看科幻大片 解读身份认证技术现实化(2)

身份识别是安全网络中的最基本的组成部分，它更直接的面对网络的最终用户，在很多网络接入系统中的可信环节也是基于定义和控制系统中命名用户对命名客体的访问。在哈里森·福特主演的《防火墙》中，残忍的比尔·考克斯疯狂地绑架了杰克的爱妻和一双儿女，要挟他交出银行安全防御系统的破解密码，然后帮自己侵入银行的系统窃取100万美元巨款。

在如今的网络系统中，几乎所有的网络应用都支持身份识别的多种存在形式，用户名+密码是最简单也是最常用的身份认证方法，它是基于“what you know”的验证手段。任何一个用户能够正确输入密码，计算机就认为他是合法用户，但他的网络行为可信吗？我们无从得知。实际上，由于许多用户为了防止忘记密码，经常采用诸如自己的生日、电话号码等有意义的字符串作为密码，甚至有人将密码贴在自己的显示器上方。

获得一个系统的用户名可谓简单至极，获得密码也并非是不可能的。由于密码是静态的数据，并且在验证过程中需要在计算机内存中和网络中传输，而每次验证过程使用的验证信息都是相同的，很容易驻留在计算机内存中的木马程序或网络中的监听设备截获。

还记得美国大片《国家公敌》吗？黑人影星威尔·史密斯在片中饰演的律师被美国中央情报局到处监听、全球定位。在现实中，我们很多人都使用操作系统中的网络共享。SMB 是许多 Microsoft 操作系统支持的资源共享协议。它是 NetBIOS 和其他许多协议的基础。SMB 签名既对用户又对承载数据的服务器进行身份验证，如果任意一端没有通过身份验证过程，就不会进行数据传输。

在高安全网络中实施数字签名有助于防止客户端和服务器被模拟。这种类型的模拟被称作会话劫持，并使用工具允许能够访问客户端或服务器所在网络的攻击者中断、终止或窃取进行中的会话。攻击者有可能会截获和修改未签名的SMB数据包，然后修改通信并转发它，这样服务器可能会执行不需要的操作。或者，攻击者可能会在进行合法的身份验证之后冒充服务器或客户端，并获取对数据的未经授权的访问权限。

早期SMB协议在网络上传输明文口令。后来出现"LAN Manager Challenge/Response"验证机制，简称LM，但是很容易被破解。后来，微软提出了WindowsNT挑战/响应验证机制，称之为NTLM，现在已经有了更新的NTLMv2以及Kerberos验证体系。但这都不能有效地防止身份冒用和信息劫持，因此“用户名+密码”方式一种是极不安全的身份认证方式，没有任何安全性可言。