笔记本中应用了很多保护数据安全的技术,都有哪些呢?都是些什么样的技术?下文将对笔记本中用到的几大类技术作说明,对一些在未来会得到普遍应用的技术作出比较报详细的重点介绍。
硬件加密技术简介(1)
[PChome.net北京]笔记本中应用了很多保护数据安全的技术,都有哪些呢?都是些什么样的技术?下文将对笔记本中用到的几大类技术作说明,对一些在未来会得到普遍应用的技术作出比较详细的重点介绍。
开机密码
接通电源后,必须输入正确的密码才能启动电脑。要想通过这一层安全屏障,除了准确输入密码外,就只能委托IBM解除密码。对付潜入电脑工作室的间谍,可以预先设定加电密码来阻止他们窃取数据,即使ThinkPad被盗机密数据也不会被泄漏。
超级密码
超级密码是为了保护BIOS而设定的密码。设定超级密码后也可以像通常一样启动,但是没有超级密码就不能调用BIOS设定的画面。这虽然不能直接防止数据泄漏,但是可以在一定程度上防止业务遭受损失和抵制某些恶意行为
指纹识别
指纹识别系统就是指利用人类的指纹进行身份识别,对重要数据进行加密的系统。由于任意两个人的指纹相同的概率微乎其微,甚至可以忽略不计,所以这种指纹识别系统在对重要数据的保密上来说是绝对安全的。
IBM就推出了T42一系列的指纹识别系统笔记本电脑,它的这系列笔记本电脑的最大特点就是简化了进入有密码保护的重要信息库过程,如获取个人及财务信息、登录网站、浏览文件和电子邮件,同时通过其最新的生物统计学技术和嵌入式安全子系统。也就是说,只要将手指在一个水平方向的半英寸传感器上从上往下滑行,用户就能够轻松实现开机,登录Windows系统、登录软件程序、网页或数据库等一系列的动作。整个识别过程仅需两秒钟,既方便简单,又具备笔记本电脑最强大的标准安全性能。由于能够识别更多手指表层区域,这种指纹识别器能捕获更多数据,从而防止辨识错误。
一、 简介
我们手掌及其手指、脚、脚趾内侧表面的皮肤凸凹不平产生的纹路会形成各种各样的图案。这些纹路的存在增加了皮肤表面的摩擦力,使得我们能够用手来抓起重物。人们也注意到,包括指纹在内的这些皮肤的纹路在图案、断点和交叉点上各不相同,也就是说,是唯一的。依靠这种唯一性,我们就可以把一个人同他的指纹对应起来,通过比较他的指纹和预先保存的指纹进行比较,就可以验证他的真实身份。这种依靠人体的身体特征来进行身份验证的技术称为生物识别技术,指纹识别是生物识别技术的一种。
1、现行的系统受到的挑战
安全性是许多系统要首先考虑的问题,尽管使用者一向都相当讨厌安全检查机制介入他们的工作中,但管理者仍然需要这样的一种检查访问与使用情形的手续与方法。如果没有办法清楚明确的辨认使用者身分的话,那么你也将无法确认是那位使用者,以及他究竟操作了什么行动。所以使用者会被强迫去进行一些密码机制或硬件标志以帮助我们去追踪究竟是谁做了些什么?
现行的许多计算机系统中,包括许多非常机密的系统,都是使用“用户ID+密码”的方法来进行用户的身份认证和访问控制的。实际上,这种方案隐含着一些问题。例如,密码容易被忘记,也容易被别人窃取。而且,如果用户忘记了他的密码,他就不能进入系统,当然可以通过系统管理员重新设定密码来重新开始工作,但是一旦系统管理员忘记了自己的密码,整个系统也许只有重新安装后才能工作。有关机构的调查表明,因为忘记密码而产生的问题已经成为IT厂商售后服务的最常见问题之一;密码被别人盗取则更是一件可怕的事情,因为用心不良的人可能会进一步窃取公司机密数据、可能会盗用别人的名义做不正当的事情、甚至从锹行、ATM终端上提取别人的巨额存款。实际上,密码的盗取比较容易,别人只要留意你在计算机终端前输入口令时的击键动作就可以知道你的密码,甚至可以通过你的生日、年龄、姓名或者其他一些信息猜出你的密码--许多人使用自己的生日作为密码,密码还可以被解破--众所周知,高度机密的美国一些军事机构计算机网络曾不止一次被黑客侵入,黑客们实际上就是解破了这些计算机网络的某一合法用户的密码来开始的。尽管现行系统通过要求用户及时改变他们的口今来防止盗用口令行为,但这种方法不但增加了用户的记忆负担,也不能从根本上解决问题。
随着科技的进步,指纹识别技术已经开始走入了我们的日常生活之中。目前在世界上许多公司和研究机构都在指纹识别技术的研究中取得一些突破性技术,从而推出了许多新产品,这些产品己经开始在请多领域得以运用。BAC公司推出的业界领先的SecureTouch指纹识别机产品,就是非常具有应用价值和前景的。
除了计算机网络及其应用系统外,一些传统的需要进行身份验证的场合,也存在着类似的安全性问题。例如证件的伪造和盗用、不正当的转借等。一些犯罪通过伪造证件进入机密场所以窃取机密信息,有的犯罪伪造签证和护照非法入境或移民,这是因为传统的证件使用了易于伪造、未经加密的纸制证件。另一个例子是考勤机,它的使用方便了企业进行职工的考勤管理,但使领导头疼的是经常有人弄虚作假,代别人打卡。
丢了钥匙不仅打不开门,还要当心坏人拾到你的钥匙盗取你的家财,其他使用钥匙的场合同样也有如此的问题……
这些问题都说明,现行的系统安全性技术己经遭遇严峻的挑战!
2、指纹识别是成熟的生物识别(Biometric)技术
由于人体的身体特征具有不可复制的特点,人们把目光转向了生物识别技术,希望可以籍此技术来应付现行系统安全所面临的的挑战。要把人体的特证用于身份识别,这些特征必须具有唯一性和稳定性。研究和经验表明,人的指纹、掌纹、面孔、发音、虹膜、视网膜、骨架等都具有唯一性和稳定性的特征,即每个人的这些特征都与别人不同、且终生不变,因此就可以据此识别出人的身份。基于这些特征,人们发展了指纹识别、面部识别、发音识别等多种生物识别技术,目前许多技术都己经成熟并得以应用,其中的指纹识别技术更是生物识别技术的热点。
指纹识别技术的发展得益于现代电子集成制造技术和快速可靠的算法的研究。尽管指纹只是人体皮肤的一小部分,但用于识别的数据量相当大,对这些数据进行比对也不是简单的相等与不相等的问题,而是使用需要进行大量运算的模糊匹配算法。现代电子集成制造技术使得我们可以制造相当小的指纹图象读取设备,同时飞速发展的个人计算机运算速度提供了在微机甚至单片机上可以进行两个指纹的比对运算的可能。另外,匹配算法可靠性也不断提高,指纹识别技术己经非常实用。
二、 验证和辨识
应用系统利用指纹识别技术可以分为两类,即验证(Verification)和辨识(Identification)。 验证就是通过把一个现场采集到的指纹与一个己经登记的指纹进行一对一的比对(one-to-one matching),来确认身份的过程。作为验证的前提条件,他或她的指纹必须在指纹库中已经注册。指纹以一定的压缩格式存贮,并与其姓名或其标识(ID,PIN)联系起来。随后在比对现场,先验证其标识,然后,利用系统的指纹与现场采集的指纹比对来证明其标识是合法的。验证其实是回答了这样一个问题:"他是他自称的这个人吗?"这是应用系统中使用得较多的方法。
辨识则是把现场采集到的指纹同指纹数据厍中的指纹逐一对比,从中找出与现场指纹相匹配的指纹。这也叫“一对多匹配(one-to-many matching)”。验证其实是回答了这样一个问题:“他是谁?”辨识主要应用于犯罪指纹匹配的传统领域中。一个不明身份的人的指纹与指纹库中有犯罪记录的人指纹进行比对,来确定此人是否曾经有过犯罪记录。
验证和辨识在比对算法和系统设计上各具技术特点。例如验证系统一般只考虑对完整的指纹进行比对,而辨识系统要考虑残纹的比对;验证系统对比对算法的速度要求不如辨识系统高,但更强调易用性;另外在辨识系统中,一般要使用分类技术来加快查询的速度。
除了验证的一对一和辨识的一对多比对方法,在实际应用中还有“一对几个匹配(one-to-few matching)”。一对几个匹配主要应用于只有“几个(few)”用户的系统中,比如一个家庭的成员要进入他们的房子。 “几个”所包含的数目一般为5~20人。一对几个匹配一般使用与一对一匹配相同的方法。
硬件加密技术简介(2)
三、 可靠性问题
由于计算机处理指纹时,只是涉及了指纹的一些有限的信息,而且比对算法并不是精确匹配,其结果也不能保证100%准确。指纹识别系统的特定应用的重要衡量标志是识别率。主要由两部分组成,拒判率(FRR)和误判率(FAR)。我们可以根据不同的用途来调整这两个值。FRR和FAR是成反比的。用0-1.0或百分比来表达这个数。ROC(Receiver Operating Curve)-曲线给出FAR和FRR之间的关系。
尽管指纹识别系统存在着可靠性问题,但其安全性也比相同可靠性级别的“用户ID+密码”方案的安全性高得多。例如采用四位数字密码的系统,不安全概率为0.01%,如果同采用误判率为0.01%指纹识别系统相比,由于不诚实的人可以在一段时间内试用所有可能的密码,因此四位密码并不安全,但是他绝对不可能找到一千个人去为他把所有的手指(十个手指)都试一遍。正因为如此,权威机构认为,在应用中1%的误判率就可以接受。
FRR实际上也是系统易用性的重要指标。由于FRR和FAR是相互矛盾的,这就使得在应用系统的设计中,要权衡易用性和安全性。一个有效的办法是比对两个或更多的指纹,从而在不损失易用性的同时,极大地提高了系统安全性。
四、 指纹识别技术应用实例
指纹识别技术可以通过几种方法应用到许多方面。本文在上面已经介绍的通过使用指纹验证来取代各个计算机应用程序的密码就是最为典型的实例。可以想象如果计算机上的所有系统和应用程序都可以使用指纹验证的话,人们使用计算机就会非常方便和安全,用户不再讨厌必要的安全性检查,而IT开发商的售后服务工作也会减轻许多。IBM公司已经开发成功并广泛应用的Global Sign On软件通过定义唯一的口令,或者使用指纹,就可以在公司整个网络上畅行无阻。 把指纹识别技术同IC卡结合起来,是目前最有前景的一个方向之一。该技术把卡的主人的指纹(加密后)存储在IC卡上,并在IC卡的读卡机上加装指纹识别系统,当读卡机阅读卡上的信息时,一并读入持卡者的指纹,通过比对卡上的指纹与持卡者的指纹就可以确认持卡者的是否卡的真正主人,从而进行下一步的交易。在更加严格的场合,还可以进一步同后端主机系统数据库上的指纹作比较。指纹IC卡可以广泛地运用于许多行业中,例如取代现行的ATM卡、制造防伪证件(签证或护照、公费医疗卡、会员卡、借书卡等)。目前ATM提款机加装指纹识别功能在美国已经开始使用。持卡人可以取消密码 (避免老人和孩子记忆密码的困难)或者仍旧保留密码,在操作上按指纹与密码的时间差不多。
近年来,自动发送信息的互联网络,带给人们的方便与利益,正在快速增长之中,但也因此产生了很多的问题,尤其在信息安全方面。无论是团体或者个人的信息,都害怕在四通八达的网络上传送而发生有损权益的事情。由于指纹特征数据可以通过电子邮件或其他传输方法在计算机网络上进行传输和验证,通过指纹识别技术,限定只有指定的人才能访问相关信息,可以极大地提高网上信息的安全性,这样,包括网上银行、网上贸易、电子商务的一系列网络商业行为,就有了安全性保障。在SFNB(Security First Network Bank安全第一网络银行),就是通过互联网络来进行资金划算的,他们目前正在实施以指纹识别技术为基础的保障安全性的项目,以增强交易的安全性。
在医院里,指纹识别技术可以验证病人身份,例如输血管理。指纹识别技术也有助于证实寻求公共救援、医疗及其他政府福利或者保险金的的身份确认。在这些应用中,指纹识别系统将会取代或者补充许多大量使用照片和ID的系统。
总之,随着许多指纹识别产品已经开发和生产,指纹识别技术的应用已经开始进入民用市场,并且发展迅猛,相信这一技术的普及应用已经指日可待。
嵌入式安全芯片
由于在笔记本电脑内使用此项技术的厂商目前只有IBM,所以用IBM的安全芯片来做介绍此项技术。
IBM电脑安全芯片
为了防止黑客入侵计算机,美国IBM公司日前率先计划在新出厂的个人计算机中安装新型安全芯片。据称,新安全芯片比目前的软件防范措施更安全,正成为计算机产业界开发计算机安全措施的新方向。
由旅美华裔企业家万述宁博士所带领的“伊诺瓦科技公司”团队研发出,目前全世界独一无二应用在对硬盘加解密的芯片。
据报道,IBM即将发布新款个人电脑,并宣称为“安全电脑”。这种“安全电脑”的中将安装安全芯片,能保护计算机上中的密码等信息。这款芯片名为SafeKeeper,是由国家半导体公司生产,这也是第一次被应用在计算机中。
国家半导体公司声称,芯片级的硬件加密功能要比软件的效率高,而且可以根据硬件一一对应,保证关键资料被锁定在特定计算机中。
新安全芯片由国民半导体公司与IBM公司共同开发。据两家公司介绍说,新安全芯片要比目前以软件为主的防范黑客的措施更安全。作为个人计算机传输资料的辅助芯片,新型安全芯片储存了计算机的验证信息,包括计算机的安全、加密和密码管理等信息内容,实际上是将这些信息锁定个人计算机里,保证这些信息不被外部的黑客盗取,或是因为计算机用户本身的误操作而遗失,从而有效地阻止黑客入侵。 据称,新型安全芯片的设计与开发采用了“可靠运算”技术,这也是计算机业界联合推动的一项改进计算机系统安全与保护数据资料的新举措。IBM将是第一家采用这种安全芯片的计算机公司。国民半导体公司有关人士表示,芯片级的硬件加密功能要比软件的效率高,而且可以根据硬件一一对应,保证关键资料被锁定在特定计算机中。从现在起生产的IBM品牌的计算机均将采用这种芯片,新型芯片也已成为IBM所有个人计算机的标准化的安全配备。同时,惠普公司和戴尔公司也准备加入这项新技术,在他们品牌的计算机中安装新型安全芯片。现在还有其他公司也在开发这种芯片产品。目前这种芯片的价格在5-7美元间,将会应用在台式机和笔记本上。
该芯片的完整描述为“IBM Embedded Security Subsystem 2.0”,它是IBM为了需要保密机密资料的商业用户设计的高强度硬件安全芯片,加密强度极高,可以支持“1024-bit digital signature and up to 256-bit key exchange”,可以加密任何你指定的文件,文件和记忆用户自己指定的账号密码,保存你的安全证书和数字签名,还可以和一些第三方的设备结合实现用指纹认证,虹膜认证等高科技手段代替传统密码的功能,安全芯片也可以作为每一台客户机唯一的身份标识来简化网络管理(需要网络支持).这是IBM高档笔记本电脑的独家功能。
外置接口插卡类硬件加密
上图中的是使用USB接口的外置硬件加密插卡,还有很多使用其他笔记本外置接口的加密卡。
现在有许多厂商都在自己推出的笔记本中应用了这项技术,还有一些第三方厂商推出的产品,使用方法都是在笔记本上的外置接口上插卡来实现对笔记本中的数据进行硬件加密。只需安装驱动程序后,插入加密卡,输入密码后就可以使用插卡的加密功能,一旦拔出,笔记本就被锁定,只有插入曾对这台机器加密过的那个相应的加密卡才能进入,有些加密卡在插入后仍需输入使用者的密码才行,如果没有插卡后的密码同样进入不到笔记本中。这种外接的加密插卡一般都采用了软硬结合加密方式,使用方便,第三方出品的外接加密卡使用自由可以插接在所有的笔记本,而有些笔记本厂商推出的一些笔记本使用了自己研发的外接加密插卡技术,这类加密卡只能使用在与其相应的笔记本中,与第三方推出的产品相比只能使用在一台笔记本上,但在兼容性和稳定性上与之相比也理应更有保证。
网友评论