口令机制
用户名 / 口令认证技术：最简单、最普遍的身份识别 技术，如：各类系统的登录等。 口令具有共享秘密的属性，是相互约定的代码，只有 用户和系统知道。例如，用户把他的用户名和口令送 服务器，服务器操作系统鉴别该用户。
口令有时由用户选择，有时由系统分配。通常情况下， 用户先输入某种标志信息，比如用户名和ID号，然后 系统询问用户口令，若口令与用户文件中的相匹配， 用户即可进入访问。 口令有多种，如一次性口令；还有基于时间的口令
认证系统用户端软件(Authentication Client Software)
认证系统用户端通常都是需要进行登陆(login)的设备或 系统，在这些设备及系统中必须具备可以与认证服务器 协同运作的认证协定。 认证设备(Authenticator)
认证设备是使用者用来产生或计算密码的软硬件设备。
1.
存储容量大 、体积小而轻、保密性强、网络要 求低
数据可靠性高 IC卡防磁、防静电、防潮、耐温、 抗干扰能力强，一张IC卡片可重复读写十万次， 卡中数据可保存几十年。 IC卡读写操作通过电信号传输来完成，因而对计 算机的实时性、敏感性要求降低。内部数据保密 性、可靠性好，读写稳定可脱机工作，易于安装 维护，而磁卡系统离不开网络；
通常有三种方法验证主体身份。 1 ）是只有该主体了解的秘密，如口令、密 钥； 2 ）是主体携带的物品，如智能卡和令牌卡； 3 ）是只有该主体具有的独一无二的特征或 能力，如指纹、声音、视网膜图或签字等。
单独用一种方法进行认证不充分
身份认证系统架构包含三项主要组成元件：
认证服务器(Authentication Server) 负责进行使用者身份认证的工作，服务器上存放使用者 的私有密钥、认证方式及其他使用者认证的信息。
第四章
4.1 4.2 4.3
身份认证
认证的基本原理 认证协议 典型的认证应用
介绍三个概念： （1） 认证（Authentication）：在做任何 动作之前必须要有方法来识别动作执行者的 真实身份。 （2） 授权（Authorization）：指当用户身 份被确认合法后，赋予该用户进行文件和数 据等操作的权限。 （3） 审计（Auditing）：每个人都该为自 己所做的操作负责，所以在做完事情之后都 要留下记录，以便核查责任。
Java Card API与正式的国际标准（如ISO7816）和工 业规范标准（如 Europay/Master Card/Visa ）兼容。 也就是说 Java applet 能够直接运行在遵循 ISO7816 标 准的智能卡之上。
基于智能卡的认证机制有以下方式：
挑 战 / 响 应 （ Challenge/Response ） 认 证； 时间同步（Time Synchronous）认证； 事件同步（Event Synchronous）认证.
验证者向用户提供一随机数；用户以其私钥 KS 对随机数进行签名，将签名和自己的证书提交给验 证方；验证者验证证书的有效性，从证书中获得用 户公钥KP，以KP验证用户签名的随机数。
3.
智能卡
网络通过用户拥有什么东西来识别的方法，一般是用智 能卡或其它特殊形式的标志，这类标志可以从连接到计 算机上的读出器读出来。访问不但需要口令，也需要使 用物理智能卡。
IC 卡是英文 Integrated Cirtuit （集成电路）卡的缩写， 也称“MEMORY CARD”和“SMART CARD”，中文译作“聪明 卡”、“智慧卡”和“智能卡”等。
是一种将具有加密、存储、处理 能力的集成电路芯片嵌装于塑料 基片上而制成的卡片，它的外型 与普通的信用卡十分相似
IC卡优点：
在现实生活中，我们个人的身份主要是通过各种证 件来确认的，比如：身份证、户口本等。
认证是对网络中的主体进行验证的过程，用户必须 提供他是谁的证明，他是某个雇员，某个组织的代 理、某个软件过程（如交易过程）。 认证( authentication )是证明一个对象的身份的 过程。与决定把什么特权附加给该身份的授权 ( authorization )不同。
4.生活中，我们个人的身份主要是通过各种 证件来确认的，比如：身份证、户口本等。 认证是对网络中的主体进行验证的过程，用户必 须提供他是谁的证明，他是某个雇员，某个组 织的代理、某个软件过程（如交易过程）。 认证( authentication )是证明一个对象的身份 的过程。与决定把什么特权附加给该身份的授 权( authorization )不同。
用户名/口令具有实现简单的优点，但存在以下安全缺 点：
1、大多数系统的口令是明文传送到验证服务器的，容 易被截获。某些系统在建立一个加密链路后再进行口令 的传输以解决此问题，如配置链路加密机。 2、口令维护的成本较高。为保证安全性，口令应当经 常更换。另外为避免对口令的字典攻击，口令应当保证 一定的长度，并且尽量采用随机的字符。但缺点是难于 记忆。 3、口令容易在输入的时候被攻击者偷窥，而且用户无 法及时发现。
简单和安全是互相矛盾的两个因素。
2.
数字证书
这是一种检验用户身份的电子文件，也是企业现 在可以使用的一种工具。这种证书可以授权购买， 提供更强的访问控制，并具有很高的安全性和可 靠性。 非对称体制身份识别的关键是将用户身份与密钥 绑定。 CA(Certificate Authority) 通过为用户 发放数字证书 (Certificate) 来证明用户公钥与 用户身份的对应关系。
1996年10月推出了Java Card API规范，目前版本为 2.1.1，1997年4月27日，Java Card论坛正式宣布成立 。Java Card论坛的成立目的是完善Java Card API规 范，使之最终成为多应用智能卡的首选编程语言。 Java Card就是能够运行Java程序的智能卡。 Java Card在出厂时就在ROM中烧入了操作系统、 Java Card虚拟机、 API类库和可选的applets，随后 ，初始化和个人化向EEPROM 中写入数据。