双因素身份认证系统

一般的状况下，用户通常使用的网络登录办法为：用户名称＋密码。在密码为静态的状况下，将会产生某些问题，比如为了维护密码安全性，必须严格规定密码的长度、复杂性（例如：中英文数字夹杂，大小写间隔，长度须超过8个字符以上）及定期更换的频率。
　　用户为了方便记忆，常常习惯使用特殊的数字，例如家人的生日、自己的生日、身高体重、电话或门牌号码等，此种方法极不安全。
　　只要利用黑客工具，如字典攻击法等便能在短时间内将密码破解，甚至只要有人在身后窥视便可探知正在键入的密码，所以静态密码有很大的安全隐患。
　　目前绝大多数的网络服务，例如电子信箱、网上银行等，大都通过静态密码来进行身份认证。大多数人都不懂得如何妥善管理自己的密码，进而遭到数据甚至财物上的损失。
　　因此，我们需要采用一套更安全的身份认证方式，这就是目前被认为最安全的双因素认证机制。
　　双因素是密码学的一个概念，从理论上来说，身份认证有三个要素：
　　第一个要素（所知道的内容）：需要使用者记忆的身份认证内容，例如密码和身份证号码等。
　　第二个要素（所拥有的物品）：使用者拥有的特殊认证加强机制，例如动态密码卡，IC卡，磁卡等。
　　第三个要素（所具备的特征）：使用者本身拥有的惟一特征，例如指纹、瞳孔、声音等。
　　单独来看，这三个要素中的任何一个都有问题。“所拥有的物品”可以被盗走；“所知道的内容”可以被猜出、被分享，复杂的内容可能会忘记；“所具备的特征”最为强大，但是代价昂贵且拥有者本身易受攻击，一般用在顶级安全需求中。把前两种要素结合起来的身份认证的方法就是“双因素认证”。
　　双因素认证和利用自动柜员机提款相似：使用者必须利用提款卡(认证设备)，再输入个人识别号码(已知信息)，才能提取其账户的款项。
　　由于需要用户身份的双重认证，双因素认证技术可抵御非法访问者，提高认证的可靠性。简而言之，该技术降低了电子商务的两大风险：来自外部非法访问者的身份欺诈和来自内部的更隐蔽的网络侵犯。

下面以双因素动态身份认证为例，介绍双因素认证的解决方案。一个双因素动态身份认证的解决方案由三个主要部件组成：一个简单易用的令牌，一个功能强大的管理服务器以及一个代理软件。
　　1、 令牌
　　令牌可以使用户证明自己的身份后获得受保护资源的访问权。令牌会产生一个随机但专用于某个用户的“种子值”，一般每60秒该“种子值”就会自动更新一次，其数字只有对指定用户在特定的时刻有效。
　　用户的密码＋令牌的随机“种子值”，使得用户的电子身份很难被模仿、盗用或破坏。
　　2、 代理软件
　　代理软件在终端用户和需要受到保护的网络资源中间发挥作用。当一个用户想要访问某个资源时，代理软件会将请求发送到管理服务器用户认证引擎，认证通过后放行。
　　3、 管理服务器
　　管理服务器将一个性能卓越的认证引擎和集中式管理能力结合在一起。当管理服务器收到一个请求时，它使用与用户令牌一样的算法和种子值来验证正确的令牌码。
　　如果用户输入正确，用户即可访问，否则将提醒用户再次输入。如果三次输入均告错密码无法提供足够的安全.