基于统一认证平台的双因素身份认证研究

摘要：信息技术的发展使其服务成为各行各业可靠、高效、提质的办公手段[1]。随着业务需求的增长，信息系统的数量日益增多。为减轻人工管理口令的工作量，不少企业搭建了统一认证平台，但随之而来也伴随着更严重的信息泄露问题。一旦口令泄露或被攻击者获取，由于系统缺乏额外的身份认证功能，用户可能会失去对系统信息的控制权，因此验证用户身份的合法性显得尤为重要。该文对双因素身份认证措施进行了分类，并分析了在不同行业搭建统一认证平台并部署双因素认证技术的优缺点，同时指出了当前双因素身份认证技术存在的问题。

关键词：统一认证平台；双因素身份认证；信息泄露

中图分类号：TP393 文献标识码：A

文章编号：1009-3044（2025）04-0114-03 开放科学（资源服务） 标识码（OSID） ：

0 引言

近年来，互联网技术飞速发展并广泛普及，网络空间已成为继陆地、海洋、大气以及外层空间之后的新型“第五域”。在云计算、大数据、移动互联以及工业自动化控制等关键领域，信息技术已成为众多行业依赖的高效、可靠且能提升工作效率的新型工具。随着系统开放性的日益增强，企事业单位的业务系统数量庞大，越来越多的单位搭建了一体化的身份认证平台，以便多种身份的用户访问并满足其业务需求，这一举措无疑推动了经济的飞速发展。然而，技术更新换代迅速、组织内部管理机制存在缺陷以及员工网络安全防御意识不足等问题，导致网络安全风险日益加剧。单一的口令认证已无法满足安全性需求，这对信息安全管理提出了更高的挑战。因此，研究双因素身份认证的应用具有重要意义。本文主要介绍双因素身份认证技术，比较其优缺点，并探讨其在不同行业统一认证平台中的应用。

1 风险分析

1.1 统一身份认证平台存在的弊端

多数公司与机构为了提高信息管理的效率，搭建了统一认证平台。用户一旦通过这个统一的身份认证服务登录，即可访问所有授权的应用程序。简而言之，用户只须登录一次即可同时登录所有业务系统，无须重复登录或记忆多套账号密码，这提升了用户体验和运维效率。然而，这也带来了严重的信息泄漏风险。一旦用户身份信息被盗用，攻击者将获得所有应用系统中的资源。

1.2 单因素身份认证的不足

身份鉴别是核验用户个人鉴别信息，以确认他们是否拥有特定资源存取权与使用资格的过程，这构成了访问应用系统安全性的第一道屏障，对网络与信息系统的安全至关重要[2]。在等级保护测评工作中发现，用户在登录主机或应用平台时多采用用户名+口令这种单因素身份认证方法。这种方法主要为静态身份认证，静态密码因低熵特性较容易受到字典攻击和暴力破解的风险，或可能通过社会工程学手段被获取。同时，静态数据在网络传输过程中也容易被监听、截获，导致数据完整性遭到破坏[3]。

1.3 口令维护问题

相关研究表明，很多员工普遍安全风险意识较差。随着用户持有的账户数量增多，用户使用重复口令的情况不可避免。例如，微软2014年的一项研究显示，每个用户平均持有25个需要口令的账户，但平均仅维护6.5个口令，这意味着一个口令可能被用于近4 个不同的账户[4]。为了方便工作和记忆口令，使用弱口令、默认口令登录系统的现象时有发生。

2 双因素身份认证介绍

2.1 双因素认证机制

双因素身份认证是一种通过要求用户提供额外的身份认证因素来增强基于密码的身份认证安全性的方法[5]。它利用时间同步机制，创建以时间、事件和密钥为基础的一次性密码，从而验证用户的合法性，防止恶意访问操作。每张动态令牌卡都配备有独一无二的密钥，该密钥与服务器上保存的密钥保持同步。在验证过程中，令牌卡和服务器利用相同的密钥、随机参数及算法独立计算动态密码，以确保二者匹配。由于每次验证使用的随机参数都是独一无二的，因此生成的动态密码也各不相同。这种密码的不可预测性在密码认证这一最基本环节上筑起了安全防线，有效避免了密码被仿冒所引起的严重损害，防范了恶意侵权或有意破坏，并解决了密码泄露所致的入侵问题。

2.2 双因素认证措施及应用

双因素身份认证是提高账户安全性的有效措施，它要求用户在登录或进行敏感操作时提供两种不同形式的身份验证。以下是几种实现双因素认证的措施。

2.2.1 智能卡

智能卡是一种内含嵌入式集成电路芯片的卡片，用于存储个人身份识别信息。这类卡片通常由具备专业资质的生产商制造。在验证身份时，需将卡片置于读卡设备中，以便读取认证信息。智能卡具有防复制的物理特性，因此可以有效防止身份盗用。

2.2.2 动态口令牌

动态口令牌是一种用户手持的基于时间同步的终端，用于生成动态密码。每60秒变换一次动态口令，且口令一次有效。产生的6位动态数字进行一次一密的方式认证。

2.2.3 USB Key

USB Key是一种内置单片机或智能卡芯片的硬件设备，其功能是保存用户的密钥或电子认证凭证。利用USB Key内置的密码算法来验证用户的身份。

2.2.4 短信验证码

由于手机与用户之间的紧密绑定性，短信密码的生成与使用场景是物理隔绝的。这种验证码通常通过短信请求6位数的一次性随机码，验证系统将一组随机生成的6位数字发送至用户的手机。用户在登录过程中输入这个一次性密码，以此来保障系统认证的安全可靠性。

2.2.5 生物特征识别

生物特征识别利用身体或行为特性等可检测的生物标志来完成身份鉴定，如指纹、虹膜等。

通过以上措施，可以实现双因素身份认证，为信息系统提供保护，从而满足安全性需求。在实际生产应用中，双因素身份认证主要保护的资源包括：1） 路由器、交换机和防火墙等网络及安全设备的双因素身份认证；2） Linux、Windows等操作系统的保护；3） 各种VPN、统一认证平台的双因素身份认证；4） 不同Web 服务器的保护；5） 应用系统的保护；6） 各种C/S系统，如在电力行业中数字化控制系统的保护。

3 统一认证平台的双因素身份认证应用分析

目前，统一身份认证技术发展已较为成熟，并在不同行业中得到广泛应用，不仅提高了员工的工作效率，也降低了管理成本。下面对不同行业在统一身份认证平台部署双因素认证技术的优缺点进行分析，旨在为不同行业搭建统一认证平台提供最优的双因素身份认证措施。

3.1 双因素身份认证方式在高校场景下的对比分析

对于高校而言，动态令牌基于时间同步和密钥及加密算法生成的字符串具有“一次一密，安全可靠”的优点，可有效保证用户身份的安全性。同时，它接口丰富，可通过Agent、API等多种接口嵌入统一认证平台，安全性较高。但用户需在终端下载App，可能存在用户体验不佳的情况。短信验证码的部署形式学习成本较低，易于被人们理解和接受，且用户与手机的绑定性较高，使其操作简便，易于推广普及。然而，短信在发送过程中可能未得到充分加密保护，仅进行了对用户身份的服务端验证，而未对服务端身份进行用户端确认，因此在通信信道中容易被黑客截获信息，安全性相对较低。智能卡和UKey的管理与分发会给管理员带来巨大的工作量，且可能存在丢失的情况，对于高校而言并非理想选择。

3.2 基于双因素认证的网上银行安全管理

互联网银行构成现代财务服务体系的关键部分。用户登录网上银行后可办理转账、理财、贷款等各种业务。可以根据不同风险等级分配不同的双因素认证方式。对于风险较低的操作，可减少认证步骤；但对于一些高风险操作，如高额转账、密码修改等，需采用更高安全性的认证方式。考虑到短信验证码的安全性不足，生物认证技术虽具有唯一性、不可伪造性等特点，需要通过个人典型特征来验证用户一致性，安全性很高，但推广应用此类技术时所面临的技术难题和成本也相对较高。例如，一些电脑制造商还未将采集生物识别的设备集成在电脑或硬件设备上，且生物识别技术容易受环境影响发生“时漂”，实现起来较为困难。智能卡采用密码和加密算法可保证身份认证和授权，除了提供高强度的身份认证功能外，还提供了数字签名、机密保护等，安全性较高，是金融机构、政府公共服务机构在统一认证平台实现双因素认证的理想选择。同时，目前UKey的认证方式较为成熟，实现也比较简单，可以增加账户和交易的安全性。

3.3 医疗行业下双因素身份认证的安全管理

医疗行业信息系统中包含着大量的个人信息、病历信息、检查信息、财务数据等敏感数据。一旦数据丢失或被窃取，将导致医疗活动的中断和患者治疗的延误。医疗信息系统中常用的认证技术包括数字证书、单点登录等。数字证书是通过第三方权威机构颁发的电子文档，用于验证用户身份的真实性和数据的完整性。同时，医疗行业本身具有各种识别技术和识别设备的优势，可利用生物特征的高度准确性和唯一性进行身份验证。生物特征认证通过先将用户生物特征信息输入系统中进行采集，然后将系统里存储的信息和用户输入的实时生物特征数据进行比对，以达到身份认证的目的。这种额外的安全层对于保护敏感医疗信息和防止未经授权的访问至关重要。

4 结束语

双因素身份认证也带来了诸多挑战，如智能卡、UKey的管理问题，计算机硬件接口的供给不足以及管理人员可能存在的监守自盗情况。双因素身份认证方式只能提供一定程度的保护。通过部署双因素身份认证方式登录统一认证平台，可以提高身份认证的安全性，在一定程度上降低数据被篡改及泄漏的可能性[6]，增加非授权人员的入侵难度。然而，仅凭借身份认证并不能确保数据安全，建立良好的管理措施才能有效预防大部分的安全威胁。同时，双因素鉴别机制也带来了硬件设备管理的新挑战。若认证设备的管理不善，则双因素鉴别机制也会名存实亡。因此，需要制定与其相关的安全制度与管理措施。在此基础上，也需在统一身份平台上增加额外的信息安全防护技术，如入侵检测系统、漏洞扫描分析系统、综合安全审计系统等，并且需要持续跟进信息安全领域的最新动态，监控国际和国内安全形势的演变，面对新技术向身份认证领域提出的更多考验和需求。

参考文献：

[1] 汤桦政，卢媛慧，周伟. 基于“等保2.0”的信息安全等级保护建设：以贵阳市第二人民医院为例[C].2022中国医学装备大会论文集，2022.

[2] 胡海飞“. 云”架构中双因素身份认证机制初探[J].信息安全与通信保密，2014，12（9）：175-177，180.

[3] 赵少飞.浅谈等保测评中企业面临的安全风险和应对措施[J].网络安全技术与应用，2022（10）：98-99.

[4] 王怡，胡学先，魏江宏.基于口令和智能卡的双因素身份认证与盲云存储方案[J].计算机科学，2024，51（1）：363-370.

[5] 刘鑫，柳毅.基于智能合约的双因素身份认证方案[J].计算机与现代化，2023（10）：121-126.

[6] 王坤，黄佳，宋红波.信息安全渗透测试中常见的高风险问题及应对办法[J].通信技术，2017，50（2）：353-357.

【通联编辑：代影】