关于身份的那些事之（二） 身份认证的多种方式及不同实体的身份认证

身份认证是确认实体身份的过程，涉及人、机、物、系统平台、程序、进程等不同实体。以下是这些实体身份认证方式的概述。

用户身份认证

▌ 用户身份认证方式主要有三种：

1. 所知

如密码、PIN码等，经济且易用，但安全性低。

2. 所持

如门卡、智能卡、USBKey等，安全性高，但易丢失。

3. 所有

包括生物特征和行为特征，用户体验好，但具有不可撤销性。

强认证需结合所知、所持、所有中的任意两种方式，也称双因子认证。仅使用生物特征识别不能提供强身份认证。

▌ 用户身份认证方式对比：

▌ 用户身份认证方式实例：

1. 基于口令的认证： 

用户注册用户名和口令，系统存储用户名和口令（或口令的HASH值），登录时比对输入的口令或用口令加密的时间戳进行验证。

2. 基于智能卡的认证：

实现双因素认证，智能卡存储代表用户身份的公私密钥对，登录时用私钥对随机数摘要值计算数字签名，系统验证数字签名。

3. 基于生物特征的认证： 

生物识别技术通过分析个人独特的生理或行为特征确认身份。生理性生物识别是“你是什么”，行为性生物识别是“你做什么”。生物识别面临不可撤销性和可链接性问题，且在生成式人工智能技术下，被大模型仿冒而冒用身份是最大危机。

机器身份认证

机器身份认证方法包括“挑战-应答”和数字签名等。

1.“挑战-应答”机制： 

通信双方共享密钥k，实体A生成随机数发送给B，B用共享密钥加密随机数发送回A，A解密比对随机数是否一致。该机制能有效抵抗重放攻击和其他许多假冒攻击，挑战信息的随机性对安全性至关重要。

2.数字签名： 

签名者用私钥对数据杂凑值做密码运算，验证者用签名者的公钥验证数字签名。数字签名可实现数据完整性、签名者身份真实性和签名行为不可否认性。对称密钥的消息验证码机制不能实现不可否认性。

物（受限设备）身份认证

物（受限设备）身份认证强调轻量级和资源受限特性，目的是使数据安全可靠传递，鉴别数据来源。轻量级认证特征包括：双方数据交互次数少、数据量小、加密算法操作少，采用基于身份的签名、隐证书、轻量级带密钥的消息认证码等机制。其安全性相比传统身份认证协议较低，但足以应对物联网感知节点的常见攻击。

虚拟实体（程序、进程）身份认证

虚拟实体身份认证的目的是证明服务器软件、程序、进程是正式发布时声称的软件，防止钓鱼、数据来源造假等攻击。一般采用数字签名实现身份认证，确保用户访问的服务器真实可靠

多因素身份认证的攻击及防护

研究表明，多因素认证（MFA）可限制恶意行为者使用被泄露的凭证进行初始网络访问的能力，但安全性低的MFA仍存在风险。低安全性MFA包括短信或语音MFA（易被诱骗转移电话号码控制权或通过恶意网站链接欺骗获取验证码）和不支持FIDO或PKI的MFA（易被已泄露合法凭据的恶意行为者破解）。保护登录凭证的措施是实施基于FIDO或PKI的MFA，这些形式的MFA可抵御网络钓鱼及相关威胁。

随着人工智能和量子计算机的快速发展，身份安全面临更严峻的挑战。北京握奇数据股份有限公司在身份认证领域拥有30余年经验，其智能卡、智能密码钥匙等产品采用先进加密技术，保障用户身份信息安全，广泛应用于交通、金融、医疗、政企等领域。在物联网设备认证方面，握奇的轻量级机制适应资源受限环境，保障设备数据安全传输。其数字签名技术为虚拟实体认证提供可靠支持，有效防范钓鱼和数据造假风险。凭借创新技术和优质服务，握奇赢得市场认可和客户信赖。面对新发展趋势，握奇积极布局，研究抗量子攻击算法，探索AI赋能身份认证，提升智能化水平，优化用户体验，持续为数字时代身份认证筑牢安全防线。