密码学：身份认证详解

一.身份认证与数字签名的区别

数字签名是防止他人对传输的文件进行破坏，以及确定发信人的身份的手段。而身份认证是确认用户是否为这个用户的手段。（仔细品，不一样）
举个例子，A向B发送一条消息，说我下午五点去你家。数字签名可以保证消息是A发送的，且消息内容没有被改变过。下午五点钟，A到B家门口敲门，通过身份认证证实确实是A在敲门，那B就给A开门。如果没有身份认证的话，B能在五点钟直接开门吗？
学术点讲，身份认证的目的是鉴别通信中另一端的真实身份，防止伪造和假冒等情况发生。进行身份认证的技术方法主要是密码学方法，包括使用对称加密算法、公开密钥密码算法、数字签名算法等。

二.身份认证的手段

1.基于口令的身份认证（相当于账号密码）

口令保持方案：
存放在一个受保护的文件（文件内容容易泄露）
以密文形式保存（加密的密钥管理保存困难）
基于单向函数的口令加密

口令认证的安全威胁
一个实体如果可以获知（如猜测）出另一个实体的口令，那么就可以冒充他人。

2.基于Challenge/Response的身份认证

Challenge/Response认证本质：
改变每次传输的口令

假设条件：用户U与系统S预先协商好一个秘密函数f——通信证算法
S发送一个随机消息m（挑战）给U
U计算r’ = f(m‘)（回答），并发送给S
S独立计算r = f(m)来验证r’
注意：通信证算法f应该是U和S独有的
验证码可以理解为一个简单的challenge/response。

3.基于对某种东西持有性的身份认证

某种东西通常为磁卡（用磁卡中的PIN码）或智能卡（带智能化的微处理器和存储器
）

磁卡的缺点是依赖于磁条，而磁条又很容易损坏。智能卡好像目前用的更为广泛，但是成本偏高。

4.基于生物特征的身份认证

实际的生物特征识别系统应满足的条件
在合理的资源需求下实现可接受的识别准确性和速度
对人没有伤害而且可为人们所接受
对各种欺诈方法有足够的鲁棒性

常用的生物特征识别技术
人脸识别、眼睛识别、手形识别、指纹识别、掌纹识别、声音识别

5.基于行为特征的身份认证

手写签字
离线认证:通过扫描仪获得签名的数字图像
在线认证:利用数字写字板或压敏笔来记录书写签名的过程
击键行为特征（铠甲勇士那个系统hh）