数字证书相较其他身份认证方式的优势

数字证书相较其他身份认证方式的优势强认证方式概述PKI/CA证书认证方式简介PKI是PublicKeyInfrastructure的缩写，就是基于公钥理论和技术为网络提供安全服务的基础设施。公钥体制是目前应用最广泛的一种加密体制，在这一体制中，加密密钥与解密密钥各不相同。公钥加密、私钥解密可以实现对数据的加密保护，私钥签名、公钥验证可以实现对数据的数字签名。这种方式既保证了信息的机密性，又能保证信息具有不可抵赖性。目前，公钥体制广泛地用于CA认证、数字签名和密钥交换等领域。CA（CertificationAuthority，认证中心）是确保信任度的权威实体，它的主要职责是颁发数字证书、验证用户身份的真实性。令牌认证方式简介令牌认证通常采用动态口令技术。所谓动态口令技术是对传统的静态口令技术的改进，用户要拥有一些东西如系统颁发的Token，Token上的数字是不断变化的，而且与认证服务器是同步的，因此用户登录到系统的口令也是不断地变化的（即所谓的“一次一密”）。动态口令技术有两种同步方案：时间同步、事件同步。时间同步是指Token采用时间作为动态口令的一个种子，服务器端通过采用时间作为一个种子验证Token产生的口令。事件同步是指Token每次产生动态口令时以当前的计数作为一个种子，每次产生完成动态口令后，该计数会自动递增。服务器端同样采用次数作为验证时的种子。短信认证方式简介短信认证通过向用户注册的手机发送一次性、短期有效的认证口令，用户仅可以使用该口令完成一次登录，用户不能重复使用该口令。生物特征认证方式简介生物认证通过采用特定的生物特征采集设备，采集用户的生物特征（例如：指纹、虹膜、声音、面容等），通过和系统中所保存该用户的对应特征进行比对，以确定用户的身份。强认证方式比较分析适用范围比较分析认证类型适用范围备注PKI/CA认证1、用户、系统之间认证，支持双方认证，用户、系统都能够验证对方的身份；2、用户、用户之间认证，基于可信的数字证书，用户可以认证相互之间的身份；3、系统、系统之间认证，网络应用系统之间可以采用数字证书进行系统之间的认证；4、支持数据保密，可以采用数字证书对传输数据进行加密保护；5、支持基于数字证书的交易签名，符合电子签名法要求，可作为有效法律证据。适应安全要求高应用，有数字签名需求的应用，支持安全审计令牌认证1、系统对用户进行认证；2、适用于主机、设备、网站等认证登录用户的身份。适应安全要求中应用，无安全审计需求短信认证1、系统对用户进行认证；2、适用于网站对用户进行认适应安全要求中应用，证。无安全审计要求生物特征认证1、系统对用户进行认证；2、适用于物理环境访问控制，例如数据中心门禁控制等。适应安全要求高应用，终端电脑数量较少保密性比较分析认证类型保密性备注PKI/CA认证基于数字证书可以对数据进行加密保护，包括两方面的加密：1、传输加密；2、存储加密。采用PKI非对称加密技术，具有很高的加密强度。令牌认证不能进行业务数据加密。令牌技术所采用的动态口令技术仅被用来作为身份认证目的。可以通过SSL服务器证书实现传输加密，提升保密性。短信认证短信认证的优势在于用户认证。可以为用户下发一次性密码来实现传输加密，但无法实现数据的存储加密，目前没有基于短信进行加密的成形方案。生物特征认证生物特征本身为模糊处理技术，无法进行数据加密，不能解决数据加密应用中对加密密钥的准确性要求。比较适合于软硬件系统完全受控环境的中应用，比如企业、数据中心门禁，公安、海关系统身份鉴别等。完整性比较分析认证类型完整性备注PKI/CA认证采用PKI加密技术，例如RSA等，能够对数据传输、数据存储进行完整性校验，对于要求较高的应用，可以采用数字签名技术令牌认证可以保障登录的正确性。无法对数据传输、数据存储进行完整性校验。短信认证可以保障登录的正确性。无法对数据传输、数据存储进行完整性校验。生物特征认证无法对数据传输、数据存储进行完整性校验。可靠性比较分析认证类型可靠性备注PKI/CA认证认证包括两个过程，证书发放和证书登录。1、证书发放过程通过CA系统完成；2、证书登录过程主要通过业务系统完成。在CA系统瘫痪时，业务系统仍然可以继续采用数字证书进行登录。此时最大的问题是无法为新的用户签发证书，不能及时吊销现有的证书。相对于业务系统不能登录而言，这些问题并不算严重。令牌认证令牌认证过程包括两个部分：1、客户端产生动态口令；2、后台验证该动态口令。后台对动态口令验证是通过独立的系统完成的，该系统服务暂停时，将导致整个业务系统不能登录。短信认证短信认证依赖移动通信网络传输，同时后台需要有短信认证处理模块，如要包括随机口令产生、口令验证等，认证处理模块可以集成在业务系统内部。移动通信网络的信号、延时，对短信认证的可靠性影响较大，当采用了独立的短信认证模块时，该模块对业务系统的可靠性影响也会比较大。生物特征认证生物特征认证核心要素包括：1、生物特征采集设备；2、后台生物特征比对系统，内涵用户的特征数据库；3、用户的生物特征。影响可靠性有几个方面：1、采集设备受环境影响，灵敏度变化较大，故障率相对较大；2、后台比对系统本身的单点故障，对系统影响较大；3、用户生物特征会发上变化，例如体型、声音等，存在一定的失败概率。从应用上风险并不算大，生物特征认证一般会作为其他认证手段的补充，例如ID卡、身份证等，且一般用户量不会很多、并发访问量较小，可以通过其它管理上的手段处理故障时的系统正常运行问题。抗抵赖性比较分析认证类型抗抵赖备注PKI/CA认证支持抗抵赖。基于可信CA签发的数字证书，用户、系统都能够进行数字签名，产生可靠的电子签名证据，任何一方都不能抵赖。令牌认证不支持短信认证不支持生物特征认证不支持可扩展性比较分析认证类型可扩展备注PKI/CA认证可以扩展到数据加密、业务签名审计、文档签章等。管理功能丰富，能够随需定制，满足企业的内部管理、控制等流程要求。能够在USBKey内部集成企业的其它应用，例如VPN等。令牌认证仅适用于身份认证。短信认证仅适用于身份认证。生物特征认证仅适用于身份认证。易用性比较分析认证类型易用性备注PKI/CA认证首次使用存在一定难度，习惯后难度降低。主要包括设备驱动软件安装，接受新的登录方式等。在硬件证书丢失后，可以签发临时的软件证书应急使用。令牌认证简单易用，登录失败率低。令牌遗失后，需要获取新的令牌，没有灵活的临时方案。短信认证简单易用，登录失败率低。在移动通信网络繁忙时，会带来延迟，影响用户体验。生物特征认证简单易用，用户无需携带特定设备。会存在认证失败，需要用户多次尝试才能成功的情况，受设备稳定性、用户自身情况(体温、汗液、灰尘等)等影响。标准化程度比较分析认证类型标准化备注PKI/CA认证技术成熟，国家标准、国际标准、行业标准完备，软硬件技术一致性很高，具有很高的兼容性，大部分软、硬件可以通用。令牌认证所采用的技术成熟，具有行业标准，对动态口令产生算法提供指导。各厂家的软、硬件技术差异较大，部分厂家技术保密，各厂家之间软硬件集成难度较大，应用中一般采用特定某一厂家的产品。短信认证无相关标准生物特征认证无相关标准管理与维护难度比较分析认证类型管理与维护难度备注PKI/CA认证在管理、维护方面的功能较丰富，方便运营维护的使用。客户端需要安装PKI/CA相关的软、硬件，对最终用户的技术支持会稍多些。令牌认证设备丢失后，恢复麻烦，时间久。短信认证维护简单。生物特征认证生物特征采集设备故障率高，修理时间久。投资成本比较分析认证类型投资成本备注PKI/CA认证成本较高。从基于数字证书的认证、加密、签名、签章应用等综合价值看，综合成本较低。令牌认证成本适中，能够以较低成本获取较高的登录安全。短信认证很少成本即可实现对口令认证的安全提升。生物特征认证适度投资即可完成物理环境的安全控制。对比图示动态口令认证IC卡认证用户名+静态密码数字证书认证安全性+便捷性+应用扩展生物特征识别的准确性和稳定性还有待提高，特别是如果用户身体受到伤病的影响，往往导致无法正常识别，造成合法用户无法登录。而且使用不方便。如果同步出现问题，无法登陆系统。而且动态口令在应用中存在局限性IC卡中读取的数据是静态的，通过内存扫描或网络监听等技术还是很容易截取到用户的身份验证信息容易被驻留在计算机内存中的木马程序或网络中的监听设备截获生物特征认证目前来说最安全、稳定、低成本和方便的认证方式