三、身份认证

身份认证（Identification and Authentication）可以定义为：为了使某些授予许可权限的权威机构满意，而提供所要求的身份认证的过程。

在大多数系统中，用户在他们被允许注册之前必须为其账号指定一个口令，口令的目的就是认证该用户就是他声明的那个人。换句话说，口令充当了认证用户身份的机制，但口令很有可能被窃取，别人就会假扮用户。所以，除了口令之外，人们开始研究和使用更为可靠的、更为复杂的认证技术。

1.用本身特征进行鉴别

人类生物学提供了几种方法去鉴别一个人，如指纹、声音等。但这些技术应用到计算机中是不可行的。例如，不可能要求每台机器都配有话筒以用于声音认证，况且人的声音会发生变化，人在感冒时就无法使用他的计算机了，显然这是不合适的。

2.采用所知道的事进行鉴别

口令可以说是其中的一种，但口令容易被偷窃，于是人们发明了一种一次性口令机制，如挑战/反应机制（challenge/response）。这种机制要求用户提供一些由计算机和用户共享的信息，如用户的祖父的名字和生日，或其他一些特殊信息。计算机每次会根据一个种子（seed）值、一个迭代（iteration）值和该短语信息计算出一个口令，其中种子值和迭代值是发生变化的，所以每次计算出的口令也不一样，这样即使入侵者通过窃听手段得到密码也不能闯入系统。