現(xiàn)由于用戶名 / 密碼方式的單因素身份認(rèn)證方式無法應(yīng)對日益猖獗的在線欺詐犯罪行為，各種強(qiáng)身份認(rèn)證技術(shù)紛紛登場，因?yàn)槭褂秒p因素或多因素身份認(rèn)證技術(shù)是解決目前網(wǎng)上身份盜竊和在線欺詐的唯一有效手段。美國 聯(lián)邦金融機(jī)構(gòu)檢查委員會 (FFIEC) 就 要求美國金融業(yè)必須在 2006 年底之前為網(wǎng)上銀行提供雙因素用戶身份認(rèn)證，這實(shí)際上是給各行各業(yè)的網(wǎng)上應(yīng)用指明了一個如何確保用戶在線信息安全努力方向。

本文就對現(xiàn)有的各種成熟的身份認(rèn)證技術(shù)做一個簡單的介紹，讓廣大網(wǎng)上應(yīng)用提供商能夠明智地根據(jù)自己的業(yè)務(wù)需要和風(fēng)險(xiǎn)評估來合理選擇強(qiáng)身份認(rèn)證技術(shù)，而不是一味地聽取某些強(qiáng)勢廠商的一面之詞而貿(mào)然確定，從而讓廣大網(wǎng)上用戶承受技術(shù)選型失誤帶來的痛苦。

一、強(qiáng)身份認(rèn)證技術(shù)的選擇原則

    在選擇強(qiáng)身份認(rèn)證解決方案時，最重要的是要評估各種解決方案的優(yōu)缺點(diǎn)，主要包括：是否容易實(shí)施和安全，而最終用戶是否使用方便和低成本應(yīng)該是第一考慮因素。

    任何信息安全技術(shù)主要包含三個概念：機(jī)密性、完整性和實(shí)用性，如果一種安全解決方案僅僅能保證數(shù)據(jù)不會被非法訪問 ( 機(jī)密性 ) 和保證確實(shí)是合法用戶在訪問 ( 完整性 ) ，但如果失去了實(shí)用性，也是不合適的方案。實(shí)用性就是要求此解決方案是可管理的、低成本的，而且不會給用戶帶來太多的痛苦的 ( 用戶實(shí)用方便 ) 。

    在選擇強(qiáng)身份認(rèn)證解決方案時還有一個問題不得不重視，那就是成本。網(wǎng)上應(yīng)用服務(wù)提供商必須考慮采用此方案與其他方案的成本比較 ( 包括服務(wù)提供商的投資成本和最終用戶成本 ) ，同時還要考慮與用戶、合作伙伴、雇員通信不會僅僅是 Web 方式，還應(yīng)考慮此解決方案是否還可以為其他網(wǎng)上通信提供安全保障，如電子郵件通信。

二、現(xiàn)有的身份認(rèn)證技術(shù)

    現(xiàn)有的在線身份認(rèn)證技術(shù)依賴許多因素，但主要可以歸納為三大類：

    (1) 根據(jù)你所知道的信息來證明你的身份 (what you know ，你知道什么 ) ，假設(shè)某些信息只有你本人知道，如暗號、密碼等，通過詢問這個信息就可以確認(rèn)你的身份；

    (2) 根據(jù)你所擁有的東西來證明你的身份 (what you have ，你有什么 ) ，假設(shè)某一個東西只有你本人擁有，如 IC 卡、 USB Key 、個人數(shù)字證書等，通過出示這個東西也可以確認(rèn)你的身份；

    (3)直接根據(jù)你獨(dú)一無二的身體特征來證明你的身份 (who you are ，你是誰 ) ，比如指紋、面貌等。

    單因素認(rèn)證方式 ( 如密碼 ) 只是簡單地依賴一個因素：你知道什么。而當(dāng)你到 ATM 柜員機(jī)上取錢時就是使用雙因素認(rèn)證，即：你知道什么 ( 密碼 ) 和你有什么 ( 銀行卡 ) 。其他雙因素認(rèn)證則注重于你是誰，如生物特征解決方案：指紋掃描識別和聲音識別等。然而，實(shí)施生物特征解決方案費(fèi)用高，也不容易管理和大范圍的使用，而且還較高的錯誤識別率。

由于“你有什么”和“你是誰”不適宜在網(wǎng)上實(shí)施，所以一些網(wǎng)上應(yīng)用服務(wù)提供商試圖讓用戶知道許多個什么，如多重密碼、循環(huán)密碼等，這些也許比單一密碼要安全些，但其實(shí)并沒有增加多少安全。而且，密碼越多，用戶越記不住，網(wǎng)上應(yīng)用服務(wù)提供商就要花費(fèi)更多投入來為用戶重設(shè)密碼，也給用戶帶來了使用上的不便。

有些網(wǎng)上應(yīng)用服務(wù)提供商已經(jīng)使用了動態(tài)時間令牌，可以動態(tài)產(chǎn)生一組數(shù)字作為登錄密碼，但費(fèi)用太貴，實(shí)施成本實(shí)在太高，而且容易丟失、轉(zhuǎn)借、硬件顯示不清、時間不能同步和電池沒電等問題，更重要的是，動態(tài)密碼登錄后如果服務(wù)器不部署 SSL 證書，則用戶登錄后查詢的機(jī)密信息仍然非常容易被非法竊聽。多重密碼方式相對來講費(fèi)用最低，但并不比單一密碼安全許多，而詢問用戶這些問題只適合于填寫開戶申請表格，而不是用于身份認(rèn)證，因?yàn)檫@些常用的問題并不僅僅用戶一個人知道。

實(shí)際上，“你有什么”并不意味著一定要物理上“你有什么”，你可以擁有虛擬物品，那就是存儲在你的電腦、智能 IC 卡和 USB Key 中的客戶端個人數(shù)字證書。客戶端數(shù)字證書是基于 PKI 公鑰基礎(chǔ)設(shè)施的加密技術(shù)的最理想的雙因素認(rèn)證方式，它可以以電子方式發(fā)送給用戶來提供強(qiáng)身份認(rèn)證，能保護(hù)用戶數(shù)據(jù)的完整性和提供對用戶透明登錄方式而不會對用戶造成任何不便。它可以直接存儲在用戶電腦上，或?yàn)榱朔奖銛y帶，可以存放在智能 IC 卡或 USB Key 上。

三、正確選擇用戶強(qiáng)身份認(rèn)證技術(shù)

    既然簡單的用戶名 / 密碼方式不安全，那為何大家又都普遍使用此方式呢？答案很簡單：對用戶和網(wǎng)上應(yīng)用服務(wù)提供商來講都非常方便。用戶名 / 密碼容易記住，非常容易和快速登錄帳戶，而且對網(wǎng)上應(yīng)用服務(wù)提供商來講還是成本最低的解決方案。用戶當(dāng)然希望有一種非常方便的方式來訪問自己的帳戶，而網(wǎng)上應(yīng)用服務(wù)提供商當(dāng)然是希望此方式的操作成本最低。

    正是由于用戶名 / 密碼方式使用非常方便而受到用戶的青睞，但也同時吸引了犯罪分子。密碼方式安全性最低，因?yàn)橛脩敉鶗衙艽a記在本子上，而且是多個網(wǎng)站使用同一個密碼。用戶在輸入密碼時非常有可能被旁人觀察到，也非常容易被猜到，也極有可能被間諜軟件竊獲。網(wǎng)上各種應(yīng)用使用簡單的用戶名 / 密碼方式是方便了用戶但犧牲了安全，這就需要網(wǎng)上應(yīng)用服務(wù)提供商和用戶在方便和安全兩個方面做出一個平衡的選擇。

    那么，哪種身份認(rèn)證方式是最容易實(shí)施的和最可靠的呢？可以看出，有許多技術(shù)可以提供比用戶名 / 密碼方式更強(qiáng)的用戶認(rèn)證，如：多重口令、秘密問題回答、動態(tài)時間令牌、一次性口令、生物特征和客戶端數(shù)字證書 ( 可以直接安裝到用戶電腦中或智能 IC 卡、 USB Key 中 ) 。而根據(jù)選擇原則，本文認(rèn)為： 目前唯一的容易部署、低成本、安全的、方便的強(qiáng)身份認(rèn)證方式只有客戶端數(shù)字證書，不僅可以提供 Web 方式應(yīng)用的強(qiáng)身份認(rèn)證，還能提供非 Web 方式應(yīng)用的強(qiáng)身份認(rèn)證和電子郵件通信的機(jī)密信息加密和數(shù)字簽名。

四、使用客戶端數(shù)字證書實(shí)現(xiàn)安全的在線應(yīng)用

單向認(rèn)證的 SSL 證書已經(jīng)在服務(wù)器上廣泛使用，當(dāng)安全鎖顯示在瀏覽器的下方時，它表明了有一個服務(wù)器 SSL 證書正在為用戶電腦與服務(wù)器之間的通信提供一個加密通道來保護(hù)數(shù)據(jù)傳輸安全。然而，這忽略了一個最重要的事情：用戶端的身份認(rèn)證 -- 是誰正在使用此安全通道。解決這個問題的最好解決方案是也要求用戶端使用數(shù)字證書來證明其身份，從而實(shí)現(xiàn)服務(wù)器端和客戶端的雙向身份認(rèn)證。

當(dāng)用戶從 CA( 如 GeoTrust) 獲得客戶端數(shù)字證書后，用戶就擁有了電子化的身份證明用于向服務(wù)器證明其真實(shí)身份。數(shù)字證書在原基于用戶名 / 密碼認(rèn)證方式基礎(chǔ)上提供了更加安全的強(qiáng)身份認(rèn)證機(jī)制，是最安全的多層身份認(rèn)證解決方案。為了便于攜帶，客戶端數(shù)字證書可以安裝到智能 IC 卡或 USB Key 中。

那么，什么是網(wǎng)上應(yīng)用服務(wù)提供商頒發(fā)客戶端數(shù)字證書最經(jīng)濟(jì)的解決方案呢？一個集中管理的外包式 PKI 證書管理服務(wù) ( 如： GeoTrust 超管 RA) 是網(wǎng)上應(yīng)用服務(wù)提供商頒發(fā)客戶端數(shù)字證書最經(jīng)濟(jì)的解決方案，可以大大降低昂貴的內(nèi)部 PKI 基礎(chǔ)設(shè)施的投資，減輕網(wǎng)上應(yīng)用服務(wù)提供商的投資負(fù)擔(dān)和管理負(fù)擔(dān)，充分利用現(xiàn)有 CA 完善的 PKI 基礎(chǔ)設(shè)施來輕松頒發(fā)客戶端數(shù)字證書。更重要的是：由于瀏覽器和電子郵件客戶端軟件已經(jīng)預(yù)置了這些可信任的證書頒發(fā)機(jī)構(gòu) ( 如 GeoTrust) 的根證書，所以當(dāng)給用戶頒發(fā)這些 CA 簽名的客戶端數(shù)字證書時，瀏覽器就不會出現(xiàn)不友好的安全警告，用戶也無需另外安裝根證書，將大大方便了用戶的使用。

把頒發(fā)客戶端數(shù)字證書和 PKI 管理外包給可信任的證書頒發(fā)機(jī)構(gòu) (GeoTrust) 后，網(wǎng)上應(yīng)用服務(wù)提供商仍然可以完全控制整個證書的生命周期，包括：在線申請、續(xù)期和廢止。同時，可控制的集中管理的密鑰產(chǎn)生、私鑰備份和恢復(fù)等將提供最大限度地安全和私鑰保護(hù)。總之，使用客戶端數(shù)字證書來實(shí)現(xiàn)身份雙因素身份認(rèn)證是 目前唯一容易部署的、低成本的、安全的、方便的強(qiáng)身份認(rèn)證方式，而外包 PKI 證書管理服務(wù) ( 如： GeoTrust 超管 RA) 又是網(wǎng)上應(yīng)用服務(wù)提供商頒發(fā)客戶端數(shù)字證書最經(jīng)濟(jì)的最快捷的解決方案。(責(zé)任編輯：zhaohb)