身份認(rèn)證，在社會(huì)生活的安全體系中，無(wú)疑是最核心的一環(huán)。連小沈陽(yáng)上臺(tái)都會(huì)說(shuō)：“我是有身份（證）的人?！?/P>

    在信息化虛擬世界的信息安全體系中，身份認(rèn)證更是最為核心的一環(huán)。如果把信息安全體系看作一個(gè)木桶，那么防火墻、入侵檢測(cè)、VPN、安全網(wǎng)關(guān)等就是木桶的壁板，身份認(rèn)證就相當(dāng)于木桶底?？梢哉f(shuō)，身份認(rèn)證用于解決訪問(wèn)者的物理身份和數(shù)字身份的一致性問(wèn)題，給其他安全技術(shù)提供權(quán)限管理的依據(jù)，而防火墻等技術(shù)針對(duì)數(shù)字身份進(jìn)行權(quán)限管理，解決數(shù)字身份能干什么的問(wèn)題。由此可見(jiàn)，身份鑒別和認(rèn)證是整個(gè)信息安全體系的基礎(chǔ)。

    那么，現(xiàn)在有什么方式打造身份認(rèn)證的安全防線(xiàn)？未來(lái)又會(huì)有什么樣的趨勢(shì)？

基本套路：身份認(rèn)證安全“三板斧”
    身份鑒別是用戶(hù)向系統(tǒng)出示自己身份證明的過(guò)程。身份認(rèn)證是系統(tǒng)查核用戶(hù)身份證明的過(guò)程。這兩個(gè)過(guò)程是判明和確認(rèn)通信雙方真實(shí)身份的兩個(gè)重要環(huán)節(jié)，人們常把這兩項(xiàng)工作統(tǒng)稱(chēng)為身份鑒別驗(yàn)證(或身份驗(yàn)證、或身份認(rèn)證、或身份鑒別)。

    計(jì)算機(jī)和計(jì)算機(jī)網(wǎng)絡(luò)組成了一個(gè)虛擬的數(shù)字世界。在數(shù)字世界中，一切信息包括用戶(hù)的身份信息都是由一組特定的數(shù)據(jù)表示，計(jì)算機(jī)只能識(shí)別用戶(hù)的數(shù)字身份，給用戶(hù)的授權(quán)也是針對(duì)用戶(hù)數(shù)字身份進(jìn)行的。而我們生活的現(xiàn)實(shí)世界是一個(gè)真實(shí)的物理世界，每個(gè)人都擁有獨(dú)一無(wú)二的物理身份。如何保證以數(shù)字身份進(jìn)行操作的訪問(wèn)者就是這個(gè)數(shù)字身份的合法擁有者，即如何保證操作者的物理身份與數(shù)字身份相對(duì)應(yīng)，就成為一個(gè)重要的安全問(wèn)題。身份認(rèn)證技術(shù)的誕生就是為了解決這個(gè)問(wèn)題。

    如何通過(guò)技術(shù)手段保證物理身份與數(shù)字身份相對(duì)應(yīng)呢？在真實(shí)世界中，驗(yàn)證一個(gè)人的身份主要通過(guò)三種方式：一是根據(jù)你所知道的信息來(lái)證明身份（what you know），假設(shè)某些信息只有某人知道，比如暗號(hào)等，通過(guò)詢(xún)問(wèn)這個(gè)信息就可以確認(rèn)此人的身份；二是根據(jù)你所擁有的物品來(lái)證明身份(what you have)，假設(shè)某一物品只有某人才有，比如印章等，通過(guò)出示該物品也可以確認(rèn)個(gè)人的身份；三是直接根據(jù)你獨(dú)一無(wú)二的身體特征來(lái)證明身份(who you are)，比如指紋、面貌等。不過(guò)，你所知道的信息有可能被泄露或者還有其他人知道，你所擁有的物品或能丟失、被盜竊或被復(fù)制，因此僅憑一個(gè)人擁有的信息或物品判斷其身份是不可靠的。

    從是否使用硬件來(lái)看，身份認(rèn)證技術(shù)可以分為軟件認(rèn)證和硬件認(rèn)證；從認(rèn)證需要驗(yàn)證的條件來(lái)看，身份認(rèn)證技術(shù)還可以分為單因子認(rèn)證和雙因子認(rèn)證。僅通過(guò)一個(gè)條件來(lái)驗(yàn)證一個(gè)人的身份的技術(shù)稱(chēng)為單因子認(rèn)證。由于只使用一種條件判斷用戶(hù)的身份，單因子認(rèn)證很容易被仿冒。雙因子認(rèn)證通過(guò)組合兩種不同條件（如通過(guò)密碼和芯片組合）來(lái)證明一個(gè)人的身份，安全性有了明顯提高；從認(rèn)證信息來(lái)看，身份認(rèn)證技術(shù)還可以分為靜態(tài)認(rèn)證和動(dòng)態(tài)認(rèn)證等。

組合防護(hù)：身份認(rèn)證五大常見(jiàn)方式
    現(xiàn)在計(jì)算機(jī)及網(wǎng)絡(luò)系統(tǒng)中常用的身份認(rèn)證方式主要有用戶(hù)名+密碼方式、IC卡認(rèn)證方式、動(dòng)態(tài)口令方式、USB Key認(rèn)證方式、生物識(shí)別認(rèn)證方式等。[nextpage]

第一類(lèi)——用戶(hù)名+密碼方式
    用戶(hù)名+密碼是最簡(jiǎn)單也是最常用的身份認(rèn)證方法，是基于“what you know”的驗(yàn)證手段。每個(gè)用戶(hù)的密碼是由用戶(hù)自己設(shè)定的，只有用戶(hù)自己才知道。只要能夠正確輸入密碼，計(jì)算機(jī)就認(rèn)為操作者就是合法用戶(hù)。實(shí)際上，由于許多用戶(hù)為了防止忘記密碼，經(jīng)常采用諸如生日、電話(huà)號(hào)碼等容易被猜測(cè)的字符串作為密碼，或者把密碼抄在紙上放在一個(gè)自認(rèn)為安全的地方，這樣很容易造成密碼泄漏。即使能保證用戶(hù)密碼不被泄漏，由于密碼是靜態(tài)的數(shù)據(jù)，在驗(yàn)證過(guò)程中需要在計(jì)算機(jī)內(nèi)存中和網(wǎng)絡(luò)中傳輸，而每次驗(yàn)證使用的驗(yàn)證信息都是相同的，很容易被駐留在計(jì)算機(jī)內(nèi)存中的木馬程序或網(wǎng)絡(luò)中的監(jiān)聽(tīng)設(shè)備截獲。因此用戶(hù)名+密碼方式一種是極不安全的身份認(rèn)證方式。

    這種身份認(rèn)證的加密方式，已經(jīng)基本上沒(méi)有專(zhuān)業(yè)安全廠商來(lái)做了，它已經(jīng)成為一般的應(yīng)用軟件必備的功能模塊之一。

第二類(lèi)——IC卡認(rèn)證方式
    IC卡是一種內(nèi)置集成電路的芯片，芯片中存有與用戶(hù)身份相關(guān)的數(shù)據(jù)，IC卡由專(zhuān)門(mén)的廠商通過(guò)專(zhuān)門(mén)的設(shè)備生產(chǎn)的硬件。IC卡由合法用戶(hù)隨身攜帶，登錄時(shí)必須將IC卡插入專(zhuān)用的讀卡器讀取其中的信息，以驗(yàn)證用戶(hù)的身份。IC卡認(rèn)證是基于“what you have”的手段，通過(guò)IC卡硬件不易復(fù)制性來(lái)保證用戶(hù)身份不會(huì)被仿冒。然而由于每次從IC卡中讀取的數(shù)據(jù)是靜態(tài)的，通過(guò)內(nèi)存掃描或網(wǎng)絡(luò)監(jiān)聽(tīng)等技術(shù)還是很容易截取到用戶(hù)的身份驗(yàn)證信息，或者IC卡丟失和被盜用，導(dǎo)致非法用戶(hù)變成合法用戶(hù)進(jìn)行信息系統(tǒng)，因此還是存在安全隱患。

    此類(lèi)身份認(rèn)證主要應(yīng)用于一般的低密級(jí)要求的社會(huì)生活中，因?yàn)榧夹g(shù)門(mén)檻日益降低，而且社會(huì)化市場(chǎng)也比較大，應(yīng)用比較廣泛，因此已經(jīng)產(chǎn)生一大批IC卡廠商，其中復(fù)旦微電子等幾家芯片公司是目前國(guó)內(nèi)市場(chǎng)領(lǐng)先的IC卡芯片供應(yīng)商。

第三類(lèi)——?jiǎng)討B(tài)口令方式
    動(dòng)態(tài)口令技術(shù)是一種讓用戶(hù)密碼按照時(shí)間或使用次數(shù)不斷變化、每個(gè)密碼只能使用一次的技術(shù)。它采用一種叫做動(dòng)態(tài)令牌的專(zhuān)用硬件，內(nèi)置電源、密碼生成芯片和顯示屏，密碼生成芯片運(yùn)行專(zhuān)門(mén)的密碼算法，根據(jù)當(dāng)前時(shí)間或使用次數(shù)生成當(dāng)前密碼并顯示在顯示屏上。認(rèn)證服務(wù)器采用相同的算法計(jì)算當(dāng)前的有效密碼。用戶(hù)使用時(shí)只需要將動(dòng)態(tài)令牌上顯示的當(dāng)前密碼輸入客戶(hù)端計(jì)算機(jī)，即可實(shí)現(xiàn)身份認(rèn)證。由于每次使用的密碼必須由動(dòng)態(tài)令牌來(lái)產(chǎn)生，只有合法用戶(hù)才持有該硬件，所以只要通過(guò)密碼驗(yàn)證就可以認(rèn)為該用戶(hù)的身份是可靠的。而用戶(hù)每次使用的密碼都不相同，即使黑客截獲了一次密碼，也無(wú)法利用這個(gè)密碼來(lái)仿冒合法用戶(hù)的身份。

    動(dòng)態(tài)口令技術(shù)采用一次一密的方法，有效保證了用戶(hù)身份的安全性。但是如果客戶(hù)端與服務(wù)器端的時(shí)間或次數(shù)不能保持良好的同步，就可能發(fā)生合法用戶(hù)無(wú)法登錄的問(wèn)題。并且用戶(hù)每次登錄時(shí)需要通過(guò)鍵盤(pán)輸入一長(zhǎng)串無(wú)規(guī)律的密碼，如果輸入錯(cuò)誤就要重新操作，使用起來(lái)非常不方便。同樣這種動(dòng)態(tài)令牌的專(zhuān)用硬件也會(huì)丟失或被盜用，存在一定的安全隱患。因?yàn)橄鄬?duì)復(fù)雜和不便捷，目前此類(lèi)身份認(rèn)證技術(shù)在國(guó)內(nèi)相對(duì)市場(chǎng)不大，比較有名的國(guó)外的RSA和國(guó)內(nèi)的華安信達(dá)等一批安全廠商。[nextpage]

第四類(lèi)——USB Key認(rèn)證方式
    基于USB Key的身份認(rèn)證方式是近幾年發(fā)展起來(lái)的一種方便、安全的身份認(rèn)證技術(shù)。它采用軟硬件相結(jié)合、一次一密的強(qiáng)雙因子認(rèn)證模式，很好地解決了安全性與易用性之間的矛盾。USB Key是一種USB接口的硬件設(shè)備，它內(nèi)置單片機(jī)或智能卡芯片，可以存儲(chǔ)用戶(hù)的密鑰或數(shù)字證書(shū)，利用USB Key內(nèi)置的密碼算法實(shí)現(xiàn)對(duì)用戶(hù)身份的認(rèn)證?；赨SB Key身份認(rèn)證系統(tǒng)主要有兩種應(yīng)用模式：一是基于沖擊/響應(yīng)的認(rèn)證模式，二是基于PKI體系的認(rèn)證模式。

   每個(gè)USB Key硬件都具有用戶(hù)PIN碼，以實(shí)現(xiàn)雙因子認(rèn)證功能。USB Key內(nèi)置單向散列算法（MD5），預(yù)先在USB Key和服務(wù)器中存儲(chǔ)一個(gè)證明用戶(hù)身份的密鑰，當(dāng)需要在網(wǎng)絡(luò)上驗(yàn)證用戶(hù)身份時(shí)，先由客戶(hù)端向服務(wù)器發(fā)出一個(gè)驗(yàn)證請(qǐng)求。服務(wù)器接到此請(qǐng)求后生成一個(gè)隨機(jī)數(shù)并通過(guò)網(wǎng)絡(luò)傳輸給客戶(hù)端（此為沖擊）。客戶(hù)端將收到的隨機(jī)數(shù)提供給插在客戶(hù)端上的USB Key，由USB Key使用該隨機(jī)數(shù)與存儲(chǔ)在USB Key中的密鑰進(jìn)行帶密鑰的單向散列運(yùn)算（HMAC-MD5）并得到一個(gè)結(jié)果作為認(rèn)證證據(jù)傳送給服務(wù)器（此為響應(yīng)）。與此同時(shí)，服務(wù)器使用該隨機(jī)數(shù)與存儲(chǔ)在服務(wù)器數(shù)據(jù)庫(kù)中的該客戶(hù)密鑰進(jìn)行HMAC-MD5運(yùn)算，如果服務(wù)器的運(yùn)算結(jié)果與客戶(hù)端傳回的響應(yīng)結(jié)果相同，則認(rèn)為客戶(hù)端是一個(gè)合法用戶(hù)。同樣這種USB Key硬件和用戶(hù)使用的PIN碼也會(huì)丟失或被盜用，并且存于硬件內(nèi)的數(shù)字證書(shū)（通常為私鑰）正常情況下在數(shù)字認(rèn)中心有備份，也在存在一定的安全隱患。

    目前國(guó)內(nèi)市場(chǎng)主要金融領(lǐng)域應(yīng)用較廣，以國(guó)外的SafeNet和國(guó)內(nèi)的飛天誠(chéng)信等企業(yè)市場(chǎng)份額相對(duì)較大。

第五類(lèi)——生物識(shí)別認(rèn)證方式
    生物識(shí)別認(rèn)證是指采用每個(gè)人獨(dú)一無(wú)二的生物特征來(lái)驗(yàn)證用戶(hù)身份的技術(shù)，又稱(chēng)生物特征認(rèn)證。從理論上說(shuō)，生物特征認(rèn)證是最可靠的身份認(rèn)證方式，因?yàn)樗苯邮褂萌说奈锢硖卣鱽?lái)表示每一個(gè)人的數(shù)字身份，不同的人具有不同的生物特征，因此幾乎不可能被仿冒和復(fù)制。

    生物識(shí)別技術(shù)主要是通過(guò)可測(cè)量的身體或行為等生物特征進(jìn)行身份認(rèn)證的一種技術(shù)；而生物特征是指唯一的可以測(cè)量或可自動(dòng)識(shí)別和驗(yàn)證的生理特征或行為方式。生物特征分為身體特征和行為特征兩類(lèi)。身體特征包括：指紋、掌型、視網(wǎng)膜、虹膜、人體氣味、臉型、手的血管、骨骼和DNA等；行為特征包括：簽名、語(yǔ)音、行走步態(tài)等。

    生物識(shí)別技術(shù)在“9?11”事件發(fā)生后，由于在身份鑒別上發(fā)生的重大漏洞，引起美國(guó)及西方各國(guó)高度重視。美國(guó)曾經(jīng)連續(xù)簽署了3個(gè)國(guó)家安全法案（愛(ài)國(guó)者法案、航空安全法案、邊境簽證法案），要求必須采用生物認(rèn)證技術(shù)。于是基于指紋識(shí)別的生物識(shí)別技術(shù)的個(gè)人身份驗(yàn)證方法，得到了發(fā)展。全球領(lǐng)先的生物識(shí)別技術(shù)提供商亞略特科技（www.aratek.com.cn）創(chuàng)始人邵宇認(rèn)為：“由于指紋識(shí)別技術(shù)利用人體本身固有的生物特征，與傳統(tǒng)的方法完全不同，具有唯一性、不存在丟失、遺忘或被偽造等問(wèn)題，用它進(jìn)行身份驗(yàn)證，具有更好的安全性、可靠性和有效性?！?/P>

    由于生物識(shí)別市場(chǎng)剛剛興起，而且技術(shù)門(mén)檻比較高，目前相對(duì)有實(shí)力的廠商不多，國(guó)外以UPek為代表，國(guó)內(nèi)以深圳亞略特和無(wú)錫指網(wǎng)科技為代表，其中作為中國(guó)最早一批從事生物識(shí)別指紋識(shí)別技術(shù)研究的亞略特研究院專(zhuān)家團(tuán)隊(duì)，更是已經(jīng)將本土生物識(shí)別技術(shù)打到了國(guó)際市場(chǎng)。