未授权访问是数字世界危害最大、存在最普遍的威胁之一，可能导致勒索软件、数据泄漏或密码泄漏等严重后果。据赛门铁克数据显示，每月有超 4800 个网站遭到攻击。大部分的数据泄漏事故都可归咎于身份验证和访问控制问题，行业需要一个强大的数据保护产品和访问控制机制（如身份识别、认证和授权）来保障高水平的安全检查。

访问控制能够确保只有经过身份识别、认证和授权的用户才能访问资源。然而，尽管这种主流的安全管理程序已经被大部分企业采纳践行，但还是有人对识别（identification）、认证（authentication）和授权（authorization）这三个概念感到困惑。本文将带领大家理解这三个概念，厘清三者的区别。

识别（identification）

用户（或个人）声称拥有某个身份的过程叫做识别。用户名、process ID、智能卡等任何可以唯一识别主体或个人的事物都能够用于身份识别。安全系统利用身份识别来确定该用户是否拥有访问权限。

在进行身份识别时，即使用户拒绝配合，系统也必须知道对方的身份。

监控系统、指纹和 DNA 样本可用于识别个人的身份。那么在数字世界中，设备指纹等生物特征也能达到相同的目的。此外，个人身份还可以在网络上利用写作风格、按键方式或者打游戏的习惯来识别。

用户识别的重要性

个人识别指的是将某个人与特定身份相关联的过程。其重要性不言而喻，能够解决对个人身份担忧的问题，比如 “这个人是他/她所声称的身份吗？”、“这个人之前来过吗？”、“应该允许这个人访问我们的系统吗？”

身份识别对于企业的好处包括：

• 能够简便地集成到不同系统中
• 价格低廉
• 良好的威慑作用，抵御外来冒名者

身份识别的类型

识别个人身份可以使用身份证、护照等等。有的国家会签发正式的身份证件，例如国家居民身份证，有的国家则是依赖区域身份证或非正式证件来确认身份。

其他可接受的身份识别形式：

1. 知晓之物：密码、PIN、组合锁等。使用个人知晓的事物来验证身份可能是最简便的方式，但也可能是最不安全的方法之一。
2. 拥有之物：钥匙、磁卡、访问卡或身份识别名牌等，通常用于进入银行和办公室等场所，也可用于访问敏感位置或验证系统凭证。这个方法也相对简便，但是这些所有物很容易被偷。
3. 生而之物：生物特征对于每个人来说都是独一无二的，不会丢失也不会遭窃。使用生物特征识别身份是最准确、安全的方式。

认证（Authentication）

认证是指验证某人身份的过程，当主体出示适当的凭证来验证身份时发生。用户输入正确的用户名和密码后，密码会验证此用户确实是该用户名的所有者。简单来说就是，身份认证确定了所声称身份的有效性。

在一个用户名 - 密码的安全系统中，用户必须提交有效凭证来获取系统的访问权限。不仅保护了系统安全，阻挡未知的第三方攻击，同时也保护了用户隐私。一旦用户隐私被破坏，可能导致法律问题。

根据用户提供的身份识别或认证的因素数量，认证程序可以分为以下几个层级：

• 单因素认证
• 双因素认证
• 多因素认证

用户认证的重要性

通过用户身份认证，仅允许经过认证的用户（或进程）访问受保护资源，例如计算机系统、网络、数据库、网站和其他基于网络的应用程序或服务，帮助企业保障网络安全。

用户认证的好处包括

• 防盗窃：访问控制系统的根本目标是为了限制访问以保护用户身份不被盗用或篡改。很多需要个人信息提供服务的网站，特别是那些需要银行卡信息或社会保障号码（美国）的网站，都必须遵守法律法规要求，建立相应的访问控制机制。
• 安全等级：科学技术的进步带来了现代控制系统的不断发展。相较于之前的四位 PIN 码和密码，现在人们有更多的选择来保护信息的安全。例如，现在很多家庭和办公室可以安装带有生物识别扫描的锁。

身份认证的方法

网络犯罪份子也在不断精进系统攻击的手段。因此，安全团队需要不断处理持续变化的身份认证问题。这也说明了为什么企业都已开始部署涵盖身份认证在内的更加完善、成熟的方案。保护现代系统的常用身份认证方法包括：

密码认证：最为常见的认证方法是用户名和密码。字母、数字和特殊字符组合构成的密码安全强度很高，但仍有可能被攻击或盗取。

双因素认证（2FA）：双因素认证需要用户经过两种或多种不同方法的识别认证。用户手机生成的验证码、Captcha 测试或其他非用户名和密码的第二因素能够提供额外的安全保护层。不过，一旦手机或电脑被盗，就可能足以破坏一切。

生物特征多因素认证（MFA）：生物特征认证依赖个人独特的生物特征，是认证个人身份的最安全方式。通过生物特征多因素认证技术，数据库中保存的授权特征可以进行快速比对。如果安装在门上，生物特征认证能够很好地控制物理访问。

生物特征认证的常见类型：

• 语音识别
• 人脸识别
• 指纹
• 掌纹

授权（authorization）

授权是一种用于确定用户在系统中执行特定任务的权限或资格的安全技术。授权程序明确了用户被认证为合格候选者后在系统中所拥有的基于角色的权力。

特别注意，没有身份识别和认证，授权也无法实现。因为如果每个人都用同一账户登录，访问资源的权限要么是允许，要么是拒绝，无法对用户进行区分。

但是，如果运用特定凭证对用户加以识别和认证，就能基于用户的角色或访问级别为他们提供不同资源的访问权限。

用户授权的重要性

用户授权规定了用户能够在相应场所、网络或系统中可以做什么以及可以看到什么。那么，授权的好处包括：

• 确保用户无法访问不属于他们的账户
• 防止访客和员工进入安全区域
• 确保所有的功能对免费账户不可用
• 确保内部账户只能访问他们所需要的信息

用户授权的方法

授权可以通过多种方式进行，包括：

API 密钥：大多数 API 的使用前提是要先注册一个 API 密钥。API 密钥是一个很长的字符串，通常包含在请求 URL 或标头中，主要用于识别执行 API 调用的人（认证你的身份以使用 API）。API 密钥可能与个人注册的某个特定应用相关联。

基本身份验证（Basic Auth）：基本身份验证是另一种授权方式，发送方需要在请求头输入用户名和密码。Base64 编码技术能够将登录名和密码转换成一组 64 个字符，确保安全传递。

HMAC：HMAC 表示基于哈希的消息认证码（Hash-based message authorization code），是一种安全性更高的认证形式，常见于金融 API。发送者和接受者都有访问密钥的权限，而其他任何人都无法访问。发送者使用系统属性（如请求时间戳加上账户 ID）构建一个消息，并使用密钥进行加密，然后通过安全的哈希运算传输。

API 服务器接收到请求后，使用相同的系统属性，并运用密钥和安全哈希算法（SHA）生成相同的字符串。如果字符串与请求头中的签名一致，服务器接收请求；如果字符串不匹配，请求将被拒绝。

总结

身份和访问管理（IAM）系统定义并管理了用户身份和访问的权限。在企业环境下，企业的客户和员工都是 IAM 系统的用户，IT 管理员通过 IAM 技术认证并授权用户。因此，在对识别、认证和授权这三个概念的认知基础上，企业应部署完善的身份和访问管理系统，保障企业网络、数据等各方面安全。

原文链接：https://imageware.io/identification-authentication-authorization-difference/