什么是身份驗證？

身份驗證是證明斷言的行為。在信息安全中，這通常被理解為驗證計算機用戶的身份。

標識必須與身份驗證區分開來。識別是識別唯一事物的能力：一個人，一臺機器，在計算機中運行的進程，...身份驗證是證明該事物身份的能力。但我們將看到 - 它提供的遠不止這些。

身份驗證的典型應用

這是五個常見的身份驗證應用程序。在之前的博客文章中，我們學習了公鑰加密、公鑰基礎結構和密鑰加密的使用。這些是理解身份驗證的這一新部分的基礎。

應用 1：證明尋求訪問公司應用程序、Web 服務器等的人類用戶的身份。這種類型的身份驗證通常涉及查詢人員的唯一標識符，例如電子郵件地址和密碼。此身份驗證方案通常通過第二個因素來增強，以減輕密碼的泄露。第二個因素可以是發送到用戶手機的一次性代碼：這種額外的保護迫使攻擊者竊取密碼和用戶的手機，這極大地限制了風險。這稱為多重身份驗證。

應用2：證明機器的身份。在安全網絡中，計算機或連接的設備（如物聯網設備）必須在交換數據之前相互進行身份驗證。如果不采取此措施，黑客可以將流氓設備連接到網絡并冒充合法設備。機器通常使用基于公鑰的身份驗證（參見第 1 部分和第 2 部分）。與使用他們記住的密碼和其他物理屬性來驗證自己的人類不同，機器使用私鑰對驗證者發送的隨機數（又名“挑戰”）和網絡證書頒發機構頒發的證書進行簽名。此身份驗證方案稱為“強身份驗證”或“質詢-響應身份驗證”。

應用3：證明數據的來源和完整性。當聯網機器通過網絡接收數據時，必須確保發送機器的身份，并確保數據在傳輸過程中未被修改。如果沒有這個，黑客可能會偽造虛假的網絡流量（欺騙），或篡改傳輸中的數據。如今，大多數網絡都使用協議來減輕這種風險，例如傳輸層安全性（TLS，以前稱為SSL），它將相互機器身份驗證作為初始步驟（如上面的應用程序），與兩臺機器之間的密鑰安全交換，以及基于密鑰的身份驗證這兩臺機器之間交換的所有數據（而且經常， 加密），使用交換的密鑰。這樣，數據的來源得到保證，因為錯誤的發送方沒有正確的會話密鑰，并且數據的完整性得到強制執行，因為對數據的任何修改都會導致接收方的驗證失敗。

應用4：證明計算機的程序來源。顯然，計算機或任何類型的連接設備都必須執行合法軟件。將任意軟件注入此類設備的攻擊者可以控制其操縱的數據，包括個人用戶數據。攻擊者還可以將設備武器化，并使用它來攻擊網絡上的其他計算機（如 DoS 攻擊 – 拒絕服務）。這種身份驗證也稱為“代碼簽名”，也使用公鑰加密：代碼簽名者使用私鑰對軟件進行數字簽名，設備使用相應的公鑰來確保軟件的來源。

應用 5：證明。證明可以看作是對計算機當前狀態的身份驗證。計算機狀態可以是任何內容，包括執行的軟件/操作系統修訂版、計算機硬件修訂版、計算機配置、執行的軟件已經過身份驗證的事實（如在以前的應用程序中）以及其他問題的答案，例如：“是否應用了上次操作系統更新？”或“防病毒軟件是否正在運行？”。通常，狀態是一組屬性，用于在計算機中建立某種信任。在網絡通信中，這為機器之間提供了額外的保證。例如，即使您經過了完全身份驗證，您的銀行網站也可能拒絕您連接過時的操作系統版本。同樣，證明使用公鑰加密。

身份驗證支持可信計算

如今，典型的信息安全 （InfoSec） 結合了上述所有功能，以提供所謂的“可信計算”：用戶向網絡應用程序進行身份驗證，底層機器相互進行身份驗證，通過證明獲得相互可信度的保證，并驗證流量的完整性，以便用戶和應用程序之間的應用程序級交換完全可靠。加密幾乎總是在此之上添加，以通過網絡保存用戶的個人數據。

還可以防止硬件假冒

與上面的應用程序 2 一樣，強身份驗證也是防止生產假冒設備的強大工具。基于公鑰或密鑰的身份驗證可用于對一次性醫療設備等硬件設備進行身份驗證，以確保它們是真實的。在配件連接到主設備的情況下，設備可以使用質詢-響應身份驗證來確認設備是由授權制造商生產的，而不是克隆設備。設備可以通過證明對制造商密鑰的了解（如果使用密鑰身份驗證）或擁有制造商認證的私鑰（使用基于公鑰的身份驗證時）來證明其真實性。

結論

總之，身份驗證對于信息安全以及通過防止假冒設備的生產來確保用戶安全至關重要。

審核編輯：郭婷