随着网络应用的深入发展和普及，网络中存储、流转的数据类型和数量与日俱增，已成为网络空间最有价值的资产之一。近些年针对数据信息的网络攻击层出不穷，一旦发生泄漏事件，就可能给企业、个人，乃至行业、国家造成严重的危害和影响。时至今日，加强数据防护，保障信息安全早已成为网络时代大众的共识。

      在网络和信息安全领域，密码对保障信息安全所起到的作用越来越大，其应用范围及应用深度也在不断发展。当前，信息系统想要实现安全目标，达到一定的防护水平，就必须具备有效的鉴别与访问控制机制。其中，身份鉴别是信息安全领域很重要的一项基础内容。

身份鉴别概念

标识是实体身份的一种计算机表达。

      信息系统在执行操作时，首先要求用户标识自己的身份，并提供证明自己身份的依据，不同的系统使用不同的方式表示实体的身份，同一实体可以有多个不同的身份。

      鉴别是将标识和实体联系在一起的过程。鉴别是信息系统的第一道安全防线，也为其他安全服务提供支撑。访问控制机制的正确执行依赖于对用户身份的正确识别，标识和鉴别作为访问控制的必要支持，以实现对资源机密性、完整性、可用性及合法使用的支持。如果与数据完整性机制结合起来使用，可以作为数据源认证的一种方法。

身份鉴别的类型

身份鉴别包括单向鉴别、双向鉴别以及第三方鉴别。

       在一个给定的网络中，客户A需要访问服务器S的服务，客户A必须被服务器鉴别，这个鉴别过程称为单向鉴别。如果客户A也需要鉴别服务器S，则称为双向鉴别。还有一些情况要求由双方信任的第三方进行鉴别，以确认用户和服务器的身份。

      单向鉴别是当用户希望在应用服务器上注册时，用户仅需被应用服务器鉴别。常见的单向鉴别是用户发送其用户名和口令给应用服务器，应用服务器收到的用户名和口令进行验证，确认用户名和口令是由合法用户发出。

     双向鉴别是一种相互鉴别，其过程在单向鉴别的基础上还要增加两个步骤：服务器向客户端发送服务器名和口令，客户端确认服务器身份的合法性。这种基于口令的双向鉴别一般不常使用，假如有50个用户（或应用服务器），每个用户若均可与其它用户通信，则每个用户都应有能力鉴别其他用户。在双向鉴别的情况下，还应能被其它用户鉴别，这样每个用户需要保存49个口令。一旦用户增加、减少或改变口令，都要调整口令清单，管理繁琐且效率低。

      第三方鉴别是基于可信的第三方存储验证标识和鉴别信息。每个用户或应用服务器都向可信第三方发送身份标识和口令，提高了口令存储和使用的安全性，并且具有较高的效率。

身份鉴别的方式

实体身份鉴别一般依据3种基本情况或3种情况的组合，即：实体所知、实体所有和实体特征。

◇ 基于实体所知的鉴别，即实体所知道的，如口令，PIN码等。常常将一个秘密信息发送到系统中，该秘密信息仅为用户和系统已知。据此系统鉴别用户身份。

◇ 基于实体所有的鉴别，即实体所拥有的物品，如钥匙、磁卡等，借助这些物品使系统鉴别用户。在鉴别时，用户手持这些物品，通过外围设备完成鉴别。

◇ 基于实体特征的鉴别，即实体所拥有的可被记录、可比较的生理或行为方面的特征，这些特征能被系统观察和记录，通过与系统中存储的特征比较进行鉴别。

◇ 多因素鉴别方法，使用多种鉴别机制检查用户身份的真实性。使用两种鉴别方式的组合（双因素鉴别）是常用的多因素鉴别形式。

例如，在网上银行的转账验证时，必须同时使用用户名/密码（实体所知）和USB Key（实体所有）才能完成一次转账验证。使用多因素验证能有效地提高安全性，降低身份滥用的风险。