关于身份的那些事之（一）身份标识、身份认证、授权和可问责性

信息安全在当今社会关系中扮演着核心角色，它不仅保障了个体的隐私和权益，促进了社会信任和秩序的建立，还是实现资源公平分配、维护社会稳定和推动经济发展的关键因素，对构建和谐社会和文化传承具有深远影响。

信息安全的根本就是通过控制信息资源如何被访问来防范资源泄露或未经授权的修改。

一、什么是访问控制

访问控制是一种安全手段，它控制用户和系统与其他的系统和资源进行通信和交互。它能够保护系统和资源免受未经授权的访问，并且在认证通过后授权访问的等级。访问资源和信息的实体包括用户、程序、进程、系统、终端等多种类型的实体。访问是在主体和客体之间的一种信息传输。所谓主体是一个主动的实体，它提出对客体中的对象或数据的访问要求，如能够访问信息的用户、程序、进程等。所谓客体是含有被访问信息的被动实体，如一台计算机，一个数据库，一个文件，一个程序等。访问控制使得用户能够控制、限制、监控以及保护资源的可用性、完整性和机密性。

二、CIA安全三原则

三、身份及身份认证

在信息世界中，身份是一个实体区别于其他实体的一种标识。身份在一定范围内具有唯一性。身份可以标识一个用户，一台机器，一个物体，一些虚拟的实体等。

身份认证也称为“身份验证”或“身份鉴别”，它是指在计算机及网络中确认实体身份的过程或是要确认通信的另一端的实体是谁的过程，从而确认该实体是否具有对某种资源的访问和使用权限，使访问策略能够可靠有效执行。

用户身份认证，用户要向系统证明他就是他所声称的那个人。

机、物、虚拟实体的身份认证即实体认证，主要是指在通信中向另一端证明就是所声称的设备，即数据来源认证。

身份认证的作用：

 • 防止攻击者假冒合法用户获得资源的访问权限

 • 保证系统和数据安全

 • 保证授权访问者的合法利益

四、访问控制和身份认证的关系

对用户来说，他必须证明他是他所声称的那个人，他拥有凭证并且被授予了一定的权限能够完成某个操作，那么他就可以访问某类资源。一旦这些步骤成功，这个用户就能够访问和使用资源，但还需要跟踪这个用户的活动并且能够对他的行为进行审计。

标识是一种能够确保主体就是它所声称的那个实体的方法。标识可以通过一些证明来确认，如用户名或账号。为了正确的身份认证，用户还需要提供进一步的凭证，如密码、PIN、生物特征或令牌。如果匹配，那么主体就通过了身份认证。

接下来，系统需要确定这个主体是否具备相应的权限来完成它将要执行的操作。如果主体能够访问该资源，那么主体就被授权。

主体在一个系统或域内的行为应当可问责，即主体能够被唯一标识，并且主体的动作被记录在案。

标识、认证、授权和可问责性这4步必须都发生，主体才能访问到客体。

图1 主体访问客体4个步骤

用户的身份认证方式有三种：他知道的内容，他持有的证明，他自身带来的特征。也就是根据知识进行认证、根据所有权进行认证以及根据特征（生物特征、行为特征）进行认证。

授权。认证和授权互相配合完成两步操作才能确认用户是否能访问一个资源。第一步是身份认证，用户必须向系统证明他就是他所声称的那个人，第二步系统必须确认用户已被授权访问资源，且确认用户能对该资源执行哪些操作。

三十年前随着互联网的快速发展，信息安全遭遇前所未有的挑战，在这个关键时刻，握奇应运而生，开始尝试用公开密钥体系实现有效认证。从1995年开发的中国银行“长城卡网络授权系统”，到2021推出的TGoMOS®天歌开放式多应用安全操作系统；从PKI USB一代key到一系列FIDO硬件安全密钥产品；握奇以密码算法应用技术、数字安全防护技术和安全芯片操作系统技术为基础，为全球用户的身份认证提供了一系列软硬件产品和服务。

用户可以通过基于PKI的智能密码钥匙产品，使用USB接口或蓝牙连接到电脑、手机等终端设备，快速、安全地完成登录认证。目前，握奇数据FIDO系列产品和基于PKI的智能密码钥匙产品获得了国家商用密码检测中心颁发的密码模块二级证书，美国NIST颁发的FIPS 104-3 Level 2认证证书，这些产品可以有效防范安全攻击，保证用户身份认证安全。