主流身份认证技术

用户名/密码方式

用户名/密码是最简单也是最常用的身份认证方法,它是基于"what you know"的验证手段。每个用户的密码是由这个用户自己设定的,只有他自己才知道,因此只要能够正确输入密码,计算机就认为他就是这个用户。

然而实际上,由于许多用户为了防止忘记密码,经常会采用容易被他人猜到的有意义的字符串作为密码,这存在着许多安全隐患,极易造成密码泄露。即使能保证用户密码不被泄漏,由于密码是静态的数据,并且在验证过程中,需要在计算机内存中和网络中传输,而每次验证过程使用的验证信息都是相同的,很容易被驻留在计算机内存中的木马程序或网络中的监听设备截获。因此用户名/密码方式是一种极不安全的身份认证方式。

IC卡认证

IC卡是一种内置了集成电路的卡片,卡片中存有与用户身份相关的数据,可以认为是不可复制的硬件。IC卡由合法用户随身携带,登录时必须将IC卡插入专用的读卡器中读取其中的信息,以验证用户的身份。IC卡认证是基于"what you have"的手段,通过IC卡硬件的不可复制性来保证用户身份不会被仿冒。

然而由于每次从IC卡中读取的数据还是静态的,通过内存扫描或网络监听等技术还是很容易能截取到用户的身份验证信息。因此,静态验证的方式还是存在着根本的安全隐患。

动态口令

动态口令技术是一种让用户的密码按照时间或使用次数不断动态变化,每个密码只使用一次的技术。它采用一种称之为动态令牌的专用硬件,密码生成芯片运行专门的密码算法,根据当前时间或使用次数生成当前密码。用户使用时只需要将动态令牌上显示的当前密码输入客户端计算机,即可实现身份的确认。

由于每次使用的密码必须由动态令牌来产生,只有合法用户才持有该硬件,所以只要密码验证通过就可以认为该用户的身份是可靠的。而动态口令技术采用一次一密的方法,也有效地保证了用户身份的安全性。但是如果客户端硬件与服务器端程序的时间或次数不能保持良好的同步,就可能发生合法用户无法登录的问题,这使得用户的使用非常不方便。

生物特征认证

生物特征认证是指采用每个人独一无二的生物特征来验证用户身份的技术,常见的有指纹识别、虹膜识别等。从理论上说,生物特征认证是最可靠的身份认证方式,因为它直接使用人的物理特征来表示每一个人的数字身份,几乎不可能被仿冒。

  不过,生物特征认证是基于生物特征识别技术的,受到现在的生物特征识别技术成熟度的影响,采用生物特征认证还具有较大的局限性:首先,生物特征识别的准确性和稳定性还有待提高;其次,由于研发投入较大而产量较小的原因,生物特征认证系统的成本非常高。

USB Key认证

基于USB Key的身份认证方式是一种方便、安全、经济的身份认证技术,它采用软硬件相结合、一次一密的强双因子认证模式,很好地解决了安全性与易用性之间的矛盾。

USB Key是一种USB接口的硬件设备,它内置单片机或智能卡芯片,可以存储用户的密钥或数字证书,利用USB Key内置的密码学算法实现对用户身份的认证。基于USB Key身份认证系统主要有两种应用模式:一是基于冲击/响应的认证模式;二是基于PKI体系的认证模式。