常见的身份认证技术

常见的身份认证技术

企业组织无论部署任何种类的访问控制模型，虚拟机(VM)、容器或其他产品，其目的都是为了能够充分缓解5G云环境中的漏洞和横向移动的威胁。从IAM的角度来看，统一身份认证、最小访问控制权限、多因素身份验证等基本的安全控制和实践可以大有作为。企业组织可使用证书来实现传输层安全(mTLS)和证书锁定，以验证证书持有者的身份。

一、身份认证的概念

通常，身份认证基本方法有三种：用户物件认证；有关信息确认或体貌特征识别。
认证（Authentication）是指对主客体身份进行确认的过程。
身份认证（Identity Authentication）是指网络用户在进入系统或访问受限系统资源时,系统对用户身份的识别和验证过程。

二、身份认证的作用

身份认证与鉴别是信息安全中的第一道防线，对信息系统的安全有着重要意义。可以确保用户身份的真实、合法和唯一性，可以防止非法人员进入系统，通过各种违法操作获取不正当利益、非法访问受控信息、恶意破坏系统数据的完整性等情况的发生，严防“病从口入”关口。访问控制和审计系统都依赖于身份认证系统提供的“认证信息”鉴别和审计

三、身份认证的构成和方法

身份认证系统的组成一般包括三个部分：认证服务器、认证系统客户端和认证设备。系统主要通过身份认证协议和认证系统进行实现。身份认证协议又分为：单向认证协议和双向认证协议。若通信双方只需一方鉴别另一方的身份，则称单项认证协议；如果双方都需要验证身份，则称双向认证协议。

四、常用认证系统及认证方法

1、用户名/密码方式

用户名/密码是最简单也是最常用的身份认证方法，是基于“what you know”的验证手段。每个用户的密码是由用户自己设定的，只有用户自己才知道。只要能够正确输入密码，计算机就认为操作者就是合法用户。实际上，由于许多用户为了防止忘记密码，经常采用诸如生日、电话号码等容易被猜测的字符串作为密码，或者把密码抄在纸上放在一个自认为安全的地方，这样很容易造成密码泄漏。即使能保证用户密码不被泄漏，由于密码是静态的数据，在验证过程中需要在计算机内存中和网络中传输，而每次验证使用的验证信息都是相同的，很容易被驻留在计算机内存中的木马程序或网络中的监听设备截获。因此用户名/密码方式一种是极不安全的身份认证方式。

2、IC卡认证

IC卡是一种内置集成电路的芯片，芯片中存有与用户身份相关的数据， IC卡由专门的厂商通过专门的设备生产，是不可复制的硬件。IC卡由合法用户随身携带，登录时必须将IC卡插入专用的读卡器读取其中的信息，以验证用户的身份。IC卡认证是基于“what you have”的手段，通过IC卡硬件不可复制来保证用户身份不会被仿冒。然而由于每次从IC卡中读取的数据是静态的，通过内存扫描或网络监听等技术还是很容易截取到用户的身份验证信息，因此还是存在安全隐患。

3、动态口令

动态口令技术是一种让用户密码按照时间或使用次数不断变化、每个密码只能使用一次的技术。它采用一种叫作动态令牌的专用硬件，内置电源、密码生成芯片和显示屏，密码生成芯片运行专门的密码算法，根据当前时间或使用次数生成当前密码并显示在显示屏上。认证服务器采用相同的算法计算当前的有效密码。用户使用时只需要将动态令牌上显示的当前密码输入客户端计算机，即可实现身份认证。由于每次使用的密码必须由动态令牌来产生，只有合法用户才持有该硬件，所以只要通过密码验证就可以认为该用户的身份是可靠的。而用户每次使用的密码都不相同，即使黑客截获了一次密码，也无法利用这个密码来仿冒合法用户的身份。
动态口令技术采用一次一密的方法，有效保证了用户身份的安全性。但是如果客户端与服务器端的时间或次数不能保持良好的同步，就可能发生合法用户无法登录的问题。并且用户每次登录时需要通过键盘输入一长串无规律的密码，一旦输错就要重新操作，使用起来非常不方便。

4、生物特征认证

生物特征认证是指采用每个人独一无二的生物特征来验证用户身份的技术。常见的有指纹识别、虹膜识别等。从理论上说，生物特征认证是最可靠的身份认证方式，因为它直接使用人的物理特征来表示每一个人的数字身份，不同的人具有不同的生物特征，因此几乎不可能被仿冒。
生物特征认证基于生物特征识别技术，受到该技术成熟度的影响，采用生物特征的认证技术具有较大的局限性。首先，生物特征识别的准确性和稳定性还有待提高，特别是如果用户身体受到伤病的影响，往往导致无法正常识别，造成合法用户无法登陆。其次，由于研发投入较大和产量较小等原因，生物特征认证系统的成本非常高，目前只适合于一些安全性要求非常高的场合，如银行、部队等使用，目前还无法做到大面积推广。