數(shù)字證書相較其他身份認(rèn)證方式的優(yōu)勢(shì)

數(shù)字證書相較其他身份認(rèn)證方式的優(yōu)勢(shì)強(qiáng)認(rèn)證方式概述PKI/CA證書認(rèn)證方式簡(jiǎn)介PKI是PublicKeyInfrastructure的縮寫，就是基于公鑰理論和技術(shù)為網(wǎng)絡(luò)提供安全服務(wù)的基礎(chǔ)設(shè)施。公鑰體制是目前應(yīng)用最廣泛的一種加密體制，在這一體制中，加密密鑰與解密密鑰各不相同。公鑰加密、私鑰解密可以實(shí)現(xiàn)對(duì)數(shù)據(jù)的加密保護(hù)，私鑰簽名、公鑰驗(yàn)證可以實(shí)現(xiàn)對(duì)數(shù)據(jù)的數(shù)字簽名。這種方式既保證了信息的機(jī)密性，又能保證信息具有不可抵賴性。目前，公鑰體制廣泛地用于CA認(rèn)證、數(shù)字簽名和密鑰交換等領(lǐng)域。CA（CertificationAuthority，認(rèn)證中心）是確保信任度的權(quán)威實(shí)體，它的主要職責(zé)是頒發(fā)數(shù)字證書、驗(yàn)證用戶身份的真實(shí)性。令牌認(rèn)證方式簡(jiǎn)介令牌認(rèn)證通常采用動(dòng)態(tài)口令技術(shù)。所謂動(dòng)態(tài)口令技術(shù)是對(duì)傳統(tǒng)的靜態(tài)口令技術(shù)的改進(jìn)，用戶要擁有一些東西如系統(tǒng)頒發(fā)的Token，Token上的數(shù)字是不斷變化的，而且與認(rèn)證服務(wù)器是同步的，因此用戶登錄到系統(tǒng)的口令也是不斷地變化的（即所謂的“一次一密”）。動(dòng)態(tài)口令技術(shù)有兩種同步方案：時(shí)間同步、事件同步。時(shí)間同步是指Token采用時(shí)間作為動(dòng)態(tài)口令的一個(gè)種子，服務(wù)器端通過采用時(shí)間作為一個(gè)種子驗(yàn)證Token產(chǎn)生的口令。事件同步是指Token每次產(chǎn)生動(dòng)態(tài)口令時(shí)以當(dāng)前的計(jì)數(shù)作為一個(gè)種子，每次產(chǎn)生完成動(dòng)態(tài)口令后，該計(jì)數(shù)會(huì)自動(dòng)遞增。服務(wù)器端同樣采用次數(shù)作為驗(yàn)證時(shí)的種子。短信認(rèn)證方式簡(jiǎn)介短信認(rèn)證通過向用戶注冊(cè)的手機(jī)發(fā)送一次性、短期有效的認(rèn)證口令，用戶僅可以使用該口令完成一次登錄，用戶不能重復(fù)使用該口令。生物特征認(rèn)證方式簡(jiǎn)介生物認(rèn)證通過采用特定的生物特征采集設(shè)備，采集用戶的生物特征（例如：指紋、虹膜、聲音、面容等），通過和系統(tǒng)中所保存該用戶的對(duì)應(yīng)特征進(jìn)行比對(duì)，以確定用戶的身份。強(qiáng)認(rèn)證方式比較分析適用范圍比較分析認(rèn)證類型適用范圍備注PKI/CA認(rèn)證1、用戶、系統(tǒng)之間認(rèn)證，支持雙方認(rèn)證，用戶、系統(tǒng)都能夠驗(yàn)證對(duì)方的身份；2、用戶、用戶之間認(rèn)證，基于可信的數(shù)字證書，用戶可以認(rèn)證相互之間的身份；3、系統(tǒng)、系統(tǒng)之間認(rèn)證，網(wǎng)絡(luò)應(yīng)用系統(tǒng)之間可以采用數(shù)字證書進(jìn)行系統(tǒng)之間的認(rèn)證；4、支持?jǐn)?shù)據(jù)保密，可以采用數(shù)字證書對(duì)傳輸數(shù)據(jù)進(jìn)行加密保護(hù)；5、支持基于數(shù)字證書的交易簽名，符合電子簽名法要求，可作為有效法律證據(jù)。適應(yīng)安全要求高應(yīng)用，有數(shù)字簽名需求的應(yīng)用，支持安全審計(jì)令牌認(rèn)證1、系統(tǒng)對(duì)用戶進(jìn)行認(rèn)證；2、適用于主機(jī)、設(shè)備、網(wǎng)站等認(rèn)證登錄用戶的身份。適應(yīng)安全要求中應(yīng)用，無安全審計(jì)需求短信認(rèn)證1、系統(tǒng)對(duì)用戶進(jìn)行認(rèn)證；2、適用于網(wǎng)站對(duì)用戶進(jìn)行認(rèn)證。適應(yīng)安全要求中應(yīng)用，無安全審計(jì)要求生物特征認(rèn)證1、系統(tǒng)對(duì)用戶進(jìn)行認(rèn)證；2、適用于物理環(huán)境訪問控制，例如數(shù)據(jù)中心門禁控制等。適應(yīng)安全要求高應(yīng)用，終端電腦數(shù)量較少保密性比較分析認(rèn)證類型保密性備注

PKI/CA認(rèn)證基于數(shù)字證書可以對(duì)數(shù)據(jù)進(jìn)行加密保護(hù)，包括兩方面的加密：1、傳輸加密；2、存儲(chǔ)加密。采用PKI非對(duì)稱加密技術(shù)，具有很高的加密強(qiáng)度。令牌認(rèn)證不能進(jìn)行業(yè)務(wù)數(shù)據(jù)加密。令牌技術(shù)所采用的動(dòng)態(tài)口令技術(shù)僅被用來作為身份認(rèn)證目的?？梢酝ㄟ^SSL服務(wù)器證書實(shí)現(xiàn)傳輸加密，提升保密性。短信認(rèn)證短信認(rèn)證的優(yōu)勢(shì)在于用戶認(rèn)證?？梢詾橛脩粝掳l(fā)一次性密碼來實(shí)現(xiàn)傳輸加密，但無法實(shí)現(xiàn)數(shù)據(jù)的存儲(chǔ)加密，目前沒有基于短信進(jìn)行加密的成形方案。生物特征認(rèn)證生物特征本身為模糊處理技術(shù)，無法進(jìn)行數(shù)據(jù)加密，不能解決數(shù)據(jù)加密應(yīng)用中對(duì)加密密鑰的準(zhǔn)確性要求。比較適合于軟硬件系統(tǒng)完全受控環(huán)境的中應(yīng)用，比如企業(yè)、數(shù)據(jù)中心門禁，公安、海關(guān)系統(tǒng)身份鑒別等。完整性比較分析認(rèn)證類型完整性備注PKI/CA認(rèn)證采用PKI加密技術(shù)，例如RSA等，能夠?qū)?shù)據(jù)傳輸、數(shù)據(jù)存儲(chǔ)進(jìn)行完整性校驗(yàn)，對(duì)于要求較高的應(yīng)用，可以采用數(shù)字簽名技術(shù)令牌認(rèn)證可以保障登錄的正確性。無法對(duì)數(shù)據(jù)傳輸、數(shù)據(jù)存儲(chǔ)進(jìn)行完整性校驗(yàn)。短信認(rèn)證可以保障登錄的正確性。無法對(duì)數(shù)據(jù)傳輸、數(shù)據(jù)存儲(chǔ)進(jìn)行完整性校驗(yàn)。生物特征認(rèn)證無法對(duì)數(shù)據(jù)傳輸、數(shù)據(jù)存儲(chǔ)進(jìn)行完整性校驗(yàn)。

可靠性比較分析認(rèn)證類型可靠性備注PKI/CA認(rèn)證認(rèn)證包括兩個(gè)過程，證書發(fā)放和證書登錄。1、證書發(fā)放過程通過CA系統(tǒng)完成；2、證書登錄過程主要通過業(yè)務(wù)系統(tǒng)完成。在CA系統(tǒng)癱瘓時(shí)，業(yè)務(wù)系統(tǒng)仍然可以繼續(xù)采用數(shù)字證書進(jìn)行登錄。此時(shí)最大的問題是無法為新的用戶簽發(fā)證書，不能及時(shí)吊銷現(xiàn)有的證書。相對(duì)于業(yè)務(wù)系統(tǒng)不能登錄而言，這些問題并不算嚴(yán)重。令牌認(rèn)證令牌認(rèn)證過程包括兩個(gè)部分：1、客戶端產(chǎn)生動(dòng)態(tài)口令；2、后臺(tái)驗(yàn)證該動(dòng)態(tài)口令。后臺(tái)對(duì)動(dòng)態(tài)口令驗(yàn)證是通過獨(dú)立的系統(tǒng)完成的，該系統(tǒng)服務(wù)暫停時(shí)，將導(dǎo)致整個(gè)業(yè)務(wù)系統(tǒng)不能登錄。短信認(rèn)證短信認(rèn)證依賴移動(dòng)通信網(wǎng)絡(luò)傳輸，同時(shí)后臺(tái)需要有短信認(rèn)證處理模塊，如要包括隨機(jī)口令產(chǎn)生、口令驗(yàn)證等，認(rèn)證處理模塊可以集成在業(yè)務(wù)系統(tǒng)內(nèi)部。移動(dòng)通信網(wǎng)絡(luò)的信號(hào)、延時(shí)，對(duì)短信認(rèn)證的可靠性影響較大，當(dāng)采用了獨(dú)立的短信認(rèn)證模塊時(shí)，該模塊對(duì)業(yè)務(wù)系統(tǒng)的可靠性影響也會(huì)比較大。生物特征認(rèn)證生物特征認(rèn)證核心要素包括：1、生物特征采集設(shè)備；2、后臺(tái)生物特征比對(duì)系統(tǒng)，內(nèi)涵用戶的特征數(shù)據(jù)庫(kù)；3、用戶的生物特征。

影響可靠性有幾個(gè)方面：1、采集設(shè)備受環(huán)境影響，靈敏度變化較大，故障率相對(duì)較大；2、后臺(tái)比對(duì)系統(tǒng)本身的單點(diǎn)故障，對(duì)系統(tǒng)影響較大；3、用戶生物特征會(huì)發(fā)上變化，例如體型、聲音等，存在一定的失敗概率。從應(yīng)用上風(fēng)險(xiǎn)并不算大，生物特征認(rèn)證一般會(huì)作為其他認(rèn)證手段的補(bǔ)充，例如ID卡、身份證等，且一般用戶量不會(huì)很多、并發(fā)訪問量較小，可以通過其它管理上的手段處理故障時(shí)的系統(tǒng)正常運(yùn)行問題?？沟仲囆员容^分析認(rèn)證類型抗抵賴備注PKI/CA認(rèn)證支持抗抵賴?；诳尚臗A簽發(fā)的數(shù)字證書，用戶、系統(tǒng)都能夠進(jìn)行數(shù)字簽名，產(chǎn)生可靠的電子簽名證據(jù)，任何一方都不能抵賴。令牌認(rèn)證不支持短信認(rèn)證不支持生物特征認(rèn)證不支持可擴(kuò)展性比較分析認(rèn)證類型可擴(kuò)展備注PKI/CA認(rèn)證可以擴(kuò)展到數(shù)據(jù)加密、業(yè)務(wù)簽名

審計(jì)、文檔簽章等。管理功能豐富，能夠隨需定制，滿足企業(yè)的內(nèi)部管理、控制等流程要求。能夠在USBKey內(nèi)部集成企業(yè)的其它應(yīng)用，例如VPN等。令牌認(rèn)證僅適用于身份認(rèn)證。短信認(rèn)證僅適用于身份認(rèn)證。生物特征認(rèn)證僅適用于身份認(rèn)證。易用性比較分析認(rèn)證類型易用性備注PKI/CA認(rèn)證首次使用存在一定難度，習(xí)慣后難度降低。主要包括設(shè)備驅(qū)動(dòng)軟件安裝，接受新的登錄方式等。在硬件證書丟失后，可以簽發(fā)臨時(shí)的軟件證書應(yīng)急使用。令牌認(rèn)證簡(jiǎn)單易用，登錄失敗率低。令牌遺失后，需要獲取新的令牌，沒有靈活的臨時(shí)方案。短信認(rèn)證簡(jiǎn)單易用，登錄失敗率低。在移動(dòng)通信網(wǎng)絡(luò)繁忙時(shí)，會(huì)帶來延遲，影響用戶體驗(yàn)。生物特征認(rèn)證簡(jiǎn)單易用，用戶無需攜帶特定設(shè)備。會(huì)存在認(rèn)證失敗，需要用戶多次嘗試才能成功的情況，受設(shè)備穩(wěn)定性、用戶自身情況（體溫、汗液、灰塵等）等影響。標(biāo)準(zhǔn)化程度比較分析認(rèn)證類型標(biāo)準(zhǔn)化備注

PKI/CA認(rèn)證技術(shù)成熟，國(guó)家標(biāo)準(zhǔn)、國(guó)際標(biāo)準(zhǔn)、行業(yè)標(biāo)準(zhǔn)完備，軟硬件技術(shù)一致性很高，具有很高的兼容性，大部分軟、硬件可以通用。令牌認(rèn)證所采用的技術(shù)成熟，具有行業(yè)標(biāo)準(zhǔn)，對(duì)動(dòng)態(tài)口令產(chǎn)生算法提供指導(dǎo)。各廠家的軟、硬件技術(shù)差異較大，部分廠家技術(shù)保密，各廠家之間軟硬件集成難度較大，應(yīng)用中一般采用特定某一廠家的產(chǎn)品。短信認(rèn)證無相關(guān)標(biāo)準(zhǔn)生物特征認(rèn)證無相關(guān)標(biāo)準(zhǔn)管理與維護(hù)難度比較分析認(rèn)證類型管理與維護(hù)難度備注PKI/CA認(rèn)證在管理、維護(hù)方面的功能較豐富，方便運(yùn)營(yíng)維護(hù)的使用。客戶端需要安裝PKI/CA相關(guān)的軟、硬件，對(duì)最終用戶的技術(shù)支持會(huì)稍多些。令牌認(rèn)證設(shè)備丟失后，恢復(fù)麻煩，時(shí)間久。短信認(rèn)證維護(hù)簡(jiǎn)單。生物特征認(rèn)證生物特征采集設(shè)備故障率高.，修理時(shí)間久。投資成本比較分析認(rèn)證類型投資成本備注PKI/CA認(rèn)證成本較高。從基于數(shù)字證書的認(rèn)證、加密、簽名、簽章應(yīng)用等綜合價(jià)值看，綜合成本較低。令牌認(rèn)證成本適中，能夠以較低成本獲取

較高的登錄安全。短信認(rèn)證很少成本即可實(shí)現(xiàn)對(duì)口令認(rèn)證的安全提升。生物特征認(rèn)證適度投資即可完成物理環(huán)境的安全控制。對(duì)比圖示目前來說最安全、穩(wěn)定、低成本和方便的認(rèn)證方式生物特征識(shí)別的準(zhǔn)確性和穩(wěn)定性還有待提高，特別是如果用戶身體受到傷病的影