数字证书相较其他身份认证方式的优势.docx
- 文档编号:23335616
- 上传时间:2023-05-16
- 格式:DOCX
- 页数:10
- 大小:1.45MB
数字证书相较其他身份认证方式的优势.docx
《数字证书相较其他身份认证方式的优势.docx》由会员分享,可在线阅读,更多相关《数字证书相较其他身份认证方式的优势.docx(10页珍藏版)》请在冰豆网上搜索。
数字证书相较其他身份认证方式的优势
数字证书相较其他身份认证方式的优势
强认证方式概述
PKI/CA证书认证方式简介
PKI是PublicKeyInfrastructure的缩写,就是基于公钥理论和技术为网络提供安全服务的基础设施。
公钥体制是目前应用最广泛的一种加密体制,在这一体制中,加密密钥与解密密钥各不相同。
公钥加密、私钥解密可以实现对数据的加密保护,私钥签名、公钥验证可以实现对数据的数字签名。
这种方式既保证了信息的机密性,又能保证信息具有不可抵赖性。
目前,公钥体制广泛地用于CA认证、数字签名和密钥交换等领域。
CA(CertificationAuthority,认证中心)是确保信任度的权威实体,它的主要职责是颁发数字证书、验证用户身份的真实性。
令牌认证方式简介
令牌认证通常采用动态口令技术。
所谓动态口令技术是对传统的静态口令技术的改进,用户要拥有一些东西如系统颁发的Token,Token上的数字是不断变化的,而且与认证服务器是同步的,因此用户登录到系统的口令也是不断地变化的(即所谓的“一次一密”)。
动态口令技术有两种同步方案:
时间同步、事件同步。
时间同步
是指Token采用时间作为动态口令的一个种子,服务器端通过采用时间作为一个种子验证Token产生的口令。
事件同步
是指Token每次产生动态口令时以当前的计数作为一个种子,每次产生完成动态口令后,该计数会自动递增。
服务器端同样采用次数作为验证时的种子。
短信认证方式简介
短信认证通过向用户注册的手机发送一次性、短期有效的认证口令,用户仅可以使用该口令完成一次登录,用户不能重复使用该口令。
生物特征认证方式简介
生物认证通过采用特定的生物特征采集设备,采集用户的生物特征(例如:
指纹、虹膜、声音、面容等),通过和系统中所保存该用户的对应特征进行比对,以确定用户的身份。
强认证方式比较分析
适用范围比较分析
认证类型
适用范围
备注
PKI/CA认证
1、用户、系统之间认证,支持双方认证,用户、系统都能够验证对方的身份;
2、用户、用户之间认证,基于可信的数字证书,用户可以认证相互之间的身份;
3、系统、系统之间认证,网络应用系统之间可以采用数字证书进行系统之间的认证;
4、支持数据保密,可以采用数字证书对传输数据进行加密保护;
5、支持基于数字证书的交易签名,符合电子签名法要求,可作为有效法律证据。
适应安全要求高应用,有数字签名需求的应用,支持安全审计
令牌认证
1、系统对用户进行认证;
2、适用于主机、设备、网站等认证登录用户的身份。
适应安全要求中应用,无安全审计需求
短信认证
1、系统对用户进行认证;
2、适用于网站对用户进行认证。
适应安全要求中应用,无安全审计要求
生物特征认证
1、系统对用户进行认证;
2、适用于物理环境访问控制,例如数据中心门禁控制等。
适应安全要求高应用,终端电脑数量较少
保密性比较分析
认证类型
保密性
备注
PKI/CA认证
基于数字证书可以对数据进行加密保护,包括两方面的加密:
1、传输加密;
2、存储加密。
采用PKI非对称加密技术,具有很高的加密强度。
令牌认证
不能进行业务数据加密。
令牌技术所采用的动态口令技术仅被用来作为身份认证目的。
可以通过SSL服务器证书实现传输加密,提升保密性。
短信认证
短信认证的优势在于用户认证。
可以为用户下发一次性密码来实现传输加密,但无法实现数据的存储加密,目前没有基于短信进行加密的成形方案。
生物特征认证
生物特征本身为模糊处理技术,无法进行数据加密,不能解决数据加密应用中对加密密钥的准确性要求。
比较适合于软硬件系统完全受控环境的中应用,比如企业、数据中心门禁,公安、海关系统身份鉴别等。
完整性比较分析
认证类型
完整性
备注
PKI/CA认证
采用PKI加密技术,例如RSA等,能够对数据传输、数据存储进行完整性校验,对于要求较高的应用,可以采用数字签名技术
令牌认证
可以保障登录的正确性。
无法对数据传输、数据存储进行完整性校验。
短信认证
可以保障登录的正确性。
无法对数据传输、数据存储进行完整性校验。
生物特征认证
无法对数据传输、数据存储进行完整性校验。
可靠性比较分析
认证类型
可靠性
备注
PKI/CA认证
认证包括两个过程,证书发放和证书登录。
1、证书发放过程通过CA系统完成;
2、证书登录过程主要通过业务系统完成。
在CA系统瘫痪时,业务系统仍然可以继续采用数字证书进行登录。
此时最大的问题是无法为新的用户签发证书,不能及时吊销现有的证书。
相对于业务系统不能登录而言,这些问题并不算严重。
令牌认证
令牌认证过程包括两个部分:
1、客户端产生动态口令;
2、后台验证该动态口令。
后台对动态口令验证是通过独立的系统完成的,该系统服务暂停时,将导致整个业务系统不能登录。
短信认证
短信认证依赖移动通信网络传输,同时后台需要有短信认证处理模块,如要包括随机口令产生、口令验证等,认证处理模块可以集成在业务系统内部。
移动通信网络的信号、延时,对短信认证的可靠性影响较大,当采用了独立的短信认证模块时,该模块对业务系统的可靠性影响也会比较大。
生物特征认证
生物特征认证核心要素包括:
1、生物特征采集设备;
2、后台生物特征比对系统,内涵用户的特征数据库;
3、用户的生物特征。
影响可靠性有几个方面:
1、采集设备受环境影响,灵敏度变化较大,故障率相对较大;
2、后台比对系统本身的单点故障,对系统影响较大;
3、用户生物特征会发上变化,例如体型、声音等,存在一定的失败概率。
从应用上风险并不算大,生物特征认证一般会作为其他认证手段的补充,例如ID卡、身份证等,且一般用户量不会很多、并发访问量较小,可以通过其它管理上的手段处理故障时的系统正常运行问题。
抗抵赖性比较分析
认证类型
抗抵赖
备注
PKI/CA认证
支持抗抵赖。
基于可信CA签发的数字证书,用户、系统都能够进行数字签名,产生可靠的电子签名证据,任何一方都不能抵赖。
令牌认证
不支持
短信认证
不支持
生物特征认证
不支持
可扩展性比较分析
认证类型
可扩展
备注
PKI/CA认证
可以扩展到数据加密、业务签名审计、文档签章等。
管理功能丰富,能够随需定制,满足企业的内部管理、控制等流程要求。
能够在USBKey内部集成企业的其它应用,例如VPN等。
令牌认证
仅适用于身份认证。
短信认证
仅适用于身份认证。
生物特征认证
仅适用于身份认证。
易用性比较分析
认证类型
易用性
备注
PKI/CA认证
首次使用存在一定难度,习惯后难度降低。
主要包括设备驱动软件安装,接受新的登录方式等。
在硬件证书丢失后,可以签发临时的软件证书应急使用。
令牌认证
简单易用,登录失败率低。
令牌遗失后,需要获取新的令牌,没有灵活的临时方案。
短信认证
简单易用,登录失败率低。
在移动通信网络繁忙时,会带来延迟,影响用户体验。
生物特征认证
简单易用,用户无需携带特定设备。
会存在认证失败,需要用户多次尝试才能成功的情况,受设备稳定性、用户自身情况(体温、汗液、灰尘等)等影响。
标准化程度比较分析
认证类型
标准化
备注
PKI/CA认证
技术成熟,国家标准、国际标准、行业标准完备,软硬件技术一致性很高,具有很高的兼容性,大部分软、硬件可以通用。
令牌认证
所采用的技术成熟,具有行业标准,对动态口令产生算法提供指导。
各厂家的软、硬件技术差异较大,部分厂家技术保密,各厂家之间软硬件集成难度较大,应用中一般采用特定某一厂家的产品。
短信认证
无相关标准
生物特征认证
无相关标准
管理与维护难度比较分析
认证类型
管理与维护难度
备注
PKI/CA认证
在管理、维护方面的功能较丰富,方便运营维护的使用。
客户端需要安装PKI/CA相关的软、硬件,对最终用户的技术支持会稍多些。
令牌认证
设备丢失后,恢复麻烦,时间久。
短信认证
维护简单。
生物特征认证
生物特征采集设备故障率高,修理时间久。
投资成本比较分析
认证类型
投资成本
备注
PKI/CA认证
成本较高。
从基于数字证书的认证、加密、签名、签章应用等综合价值看,综合成本较低。
令牌认证
成本适中,能够以较低成本获取较高的登录安全。
短信认证
很少成本即可实现对口令认证的安全提升。
生物特征认证
适度投资即可完成物理环境的安全控制。
对比图示
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- 数字证书 相较 其他 身份 认证 方式 优势