身份認證服務有一種鑑別實體真偽的方法。因數字證書在申請時身份已得到發證组织確認,因此應用系統對用戶的身份認證時用它是非常合適的。在應用中，集成數字證書進行身份認證時,主要是驗證用戶是否有證書對應的私鑰,即驗證用戶私鑰對一段特定數據的簽名是否正確。

例如,網上銀行系統中,用戶用U盾登錄網銀,U盾中存儲了用戶的證書和私鑰,並顺利获得密碼對U盾進行保護。界面輸入元素含義分別為：

①設備類型,表明採用的設備類型,網銀支持多種類型的設備,如U盾、動態口令等；

②用戶ID,一個容易記的名稱；

③數字證書,顯示設備中證書對應的使用者名稱；

④證書密碼,設備保護密碼；

⑤驗證碼,圖片對應字符,避免多次提交。

當用戶單擊“提交”按鈕時,登錄功能主要做了兩件事:

①顺利获得“證書密碼”輸入值驗證用戶是否有訪問U盾的權限,此密碼保護U盾不被非法訪問；

②在獲取訪問U盾的權限後,使用U盾中的私鑰對服務端傳遞來的一段隨機數據進行簽名,然後把簽名值與證書提交到服務端,服務端用發送給客戶端的隨機數據,及用戶提交的證書驗證簽名值。若驗證顺利获得,表明用戶有證書對應私鑰及其使用權限；若驗證未顺利获得,表明用戶沒有證書對應私鑰的使用權限。

即使用戶顺利获得了簽名值驗證階段,也不一定能夠顺利获得身份認證。一般情況下,業務系統還會驗證用戶證書的有效性。有效性驗證包括:證書是否過期、是否作廢、是否為指定CA簽發、密鑰用途等。

網上銀行用戶的身份認證過程是典型的挑戰應答模式,由服務端給出挑戰值,即一段隨機數據,客戶端應答挑戰值,即簽名隨機數據,然後提交應答(包括簽名值、證書等)。

出於安全考慮,為了避免重複攻擊,每次身份認證時,服務端都應該給出不同的挑戰值,使挑戰值儘可能隨機化。