什么是身份鉴别和身份认证?我们可以从《西游记》中寻找一些灵感。取经路上,唐僧通过某地时,总是如此介绍自己:“贫僧唐三藏,从东土大唐而来”。
“贫僧唐三藏”,而不四藏、五藏,这就是身份鉴别,身份鉴别就是用来回答自己是谁。接下来他会拿出太宗皇帝御赐的通关文牒,进一步证明自己确实是东土大唐而来的唐三藏,这就是身份认证,身份认证是用来证明自己就是自己。
同样,网络中的认证技术也包含身份鉴别和身份认证两部分。我们应该都有通过用户名和密码来登录某网站的经历,这其中:输入用户名的过程就是身份鉴别,用来回答自己是某某某;输入密码的过程就是身份认证,密码输入正确则意味着确实是某某某。如果让唐三藏登录“西游记”网站的话,那么用户名就是“唐三藏”,密码就是“通关文碟”。
后来,随着网络用户数据泄露问题日益严重,人们发现单纯的输入用户名和密码并不安全,所以又设计出了多要素认证。多要素认证其实就是在用户名密码的基础上,在用户侧再多下一些功夫,而不能仅仅是通过用户名来进行身份鉴别。还是拿唐三藏举例子,在现实世界,人们可以看到一个光头(生物特征)、披着袈裟和骑着白马(所拥有物品)的唐三藏。那么在网络空间怎么办呢?我们同样可以用通过对生物特征(人脸、指纹)和所拥有物品(UKEY、手机)进行识别来提升身份鉴别的可靠性。
以某机构内网终端管理策略为例:唐三藏首先需要在计算机上插入自己的UKEY(所拥有的物品)进行身份鉴别,如果没有UKEY就不能使用计算机;然后才有机会输入账户密码来进行身份认证,如果密码错误将导致不能授权,也就无法访问网络。
网友评论