身份认证

身份认证的基本方式基本方式可以基于下述一个或几个因素的组合

• 所知（Knowledge）：即用户所知道的或所掌握的知识，如口令；

• 所有（Possesses）：用户所拥有的某个秘密信息，如智能卡中存储的用户个人化参数，访问系统资源时必须要有智能卡；
• 特征（Characteristics）：用户所具有的生物及动作特征，如指纹、声音、视网膜扫描等。
  根据在认证中采用的因素的多少，可以分为单因素认证、双因素认证、多因素认证等方法。身份认证系统所采用的方法考虑因素越多，认证的可靠性就越高。 [http://www.h3c.com.cn/MiniSite/Technology_Circle/Net_Reptile/The_Seven/Home/Catalog/201309/797635_97665_0.htm]

一般而言，用于用户身份认证的技术分为两类：简单认证机制和强认证机制。
简单的认证中认证方只对被认证方的名字和口令进行一致性的验证。由于明文的密码在网上传输极容易被窃听，一般解决办法是使用一次性口令（OTP，One-Time Password）机制。这种机制的最大优势是无需在网上传输用户的真实口令，并且由于具有一次性的特点，可以有效防止重放攻击。RADIUS协议就是属于这种类型的认证协议。
强认证机制一般将运用多种加密手段来保护认证过程中相互交换的信息，其中，Kerberos协议是此类认证协议中比较完善、较具优势的协议，得到了广泛的应用。

1.分类的依据

• 1.1基本方式

• 所知：静态口令
• 所有：动态口令，数字证书，USBKEY,eID，日志审计
• 特征：人脸识别

• 2.2技术的破解成本：

根据技术规范要求和指标，参数

认证机制;

静态口令：
用户在输入口令时，也会存在安全风险。
1.通过键盘上的手势就大致能够猜出输入的口令。
2.本地计算机的木马程序，或者键盘监控程序，可以将用户输入的口令记录下来。
3.用户的用户名和口令的长度是有限的，很容易通过字典攻击的方式进行破解。
不足：使用静态口令仅仅实现了身份认证环节的基本需求，
无法实现其他的安全需求，如加密、信息完整、数字签名等对于
安全级别要求不高的系统，可以采用静态口令的方式来认证用户
的身份，对于高安全性要求的系统，不能够采用静态口令方式。
动态口令：USBKEY，手机令牌
对传统的静态口令技术的改进，它采用双因数认证的原理动态口令方式解决了静态口令存在的安全弱点，
在身份认证方面提供了静态口令固有的安全漏洞，但是，使用动态口令不能实现数据加密、保障数据完整
和数字签名等。如果想解决这些问题，可采用更先进的安全机制，如数字证书和公钥技术
硬件令牌：USBKEY，EID
（1）需随身携带，如遗忘则无法完成认证；
（2）36个月寿命，需更换，增加运维开销；
(3)USB KEY在使用时需要在客户端安装软件，且需要插入到客户端才能使用，对客户端的接口有限制
所以应用范围也受到了限制
软件令牌：手机令牌，短信验证码，数字证书
方便快捷，http://sec.chinabyte.com/353/12114853.shtml
生物识别技术：
采用生物识别技术进行身份认证时，必须在客户端安装采集生理特征或行为方式的输入设备，它可能
会存在误认和误拒的现象，可能会导致正确的用户被拒绝访问，而非法用户被允许访问等情况的发生。
同时，它的应用范围也有所限制，例如指纹、虹膜等识别技术就无法用在电话委托系统、电视遥控器
等应用中。