身份认证的基本概念
1、身份认证的定义
身份认证是计算机系统的用户在进入系统或访问不同保护级别的系统资源时，系统确认该用户的身份是否真实、合法和唯一。
2、身份认证的作用从上面的定义，我们不难看出，身份认证就是为了确保用户身份的真实、合法和唯一。这样，就可以防止非法人员进入系统，防止非法人员通过违法操作获取不正当利益，访问受控信息，恶意破坏系统数据的完整性的情况的发生。同时，在一些需要具有较高安全性的系统中，通过用户身份的唯一性，系统可以自动记录用户所作的操作，进行有效的稽核。
一个系统的身份认证的方案，必须根据各种系统的不同平台和不同安全性要求来进行设计，比如，有些公用信息查询系统可能不需要身份认证，而有些金融系统则需要很高的安全性。同时，身份认证要尽可能的方便、可靠，并尽可能地降低成本。在此基础上，还要考虑系统扩展的需要。
3、身份认证的分类
目前，身份认证的方法形形色色，从身份认证所用的物理介质分，主要有口令、磁卡、条码卡、IC卡、智能令牌、指纹、密码表等；从身份认证过程中与系统的通信次数分，有一次认证、两次认证；从身份认证所应用的系统来分，有单机系统身份认证和网络系统身份认证。并且，很多系统的身份认证是上述各种方法的组合，更显得五花八门，但这些都是表面现象，从身份认证的基本原理上来说，身份认证可以分为静态身份认证和动态身份认证。

静态身份认证
静态身份认证是指用户登录系统、验证身份过程中，送入系统的验证数据是固定不变的，符合这个特征的身份认证方法称为静态身份认证。
静态身份认证主要可以分为单因素静态口令身份认证和双因素静态身份认证。
1、单因素静态口令身份认证
（1）单因素静态口令身份认证的基本原理
静态口令是一种单因素认证方法，通常采用如下形式：当用户需要访问系统资源时，系统提示用户输入用户名和口令。系统采用加密方式或明文方式将用户名和口令传送到认证中心。并和认证中心保存的用户信息进行比对。如果验证通过，系统允许该用户进行随后的访问操作，否则拒绝用户的进一步的访问操作。
（2）单因素静态口令身份认证的一般应用
单因素静态口令身份认证一般用于早期的计算机系统，目前，在一些比较简单的系统或安全性要求不高的系统中也有应用，例如PC机的开机口令、UNIX系统中用户的登录、Windows用户的登录、电话银行查询系统的账户口令等等。
现在的许多计算机系统是由老的计算机系统发展而来，延用了原有的身份认证方法，所以，现在的系统大多数还是采用的单因素静态口令身份认证方法。但事实上，单因素静态口令身份认证存在着诸多的不安全因素。
（3）单因素静态口令身份认证的不安全因素及应对措施
静态密码是用户和机器之间共知的一种信息，而其他人不知道，这样用户若知道这个口令，就说明用户是机器所认为的那个人。在大多数情况下，网络或系统登录控制通常使用的口令是静态的，也就是说在一定时间内是固定不变的，而且可重复使用。难道在每次会话后修改一次密码吗？显然这样做是极其愚蠢的，那样太累人了！这样的话，就有安全隐患了！因为若他人知道用户的密码，就可冒用用户的身份登录系统或网络，进行非法操作等行为，给真实用户的利益造成损害!
如今，人们同密码打交道越来越多，银行账户、股票账户、信用卡、拨号上网、网上购物等等无不需要输入密码。为了好记，很多人采用有规律性的数字组合，像生日、身份证号码、门牌号、电话号码等，有的为了省事，甚至一个密码一用到底。这样确实方便，但却带来了不安全因素，也给不法之徒留下了便利。
单因素静态口令身份认证的不安全因素列举如下：
① 一个口令多次使用，容易造成泄露和被黑客或心怀叵测的人观察窃取；
② 为便于记忆，大多数网络用户，喜欢用自己所熟悉的人名，日期，门牌号码，电话号码及组合作为口令，因此很容易被猜测；
③ 在多个业务服务和应用使用相同的口令，用户喜欢使用容易记住的口令，或在同事之间，由于工作关系往往共享口令；
④ 通过窃听技术，网络中传输的口令数据可能被截获和分析；
⑤ 有各种猜测口令的黑客程序可以进行猜测口令攻击；
⑥ 某些驻留在计算机内部的黑客程序可以记录用户输入的口令；
⑦ 在很多情况下口令泄露后，往往口令的持有者并不能及时发觉；
由于以口令作为身份认证的要素，不论因为何种原因造成口令泄露都会导致系统侵入攻击。因此为提高安全性通常会配合相应的管理制度控制口令的使用。例如：
① 口令长度和内容有限制。如要求口令的长度要8位以上，而且要有数字和大小写字母混合组成等；
② 定期更换口令。有的系统要求用户在一个月必须更换口令，否则不准登录；
③ 不同系统功能采用不同的口令。对拥有不同系统权限的用户，登录不同系统必须采用不同的口令，以减少口令泄露带来的影响；
④ 要求用户在固定的设备上登录。有的系统要求某些用户只能在某些事先设定的终端上才能登录，在其他终端上拒绝登录；
⑤ 要求用户在固定的时间段内登录。有的系统要求用户只能在上班时间或其他时间登录，在其他时间拒绝登录；
⑥ 不准多人共享同一用户名和口令。
采用以上方法虽然可以在一定程度上提高了系统的安全性，但是并不能从根本上解决上述问题。同时也造成用户使用不便。例如要求用户采用了复杂的口令，同时经常更换，当然增加了猜测口令的难度。但同时用户记忆口令的难度也增大。有些用户为避免遗忘口令，往往将口令记录在记事本上，甚至记录在终端上的记录条上，这又增加了口令泄露的可能性。由此产生的系统安全问题数不胜数，而且窃取口令后，对系统的侵入和攻击不容易分清肇事者的责任。采用冒名口令方式，已经成为非法系统侵入的主要方式。
因此，在需要较高安全性的网络登录上通常不采用单因素认证方法，或采用经过改进的双因素静态身份认证，或采用动态身份认证。
2、双因素静态身份认证
（1）双因素静态身份认证的基本原理
所谓双因素认证方式即在单一的记忆因素(固定口令)认证基础上结合第二物理认证因素，以使认证的确定性按指数递增。
在此所讲的物理认证因素包括磁卡、条码卡、Memory IC卡、指纹等。
当然，双因素静态身份认证也同样符合静态身份认证方法的特征，即用户登录系统、验证身份过程中，送入系统的验证数据是固定不变的。
双因素静态身份认证的一般流程如下
① 用户在登录业务终端上输入ID和口令；
② 业务终端通过专用设备如磁条读写器、条码阅读器、IC读写器、指纹仪等设备将第二个物理认证因素上的数据读入；
③ 业务终端将所有数据打包（加密）后，送到中心主机进行验证；
④ 中心主机系统将登录数据包解包（脱密）后，进行安全认证；
⑤ 业务终端接收中心主机返回的认证结果，并根据结果进行下一步操作。
（2）双因素静态身份认证良好的安全性
双因素静态身份认证是对单因素静态口令身份认证的一个改进，因为有了第二物理认证因素，使得认证的确定性得到指数递增。所以，目前很多银行计算机业务处理系统中，柜员的身份认证，大多采用双因素静态身份认证，每个柜员都有一张柜员磁卡或柜员IC卡。因此，双因素静态身份认证是目前安全性要求较高的系统中，用得最多的一种身份认证方法。
但只要是静态身份认证，就存在着不安全的因素。从原理上分析，一个最简单的方法就是截取某一合法用户的登入数据，或仿制第二物理认证因素，或将合法数据直接输入业务终端，就可以实现非法登录。那么，如果想要防止这种情况的发生，怎么办呢？采用动态身份认证的方法。

动态身份认证
相对于静态身份认证，所谓动态身份认证就是指用户登录系统、验证身份过程中，送入系统的验证数据是动态变化的，符合这个特征的身份认证方法称为动态身份认证。
动态身份认证目前主要有时间同步机制身份认证和