嚴霄鳳

工業(yè)和信息化部計算機與微電子發(fā)展研究中心(中國軟件評測中心) 北京 100048

0 引言

電子認證是電子政務(wù)和電子商務(wù)的核心環(huán)節(jié)，目的是建立以電子方式提交到信息系統(tǒng)的用戶身份的可信性，確保網(wǎng)上傳遞信息的真實性、保密性、完整性和不可否認性。信息系統(tǒng)可以根據(jù)經(jīng)過電子認證的身份確定某人是否被授權(quán)執(zhí)行電子政務(wù)、電子交易等相關(guān)網(wǎng)絡(luò)活動。

電子認證令牌包含電子認證過程中證明用戶身份的秘密，通過一個或多個認證因素控制，由用戶擁有，用于證明用戶的身份。根據(jù)令牌使用的認證因素數(shù)量和類型的不同，其特點也不同。

對令牌的擁有和控制是認證用戶身份的證據(jù)，如果令牌受到不法分子的攻擊，被偷竊、篡改或復制，將使攻擊者獲得對令牌控制的機會，偽裝成令牌的主人，實施不法行為，給令牌用戶造成損失或危害。

1 令牌

傳統(tǒng)的認證系統(tǒng)將知道的東西(如口令)、擁有的東西(如ID徽章、IC卡和動態(tài)口令卡)和自身的特征(如指紋、瞳孔、聲音或其他生物特征)三種因素作為認證的基本要素。令牌的特點由其使用的認證因素的數(shù)量和類型決定，令牌可能是單因素或多因素的：

(1) 單因素令牌：使用三個認證因素之一獲得認證。例如，口令是知道的東西。不需要其他因素激活令牌，被認為是單因素的。

(2) 多因素令牌：使用兩個或多個認證因素獲得認證。例如，通過PIN碼激活智能卡上的私鑰是一個多因素令牌，因為智能卡是擁有的東西，PIN碼是知道的東西。

認證系統(tǒng)的安全程度在很大程度上取決于系統(tǒng)采用的認證因素的數(shù)量。使用兩個認證因素的認證系統(tǒng)比只使用一個認證因素的認證系統(tǒng)更強；使用所有三個認證因素的系統(tǒng)比只使用兩個認證因素的系統(tǒng)更強。

通常情況下，雙因素令牌足以達到認證需要的安全水平，但在某些應(yīng)用或環(huán)境中可能需要使用多個認證因素獲得要求的認證強度。

令牌的一個抽象模型如圖1所示。

圖1 令牌模型

圖的外框表示令牌，令牌可能存在一個硬件(如智能卡)、軟件(如軟件加密模塊)或人的記憶中。內(nèi)框代表存儲在令牌中的令牌秘密。令牌的輸出是提供給協(xié)議棧，以便傳輸給驗證方，證明用戶擁有和控制令牌的一個值——令牌驗證碼。令牌驗證碼可能是令牌秘密或令牌秘密的變形。

令牌有兩個可選的輸入：令牌輸入數(shù)據(jù)和令牌激活數(shù)據(jù)。為了生成令牌驗證碼可能需要令牌輸入數(shù)據(jù)，如一個挑戰(zhàn)或隨機數(shù)。令牌輸入數(shù)據(jù)可由用戶提供，或者是令牌本身的一個功能，如一次性口令(One-time Password，OTP)設(shè)備的時鐘。為了激活令牌并允許生成令牌驗證碼，可能需要令牌激活數(shù)據(jù)，如一個PIN碼或生物特征識別。當用戶通過知道的東西或自身的特征控制令牌時，需要令牌激活數(shù)據(jù)。

驗證碼在使用令牌的過程中生成。一般情況下，通過使用令牌秘密和一個或多個可選的令牌輸入值(如，一個隨機數(shù)或挑戰(zhàn))執(zhí)行數(shù)學函數(shù)生成驗證碼：

驗證碼＝f(＜令牌秘密＞〔，＜隨機數(shù)＞〕〔，＜挑戰(zhàn)值＞〕)

在令牌是一個口令的情況下，驗證碼就是令牌秘密本身。

令牌中包含的秘密基于公共密鑰對(非對稱密鑰)或共享秘密。公共密鑰對由一個公鑰和一個關(guān)聯(lián)的私鑰組成。私鑰存儲在令牌中，由用戶用于證明其對令牌的擁有和控制。驗證方通過一些憑證(通常是公鑰證書)獲取用戶的公鑰，通過證明用戶擁有和控制關(guān)聯(lián)的私鑰令牌，使用認證協(xié)議驗證用戶的身份。存儲在令牌中的共享秘密，可能是對稱密鑰或口令，雖然他們可以使用類似的協(xié)議，但兩者之間的一個重要區(qū)別是如何與用戶關(guān)聯(lián)。對稱密鑰通常存儲在用戶控制的硬件或軟件中，口令往往由用戶記憶。因此，密鑰是用戶擁有的東西，而口令是用戶知道的東西。因為口令需要記憶，所以通常達不到加密密鑰可能的長度，在許多協(xié)議中，很容易受到網(wǎng)絡(luò)攻擊，不適合作為密鑰。此外，將口令輸入系統(tǒng)的入口(通常是鍵盤)為非常簡單的鍵盤記錄攻擊提供了機會，還可能讓附近的人通過偷窺輸入獲取口令。所以，密鑰和口令代表了不同的認證屬性。

在電子認證過程中，用戶在網(wǎng)絡(luò)上通過證明其擁有和控制令牌，從而表明用戶是申請到令牌的用戶，讓系統(tǒng)或應(yīng)用程序認證其身份。

2 電子認證令牌

電子認證令牌總會包含一個秘密，一些經(jīng)典的認證因素并不直接適用于電子認證。例如，ID徽章是用戶擁有的東西，當向門衛(wèi)證明用戶的身份時是有用的，但它不是一個用于電子認證的令牌。歸類為知道的東西的認證因素不一定是秘密。在基于知識的認證中，用戶被提示回答可以從公共數(shù)據(jù)庫中得到證實的問題，也沒有構(gòu)成電子認證可接受的秘密。一般來說，自身的特征一般不構(gòu)成秘密，因此不使用生物特征作為電子認證令牌，但他們在電子認證中具有自己的一席之地。例如，通過指紋保護訪問一個其中包含加密密鑰(令牌秘密)的硬件(令牌)。當與生物特征識別一起使用時，加密密鑰產(chǎn)生一個輸出(令牌驗證碼)，用于在認證過程中驗證用戶。冒名頂替者必須通過偷竊硬件獲取加密密鑰并復制指紋，才能使用令牌。盡管在驗證方與用戶之間實際認證協(xié)議只簡單地證明用戶擁有密鑰，但這樣的設(shè)備有效地提供了雙因素認證。

生物特征識別的特點是可以用個人惟一的特征屬性驗證身處驗證點的人的身份。生物特征識別包括面部特征、指紋、DNA、虹膜和視網(wǎng)膜掃描、聲紋及許多其他特性。生物特征識別可用于在注冊過程中提高安全級別，防止以后用戶否認注冊，幫助識別提交注冊欺詐的人，以及進行令牌解鎖。

用于電子認證中的令牌主要有以下幾種類型：

(1) 記憶秘密令牌：在用戶和認證服務(wù)提供者(Credential Service Provider，CSP)之間共享的一個秘密。記憶秘密令牌通常是字符串(如口令)或數(shù)值串(如PIN碼)。在認證過程中提交給驗證方的令牌驗證碼是秘密本身(如口令本身)。記憶秘密令牌是知道的東西。

(2) 預(yù)注冊知識令牌：對一組提示或挑戰(zhàn)的一系列響應(yīng)。這些響應(yīng)可被看作是一組共享秘密。提示和響應(yīng)組由用戶和CSP在注冊過程中創(chuàng)建。在一次認證過程中，令牌驗證碼是一組記憶中的對注冊提示的響應(yīng)。例如，對諸如“你第一個寵物的名字是什么？”的提示設(shè)置的響應(yīng)。在認證過程中，要求用戶提供對一個提示子集的正確響應(yīng)。另外，用戶可能在注冊過程中選擇和記憶了一個圖像。在認證過程中，用戶被提示從一組類似的圖片中識別正確的圖像。以前驗證的會話交易可作為預(yù)注冊知識令牌。預(yù)注冊知識令牌是知道的東西。

(3) 查找秘密令牌：存儲用戶和CSP之間共享的一組秘密的物理或電子令牌。用戶使用令牌查找響應(yīng)驗證方提示需要的秘密。如，驗證方可能要求用戶提供以表格形式印刷在一個卡上的數(shù)字或字符串的特定子集(如，工行口令卡)。令牌驗證碼是由提示符確定的秘密。查找秘密令牌是擁有的東西。

(4) 帶外令牌：惟一可尋址的物理令牌，可以接收驗證方選定的一次性使用的秘密。設(shè)備由用戶擁有和控制，并支持在一個與主通道分離，用于電子認證的通道上進行私人通信。令牌驗證碼是接收的秘密，被提交給使用主通道進行電子認證的驗證方。例如，用戶試圖登錄到一個網(wǎng)站，在其注冊期間預(yù)注冊的手機、PDA、尋呼機或陸上線路上接收作為電子認證協(xié)議的一部分提交的隨機驗證碼。帶外令牌是擁有的東西。

(5) 單因素(SF)一次性口令(OTP)設(shè)備：支持一次性口令(或稱動態(tài)口令)自生成的硬件設(shè)備。具有一個用作種子生成一次性口令的內(nèi)嵌秘密，不需要通過第二個因素激活。通過提供一個可接受的一次性口令，證明擁有和控制設(shè)備來實現(xiàn)認證。令牌驗證碼是一次性口令。例如，一個一次可顯示 6個字符的一次性口令設(shè)備。SF OTP設(shè)備是擁有的東西。

(6) 單因素(SF)加密設(shè)備：對提供給設(shè)備的輸入執(zhí)行加密操作的硬件設(shè)備。不需要通過第二個認證因素激活。使用內(nèi)嵌的對稱或非對稱加密密鑰。通過證明擁有設(shè)備完成認證。令牌驗證碼高度依賴于特定的加密設(shè)備和協(xié)議，通常是某種類型的簽名消息。SF加密設(shè)備是擁有的東西。

(7) 多因素(MF)軟件加密令牌：加密密鑰存儲在磁盤或一些其他“軟”介質(zhì)中，需要通過第二個認證因素激活。通過證明擁有和控制密鑰完成認證。令牌驗證碼高度依賴于特定的加密協(xié)議，通常是某種類型的簽名消息。MF軟件加密令牌是擁有的東西，可通過知道的東西或自身的特征激活。

(8) 多因素(MF)一次性口令(OTP)設(shè)備：一個硬件設(shè)備，生成一次性口令用于認證，需要通過第二個認證因素激活。第二個因素可通過某些種類的集成輸入板、生物特征(如，指紋)掃描器或直接電腦接口(如，USB端口)獲得。雖然允許從設(shè)備直接通過電子方式輸入到計算機，但通常一次性口令顯示在設(shè)備上，作為一個口令手工輸入到驗證方。MF OTP設(shè)備是擁有的東西，可通過知道的東西或自身的特征激活。

(9) 多因素(MF)加密設(shè)備：一個硬件設(shè)備，包含一個受保護的加密密鑰，需要通過第二認證因素激活。通過證明擁有設(shè)備和控制密鑰完成認證。令牌驗證碼高度依賴于特定的加密設(shè)備和協(xié)議，但通常是某種類型的簽名消息。MF加密設(shè)備是擁有的東西，可通過知道的東西或自身的特征激活。

3 令牌的使用

在認證過程中可能涉及到一個或多個令牌的組合使用。

(1) 單令牌認證：用戶提供一個令牌驗證碼，向驗證方證明其身份。例如，當用戶試圖登錄到一個受口令保護的網(wǎng)站時，用戶輸入用戶名和口令。在這種情況下，只有口令被認為是令牌。

(2) 多令牌認證：用戶向驗證方提供由兩個或多個令牌生成的令牌驗證碼證明其身份。令牌組合的特點由令牌使用的、令牌本身固有的和激活令牌的因素的組合決定。例如，驗證方要求用戶輸入口令，并使用單因素加密設(shè)備的認證。這里口令是知道的東西，加密設(shè)備是擁有的東西，組合被認為是多因素的。

(3) 多階段認證：使用單因素令牌獲得第二個令牌的多階段認證過程，不構(gòu)成多因素認證。多階段組合解決方案的安全級別等于最弱令牌的安全級別。例如，一些加密移動解決方案允許將部分或全部加密密鑰存儲在網(wǎng)絡(luò)服務(wù)器上，并在使用口令成功驗證后下載到用戶的本地系統(tǒng)。隨后，用戶可以使用下載的軟件加密令牌來向電子認證的遠程驗證方驗證身份。這種類型解決方案的安全級別僅與用戶為獲得加密令牌所提供的口令令牌的安全級別相同。

有一種特殊的多令牌認證的情況，其中使用一個主令牌建立一個安全會話，在會話中使用輔助令牌提供第二個令牌驗證碼。雖然兩個令牌用在不同的時間，但其結(jié)果相當于多令牌認證，可提高用戶與依賴方(Relying Party，RP)之間電子認證會話的整體安全級別。在這些認證情境中，兩個階段令牌組合所獲得的安全等級與使用相同令牌集的多令牌認證方案相同。當組合兩個令牌類型用于多令牌認證方案時，可以提高認證的安全級別。表1給出了通過兩個令牌類型的組合可獲得的最高安全等級。

表1 多令牌電子認證方案的安全等級

表1的生成原則是：

(1) 使用兩個不同認證因素的2級令牌可以獲得3級安全等級。2級令牌包括擁有的東西和知道的東西。

令牌(2級，擁有的東西)+令牌(2級，知道的東西)→令牌(3 級)。

(2) 在所有其他情況下，令牌組合獲得的安全等級等于組合中各令牌的最高安全等級。

例如，一個記憶秘密令牌(知道的東西，最高安全等級為2級)與一個查找秘密令牌(擁有的東西，安全等級為2級)組合可以獲得3級的組合令牌。一個MF軟件加密令牌(安全等級為3級)和一個記憶秘密令牌(最高安全等級為2級)組合，整體上獲得3級安全等級，這里增加記憶秘密令牌不能增加組合的安全等級。

4 令牌安全風險及緩解措施

攻擊者獲得對令牌控制的機會，就可能偽裝成令牌的主人，實施不法行動。基于對構(gòu)成令牌各種認證因素的攻擊，令牌面臨的安全風險可分為以下幾類：

(1) 擁有的東西被丟失、損壞、偷竊或被攻擊者克隆。例如，獲得對令牌所有人的計算機訪問機會的攻擊者可以復制一個軟件令牌。硬件令牌可能被偷竊、篡改或復制。

(2) 知道的東西被泄露給攻擊者。攻擊者可能猜測到口令或PIN碼。當令牌是一個共享秘密時，攻擊者可能獲得對CSP或驗證方的訪問機會，并獲得秘密值。攻擊者可能安裝惡意軟件(如鍵盤記錄器)捕獲秘密。此外，攻擊者可能通過對認證嘗試網(wǎng)絡(luò)流量的離線攻擊確定秘密。攻擊者可能通過研究用戶或通過其他社會工程技術(shù)，獲得用戶的預(yù)注冊信息，如用戶可能在一次談話或博客中曾提到她的第一只寵物。

(3) 自身的特征被復制。攻擊者可能會獲得一個令牌所有者指紋的拷貝并制作一個復制品。

表 2列出了電子認證令牌面臨的安全風險以及一些例子，給出了緩解令牌安全風險的有關(guān)措施。

表2 令牌安全風險及緩解措施

安全風險 描述 舉例 緩解措施網(wǎng)絡(luò)釣魚或網(wǎng)址嫁接通過欺騙用戶，使其把攻擊者當成驗證方或RP，從而捕獲令牌秘密或驗證碼。用戶將口令泄露給仿冒驗證方的網(wǎng)站。銀行用戶在響應(yīng)來自釣魚者假裝代表銀行的電子郵件查詢時泄漏口令。用戶通過DNS重新路由登錄假冒網(wǎng)站泄漏口令。使用具有動態(tài)驗證碼的令牌，保證不能用其驗證碼信息導出后續(xù)的驗證碼。社會工程為了讓用戶提供其令牌或令牌秘密，攻擊者使用戶對其建立一定程度的信任。用戶將口令告訴代表用戶的老板詢問口令的同事。用戶在電話查詢中將口令告訴偽裝成系統(tǒng)管理員的攻擊者。使用具有動態(tài)驗證碼的令牌，保證不能用其驗證碼信息導出后續(xù)的驗證碼。在線猜測攻擊者連接到網(wǎng)上的驗證方，嘗試在驗證方上下文中猜測有效的令牌驗證碼。使用在線字典攻擊猜測口令。使用在線猜測獲取注冊到合法用戶的一次性口令令牌的驗證碼。使用產(chǎn)生高熵驗證碼的令牌。

另外，實施以下幾項措施可用于減輕表2中描述的安全風險：

(1) 多因素：可以抬高攻擊成功的門檻，增加攻擊的難度。

(2) 物理安全機制：可以保護被盜的令牌使其不被復制。

(3) 口令復雜性規(guī)則：可以降低猜測攻擊成功的可能性。要求使用不出現(xiàn)在普通字典中的長口令，將迫使攻擊者嘗試每一個可能的口令。

(4) 系統(tǒng)和網(wǎng)絡(luò)安全控制：可以減少攻擊者獲得對系統(tǒng)訪問或安裝惡意軟件的機會。

(5) 定期培訓：可以確保用戶明白何時和如何報告受損或懷疑受損，識別攻擊者嘗試破壞令牌的行為模式。

(6) 帶外技術(shù)：可以用來驗證擁有注冊設(shè)備(如手機)的證據(jù)。

[1]Electronic Authentication Guideline,NIST SP 800-63-1.December.2011.

[2]E-Authentication Guidance for Federal agencies.OMB Memorandum M-04-04.December 16.2003.

[3]Security Requirements for Cryptographic Modules，NIST FIPS PUB 140-2，May 25, 2001.

[4]嚴霄鳳.G2C/B2B核心 美國聯(lián)邦電子認證模型研究.IT168.2012.

[5]光大銀行推出陽光令牌.電子銀行首次實現(xiàn)統(tǒng)一身份認證.金融周刊.2011.