单点登录强化身份认证

　　为了解决与口令相关的现实问题，在过去几年中已经出现了多种不同的访问控制产品，已经通过其它的、更为强大的验证机制代替了传统的口令。例如动态（一次性使用）口令、数字证书、生理特征验证以及cookies。除了增强安全性以外，这些产品的另一个目标是实现单点登录解决方案，根据这种解决方案用户在通话过程中仅需要进行一次身份验证。不过对这些单点登录解决方案的接受程度仍不普遍，因为这些解决方案仍未完全解决多种不同的缺陷。这些缺陷是口令仍然在广泛使用的主要原因。

　　于是，人们开始考虑用单点登录技术（Single Sign-On，SSO）以及集成智能卡和USB令牌技术来提供最为广泛的应用范围，同时减少了基于口令的访问控制所带来的管理负担、成本及用户烦恼。提供所有这些优点的同时可以加强安全性并提高用户的生产效率。

　　对于那些密码保护不能提供足够价值的应用来讲，强认证是唯一的非常好的选择。因为，强认证不仅可以增强安全性，而且还可提高用户的方便性，并减少架构成本。那么，强认证和密码认证到底有什么区别呢？从安全的趋势来看，关键的区别在于用户进入受保护资源之前，必须提供足够强的识别信息。这些信息是由多种识别和因素组成的。一个用户提供的因素越多，应用的安全性就越高。

　　利用单个识别向用户提供进入受保护资源的认证，强认证解决方案可以用在多个应用上。当企业把强认证应用到大量增长的资源和用户上时，最初的基础投资和持续的管理成本将被分摊到更大的资源基础上，这样投资回报率就会大大增加。逐渐地，强认证解决方案正在与Web接入管理相组合，为多个应用提供单点接入（SSO）功能。这允许用户无缝浏览应用程序和域，以及减少需要记忆的密字数量。强认证解决方案能够集成一系列认证方式，包括一次性认证代码、数字证书、PIN码、密码以及生物识别器。这些不同的因素能够组合在一起，满足一系列的安全要求。

　　单点登录技术中的智能卡目前已经是一种成熟的技术，该技术为增强和简化安全解决方案提供了新的巨大机会。由于用户熟悉并且接受它，（可以是信用卡大小的卡或是一个USB令牌）、其处理能力和存储能力及数字证书安全保护机制，智能卡技术正在成为访问在线服务及应用程序提供安全认证保护的首选方法。

　　智能卡（及与之相同的USB令牌）是一种用于存储个人信息的硬件设备。除非智能卡的所有者通过口令或PIN码登录该卡，否则存储在智能卡的信息无法被访问，这与用户输入一个PIN码来使用ATM卡的方法十分相似。智能卡启用了双因素认证功能：您拥有的东西（智能卡）和您知道的东西（口令）。双因素安全性能对于智能卡的加密功能和个人信息的访问进行控制。智能卡在PKI及VPN体系中为私钥和证书提供安全存储的载体。对于那些需要对企业网络进行安全远程访问的企业而言，加密智能卡是对VPN解决方案的完美补充。除此之外，智能卡还具有许多附加功能可提供更为强大且更为简单的安全解决方案，同时向用户提供更多的增值和收益。

　　在启用了SSO的环境中，每个用户的身份认证定义了他能在网络上做什么。因此，用户只需登录一次，就可以得到对网络中所有应用程序和数据的相应访问权限。实际应用中，虽然用户毫不例外地都喜欢SSO的“魔力”，但一些IT管理员担心，一次登录就能够访问多个应用程序会使攻击者对网络的破坏范围更大。事实并非如此，当用户不得不维护多个用户名和口令时，他们更倾向于选择一些容易被猜出的密码，安全性很容易受到威胁。如果是由IT部门来指定不易猜测的密码，用户又会把登录信息写下来放在不安全的地方，例如贴粘在显示器上。