第2章　身份识别和身份验证

当开发安全措施时，无论特定机制还是全部基础设施，身份识别和身份验证都是关键概念。简单地说，身份识别是声称某人或某物是什么，而身份验证则确定该声明是否属实。你会看到，这样的过程每天都在以各种各样的方式发生。

使用需要个人识别码（Personal Identification Number，PIN）的支付卡就是身份识别和身份验证的一个常见示例。刷卡上的磁条，就是在声称你就是卡代表的人。在这一点上，你只是提供了自己的身份，但仅此而已。当输入与卡关联的PIN时，你正在完成事务过程中的身份验证，证明你是合法的持卡人。

我们日常使用的一些身份识别和身份验证方法特别脆弱，这意味着安全性在很大程度上将依赖参与事务的人的诚实和勤勉。例如，你出示身份证买酒，就是在向人们证实你的身份真实准确，除非他们有权访问身份证的维护系统，否则他们就无法对此进行验证。我们还依赖执行身份验证的人员或系统的能力。这些人员和系统不仅必须能够执行身份验证操作，还必须能够对虚假或欺诈性活动进行检测。

你可以使用几种方法进行身份识别和验证，从要求简单的用户名和密码，到执行专用的能够以多种方式确定你身份的硬件令牌。在本章中，我将讨论其中几种方法，并探讨它们的用法。