近日，某知名瀏覽器被網(wǎng)友在網(wǎng)絡(luò)論壇爆出瀏覽器存在安全漏洞，導(dǎo)致大量用戶賬戶被泄密，造成了重大瀏覽器泄密事件。其中有淘寶、國家質(zhì)檢總局、等等多個(gè)機(jī)構(gòu)賬戶涉及被泄露。該事件已得到著名漏洞報(bào)告平臺(tái)烏云的確認(rèn)，另外中央電視臺(tái)也有欄目詳細(xì)報(bào)道了記者親自驗(yàn)證該漏洞信息的全過程。

使用用戶名和密碼登錄極易泄密，那么，怎樣才能實(shí)現(xiàn)高效身份認(rèn)證，杜絕身份被仿冒、賬號信息被盜的風(fēng)險(xiǎn)呢？

傳統(tǒng)身份認(rèn)證解決方案的問題：

身份認(rèn)證是網(wǎng)絡(luò)安全的重要機(jī)制之一，也是實(shí)現(xiàn)身份信息保密的重要技術(shù)。目前大多數(shù)應(yīng)用系統(tǒng)采用用戶名加口令方式實(shí)現(xiàn)身份驗(yàn)證，網(wǎng)絡(luò)之間的信息傳輸都是明文。這種傳統(tǒng)的認(rèn)證方式存在很多的安全隱患，信息極易泄密。用戶為了便于記憶，其用戶名和密碼往往過于簡單且?guī)в幸欢ǖ囊?guī)律性，易被猜測、易泄露;同時(shí)用戶在輸入密碼時(shí)易被偷窺，而密碼在傳輸?shù)倪^程中也易被黑客截獲;信息以明文形式傳輸，或密文的加密強(qiáng)度太低，很容易破解;而使用PKI/CA證書體系的身份認(rèn)證機(jī)制，需要事先申請證書，這對用戶來說申請過程繁瑣、使用復(fù)雜，對應(yīng)用商來說開發(fā)難度大、部署困難，難以推廣。

IBC身份認(rèn)證解決方案：

IBC(Identity-Based Cryptography標(biāo)識密碼算法)是新興的密碼技術(shù)。在標(biāo)識的密碼系統(tǒng)中，每個(gè)實(shí)體具有一個(gè)有意義的、唯一的標(biāo)識，這個(gè)標(biāo)識本身就是實(shí)體的公鑰。無需預(yù)先協(xié)商密碼或者交換證書，可以大大減少傳統(tǒng)證書體系中申請和驗(yàn)證環(huán)節(jié)，易于使用。該算法于2008年正式獲得國家密碼管理局的商密算法型號：SM9(商密九號算法)。

深圳市奧聯(lián)科技有限公司基于IBC實(shí)現(xiàn)安全身份認(rèn)證，通過用戶的手機(jī)號碼或郵件地址作為標(biāo)識，簡單易用，認(rèn)證過程中沒有任何用戶名和密碼傳遞，安全可靠。其工作原理主要采用了挑戰(zhàn)/應(yīng)答模式的CHAP認(rèn)證協(xié)議，簡稱CHAP(Challenge Authentication Protocol)。該協(xié)議基于簽名的挑戰(zhàn)/應(yīng)答，可以抵抗木馬、口令字典等攻擊。如下圖所示：

CHAP協(xié)議認(rèn)證圖

實(shí)現(xiàn)方式：

要實(shí)現(xiàn)通過IBC(SM9算法)實(shí)現(xiàn)安全身份認(rèn)證，應(yīng)用開發(fā)商只需調(diào)用奧聯(lián)科技提供的IBCSDK開發(fā)套件，通過調(diào)用兩個(gè)函數(shù)接口即可實(shí)現(xiàn)安全升級，徹底告別用戶名和密碼登陸的時(shí)代。升級之后的效果如下圖所示：

升級前、后的系統(tǒng)登陸界面圖

圖中的OA系統(tǒng)，升級前采用的是使用用戶名和密碼登錄方式，升級后則使用USBKey硬件方式登錄，不再輸入用戶名和密碼，只需輸入KEY的PIN碼即可實(shí)現(xiàn)安全身份鑒別。而且PIN碼可以設(shè)置錯(cuò)誤次數(shù)，登錄錯(cuò)誤超過設(shè)定次數(shù)即被鎖定。通過這樣的升級方式，其加密強(qiáng)度可達(dá)1536位，目前的電腦計(jì)算能力破解需要百萬年。

對于無法更新的應(yīng)用系統(tǒng)，奧聯(lián)科技還提供基于云安全接入平臺(tái)的硬件升級方式，無需對應(yīng)用系統(tǒng)進(jìn)行改動(dòng)，直接部署硬件設(shè)備和USBKey來實(shí)現(xiàn)身份認(rèn)證和數(shù)據(jù)加密的安全保護(hù)。

使用奧聯(lián)科技的SM9身份認(rèn)證解決方案，具有如下優(yōu)勢：

1、部署靈活，快速實(shí)現(xiàn)安全升級：支持軟、硬件兩種部署方式。軟件方式只需兩個(gè)函數(shù)實(shí)現(xiàn)，方便易用;硬件方式直接部署設(shè)備和USBKey,無需更改應(yīng)用系統(tǒng);升級周期較短;

2、高安全性，杜絕密碼泄密：登錄過程沒有任何用戶密碼信息傳遞，杜絕用戶名和密碼泄露的風(fēng)險(xiǎn)。服務(wù)器端也無需存儲(chǔ)用戶密碼信息，通信過程均加密。支持多種加密算法、還可實(shí)現(xiàn)云端的簽名和驗(yàn)簽功能;

3、易于使用和開發(fā)：無需改變用戶使用習(xí)慣，可同時(shí)支持USBKey或用戶名密碼方式登錄。支持多種開發(fā)環(huán)境、多種操作系統(tǒng)，并提供開發(fā)范例源代碼。

IBC身份認(rèn)證解決方案，目前已成功為內(nèi)蒙公安、吐哈油田、深圳國稅、奧運(yùn)信息亭實(shí)現(xiàn)了各種應(yīng)用軟件系統(tǒng)的安全升級，并獲得了用戶的高度認(rèn)可。