認證( Authentication),又稱鑑別,它是由被認證者根據一些預先設定的知識來给予證據給驗證者,以確定某人某事是否名副其實或者是否有效的一個過程。認證是信息安全中最基礎也是最重要的一個過程。任何一個系統最基本的安全需求就是認證,只由顺利获得認證確定被認證內容的合法性之後,才能在其基礎之上再施行其他安全控制措施。被認證方给予一定的具有特徵的數據,由驗證方來驗證認證數據是否是合法的。

認證按照認證參數的內容又分為基於密碼技術的認證和基於非密碼技術的認證。基於非密碼技術的認證指的是認證參數為一些非密碼學相關的內容,如口令、信物、智能卡、指紋、虹膜、DNA、IP位址等。下面舉一些簡單的例子:①軍隊在營地里為了防止敵人間諜滲透,往往會設置一個口令,只有在向哨兵報出這個口令之後,才被允許進入營地。②中國古代將軍調兵打仗,必須要有兵符才能夠調動軍隊,這裏的兵符就是信物。③在一些網絡中,數據庫會根據用戶的IP位址來確定是否允許其接入公安機關會比對嫌犯和犯罪現場留下的指紋甚至DNA,來判定嫌犯是否有罪。而基於密碼技術的認證則是顺利获得密碼技術,如詢問應答協議、MAC碼、數字簽名等來實現數據源認證功能。在驗證數據完整性的同時也保證了數據來自預定的對端。

認證按照認證對象又分為實體認證和消息源認證。所謂實體認證,就是用於認證通信對端的身份,以保證通信對端是原定的對端,而非其他人假冒。因此實體認證也稱身份認證,保證的身份為其聲稱的身份。而所謂數據源認證,主要認證某個指定的數據項是否來源於某個特定的實體。數據源認證通常都是與數據的完整性保護結合在一起的。只有數據的完整性得到了保護,才能實現數據源認證;反之,數據的完整性得到了保護,就能夠進行數據源認證。數據源認證通常採用數字簽名或者MAC(如HMAC,CMAC,其中CMAC是用分組加密的CBC模式來構造MAC碼的方式)碼的形式來保證。

認證按照方向分又分為單向認證和雙向認證32。所謂單向認證,是指只是一方認證另一方,例如,在許多客戶-服務器模型的應用中,往往只需要服務器端認證客戶端的身份。

而雙向認證則是通信雙方都需要互相認證,互相向對方證明自己的身份。例如,用戶在訪問一些資源時,如果只是資源给予方對用戶實行認證,則這種單向認證使得攻擊者可以假冒資源给予方,形成網絡上的釣魚網站。