多因素身份鉴别是网络安全等级保护标准中明确规定应使用的网络安全保障机制。在《网络安全法》以及《密码法》的大背景下,使用密码技术的多因素身份鉴别机制必将被广泛应用。然而,多因素身份鉴别的定义以及相关要求目前仍呈现“碎片化”的状态。由飞天诚信科技股份有限公司(以下简称“飞天诚信”)牵头的密码行业标准化研究项目《多因素身份鉴别密码技术应用研究》(以下简称“《研究》”),提供了一种更加精准地判断鉴别机制是否属于多因素身份鉴别的方法。
《研究》首先将多因素身份鉴别定义为“使用两种或以上相对独立的申请鉴别信息的身份鉴别”。其中的术语“申请鉴别信息”引自现行的国家标准GB/T 18794.2《信息技术 开放系统互连 开放系统安全框架 第2部分:鉴别框架》。将“多因素身份鉴别”的“因素”与国家标准中的术语关联起来,从而为使用国家标准中的鉴别模型对多因素身份鉴别进行描述和分析奠定了基础。另一方面,该定义中“独立”的含义与概率论中的“统计独立”是一致的,从而使得接下来的多因素身份鉴别判据具备了理论基础。
《研究》提出了身份鉴别的一种形式化描述,并推导出了多因素身份鉴别的形式化判据。
如果一种身份鉴别满足以下条件,则为多因素身份鉴别:
根据上述形式化分析,可得到以下推论:
(1)是不是“真正的”多因素身份鉴别,与所使用的鉴别机制顺序不直接相关,与所使用的信息通道乃至信道数量不直接相关(因此,多信道鉴别不一定是多因素身份鉴别)。
(2)多因素身份鉴别必然有多次验证,但“多重身份鉴别”不一定是“真正的”多因素鉴别(例如,支持指纹、口令等多种身份鉴别机制的智能门锁,只要其中任意一种鉴别通过验证就会开锁,不是“真正的”多因素身份鉴别)。
在理论框架的支撑下,《研究》还调研了若干种常见的“多因素身份鉴别”,并论证了基于智能密码钥匙的“PIN+数字签名”以及结合动态口令系统的“口令+动态口令”是“真正的”多因素身份鉴别。
《研究》由密码行业标准化技术委员会根据国家密码管理局批准的《2020年密码行业标准制订计划(商用密码领域)》下达给飞天诚信的密码行业标准研究编制工作任务。该项目已于2022年通过验收。飞天诚信是密码行业标准化技术委员会工作组成员,牵头及参与制定的密码行业标准至今已发布十余项。