口令认证方式
口令认证必须具备一个前提:请求认证者必须具有一个 ID,该ID必须在认证者的用户数据库(该数据库必须包括ID和口令)中是唯一的。同时为了保证认证的有效性必须考虑到以下问题:
· 求认证者的口令必须是安全的。
· 在传输过程中,口令不能被窃看,替换。
·请求认证者在向认证者请求认证前,必须确认认证者的真实身份。否则会把口令发给冒充的认证者。
口令认证方式还有一个最大的安全问题就是系统的管理员通常都能得到所有用户的口令。因此,为了避免这样的安全隐患,通常情况下会在数据库中保存口令的Hash值,通过验证Hash值的方法来认证身份。
l 使用不对称加密算法的认证方式 (数字证书方式)
使用不对称加密算法的认证方式,认证双方的个人秘密信息(例如:口令)不用在网络上传送,减少了认证的风险。这种方式是通过请求认证者与认证者之间对一个随机数作数字签名与验证数字签名来实现的。
认证一旦通过,双方即建立安全通道进行通信,在每一次的请求和响应中进行,即接受信息的一方先从接收到的信息中验证发信人的身份信息,验证通过后才根据发来的信息进行相应的处理。
