出版日期：2001-03-29　总期号：1006　本年期号：21

本期导读 新闻与分析 e变革 电子商务 互联技术 互联市场 网络与通信

网络安全第一关：用户身份认证 郑裕杰 　　普通密码并不安全 　　经常上网的人都知道，在上网的过程中，会经常遇到需要设置用户密码的地方，例如：注册登记、上聊天室、上个人邮箱、修改个人主页，一些更重要的操作如网上支付、远程登陆等。用户密码就犹如用户的个人网上身份证一样，如果被别人所窃取，别人就完全可以冒充你的身份而在网上对你的资料进行查询及“合法”操作。 　　但就目前来说，用户网上所设置的密码基本上属于静态密码，即如果用户不去改变它，它就没有任何变化，而很多人喜欢用其生日、姓名及其它一些容易记得的数字或字母，这就很容易被熟悉他的人所猜测到。对于黑客来说，静态密码更是小菜一碟，稍微用一些解码软件就可破解。 　　对于企业，尤其是一些银行、证券、保险企业，其内部员工或用户的密码，对于其网络的安全来说，更加显得重要，稍有不慎，即可能被非法用户入侵，造成严重的损失。 　　国际三大身份认证技术 　　国际上在使用网络的过程中，早就意识到这一问题的重要性。目前，有别于普通用户密码的认证技术主要有三种形式：令牌、智能卡和生物测定学方法。 　　令牌是最成熟的方法，在国外已经成功地使用了多年。为了强化身份鉴别机制，提高密码验证的安全性，又出现了动态密码的技术，在这种技术中，采用了一种具有计算能力的令牌卡(Token Card)，用户登录系统的密码由它计算得出，每次动态变化，增加了系统的安全性。动态密码技术常用来控制对主机、服务器等重要资源的访问，还用于对某些特殊用户的访问控制，如系统的特权用户等。 　　智能卡的作用与令牌略有些相似，卡内存储有个人识别信息，通过专用的读卡器读取，同时还需要输入一个静态密码，智能卡在金融行业使用较为普遍，如信用卡或借记卡，但这一方案的安全程度并不高。 　　生物测定学方法是使用个人典型特征来检验用户的一致性，这些特征包括脸部识别、指纹识别、虹膜扫描和声音鉴定。这一方案安全程度很高，但实施起来的难度和成本都比较高。 　　RSA双因素认证，用户密码分分变 　　目前，国际上一种著名的用户双因素认证技术正逐渐地在流入中国，在一些大型企业中逐步得到运用。 　　使用这种技术的用户都会拥有一个令牌，它看上去很像一个钥匙牌，甚至还没有一张信用卡大，但是却可以每60秒钟生成一个新的密码。令牌的持有人在登录网络时，除了输入固定的口令外，再将令牌当时显示的数字同时键入。这种双重的密码认证，确保了登录网络的人只能是持有令牌的“本人”。 　　这种令人惊奇的“分分变密码”技术，正是著名的国际网络安全企业、美国的RSA Security公司所拥有的双因素用户认证技术。 　　美国RSA Security公司的主要业务是：身份认证和管理、密钥加密和基于PKI技术的访问控制。成立于1984年的RSA Security公司是网络应用和数据安全方面的业界领先者, 其双因素用户身份认证产品ACE/Server和SecurID，目前在全球已有超过5000家机构和800万用户使用；Fortune 100中的大公司，有超过一半都在使用该产品。RSA Security公司通过将自己的产品建立在和主流系统、设备的互操作性上, 同业界超过70家大公司建立了战略合作关系，其中包括3COM、Apple Computer、Ascend、AT&T、Cisco、IBM、Intel/Shiva、Microsoft、Novell和Nortel Networks。这些厂家的系统和设备都直接或间接地支持RSA Security公司的产品。 　　据RSA中国区域总经理林季明称：“我们这个令牌的产品，基本上相对来说是蛮老的一个产品，它已经差不多有12年了。12年来，我们这个产品，到今天为止还未被人‘破’过，意思就是说还没有人能猜得到我下一分钟令牌生产的‘数据’。因此，对于我们来说，这是比较成熟的产品。” 　　RSA在中国的发展 　　谈到在中国的市场拓展前景，林季明表示，“即便是成熟的技术也需要不断的改良和市场本地化。RSA会与国内的合作伙伴一道推行令牌的汉化计划，并会在国内设立令牌硬件生产线。生产的产品预计2001年二季度可推向市场，初期估计可销售2至3万件，希望到2002年至2003年能够获得数倍的增长。” 　　RSA公司在中国的市场策略主要是采用代理制，通过国内合作伙伴进行销售，而RSA提供活动资金、技术支持等一系列措施，来配合支持代理商的市场工作。而这其中，深圳汇丰信息技术开发有限公司做为在中国的总经销商，对其市场的拓展工作发挥着重大的作用。 　　据深圳汇丰的总经理姜勇介绍说：“作为RSA在中国的总经销商，深圳汇丰在短短的一年多时间内，就已经将RSA产品成功地带入了银行、证券、保险等大型企业，案例包括有招商银行、发展银行、中兴通讯、平安保险等著名企业，取得了不俗的业绩。” 　　为了更好地服务于客户，RSA与深圳汇丰在华南的市场培育方面，做了大量的工作，经常为各行各业的IT经理免费举办各种培训学习班、研讨会，例如最近在深圳沙河高尔夫球会，他们就针对证券业，成功举办了一次“新世纪证券网络安全研讨会”，来自深圳、广州等地的二十多家知名证券公司IT负责人齐聚一堂，听取讲座，交流探讨，对RSA的这项技术产生了浓厚的兴趣，并已有部分公司与之达成了合作意向。 　　对于这样一项能够真正确保用户安全的认证技术，我们衷心希望它能够在我国市场上得以顺利地发展。