身份驗證因素

根據(jù)所謂的身份驗證因素，可以對某人進行身份驗證的方式分為三類：用戶知道的東西、用戶擁有的東西和用戶的身份。每個身份驗證因素都涵蓋了一系列元素，用于在被授予訪問權(quán)限、批準交易請求、簽署文檔或其他工作產(chǎn)品、授予他人權(quán)限以及建立權(quán)限鏈之前驗證或驗證一個人的身份。??

安全研究已確定，對于肯定的身份驗證，應驗證來自至少兩個，最好是全部三個因素的元素。三個因素（類）和每個因素的一些元素是：

• 知識因素：用戶知道的東西（例如，密碼、部分密碼、密碼、個人識別碼(PIN)、質(zhì)詢響應（用戶必須回答問題或模式）、安全問題）。
• 所有權(quán)因素：用戶擁有的東西（例如，腕帶、身份證、安全令牌、植入設(shè)備、帶有內(nèi)置硬件令牌的手機、軟件令牌或持有軟件令牌的手機）。
• 固有因素：用戶是或所做的事情（例如，指紋、視網(wǎng)膜圖案、DNA序列（對于什么是足夠的有各種定義）、簽名、面部、語音、獨特的生物電信號或其他生物識別標識符）。

單因素身份驗證

作為最弱的身份驗證級別，僅使用來自三類因素之一的單個組件來驗證個人的身份。僅使用一個因素并不能提供太多防止誤用或惡意入侵的保護。對于需要更高安全級別的金融或個人相關(guān)交易，不建議使用這種類型的身份驗證。

多因素身份驗證

多因素身份驗證涉及兩個或多個身份驗證因素（您知道的東西、您擁有的東西或您是的東西）。雙因素身份驗證是多因素身份驗證的一種特殊情況，恰好涉及兩個因素。

例如，使用銀行卡（用戶擁有的東西）和 PIN（用戶知道的東西）提供雙因素身份驗證。商業(yè)網(wǎng)絡(luò)可能要求用戶提供密碼（知識因子）和來自安全令牌（所有權(quán)因子）的偽隨機數(shù)。訪問一個非常高安全性的系統(tǒng)可能需要對身高、體重、面部和指紋檢查（幾個固有因素元素）加上一個 PIN 和一個日期代碼（知識因素元素）進行Mantrap篩選，但這仍然是一個兩個-因素認證。

身份驗證類型

可用于驗證在線用戶的最常見的身份驗證類型在安全級別上有所不同，這些安全級別是通過組合來自三類身份驗證因素中的一個或多個因素而提供的：

強認證

美國政府的國家信息保障詞匯表將強身份驗證定義為一種分層身份驗證方法，該方法依靠兩個或多個身份驗證器來確定信息的發(fā)起者或接收者的身份。

歐洲中央銀行 (ECB) 將強身份驗證定義為“基于三個身份驗證因素中的兩個或多個的程序”。使用的因素必須是相互獨立的，并且至少有一個因素必須是“不可重用和不可復制的”，除非是固有因素，并且還必須不能從互聯(lián)網(wǎng)上竊取。在歐洲以及美國的理解中，強認證與多因素認證或 2FA 非常相似，但超過了那些要求更嚴格的認證。

Fast IDentity Online (FIDO) 聯(lián)盟一直在努力建立強身份驗證的技術(shù)規(guī)范。

連續(xù)認證

傳統(tǒng)的計算機系統(tǒng)僅在初始登錄會話時對用戶進行身份驗證，這可能是導致嚴重安全漏洞的原因。為了解決這個問題，系統(tǒng)需要持續(xù)的用戶認證方法，這些方法可以根據(jù)一些生物特征持續(xù)監(jiān)控和認證用戶。一項研究使用基于書寫風格的行為生物特征作為一種持續(xù)的身份驗證方法。

最近的研究表明，使用智能手機傳感器和配件來提取一些行為屬性的可能性，例如觸摸動態(tài)、擊鍵動態(tài)和步態(tài)識別。這些屬性被稱為行為生物特征，可用于在智能手機上隱式和持續(xù)地驗證或識別用戶。基于這些行為生物特征特征構(gòu)建的身份驗證系統(tǒng)被稱為主動或連續(xù)身份驗證系統(tǒng)。

數(shù)字認證

術(shù)語數(shù)字身份驗證，也稱為電子身份驗證或電子身份驗證，是指一組過程，其中建立用戶身份的信任并通過電子方法將其呈現(xiàn)給信息系統(tǒng)。由于需要通過網(wǎng)絡(luò)遠程對個人或?qū)嶓w進行身份驗證，因此數(shù)字身份驗證過程帶來了技術(shù)挑戰(zhàn)。美國國家標準與技術(shù)研究院(NIST) 為數(shù)字身份驗證創(chuàng)建了一個通用模型，該模型描述了用于完成安全身份驗證的過程：

• 注冊– 個人向憑證服務提供商 (CSP) 申請以啟動注冊過程。成功證明申請者身份后，CSP 允許申請者成為訂閱者。
• 身份驗證– 成為訂閱者后，用戶會收到身份驗證器，例如令牌和憑據(jù)，例如用戶名。然后，他或她被允許在與依賴方的經(jīng)過身份驗證的會話中執(zhí)行在線交易，他們必須提供證據(jù)證明他或她擁有一個或多個身份驗證器。
• 生命周期維護——CSP 負責在其生命周期內(nèi)維護用戶的憑證，而訂閱者負責維護他或她的身份驗證器。

信息的認證會給電子通信帶來特殊的問題，例如容易受到中間人攻擊，即第三方進入通信流，并偽裝成其他兩個通信方中的每一個，以攔截每個人的信息?？赡苄枰~外的身份因素來驗證每一方的身份。

產(chǎn)品認證

(1) 電子盒上用于認證的安全全息圖標簽

假冒產(chǎn)品通常以正品的形式提供給消費者。假冒消費品，如電子產(chǎn)品、音樂、服裝和假冒藥品，已被視為合法出售?？刂乒満徒逃M者的努力有助于確保銷售和使用正宗產(chǎn)品。然而，即使是包裝、標簽和銘牌上的安全印刷，也容易被偽造。

在其防偽技術(shù)指南中，EUIPO知識產(chǎn)權(quán)侵權(quán)觀察站將目前市場上的主要防偽技術(shù)分為五個主要類別：電子、標記、化學和物理、機械以及數(shù)字技術(shù)媒體。

產(chǎn)品或其包裝可以包含可變的二維碼。單獨的 QR 碼很容易驗證，但提供的身份驗證級別較弱，因為它無法防止偽造，除非在系統(tǒng)級別分析掃描數(shù)據(jù)以檢測異常。為了提高安全級別，二維碼可以與數(shù)字水印或復制檢測模式結(jié)合使用，這些模式對復制嘗試具有魯棒性，并且可以通過智能手機進行身份驗證。

安全密鑰存儲設(shè)備可用于消費電子產(chǎn)品中的身份驗證、網(wǎng)絡(luò)身份驗證、許可證管理、供應鏈管理等。通常，要進行身份驗證的設(shè)備需要某種無線或有線數(shù)字連接到主機系統(tǒng)或網(wǎng)絡(luò). 盡管如此，被驗證的組件在本質(zhì)上不需要是電子的，因為驗證芯片可以機械地附接并通過連接器讀取到主機，例如與打印機一起使用的經(jīng)過驗證的墨盒。對于可以應用這些安全協(xié)處理器的產(chǎn)品和服務，它們可以提供一種解決方案，該解決方案比大多數(shù)其他選項更難以偽造，同時更容易驗證。

(2) 包裝

可以設(shè)計包裝和標簽以幫助降低假冒消費品或產(chǎn)品被盜和轉(zhuǎn)售的風險。有些包裝結(jié)構(gòu)更難復制，有些包裝帶有防盜指示封條。這些防偽技術(shù)可以減少假冒商品、未經(jīng)授權(quán)的銷售（轉(zhuǎn)移）、材料替代和篡改。包裹可能包括認證印章并使用安全印刷來幫助表明包裹和內(nèi)容物不是偽造的；這些也容易被偽造。

包裹還可以包括防盜設(shè)備，例如染料包、RFID標簽或電子物品監(jiān)控可以在出口點由設(shè)備激活或檢測到的標簽，需要專門的工具才能停用。可用于包裝的防偽技術(shù)包括：

• Taggant指紋識別 – 從數(shù)據(jù)庫驗證的唯一編碼顯微材料
• 加密微?！搜劭床坏降牟豢深A測的標記（數(shù)字、層和顏色）
• 全息圖——印在印章、貼片、箔片或標簽上的圖形，在銷售點用于目視驗證
• 微印——常用于貨幣的二線認證
• 序列化條碼
• UV 印刷 – 標記僅在紫外線下可見
• 跟蹤系統(tǒng)——使用代碼將產(chǎn)品鏈接到數(shù)據(jù)庫跟蹤系統(tǒng)
• 水指示劑 - 與水接觸時可見
• DNA 追蹤——基因嵌入到可追蹤的標簽上
• 變色墨水或膠片 – 傾斜時會切換顏色或紋理的可見標記
• 防篡改封條和膠帶——在銷售點可破壞或以圖形方式驗證
• 二維條碼——可追蹤的數(shù)據(jù)代碼
• 射頻識別芯片
• NFC芯片

信息內(nèi)容

文學贗品可能涉及模仿著名作家的風格。如果有原始手稿、打字文本或錄音，那么媒體本身（或其包裝——從盒子到電子郵件標題的任何東西）都可以幫助證明或反駁文件的真實性。但是，文本、音頻和視頻可以復制到新媒體中，可能只留下信息內(nèi)容本身用于身份驗證。已經(jīng)發(fā)明了各種系統(tǒng)以允許作者為讀者提供一種方法來可靠地驗證給定消息是否源自他們或由他們中繼。這些涉及身份驗證因素，例如：

• 難以復制的物理制品，例如印章、簽名、水印、特殊文具或指紋。
• 消息內(nèi)容中的共享密鑰，例如密碼。
• 電子簽名；公鑰基礎(chǔ)設(shè)施通常用于加密保證消息已由特定私鑰的持有者簽名。

相反的問題是剽竊的檢測，來自不同作者的信息被當作一個人自己的作品來冒充。證明抄襲的常用技術(shù)是發(fā)現(xiàn)相同或非常相似文本的另一個副本，該副本具有不同的屬性。在某些情況下，過高的質(zhì)量或風格不匹配可能會引起抄襲的懷疑。

識字和文獻鑒定

在讀寫能力中，認證是讀者質(zhì)疑文學某個方面的真實性，然后通過研究驗證這些問題的過程。文獻鑒定的基本問題是——人們相信嗎？與此相關(guān)，認證項目因此是一種閱讀和寫作活動，學生在其中記錄相關(guān)的研究過程（它培養(yǎng)學生的批判性素養(yǎng)。文獻的文獻資料超越了敘述文本，可能包括信息文本、主要來源和多媒體。該過程通常涉及互聯(lián)網(wǎng)和動手圖書館研究。特別是在驗證歷史小說時，讀者會考慮重大歷史事件以及所描繪的文化（例如，語言、服裝、食物、性別角色）在這一時期的可信度。

歷史和最新技術(shù)

從歷史上看，指紋一直被用作最權(quán)威的身份驗證方法，但美國和其他地方的法庭案件對指紋的可靠性提出了根本性的質(zhì)疑。在法律體系之外，指紋也很容易被欺騙，英國電信的高級計算機安全官員指出，“很少”指紋讀取器尚未被一種或另一種欺騙所欺騙?；旌匣騼蓪由矸蒡炞C方法提供了令人信服的解決方案，例如通過 USB 設(shè)備內(nèi)部的指紋加密的私鑰。

在計算機數(shù)據(jù)環(huán)境中，已經(jīng)開發(fā)了加密方法，當且僅當發(fā)起者的密鑰沒有被泄露時，才不可欺騙。發(fā)起者（或攻擊者以外的任何人）知道（或不知道）妥協(xié)是無關(guān)緊要的。目前尚不清楚這些基于密碼的身份驗證方法是否可以證明是安全的，因為未預料到的數(shù)學發(fā)展可能使它們在未來容易受到攻擊。如果發(fā)生這種情況，它可能會質(zhì)疑過去的大部分身份驗證。特別是，經(jīng)過數(shù)字簽名的 當發(fā)現(xiàn)對簽名基礎(chǔ)密碼學的新攻擊時，可能會質(zhì)疑合約。

授權(quán)

一名憲兵在允許她進入軍事基地之前檢查司機的身份證。

授權(quán)過程不同于身份驗證過程。認證是驗證“你就是你所說的那個人”的過程，而授權(quán)是驗證“你被允許做你想做的事”的過程。雖然授權(quán)通常在身份驗證后立即發(fā)生（例如，當?shù)卿浀接嬎銠C系統(tǒng)時），但這并不意味著授權(quán)以身份驗證為前提：匿名代理可以被授權(quán)執(zhí)行有限的操作集。

拓展：

認證（來自希臘語：α?θεντικ?? authentikos，“真實的，真實的”，來自 α?θ?ντη? authentes，“作者”）是證明斷言的行為，例如計算機系統(tǒng)用戶的身份 。與標識（表明一個人或事物的身份的行為）相反，身份驗證是驗證該身份的過程?？赡苌婕膀炞C個人身份文件，使用數(shù)字證書驗證網(wǎng)站的真實性，確定人工制品的年齡碳測年，或確保產(chǎn)品或文件不是偽造的。

方法：

身份驗證與多個字段相關(guān)。在藝術(shù)、古董和人類學中，一個常見的問題是驗證給定的人工制品是由某個人或在某個地方或某個歷史時期制作的。在計算機科學中，通常需要驗證用戶的身份以允許訪問機密數(shù)據(jù)或系統(tǒng)。

認證三種類型：

第一種身份驗證是接受由有第一手證據(jù)證明身份真實的可信人士提供的身份證明。

當需要對藝術(shù)品或?qū)嵨镞M行認證時，該證明可以是朋友、家人或同事證明該物品的出處，也許是通過目睹其創(chuàng)作者擁有的物品。對于親筆簽名的體育紀念品，這可能需要有人證明他們親眼目睹了被簽名的物品。銷售品牌商品的供應商意味著真實性，而他或她可能沒有證據(jù)證明供應鏈中的每個步驟都經(jīng)過了認證。

集中式基于權(quán)威的信任關(guān)系通過已知的公共證書權(quán)威支持最安全的互聯(lián)網(wǎng)通信；分散的基于對等的信任，也稱為web of trust，用于個人服務，例如電子郵件或文件（Pretty Good Privacy，GNU Privacy Guard ），并且信任是由已知個人在密鑰簽名方簽署彼此的加密密鑰建立的。

第二種身份驗證是將對象本身的屬性與該來源對象的已知屬性進行比較。

例如，藝術(shù)專家可能會尋找繪畫風格的相似之處，檢查簽名的位置和形式，或者將對象與舊照片進行比較。另一方面，考古學家可能會使用碳測年法驗證文物的年代，對所用材料進行化學和光譜分析，或?qū)⒔ㄖ蜓b飾風格與其他類似來源的文物進行比較。聲音和光的物理特性，以及與已知物理環(huán)境的比較，可用于檢查錄音、照片或視頻的真實性?？梢则炞C文檔是在項目隱含創(chuàng)建時隨時可用的墨水或紙張上創(chuàng)建的。屬性比較可能容易被偽造。

一般來說，它依賴于這樣一個事實，即制造與真正的人工制品無法區(qū)分的偽造品需要專業(yè)知識，容易犯錯誤，并且這樣做所需的努力遠遠大于從中獲得的利潤。偽造品。在藝術(shù)品和古董中，證書對于鑒定感興趣和有價值的對象非常重要。

然而，證書也可以被偽造，并且這些證書的身份驗證帶來了問題。例如，著名的藝術(shù)偽造者漢凡米格倫的兒子偽造了他父親的作品，并提供了出處證明；見文章雅克·范·梅格倫。對欺詐、偽造和偽造的刑事和民事處罰可以減少偽造的動機，具體取決于被抓到的風險。貨幣和其他金融工具通常使用第二種類型的驗證方法。鈔票、硬幣和支票包含難以復制的物理特征，例如精美的印刷或雕刻、獨特的手感、水印和全息圖像，訓練有素的接收者很容易驗證這些特征。

第三種身份驗證依賴于文檔或其他外部確認。

在刑事法庭，證據(jù)規(guī)則通常要求建立證據(jù)的保管鏈。這可以通過書面證據(jù)日志或由處理它的警察偵探和法醫(yī)人員的證詞來完成。一些古董附有證明其真實性的證書。簽名的體育紀念品通常附有真品證書。這些外部記錄有其自身的偽造和偽證問題，也容易與文物分離并丟失。在計算機科學中，可以根據(jù)暗示真實性的用戶憑據(jù)授予用戶訪問安全系統(tǒng)的權(quán)限。網(wǎng)絡(luò)管理員可以給用戶一個密碼，或者為用戶提供鑰匙卡或其他訪問設(shè)備以允許系統(tǒng)訪問。在這種情況下，真實性是隱含的，但不能保證。藥品、香水、時尚服裝等消費品可以使用所有三種形式的認證來防止假冒商品利用流行品牌的聲譽（損害品牌所有者的銷售和聲譽）。

如上所述，在信譽良好的商店出售商品隱含地證明它是真實的，這是第一種類型的認證。第二種類型的認證可能涉及將物品（例如昂貴的手提包）的質(zhì)量和工藝與真品進行比較。第三種認證可能是商標的存在在商品上，這是受法律保護的標記，或任何其他有助于消費者識別真正品牌商品的識別特征。借助軟件，公司已經(jīng)采取了很大的措施來防止偽造者，包括添加全息圖、安全環(huán)、安全線和變色墨水。?