認證服務给予了關於某個實體身份的保證。這意味着當某個實體聲稱有特定的身份時,認證服務將用某方法來證實此聲明的真實性。認證是對付假冒攻擊的有效方法。電子商務的交易模式使交易雙方不見面,這就決定了認證必然與傳統商務完全不同。通常可分為以下兩種情形：

1.實體認證

身份是由參與某次通信連接或會話的遠端一方给予的,實體認證只是簡單地認證本身的身份,不與它要進行的活動聯繫起來。口令或個人識別號機制是最實用的認證機制。為避免一般口令系統有外部泄露、口令猜測、線路竊聽、威脅或脅迫驗證者和重放等弱點，採用增強型保護口令方案。

f(x)和g(x)都為單向函數,其特性表現為:若給定參數計算函數值是容易的,但若給定函數值求參數在計算上是行不通的。假定身份ID的正確口令是p，在認證請求發起的終端，將身份ID和口令p’輸入，終端計算q’=f(p’,ID),然後將q’和值nrv作為g(x)的輸入產生值r’=g(q’,nrv),最後將r’、ID和nrv都發送給驗證者。驗證者計算r=g(q,nrv),其中q=f(P,ID),並與r’比較以確定p’是否等於p，從而確定聲稱者的身份是否屬實。

nrv規定為一個非重複值(如時戳、隨機數等)。驗證者將檢查nrv是否已被使用過而確定是否受到重放攻擊。

一種類似於口令或PIN的新的實體認證技術稱為“通關臉譜”,它是由美國威爾斯·卡地夫大學心理學院 Hadyn Ellis教授發明的。該技術用了人腦與生俱來就有的很強的臉譜識別能力,按照一定的機制如同向用戶分配口令一樣向用戶分配通關臉譜。口令由多個字符或數字組成,而通關臉譜則由多張臉譜組成,或可認為通關臉譜是由人臉取代了口令中的單個字符或數字。與口令相比,通關臉譜的好處在於：通關臉譜不能被寫下或複製,降低了通關信息泄露的概率；系統分配給不同用戶的通關臉譜是不一樣的；通關臉譜不能被猜測；臉譜識別不需記憶技巧,而要記住符合安全要求的口令不是件容易的事。

通關臉譜並不要求用戶準確地認出一張臉,而只需確定它是熟悉的,意味着通常人們擔心的“我認識某人但不能記住他的名字”並不是一個問題。通關臉譜的基本配置典型地由3~7張分配的臉譜組成,這個數字還可隨應用的需要而變化,受到系統安全性、應用能力和實用性等因素的影響。

典型地,每個通關臉譜給用戶一個3×3的網格,每個網格中放一張臉譜,一個通關臉譜中就含一張分配的臉譜和8張看起來相似的迷惑的臉譜。理論上,網格可設計成任意規模,且每個通關臉譜中可放置不只一張分配的臉譜,但實驗發現過大的規模或每個通關臉譜中放置不只一張分配的臉譜可能是困難的,並且會將系統正常的用戶弄糊塗。3×3的網格在把每個臉譜映射到數字鍵盤上的一個鍵方面有明顯的優勢,它允許用戶鼠標單擊其中的通關臉譜或顺利获得數字鍵盤進入與網格中相應臉譜對應的數字來實現輸入,這在自動處理終端機等應用中鍵盤作為唯一輸入方式時是重要的。基於3×3的網格選取5個分配的臉譜能给予95個組合,或者說一個人有59049分之一的機會猜中通關臉譜,由於系統使攻擊者不能窮舉搜索攻擊,因此對大多數消費者或商業應用而言都有足夠的安全性；可顺利获得增加通關臉譜所含的分配的臉譜數來實現更高的安全性。

2.數據源認證

數據源認證要求認證某個指定的數據項是否源自某特定的實體,即確定被認證的實體與一些特定數據項有着靜態的不可分割的聯繫,保證某數據項的真實起源。给予數據源認證的方法有3種：

1.使用加密

使用加密的方法需要發送者和接收者提前約定一個秘密的認證子和密鑰。為保護傳輸中的數據項,發送者給數據項附上認證子,之後對其加密。接收者解密接收到的數據來恢復原來的數據項和認證子,接收者檢查認證子的合法性。這種方法已被廣泛應用在軍事網絡之中。

2.使用封裝或數字簽名

這種方法相當於發送人寫好信的內容後簽上自己的名字,然後用信封密封起來。這是電子商務中普遍使用的數據源認證方法。

3.將數據源認證視做實體認證的一種擴展

這種方法顺利获得一個完整性機制將一個數據項和一個認證交換聯繫在一起。例如,數據項或數據項的摘要被封裝在認證交換中。反過來,數據項也可在一個連接中傳遞，該連接將完整性和認證交換聯繫在一起。