解析用户身份认证的六大方式

　　用户身份认证是安全的第一道大门，是各种安全措施可以发挥作用的前提。最常见的身份验证形式就是登录密码，密码丢失轻则被别人轻易看到自己的隐私，重则金钱或者虚拟财产，譬如游戏币、Q币等被盗窃。那么，在我们上网登录输入密码，在ATM柜机取款时输入的密码，或者我们在电脑上使用的银行U盾，它们背后是什么在支撑呢，今天我们就给大家介绍用户身份验证的六大方式。

　　六大身份认证解析之静态密码

　　大家经常见到和使用的，“账号+密码”身份验证方式中提及的密码为静态密码，是由用户自己设定的一串静态数据，静态密码一旦设定之后，除非用户更改，否则将保持不变。静态密码的安全性缺点，在于容易被偷看、猜测、字典攻击、暴力破解、窃取、监听、重放攻击、木马攻击等。

　　静态密码用户的密码是由用户自己设定的。在网络登录时输入正确的密码，计算机就认为操作者就是合法用户。实际上，由于许多用户为了防止忘记密码，经常采用诸如生日、电话号码等容易被猜测的字符串作为密码，或者把密码抄在纸上放在一个自认为安全的地方，这样很容易造成密码泄漏。如果密码是静态的数据，在验证过程中 需要在计算机内存中和传输过程可能会被木马程序或网络中截获。因此，静态密码机制无论是使用还是部署都非常简单，但从安全性上讲，用户名/密码方式一种是不安全的身份认证方式。

　　为了提高静态密码的安全性，用户定期对密码进行更改是一种保护方式，但是这又导致了静态密码在使用和管理上的困难，特别是当一个用户有几个甚至几十个密码需要处理时，非常容易造成密码记错和密码遗忘等问题，而且也很难要求所有的用户都能够严格执行定期修改密码的操作，即使用户定期修改，密码也会有相当一段时间是固定的。从总体上来说，静态密码的缺点和不足主要表现在以下几个方面：

　　(1)、静态密码的易用性和安全性互相排斥，两者不能兼顾，简单容易记忆的密码安全性弱，复杂的静态密码安全性高但是不易记忆和维护；

　　(2)、静态密码安全性低，容易遭受各种形式的安全攻击；

　　(3)、静态密码的风险成本高，一旦泄密将可能造成最大程度的损失，而且在发生损失以前，通常不知道静态密码已经泄密；

　　(4)、静态密码的使用和维护不便，特别一个用户有几个甚至十几个静态密码需要使用和维护时，静态密码遗忘及遗忘以后所进行的挂失、重置等操作通常需要花费不少的时间和精力，非常影响正常的使用感受。

　　因此，静态密码机制虽然使用和部署非常简单，但从安全性上讲，静态密码属于单因素的身份认证方式，已无法满足互联网对于身份认证安全性的需求。

　　六大身份认证解析之动态密码

　　动态密码目前主要有短信密码、动态口令牌、手机令牌等几种方式。

　　短信密码以手机短信形式请求包含6位随机数的动态密码，身份认证系统以短信形式发送随机的6位密码到客户的手机上。客户在登录或者交易认证时候输入此动态密码，从而确保系统身份认证的安全性。

　　动态口令牌是目前最为安全的身份认证方式，也是一种动态密码。动态口令牌是客户手持用来生成动态密码的终端，主流的是基于时间同步方式的，每60秒变换一次动态口令，口令一次有效，它产生6位动态数字进行一次一密的方式认证。由于它使用起来非常便捷，85%以上的世界500强企业运用它保护登录安全，广泛应用在VPN、网上银行、电子政务、电子商务等领域。

　　动态口令牌(OTP，One time password)，采用动态口令的认证方式就是在每次用户登录时除了输入常规的静态口令外，还要再输入一个每次都会变化的动态口令。这个动态口令的获得方式有很多种，如刮刮卡式、二维矩阵卡式和电子令牌式，其中电子令牌就是我们所说的动态口令牌。

　　刮刮卡和二维矩阵卡都是以纸质卡形式提供，但它们都存在着与生俱来的缺陷，刮刮卡有严格的使用次数限制，一般只能使用30次，而二维矩阵卡虽然可以无限次使用但很容易被复制，同动态口令牌相比刮刮卡和二维矩阵卡式都不具备时效性。

　　现在很多国外银行和少数国内银行在网上银行应用中采用这种动态口令牌的方式。采用动态口令牌方式的优点在于无须安装软件，操作简单。与客户电脑无关，不需要安装其他任何程序即可直接使用网上银行服务。一次一密，解决了客户密码被盗的问题。这应该是动态口令牌在安全性方面带来的最大好处。

　　手机令牌也称手机口令牌，是用来生成动态口令的手机客户端软件，在生成动态口令的过程中，不会产生任何通信及费用，不存在通信信道中被截取的可能性，手机作为动态口令生成的载体，欠费和无信号对其不产生任何影响。

　　手机令牌具有高安全性、0成本、无需携带、获取以及无物流等优势，相比硬件令牌更符合互联网的精神，由于以上优势，手机令牌可能会成为3G时代动态密码身份认证令牌的主流形式。

　　手机令牌的实质就是把动态密码技术用手机软件的方式实现，软件启动后，通过手机运算并在手机液晶屏幕每分钟显示一个不可猜测的动态密码。手机动态密码可在Windows Mobile、iPhone、android、symbian等手机操作系统运行。可做到密钥与手机捆绑。和动态令牌的硬件令牌形式一样。

　　六大身份认证解析之USB KEY

　　USB Key是一种USB接口的硬件设备。它内置单片机或智能卡芯片，有一定的存储空间，可以存储用户的私钥以及数字证书，利用USB Key内置的公钥算法实现对用户身份的认证。

　　USB Key(硬件数字证书载体)这是大多数国内银行采用的客户端解决方案，使用USB Key存放代表用户唯一身份数字证书和用户私钥。在这个基于PKI体系的整体解决方案中，用户的私钥是在高安全度的USB Key内产生，并且终身不可导出到USB Key外部。

　　在网上银行应用中，对交易数据的数字签名都是在USB Key内部完成的，并受到USB Key的PIN码保护。采用USB Key方式的优点在于代表用户身份的私钥在USB Key产生，安全强度高。

　　由于用户私钥保存在密码锁中，理论上使用任何方式都无法读取，因此保证了用户认证的安全性。USB Key产品最早是由加密锁厂商提出来的，原先的USB加密锁主要用于防止软件破解和复制，保护软件不被盗版，而USB Key的目的不同，USB Key主要用于网络认证，锁内主要保存数字证书和用户私钥。

　　相对来说，USB Key比较安全，但是USBKey并非绝对安全，也存在被破解的可能。USB Key网银的便捷与风险在今天这样一个互联网驱动的社会中，网上银行也称在线银行，已经成为金融机构整体发展策略中不可或缺的一部分。

　　近年来使用网上银行的用户数量巨大增长，并且每年保持了稳定的发展势头。网上银行在给它的用户带来诸多便捷服务、给银行节省费用支出和带来更多利润增长点的同时，也承受着很多安全风险。很多银行意识到了这一点，纷纷采取行动，包括不断教育用户提高自身安全意识，安装杀毒软件，防木马软件；采用硬件USB Key或者动态口令牌方式进行身份认证等。

　　六大身份认证解析之智能卡(IC卡)

　　IC卡 (Integrated Circuit Card，集成电路卡)，有些国家和地区也称智能卡(smart card)、智慧卡(intelligent card)、微电路卡(microcircuit card)或微芯片卡等。它是将一个微电子芯片嵌入符合ISO 7816标准的卡基中，做成卡片形式。IC卡读写器是IC卡与应用系统间的桥梁，在ISO国际标准中称之为接口设备IFD(Interface Device)。IFD内CPU通过一个接口电路与IC卡相连并进行通信。IC卡接口电路是IC卡读写器中至关重要的部分，根据实际应用系统的不同，可选择并行通信、半双工串行通信和I2C通信等不同的IC卡读写芯片。非接触式IC卡又称射频卡。

　　智能卡(IC卡)内置集成电路芯片，芯片中存有与用户身份相关的数据，并封装成外形与磁卡类似的卡片形式。智能卡由专门的厂商通过专门的设备生产，是不可复制的硬件。智能卡由合法用户随身携带，登录时必须将智能卡插入专用的读卡器读取其中的信息，以验证用户的身份。

　　智能卡(IC卡)从根本上提高银行卡的安全性。由于以前银行磁条卡技术简单，磁条信息易被复制，使用磁条信息盗录装置复制银行卡磁道信息，通过网上银行等电子渠道窃取持卡人敏感信息，通过针孔摄像机在ATM终端上偷录持卡人密码等事件，以及伪造磁卡条、盗用磁卡信息的案件频繁发生，给持卡人和发卡机构造成巨额损失。世界各地的实践经验表明，在推广使用IC卡后，这类案件就会大幅下降， 2、有利于商业银行的业务创新。相比银行磁条卡存储空间小，无运算能力，金融IC卡具备多应用加载平台，可丰富银行卡产品系列，称为商业银行业务创新的重要手段。

　　智能卡认证是通过智能卡硬件不可复制来保证用户身份不会被仿冒。然而由于每次从智能卡中读取的数据是静态的，通过内存扫描或网络监听等技术还是很容易截取到用户的身份验证信息，因此还是存在安全隐患。

　　另外，智能卡需要配合读卡器使用，因此无论在易用性，还是在成本方面，都比动态令牌稍逊一筹。

　　六大身份认证解析之数字证书

　　数字证书是一种权威性的电子文档，由权威公正的第三方机构，即CA中心签发的证书。

　　它以数字证书为核心的加密技术可以对网络上传输的信息进行加密和解密、数字签名和签名验证，确保网上传递信息的机密性、完整性。使用了数字证书，即使您发送的信息在网上被他人截获，甚至您丢失了个人的账户、密码等信息，仍可以保证您的账户、资金安全。

　　它能提供在Internet上进行身份验证的一种权威性电子文档，人们可以在互联网交往中用它来证明自己的身份和识别对方的身份。当然在数字证书认证的过程中证书认证中心（CA）作为权威的、公正的、可信赖的第三方，其作用是至关重要的.如何判断数字认证中心公正第三方的地位是权威可信的，国家工业和信息化部以资质合规的方式，陆续向天威诚信数字认证中心等30家相关机构颁发了从业资质。

　　由于Internet网电子商务系统技术使在网上购物的顾客能够极其方便轻松地获得商家和企业的信息，但同时也增加了对某些敏感或有价值的数据被滥用的风险. 为了保证互联网上电子交易及支付的安全性，保密性等，防范交易及支付过程中的欺诈行为，必须在网上建立一种信任机制。这就要求参加电子商务的买方和卖方都必须拥有合法的身份，并且在网上能够有效无误的被进行验证。

　　数字证书可用于：发送安全电子邮件、访问安全站点、网上证券交易、网上招标采购、网上办公、网上保险、网上税务、网上签约和网上银行等安全电子事务处理和安全电子交易活动。

　　基于数字证书的应用角度分类，数字证书可以分为以下几种：

　　服务器证书（SSL证书）：服务器证书被安装于服务器设备上，用来证明服务器的身份和进行通信加密。服务器证书可以用来防止欺诈钓鱼站点。

　　在服务器上安装服务器证书后，客户端浏览器可以与服务器证书建立SSL连接，在SSL连接上传输的任何数据都会被加密。同时，浏览器会自动验证服务器证书是否有效，验证所访问的站点是否是假冒站点，服务器证书保护的站点多被用来进行密码登录、订单处理、网上银行交易等。全球知名的服务器证书品牌有Globlesign，Verisign， Thawte， Geotrust等。

　　SSL证书主要用于服务器(应用)的数据传输链路加密和身份认证，绑定网站域名，不同的产品对于不同价值的数据和要求不同的身份认证。

　　最新的高端SSL证书产品是扩展验证（EV）SSL证书。在IE7.0、FireFox3.0、Opera 9.5等新一代高安全浏览器下，使用扩展验证VeriSign（EV）SSL证书的网站的浏览器地址栏会自动呈现绿色，从而清晰地告诉用户正在访问的网站是经过严格认证的。

　　电子邮件证书：电子邮件证书可以用来证明电子邮件发件人的真实性。它并不证明数字证书上面CN一项所标识的证书所有者姓名的真实性，它只证明邮件地址的真实性。 收到具有有效电子签名的电子邮件，我们除了能相信邮件确实由指定邮箱发出外，还可以确信该邮件从被发出后没有被篡改过。

　　另外，使用接收的邮件证书，我们还可以向接收方发送加密邮件。该加密邮件可以在非安全网络传输，只有接收方的持有者才可能打开该邮件。

　　客户端个人证书：客户端证书主要被用来进行身份验证和电子签名。

　　安全的客户端证书我被存储于专用的usbkey中。存储于key中的证书不能被导出或复制，且key使用时需要输入key的保护密码。使用该证书需要物理上获得其存储介质usbkey，且需要知道key的保护密码，这也被称为双因子认证。这种认证手段是目前在internet最安全的身份认证手段之一。key的种类有多种，指纹识别、第三键确认，语音报读，以及带显示屏的专用usbkey和普通usbkey等。

　　目前的数字证书在广义上可分为：个人数字证书、单位数字证书、单位员工数字证书、服务器证书、VPN证书、WAP证书、代码签名证书和表单签名证书。

　　六大身份认证解析之生物识别技术

　　生物识别技术是通过可测量的身体或行为等生物特征进行身份认证的一种技术。生物特征是指唯一的可以测量或可自动识别和验证的生理特征或行为方式。

　　生物特征分为身体特征和行为特征两类。身体特征包括：声纹(d-ear)、指纹、掌型、视网膜、虹膜、人体气味、脸型、手的血管和DNA等；行为特征包括：签名、语音、行走步态等。目前部分学者将视网膜识别、虹膜识别和指纹识别等归为高级生物识别技术；将掌型识别、脸型识别、语音识别和签名识别等归为次级生物识别技术；将血管纹理识别、人体气味识别、 DNA识别等归为“深奥的”生物识别技术，指纹识别技术目前应用广泛的领域有门禁系统、微型支付等。

　　采用生物识别技术进行身份认证时，必须在客户端安装采集生理特征或行为方式的输入设备，它可能会存在误认和误拒的现象，可能会导致正确的用户被拒绝访问，而非法用户被允许访问等情况的发生。同时，它的应用范围也有所限制，例如指纹、虹膜等识别技术就无法用在电话委托系统、电视遥控器等应用中。