用戶身份認(rèn)證是安全的第一道大門，是各種安全措施可以發(fā)揮作用的前提。最常見的身份驗證形式就是登錄密碼，密碼丟失輕則被別人輕易看到自己的隱私，重則金錢或者虛擬財產(chǎn)，譬如游戲幣、Q幣等被盜竊。那么，在我們上網(wǎng)登錄輸入密碼，在ATM柜機取款時輸入的密碼，或者我們在電腦上使用的銀行U盾，它們背后是什么在支撐呢，今天我們就給大家介紹用戶身份驗證的六大方式。

六大身份認(rèn)證解析之靜態(tài)密碼

大家經(jīng)常見到和使用的，“賬號+密碼”身份驗證方式中提及的密碼為靜態(tài)密碼，是由用戶自己設(shè)定的一串靜態(tài)數(shù)據(jù)，靜態(tài)密碼一旦設(shè)定之后，除非用戶更改，否則將保持不變。靜態(tài)密碼的安全性缺點，在于容易被偷看、猜測、字典攻擊、暴力破解、竊取、監(jiān)聽、重放攻擊、木馬攻擊等。

靜態(tài)密碼用戶的密碼是由用戶自己設(shè)定的。在網(wǎng)絡(luò)登錄時輸入正確的密碼，計算機就認(rèn)為操作者就是合法用戶。實際上，由于許多用戶為了防止忘記密碼，經(jīng)常采用諸如生日、電話號碼等容易被猜測的字符串作為密碼，或者把密碼抄在紙上放在一個自認(rèn)為安全的地方，這樣很容易造成密碼泄漏。如果密碼是靜態(tài)的數(shù)據(jù)，在驗證過程中 需要在計算機內(nèi)存中和傳輸過程可能會被木馬程序或網(wǎng)絡(luò)中截獲。因此，靜態(tài)密碼機制無論是使用還是部署都非常簡單，但從安全性上講，用戶名/密碼方式一種是不安全的身份認(rèn)證方式。

為了提高靜態(tài)密碼的安全性，用戶定期對密碼進行更改是一種保護方式，但是這又導(dǎo)致了靜態(tài)密碼在使用和管理上的困難，特別是當(dāng)一個用戶有幾個甚至幾十個密碼需要處理時，非常容易造成密碼記錯和密碼遺忘等問題，而且也很難要求所有的用戶都能夠嚴(yán)格執(zhí)行定期修改密碼的操作，即使用戶定期修改，密碼也會有相當(dāng)一段時間是固定的。從總體上來說，靜態(tài)密碼的缺點和不足主要表現(xiàn)在以下幾個方面：

(1)、靜態(tài)密碼的易用性和安全性互相排斥，兩者不能兼顧，簡單容易記憶的密碼安全性弱，復(fù)雜的靜態(tài)密碼安全性高但是不易記憶和維護；

(2)、靜態(tài)密碼安全性低，容易遭受各種形式的安全攻擊；

(3)、靜態(tài)密碼的風(fēng)險成本高，一旦泄密將可能造成最大程度的損失，而且在發(fā)生損失以前，通常不知道靜態(tài)密碼已經(jīng)泄密；

(4)、靜態(tài)密碼的使用和維護不便，特別一個用戶有幾個甚至十幾個靜態(tài)密碼需要使用和維護時，靜態(tài)密碼遺忘及遺忘以后所進行的掛失、重置等操作通常需要花費不少的時間和精力，非常影響正常的使用感受。

因此，靜態(tài)密碼機制雖然使用和部署非常簡單，但從安全性上講，靜態(tài)密碼屬于單因素的身份認(rèn)證方式，已無法滿足互聯(lián)網(wǎng)對于身份認(rèn)證安全性的需求。#p#

六大身份認(rèn)證解析之動態(tài)密碼

動態(tài)密碼目前主要有短信密碼、動態(tài)口令牌、手機令牌等幾種方式。

短信密碼以手機短信形式請求包含6位隨機數(shù)的動態(tài)密碼，身份認(rèn)證系統(tǒng)以短信形式發(fā)送隨機的6位密碼到客戶的手機上。客戶在登錄或者交易認(rèn)證時候輸入此動態(tài)密碼，從而確保系統(tǒng)身份認(rèn)證的安全性。

動態(tài)口令牌是目前最為安全的身份認(rèn)證方式，也是一種動態(tài)密碼。動態(tài)口令牌是客戶手持用來生成動態(tài)密碼的終端，主流的是基于時間同步方式的，每60秒變換一次動態(tài)口令，口令一次有效，它產(chǎn)生6位動態(tài)數(shù)字進行一次一密的方式認(rèn)證。由于它使用起來非常便捷，85%以上的世界500強企業(yè)運用它保護登錄安全，廣泛應(yīng)用在VPN、網(wǎng)上銀行、電子政務(wù)、電子商務(wù)等領(lǐng)域。

動態(tài)口令牌(OTP，One time password)，采用動態(tài)口令的認(rèn)證方式就是在每次用戶登錄時除了輸入常規(guī)的靜態(tài)口令外，還要再輸入一個每次都會變化的動態(tài)口令。這個動態(tài)口令的獲得方式有很多種，如刮刮卡式、二維矩陣卡式和電子令牌式，其中電子令牌就是我們所說的動態(tài)口令牌。

刮刮卡和二維矩陣卡都是以紙質(zhì)卡形式提供，但它們都存在著與生俱來的缺陷，刮刮卡有嚴(yán)格的使用次數(shù)限制，一般只能使用30次，而二維矩陣卡雖然可以無限次使用但很容易被復(fù)制，同動態(tài)口令牌相比刮刮卡和二維矩陣卡式都不具備時效性。

現(xiàn)在很多國外銀行和少數(shù)國內(nèi)銀行在網(wǎng)上銀行應(yīng)用中采用這種動態(tài)口令牌的方式。采用動態(tài)口令牌方式的優(yōu)點在于無須安裝軟件，操作簡單。與客戶電腦無關(guān)，不需要安裝其他任何程序即可直接使用網(wǎng)上銀行服務(wù)。一次一密，解決了客戶密碼被盜的問題。這應(yīng)該是動態(tài)口令牌在安全性方面帶來的最大好處。

手機令牌也稱手機口令牌，是用來生成動態(tài)口令的手機客戶端軟件，在生成動態(tài)口令的過程中，不會產(chǎn)生任何通信及費用，不存在通信信道中被截取的可能性，手機作為動態(tài)口令生成的載體，欠費和無信號對其不產(chǎn)生任何影響。

手機令牌具有高安全性、0成本、無需攜帶、獲取以及無物流等優(yōu)勢，相比硬件令牌更符合互聯(lián)網(wǎng)的精神，由于以上優(yōu)勢，手機令牌可能會成為3G時代動態(tài)密碼身份認(rèn)證令牌的主流形式。

手機令牌的實質(zhì)就是把動態(tài)密碼技術(shù)用手機軟件的方式實現(xiàn)，軟件啟動后，通過手機運算并在手機液晶屏幕每分鐘顯示一個不可猜測的動態(tài)密碼。手機動態(tài)密碼可在Windows Mobile、iPhone、android、symbian等手機操作系統(tǒng)運行?？勺龅矫荑€與手機捆綁。和動態(tài)令牌的硬件令牌形式一樣。#p#

六大身份認(rèn)證解析之USB KEY

USB Key是一種USB接口的硬件設(shè)備。它內(nèi)置單片機或智能卡芯片，有一定的存儲空間，可以存儲用戶的私鑰以及數(shù)字證書，利用USB Key內(nèi)置的公鑰算法實現(xiàn)對用戶身份的認(rèn)證。

USB Key(硬件數(shù)字證書載體)這是大多數(shù)國內(nèi)銀行采用的客戶端解決方案，使用USB Key存放代表用戶唯一身份數(shù)字證書和用戶私鑰。在這個基于PKI體系的整體解決方案中，用戶的私鑰是在高安全度的USB Key內(nèi)產(chǎn)生，并且終身不可導(dǎo)出到USB Key外部。

在網(wǎng)上銀行應(yīng)用中，對交易數(shù)據(jù)的數(shù)字簽名都是在USB Key內(nèi)部完成的，并受到USB Key的PIN碼保護。采用USB Key方式的優(yōu)點在于代表用戶身份的私鑰在USB Key產(chǎn)生，安全強度高。

由于用戶私鑰保存在密碼鎖中，理論上使用任何方式都無法讀取，因此保證了用戶認(rèn)證的安全性。USB Key產(chǎn)品最早是由加密鎖廠商提出來的，原先的USB加密鎖主要用于防止軟件破解和復(fù)制，保護軟件不被盜版，而USB Key的目的不同，USB Key主要用于網(wǎng)絡(luò)認(rèn)證，鎖內(nèi)主要保存數(shù)字證書和用戶私鑰。

相對來說，USB Key比較安全，但是USBKey并非絕對安全，也存在被破解的可能。USB Key網(wǎng)銀的便捷與風(fēng)險在今天這樣一個互聯(lián)網(wǎng)驅(qū)動的社會中，網(wǎng)上銀行也稱在線銀行，已經(jīng)成為金融機構(gòu)整體發(fā)展策略中不可或缺的一部分。

近年來使用網(wǎng)上銀行的用戶數(shù)量巨大增長，并且每年保持了穩(wěn)定的發(fā)展勢頭。網(wǎng)上銀行在給它的用戶帶來諸多便捷服務(wù)、給銀行節(jié)省費用支出和帶來更多利潤增長點的同時，也承受著很多安全風(fēng)險。很多銀行意識到了這一點，紛紛采取行動，包括不斷教育用戶提高自身安全意識，安裝殺毒軟件，防木馬軟件；采用硬件USB Key或者動態(tài)口令牌方式進行身份認(rèn)證等。#p#

六大身份認(rèn)證解析之智能卡(IC卡)

IC卡 (Integrated Circuit Card，集成電路卡)，有些國家和地區(qū)也稱智能卡(smart card)、智慧卡(intelligent card)、微電路卡(microcircuit card)或微芯片卡等。它是將一個微電子芯片嵌入符合ISO 7816標(biāo)準(zhǔn)的卡基中，做成卡片形式。IC卡讀寫器是IC卡與應(yīng)用系統(tǒng)間的橋梁，在ISO國際標(biāo)準(zhǔn)中稱之為接口設(shè)備IFD(Interface Device)。IFD內(nèi)CPU通過一個接口電路與IC卡相連并進行通信。IC卡接口電路是IC卡讀寫器中至關(guān)重要的部分，根據(jù)實際應(yīng)用系統(tǒng)的不同，可選擇并行通信、半雙工串行通信和I2C通信等不同的IC卡讀寫芯片。非接觸式IC卡又稱射頻卡。

智能卡(IC卡)內(nèi)置集成電路芯片，芯片中存有與用戶身份相關(guān)的數(shù)據(jù)，并封裝成外形與磁卡類似的卡片形式。智能卡由專門的廠商通過專門的設(shè)備生產(chǎn)，是不可復(fù)制的硬件。智能卡由合法用戶隨身攜帶，登錄時必須將智能卡插入專用的讀卡器讀取其中的信息，以驗證用戶的身份。

智能卡(IC卡)從根本上提高銀行卡的安全性。由于以前銀行磁條卡技術(shù)簡單，磁條信息易被復(fù)制，使用磁條信息盜錄裝置復(fù)制銀行卡磁道信息，通過網(wǎng)上銀行等電子渠道竊取持卡人敏感信息，通過針孔攝像機在ATM終端上偷錄持卡人密碼等事件，以及偽造磁卡條、盜用磁卡信息的案件頻繁發(fā)生，給持卡人和發(fā)卡機構(gòu)造成巨額損失。世界各地的實踐經(jīng)驗表明，在推廣使用IC卡后，這類案件就會大幅下降， 　　2、有利于商業(yè)銀行的業(yè)務(wù)創(chuàng)新。相比銀行磁條卡存儲空間小，無運算能力，金融IC卡具備多應(yīng)用加載平臺，可豐富銀行卡產(chǎn)品系列，稱為商業(yè)銀行業(yè)務(wù)創(chuàng)新的重要手段。

智能卡認(rèn)證是通過智能卡硬件不可復(fù)制來保證用戶身份不會被仿冒。然而由于每次從智能卡中讀取的數(shù)據(jù)是靜態(tài)的，通過內(nèi)存掃描或網(wǎng)絡(luò)監(jiān)聽等技術(shù)還是很容易截取到用戶的身份驗證信息，因此還是存在安全隱患。

另外，智能卡需要配合讀卡器使用，因此無論在易用性，還是在成本方面，都比動態(tài)令牌稍遜一籌。#p#

六大身份認(rèn)證解析之?dāng)?shù)字證書

數(shù)字證書是一種權(quán)威性的電子文檔，由權(quán)威公正的第三方機構(gòu)，即CA中心簽發(fā)的證書。

它以數(shù)字證書為核心的加密技術(shù)可以對網(wǎng)絡(luò)上傳輸?shù)男畔⑦M行加密和解密、數(shù)字簽名和簽名驗證，確保網(wǎng)上傳遞信息的機密性、完整性。使用了數(shù)字證書，即使您發(fā)送的信息在網(wǎng)上被他人截獲，甚至您丟失了個人的賬戶、密碼等信息，仍可以保證您的賬戶、資金安全。

它能提供在Internet上進行身份驗證的一種權(quán)威性電子文檔，人們可以在互聯(lián)網(wǎng)交往中用它來證明自己的身份和識別對方的身份。當(dāng)然在數(shù)字證書認(rèn)證的過程中證書認(rèn)證中心（CA）作為權(quán)威的、公正的、可信賴的第三方，其作用是至關(guān)重要的.如何判斷數(shù)字認(rèn)證中心公正第三方的地位是權(quán)威可信的，國家工業(yè)和信息化部以資質(zhì)合規(guī)的方式，陸續(xù)向天威誠信數(shù)字認(rèn)證中心等30家相關(guān)機構(gòu)頒發(fā)了從業(yè)資質(zhì)。

由于Internet網(wǎng)電子商務(wù)系統(tǒng)技術(shù)使在網(wǎng)上購物的顧客能夠極其方便輕松地獲得商家和企業(yè)的信息，但同時也增加了對某些敏感或有價值的數(shù)據(jù)被濫用的風(fēng)險. 為了保證互聯(lián)網(wǎng)上電子交易及支付的安全性，保密性等，防范交易及支付過程中的欺詐行為，必須在網(wǎng)上建立一種信任機制。這就要求參加電子商務(wù)的買方和賣方都必須擁有合法的身份，并且在網(wǎng)上能夠有效無誤的被進行驗證。

數(shù)字證書可用于：發(fā)送安全電子郵件、訪問安全站點、網(wǎng)上證券交易、網(wǎng)上招標(biāo)采購、網(wǎng)上辦公、網(wǎng)上保險、網(wǎng)上稅務(wù)、網(wǎng)上簽約和網(wǎng)上銀行等安全電子事務(wù)處理和安全電子交易活動。

基于數(shù)字證書的應(yīng)用角度分類，數(shù)字證書可以分為以下幾種：

服務(wù)器證書（SSL證書）：服務(wù)器證書被安裝于服務(wù)器設(shè)備上，用來證明服務(wù)器的身份和進行通信加密。服務(wù)器證書可以用來防止欺詐釣魚站點。

在服務(wù)器上安裝服務(wù)器證書后，客戶端瀏覽器可以與服務(wù)器證書建立SSL連接，在SSL連接上傳輸?shù)娜魏螖?shù)據(jù)都會被加密。同時，瀏覽器會自動驗證服務(wù)器證書是否有效，驗證所訪問的站點是否是假冒站點，服務(wù)器證書保護的站點多被用來進行密碼登錄、訂單處理、網(wǎng)上銀行交易等。全球知名的服務(wù)器證書品牌有Globlesign，Verisign， Thawte， Geotrust等。

SSL證書主要用于服務(wù)器(應(yīng)用)的數(shù)據(jù)傳輸鏈路加密和身份認(rèn)證，綁定網(wǎng)站域名，不同的產(chǎn)品對于不同價值的數(shù)據(jù)和要求不同的身份認(rèn)證。

最新的高端SSL證書產(chǎn)品是擴展驗證（EV）SSL證書。在IE7.0、FireFox3.0、Opera 9.5等新一代高安全瀏覽器下，使用擴展驗證VeriSign（EV）SSL證書的網(wǎng)站的瀏覽器地址欄會自動呈現(xiàn)綠色，從而清晰地告訴用戶正在訪問的網(wǎng)站是經(jīng)過嚴(yán)格認(rèn)證的。

電子郵件證書：電子郵件證書可以用來證明電子郵件發(fā)件人的真實性。它并不證明數(shù)字證書上面CN一項所標(biāo)識的證書所有者姓名的真實性，它只證明郵件地址的真實性。 　　收到具有有效電子簽名的電子郵件，我們除了能相信郵件確實由指定郵箱發(fā)出外，還可以確信該郵件從被發(fā)出后沒有被篡改過。

另外，使用接收的郵件證書，我們還可以向接收方發(fā)送加密郵件。該加密郵件可以在非安全網(wǎng)絡(luò)傳輸，只有接收方的持有者才可能打開該郵件。

客戶端個人證書：客戶端證書主要被用來進行身份驗證和電子簽名。

安全的客戶端證書我被存儲于專用的usbkey中。存儲于key中的證書不能被導(dǎo)出或復(fù)制，且key使用時需要輸入key的保護密碼。使用該證書需要物理上獲得其存儲介質(zhì)usbkey，且需要知道key的保護密碼，這也被稱為雙因子認(rèn)證。這種認(rèn)證手段是目前在internet最安全的身份認(rèn)證手段之一。key的種類有多種，指紋識別、第三鍵確認(rèn)，語音報讀，以及帶顯示屏的專用usbkey和普通usbkey等。

目前的數(shù)字證書在廣義上可分為：個人數(shù)字證書、單位數(shù)字證書、單位員工數(shù)字證書、服務(wù)器證書、VPN證書、WAP證書、代碼簽名證書和表單簽名證書。#p#

六大身份認(rèn)證解析之生物識別技術(shù)

生物識別技術(shù)是通過可測量的身體或行為等生物特征進行身份認(rèn)證的一種技術(shù)。生物特征是指唯一的可以測量或可自動識別和驗證的生理特征或行為方式。

生物特征分為身體特征和行為特征兩類。身體特征包括：聲紋(d-ear)、指紋、掌型、視網(wǎng)膜、虹膜、人體氣味、臉型、手的血管和DNA等；行為特征包括：簽名、語音、行走步態(tài)等。目前部分學(xué)者將視網(wǎng)膜識別、虹膜識別和指紋識別等歸為高級生物識別技術(shù)；將掌型識別、臉型識別、語音識別和簽名識別等歸為次級生物識別技術(shù)；將血管紋理識別、人體氣味識別、 DNA識別等歸為“深奧的”生物識別技術(shù)，指紋識別技術(shù)目前應(yīng)用廣泛的領(lǐng)域有門禁系統(tǒng)、微型支付等。

采用生物識別技術(shù)進行身份認(rèn)證時，必須在客戶端安裝采集生理特征或行為方式的輸入設(shè)備，它可能會存在誤認(rèn)和誤拒的現(xiàn)象，可能會導(dǎo)致正確的用戶被拒絕訪問，而非法用戶被允許訪問等情況的發(fā)生。同時，它的應(yīng)用范圍也有所限制，例如指紋、虹膜等識別技術(shù)就無法用在電話委托系統(tǒng)、電視遙控器等應(yīng)用中。