5.1 身份认证相关概念

在真实世界，对用户身份认证的方法可以分为以下3种。

● 基于信息秘密的身份认证，即根据用户所知道的信息来证明用户的身份。

● 基于信任物体的身份认证，即根据用户所拥有的东西来证明用户的身份，如身份证、学生证等。

● 基于生物特征的身份认证，即直接根据独一无二的身体特征来证明用户的身份，如指纹、容貌等。

网络世界中的方法与真实世界中一致，为了达到更高的安全性，某些场景会选两种认证方法混合使用，即所谓的双因素认证。

下面介绍几种常见的认证形式。

5.1.1 静态密码

用户的密码是由用户自己设定的。在网络登录时能输入正确的密码，即被计算机认为是合法用户。实际上，许多用户为了防止忘记密码，经常采用诸如生日、电话号码等容易被猜测的字符串作为密码，或把密码抄在纸上放在一个自认为安全的地方，这样很容易造成密码泄露。如果密码是静态的数据，在验证过程中可能会在计算机内存或传输过程中被木马程序或网络截获。虽然静态密码机制的使用和部署都非常简单，但从安全性上来说，单纯的用户名/密码的方式是不安全的。

目前，智能手机的功能越来越强大，手机中存储了很多私人信息，人们在使用手机时，为了保护信息安全，通常会为手机设置密码，由于密码是存储在手机内部，此种认证方式称为本地密码认证。与之相对的是远程密码认证，例如，用户在登录电子邮箱时，电子邮箱的密码存储在邮箱服务器中，在本地输入的密码需要发送给远端的邮箱服务器，只有和服务器中的密码一致，才被允许登录电子邮箱。为了防止攻击者采用离线字典攻击的方式破解密码，系统通常都会设置在尝试登录失败达到一定次数后锁定账号，在一段时间内阻止攻击者继续尝试登录。

5.1.2 智能卡

智能卡是一种内置集成电路的芯片，芯片中存有与用户身份相关的数据，智能卡由专门的厂商通过专门的设备生产，是不可复制的硬件。智能卡由合法用户随身携带，登录时需要将智能卡插入专用的读卡器读取其中的信息，以验证用户的身份。

智能卡自身就是功能齐备的计算机，它有自己的内存和微处理器，该微处理器具备读取和写入能力，允许对智能卡上的数据进行访问和更改。智能卡被包含在一个信用卡大小或更小的物体中（如手机中的SIM）。智能卡技术能够提供安全的验证机制来保护持卡人的信息，并且智能卡很难复制。从安全的角度来看，智能卡提供了在卡片中存储身份认证信息的能力，该信息能够被智能卡读卡器所读取。智能卡读卡器能够连到计算机来验证VPN连接或验证访问另一个网络系统的用户。

5.1.3 短信密码

短信密码以手机短信形式请求包含6位随机数的动态密码，身份认证系统以短信形式发送随机的6位密码到客户的手机上。客户在登录或交易认证时输入此动态密码，从而确保系统身份认证的安全性。

由于手机与客户绑定比较紧密，短信密码生成与使用场景是物理隔绝的，因此密码在通路上被截取的概率降至最低。

只要能接收短信即可使用，大大降低了短信密码技术的使用门槛，学习成本几乎为零，所以在市场接受度上存在阻力较小。

5.1.4 动态口令

动态口令是目前最为安全的身份认证方式，也是一种动态密码。动态口令牌是客户手持用来生成动态密码的终端，主流的是基于时间同步方式的，每60s变换一次动态口令，口令一次有效，它产生6位动态数字进行一次一密方式的认证。

但是由于基于时间同步方式的动态口令牌存在60s的时间窗口，导致该密码在这60s内存在风险，现在已有基于事件同步、双向认证的动态口令牌。基于事件同步的动态口令以用户动作触发的同步原则真正做到了一次一密，并且由于是双向认证（服务器验证客户端，并且客户端也需要验证服务器），达到了彻底杜绝木马网站的目的。

动态口令使用起来非常便捷，85%以上的世界500强企业运用它保护登录安全，它广泛应用在VPN、网上银行、电子政务和电子商务等领域。常见的有USB KEY和OCL。

基于USB KEY的身份认证方式是近几年发展起来的一种方便、安全的身份认证技术。它采用软硬件相结合、一次一密的强双因子认证模式，很好地解决了安全性与易用性之间的矛盾。USB KEY是一种USB接口硬件设备，它内置单片机或智能卡芯片，可以存储用户的密钥或数字证书，利用USB KEY内置的密码算法实现对用户身份的认证。基于USB KEY的身份认证系统主要有两种应用模式：一是基于冲击/响应的认证模式，二是基于PKI体系的认证模式，目前应用在电子政务、网上银行。

OCL不但可以提供身份认证，还可以提供交易认证功能，可以最大程度保证网络交易的安全。它是智能卡数据安全技术和U盘相结合的产物，为数据安全解决方案提供了一个强有力的平台，为客户提供了坚实的身份识别和密码管理的方案，为网上银行、期货、电子商务和金融传输提供了坚实的身份识别和真实交易数据的保证。

5.1.5 数字签名

数字签名又称电子加密，可以区分真实数据与伪造、被篡改过的数据，这对于网络数据传输，特别是电子商务极其重要，一般要采用一种称为摘要的技术。摘要技术主要是采用HASH函数（HASH函数提供了这样一种计算过程：输入一个长度不固定的字符串，返回一串定长的字符串，又称HASH值）将一段长的报文通过函数变换，转换为一段定长的报文，即摘要。身份识别是指用户向系统出示自己身份证明的过程，主要使用约定口令、智能卡，以及用户指纹、视网膜和声音等生理特征。数字证明机制提供利用公开密钥进行验证的方法。

5.1.6 生物识别

生物识别是通过可测量的身体或行为等生物特征进行身份认证的一种技术。生物特征是指唯一可以测量或可自动识别和验证的生理特征或行为方式。使用传感器或扫描仪来读取生物的特征信息，将读取的信息和用户在数据库中的特征信息进行比对，如果一致则通过认证。

生物特征分为身体特征和行为特征两类。身体特征包括声纹、指纹、掌型、视网膜、虹膜、人体气味、脸型、手的血管和DNA等；行为特征包括签名、语音和行走步态等。目前部分学者将视网膜识别、虹膜识别和指纹识别等归为高级生物识别技术；将掌型识别、脸型识别、语音识别和签名识别等归为次级生物识别技术；将血管纹理识别、人体气味识别、DNA识别等归为“深奥的”生物识别技术。

目前使用最多的是指纹识别技术，应用在门禁系统、微型支付等领域。人们日常使用的部分手机和笔记本式计算机已具有指纹识别功能，在使用这些设备前，无需输入密码，只要将手指在扫描器上轻轻一按就能进入设备的操作界面，非常方便，而且别人很难复制指纹。

生物特征识别的安全隐患在于一旦生物特征信息在数据库存储或网络传输中被盗取，攻击者就可以执行某种身份欺骗攻击，并且攻击对象会涉及所有使用生物特征信息的设备。