身份認證

計算機網路世界中一切信息包括用戶的身份信息都是用一組特定的數據來表示的，計算機只能識別用戶的數字身份，所有對用戶的授權也是針對用戶數字身份的授權。

如何保證以數字身份進行操作的操作者就是這個數字身份合法擁有者，也就是說保證操作者的物理身份與數字身份相對應，身份認證就是為了解決這個問題，作為防護網路資產的第一道關口，身份認證有著舉足輕重的作用。

在真實世界，對用戶的身份認證基本方法可以分為這三種：

(1) 根據你所知道的信息來證明你的身份(what you know ，你知道什麼 ) ；

(2) 根據你所擁有的東西來證明你的身份(what you have ，你有什麼 ) ；

(3) 直接根據獨一無二的身體特徵來證明你的身份(who you are ，你是誰 ) ，比如指紋、面貌等。

在網路世界中手段與真實世界中一致，為了達到更高的身份認證安全性，某些場景會將上面3種挑選2種混合使用，即所謂的雙因素認證。

以下羅列幾種常見的認證形式：

eID是網際網路身份認證的工具之一，也是未來網際網路基礎設施的基本構成之一。EID即是俗稱的網路身份證，網際網路信息世界中標識用戶身份的工具，用於在網路通訊中識別通訊各方的身份及表明我們的身份或某種資格。

用戶的密碼是由用戶自己設定的。在網路登錄時輸入正確的密碼，計算機就認為操作者就是合法用戶。實際上，由於許多用戶為了防止忘記密碼，經常採用諸如生日、電話號碼等容易被猜測的字元串作為密碼，或者把密碼抄在紙上放在一個自認為安全的地方，這樣很容易造成密碼泄漏。如果密碼是靜態的數據，在驗證過程中 需要在計算機記憶體中和傳輸過程可能會被木馬程式或網路中截獲。因此，靜態密碼機制無論是使用還是部署都非常簡單，但從安全性上講，用戶名/密碼方式一種是不安全的身份認證方式。 它利用what you know方法。

一種內置積體電路的晶片，晶片中存有與用戶身份相關的數據，智慧卡由專門的廠商通過專門的設備生產，是不可複製的硬體。智慧卡由合法用戶隨身攜帶，登錄時必須將智慧卡插入專用的讀卡器讀取其中的信息，以驗證用戶的身份。

智慧卡認證是通過智慧卡硬體不可複製來保證用戶身份不會被仿冒。然而由於每次從智慧卡中讀取的數據是靜態的，通過記憶體掃描或網路監聽等技術還是很容易截取到用戶的身份驗證信息，因此還是存在安全隱患。它利用what you have方法。

簡訊密碼以手機簡訊形式請求包含6位隨機數的動態密碼，身份認證系統以簡訊形式傳送隨機的6位密碼到客戶的手機上。客戶在登錄或者交易認證時候輸入此動態密碼，從而確保系統身份認證的安全性。它利用what you have方法。

具有以下優點：

簡訊密碼

（1）安全性

由於手機與客戶綁定比較緊密，簡訊密碼生成與使用場景是物理隔絕的，因此密碼在通路上被截取幾率降至最低。

（2）普及性

只要會接收簡訊即可使用，大大降低簡訊密碼技術的使用門檻，學習成本幾乎為0，所以在市場接受度上面不會存在阻力。

（3）易收費

由於移動網際網路用戶天然養成了付費的習慣，這和PC時代網際網路截然不同的理念，而且收費通道非常的發達，如果是網銀、第三方支付、電子商務可將簡訊密碼作為一項增值業務，每月通過SP收費不會有阻力，因此也可增加收益。

（4）易維護 由於簡訊網關技術非常成熟，大大降低簡訊密碼系統上馬的複雜度和風險，簡訊密碼業務後期客服成本低，穩定的系統在提升安全同時也營造良好的口碑效應，這也是銀行也大量採納這項技術很重要的原因。

本質上這也是一種what you have的方式。（you have the phone）

目前最為安全的身份認證方式，也利用what you have方法，也是一種動態密碼。

動態口令牌是客戶手持用來生成動態密碼的終端，主流的是基於時間同步方式的，每60秒變換一次動態口令，口令一次有效，它產生6位動態數字進行一次一密的方式認證。

但是由於基於時間同步方式的動態口令牌存在60秒的時間視窗，導致該密碼在這60秒記憶體在風險，現在已有基於事件同步的，雙向認證的動態口令牌。基於事件同步的動態口令，是以用戶動作觸發的同步原則，真正做到了一次一密，並且由於是雙向認證，即：伺服器驗證客戶端，並且客戶端也需要驗證伺服器，從而達到了徹底杜絕木馬網站的目的。

由於它使用起來非常便捷，85%以上的世界500強企業運用它保護登錄安全，廣泛套用在VPN、網上銀行、電子政務、電子商務等領域。

動態口令是套用最廣的一種身份識別方式，一般是長度為5~8的字元串，由數字、字母、特殊字元、控制字元等組成。用戶名和口令的方法幾十年來一直用於提供所屬權和準安全的認證來對伺服器提供一定程度的保護。當你每天訪問自己的電子郵件伺服器、伺服器要採用用戶名與動態口令對用戶進行認證的，一般還要提供動態口令更改工具。系統（尤其是網際網路上新興的系統）通常還提供用戶提醒工具以防忘記口令。

基於USB Key的身份認證方式是近幾年發展起來的一種方便、安全的身份認證技術。它採用軟硬體相結合、一次一密的強雙因子認證模式，很好地解決了安全性與易用性之間的矛盾。USB Key是一種USB接口的硬體設備，它內置單片機或智慧卡晶片，可以存儲用戶的密鑰或數字證書，利用USBKey內置的密碼算法實現對用戶身份的認證。基於USB Key身份認證系統主要有兩種套用模式：一是基於衝擊/回響(挑戰/應答)的認證模式，二是基於PKI體系的認證模式，運用在電子政務、網上銀行。

usb key

運用who you are方法， 通過可測量的身體或行為等生物特徵進行身份認證的一種技術。生物特徵是指唯一的可以測量或可自動識別和驗證的生理特徵或行為方式。生物特徵分為身體特徵和行為特徵兩類。身體特徵包括：指紋、掌型、視網膜、虹膜、人體氣味、臉型、手的血管和DNA等；行為特徵包括：簽名、語音、行走步態等。部分學者將視網膜識別、虹膜識別和指紋識別等歸為高級生物識別技術；將掌型識別、臉型識別、語音識別和簽名識別等歸為次級生物識別技術；將血管紋理識別、人體氣味識別、 DNA識別等歸為“深奧的”生物識別技術，指紋識別技術套用廣泛的領域有門禁系統、微型支付等。

所謂雙因素就是將兩種認證方法結合起來，進一步加強認證的安全性，目前使用最為廣泛的雙因素有：

動態口令牌+ 靜態密碼

USB KEY + 靜態密碼

二層靜態密碼等等。

認證流程圖

網路安全準入設備製造商，聯合國內專業網路安全準入實驗室，推出安全身份認統。

是與現有的大量指紋鑑別產品的相比,在可靠性、安全性（指紋易仿造）、穩定精度等方面，虹膜鑑別仍具有巨大的優勢。在巨大的生物識別產品市場，虹膜識別特別具有優勢地位。指紋識別的接觸式取像雖然更為直接。但是這本身也是個缺點：接觸式取像污染接觸面，影響可靠性；手指污染還可能引起法律糾紛，香港曾出現過索賠事件；此外，取像設備不能做得比拇指更小；提取單個手指圖像時影響可靠性，提取多個指紋圖像則影響實用性；較易製作假指紋、可進行手術移植、接觸面上的指紋印痕易被他人竊取作假。由此可以看出，虹膜識別具有全方位的優勢，在人體生物特徵識別市場中細分的市場中將成為主流產品。

被盜用的證書在使用時就會成為問題。如果有人通過同事共享了雲身份認證證書，而且那個人離開了公司，而且永遠不會使用證書，企業可能就不會發現其被曝光。檢測被盜用的證書的第一個機會也許就是其被使用的時候。關於試圖登錄的元數據——比如客戶端設備IP位址的地理位置或者客戶端設備的類型——可能表明一個潛在的問題。比如，如果證書所有人通常在辦公室工作，突然嘗試在其他地方的不同部分登錄，可能就顯示了被盜用的證書——或者簡單的就是代表了這個人在出差。