用戶身份認(rèn)證是安全的第一道大門，是各種安全措施可以發(fā)揮作用的前提。最常見(jiàn)的身份驗(yàn)證形式就是登錄密碼，密碼丟失輕則被別人輕易看到自己的隱私，重則金錢或者虛擬財(cái)產(chǎn)，譬如游戲幣、Q幣等被盜竊。那么，在我們上網(wǎng)登錄輸入密碼，在ATM柜機(jī)取款時(shí)輸入的密碼，或者我們?cè)陔娔X上使用的銀行U盾，它們背后是什么在支撐呢，今天我們就給大家介紹用戶身份驗(yàn)證的六大方式。

六大身份認(rèn)證解析之靜態(tài)密碼

大家經(jīng)常見(jiàn)到和使用的，“賬號(hào)+密碼”身份驗(yàn)證方式中提及的密碼為靜態(tài)密碼，是由用戶自己設(shè)定的一串靜態(tài)數(shù)據(jù)，靜態(tài)密碼一旦設(shè)定之后，除非用戶更改，否則將保持不變。靜態(tài)密碼的安全性缺點(diǎn)，在于容易被偷看、猜測(cè)、字典攻擊、暴力破解、竊取、監(jiān)聽(tīng)、重放攻擊、木馬攻擊等。

靜態(tài)密碼用戶的密碼是由用戶自己設(shè)定的。在網(wǎng)絡(luò)登錄時(shí)輸入正確的密碼，計(jì)算機(jī)就認(rèn)為操作者就是合法用戶。實(shí)際上，由于許多用戶為了防止忘記密碼，經(jīng)常采用諸如生日、電話號(hào)碼等容易被猜測(cè)的字符串作為密碼，或者把密碼抄在紙上放在一個(gè)自認(rèn)為安全的地方，這樣很容易造成密碼泄漏。如果密碼是靜態(tài)的數(shù)據(jù)，在驗(yàn)證過(guò)程中 需要在計(jì)算機(jī)內(nèi)存中和傳輸過(guò)程可能會(huì)被木馬程序或網(wǎng)絡(luò)中截獲。因此，靜態(tài)密碼機(jī)制無(wú)論是使用還是部署都非常簡(jiǎn)單，但從安全性上講，用戶名/密碼方式一種是不安全的身份認(rèn)證方式。

為了提高靜態(tài)密碼的安全性，用戶定期對(duì)密碼進(jìn)行更改是一種保護(hù)方式，但是這又導(dǎo)致了靜態(tài)密碼在使用和管理上的困難，特別是當(dāng)一個(gè)用戶有幾個(gè)甚至幾十個(gè)密碼需要處理時(shí)，非常容易造成密碼記錯(cuò)和密碼遺忘等問(wèn)題，而且也很難要求所有的用戶都能夠嚴(yán)格執(zhí)行定期修改密碼的操作，即使用戶定期修改，密碼也會(huì)有相當(dāng)一段時(shí)間是固定的。從總體上來(lái)說(shuō)，靜態(tài)密碼的缺點(diǎn)和不足主要表現(xiàn)在以下幾個(gè)方面：

(1)、靜態(tài)密碼的易用性和安全性互相排斥，兩者不能兼顧，簡(jiǎn)單容易記憶的密碼安全性弱，復(fù)雜的靜態(tài)密碼安全性高但是不易記憶和維護(hù)；

(2)、靜態(tài)密碼安全性低，容易遭受各種形式的安全攻擊；

(3)、靜態(tài)密碼的風(fēng)險(xiǎn)成本高，一旦泄密將可能造成最大程度的損失，而且在發(fā)生損失以前，通常不知道靜態(tài)密碼已經(jīng)泄密；

(4)、靜態(tài)密碼的使用和維護(hù)不便，特別一個(gè)用戶有幾個(gè)甚至十幾個(gè)靜態(tài)密碼需要使用和維護(hù)時(shí)，靜態(tài)密碼遺忘及遺忘以后所進(jìn)行的掛失、重置等操作通常需要花費(fèi)不少的時(shí)間和精力，非常影響正常的使用感受。

因此，靜態(tài)密碼機(jī)制雖然使用和部署非常簡(jiǎn)單，但從安全性上講，靜態(tài)密碼屬于單因素的身份認(rèn)證方式，已無(wú)法滿足互聯(lián)網(wǎng)對(duì)于身份認(rèn)證安全性的需求。#p#

六大身份認(rèn)證解析之動(dòng)態(tài)密碼

動(dòng)態(tài)密碼目前主要有短信密碼、動(dòng)態(tài)口令牌、手機(jī)令牌等幾種方式。

短信密碼以手機(jī)短信形式請(qǐng)求包含6位隨機(jī)數(shù)的動(dòng)態(tài)密碼，身份認(rèn)證系統(tǒng)以短信形式發(fā)送隨機(jī)的6位密碼到客戶的手機(jī)上。客戶在登錄或者交易認(rèn)證時(shí)候輸入此動(dòng)態(tài)密碼，從而確保系統(tǒng)身份認(rèn)證的安全性。

動(dòng)態(tài)口令牌是目前最為安全的身份認(rèn)證方式，也是一種動(dòng)態(tài)密碼。動(dòng)態(tài)口令牌是客戶手持用來(lái)生成動(dòng)態(tài)密碼的終端，主流的是基于時(shí)間同步方式的，每60秒變換一次動(dòng)態(tài)口令，口令一次有效，它產(chǎn)生6位動(dòng)態(tài)數(shù)字進(jìn)行一次一密的方式認(rèn)證。由于它使用起來(lái)非常便捷，85%以上的世界500強(qiáng)企業(yè)運(yùn)用它保護(hù)登錄安全，廣泛應(yīng)用在VPN、網(wǎng)上銀行、電子政務(wù)、電子商務(wù)等領(lǐng)域。

動(dòng)態(tài)口令牌(OTP，One time password)，采用動(dòng)態(tài)口令的認(rèn)證方式就是在每次用戶登錄時(shí)除了輸入常規(guī)的靜態(tài)口令外，還要再輸入一個(gè)每次都會(huì)變化的動(dòng)態(tài)口令。這個(gè)動(dòng)態(tài)口令的獲得方式有很多種，如刮刮卡式、二維矩陣卡式和電子令牌式，其中電子令牌就是我們所說(shuō)的動(dòng)態(tài)口令牌。

刮刮卡和二維矩陣卡都是以紙質(zhì)卡形式提供，但它們都存在著與生俱來(lái)的缺陷，刮刮卡有嚴(yán)格的使用次數(shù)限制，一般只能使用30次，而二維矩陣卡雖然可以無(wú)限次使用但很容易被復(fù)制，同動(dòng)態(tài)口令牌相比刮刮卡和二維矩陣卡式都不具備時(shí)效性。

現(xiàn)在很多國(guó)外銀行和少數(shù)國(guó)內(nèi)銀行在網(wǎng)上銀行應(yīng)用中采用這種動(dòng)態(tài)口令牌的方式。采用動(dòng)態(tài)口令牌方式的優(yōu)點(diǎn)在于無(wú)須安裝軟件，操作簡(jiǎn)單。與客戶電腦無(wú)關(guān)，不需要安裝其他任何程序即可直接使用網(wǎng)上銀行服務(wù)。一次一密，解決了客戶密碼被盜的問(wèn)題。這應(yīng)該是動(dòng)態(tài)口令牌在安全性方面帶來(lái)的最大好處。

手機(jī)令牌也稱手機(jī)口令牌，是用來(lái)生成動(dòng)態(tài)口令的手機(jī)客戶端軟件，在生成動(dòng)態(tài)口令的過(guò)程中，不會(huì)產(chǎn)生任何通信及費(fèi)用，不存在通信信道中被截取的可能性，手機(jī)作為動(dòng)態(tài)口令生成的載體，欠費(fèi)和無(wú)信號(hào)對(duì)其不產(chǎn)生任何影響。

手機(jī)令牌具有高安全性、0成本、無(wú)需攜帶、獲取以及無(wú)物流等優(yōu)勢(shì)，相比硬件令牌更符合互聯(lián)網(wǎng)的精神，由于以上優(yōu)勢(shì)，手機(jī)令牌可能會(huì)成為3G時(shí)代動(dòng)態(tài)密碼身份認(rèn)證令牌的主流形式。

手機(jī)令牌的實(shí)質(zhì)就是把動(dòng)態(tài)密碼技術(shù)用手機(jī)軟件的方式實(shí)現(xiàn)，軟件啟動(dòng)后，通過(guò)手機(jī)運(yùn)算并在手機(jī)液晶屏幕每分鐘顯示一個(gè)不可猜測(cè)的動(dòng)態(tài)密碼。手機(jī)動(dòng)態(tài)密碼可在Windows Mobile、iPhone、android、symbian等手機(jī)操作系統(tǒng)運(yùn)行?？勺龅矫荑€與手機(jī)捆綁。和動(dòng)態(tài)令牌的硬件令牌形式一樣。#p#

六大身份認(rèn)證解析之USB KEY

USB Key是一種USB接口的硬件設(shè)備。它內(nèi)置單片機(jī)或智能卡芯片，有一定的存儲(chǔ)空間，可以存儲(chǔ)用戶的私鑰以及數(shù)字證書，利用USB Key內(nèi)置的公鑰算法實(shí)現(xiàn)對(duì)用戶身份的認(rèn)證。

USB Key(硬件數(shù)字證書載體)這是大多數(shù)國(guó)內(nèi)銀行采用的客戶端解決方案，使用USB Key存放代表用戶唯一身份數(shù)字證書和用戶私鑰。在這個(gè)基于PKI體系的整體解決方案中，用戶的私鑰是在高安全度的USB Key內(nèi)產(chǎn)生，并且終身不可導(dǎo)出到USB Key外部。

在網(wǎng)上銀行應(yīng)用中，對(duì)交易數(shù)據(jù)的數(shù)字簽名都是在USB Key內(nèi)部完成的，并受到USB Key的PIN碼保護(hù)。采用USB Key方式的優(yōu)點(diǎn)在于代表用戶身份的私鑰在USB Key產(chǎn)生，安全強(qiáng)度高。

由于用戶私鑰保存在密碼鎖中，理論上使用任何方式都無(wú)法讀取，因此保證了用戶認(rèn)證的安全性。USB Key產(chǎn)品最早是由加密鎖廠商提出來(lái)的，原先的USB加密鎖主要用于防止軟件破解和復(fù)制，保護(hù)軟件不被盜版，而USB Key的目的不同，USB Key主要用于網(wǎng)絡(luò)認(rèn)證，鎖內(nèi)主要保存數(shù)字證書和用戶私鑰。

相對(duì)來(lái)說(shuō)，USB Key比較安全，但是USBKey并非絕對(duì)安全，也存在被破解的可能。USB Key網(wǎng)銀的便捷與風(fēng)險(xiǎn)在今天這樣一個(gè)互聯(lián)網(wǎng)驅(qū)動(dòng)的社會(huì)中，網(wǎng)上銀行也稱在線銀行，已經(jīng)成為金融機(jī)構(gòu)整體發(fā)展策略中不可或缺的一部分。

近年來(lái)使用網(wǎng)上銀行的用戶數(shù)量巨大增長(zhǎng)，并且每年保持了穩(wěn)定的發(fā)展勢(shì)頭。網(wǎng)上銀行在給它的用戶帶來(lái)諸多便捷服務(wù)、給銀行節(jié)省費(fèi)用支出和帶來(lái)更多利潤(rùn)增長(zhǎng)點(diǎn)的同時(shí)，也承受著很多安全風(fēng)險(xiǎn)。很多銀行意識(shí)到了這一點(diǎn)，紛紛采取行動(dòng)，包括不斷教育用戶提高自身安全意識(shí)，安裝殺毒軟件，防木馬軟件；采用硬件USB Key或者動(dòng)態(tài)口令牌方式進(jìn)行身份認(rèn)證等。#p#

六大身份認(rèn)證解析之智能卡(IC卡)

IC卡 (Integrated Circuit Card，集成電路卡)，有些國(guó)家和地區(qū)也稱智能卡(smart card)、智慧卡(intelligent card)、微電路卡(microcircuit card)或微芯片卡等。它是將一個(gè)微電子芯片嵌入符合ISO 7816標(biāo)準(zhǔn)的卡基中，做成卡片形式。IC卡讀寫器是IC卡與應(yīng)用系統(tǒng)間的橋梁，在ISO國(guó)際標(biāo)準(zhǔn)中稱之為接口設(shè)備IFD(Interface Device)。IFD內(nèi)CPU通過(guò)一個(gè)接口電路與IC卡相連并進(jìn)行通信。IC卡接口電路是IC卡讀寫器中至關(guān)重要的部分，根據(jù)實(shí)際應(yīng)用系統(tǒng)的不同，可選擇并行通信、半雙工串行通信和I2C通信等不同的IC卡讀寫芯片。非接觸式IC卡又稱射頻卡。

智能卡(IC卡)內(nèi)置集成電路芯片，芯片中存有與用戶身份相關(guān)的數(shù)據(jù)，并封裝成外形與磁卡類似的卡片形式。智能卡由專門的廠商通過(guò)專門的設(shè)備生產(chǎn)，是不可復(fù)制的硬件。智能卡由合法用戶隨身攜帶，登錄時(shí)必須將智能卡插入專用的讀卡器讀取其中的信息，以驗(yàn)證用戶的身份。

智能卡(IC卡)從根本上提高銀行卡的安全性。由于以前銀行磁條卡技術(shù)簡(jiǎn)單，磁條信息易被復(fù)制，使用磁條信息盜錄裝置復(fù)制銀行卡磁道信息，通過(guò)網(wǎng)上銀行等電子渠道竊取持卡人敏感信息，通過(guò)針孔攝像機(jī)在ATM終端上偷錄持卡人密碼等事件，以及偽造磁卡條、盜用磁卡信息的案件頻繁發(fā)生，給持卡人和發(fā)卡機(jī)構(gòu)造成巨額損失。世界各地的實(shí)踐經(jīng)驗(yàn)表明，在推廣使用IC卡后，這類案件就會(huì)大幅下降， 　　2、有利于商業(yè)銀行的業(yè)務(wù)創(chuàng)新。相比銀行磁條卡存儲(chǔ)空間小，無(wú)運(yùn)算能力，金融IC卡具備多應(yīng)用加載平臺(tái)，可豐富銀行卡產(chǎn)品系列，稱為商業(yè)銀行業(yè)務(wù)創(chuàng)新的重要手段。

智能卡認(rèn)證是通過(guò)智能卡硬件不可復(fù)制來(lái)保證用戶身份不會(huì)被仿冒。然而由于每次從智能卡中讀取的數(shù)據(jù)是靜態(tài)的，通過(guò)內(nèi)存掃描或網(wǎng)絡(luò)監(jiān)聽(tīng)等技術(shù)還是很容易截取到用戶的身份驗(yàn)證信息，因此還是存在安全隱患。

另外，智能卡需要配合讀卡器使用，因此無(wú)論在易用性，還是在成本方面，都比動(dòng)態(tài)令牌稍遜一籌。#p#

六大身份認(rèn)證解析之?dāng)?shù)字證書

數(shù)字證書是一種權(quán)威性的電子文檔，由權(quán)威公正的第三方機(jī)構(gòu)，即CA中心簽發(fā)的證書。

它以數(shù)字證書為核心的加密技術(shù)可以對(duì)網(wǎng)絡(luò)上傳輸?shù)男畔⑦M(jìn)行加密和解密、數(shù)字簽名和簽名驗(yàn)證，確保網(wǎng)上傳遞信息的機(jī)密性、完整性。使用了數(shù)字證書，即使您發(fā)送的信息在網(wǎng)上被他人截獲，甚至您丟失了個(gè)人的賬戶、密碼等信息，仍可以保證您的賬戶、資金安全。

它能提供在Internet上進(jìn)行身份驗(yàn)證的一種權(quán)威性電子文檔，人們可以在互聯(lián)網(wǎng)交往中用它來(lái)證明自己的身份和識(shí)別對(duì)方的身份。當(dāng)然在數(shù)字證書認(rèn)證的過(guò)程中證書認(rèn)證中心（CA）作為權(quán)威的、公正的、可信賴的第三方，其作用是至關(guān)重要的.如何判斷數(shù)字認(rèn)證中心公正第三方的地位是權(quán)威可信的，國(guó)家工業(yè)和信息化部以資質(zhì)合規(guī)的方式，陸續(xù)向天威誠(chéng)信數(shù)字認(rèn)證中心等30家相關(guān)機(jī)構(gòu)頒發(fā)了從業(yè)資質(zhì)。

由于Internet網(wǎng)電子商務(wù)系統(tǒng)技術(shù)使在網(wǎng)上購(gòu)物的顧客能夠極其方便輕松地獲得商家和企業(yè)的信息，但同時(shí)也增加了對(duì)某些敏感或有價(jià)值的數(shù)據(jù)被濫用的風(fēng)險(xiǎn). 為了保證互聯(lián)網(wǎng)上電子交易及支付的安全性，保密性等，防范交易及支付過(guò)程中的欺詐行為，必須在網(wǎng)上建立一種信任機(jī)制。這就要求參加電子商務(wù)的買方和賣方都必須擁有合法的身份，并且在網(wǎng)上能夠有效無(wú)誤的被進(jìn)行驗(yàn)證。

數(shù)字證書可用于：發(fā)送安全電子郵件、訪問(wèn)安全站點(diǎn)、網(wǎng)上證券交易、網(wǎng)上招標(biāo)采購(gòu)、網(wǎng)上辦公、網(wǎng)上保險(xiǎn)、網(wǎng)上稅務(wù)、網(wǎng)上簽約和網(wǎng)上銀行等安全電子事務(wù)處理和安全電子交易活動(dòng)。

基于數(shù)字證書的應(yīng)用角度分類，數(shù)字證書可以分為以下幾種：

服務(wù)器證書（SSL證書）：服務(wù)器證書被安裝于服務(wù)器設(shè)備上，用來(lái)證明服務(wù)器的身份和進(jìn)行通信加密。服務(wù)器證書可以用來(lái)防止欺詐釣魚站點(diǎn)。

在服務(wù)器上安裝服務(wù)器證書后，客戶端瀏覽器可以與服務(wù)器證書建立SSL連接，在SSL連接上傳輸?shù)娜魏螖?shù)據(jù)都會(huì)被加密。同時(shí)，瀏覽器會(huì)自動(dòng)驗(yàn)證服務(wù)器證書是否有效，驗(yàn)證所訪問(wèn)的站點(diǎn)是否是假冒站點(diǎn)，服務(wù)器證書保護(hù)的站點(diǎn)多被用來(lái)進(jìn)行密碼登錄、訂單處理、網(wǎng)上銀行交易等。全球知名的服務(wù)器證書品牌有Globlesign，Verisign， Thawte， Geotrust等。

SSL證書主要用于服務(wù)器(應(yīng)用)的數(shù)據(jù)傳輸鏈路加密和身份認(rèn)證，綁定網(wǎng)站域名，不同的產(chǎn)品對(duì)于不同價(jià)值的數(shù)據(jù)和要求不同的身份認(rèn)證。

最新的高端SSL證書產(chǎn)品是擴(kuò)展驗(yàn)證（EV）SSL證書。在IE7.0、FireFox3.0、Opera 9.5等新一代高安全瀏覽器下，使用擴(kuò)展驗(yàn)證VeriSign（EV）SSL證書的網(wǎng)站的瀏覽器地址欄會(huì)自動(dòng)呈現(xiàn)綠色，從而清晰地告訴用戶正在訪問(wèn)的網(wǎng)站是經(jīng)過(guò)嚴(yán)格認(rèn)證的。

電子郵件證書：電子郵件證書可以用來(lái)證明電子郵件發(fā)件人的真實(shí)性。它并不證明數(shù)字證書上面CN一項(xiàng)所標(biāo)識(shí)的證書所有者姓名的真實(shí)性，它只證明郵件地址的真實(shí)性。 　　收到具有有效電子簽名的電子郵件，我們除了能相信郵件確實(shí)由指定郵箱發(fā)出外，還可以確信該郵件從被發(fā)出后沒(méi)有被篡改過(guò)。

另外，使用接收的郵件證書，我們還可以向接收方發(fā)送加密郵件。該加密郵件可以在非安全網(wǎng)絡(luò)傳輸，只有接收方的持有者才可能打開該郵件。

客戶端個(gè)人證書：客戶端證書主要被用來(lái)進(jìn)行身份驗(yàn)證和電子簽名。

安全的客戶端證書我被存儲(chǔ)于專用的usbkey中。存儲(chǔ)于key中的證書不能被導(dǎo)出或復(fù)制，且key使用時(shí)需要輸入key的保護(hù)密碼。使用該證書需要物理上獲得其存儲(chǔ)介質(zhì)usbkey，且需要知道key的保護(hù)密碼，這也被稱為雙因子認(rèn)證。這種認(rèn)證手段是目前在internet最安全的身份認(rèn)證手段之一。key的種類有多種，指紋識(shí)別、第三鍵確認(rèn)，語(yǔ)音報(bào)讀，以及帶顯示屏的專用usbkey和普通usbkey等。

目前的數(shù)字證書在廣義上可分為：個(gè)人數(shù)字證書、單位數(shù)字證書、單位員工數(shù)字證書、服務(wù)器證書、VPN證書、WAP證書、代碼簽名證書和表單簽名證書。#p#

六大身份認(rèn)證解析之生物識(shí)別技術(shù)

生物識(shí)別技術(shù)是通過(guò)可測(cè)量的身體或行為等生物特征進(jìn)行身份認(rèn)證的一種技術(shù)。生物特征是指唯一的可以測(cè)量或可自動(dòng)識(shí)別和驗(yàn)證的生理特征或行為方式。

生物特征分為身體特征和行為特征兩類。身體特征包括：聲紋(d-ear)、指紋、掌型、視網(wǎng)膜、虹膜、人體氣味、臉型、手的血管和DNA等；行為特征包括：簽名、語(yǔ)音、行走步態(tài)等。目前部分學(xué)者將視網(wǎng)膜識(shí)別、虹膜識(shí)別和指紋識(shí)別等歸為高級(jí)生物識(shí)別技術(shù)；將掌型識(shí)別、臉型識(shí)別、語(yǔ)音識(shí)別和簽名識(shí)別等歸為次級(jí)生物識(shí)別技術(shù)；將血管紋理識(shí)別、人體氣味識(shí)別、 DNA識(shí)別等歸為“深?yuàn)W的”生物識(shí)別技術(shù)，指紋識(shí)別技術(shù)目前應(yīng)用廣泛的領(lǐng)域有門禁系統(tǒng)、微型支付等。

采用生物識(shí)別技術(shù)進(jìn)行身份認(rèn)證時(shí)，必須在客戶端安裝采集生理特征或行為方式的輸入設(shè)備，它可能會(huì)存在誤認(rèn)和誤拒的現(xiàn)象，可能會(huì)導(dǎo)致正確的用戶被拒絕訪問(wèn)，而非法用戶被允許訪問(wèn)等情況的發(fā)生。同時(shí)，它的應(yīng)用范圍也有所限制，例如指紋、虹膜等識(shí)別技術(shù)就無(wú)法用在電話委托系統(tǒng)、電視遙控器等應(yīng)用中。