文章总结： 本文解析身份鉴别核心逻辑，涵盖标识概念与三大凭证类型。阐述密码面临的四大威胁及加密、哈希等防护策略，介绍生物识别技术与评估指标。进一步讲解单点登录、Kerberos协议及AAA认证授权框架，为构建安全高效的身份认证体系提供理论与实践指导。 综合评分： 79 文章分类： 安全意识,网络安全

刷脸时代，你的”数字分身”可能正在冒名顶替！

原创

耶度

野猪与安全

2026年1月12日 08:30 广东

!

点击蓝字 关注我们

在上一期密码学内容中，我们聊到了加密、数字签名等技术如何守护数据安全。而所有安全防护的第一步，都是身份鉴别—— 只有先确认 “你是谁”，才能决定你能访问什么资源、做什么操作。

今天我们就拆解身份鉴别的核心逻辑：从 “标识与鉴别” 的基础概念，到密码、生物识别、多因素认证的实际应用，再到 Kerberos 单点登录和 AAA 协议，带你搞懂 “证明自己” 的安全原理。

一

｜标识与鉴别

身份鉴别核心要解决的问题是 “确认实体是它所声明的”，这离不开两个基础概念：

1. 标识：给实体一个 “数字身份证”

标识是实体身份的计算机表达—— 比如你的用户名、手机号、员工 ID，每个实体（人、设备、系统）都会绑定一个唯一的标识，相当于给它分配了一张 “数字身份证”，用于在计算机系统中区分不同主体。

2. 鉴别：验证 “身份证” 的真实性

鉴别是对标识的 “真实性校验”—— 比如输入密码、刷指纹，本质是证明 “你拥有该标识对应的合法凭证”。简单说：标识是 “我是谁”，鉴别是 “证明我是我” 。

3. 身份鉴别的核心作用

• 支撑访问控制：只有身份确认后，才能按权限分配资源（比如普通员工不能访问管理员后台）；
• 数据源认证：确认数据来自合法主体（比如确认转账指令确实来自账户本人）；
• 审计追踪：记录 “谁在什么时间做了什么操作”，便于后续安全审计和事件溯源。

二

｜鉴别系统的构成与分类

一个完整的鉴别系统，需要三个核心角色，且有多种鉴别方式：

1. 鉴别系统的三大核心角色

• 验证者：负责验证身份的一方（比如服务器、门禁系统）；
• 被验证者：需要证明自己身份的一方（比如你、登录系统的设备）；
• 可信赖者：第三方权威机构（比如 CA、KDC），用于复杂场景下的身份背书。

1. 鉴别类型：单向、双向、第三方鉴别

• 单向鉴别：仅一方验证另一方（比如你登录 APP，APP 验证你的身份）；
• 双向鉴别：双方互相验证（比如 HTTPS 通信，浏览器验证服务器证书，服务器验证用户身份）；
• 第三方鉴别：通过第三方完成验证（比如用微信登录网站，微信作为第三方验证你的身份）。

1. 鉴别方式：三类核心凭证（“所知、所有、所是”）

身份鉴别的本质是 “出示凭证”，凭证分为三类，对应不同的安全级别：

| | | | | | — | — | — | — | | 鉴别方式 | 核心逻辑 | 典型例子 | 安全级别 | | 基于实体所知 | 你知道的秘密 | 密码、PIN 码、验证码 | 弱 – 中 | | 基于实体所有 | 你拥有的物品 | 身份证、智能卡、硬件令牌 | 中 – 高 | | 基于实体特征 | 你本身的特征 | 指纹、虹膜、声纹 | 高 _ |

实际应用中，常组合使用（双因素 / 多因素认证），比如 “密码 + 短信验证码”“指纹 + 硬件令牌”，安全级别更高。

三

｜基于实体所知的鉴别

“你知道的秘密” 是最广泛的鉴别方式，核心代表是密码，但也面临多种安全威胁，需要针对性防护。

1. 核心威胁：密码的 “四大敌人”

• 暴力破解：黑客尝试所有可能的密码组合（比如字典攻击、穷举攻击）；
• 木马窃取：通过恶意软件记录你的键盘输入、截取屏幕，盗取密码；
• 线路窃听：在网络传输中截取明文密码（比如 HTTP 传输的密码）；
• 重放攻击：截取你的登录请求，重复发送以冒充登录。

1. 针对性防护方案

（1）对抗暴力破解：多重屏障

• 个人层面：设置 “易记难猜” 的强密码（字母 + 数字 + 特殊字符，避免生日、手机号）；
• 系统层面：开启账号锁定策略（比如连续 5 次输错密码，锁定 30 分钟）；
• 辅助层面：添加随机验证码（滑块、图像识别、变形验证码等），阻断自动化破解工具。

（2）对抗木马窃取：安全输入

• 使用专用密码输入控件，避免输入内容被恶意软件捕获；
• 采用软键盘输入（屏幕上点击输入），对抗键盘记录木马；
• 软键盘字符随机排列，防止截图还原密码。

（3）对抗线路窃听：加密 + 动态密码

• 传输加密：用 HTTPS、SSH 等协议加密传输，避免密码明文泄露；
• 单向哈希：数据库不存储明文密码，只存储密码的哈希值（比如 MD5、SHA-256）；
• 一次性口令（OTP）：每次登录使用不同密码（比如短信验证码、谷歌身份验证器），即使被窃取也无法重复使用。

（4）对抗重放攻击：挑战 – 应答机制

• 客户端请求登录后，服务器发送一个随机数（挑战）；
• 客户端将 “用户名 + 密码 + 随机数” 通过单向函数（如 MD5）生成应答，发送给服务器；
• 服务器用相同规则计算应答，对比一致则验证通过 —— 随机数每次不同，窃取的旧应答无法复用。

四

｜基于实体所有 / 特征的鉴别

当密码不足以满足安全需求时，就需要 “你拥有的物品” 或 “你本身的特征” 来鉴别，安全级别更高。

1. 基于实体所有的鉴别：“物证人证”

核心是用 “只有你拥有的物品” 验证身份，常见载体包括：

• IC 卡（集成电路卡）：比如门禁卡、银行卡，芯片中存储身份信息，难以复制；
• 智能卡 / CPU 卡：内置处理器和加密算法，能实现双向认证，安全性比普通 IC 卡更高；
• 硬件令牌：比如银行 U 盾、动态令牌，生成一次性验证码，离线使用更安全。

安全威胁与防护：

• 威胁：卡片损坏、丢失、被复制；
• 防护：卡片封装坚固耐用；内置加密逻辑，防止数据被复制；搭配 PIN 码使用（比如银行卡 + 取款密码），即使卡片丢失也不易被盗用。

1. 基于实体特征的鉴别：“生物密码”

核心是用 “你与生俱来的生物特征” 验证身份，无法被复制，安全性最高，常见类型包括：

• 指纹 / 掌纹 / 静脉：指纹的曲线、分叉特征，掌纹的折痕、几何形状，静脉的分布图案，都是唯一且稳定的；

• 虹膜 / 视网膜：虹膜环绕瞳孔的色彩部分（6-18 个月成型后终生不变），视网膜的血管分布，识别精度极高；

• 语音 / 面部：语音的语速、语调，面部的骨骼结构（鼻梁、眼眶形状），易于实现但安全性相对较低（可能被伪造）。

鉴别系统的有效性指标：

• 错误拒绝率（FRR）：把合法用户误判为非法用户（比如指纹识别失败）；
• 错误接受率（FAR）：把非法用户误判为合法用户（比如伪造指纹通过验证）；
• 交叉错判率（CER）：FRR=FAR 的平衡点，CER 越低，系统识别精度越高。

五

｜进阶：单点登录与 AAA 协议

在企业、大型系统中，需要同时访问多个应用，此时 “单点登录” 和 “AAA 协议” 能提升鉴别效率和安全性。

1. 单点登录（SSO）：一次登录，全网通行

• 核心概念：只需进行一次身份鉴别，就能访问所有授权的网络资源（比如企业员工登录一次办公系统，就能直接访问 OA、邮箱、CRM）；
• 实质：安全凭证（比如令牌）在多个应用间共享，避免重复登录；
• 安全优势：减少密码记忆负担，降低密码泄露风险，便于集中管理身份权限。

1. Kerberos 协议：单点登录的核心实现

Kerberos 是基于对称加密的单点登录协议，由 MIT 开发，核心是 “可信第三方（KDC）” 提供认证服务。

（1）Kerberos 体系构成

• 密钥分发中心（KDC）：核心组件，包含认证服务器（AS）和票据授权服务器（TGS），维护所有用户账户信息；
• 客户端：需要访问服务的用户 / 设备；
• 应用服务器：提供具体服务的服务器（比如 OA、邮箱服务器）；
• 关键票据：票据许可票据（TGT）、服务许可票据（SGT），用于后续服务访问，避免重复传输密码。

（2）Kerberos 认证三步骤（以访问 OA 为例）

1. 获得 TGT：客户端向 AS 发送登录请求（用户名、IP 等），AS 验证用户存在后，返回用用户密码加密的 TGT 和会话密钥；

   

2. 获得 SGT：客户端用密码解密 TGT，向 TGS 发送访问 OA 的请求，TGT 验证通过后，返回 SGT 和客户端与 OA 服务器的会话密钥；

   

3. 获得服务：客户端向 OA 服务器发送 SGT 和认证信息，OA 验证通过后，提供服务。

（3）核心优势

• 避免在网络中传输密码，降低泄露风险；
• 支持客户端和服务器双向认证，防止伪装攻击。

1. AAA 协议：认证、授权、计费一体化

AAA（Authentication、Authorization、Accounting）是一套完整的安全管理框架，不仅做身份鉴别，还包含授权和计费：

• 认证（Authentication）：确认 “你是谁”（对应身份鉴别）；
• 授权（Authorization）：确认 “你能做什么”（比如普通用户只能查看数据，不能修改）；
• 计费（Accounting）：记录 “你做了什么”（比如访问时长、操作日志），用于计费和审计。

常见 AAA 协议

• RADIUS 协议：应用最广，适用于局域网、Wi-Fi 认证（比如公司 Wi-Fi 的 802.1X 认证）；
• TACACS + 协议：比 RADIUS 更安全，支持更细粒度的授权，适用于企业级网络设备认证；
• Diameter 协议：RADIUS 的升级版本，支持更多场景（比如移动网络）。

下期预告

今天我们聊了身份鉴别的核心逻辑：从基础的密码认证，到进阶的生物识别、单点登录，本质都是 “通过可信凭证证明身份”。

下一期，我们将聚焦身份鉴别的 “后续动作”——访问控制：如何根据身份分配权限？访问控制的模型有哪些？带你搞懂 “身份” 到 “权限” 的安全流转！

你在使用身份鉴别时遇到过哪些问题？比如密码被盗、生物识别失败？欢迎在评论区分享你的经历！

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：野猪与安全 耶度《刷脸时代，你的”数字分身”可能正在冒名顶替！》