2019年5月13日，国家标准新闻发布会在市场监管总局马甸办公区新闻发布厅召开，网络安全等级保护制度2.0标准（以下简称等保2.0标准）正式发布，将于2019年12月1日开始实施。等保2.0时代正式拉开帷幕。

等保2.0中主要在安全物理环境和安全计算环境中提到身份鉴别要求。安全物理环境中的身份鉴别主要指真实的人进入机房时要进行的身份认证，安全计算环境中的身份鉴别主要指用户登录计算机、其他计算设备或业务系统时要进行的身份认证。在等保3级中，要求必须采用双因子认证技术；在等保4级中，要求安全通信网络中通信前基于密码技术对通信的双方进行验证或认证，计算机或进程之间通讯需要进行身份认证。

身份鉴别技术是我们大多数人最熟悉的安全技术，我们每天登录电脑、手机时都要进行身份鉴别，然后才能进行各种操作。身份鉴别的目的是确认用户身份，是最基本的安全技术也是最重要的安全技术，因为其他安全技术（比如权限控制、安全审计等）都要依赖用户身份信息。如果身份信息不可信，安全就成了无本之木、无源之水，失去了根基。

另外，在等保2.0中提到身份标识必须具有**性，这也是所有身份管理系统的基本要求，本文重点讲解身份鉴别技术，关于身份标识**性、会话超时处理机制等不做详细探讨。

身份鉴别理论

身份鉴别是一种采用时间同步技术的系统，采用了基于时间、事件和密钥三变量而产生的一次性密码来代替传统的静态密码。从理论上说，身份认证有二个要素:

**个要素（所知道的内容）：需要使用者记忆的身份认证内容，例如密码和身份证号码等。

第二个要素（所拥有的物品或者所具备的特征）：使用者拥有的特殊认证加强机制，例如动态密码卡、IC卡等；或使用者本身拥有的**特征，例如指纹、人脸、虹膜等。

身份鉴别技术

（1）基于静态密码的鉴别方式

基于静态密码的的认证方式是最常用的一种技术。它是一种单因素的认证， 安全性仅依赖于静态密码， 静态密码一旦被泄露， 用户即可能被冒充。更严重的是， 用户往往选择简单、 容易被猜测的静态密码，如与用户名相同的密码、 生日、单词等。这个问题往往成为安全系统最薄弱的突破口。静态密码一般是采用密码技术处理后存放在口令文件中， 如果口令文件被窃取，那么就可以进行离线的字典式攻击。这也是黑客最常用的手段之一。

（2）基于生物特征鉴别方式

这种认证方式以人体惟一的、可靠的、稳定的生物特征（如指纹、虹膜、 脸部、 掌纹等）为依据，采用计算机的强大功能和网络技术进行图像处理和模式识别。该技术具有很好的安全性、可靠性和有效性，与传统的身份确认手段相比，无疑产生了质的飞跃。近几年来， 全球的生物识别技术已从研究阶段转向应用阶段。

（3）一次性口令鉴别方式

为解决固定口令的问题，安全专家提出了一次性口令（OTP：One Time Password）的密码体制，以保护关键的计算资源。OTP核心思路是在登录过程中加入不确定因素，使每次登录过程中传送的信息都不相同，以提高登录过程安全性。例如：登录密码=MD5( 用户名＋密码 ＋时间），系统接收到登录口令后做一个验算即可验证用户的合法性。