在現實生活中,我們個人的身份主要是通過各種證件來確認的,比如:×××、戶口本等。計算機世界與現實世界非常相似,各種計算資源(如:文件、數據庫、應用系統)也需要認證機制的保護,確保這些資源被應該使用的人使用。
認證就是指用戶必須提供他是誰的證明,他是某個僱員、某個組織的代理、某個軟件過程(如股票交易系統或Web訂貨系統的軟件過程)。認證的標準方法就是弄清楚他是誰,他具有什麼特徵,他知道什麼可用於識別他的東西。至於說到“他知道什麼”,最普通的就是口令,口令具有共享祕密的屬性。例如,要使服務器操作系統識別要入網的用戶,那麼用戶必須把他的用戶名和口令送服務器。服務器就將它仍與數據庫裏的用戶名和口令進行比較,如果相符,就通過了認證,可以進行訪問。它的全過程是這樣的:
用戶說:(宣佈身份)我是“A”,我在ABC公司工作,我是一個工程師,我的辦公室在長安街4號。
服務器說:(×××明)我是“服務器”,請陳述一個我們共享的機密———(口令)。
用戶說:(提交證明)我有一個機密的口令是“PASSWORD”
服務器說:(認證通過)你對了!我在我的記錄裏找到你了。你現在對我而言是“A”,我會把所有你的活動記在你的……
通過上面的例子我們可以看到,認證在信息安全當中是非常重要的環節,特別是認證的手段,因爲我們給計算機提供的“認證手段”,即共享的祕密代表着我們現實社會中的本人。一旦這個祕密被竊取,就會發生好萊塢電影中經常出現的鏡頭:“我”不是“我”了。
對網絡用戶的用戶名和口令進行驗證是保證網絡安全的非常重要的環節。用戶在使用系統時首先輸入用戶名和口令,服務器將驗證所輸入的用戶名是否合法。如果驗證合法,才繼續驗證用戶輸入的口令,否則,用戶將被拒之網絡之外。用戶的口令是用戶入網的關鍵所在。爲保證口令的安全性,用戶口令不能顯示在顯示屏上,用戶口令通常是經過加密後存儲在主機系統中的,即使是系統管理員也難以破解。但是,非常遺憾的是傳統的因特網上傳輸的是明文,包括TELNET、FTP、HTTPZ、POP3等應用,這樣網絡竊聽可以非常容易地得到明文的用戶口令。所以,認證機制以及認證方式對於系統的安全是非常重要的,下面將對比較常見的認證方式及機制作以簡單介紹。