10.1.1  身份认证的基本概念

身份认证也称为“身份验证”或“身份鉴别”，是指在计算机系统中确认操作者身份的过程。通过身份认证来确定该用户是否具有对某种资源的访问和使用权限，从而使计算机系统的访问策略能够可靠、有效地执行，防止攻击者假冒合法用户获得资源的访问权限，保证系统和数据的安全，以及授权访问者的合法利益。

身份认证是信息系统安全的一个基础方面。大多数情况下，用户的身份在信息系统中以认证信息的形式体现，例如密码、指纹等。认证信息和其他用户信息不同的地方在于，其他信息仅仅是一种静态信息，而认证信息代表的是一个动作，一个过程，以及一定的范围权限，一定的时间段等。

身份认证技术是让认证方相信正在与之通信的另一方就是所声称的那个实体，其目的是防止伪装。身份认证技术的本质是被认证方有一些信息（密钥、认证卡或指纹等信息），除被认证方自己外，任何第三方不能拥有或伪造。被认证方将那些信息出示给认证方，使认证方相信他确实拥有那些信息，从而使自己的身份得到认证。

身份认证分弱认证和强认证两种类型：

（1）弱认证 使用口令（Password）、口令段（Passphrase）、口令驱动的密钥。

（2）强认证 通过向认证方展示与被认证方实体有关的个人信息来证明自己的身份。