识别及认证
识别和认证属于防止未经授权的访问的技术方法的范畴。
通过识别和身份验证系统的安全性(持久性),我们将了解攻击者无法代表另一个用户进行身份验证的保证。 从这个意义上说,认证系统的持久性越高,攻击者解决这个任务就越困难。 识别和认证系统是基础设施的关键要素之一,用于防止任何信息系统的未经授权的访问。 有三组基于用户存在的身份验证方法:
给定类型的单个对象;
个人生物特征;
知道一些只有用户和验证方知道的信息。
第一组包括涉及使用id,通行证,磁卡和其他可穿戴设备的身份验证方法,这些设备广泛用于控制对场所的访问,并且也是软件和硬件保护系统的一部分,
第二组包括基于使用用于测量和比较用户的指定个体特征的设备与标准的认证方法:语音音色、指纹、虹膜结构等。 这样的工具使得能够以高精度认证特定生物特征的所有者,并且几乎不可能"伪造"生物特征参数。
最后一组由使用密码的身份验证方法组成。 出于经济原因,它们作为基本保护手段被包括在许多用于信息保护的硬件和软件系统中。 所有现代操作系统和许多应用程序都内置了密码保护机制。
如果身份验证过程仅涉及双方彼此进行身份验证,则此过程称为直接身份验证。 如果不仅这些方参与了身份验证过程,而且还参与了其他辅助方,则在受信任方的参与下谈论身份验证。 第三方称为认证服务器或仲裁器。
在选择一种或另一种身份验证协议时,有必要确定需要哪种身份验证-单方或相互,是否应该使用受信任的第三方,如果是这样,各方中的哪一方-申请人或 无对话认证协议通常也提供数据完整性控制。
