数字证书相较其他身份认证方式的优势.docVIP

数字证书相较其他身份认证方式的优势 强认证方式概述 PKI/CA证书认证方式简介 PKI是Public Key Infrastructure的缩写，就是基于公钥理论和技术为网络提供安全服务的基础设施。公钥体制是目前应用最广泛的一种加密体制，在这一体制中，加密密钥与解密密钥各不相同。公钥加密、私钥解密可以实现对数据的加密保护，私钥签名、公钥验证可以实现对数据的数字签名。这种方式既保证了信息的机密性，又能保证信息具有不可抵赖性。目前，公钥体制广泛地用于CA认证、数字签名和密钥交换等领域。 CA（Certification Authority，认证中心）是确保信任度的权威实体，它的主要职责是颁发数字证书、验证用户身份的真实性。 令牌认证方式简介 令牌认证通常采用动态口令技术。 所谓动态口令技术是对传统的静态口令技术的改进，用户要拥有一些东西如系统颁发的Token，Token上的数字是不断变化的，而且与认证服务器是同步的，因此用户登录到系统的口令也是不断地变化的（即所谓的“一次一密”）。 动态口令技术有两种同步方案：时间同步、事件同步。 时间同步 是指Token采用时间作为动态口令的一个种子，服务器端通过采用时间作为一个种子验证Token产生的口令。 事件同步 是指Token每次产生动态口令时以当前的计数作为一个种子，每次产生完成动态口令后，该计数会自动递增。服务器端同样采用次数作为验证时的种子。 短信认证方式简介 短信认证通过向用户注册的手机发送一次性、短期有效的认证口令，用户仅可以使用该口令完成一次登录，用户不能重复使用该口令。 生物特征认证方式简介 生物认证通过采用特定的生物特征采集设备，采集用户的生物特征（例如：指纹、虹膜、声音、面容等），通过和系统中所保存该用户的对应特征进行比对，以确定用户的身份。 强认证方式比较分析 适用范围比较分析 认证类型 适用范围 备注 PKI/CA认证 用户、系统之间认证，支持双方认证，用户、系统都能够验证对方的身份； 用户、用户之间认证，基于可信的数字证书，用户可以认证相互之间的身份； 系统、系统之间认证，网络应用系统之间可以采用数字证书进行系统之间的认证； 支持数据保密，可以采用数字证书对传输数据进行加密保护； 支持基于数字证书的交易签名，符合电子签名法要求，可作为有效法律证据。 适应安全要求高应用，有数字签名需求的应用，支持安全审计 令牌认证 系统对用户进行认证； 适用于主机、设备、网站等认证登录用户的身份。 适应安全要求中应用，无安全审计需求 短信认证 系统对用户进行认证； 适用于网站对用户进行认证。 适应安全要求中应用，无安全审计要求 生物特征认证 系统对用户进行认证； 适用于物理环境访问控制，例如数据中心门禁控制等。 适应安全要求高应用，终端电脑数量较少 保密性比较分析 认证类型 保密性 备注 PKI/CA认证 基于数字证书可以对数据进行加密保护，包括两方面的加密： 传输加密； 存储加密。 采用PKI非对称加密技术，具有很高的加密强度。 令牌认证 不能进行业务数据加密。令牌技术所采用的动态口令技术仅被用来作为身份认证目的。 可以通过SSL服务器证书实现传输加密，提升保密性。 短信认证 短信认证的优势在于用户认证。可以为用户下发一次性密码来实现传输加密，但无法实现数据的存储加密，目前没有基于短信进行加密的成形方案。 生物特征认证 生物特征本身为模糊处理技术，无法进行数据加密，不能解决数据加密应用中对加密密钥的准确性要求。 比较适合于软硬件系统完全受控环境的中应用，比如企业、数据中心门禁，公安、海关系统身份鉴别等。 完整性比较分析 认证类型 完整性 备注 PKI/CA认证 采用PKI加密技术，例如RSA等，能够对数据传输、数据存储进行完整性校验，对于要求较高的应用，可以采用数字签名技术 令牌认证 可以保障登录的正确性。无法对数据传输、数据存储进行完整性校验。 短信认证 可以保障登录的正确性。无法对数据传输、数据存储进行完整性校验。 生物特征认证 无法对数据传输、数据存储进行完整性校验。 可靠性比较分析 认证类型 可靠性 备注 PKI/CA认证 认证包括两个过程，证书发放和证书登录。 证书发放过程通过CA系统完成； 证书登录过程主要通过业务系统完成。 在CA系统瘫痪时，业务系统仍然可以继续采用数字证书进行登录。此时最大的问题是无法为新的用户签发证书，不能及时吊销现有的证书。相对于业务系统不能登录而言，这些问题并不算严重。 令牌认证 令牌认证过程包括两个部分： 客户端产生动态口令； 后台验证该动态口令。 后台对动态口令验证是通过独立的系统完成的，该系统服务暂停时，将导致整个业务系统不能登录。 短信认证 短信认证依赖移动通信网络传输，同时