在常用认证算法的基础上,近年来常用的认证协议主要有基于口令的认证、基于挑战/应答的认证,经典跨域认证协议与多因素认证技术。
1.基于口令的认证
利用口令来辨认用户的身份是目前最常用的认证技术。系统通过用户输入的用户名和密码查找对应口令表里的内容,确认是否匹配,从而完成对用户的认证。这种认证方式存在口令易遗忘、简单口令易被攻破等问题。
2.基于挑战/应答的认证
在挑战/应答认证方式下,用户要求登录时,系统产生一个挑战信息送给用户,用户由这条消息和自己的秘密口令产生一个口令字,输进此口令字并发送给系统,从而完成一次登录过程。因系统发送的挑战信息有随机性,因此挑战/应答方式可很好地抵抗重放攻击。
3.跨域认证协议
跨域认证的目的是可让用户访问跨多个域的多个服务器的资源,而无需重新认证。即用户在一个Web站点登录,一旦通过认证,用户再次访间同信任域或联盟的网络域时,无需再次被认证就可访问相应的资源。典型的跨域认证协议是Kerberos V5。
Kerberos VS协议是域内主要的安全身份验证协议,它校验了用户身份和网络服务,这种双重验证也叫做相互身份验证。
Kerberos V5的票证包含能向请求的服务确认用户身份的经过加密的数据,其中包括加密的密码。除输入密码或智能卡凭据外,整个身份验证过程对用户不可见。
Kerberos V5中的一项重要服务是密钥分发中心(KDC)。KDC作为Active Directory目录服务的一部分在每个域控制器上运行,它存储了所有客户端密码和其他账户信息。
4.多因素身份认证
多因素身份验证是一种安全系统,是为了验证一项交易的合理性而实行的多种身份验证。其目的是建立一个多层次的防御体系,使未经授权的人难以访问计算机系统或网络。
多因素身份验证是通过结合两个或三个独立的凭证来完成的,这些凭证主要分为三种用户知道什么(知识型的身份验证)、用户有什么(安全性令牌或者智能卡)、用户是什么(生物识别验证)。
