身份認(rèn)證，在社會生活的安全體系中，無疑是最核心的一環(huán)。連小沈陽上臺都會說：“我是有身份（證）的人?！?/P>

    在信息化虛擬世界的信息安全體系中，身份認(rèn)證更是最為核心的一環(huán)。如果把信息安全體系看作一個木桶，那么防火墻、入侵檢測、VPN、安全網(wǎng)關(guān)等就是木桶的壁板，身份認(rèn)證就相當(dāng)于木桶底。可以說，身份認(rèn)證用于解決訪問者的物理身份和數(shù)字身份的一致性問題，給其他安全技術(shù)提供權(quán)限管理的依據(jù)，而防火墻等技術(shù)針對數(shù)字身份進行權(quán)限管理，解決數(shù)字身份能干什么的問題。由此可見，身份鑒別和認(rèn)證是整個信息安全體系的基礎(chǔ)。

    那么，現(xiàn)在有什么方式打造身份認(rèn)證的安全防線？未來又會有什么樣的趨勢？

基本套路：身份認(rèn)證安全“三板斧”
    身份鑒別是用戶向系統(tǒng)出示自己身份證明的過程。身份認(rèn)證是系統(tǒng)查核用戶身份證明的過程。這兩個過程是判明和確認(rèn)通信雙方真實身份的兩個重要環(huán)節(jié)，人們常把這兩項工作統(tǒng)稱為身份鑒別驗證(或身份驗證、或身份認(rèn)證、或身份鑒別)。

    計算機和計算機網(wǎng)絡(luò)組成了一個虛擬的數(shù)字世界。在數(shù)字世界中，一切信息包括用戶的身份信息都是由一組特定的數(shù)據(jù)表示，計算機只能識別用戶的數(shù)字身份，給用戶的授權(quán)也是針對用戶數(shù)字身份進行的。而我們生活的現(xiàn)實世界是一個真實的物理世界，每個人都擁有獨一無二的物理身份。如何保證以數(shù)字身份進行操作的訪問者就是這個數(shù)字身份的合法擁有者，即如何保證操作者的物理身份與數(shù)字身份相對應(yīng)，就成為一個重要的安全問題。身份認(rèn)證技術(shù)的誕生就是為了解決這個問題。

    如何通過技術(shù)手段保證物理身份與數(shù)字身份相對應(yīng)呢？在真實世界中，驗證一個人的身份主要通過三種方式：一是根據(jù)你所知道的信息來證明身份（what you know），假設(shè)某些信息只有某人知道，比如暗號等，通過詢問這個信息就可以確認(rèn)此人的身份；二是根據(jù)你所擁有的物品來證明身份(what you have)，假設(shè)某一物品只有某人才有，比如印章等，通過出示該物品也可以確認(rèn)個人的身份；三是直接根據(jù)你獨一無二的身體特征來證明身份(who you are)，比如指紋、面貌等。不過，你所知道的信息有可能被泄露或者還有其他人知道，你所擁有的物品或能丟失、被盜竊或被復(fù)制，因此僅憑一個人擁有的信息或物品判斷其身份是不可靠的。

    從是否使用硬件來看，身份認(rèn)證技術(shù)可以分為軟件認(rèn)證和硬件認(rèn)證；從認(rèn)證需要驗證的條件來看，身份認(rèn)證技術(shù)還可以分為單因子認(rèn)證和雙因子認(rèn)證。僅通過一個條件來驗證一個人的身份的技術(shù)稱為單因子認(rèn)證。由于只使用一種條件判斷用戶的身份，單因子認(rèn)證很容易被仿冒。雙因子認(rèn)證通過組合兩種不同條件（如通過密碼和芯片組合）來證明一個人的身份，安全性有了明顯提高；從認(rèn)證信息來看，身份認(rèn)證技術(shù)還可以分為靜態(tài)認(rèn)證和動態(tài)認(rèn)證等。

組合防護：身份認(rèn)證五大常見方式
    現(xiàn)在計算機及網(wǎng)絡(luò)系統(tǒng)中常用的身份認(rèn)證方式主要有用戶名+密碼方式、IC卡認(rèn)證方式、動態(tài)口令方式、USB Key認(rèn)證方式、生物識別認(rèn)證方式等。[nextpage]

第一類——用戶名+密碼方式
    用戶名+密碼是最簡單也是最常用的身份認(rèn)證方法，是基于“what you know”的驗證手段。每個用戶的密碼是由用戶自己設(shè)定的，只有用戶自己才知道。只要能夠正確輸入密碼，計算機就認(rèn)為操作者就是合法用戶。實際上，由于許多用戶為了防止忘記密碼，經(jīng)常采用諸如生日、電話號碼等容易被猜測的字符串作為密碼，或者把密碼抄在紙上放在一個自認(rèn)為安全的地方，這樣很容易造成密碼泄漏。即使能保證用戶密碼不被泄漏，由于密碼是靜態(tài)的數(shù)據(jù)，在驗證過程中需要在計算機內(nèi)存中和網(wǎng)絡(luò)中傳輸，而每次驗證使用的驗證信息都是相同的，很容易被駐留在計算機內(nèi)存中的木馬程序或網(wǎng)絡(luò)中的監(jiān)聽設(shè)備截獲。因此用戶名+密碼方式一種是極不安全的身份認(rèn)證方式。

    這種身份認(rèn)證的加密方式，已經(jīng)基本上沒有專業(yè)安全廠商來做了，它已經(jīng)成為一般的應(yīng)用軟件必備的功能模塊之一。

第二類——IC卡認(rèn)證方式
    IC卡是一種內(nèi)置集成電路的芯片，芯片中存有與用戶身份相關(guān)的數(shù)據(jù)，IC卡由專門的廠商通過專門的設(shè)備生產(chǎn)的硬件。IC卡由合法用戶隨身攜帶，登錄時必須將IC卡插入專用的讀卡器讀取其中的信息，以驗證用戶的身份。IC卡認(rèn)證是基于“what you have”的手段，通過IC卡硬件不易復(fù)制性來保證用戶身份不會被仿冒。然而由于每次從IC卡中讀取的數(shù)據(jù)是靜態(tài)的，通過內(nèi)存掃描或網(wǎng)絡(luò)監(jiān)聽等技術(shù)還是很容易截取到用戶的身份驗證信息，或者IC卡丟失和被盜用，導(dǎo)致非法用戶變成合法用戶進行信息系統(tǒng)，因此還是存在安全隱患。

    此類身份認(rèn)證主要應(yīng)用于一般的低密級要求的社會生活中，因為技術(shù)門檻日益降低，而且社會化市場也比較大，應(yīng)用比較廣泛，因此已經(jīng)產(chǎn)生一大批IC卡廠商，其中復(fù)旦微電子等幾家芯片公司是目前國內(nèi)市場領(lǐng)先的IC卡芯片供應(yīng)商。

第三類——動態(tài)口令方式
    動態(tài)口令技術(shù)是一種讓用戶密碼按照時間或使用次數(shù)不斷變化、每個密碼只能使用一次的技術(shù)。它采用一種叫做動態(tài)令牌的專用硬件，內(nèi)置電源、密碼生成芯片和顯示屏，密碼生成芯片運行專門的密碼算法，根據(jù)當(dāng)前時間或使用次數(shù)生成當(dāng)前密碼并顯示在顯示屏上。認(rèn)證服務(wù)器采用相同的算法計算當(dāng)前的有效密碼。用戶使用時只需要將動態(tài)令牌上顯示的當(dāng)前密碼輸入客戶端計算機，即可實現(xiàn)身份認(rèn)證。由于每次使用的密碼必須由動態(tài)令牌來產(chǎn)生，只有合法用戶才持有該硬件，所以只要通過密碼驗證就可以認(rèn)為該用戶的身份是可靠的。而用戶每次使用的密碼都不相同，即使黑客截獲了一次密碼，也無法利用這個密碼來仿冒合法用戶的身份。

    動態(tài)口令技術(shù)采用一次一密的方法，有效保證了用戶身份的安全性。但是如果客戶端與服務(wù)器端的時間或次數(shù)不能保持良好的同步，就可能發(fā)生合法用戶無法登錄的問題。并且用戶每次登錄時需要通過鍵盤輸入一長串無規(guī)律的密碼，如果輸入錯誤就要重新操作，使用起來非常不方便。同樣這種動態(tài)令牌的專用硬件也會丟失或被盜用，存在一定的安全隱患。因為相對復(fù)雜和不便捷，目前此類身份認(rèn)證技術(shù)在國內(nèi)相對市場不大，比較有名的國外的RSA和國內(nèi)的華安信達等一批安全廠商。[nextpage]

第四類——USB Key認(rèn)證方式
    基于USB Key的身份認(rèn)證方式是近幾年發(fā)展起來的一種方便、安全的身份認(rèn)證技術(shù)。它采用軟硬件相結(jié)合、一次一密的強雙因子認(rèn)證模式，很好地解決了安全性與易用性之間的矛盾。USB Key是一種USB接口的硬件設(shè)備，它內(nèi)置單片機或智能卡芯片，可以存儲用戶的密鑰或數(shù)字證書，利用USB Key內(nèi)置的密碼算法實現(xiàn)對用戶身份的認(rèn)證?；赨SB Key身份認(rèn)證系統(tǒng)主要有兩種應(yīng)用模式：一是基于沖擊/響應(yīng)的認(rèn)證模式，二是基于PKI體系的認(rèn)證模式。

   每個USB Key硬件都具有用戶PIN碼，以實現(xiàn)雙因子認(rèn)證功能。USB Key內(nèi)置單向散列算法（MD5），預(yù)先在USB Key和服務(wù)器中存儲一個證明用戶身份的密鑰，當(dāng)需要在網(wǎng)絡(luò)上驗證用戶身份時，先由客戶端向服務(wù)器發(fā)出一個驗證請求。服務(wù)器接到此請求后生成一個隨機數(shù)并通過網(wǎng)絡(luò)傳輸給客戶端（此為沖擊）?？蛻舳藢⑹盏降碾S機數(shù)提供給插在客戶端上的USB Key，由USB Key使用該隨機數(shù)與存儲在USB Key中的密鑰進行帶密鑰的單向散列運算（HMAC-MD5）并得到一個結(jié)果作為認(rèn)證證據(jù)傳送給服務(wù)器（此為響應(yīng)）。與此同時，服務(wù)器使用該隨機數(shù)與存儲在服務(wù)器數(shù)據(jù)庫中的該客戶密鑰進行HMAC-MD5運算，如果服務(wù)器的運算結(jié)果與客戶端傳回的響應(yīng)結(jié)果相同，則認(rèn)為客戶端是一個合法用戶。同樣這種USB Key硬件和用戶使用的PIN碼也會丟失或被盜用，并且存于硬件內(nèi)的數(shù)字證書（通常為私鑰）正常情況下在數(shù)字認(rèn)中心有備份，也在存在一定的安全隱患。

    目前國內(nèi)市場主要金融領(lǐng)域應(yīng)用較廣，以國外的SafeNet和國內(nèi)的飛天誠信等企業(yè)市場份額相對較大。

第五類——生物識別認(rèn)證方式
    生物識別認(rèn)證是指采用每個人獨一無二的生物特征來驗證用戶身份的技術(shù)，又稱生物特征認(rèn)證。從理論上說，生物特征認(rèn)證是最可靠的身份認(rèn)證方式，因為它直接使用人的物理特征來表示每一個人的數(shù)字身份，不同的人具有不同的生物特征，因此幾乎不可能被仿冒和復(fù)制。

    生物識別技術(shù)主要是通過可測量的身體或行為等生物特征進行身份認(rèn)證的一種技術(shù)；而生物特征是指唯一的可以測量或可自動識別和驗證的生理特征或行為方式。生物特征分為身體特征和行為特征兩類。身體特征包括：指紋、掌型、視網(wǎng)膜、虹膜、人體氣味、臉型、手的血管、骨骼和DNA等；行為特征包括：簽名、語音、行走步態(tài)等。

    生物識別技術(shù)在“9?11”事件發(fā)生后，由于在身份鑒別上發(fā)生的重大漏洞，引起美國及西方各國高度重視。美國曾經(jīng)連續(xù)簽署了3個國家安全法案（愛國者法案、航空安全法案、邊境簽證法案），要求必須采用生物認(rèn)證技術(shù)。于是基于指紋識別的生物識別技術(shù)的個人身份驗證方法，得到了發(fā)展。全球領(lǐng)先的生物識別技術(shù)提供商亞略特科技（www.aratek.com.cn）創(chuàng)始人邵宇認(rèn)為：“由于指紋識別技術(shù)利用人體本身固有的生物特征，與傳統(tǒng)的方法完全不同，具有唯一性、不存在丟失、遺忘或被偽造等問題，用它進行身份驗證，具有更好的安全性、可靠性和有效性?！?/P>

    由于生物識別市場剛剛興起，而且技術(shù)門檻比較高，目前相對有實力的廠商不多，國外以UPek為代表，國內(nèi)以深圳亞略特和無錫指網(wǎng)科技為代表，其中作為中國最早一批從事生物識別指紋識別技術(shù)研究的亞略特研究院專家團隊，更是已經(jīng)將本土生物識別技術(shù)打到了國際市場。