什么是身份鉴别和身份认证

什么是身份鉴别和身份认证？我们可以从《西游记》中寻找一些灵感。取经路上，唐僧通过某地时，总是如此介绍自己：“贫僧唐三藏，从东土大唐而来”。

“贫僧唐三藏”，而不四藏、五藏，这就是身份鉴别，身份鉴别就是用来回答自己是谁。接下来他会拿出太宗皇帝御赐的通关文牒，进一步证明自己确实是东土大唐而来的唐三藏，这就是身份认证，身份认证是用来证明自己就是自己。

同样，网络中的认证技术也包含身份鉴别和身份认证两部分。我们应该都有通过用户名和密码来登录某网站的经历，这其中：输入用户名的过程就是身份鉴别，用来回答自己是某某某；输入密码的过程就是身份认证，密码输入正确则意味着确实是某某某。如果让唐三藏登录“西游记”网站的话，那么用户名就是“唐三藏”，密码就是“通关文碟”。

后来，随着网络用户数据泄露问题日益严重，人们发现单纯的输入用户名和密码并不安全，所以又设计出了多要素认证。多要素认证其实就是在用户名密码的基础上，在用户侧再多下一些功夫，而不能仅仅是通过用户名来进行身份鉴别。还是拿唐三藏举例子，在现实世界，人们可以看到一个光头（生物特征）、披着袈裟和骑着白马（所拥有物品）的唐三藏。那么在网络空间怎么办呢？我们同样可以用通过对生物特征（人脸、指纹）和所拥有物品（UKEY、手机）进行识别来提升身份鉴别的可靠性。

以某机构内网终端管理策略为例：唐三藏首先需要在计算机上插入自己的UKEY（所拥有的物品）进行身份鉴别，如果没有UKEY就不能使用计算机；然后才有机会输入账户密码来进行身份认证，如果密码错误将导致不能授权，也就无法访问网络。