在现实生活中,我们个人的身份主要是通过各种证件来确认的,比如:×××、户口本等。计算机世界与现实世界非常相似,各种计算资源(如:文件、数据库、应用系统)也需要认证机制的保护,确保这些资源被应该使用的人使用。
认证就是指用户必须提供他是谁的证明,他是某个雇员、某个组织的代理、某个软件过程(如股票交易系统或Web订货系统的软件过程)。认证的标准方法就是弄清楚他是谁,他具有什么特征,他知道什么可用于识别他的东西。至于说到“他知道什么”,最普通的就是口令,口令具有共享秘密的属性。例如,要使服务器操作系统识别要入网的用户,那么用户必须把他的用户名和口令送服务器。服务器就将它仍与数据库里的用户名和口令进行比较,如果相符,就通过了认证,可以进行访问。它的全过程是这样的:
用户说:(宣布身份)我是“A”,我在ABC公司工作,我是一个工程师,我的办公室在长安街4号。
服务器说:(×××明)我是“服务器”,请陈述一个我们共享的机密———(口令)。
用户说:(提交证明)我有一个机密的口令是“PASSWORD”
服务器说:(认证通过)你对了!我在我的记录里找到你了。你现在对我而言是“A”,我会把所有你的活动记在你的……
通过上面的例子我们可以看到,认证在信息安全当中是非常重要的环节,特别是认证的手段,因为我们给计算机提供的“认证手段”,即共享的秘密代表着我们现实社会中的本人。一旦这个秘密被窃取,就会发生好莱坞电影中经常出现的镜头:“我”不是“我”了。
对网络用户的用户名和口令进行验证是保证网络安全的非常重要的环节。用户在使用系统时首先输入用户名和口令,服务器将验证所输入的用户名是否合法。如果验证合法,才继续验证用户输入的口令,否则,用户将被拒之网络之外。用户的口令是用户入网的关键所在。为保证口令的安全性,用户口令不能显示在显示屏上,用户口令通常是经过加密后存储在主机系统中的,即使是系统管理员也难以破解。但是,非常遗憾的是传统的因特网上传输的是明文,包括TELNET、FTP、HTTPZ、POP3等应用,这样网络窃听可以非常容易地得到明文的用户口令。所以,认证机制以及认证方式对于系统的安全是非常重要的,下面将对比较常见的认证方式及机制作以简单介绍。