身份验证与授权：有什么区别？

在组织的身份和访问管理系统 (IAM) 中，身份验证和授权是相关但又不同的流程。身份验证可验证用户的身份。授权赋予用户访问系统资源的正确级别。

身份验证过程依赖于用户出示的凭据，如密码或指纹扫描，以证明其身份。

授权过程依赖于用户权限，这些权限规定了每个用户在特定资源或网络中可以做什么。例如，文件系统中的权限可以决定用户能否创建、读取、更新或删除文件。

身份验证和授权流程既适用于人类用户，也适用于非人类用户，如设备、自动化工作负载和网络应用程序。一个 IAM 系统可以同时处理身份验证和授权，也可以由不同的系统协同处理。

认证通常是授权的先决条件。系统必须先知道用户是谁，才能允许该用户访问任何内容。

黑客劫持有效用户账户并滥用其访问权限的基于身份的攻击正在增加。根据 IBM X-Force Threat Intelligence Index，这些攻击是威胁参与者潜入网络的最常见方式之一，占所有网络攻击的 30％。

身份验证和授权相互配合，可实施安全的访问控制，防止数据泄露。强大的身份验证程序使黑客更难接管用户账户。强授权限制了黑客对这些账户的破坏。

身份验证（有时缩写为“authn”）基于用户凭据（也称为 身份验证因素）的交换。身份验证因素是证明用户身份的证据。

用户首次注册系统时，会建立一套身份验证因素。当用户登录时，就会显示这些因素。系统将根据档案中的因素检查所提出的因素。如果它们匹配，系统就会相信用户就是他们声称的那个人。

常见的身份验证因素包括：

• 知识因素： 只有用户知道的东西，如密码、PIN 码或安全问题的答案。
  
• 占有因素： 只有用户才拥有的东西，例如通过 SMS 短信发送到用户个人手机上的一次性 PIN (OTP) 或物理安全令牌。
  
• 固有因素： 生物识别技术，如面部识别和指纹扫描。

单个应用程序和资源可以拥有自己的身份验证系统。许多组织使用 单点登录 (SSO) 解决方案等集成系统，用户只需进行一次身份验证，即可访问安全域中的多个资源。

常见的身份验证标准包括 安全断言标记语言 (SAML) 和 OpenID Connect (OIDC)。SAML 使用 XML 消息在系统间共享身份验证信息，而 OIDC 则使用被称为"ID 令牌"的 JSON 网络令牌 (JWT)。

• 单因素身份验证 (SFA) 需要一个身份验证因素来证明用户的身份。提供登录社交媒体网站的用户名和密码就是 SFA 的一个典型例子。
  
• 多重身份验证 (MFA) 至少需要两种不同类型的身份验证因素，例如密码（知识因素）和指纹扫描（内在因素）。
  
• 双因素身份验证 (2FA) 是一种特定类型的 MFA，恰好需要两个因素。大多数互联网用户都使用过 2FA，例如银行应用程序需要密码和发送到用户手机上的一次性代码。
  
• 无密码身份验证 方法不使用密码或任何知识因素。由于知识因素最容易被窃取，因此无密码系统已成为抵御凭据窃贼的常用手段。
  
• 自适应身份验证系统利用 人工智能  和 机器学习 ，根据用户行为的风险程度调整身份验证要求。例如，试图访问机密数据的用户可能需要在系统验证之前提供多个验证因素。

了解 IBM 身份和安全专家如何帮助简化 IAM 工作、管理跨混合云环境的解决方案以及转变治理工作流程。

• 使用指纹扫描和 PIN 码解锁智能手机。
  
• 开立新银行账户时出示身份证件。
  
• 网络浏览器通过检查网站的数字证书来验证网站是否合法。
  
• 应用程序在每次调用时，都会在 应用程序编程接口 (API) 中加入自己的秘密 API 密钥，以验证自己。

授权（有时缩写为 "authz"）基于用户权限。权限是一种策略，详细规定了用户在系统中可以访问哪些内容以及访问权限的用途。

管理员和安全负责人通常会定义用户权限，然后由授权系统执行。当用户尝试访问资源或执行操作时，授权系统会检查其权限，然后才允许其继续操作。

考虑一个包含客户记录的敏感数据库。授权决定用户是否可以查看该数据库。如果可以，授权也决定了他们在数据库中可以做什么。他们只能读取条目，还是也能创建、删除和更新条目？

OAuth 2.0 使用访问令牌向用户授予权限，是常见授权协议的一个例子。OAuth 允许应用程序之间共享数据。例如，只要用户同意，OAuth 就能让社交媒体网站扫描用户的电子邮件联系人，查找用户可能认识的人。

• 基于角色的访问控制 (RBAC) 方法根据用户的角色确定其访问权限。例如，初级安全分析师可能可以查看防火墙配置，但不能更改，而网络安全主管则可能拥有完全的管理权限。
  
• 基于属性的访问控制 (ABAC) 方法使用用户、对象和操作的属性（如用户名、资源类型和时间）来确定访问级别。当用户尝试访问资源时，ABAC 系统会分析所有相关属性，只有当这些属性符合某些预定义标准时，才会授予访问权限。例如，在 ABAC 系统中，用户可能只能在工作时间内访问敏感数据，而且必须达到一定的级别。
  
• 强制访问控制 (MAC) 系统对所有用户执行集中定义的访问控制策略。与 RBAC 和 ABAC 相比，MAC 系统的粒度较小，访问通常基于设定的许可级别或信任分数。许多操作系统使用 MAC 来控制程序对敏感系统资源的访问。
  
• 自由裁量访问控制 (DAC) 系统使资源所有者能够为这些资源制定自己的访问控制规则。DAC 比 MAC 的一揽子政策更加灵活。

• 用户登录自己的电子邮件账户后，只能看到自己的电子邮件。他们无权查看其他人的信息。
  
• 在医疗记录系统中，只有得到患者明确同意的医疗服务提供者才能查看患者的数据。
  
• 用户在共享文件系统中创建文档。他们将访问权限设置为“只读”，这样其他用户就可以查看文档，但不能对其进行编辑。
  
• 笔记本电脑的操作系统可防止未知程序更改系统设置。

在保护敏感信息和网络资源免受内部威胁和外部攻击者的侵害方面，用户认证和授权发挥着相辅相成的作用。简而言之，身份验证有助于组织保护用户账户，而授权则有助于保护这些账户可以访问的系统。

全面的身份和访问管理 (IAM) 系统有助于跟踪用户活动，阻止对网络资产的未经授权访问，并执行细粒度的权限，以便只有正确的用户才能访问正确的资源。

身份验证和授权解决了组织实施有意义的访问控制所需的两个关键问题：

• 你是谁？（认证）
  
• 在这个系统中，你可以做什么？（授权）

组织需要知道用户是谁，然后才能启用正确的访问级别。例如，当网络管理员登录时，用户必须通过提供正确的身份验证因素来证明自己是管理员。只有这样，IAM 系统才会授权用户执行添加和删除其他用户等管理操作。

随着组织 安全控制 越来越有效，越来越多的攻击者通过窃取用户账户和滥用其权限来绕过这些控制。 网络罪犯很容易实施这些攻击。黑客可以通过暴力破解密码、使用信息窃取恶意软件 或从其他黑客那里购买凭据。 

网络钓鱼 是另一种常见的凭据盗窃手段，而 生成式 AI 工具 现在能让黑客在更短的时间内开发出更有效的网络钓鱼攻击。

虽然它们可能被视为基本的安全措施，但身份验证和授权是防止身份盗窃和账户滥用（包括人工智能驱动的攻击）的重要防御措施。

身份验证可以用生物识别等更难破解的其他因素取代或加强密码，从而使账户更难被盗。

细粒度授权系统可以限制用户权限，使其只能使用所需的资源和执行所需的操作，从而减少 水平运动 。这有助于限制恶意黑客和内部威胁通过滥用访问权限造成的破坏。