(完整版)认证方式对比

认证方式OTPCA认证密码卡生物认证可用性高用户只需要记住简单的个人识别码和携带令牌卡，而且令牌卡携带非常方便较高申请的数字证书存储在使用者的本地机器上，使用和方便，但同时也带来了安全问题，如：黑客攻入本机器后就可以将证书文件拷贝出去低需要随身携带，使用次数有限，需要经常申请更换密码卡高不需要使用者有意识的携带如何东西，也不用记任何强密码，以为密码就在使用者身上实现原理个人识别码+令牌卡密码令牌上的随机数字串与OTP服务器运行的数学算法紧密相关。通过CA检查证书持有者身份的合法性，并签发证书（在证书上签字），以防证书被伪造或篡改，以及对证书和密钥进行管理。在登陆系统时，系统随机生成几个字符，用户根据字符在密码卡上找到相应的数字串登陆系统。通过可测量的身体或行为等生物特征进行身份认证的一种技术。成本中一般用在财务系统和人力资源系统上较高需要向CA认证服务器申请即可，并且需要自己硬件设备，例如USBkey等。低一张印了矩阵密码的塑料卡片，成本不高，也无须硬件配合。高购买生物认证设备价格比较昂贵，一次性购买安全性高密码是随机的，可破解性很低较高在网上认证时可能会被黑客截获低密码记录在塑料卡上，可复制或者对拍照。高不可伪造发展趋势可以使用手机访问方式、SMS访问方式等多种令牌方式访问，发展潜力大一般使用于网上交易系统。现有的CA机构大致分为：行业性CA、区域性CA、独立的CA认证中心。用户需要随身携带密码卡，一张密码卡的使用次数也有限，发展潜力小生物识别技术具有传统的身份认证手段无法比拟的优点，在很多重要系统中都有使用。随着成本的降低，生物识别技术将用在更多的场合。部署方式部署简单只需要安装一台OTP认证服务器，管理员维护方便。部署较简单如果只是为企业内部建立CA认证系统，只需要部署CA服务器和为用户创建一套账号即可；如果需要对外，企业还需要响第三方申请数字证书，相对比较复杂。部署较复杂企业不但要部署密码卡认证系统，还需要密码卡生产厂家配合。部署复杂部署生物认证系统时不但需要安装软件产品还要安装硬件设备；为用户建立帐户时需要在每个用户身上提取生物信息，如果是跨国企业，工作量将更大。优点1、用户再也不能选择弱密码；2、用户只要记住PIN，而不用记住传统的强密码；1、安全性，由第三方组织或公司发放数字证书，安全性较高；2、唯一性，CA证明证书主体与证书中所包1、每次登陆系统时，生成的密码都将不一样。2、用户不再需要记住传统的强密码。1、随身性：生物特征是人体固有的特征，与人体是唯一绑定的，具有随身性；3、一旦密码被使用一次，线路上嗅探到的密码就已经失效。含的公钥的惟一对应关系。3、携带比较方便。2、安全性：人体特征本身就是个人身份的最好证明,满足更高的安全需求；3、唯一性：每个人拥有的生物特征各不相同；4、稳定性：生物特征如指纹、虹膜等人体特征不会随时间等条件的变化而变化；5、广泛性：每个人都具有这种特征；6、方便性：生物识别技术不需记忆密码与携带使用特殊工具(如钥匙)，不会遗失；7、可采集性：选择的生物特征易于测量；缺点1、用户需要拥有令牌卡进行认证；2、OTP需要一台额外的服务器接受来自认证服务器中继的请求；3、使用OTP输入一个密码比输入一个用户需要记住的密码时间花费更高；4、在大型网络中OTP价格不菲。1、需要在客户端上创建；2、不同机构可能使用不同CA认证机构；3、一般用于网上认证系统；4、在CS架构的系统上使用数字证书认证，需要是到USB-KEY，会大大提高使用成本；5、需要单独配置CA服务器。1、一张密码卡的使用次数有限；2、密码卡容易损坏；3、在大型企业中造价也比较高。1、外界环境或者使用者本体会影响系统的精确性；2、很多技术还没经过测试，如：虹膜技术、视网膜识别技术等；3、很多认证会用到激光照射等技术，会影响使用者的身体健康。认证方式OTPCA认证密码卡生物认证可用性高用户只需要记住简单的个人识别码和携带令牌卡，而且令牌卡携带非常方便较高申请的数字证书存储在使用者的本地机器上，使用和方便，但同时也带来了安全问题，如：黑客攻入本机器后就可以将证书文件拷贝出去低需要随身携带，使用次数有限，需要经常申请更换密码卡高不需要使用者有意识的携带如何东西，也不用记任何强密码，以为密码就在使用者身上个人识别码+令牌卡密通过CA检查证书持有在登陆系统时，系通过可测量的身体或行实现原理码令牌上的随机数字串与OTP服务器运行的数学算法紧密相关。者身份的合法性，并签发证书（在证书上签字），以防证书被伪造或篡改，以及对证书和密钥进行管理。统随机生成几个字符，用户根据字符在密码卡上找到相应的数字串登陆系统。为等生物特征进行身份认证的一种技术。成本中一般用在财务系统和人力资源系统上较高需要向CA认证服务器申请即可，并且需要自己硬件设备，例如USBkey等。高密码卡不能重复使用，并且需要单独的购买额外软硬件。高购买生物认证设备价格比较昂贵，一次性购买安全性高密码是随机的，可破解性很低较高在网上认证时可能会被黑客截获高高不可伪造发展趋势可以使用手机访问方式、SMS访问方式等多种令牌方式访问，发展潜力大一般使用于网上交易系统。现有的CA机构大致分为：行业性CA、区域性CA、独立的CA认证中心。用户需要随身携带密码卡，一张密码卡的使用次数也有限，发展潜力小生物识别技术具有传统的身份认证手段无法比拟的优点，在很多重要系统中都有使用。随着成本的降低，生物识别技术将用在更多的场合。部署方式部署简单只需要安装一台OTP认证服务器，管理员维护方便。部署较简单如果只是为企业内部建立CA认证系统，只需要部署CA服务器和为用户创建一套账号即可；如果需要对外，企业还需要响第三方申请数字证书，相对比较复杂。部署较复杂企业不但要部署密码卡认证系统，还需要建立密码卡生产线。部署复杂部署生物认证系统时不但需要安装软件产品还要安装硬件设备；为用户建立帐户时需要在每个用户身上提取生物信息，如果是跨国企业，工作量将更大。优点1、用户再也不能选择弱密码；2、用户只要记住PIN，而不用记住传统的强密码；3、一旦密码被使用一次，线路上嗅探到的密码就已经失效。1、安全性，由第三方组织或公司发放数字证书，安全性较高；2、唯一性，CA证明证书主体与证书中所包含的公钥的惟一对应关系。1、每次登陆系统的密码都将不一样；2、用户不再需要记住传统的强密码。3、携带比较方便。1、随身性：生物特征是人体固有的特征，与人体是唯一绑定的，具有随身性；2、安全性：人体特征本身就是个人身份的最好证明,满足更高的安全需求；3、唯一性：每个人拥有的生物特征各不相同；4、稳定性：生物特征如指纹、虹膜等人体特征不会随时间等条件的变化而变化；5、广泛性：每个人都具有这种特征；6、方便性：生物识别技术不需记忆密码与携带使用特殊工具(如钥匙)，不会遗失；7、可采集性：选择的生物特征易于测量；8、可接受性：使用者对所选择的个人生物特征及其应用愿意接受。缺点1、用户需要拥有令牌卡进行认证；2、OTP需要一台额外的服务器接受来自认证服务器中继的请求；3、使用OTP输入一个密码比输入一个用户需要记住的密码时间花费更高；4、在大型网络中OTP价格不菲。1、需要在客户端上创建；2、不同机构可能使用不同CA认证机构；3、一般用于网上认证系统；4、在CS架构的系统上使用数字证书认证，需要是到USB-KEY，会大大提高使用成本；5、需要单独配置CA服务器。4、一张密码卡的使用次数有限；5、密码卡容易损坏；6、在大型企业中造价也比较高。4、外界环境或者使用者本体会影响系统的精确性；5、很多技术还没经过测试，如：虹膜技术、视网膜识别技术等；6、很多认证会用到激光照射等技术，会影响使用者的身体健康。网络信息安全是指通过保护网络程序、数据或者设备，使其免受非法授权使用或访问，来达到保护信息和资源、保护客户和用户、保证私有性等目的。为了确保在各种攻击下，网络程序和数据在服务器、物理信道和主机上的安全性，网络安全必须有效地实现以下各种功能：身份认证（Authentication）鉴定信息的真实性，核实源实体与接受实体是否与宣称的一致。授权（Authorization）用一些特殊的参数表明访问（或存取）的权限。保密性（Confidentiality）使信息只被授权用户享用，确保通信机密。完整性（Integrity）确保数据的完整和准确。不可否认性（Nonrepudiation）验明身份后，不能够拒绝传送和接受。审计与监控管理（Audit&Monitor）审计客户的活动，明确用户的责任。即使将授权、保密性、完整性、不可否认等环节做得很完善，但如果盗用了合法的帐号和口令登录系统，系统仍然认为他是合法用户，给予他相应的访问权限，使系统处于危险状态。在所有功能中，身份认证（Authentication）是最基本最重要的环节，解决了身份识别的问题，就挡住了。目前加强在线交易身份认证的方式有动态口令、数字证书、USB移动证书等方式。（1）数字证书：数字证书认证技术采用加密传输和数字签名技术，可以较好的保障网上信息安全。数字证书的局限是只能在已安装证书的电脑上进行操作，使用不方便。（2）USB移动证书：将用户的密钥或数字证书存储在USBKey硬件设备中，利用USBKey内置的口令学算法实现对用户身份的认证。USBKey的局限是只能在已安装相应驱动程序的电脑上进行操作，在其他没有USB插口的设备上则无法使用，使用范围相对狭窄。另外由于必须连接电脑，在已经出现相应木马病毒的情况下，仍然存在安全隐患。动态口令认证系统和USB证书的方式优缺点比较：比较项目动态口令USB数字证书维护性容易维护。出现问题可以远程排除故障。大大降低维护成本。客户端无需安装，系统集成方便。出现问题时，需要到现场才能解决问题。客户端需要对应的USB-Key驱动，如果驱动安装失败，将导致用户无法使用系统。移动登录动态令牌体积小，不需要跟电脑连接安装，可以很方便的实现移动办公。有些企业信息化安全要求严格，禁用电脑的USB口，很不方便。一些公共场所也不能使用，比如：网吧，酒店等。系统扩展性非常容易扩展，使用范围广。一个认证系统可以使用在VPN、Windows域管理、OA、ERP等，多个系统可以共用一个动态令牌。支持硬件、软件和手机令牌等。扩展性一般。只能用在指定的系统。安全非常高一般性口令60秒变一次口令只能使用一次口令长度达到6位口令随机产生，不可猜USB-Key里只是保存一个证书的标识字符串，一些厂家的低端的USB-Key产品，可以被复制。USB-key里的标识串不会改变，如果在网络传输入过程中，被人盗取的话，有可能该标识串会被破解。使用完后，USB-Key如果忘记拨出电脑，有被人拾走盗用风险。操作方便性非常方便不需安装，对使用者无特别的电脑知识要求。硬件令牌产品小巧，方便携带。手机令牌只要在手机端安装软件即可，一键获取口令，无需携带额外设备。一般需要安装，对于使用者要求有一定的电脑知识。每次使用都需要插入电脑，现在很多电脑的USB口都在主机后面，不方便操作，用完后还容易忘记拨出。