最安全最适合您的身份认证方式－ PKI 数字证书身份认证

数据存在的价值就是被合理访问。建立信息安全体系的目的是保证系统中的数据只能被有权限的 “ 人 ” 访问，未经授权的 “ 人 ” 无法访问数据。如果没有有效的身份认证手段，访问者的身份就很容易被伪造，使得任何安全防范体系都形同虚设。就好像人们建造了一座非常结实的保险库，安装了非常坚固的大门，却没有安装门锁。

    如果把信息安全体系看作一个木桶，那么防火墙、入侵检测、 VPN 、安全网关等就是木桶的壁板，身份认证就相当于木桶底。可以说，身份认证用于解决访问者的物理身份和数字身份的一致性问题，给其他安全技术提供权限管理的依据，而防火墙等技术针对数字身份进行权限管理，解决数字身份能干什么的问题。
    由此可见，身份认证是整个信息安全体系的基础。

无所不在的身份认证

    相信大家都记得这样一幅漫画，一条狗在计算机面前一边打字，一边对另一条狗说： “ 在互联网上，没有人知道你是一个人还是一条狗！ ” 这个漫画说明了在互联网上很难进行身份识别。

    身份认证是指计算机及网络系统确认操作者身份的过程。计算机和计算机网络组成了一个虚拟的数字世界。在数字世界中，一切信息包括用户的身份信息都是由一组特定的数据表示，计算机只能识别用户的数字身份，给用户的授权也是针对用户数字身份进行的。而我们生活的现实世界是一个真实的物理世界，每个人都拥有独一无二的物理身份。如何保证以数字身份进行操作的访问者就是这个数字身份的合法拥有者，即如何保证操作者的物理身份与数字身份相对应，就成为一个重要的安全问题。身份认证技术的诞生就是为了解决这个问题。

    如何通过技术手段保证物理身份与数字身份相对应呢？在真实世界中，验证一个人的身份主要通过三种方式：一是根据你所知道的信息来证明身份（ what you know ），假设某些信息只有某人知道，比如暗号等，通过询问这个信息就可以确认此人的身份；二是根据你所拥有的物品来证明身份 (what you have) ，假设某一物品只有某人才有，比如印章等，通过出示该物品也可以确认个人的身份；三是直接根据你独一无二的身体特征来证明身份 (who you are) ，比如指纹、面貌等。

    不过，你所知道的信息有可能被泄露或者还有其他人知道，因此仅凭一个人拥有的物品判断其身份是不可靠的，这个物品有可能丢失，也有可能被人盗取，从而伪造此人的身份。

现在计算机及网络系统中常用的身份认证方式主要有以下几种。

用户名 / 密码方式

用户名 / 密码是最简单也是最常用的身份认证方法，非常容易破解，因此是一种是极不安全的身份认证方式。

IC 卡认证

IC 卡由合法用户随身携带，登录时必须将 IC 卡插入专用的读卡器读取其中的信息，以验证用户的身份。 IC 卡认证是基于 “what you have” 的手段，通过 IC 卡硬件不可复制来保证用户身份不会被仿冒。然而由于每次从 IC 卡中读取的数据是静态的，通过内存扫描或网络监听等技术还是很容易截取到用户的身份验证信息，因此还是存在安全隐患。

动态口令

动态口令技术是一种让用户密码按照时间或使用次数不断变化、每个密码只能使用一次的技术。动态口令技术采用一次一密的方法，有效保证了用户身份的安全性。但是如果客户端与服务器端的时间或次数不能保持良好的同步，就可能发生合法用户无法登录的问题。并且用户每次登录时需要通过键盘输入一长串无规律的密码，一旦输错就要重新操作，使用起来非常不方便，使用烦琐就有可能造成新的安全漏洞

生物特征认证

生物特征认证是指采用每个人独一无二的生物特征来验证用户身份的技术。常见的有指纹识别、虹膜识别等。生物特征认证基于生物特征识别技术，受到该技术成熟度的影响，采用生物特征的认证技术具有较大的局限性。首先，生物特征识别的准确性和稳定性还有待提高，特别是如果用户身体受到伤病的影响，往往导致无法正常识别，造成合法用户无法登陆。其次，由于研发投入较大和产量较小等原因，生物特征认证系统的成本非常高，目前只适合于一些安全性要求非常高的场合，如银行、部队等使用，目前还无法做到大面积推广。

基于 PKI 体系的 USB Key 认证

基于 PKI （ Public Key Infrastructure ，公钥基础设施）构架的数字证书认证方式可以有效保证用户的身份安全和数据安全。目前越来越多的单位和组织开始基于 PKI 进行身份认证。要实现基于 PKI 的身份认证就必须建立一种信任及信任验证机制，即每个网络上的实体必须有一个可以被验证的数字标识，这就是 “ 数字证书 ” 。数字证书是由一个第三方证书授权中心 (CA) 发行的，经 CA 数字签名的包含用户的公钥和与用户身份相关的信息，是一个实体在网上信息交流及商务交易活动中的身份证明，具有唯一性。在基于证书的安全通信中，数字证书是证明用户合法身份和提供用户合法公钥的凭证，是建立保密通信的基础。

基于证书的认证机制提供了一些良好特性。首先，认证过程中没有秘密信息的传输，用户可以跨越开放的网络向远端服务器认证自己的身份，而不必担心被窃听。其次，用户和服务器没有共享任何长期密钥，因此支持向多个服务器的身份认证。并且，这种机制还支持双向认证，用户在向服务器认证自己的身份时，可以利用相同的机制认证远端服务器的身份。在不久的将来，大多数人都会有自己的数字证书，可以使用数字证书进行身份认证，进行电子商务、电子政务等各种活动。

使用 USB Key 可以保障数字证书无法被复制，所有密钥运算由 USB Key 实现，用户密钥不在计算机内存出现也不在网络中传播，只有 USB Key 的持有人才能够对数字证书进行操作，安全性有了保障。

由于 USB Key 具有安全可靠，便于携带、使用方便、成本低廉的优点，加上 PKI 体系完善的数据保护机制，使用 USB Key 存储数字证书的认证方式已经成为目前主要的认证模
式。

几种身份认证技术特点的比较

认证技术	特点	应用	主要产品
用户名 / 密码方式	简单易行，极不安全	保护非关键性的系统，不能保护敏感信息	嵌入在各种应用软件中
IC 卡认证	简单易行，极不安全	很容易被内存扫描或网络监听等黑客技术窃取	IC 加密卡等
动态口令	一次一密，较高安全性	使用烦琐，有可能造成新的安全漏洞	动态令牌等
生物特征认证	安全性高，成本高昂	技术不成熟，准确性和稳定性有待提高	指纹认证系统等
基于 PKI 体系的认证模式的 USB Key 认证	一次一密，安全可靠，成本低廉，除提供身份认证功能外，还可做数字签名	易于部署，方便使用，便于扩展，是目前最理想的认证模式。	BSIsoft 基于 PKI 的身份认证系统

BSIsoft 数字证书身份认证系统

BSIsoft 数字证书身份认证系统是北京安信天元科技发展有限公司自主开发的一套基于PKI 的身份认证系统。

系统构成：

系统由服务器端的认证服务器和客户端的 USB KEY 组成。

认证服务器功能齐全，既可发放数字证书，还可实现基于 PKI 的登录身份认证，实现数字签名和加密。如已建设 CA 系统，也可以使用其他 CA 发放的数字证书。认证服务器价格不贵，本身包括一个精简的 CA 系统，不用向公用 CA 支付费用，特别适合于政府部门和企业内部用来实现应用系统的安全。

系统功能及主要特点：

1 、更安全和方便的身份认证方式：消除了 “ 用户名 + 口令 ” 的传统登录方式带来的系统安全性问题，只需要在计算机的 USB 口上插上小小的 USB KEY ，便可以登录应用系统。
2 、操作简便，便于安装和使用：您不需要了解任何 PKI 知识就能安装使用。
3 、非常便于系统维护：系统管理员只需要培训 1-2 天，便可以学会签发数字证书，然后发放给用户就可以了。
4 、对已有的系统进行安全升级极为简单：使用 BSIsoft 身份认证系统后，您的系统将位于我们安全保护之后，您需要做的唯一改变就是将您系统的用户名和口令换成 CA 签发的用户证
书。
5 、数字签名防抵赖、防篡改：可以在应用系统中对正文、批注、附件等进行数字签名，保障关键业务数据的完整性和不可抵赖性。
6 、投资小，花费少。

首页\| 公司简介 \| 产品概况 \| 支持与服务 \| 解决方案 \| 典型客户 \| 技术聚焦 \| 市场合作 \| 资质证书 \| 联系我们