身份認證技術

在真實世界，對用户的身份認證基本方法可以分為這三種：

(1)基於信息秘密的身份認證

根據你所知道的信息來證明你的身份(what you know ，你知道什麼 ) ；

(2)基於信任物體的身份認證

根據你所擁有的東西來證明你的身份(what you have ，你有什麼 ) ；

(3)基於生物特徵的身份認證

直接根據獨一無二的身體特徵來證明你的身份(who you are ，你是誰 ) ，比如指紋、面貌等。

在網絡世界中手段與真實世界中一致，為了達到更高的身份認證安全性，某些場景會將上面3種挑選2中混合使用，即所謂的雙因素認證。

以下羅列幾種常見的認證形式： ^[1] 

用户的密碼是由用户自己設定的。在網絡登錄時輸入正確的密碼，計算機就認為操作者就是合法用户。實際上，由於許多用户為了防止忘記密碼，經常採用諸如生日、電話號碼等容易被猜測的字符串作為密碼，或者把密碼抄在紙上放在一個自認為安全的地方，這樣很容易造成密碼泄漏。如果密碼是靜態的數據，在驗證過程中 需要在計算機內存中和傳輸過程可能會被木馬程序或網絡中截獲。因此，靜態密碼機制無論是使用還是部署都非常簡單，但從安全性上講，用户名/密碼方式一種是不安全的身份認證方式。 它利用what you know方法。

目前智能手機的功能越來越強大，裏面包含了很多私人信息，我們在使用手機時，為了保護信息安全，通常會為手機設置密碼，由於密碼是存儲在手機內部，我們稱之為本地密碼認證。與之相對的是遠程密碼認證，例如我們在登錄電子郵箱時，電子郵箱的密碼是存儲在郵箱服務器中，我們在本地輸入的密碼需要發送給遠端的郵箱服務器，只有和服務器中的密碼一致，我們才被允許登錄電子郵箱。為了防止攻擊者採用離線字典攻擊的方式破解密碼，我們通常都會設置在登錄嘗試失敗達到一定次數後鎖定賬號，在一段時間內阻止攻擊者繼續嘗試登錄。

（IC卡）

一種內置集成電路的芯片，芯片中存有與用户身份相關的數據， 智能卡由專門的廠商通過專門的設備生產，是不可複製的硬件。智能卡由合法用户隨身攜帶，登錄時必須將智能卡插入專用的讀卡器讀取其中的信息，以驗證用户的身份。

智能卡認證是通過智能卡硬件不可複製來保證用户身份不會被仿冒。然而由於每次從智能卡中讀取的數據是靜態的，通過內存掃描或網絡監聽等技術還是很容易截取到用户的身份驗證信息，因此還是存在安全隱患。它利用what you have方法。

智能卡自身就是功能齊備的計算機，它有自己的內存和微處理器，該微處理器具備讀取和寫入能力，允許對智能卡上的數據進行訪問和更改。智能卡被包含在一個信用卡大小或者更小的物體裏（比如手機中的SIM就是一種智能卡）。智能卡技術能夠提供安全的驗證機制來保護持卡人的信息，並且智能卡的複製很難。從安全的角度來看，智能卡提供了在卡片裏存儲身份認證信息的能力，該信息能夠被智能卡讀卡器所讀取。智能卡讀卡器能夠連到PC上來驗證VPN連接或驗證訪問另一個網絡系統的用户。

短信密碼以手機短信形式請求包含6位隨機數的動態密碼，身份認證系統以短信形式發送隨機的6位密碼到客户的手機上。客户在登錄或者交易認證時候輸入此動態密碼，從而確保系統身份認證的安全性。它利用what you have方法。

具有以下優點：

（1）安全性

由於手機與客户綁定比較緊密，短信密碼生成與使用場景是物理隔絕的，因此密碼在通路上被截取幾率降至最低。

（2）普及性

只要會接收短信即可使用，大大降低短信密碼技術的使用門檻，學習成本幾乎為0，所以在市場接受度上面不會存在阻力。

（3）易收費

由於移動互聯網用户天然養成了付費的習慣，這和PC時代互聯網截然不同的理念，而且收費通道非常的發達，如果是網銀、第三方支付、電子商務可將短信密碼作為一項增值業務，每月通過SP收費不會有阻力，因此也可增加收益。

（4）易維護

由於短信網關技術非常成熟，大大降低短信密碼系統上馬的複雜度和風險，短信密碼業務後期客服成本低，穩定的系統在提升安全同時也營造良好的口碑效應，這也是目前銀行也大量採納這項技術很重要的原因。

目前最為安全的身份認證方式，也利用what you have方法，也是一種動態密碼。

動態口令牌是客户手持用來生成動態密碼的終端，主流的是基於時間同步方式的，每60秒變換一次動態口令，口令一次有效，它產生6位動態數字進行一次一密的方式認證。

但是由於基於時間同步方式的動態口令牌存在60秒的時間窗口，導致該密碼在這60秒內存在風險，現在已有基於事件同步的，雙向認證的動態口令牌。基於事件同步的動態口令，是以用户動作觸發的同步原則，真正做到了一次一密，並且由於是雙向認證，即：服務器驗證客户端，並且客户端也需要驗證服務器，從而達到了徹底杜絕木馬網站的目的。

由於它使用起來非常便捷，85%以上的世界500強企業運用它保護登錄安全，廣泛應用在VPN、網上銀行、電子政務、電子商務等領域。　

USB KEY

基於USB Key的身份認證方式是近幾年發展起來的一種方便、安全的身份認證技術。它採用軟硬件相結合、一次一密的強雙因子認證模式，很好地解決了安全性與易用性之間的矛盾。USB Key是一種USB接口的硬件設備，它內置單片機或智能卡芯片，可以存儲用户的密鑰或數字證書，利用USBKey內置的密碼算法實現對用户身份的認證。基於USB Key身份認證系統主要有兩種應用模式：一是基於衝擊/響應的認證模式，二是基於PKI體系的認證模式，目前運用在電子政務、網上銀行。

OCL

OCL不但可以提供身份認證，同時還可以提供交易認證功能，可以最大程度的保證網絡交易的安全。它是智能卡數據安全技術和U盤相結合的產物，為數據安全解決方案提供了一個強有力的平台，為客户提供了堅實的身份識別和密碼管理的方案，為如網上銀行， 期貨，電子商務和金融傳輸提供了堅實的身份識別和真實交易數據的保證。

數字簽名又稱電子加密，可以區分真實數據與偽造、被篡改過的數據。這對於網絡數據傳輸，特別是電子商務是極其重要的，一般要採用一種稱為摘要的技術，摘要技術主要是採用 HASH 函數（ HASH( 哈希 ) 函數提供了這樣一種計算過程：輸入一個長度不固定的字符串，返回一串定長度的字符串，又稱 HASH 值 ） 將一段長的報文通過函數變換，轉換為一段定長的報文，即摘要。身份識別是指用户向系統出示自己身份證明的過程，主要使用約定口令、智能卡和用户指紋、視網膜和聲音等生理特徵。數字證明機制提供利用公開密鑰進行驗證的方法。

運用who you are方法， 通過可測量的身體或行為等生物特徵進行身份認證的一種技術。生物特徵是指唯一的可以測量或可自動識別和驗證的生理特徵或行為方式。使用傳感器或者掃描儀來讀取生物的特徵信息，將讀取的信息和用户在數據庫中的特徵信息比對，如果一致則通過認證。

生物特徵分為身體特徵和行為特徵兩類。身體特徵包括：聲紋(d-ear)、指紋、掌型、視網膜、虹膜、人體氣味、臉型、手的血管和DNA等；行為特徵包括：簽名、語音、行走步態等。目前部分學者將視網膜識別、虹膜識別和指紋識別等歸為高級生物識別技術；將掌型識別、臉型識別、語音識別和簽名識別等歸為次級生物識別技術；將血管紋理識別、人體氣味識別、 DNA識別等歸為“深奧的”生物識別技術。

目前我們接觸最多的是指紋識別技術，應用的領域有門禁系統、微型支付等。我們日常使用的部分手機和筆記本電腦已具有指紋識別功能，在使用這些設備前，無需輸入密碼，只要將手指在掃描器上輕輕一按就能進入設備的操作界面，非常方便，而且別人很難複製。

生物特徵識別的安全隱患在於一旦生物特徵信息在數據庫存儲或網絡傳輸中被盜取，攻擊者就可以執行某種身份欺騙攻擊，並且攻擊對象會涉及到所有使用生物特徵信息的設備。

網絡安全准入設備製造商，聯合國內專業網絡安全准入實驗室，推出安全身份認證准入控制系統。

雙因素身份認證

所謂雙因素就是將兩種認證方法結合起來，進一步加強認證的安全性，目前使用最為廣泛的雙因素有：

動態口令牌+ 靜態密碼

USB KEY + 靜態密碼

二層靜態密碼 等等。

iKEY雙因素動態密碼身份認證系統（以下簡稱iKEY認證系統）是由上海眾人網絡安全技術有限公司（以下簡稱“眾人科技”） 自主研發，基於時間同步技術的雙因素認證系統，是一種安全便捷、穩定可靠的身份認證系統。其強大的用户認證機制替代了傳統的基本口令安全機制，從而幫助消除因口令欺詐而導致的損失，防止惡意入侵者或員工對資源的破壞，解決了因口令泄密導致的所有入侵問題。 iKEY認證服務器是iKEY認證系統的核心部分，其與業務系統通過局域網相連接。該iKEY認證服務器控制着所有上網用户對特定網絡的訪問，提供嚴格的身份認證，上網用户根據業務系統的授權來訪問系統資源。 iKEY認證服務軟件具有自身數據安全保護功能，所有用户數據經加密後存儲在數據庫中，其中iKEY認證服務器與管理工作站的數據傳輸以加密傳輸的方式進行。

身份認證技術是門禁系統發展的基礎，密碼鍵盤和磁卡門禁與鎖具鑰匙相比有了質的飛躍，但是密碼易被破譯和磁卡存儲空間小、易磨損和複製等，由此使得密碼鍵盤和磁卡門禁的安全性和可靠性受到了限制。後來，出現了接觸式卡，儘管其比密碼和磁卡有了很大(存儲和處理能力)進步，但因其自身不可克服的缺點(磨損壽命較短、使用不便)，也終成為其應用發展的障礙。同時，非接觸式射頻卡具有無機械磨損、壽命長、安全性高、使用簡單、很難被複制等優點，因此成為業界備受關注的新軍。從識別技術看，RFID技術的運用是非接觸式卡的潮流，更快的響應速度和更高的頻率是未來的發展趨勢。

上世紀80～90年代，計算機和光學掃描技術的飛速發展，使得指紋提取成為現實。圖像設備的引入和處理算法又為指紋識別應用提供了條件，促進了生物識別門禁系統的發展和應用。研究表明，指紋、掌紋、面部、視網膜、靜脈、虹膜、骨骼等都具有個體的唯一性和穩定性特點，且這些特點一般終身不會變化，因此可用這些特徵作為判別人員身份的依據。從而產生了基於這些特點的生物識別技術。由於人體的生物特徵具有可靠、唯一、終身不變、不會遺失和不可複製性的特點，所以，基於生物識別的門禁系統從識別的方式來講安全性和可靠性最高。目前，國內外研究和開發的門禁系統主要是非接觸感應式和基於生物識別技術的門禁系統。生物識別技術門禁中尤以指紋識別用最廣泛。