用戶身份認證是安全的第一道大門，是各種安全措施可以發揮作用的前提。最常見的身份驗證形式就是登錄密碼，密碼丟失輕則被別人輕易看到自己的隱私，重則金錢或者虛擬財產，譬如游戲幣、Q幣等被盜竊。那么，在我們上網登錄輸入密碼，在ATM柜機取款時輸入的密碼，或者我們在電腦上使用的銀行U盾，它們背后是什么在支撐呢，今天我們就給大家介紹用戶身份驗證的六大方式。

六大身份認證解析之靜態密碼

大家經常見到和使用的，“賬號+密碼”身份驗證方式中提及的密碼為靜態密碼，是由用戶自己設定的一串靜態數據，靜態密碼一旦設定之后，除非用戶更改，否則將保持不變。靜態密碼的安全性缺點，在于容易被偷看、猜測、字典攻擊、暴力破解、竊取、監聽、重放攻擊、木馬攻擊等。

靜態密碼用戶的密碼是由用戶自己設定的。在網絡登錄時輸入正確的密碼，計算機就認為操作者就是合法用戶。實際上，由于許多用戶為了防止忘記密碼，經常采用諸如生日、電話號碼等容易被猜測的字符串作為密碼，或者把密碼抄在紙上放在一個自認為安全的地方，這樣很容易造成密碼泄漏。如果密碼是靜態的數據，在驗證過程中 需要在計算機內存中和傳輸過程可能會被木馬程序或網絡中截獲。因此，靜態密碼機制無論是使用還是部署都非常簡單，但從安全性上講，用戶名/密碼方式一種是不安全的身份認證方式。

為了提高靜態密碼的安全性，用戶定期對密碼進行更改是一種保護方式，但是這又導致了靜態密碼在使用和管理上的困難，特別是當一個用戶有幾個甚至幾十個密碼需要處理時，非常容易造成密碼記錯和密碼遺忘等問題，而且也很難要求所有的用戶都能夠嚴格執行定期修改密碼的操作，即使用戶定期修改，密碼也會有相當一段時間是固定的。從總體上來說，靜態密碼的缺點和不足主要表現在以下幾個方面：

(1)、靜態密碼的易用性和安全性互相排斥，兩者不能兼顧，簡單容易記憶的密碼安全性弱，復雜的靜態密碼安全性高但是不易記憶和維護；

(2)、靜態密碼安全性低，容易遭受各種形式的安全攻擊；

(3)、靜態密碼的風險成本高，一旦泄密將可能造成最大程度的損失，而且在發生損失以前，通常不知道靜態密碼已經泄密；

(4)、靜態密碼的使用和維護不便，特別一個用戶有幾個甚至十幾個靜態密碼需要使用和維護時，靜態密碼遺忘及遺忘以后所進行的掛失、重置等操作通常需要花費不少的時間和精力，非常影響正常的使用感受。

因此，靜態密碼機制雖然使用和部署非常簡單，但從安全性上講，靜態密碼屬于單因素的身份認證方式，已無法滿足互聯網對于身份認證安全性的需求。#p#

六大身份認證解析之動態密碼

動態密碼目前主要有短信密碼、動態口令牌、手機令牌等幾種方式。

短信密碼以手機短信形式請求包含6位隨機數的動態密碼，身份認證系統以短信形式發送隨機的6位密碼到客戶的手機上。客戶在登錄或者交易認證時候輸入此動態密碼，從而確保系統身份認證的安全性。

動態口令牌是目前最為安全的身份認證方式，也是一種動態密碼。動態口令牌是客戶手持用來生成動態密碼的終端，主流的是基于時間同步方式的，每60秒變換一次動態口令，口令一次有效，它產生6位動態數字進行一次一密的方式認證。由于它使用起來非常便捷，85%以上的世界500強企業運用它保護登錄安全，廣泛應用在VPN、網上銀行、電子政務、電子商務等領域。

動態口令牌(OTP，One time password)，采用動態口令的認證方式就是在每次用戶登錄時除了輸入常規的靜態口令外，還要再輸入一個每次都會變化的動態口令。這個動態口令的獲得方式有很多種，如刮刮卡式、二維矩陣卡式和電子令牌式，其中電子令牌就是我們所說的動態口令牌。

刮刮卡和二維矩陣卡都是以紙質卡形式提供，但它們都存在著與生俱來的缺陷，刮刮卡有嚴格的使用次數限制，一般只能使用30次，而二維矩陣卡雖然可以無限次使用但很容易被復制，同動態口令牌相比刮刮卡和二維矩陣卡式都不具備時效性。

現在很多國外銀行和少數國內銀行在網上銀行應用中采用這種動態口令牌的方式。采用動態口令牌方式的優點在于無須安裝軟件，操作簡單。與客戶電腦無關，不需要安裝其他任何程序即可直接使用網上銀行服務。一次一密，解決了客戶密碼被盜的問題。這應該是動態口令牌在安全性方面帶來的最大好處。

手機令牌也稱手機口令牌，是用來生成動態口令的手機客戶端軟件，在生成動態口令的過程中，不會產生任何通信及費用，不存在通信信道中被截取的可能性，手機作為動態口令生成的載體，欠費和無信號對其不產生任何影響。

手機令牌具有高安全性、0成本、無需攜帶、獲取以及無物流等優勢，相比硬件令牌更符合互聯網的精神，由于以上優勢，手機令牌可能會成為3G時代動態密碼身份認證令牌的主流形式。

手機令牌的實質就是把動態密碼技術用手機軟件的方式實現，軟件啟動后，通過手機運算并在手機液晶屏幕每分鐘顯示一個不可猜測的動態密碼。手機動態密碼可在Windows Mobile、iPhone、android、symbian等手機操作系統運行。可做到密鑰與手機捆綁。和動態令牌的硬件令牌形式一樣。#p#

六大身份認證解析之USB KEY

USB Key是一種USB接口的硬件設備。它內置單片機或智能卡芯片，有一定的存儲空間，可以存儲用戶的私鑰以及數字證書，利用USB Key內置的公鑰算法實現對用戶身份的認證。

USB Key(硬件數字證書載體)這是大多數國內銀行采用的客戶端解決方案，使用USB Key存放代表用戶唯一身份數字證書和用戶私鑰。在這個基于PKI體系的整體解決方案中，用戶的私鑰是在高安全度的USB Key內產生，并且終身不可導出到USB Key外部。

在網上銀行應用中，對交易數據的數字簽名都是在USB Key內部完成的，并受到USB Key的PIN碼保護。采用USB Key方式的優點在于代表用戶身份的私鑰在USB Key產生，安全強度高。

由于用戶私鑰保存在密碼鎖中，理論上使用任何方式都無法讀取，因此保證了用戶認證的安全性。USB Key產品最早是由加密鎖廠商提出來的，原先的USB加密鎖主要用于防止軟件破解和復制，保護軟件不被盜版，而USB Key的目的不同，USB Key主要用于網絡認證，鎖內主要保存數字證書和用戶私鑰。

相對來說，USB Key比較安全，但是USBKey并非絕對安全，也存在被破解的可能。USB Key網銀的便捷與風險在今天這樣一個互聯網驅動的社會中，網上銀行也稱在線銀行，已經成為金融機構整體發展策略中不可或缺的一部分。

近年來使用網上銀行的用戶數量巨大增長，并且每年保持了穩定的發展勢頭。網上銀行在給它的用戶帶來諸多便捷服務、給銀行節省費用支出和帶來更多利潤增長點的同時，也承受著很多安全風險。很多銀行意識到了這一點，紛紛采取行動，包括不斷教育用戶提高自身安全意識，安裝殺毒軟件，防木馬軟件；采用硬件USB Key或者動態口令牌方式進行身份認證等。#p#

六大身份認證解析之智能卡(IC卡)

IC卡 (Integrated Circuit Card，集成電路卡)，有些國家和地區也稱智能卡(smart card)、智慧卡(intelligent card)、微電路卡(microcircuit card)或微芯片卡等。它是將一個微電子芯片嵌入符合ISO 7816標準的卡基中，做成卡片形式。IC卡讀寫器是IC卡與應用系統間的橋梁，在ISO國際標準中稱之為接口設備IFD(Interface Device)。IFD內CPU通過一個接口電路與IC卡相連并進行通信。IC卡接口電路是IC卡讀寫器中至關重要的部分，根據實際應用系統的不同，可選擇并行通信、半雙工串行通信和I2C通信等不同的IC卡讀寫芯片。非接觸式IC卡又稱射頻卡。

智能卡(IC卡)內置集成電路芯片，芯片中存有與用戶身份相關的數據，并封裝成外形與磁卡類似的卡片形式。智能卡由專門的廠商通過專門的設備生產，是不可復制的硬件。智能卡由合法用戶隨身攜帶，登錄時必須將智能卡插入專用的讀卡器讀取其中的信息，以驗證用戶的身份。

智能卡(IC卡)從根本上提高銀行卡的安全性。由于以前銀行磁條卡技術簡單，磁條信息易被復制，使用磁條信息盜錄裝置復制銀行卡磁道信息，通過網上銀行等電子渠道竊取持卡人敏感信息，通過針孔攝像機在ATM終端上偷錄持卡人密碼等事件，以及偽造磁卡條、盜用磁卡信息的案件頻繁發生，給持卡人和發卡機構造成巨額損失。世界各地的實踐經驗表明，在推廣使用IC卡后，這類案件就會大幅下降， 　　2、有利于商業銀行的業務創新。相比銀行磁條卡存儲空間小，無運算能力，金融IC卡具備多應用加載平臺，可豐富銀行卡產品系列，稱為商業銀行業務創新的重要手段。

智能卡認證是通過智能卡硬件不可復制來保證用戶身份不會被仿冒。然而由于每次從智能卡中讀取的數據是靜態的，通過內存掃描或網絡監聽等技術還是很容易截取到用戶的身份驗證信息，因此還是存在安全隱患。

另外，智能卡需要配合讀卡器使用，因此無論在易用性，還是在成本方面，都比動態令牌稍遜一籌。#p#

六大身份認證解析之數字證書

數字證書是一種權威性的電子文檔，由權威公正的第三方機構，即CA中心簽發的證書。

它以數字證書為核心的加密技術可以對網絡上傳輸的信息進行加密和解密、數字簽名和簽名驗證，確保網上傳遞信息的機密性、完整性。使用了數字證書，即使您發送的信息在網上被他人截獲，甚至您丟失了個人的賬戶、密碼等信息，仍可以保證您的賬戶、資金安全。

它能提供在Internet上進行身份驗證的一種權威性電子文檔，人們可以在互聯網交往中用它來證明自己的身份和識別對方的身份。當然在數字證書認證的過程中證書認證中心（CA）作為權威的、公正的、可信賴的第三方，其作用是至關重要的.如何判斷數字認證中心公正第三方的地位是權威可信的，國家工業和信息化部以資質合規的方式，陸續向天威誠信數字認證中心等30家相關機構頒發了從業資質。

由于Internet網電子商務系統技術使在網上購物的顧客能夠極其方便輕松地獲得商家和企業的信息，但同時也增加了對某些敏感或有價值的數據被濫用的風險. 為了保證互聯網上電子交易及支付的安全性，保密性等，防范交易及支付過程中的欺詐行為，必須在網上建立一種信任機制。這就要求參加電子商務的買方和賣方都必須擁有合法的身份，并且在網上能夠有效無誤的被進行驗證。

數字證書可用于：發送安全電子郵件、訪問安全站點、網上證券交易、網上招標采購、網上辦公、網上保險、網上稅務、網上簽約和網上銀行等安全電子事務處理和安全電子交易活動。

基于數字證書的應用角度分類，數字證書可以分為以下幾種：

服務器證書（SSL證書）：服務器證書被安裝于服務器設備上，用來證明服務器的身份和進行通信加密。服務器證書可以用來防止欺詐釣魚站點。

在服務器上安裝服務器證書后，客戶端瀏覽器可以與服務器證書建立SSL連接，在SSL連接上傳輸的任何數據都會被加密。同時，瀏覽器會自動驗證服務器證書是否有效，驗證所訪問的站點是否是假冒站點，服務器證書保護的站點多被用來進行密碼登錄、訂單處理、網上銀行交易等。全球知名的服務器證書品牌有Globlesign，Verisign， Thawte， Geotrust等。

SSL證書主要用于服務器(應用)的數據傳輸鏈路加密和身份認證，綁定網站域名，不同的產品對于不同價值的數據和要求不同的身份認證。

最新的高端SSL證書產品是擴展驗證（EV）SSL證書。在IE7.0、FireFox3.0、Opera 9.5等新一代高安全瀏覽器下，使用擴展驗證VeriSign（EV）SSL證書的網站的瀏覽器地址欄會自動呈現綠色，從而清晰地告訴用戶正在訪問的網站是經過嚴格認證的。

電子郵件證書：電子郵件證書可以用來證明電子郵件發件人的真實性。它并不證明數字證書上面CN一項所標識的證書所有者姓名的真實性，它只證明郵件地址的真實性。 　　收到具有有效電子簽名的電子郵件，我們除了能相信郵件確實由指定郵箱發出外，還可以確信該郵件從被發出后沒有被篡改過。

另外，使用接收的郵件證書，我們還可以向接收方發送加密郵件。該加密郵件可以在非安全網絡傳輸，只有接收方的持有者才可能打開該郵件。

客戶端個人證書：客戶端證書主要被用來進行身份驗證和電子簽名。

安全的客戶端證書我被存儲于專用的usbkey中。存儲于key中的證書不能被導出或復制，且key使用時需要輸入key的保護密碼。使用該證書需要物理上獲得其存儲介質usbkey，且需要知道key的保護密碼，這也被稱為雙因子認證。這種認證手段是目前在internet最安全的身份認證手段之一。key的種類有多種，指紋識別、第三鍵確認，語音報讀，以及帶顯示屏的專用usbkey和普通usbkey等。

目前的數字證書在廣義上可分為：個人數字證書、單位數字證書、單位員工數字證書、服務器證書、VPN證書、WAP證書、代碼簽名證書和表單簽名證書。#p#

六大身份認證解析之生物識別技術

生物識別技術是通過可測量的身體或行為等生物特征進行身份認證的一種技術。生物特征是指唯一的可以測量或可自動識別和驗證的生理特征或行為方式。

生物特征分為身體特征和行為特征兩類。身體特征包括：聲紋(d-ear)、指紋、掌型、視網膜、虹膜、人體氣味、臉型、手的血管和DNA等；行為特征包括：簽名、語音、行走步態等。目前部分學者將視網膜識別、虹膜識別和指紋識別等歸為高級生物識別技術；將掌型識別、臉型識別、語音識別和簽名識別等歸為次級生物識別技術；將血管紋理識別、人體氣味識別、 DNA識別等歸為“深奧的”生物識別技術，指紋識別技術目前應用廣泛的領域有門禁系統、微型支付等。

采用生物識別技術進行身份認證時，必須在客戶端安裝采集生理特征或行為方式的輸入設備，它可能會存在誤認和誤拒的現象，可能會導致正確的用戶被拒絕訪問，而非法用戶被允許訪問等情況的發生。同時，它的應用范圍也有所限制，例如指紋、虹膜等識別技術就無法用在電話委托系統、電視遙控器等應用中。