在互联网环境中如何证明“你是你”可理解为在互联网环境中的身份认证方式有哪些,这些身份认证方式大概分为:口令认证,数字证书认证,生物识别认证,智能卡认证以及多种方式的综合使用。
下面就各种方式简要说明:
1、口令认证。目前口令认证方式中包括有静态口令、动态口令。静态口令就是指长期保持不变、可以被用户反复重用的口令,例如通常登录用的帐号/密码对。为了克服静态口令长期保持不变、易遭破解的缺点,业界推出了使用动态口令的解决方案,每当用户登录时,可将用户信息、当前时间等作为某个特殊函数的输入,计算输出一个只能使用一次的临时口令,防止用户口令泄漏带来的风险。目前使用的动态口令有短信验证码、电子令牌、手机APP令牌。其中短信验证码广泛应用于互联网产品中。电子令牌是一种配备了内置电源、密码生成芯片和显示屏、根据专门的算法每隔一定时间自动更新动态密码的专用硬件,一般用于网上银行的登录。手机APP令牌是指通过手机APP来产生动态口令,手机宝令和谷歌动态口令都属于此类APP。
2、数字证书认证。数字证书是一种权威性的电子文档,它是由权威公正的第三方机构,即CA中心签发的证书。以数字证书为核心的技术通常采用PKI密码体系,通过数字签名、数字信封、加密传输等安全技术对网络上传输的信息进行加密和解密、数字签名和签名验证,确保网上传递信息的机密性、完整性及交易的不可抵赖性。基于数字证书的应用角度分类,可分为:服务器证书(SSL证书),电子邮件证书,客户端个人证书。服务器证书被安装于服务器设备上,用来证明服务器的身份和进行通信加密。服务器证书可以用来防止欺诈钓鱼站点。电子邮件证书可用来证明电子邮件发件人的真实性。客户端证书用来进行身份验证和电子签名,比较安全的客户端证书是存储于专用的硬件中,比如usb-key,蓝牙key,音频key等。
3、生物识别认证。生物识别技术是通过可测量的身体或行为等生物特征进行身份认证的一种技术。生物特征是指唯一的可以测量或可自动识别和验证的生理特征或行为方式。生物特征分为身体特征和行为特征两类。身体特征包括:指纹、掌型、视网膜、虹膜、脸型等,行为特征包括:签名、声纹等。其中指纹和人脸识别已在手机上广泛应用,人脸识别还用于某些APP的实名认证环节,系统随机发出张嘴、头向左转、头向右转、抬头等一系列动作指令让申请人进行响应,实现申请人非现场实体鉴别。
4、智能卡认证。智能卡(IC卡)内置集成电路芯片,芯片中存有与用户身份相关的数据,并封装成外形与磁卡类似的卡片形式。智能卡由专门的厂商通过专门的设备生产,是不可复制的硬件。智能卡由合法用户随身携带,登录时必须用读卡器读取其中的信息,以验证用户的身份。目前带NFC功能的手机可以读写NFC智能卡的信息,例如用带NFC功能的手机充值羊城通。
以上为常见的互联网身份认证方式,另外很多超级应用都提供了OAuth认证服务,如Facebook,微信,qq,微博等,这样当用户登录了这些超级应用后,第三方应用可借助于OAuth授权方式进行用户身份的验证,同时还可从超级应用获取该用户资源的授权。
网络应用选用何种身份验证方式,取决于自己的应用场合及安全等级。例如前不久在广东推出的网证CTID,它是公安部第一研究所推出的身份证网上应用凭证,是公安部认可的国家法定证件及身份凭证。它存放于微信卡包,分为黑白版和彩色版,黑白版的认证用到了短信验证码,人脸识别和声纹识别,用于基本的便民出行应用。彩色版在黑白版的基础上增加了身份证认证(智能卡),可用于政务的办理。另外可以预见,随着网证CTID的普及及微信服务接口的开放,会出现第三方应用直接调用网证CTID来验证用户身份。