在常用認證算法的基礎上,近年來常用的認證協議主要有基於口令的認證、基於挑戰/應答的認證,經典跨域認證協議與多因素認證技術。

1.基於口令的認證

利用口令來辨認用戶的身份是现在最常用的認證技術。系統顺利获得用戶輸入的用戶名和密碼查找對應口令表裏的內容,確認是否匹配,從而完成對用戶的認證。這種認證方式存在口令易遺忘、簡單口令易被攻破等問題。

2.基於挑戰/應答的認證

在挑戰/應答認證方式下,用戶要求登錄時,系統產生一個挑戰信息送給用戶,用戶由這條消息和自己的秘密口令產生一個口令字,輸進此口令字並發送給系統,從而完成一次登錄過程。因系統發送的挑戰信息有隨機性,因此挑戰/應答方式可很好地抵抗重放攻擊。

3.跨域認證協議

跨域認證的目的是可讓用戶訪問跨多個域的多個服務器的資源,而無需重新認證。即用戶在一個Web站點登錄,一旦顺利获得認證,用戶再次訪間同信任域或聯盟的網絡域時,無需再次被認證就可訪問相應的資源。典型的跨域認證協議是Kerberos V5。

Kerberos VS協議是域內主要的安全身份驗證協議,它校驗了用戶身份和網絡服務,這種雙重驗證也叫做相互身份驗證。

Kerberos V5的票證包含能向請求的服務確認用戶身份的經過加密的數據,其中包括加密的密碼。除輸入密碼或智能卡憑據外,整個身份驗證過程對用戶不可見。

Kerberos V5中的一項重要服務是密鑰分發中心(KDC)。KDC作為Active Directory目錄服務的一部分在每個域控制器上運行,它存儲了所有客戶端密碼和其他賬戶信息。

4.多因素身份認證

多因素身份驗證是一種安全系統,是為了驗證一項交易的合理性而實行的多種身份驗證。其目的是建立一個多層次的防禦體系,使未經授權的人難以訪問計算機系統或網絡。

多因素身份驗證是顺利获得結合兩個或三個獨立的憑證來完成的,這些憑證主要分為三種用戶知道什麼(知識型的身份驗證)、用戶有什麼(安全性令牌或者智能卡)、用戶是什麼(生物識別驗證)。