身份认证是确认实体身份的过程,涉及人、机、物、系统平台、程序、进程等不同实体。以下是这些实体身份认证方式的概述。
用户身份认证
▌ 用户身份认证方式主要有三种:
强认证需结合所知、所持、所有中的任意两种方式,也称双因子认证。仅使用生物特征识别不能提供强身份认证。
▌ 用户身份认证方式对比:

▌ 用户身份认证方式实例:
1. 基于口令的认证:
用户注册用户名和口令,系统存储用户名和口令(或口令的HASH值),登录时比对输入的口令或用口令加密的时间戳进行验证。
2. 基于智能卡的认证:
实现双因素认证,智能卡存储代表用户身份的公私密钥对,登录时用私钥对随机数摘要值计算数字签名,系统验证数字签名。
3. 基于生物特征的认证:
生物识别技术通过分析个人独特的生理或行为特征确认身份。生理性生物识别是“你是什么”,行为性生物识别是“你做什么”。生物识别面临不可撤销性和可链接性问题,且在生成式人工智能技术下,被大模型仿冒而冒用身份是最大危机。
机器身份认证
机器身份认证方法包括“挑战-应答”和数字签名等。
1.“挑战-应答”机制:
通信双方共享密钥k,实体A生成随机数发送给B,B用共享密钥加密随机数发送回A,A解密比对随机数是否一致。该机制能有效抵抗重放攻击和其他许多假冒攻击,挑战信息的随机性对安全性至关重要。
2.数字签名:
签名者用私钥对数据杂凑值做密码运算,验证者用签名者的公钥验证数字签名。数字签名可实现数据完整性、签名者身份真实性和签名行为不可否认性。对称密钥的消息验证码机制不能实现不可否认性。
物(受限设备)身份认证
物(受限设备)身份认证强调轻量级和资源受限特性,目的是使数据安全可靠传递,鉴别数据来源。轻量级认证特征包括:双方数据交互次数少、数据量小、加密算法操作少,采用基于身份的签名、隐证书、轻量级带密钥的消息认证码等机制。其安全性相比传统身份认证协议较低,但足以应对物联网感知节点的常见攻击。
虚拟实体(程序、进程)身份认证
虚拟实体身份认证的目的是证明服务器软件、程序、进程是正式发布时声称的软件,防止钓鱼、数据来源造假等攻击。一般采用数字签名实现身份认证,确保用户访问的服务器真实可靠
多因素身份认证的攻击及防护
研究表明,多因素认证(MFA)可限制恶意行为者使用被泄露的凭证进行初始网络访问的能力,但安全性低的MFA仍存在风险。低安全性MFA包括短信或语音MFA(易被诱骗转移电话号码控制权或通过恶意网站链接欺骗获取验证码)和不支持FIDO或PKI的MFA(易被已泄露合法凭据的恶意行为者破解)。保护登录凭证的措施是实施基于FIDO或PKI的MFA,这些形式的MFA可抵御网络钓鱼及相关威胁。

随着人工智能和量子计算机的快速发展,身份安全面临更严峻的挑战。北京握奇数据股份有限公司在身份认证领域拥有30余年经验,其智能卡、智能密码钥匙等产品采用先进加密技术,保障用户身份信息安全,广泛应用于交通、金融、医疗、政企等领域。在物联网设备认证方面,握奇的轻量级机制适应资源受限环境,保障设备数据安全传输。其数字签名技术为虚拟实体认证提供可靠支持,有效防范钓鱼和数据造假风险。凭借创新技术和优质服务,握奇赢得市场认可和客户信赖。面对新发展趋势,握奇积极布局,研究抗量子攻击算法,探索AI赋能身份认证,提升智能化水平,优化用户体验,持续为数字时代身份认证筑牢安全防线。