什么是身份驗證？

身份驗證是證明斷言的行為。在信息安全中，這通常被理解為驗證計算機用戶的身份。

標識必須與身份驗證區(qū)分開來。識別是識別唯一事物的能力：一個人，一臺機器，在計算機中運行的進程，...身份驗證是證明該事物身份的能力。但我們將看到 - 它提供的遠不止這些。

身份驗證的典型應(yīng)用

這是五個常見的身份驗證應(yīng)用程序。在之前的博客文章中，我們學習了公鑰加密、公鑰基礎(chǔ)結(jié)構(gòu)和密鑰加密的使用。這些是理解身份驗證的這一新部分的基礎(chǔ)。

應(yīng)用 1：證明尋求訪問公司應(yīng)用程序、Web 服務(wù)器等的人類用戶的身份。這種類型的身份驗證通常涉及查詢?nèi)藛T的唯一標識符，例如電子郵件地址和密碼。此身份驗證方案通常通過第二個因素來增強，以減輕密碼的泄露。第二個因素可以是發(fā)送到用戶手機的一次性代碼：這種額外的保護迫使攻擊者竊取密碼和用戶的手機，這極大地限制了風險。這稱為多重身份驗證。

應(yīng)用2：證明機器的身份。在安全網(wǎng)絡(luò)中，計算機或連接的設(shè)備（如物聯(lián)網(wǎng)設(shè)備）必須在交換數(shù)據(jù)之前相互進行身份驗證。如果不采取此措施，黑客可以將流氓設(shè)備連接到網(wǎng)絡(luò)并冒充合法設(shè)備。機器通常使用基于公鑰的身份驗證（參見第 1 部分和第 2 部分）。與使用他們記住的密碼和其他物理屬性來驗證自己的人類不同，機器使用私鑰對驗證者發(fā)送的隨機數(shù)（又名“挑戰(zhàn)”）和網(wǎng)絡(luò)證書頒發(fā)機構(gòu)頒發(fā)的證書進行簽名。此身份驗證方案稱為“強身份驗證”或“質(zhì)詢-響應(yīng)身份驗證”。

應(yīng)用3：證明數(shù)據(jù)的來源和完整性。當聯(lián)網(wǎng)機器通過網(wǎng)絡(luò)接收數(shù)據(jù)時，必須確保發(fā)送機器的身份，并確保數(shù)據(jù)在傳輸過程中未被修改。如果沒有這個，黑客可能會偽造虛假的網(wǎng)絡(luò)流量（欺騙），或篡改傳輸中的數(shù)據(jù)。如今，大多數(shù)網(wǎng)絡(luò)都使用協(xié)議來減輕這種風險，例如傳輸層安全性（TLS，以前稱為SSL），它將相互機器身份驗證作為初始步驟（如上面的應(yīng)用程序），與兩臺機器之間的密鑰安全交換，以及基于密鑰的身份驗證這兩臺機器之間交換的所有數(shù)據(jù)（而且經(jīng)常， 加密），使用交換的密鑰。這樣，數(shù)據(jù)的來源得到保證，因為錯誤的發(fā)送方?jīng)]有正確的會話密鑰，并且數(shù)據(jù)的完整性得到強制執(zhí)行，因為對數(shù)據(jù)的任何修改都會導(dǎo)致接收方的驗證失敗。

應(yīng)用4：證明計算機的程序來源。顯然，計算機或任何類型的連接設(shè)備都必須執(zhí)行合法軟件。將任意軟件注入此類設(shè)備的攻擊者可以控制其操縱的數(shù)據(jù)，包括個人用戶數(shù)據(jù)。攻擊者還可以將設(shè)備武器化，并使用它來攻擊網(wǎng)絡(luò)上的其他計算機（如 DoS 攻擊 – 拒絕服務(wù)）。這種身份驗證也稱為“代碼簽名”，也使用公鑰加密：代碼簽名者使用私鑰對軟件進行數(shù)字簽名，設(shè)備使用相應(yīng)的公鑰來確保軟件的來源。

應(yīng)用 5：證明。證明可以看作是對計算機當前狀態(tài)的身份驗證。計算機狀態(tài)可以是任何內(nèi)容，包括執(zhí)行的軟件/操作系統(tǒng)修訂版、計算機硬件修訂版、計算機配置、執(zhí)行的軟件已經(jīng)過身份驗證的事實（如在以前的應(yīng)用程序中）以及其他問題的答案，例如：“是否應(yīng)用了上次操作系統(tǒng)更新？”或“防病毒軟件是否正在運行？”。通常，狀態(tài)是一組屬性，用于在計算機中建立某種信任。在網(wǎng)絡(luò)通信中，這為機器之間提供了額外的保證。例如，即使您經(jīng)過了完全身份驗證，您的銀行網(wǎng)站也可能拒絕您連接過時的操作系統(tǒng)版本。同樣，證明使用公鑰加密。

身份驗證支持可信計算

如今，典型的信息安全 （InfoSec） 結(jié)合了上述所有功能，以提供所謂的“可信計算”：用戶向網(wǎng)絡(luò)應(yīng)用程序進行身份驗證，底層機器相互進行身份驗證，通過證明獲得相互可信度的保證，并驗證流量的完整性，以便用戶和應(yīng)用程序之間的應(yīng)用程序級交換完全可靠。加密幾乎總是在此之上添加，以通過網(wǎng)絡(luò)保存用戶的個人數(shù)據(jù)。

還可以防止硬件假冒

與上面的應(yīng)用程序 2 一樣，強身份驗證也是防止生產(chǎn)假冒設(shè)備的強大工具。基于公鑰或密鑰的身份驗證可用于對一次性醫(yī)療設(shè)備等硬件設(shè)備進行身份驗證，以確保它們是真實的。在配件連接到主設(shè)備的情況下，設(shè)備可以使用質(zhì)詢-響應(yīng)身份驗證來確認設(shè)備是由授權(quán)制造商生產(chǎn)的，而不是克隆設(shè)備。設(shè)備可以通過證明對制造商密鑰的了解（如果使用密鑰身份驗證）或擁有制造商認證的私鑰（使用基于公鑰的身份驗證時）來證明其真實性。

結(jié)論

總之，身份驗證對于信息安全以及通過防止假冒設(shè)備的生產(chǎn)來確保用戶安全至關(guān)重要。

審核編輯：郭婷