用户名/密码方式 　　用户名/密码是最简单也是最常用的身份认证方法，是基于“what you　know”的验证手段。每个用户的密码是由用户自己设定的，只有用户自己才知道。只要能够正确输入密码，计算机就认为操作者就是合法用户。实际上，由于许多用户为了防止忘记密码，经常采用诸如生日、电话号码等容易被猜测的字符串作为密码，或者把密码抄在纸上放在一个自认为安全的地方，这样很容易造成密码泄漏。即使能保证用户密码不被泄漏，由于密码是静态的数据，在验证过程中需要在计算机内存中和网络中传输，而每次验证使用的验证信息都是相同的，很容易被驻留在计算机内存中的木马程序或网络中的监听设备截获。因此用户名/密码方式一种是极不安全的身份认证方式。 IC卡认证 　　智能卡的英文名称有“smart card”与“integrated circuit card”，后者经常译作集成电路卡，简称IC卡。IC卡是由专门的厂商通过专门的设备生产，不可复制的硬件。它把集成电路芯片封装入塑料基片中，厚度为0.76~0.80mm。IC卡芯片可以写入数据与存贮数据，根据芯片功能的差别，可以将其分为三类：（1 ）存储型：卡内集成电路为电可擦的可编程只读存储器（EEPROM）。（2 ）逻辑加密型：卡内集成电路具有加密逻辑和EEPROM。（3） CPU型卡：集成电路包括CPU 、EPROM 、随机存储器（RAM ）以及固化在只读存储器（ROM ）中的卡内操作系统COS （chip operating　system）从对IC卡上进行信息存储和处理的方式来看可以分为接触卡和感应卡。前者由读写设备的接触片上的触点相接触接通电路进行信息读写，后者通过非接触式的技术进行信息读写。 　　IC卡通过在芯片中存有与用户身份相关的数据，由合法用户随身携带，登录时必须将IC卡插入专用的读卡器读取其中的信息，以验证用户的身份。IC卡认证是基于“what you have”的手段，通过IC卡硬件不可复制来保证用户身份不会被仿冒。然而由于每次从IC卡中读取的数据是静态的，通过内存扫描或网络监听等技术还是很容易截取到用户的身份验证信息。 动态口令 　　动态口令技术是一种让用户密码按照时间或使用次数不断变化、每个密码只能使用一次的技术。它采用一种叫作动态令牌的专用硬件，内置电源、密码生成芯片和显示屏，密码生成芯片运行专门的密码算法，根据当前时间或使用次数生成当前密码并显示在显示屏上。认证服务器采用相同的算法计算当前的有效密码。用户使用时只需要将动态令牌上显示的当前密码输入客户端计算机，即可实现身份认证。由于每次使用的密码必须由动态令牌来产生，只有合法用户才持有该硬件，所以只要通过密码验证就可以认为该用户的身份是可靠的。而用户每次使用的密码都不相同，即使黑客截获了一次密码，也无法利用这个密码来仿冒合法用户的身份。 　　动态口令系统通常由客户端的动态口令卡和安全认证服务器以及应用程序代理（agent）三部分组成。 　　每个动态口令卡保存有用户密钥，动态口令卡ID号。卡中的时钟计数器（T）每隔1秒自动加1，每64秒用用户密钥与ID号自动运算加密算法，加密时钟计数器T得出一个8位的字符串显示在液晶显示器上，并保存在RAM中，每到64秒刷新一次。 　　客户输入所有信息被送到后台服务器，后台服务器将客户ID和动态口令D传送到安全认证服务器，安全认证服务器根据客户ID从用户数据库中调出该用户的用户密钥、卡初始化时间t和ID号，用用户密钥和ID号将接收到的口令字进行脱密变换，将脱密得到的时间参数于系统时间进行比较，考虑通信延迟及时钟误差作出接受或拒绝的判断。 　　动态口令技术采用一次一密的方法，有效保证了用户身份的安全性。但是如果客户端与服务器端的时间或次数不能保持良好的同步，就可能发生合法用户无法登录的问题。并且用户每次登录时需要通过键盘输入一长串无规律的密码，一旦输错就要重新操作，性受到影响。 USB Key认证 　　USB Key身份认证是采用软硬件相结合、一次一密的强双因子认证模式。USB Key是一种USB接口的硬件设备，它内置单片机或智能卡芯片，可以存储用户的密钥或数字证书，利用USB Key内置的密码算法实现对用户身份的认证。基于USB　Key身份认证系统主要有两种应用模式：一是基于冲击/响应的认证模式，二是基于PKI体系的认证模式。 　　每个USB Key硬件都具有用户PIN码，以实现双因子认证功能。USB Key内置单向散列算法（MD5），预先在USB Key和服务器中存储一个证明用户身份的密钥，当需要在网络上验证用户身份时，先由客户端向服务器发出一个验证请求。服务器接到此请求后生成一个随机数并通过网络传输给客户端（此为冲击）。客户端将收到的随机数提供给插在客户端上的USB　Key，由USB Key使用该随机数与存储在USB　Key中的密钥进行带密钥的单向散列运算（HMAC-MD5）并得到一个结果作为认证证据传送给服务器（此为响应）。与此同时，服务器使用该随机数与存储在服务器数据库中的该客户密钥进行HMAC-MD5运算，如果服务器的运算结果与客户端传回的响应结果相同，则认为客户端是一个合法用户，原理如下图所示。 　　冲击响应模式可以保证用户身份不被仿冒，却无法保护用户数据在网络传输过程中的安全。而基于PKI（Public Key　Infrastructure，公钥基础设施）构架的数字证书认证方式可以有效保证用户的身份安全和数据安全。数字证书是由可信任的第三方认证机构颁发的一组包含用户身份信息（密钥）的数据结构，PKI体系通过采用加密算法构建了一套完善的流程，保证数字证书持有人的身份安全。然而，数字证书本身也是一种数字身份，还是存在被复制的危险。使用USB Key可以保障数字证书无法被复制，所有密钥运算由USB Key实现，用户密钥不在计算机内存出现也不在网络中传播，只有USB Key的持有人才能够对数字证书进行操作。 生物特征认证 　　生物特征认证是指采用每个人独一无二的生物特征来验证用户身份的技术。常见的有指纹识别、虹膜识别等。从理论上说，生物特征认证是最可靠的身份认证方式，因为它直接使用人的物理特征来表示每一个人的数字身份，不同的人具有不同的生物特征，因此几乎不可能被仿冒。 　　近年来，随着计算机技术和其他相关技术的发展创造的有利条件，生物识别技术得到了迅速发展。在网络环境下的身份认证系统中，应用指纹作为身份确认依据是理想的方法。原因在于： 　　指纹是独一无二的，不存在相同的指纹，这样可以保证被认证对象与需要验证的身份依据之间严格的一一对应关系。指纹是相对固定的，很难发生变化，可以保证用户安全信息的长期有效性。而人脸的特征则易受外界的影响而变化，如表情、眼镜、胡须等，识别难度大；另外由于人脸的特征比较复杂，特征提取工作很难准确进行。 　　扫描指纹的速度很快，使用非常方便，便于获取指纹样本，易于开发认证系统，实用性强，而且指纹仪也较易实现。而视网膜不仅难于采样，也没有形成标准的样本库供开发者使用。 　　一个人的十指指纹皆不相同，可以方便地利用多个指纹，提高系统的安全性，也不会增加系统的设计负担。 　　指纹识别中使用的模板并非最初的指纹图，而是从指纹图中提取的关键特征，这样可使系统模板库的存储量减小。另外，对输入的指纹图提取关键特征后，可以大大减少网络传输的负担，便于实现指纹异地匹配。 　　随着固体传感器技术的发展，指纹传感器的价格正逐渐下降，在许多应用中基于指纹的生物认证系统的成本是可以承受的。 　　指纹识别技术主要涉及指纹图像采集、指纹图像处理、特征提取、保存数据、特征值的比对和匹配等过程。首先，通过指纹读取设备读取到人体指纹图像，并对原始图像进行初步的处理，使之更清晰。然后，指纹辨识算法建立指纹的数字表示———特征数据，这是一种单方向的转换，可以从指纹转换成特征数据但不能从特征数据转换成指纹，而且两枚不同的指纹产生不同的特征数据。特征文件存储从指纹上找到被称为“细节点”(minutiae)的数据点，也就是那些指纹纹路的分叉点或末梢点。这些数据通常称为模板。最后，通过计算机把两个指纹的模板进行比较，计算出它们的相似程度，得到两个指纹的匹配结果。 要确保基于指纹特征的用户身份认证系统的整体安全性，必须对基于指纹特征的网络身份认证方案设计一个安全的身份认证协议。良好的身份认证协议应该满足以下几个要求： 　　能够准确识别被认证对象的身份； 　　能够明确重要事件的责任人，并实现签名，避免事后抵赖； 　　能够保障数据在存储和传送时的安全。 　　基于指纹的电子商务身份认证系统与已经广泛使用的指纹锁和指纹登录系统等应用在系统结构和认证方式上有很大不同。在一般的应用情况下，指纹图像或模板实现存入本地指纹模板库，在使用时用户经指纹仪读入指纹图像，经处理后在本地匹配，匹配的结果决定用户是否合法。在网络环境下(B/S结构)，用户(客户端)如果要访问远程服务器所管理的信息资源，在获得相关资源访问权限之前，必须通过指纹身份认证，所有的信息资源访问权限都在身份认证系统(服务器端)管理之下，未通过身份认证的用户不能访问信息资源。为增强系统安全性，在客户端和服务器之间传输的所有数据包括指纹模板、用户的访问请求、服务器的反馈信息都要经过加密。同时，指纹模板及相关的用户认证、注册信息都保存在一个本地安全数据库中，此数据库只有本地进程能访问，以防用户信息泄漏。 　　当模板内置于服务器时，通过客户端的指纹传感器获得用户的指纹信息，该信息被加上数字签名后传送到服务器，在服务器首先校验签名是否有效，再与预先注册的模板进行比较，并完成身份认证。 　所属分类：指纹知识