 基于智能卡的 USB 令牌 • 高度安全 • 机动 • 支持多种安全性应用程序 • 为用户带来显而易见的个人好处 • 需要安装用户软件 一次性密码令牌 • 机动 • 易于理解 • 不需要安装用户软件 • 支持的解决方案有限 • 需要身份验证服务器 • 寿命有限 － 需要使用电池 混合令牌 • 机动 • 支持多种安全性应用程序 • 对于 OTP 功能不需要安装用户软件 • 为用户带来显而易见的个人好处 • 寿命有效（除非备有替换电池） 软件令牌 • 不需要单独的硬件设备 • 令牌密钥不安全 • 支持的解决方案有限 • 需要身份验证服务器 指纹认证 • 三因素认证，更加安全 • 需要安装硬件设备和软件 • 无法实现百分之百的准确率，有很大的误判率   黄磊明（安盟公司高级副总裁）: 身份认证和授权主要判断网络虚拟世界中“你是谁?你能做什么?”，其核心是确定网络是否接受访问者的访问并且确定其权限，身份认证技术是网络信息安全的门户技术，只有确认了访问者的身份以后，其他的信息安全技术如：控制与授权、数据的完整性、不可否认性等才有意义。以往系统主要是通过用户名和静态口令来判断使用者的身份和其权限，但是静态口令很容易被盗取，因此在大多数的安全身份认证应用都采用动态口令技术——使用者的口令可以不断改变，提高安全性。 身份认证的基本方法：用户认证可以基于如下一个或几个因素： ·用户所知道的东西，如口令； ·用户拥有的东西，如动态口令令牌、智能卡； ·用户所具有的生物特征，如指纹、声音、视网膜扫描等。 单因素认证方法 单因素认证方法，通常采用如下形式：当用户需要访问系统资源时，系统提示用户输入用户名和口令。系统采用加密方式或明文方式将用户名和口令传送到认证中心。并和认证中心保存的用户信息进行比对。如果验证通过，系统允许该用户进行随后的访问操作，否则拒绝用户的进一步的访问操作。 单因素认证方法操作简便，但系统存在很明显的不安全性，有多种攻击方式会导致系统的控制失效，因此，在需要较高安全性的网络登录上通常不采用单因素认证方法。 双因素认证方法 在对安全性要求较高的网络系统中已经广泛采取了多种不同形式的双因素认证方法。在实现方式上通常是将口令认证和其他认证方法相结合。目前流行的认证方式有以下几种类型： ·生物识别方法 生物识别方法是利用用户的身体生物特征作为在网络上识别身份的要素。如指纹，视网膜，外貌，掌形等。采用生物识别方法需要配备相应的生物识别设备。生物识别终端将采集到的用户特征数据传送到认证中心，并和中心数据库中存储的数据进行比对；由于用户的生物特征千差万别而且难于复制和伪造，从而系统可以达到唯一识别用户的结果。但是生物识别设备目前造价还比较高，认证的成功率与认证准确性、认证速度是一对矛盾，而且不方便移动用户的使用，不适用于商业认证的要求。 ·智能卡识别方法 每个系统用户都持一张智能卡，卡内存放系统预置的电子证书。用户需要访问系统时，需要将智能卡插入到终端的智能卡读写器中；认证中心不仅要核对用户的口令，同时要核对智能卡是否和登录用户的信息一致，而且可以用智能卡对用户上传的信息进行加密处理，保证信息在网络上传输的安全性。但是必须采用CPU卡，因为只有CPU卡可以保证其存储的信息不能复制，从而可以保证很高的安全性。证书的管理与分发、证书的认证速度都不适合于要求实时性较高的银行业务，并且用户需在终端上配备相应的智能卡读写器，每年需要收回卡以重新更新证书，增加了设备投入与维护成本。 ·时间同步动态口令 每个系统用户都持有一只时间同步动态口令令牌。令牌内置时钟，种子密钥和加密算法。时间同步动态口令令牌可以每分钟动态生成个一次性有效的口令。用户需要访问系统时，需要将令牌生成的动态口令和静态口令输入到系统，加密后提交给认证服务器进行核对，由于每个用户的种子密钥不同，因此不同用户在同一时刻的动态口令也不同。同时，该口令只能在当时一次有效，不担心被其他人截取。该方法不改变用户原来的输入口令的方式，可以保证很高的安全性，而且支持多种应用在同一平台认证，因此应用广泛。 当前比较流行技术有哪些？他们在各行业中的应用情况如何？ 李厚民（天威诚信数字认证中心核心竞争力部副总监）：现在比较流行的是PKI技术，它由公开密钥密码技术、数字证书、证书发放机构（CA）和关于公开密钥的安全策略等基本成分共同组成的。系统通过管理密钥和证书，可以为企业建立起一个安全的网络运行环境，使用户可以在多种应用环境下方便的使用加密和数字签名技术，从而保证网上数据的机密性、完整性、有效性，数据的机密性是指数据在传输过程中，不能被非授权者偷看，数据的完整性是指数据在传输过程中不能被非法篡改，数据的有效性是指数据不能被否认，这些特性是其他认证技术无法实现的。2005年我国颁布了《中华人民共和国电子签名法》，首次承认了电子签名的法律地位，为电子认证服务向多领域的拓展打下了基础。数字证书在企业供应链管理系统、财务管理系统等众多应用系统中现已开始发挥作用。以联想集团公司的供应链系统为例，该公司在集成了天威诚信数字认证中心的电子认证服务系统后，每个分销商的身份都与一个数字证书实现捆绑，分销商登陆系统后生成一份合法的电子订单的只需要1-2个小时，效率得到了极大的提高。 米国治（天津市国瑞数码安全系统有限公司技术部经理）：在当前比较流行的身份鉴别技术中，许多是基于两种或两种以上因素组合而成的认证方式，常用的认证技术有动态口令（一次性口令OTP）、智能卡认证、数字签名技术（软件的数字证书、硬件的数字证书）和生物识别（如手形、指纹、面部特征、虹膜、视网膜等）。结合各行业的不同特点，各种认证技术都得到了不同的应用。动态口令技术在传统的静态口令的技术上进行了调整，把用户记忆的口令变成用户持有的设备生成的口令，并且不断变化，在互联网行业应用比较广泛。智能卡认证具体有很多种形式，在金融行业、政府行业、企业中的应用都比较广泛。数字签名技术主要分为使用软件的数字证书和硬件的数字证书，采用硬件数字证书是将包含用户信息的数字证书存储在介质(如USB-Key中),由用户随身携带，数字签名技术目前在电子商务、政府、能源、金融、电信等对认证要求较高的行业中都有广泛的应用，是目前比较成熟的认证技术。生物识别技术，技术本身正处于发展阶段，目前还存在一定局限性，如技术成本、识别精度和速度等，目前主要应用于一些特定的行业，如公安系统、金融系统、交通系统的安检等。 王晓东（同有赛博副总经理）：当前比效流行的技术有以下二种：动态口令、电子证书。动态口令的应用较广，大部分企业都有应用。在企业主要为管理安全、客户端安全的应用。管理安全方面：目前大多数企业对内用于系统管理员、网络管理员登陆等内部管理方面，对外用于VPN，合作伙伴的身份认证。客户端安全主要应用于金融行业，银行网上交易和、支付平台和网游等领域。 陈海林（Aladdin知识系统公司技术支持经理）：从上我们可以看到适合电力企业的话一般选择一次性动态密码认证或者基于智能卡的USB令牌认证。一次性动态密码认证最大的灵活性在于不需要在客户端安装软件，实施和部署比较方便，但是在功能上有较大的限制，只能实现身份验证功能。基于智能卡的USB令牌需要在每个客户端安装软件，但是在功能上除了可以实现身份验证以外，还可以实现数字证书的签名和加密，实现PKI应用；同时可以配合第三方解决方案来保护文档和文件夹，甚至加密整个硬盘实现计算机启动保护；还可以在USB令牌保存第三方应用程序的登录凭证，实现单点登录功能。   令牌 （OTP） USB-Key + 数字证书 初始成本 客户需要购买令牌以及相应数量的服务器用户许可 如果使用数字证书方式进行认证的话，用户只需要购买USB令牌即可，配合微软的证书服务器（完全免费）来实现双因素认证，没有服务器端的费用，同时单个USB令牌的价格也要比OTP令牌便宜许多，所以整个初始成本可以非常低。 令牌有效期 令牌有时间限制，从2年到5年不等，当令牌超过有效期以后，用户必须重新购买新的令牌来替换过期的令牌，带来很大的费用负担 USB接口没有时间限制，客户可以永久拥有此硬件认证设备 使用方便性 每次认证的时候都需要手工输入PIN码和令牌码，使用起来比较繁琐。如果需要登录多个使用OPT保护的应用程序时，时间同步令牌每次认证完毕都要等待一分钟才能登录下一个应用。 只需要在每次开机的时候插入USB-Key并且输入PIN码，每次认证的时候应用程序会自动到USB-Key中读取相应的凭证，不再需要用户手工输入任何信息 单点登录功能 使用令牌无法实现单点登录，用户每次认证时都需要输入认证信息；或者需要购买专门的单点登录软件来实现 无论是C/S或者B/S应用程序，在USB-Key中可以保存这些第三方应用程序的静态口令，当用户启动这些应用程序的时候，可以将登录凭证自动填入登录界面，实现应用程序的自动登录；对于应用程序来说不需要做任何修改 令牌种子的安全性 RSA的令牌在出厂时会将种子植入令牌，RSA厂商知道每块令牌的种子值，存在一定的安全隐患；同时，这些令牌的种子值以明文的方式传送给客户管理员，在运送过程中也容易泄漏种子值。 管理员为每个用户申请并导入发放数字证书，安全地存放在 USB-Key 中，这个过程完全由管理员来控制，杜绝了其中的安全隐患。 对信息安全的整体保护 仅仅实现身份认证功能 除了实现身份认证功能以外，还可以实现数据的私密性、完整性和不可否认性。 客户端软件安装 客户端不需要安装软件 需要安装客户端软件，通过标准的PKCS标准来读取USB-Key中的数字证书和私钥   黄磊明（安盟公司高级副总裁）:身份认证从技术上讲主要是我们在上面所提到的静态口令、动态口令、生物识别、CA证书等，不同的厂商对产品有不同的解释，但实际上就是上面这几类产品。 从是否使用硬件，身份认证技术可以分为软件认证和硬件认证。从认证需要验证的条件来看，身份认证技术还可以分为单因素认证和双因素认证。这里需要对单因素认证和双因素认证多说几句。仅通过一个条件来验证一个人的身份的技术称为单因素认证。由于只使用一种条件判断用户的身份，单因素认证很容易被仿冒。双因素认证通过组合两种不同条件（如通过个人PIN码和动态码的组合）来证明一个人的身份，安全性有了明显提高。从认证信息来看，身份认证技术还可以分为静态认证和动态认证。 几种身份认证技术特点的比较 认证技术 特点 应用 主要产品 用户名/密码方式 简单易行 保护非关键性的系统，不能保护敏感信息 嵌入在各种应用软件中 IC卡认证 简单易行 很容易被内存扫描或网络监听等黑客技术窃取 IC加密卡等 动态口令 一次一密，较高安全性 技术成熟、兼容性好，使用简单方便，易于部署。 动态令牌等 生物特征认证 安全性最高 技术不成熟，准确性和稳定性有待提高 指纹认证系统等   动态口令方式与CA证书方式的比较 比较项目 动态口令认证的方式 PKI的认证方式 基本机理 基于对称密钥和时间，每隔一个时间段计算一个口令。 基于公私钥的运算 交互特点 通常情况下令牌和认证服务器没有交互，在其他如短信、语音方式是采用挑战应答，对网络基本没有压力。 有着比较频繁的交互过程，占用较多网络资源 配套支持 认证服务器和硬件令牌搭配销售，不一定需要网络的支持 必须有网络的支持，消耗较多的网络资源 对其他安全功能的支持 兼容性高，可靠性高，易于部署管理，支持多种认证，统一认证平台 主要用于数据签名，抗抵赖、消息来源认证、数据完整性和保密性等多个方面的安全功能，兼容性较差。不适合大量用户使用 适用场合 特别适合于不需要交互的应用，比如基于电话语音业务应用的认证 适合于系统级别认证 适合于有网络支持的有交互的认证和应用系统级别的认证 建设成本 初始成本较低，可扩展性强，运营、维护成本低 建设、维护成本高，因为需要建设和维护CA系统 认证成本 每个认证的计算成本低，速度快 认证成本高，公私钥运算比较耗费计算资源，认证速度较慢 市场方式/产品形式 硬件令牌和服务器搭配销售 ，客户端产品形式多样，便于提供差别化服务 基于硬件证书，一般是Smart Card的方式，常见的有USBKEY式的和卡式的两种 安全强度 高强度的认证方式 认证强度低于双因素认证 综合结论 各有所长，相互补充，适用于不同的场合，动态口令适应于强身份认证，证书适应于签名，不能相互替代。 针对电力行业信息系统分布广、数量多、层次复杂的特点，哪一种鉴别技术最适合电力信息系统应用？ 李厚民（天威诚信数字认证中心核心竞争力部副总监）：自从电力体制改革后，我国电力信息化现已从调整过度到加速的阶段。各电网企业在生产管理系统、营销管理等系统均加大了信息化建设力度，一些大型电力集团通过信息系统的改造在业务、管理上实行了集团化的整合。与此同时，电力企业也从物理安全、网络安全、应用安全、硬件安全、软件安全、数据与文档安全、安全运行管理等多方面构建信息安全体系。特别对于一些应用系统，CA认证技术有很强的适用性。并且一些电力集团开始利用电子签名对于重要信息进行安全保护，开展远程网上招投。如广东粤电资金管理系统已成功地集成了“天威诚信电子签名集成系统”，数字证书持有者可以方便的完成身份认证并利用数字证书完成系统登陆并对资金调动等关键环节进行数字签名，保证了交易系统有据可查。 米国治（天津市国瑞数码安全系统有限公司技术部经理）：电力行业的信息系统主要包括了支持电网运行的实时控制系统；支持电网经营的电力营销系统、电量计费系统、负荷管理系统；支持企业经营管理的管理信息系统和其他非主业的管理信息系统，具有业务系统繁多，层次复杂，需求多样的特点，针对这些特点，采用成熟、可靠的基于PKI体系的数字证书认证技术比较符合电力行业的特点。数字证书是由权威公正的第三方机构即CA中心签发的，以数字签名证书为核心的认证技术，可以对持有证书的用户身份进行认证，对在网络上传输的信息进行数字签名和签名验证，确保用户身份的可靠性，签名信息的不可否认性，从而保障网络应用的安全性。此外，针对需求的多样性特点（如非主业信息系统要求的安全等级就比电网的实时控制系统要低），还可以采用其他与需求相适应的认证技术，如用户名/密码（要求弱认证的系统）、生物识别（要求强认证的系统）等。 王晓东（同有赛博副总经理）：对于电力行业，可把动态口令（OTP）和电子证书（PKI）进行结合使用。这种建议主要从数据、应用、管理的不同安全需求而定，使管理成本和使用、推广成本降到最低。动态口令（OTP）可用于系统、网络、VPN远程登陆、OA系统的终端安全、等内部管理。电网的网上查询、交费等客户端的应用（如今后有推出该服务）；OTP+PKI可用于财务方面、电厂生产、调度数据等领域应用。 陈海林（Aladdin知识系统公司技术支持经理）：针对电力行业信息系统的特点---分布广、数量多、层次复杂，我们觉得基于智能卡的USB令牌更加适合。因为对于这些系统来说，身份验证知识总体需求的一小部分，除了身份验证以外，还需要PKI功能和密码管理功能，如果给用户配多个令牌也不现实，使用起来也不方便，所以选一款多功能的令牌比较合适。 黄磊明（安盟公司高级副总裁）:电力信息系统从业务层面上看是一种综合运营平台，也可以说是一种类似于电信运营商的业务平台，所不同的是他的安全性要求更高，电力系统是涉及到千家万户和国民经济生产的关键性行业，利用强大的IT技术提高电力运营水平是当前电力系统改革的重要议题，我国电力企业信息化起源于20世纪60年代，电力行业相比其他行业的信息化进程较为领先。众所周知，计算机与信息犯罪在近年正在呈现出上升的趋势。攻击日益频繁，且导致越来越大的经济损失，因此都必须采取有效措施，保护其信息资源。许多最具危害性的计算机犯罪都拥有共同的特点：即绕过口令保护获取对信息或资源的访问权限。随着信息化的发展，电力计算机信息系统建立多个计算机信息应用系统，这些系统是逐步实施的，每一个系统都有自己的用户管理系统，为了安全对每一个应用都设定了口令的安全要求，用户特别是企业的领导要记住多个复杂的口令，使用非常不方便，需要有一个统一身份认证系统了解决这一问题。 如果是各种技术各有优缺点，是否可以将几种技术结合? 李厚民（天威诚信数字认证中心核心竞争力部副总监）：数字证书技术区别其他技术的关键一点就是可以在Internet网上实现密钥的自动管理，实现数字签名和加密，保证网上数据的机密性、完整性。而其他技术虽然可以有效地完成身份认证，但在实现数字签名方面均不能很有效的解决，面对复杂的应用系统，仅仅完成简单的身份认证，显然不能担当这一艰巨任务。但日常我们见到的数字证书的私钥存驻于硬盘，从安全性来看并不能保证万无一而且不利于携带，造成了一些麻烦，因此现在我们常见的办法是将数字证书与智能芯片技术结合，将数字证书保存在如USB-Key等安全加密设备当中，从物理角度保证私钥不可导出。而USB-Key则可以随时携带，数字证书的拥有人在任何一台机器上都能使用数字证书完成签名交易。 米国治（天津市国瑞数码安全系统有限公司技术部经理）：随着网络应用的不断丰富以及认证技术的发展，单一的认证技术已经难以应对日益复杂的网络环境，采用多种认证技术结合的双因子认证、动态认证和硬件认证是当前认证技术发展的主流，如动态口令、USB-Key认证、数字证书等认证方法都是几种技术的结合。动态口令技术是一种让用户的密码按照时间或使用次数不断动态变化，每个密码只使用一次的技术，它采用一种称之为动态令牌的专用硬件，内置密码生成芯片，密码生成芯片运行专门的密码算法，根据当前时间或使用次数生成当前密码并显示在显示屏上。认证服务器采用相同的算法计算当前的有效密码。用户使用时只需要将动态令牌上显示的当前密码输入客户端计算机，即可实现身份的确认。这是一种典型的“你有什么”+“你知道什么”的认证方式。USB-Key技术是目前发展起来的一种方便、安全、经济的身份认证技术，它是一种USB接口的硬件设备，采用软硬件相结合的强双因子认证模式，可以存储用户的密钥或数字证书，在进行身份认证时，不仅需要插如USB-Key,同时，系统将对其中存储的数字证书进行认证，为防丢失或被盗用，许多USB-Key在使用时都要输入PIN码，更增强了认证的可靠性。此外，由于生物识别技术的局限性，在许多使用生物识别技术进行身份认证的的地方还同时使用密码等其他认证方式。 王晓东（同有赛博副总经理）：将几种技术结合所带来最大的问题在于后台的认证系统管理复杂。建议采用动态口令和电子证书结合的成熟解决方案 陈海林（Aladdin知识系统公司技术支持经理）：完全可以。Aladdin主推的eToken NG-OTP就结合了一次性密码认证令牌和USB令牌两种功能于一身。Aladdin eToken NG-OTP 是 USB 和一次性密码 (OTP) 混合的令牌，它将基于智能卡的 eToken PRO 的全部功能与 OTP 技术相结合，用于在断开模式下进行网络资源的强用户身份验证。eToken 基于智能卡的功能包括基于 PKI 的安全性解决方案、用于密码管理的安全凭据存储等等。 黄磊明（安盟公司高级副总裁）:信息安全技术必须组合使用才能构建安全的信息平台，在建设初期采用双因素身份认证技术来鉴别用户的身份保证信息系统的门户安全，根据需要采用授权系统（基于LDAP技术的多种产品），根据业务的需求采用电子签名（采用基于PKI技术的证书）来解决不可否认性问题，为了保证数据在传输中的安全性采用VPN/SSL VPN技术，为了便于管理采用审计产品，由此来构建统一的4A(认证Authentication、授权Authorization、审计auditing、管理Administration)平台。 未来的身份鉴别系统应该具有哪些技术和应用特点？ 李厚民（天威诚信数字认证中心核心竞争力部副总监）：目前身份管理已经成为企业IT优先计划中位居前列的重要内容，各信息安全公司都在积极努力提升产品性能，推出身份认证解决方案。但在身份认证系统实际运走中，我们发现许多应用系统往往与外界联系紧密，应用也日趋复杂，这就需要一套灵活性和安全性都很高的身份认证系统，而仅仅应用生物识别技术、动态密码很难的提供全面保证。而CA认证技术可以有效地调节上述矛盾，并且我国正在电子认证服务上逐步推进认证系统间的互信，以数字证书为依托建立的身份认证系统将会在未来得到更大的发展空间。 米国治（天津市国瑞数码安全系统有限公司技术部经理）：身份认证技术将朝着更加安全、易用，多种技术手段相结合的方向发展，未来的身份鉴定系统中应该兼容多种认证技术，如动态口令、数字证书身份认证技术和基于生物特征的认证技术等，并可以在认证因素之间进行任意组合。认证技术的应用应该综合考虑用户系统的安全需求与认证机制的安全性能，确保信息数据被真正授权的用户所访问。同时，身份认证技术作为网络安全基础设施建设的一部分，应和其他与认证相关的安全领域的技术更好的融合，如将用户认证与对用户的帐户管理、授权管理和审计管理结合起来，构建信息系统的安全管理平台，更好的为信息系统整体的安全架构服务，此外，将身份认证技术集成到主流的安全产品中，如市场上最常用的安全产品——防火墙、VPN、UTM中都集成了认证模块，当在构建企业安全网络时，身份认证将成为不可缺少的第一道防线。 王晓东（同有赛博副总经理）：未来的身份鉴别系统该朝着“人力资源生命周期管理”方面发展。即通过动态口令和证书对人员在企业内的行为管理，实现员工在为企业服务的整个生命周期，从进入企业岗位开始到调动、升迁至离开；对所有行为规范、痕迹连贯、可审计、可控制，同时解决人员行为不规范而带来的生产和法律法规的安全隐患。 陈海林（Aladdin知识系统公司技术支持经理）：在企业中管理安全性的主要挑战之一是将用户、用户的安全性设备以及组织规则与相关的安全性应用联系起来。最好有一套服务器软件将上述所有组成部分连接到了一个单独的、自动化的且完全可配置的系统中，从而消除了实施这些安全性服务的障碍，尤其是依赖于 PKI 技术的安全性服务。Aladdin TMS 提供了强大的工具，以使您能够经济有效且便利地处理令牌生命周期管理的所有方面。TMS 功能包括令牌部署和撤消、基于 Web 的用户自助式令牌登记和密码重置、用户凭据的自动备份和恢复以及丢失和损坏的令牌的处置等等。它实现了组织内所有 eToken 设备的部署、供应和维护，包括安全令牌、智能卡和 ID 证章。它支持全面的一系列安全性应用，如网络登录、VPN、Web 访问、一次性身份验证、安全电子邮件、数据加密等等。Aladdin TMS 还实现了设备生命周期管理，支持门禁线圈和磁条数据、照片 ID 印制、用户帮助台支持（比如解锁遗忘的PIN）以及用户台式机或笔记本软件部署。完成这一切无需实施单独的用户管理系统，并且只需最低限度地培训已经熟悉 Microsoft Active Directory 的管理员。TMS 提供了用于管理和用户支持的基于 Web 的可定制 GUI。 黄磊明（安盟公司高级副总裁）:作为信息安全的门户技术，必须采用具有兼容性好、可靠性高、扩展能力强、服务于技术支持能力强的主流产品，目前比较成熟的产品是基于时间同步的双因素身份认证产品。 身份认证产品必须具有以下特点： 安全性与可靠性 身份认证作为网上银行的第一道防线，它的安全性关系到整个信息系统的安全。因此认证系统本身的安全设计是至关重要的。同时客户端的安全性，也是非常重要的。 可扩展性 能实现对现有系统和未来信息系统的认证功能的灵活性支持，保证在可以预期的时间范围内系统的可持续扩展。 良好的可靠性和完善的紧急响应机制 认证与授权是信息系统得以正常运转的前提和基础，它必须具有非常好的可靠性。同时，任何系统都有可能出现问题和故障，安全系统作为一种软件同样也会出现问题和错误，因此该系统必须具备完善的故障恢复机制和容错机制。 高效性 由于信息系统业务未来发展潜力很大，作为为信息系统提供认证服务的系统，应当具备良好的系统效率。 贵公司的产品主要特点是哪些？未来在电力领域的发展规划是什么？ 李厚民（天威诚信数字认证中心核心竞争力部副总监）：天威诚信通过多年的不断积累可以满足小型到百万级的身份认证系统的建立。天威诚信的电子认证服务产品完全符合国家相关技术和法律法规规定，并与众多厂商保持着密切合作关系，可以有针对性的提供多种运营服务搭建方式，满足企业对于身份认证系统众多个性化要求。对于电力行业应用系统，我们认为以托管方式建立的电子认证系统将具有更强的适应性。在广东粤电项目中，广东粤电管理人员可以远程登录托管在天威诚信数字中心内部的子CA方便的完成证书发放、申请、吊销等工作，而不必亲自运营、维护一整套CA认证中心。整个身份认证系统实现了快速部署，服务选项也可以进行灵活配置。未来的身份认证系统必将会向更广范围拓展，以托管方式建立起来的身份认证系统与传统自建CA系统相比，满足了日后身份认证行业的发展趋势，符合电子签名法对于数字证书的要求，更好的适应系统和信息间的交互，可以快速实现服务与系统升级。 米国治（天津市国瑞数码安全系统有限公司技术部经理）：我公司的NCS-CA数字证书管理系统、智能卡域登录系统、VDS可视化数字签章以及安全公文传输系统是针对业务系统的不同需求开发的专门用于认证的产品。其中，专门用于数字证书签发管理的NCS-CA数字证书管理系统具有以下特点：部署灵活，即能够根据用户需要灵活部署企业版、标准版和网络版，以适应不同的网络规模；高可扩展性，主要表现在