历史故事文学作品中的身份认证

身份认证(或识别)这个字眼是很多话题的共同纽带，牵涉到很多领域。在互联网和商业应用程序中，比如网络银行和企业数据库，因为不同的用户有不同的权限，身份认证是非常敏感和最要的问题。如果身份认证是一条马其诺防线，在权限分配上设计的再先进的模型也失去意义。

身份认证这个话题源远流长，如果你从这个角度去读历史故事和文学作品，你会很有趣的发现，在很多故事和文学作品中都能看到这个话题浮现出来。我们不妨在此回顾一下。

《阿里巴巴和四十大盗》是《一千零一夜》中广为流传的故事，“芝麻开门！”(Open Sesame!)成了妇孺皆知的一句话。在这个故事中，藏着很多宝贝的山洞代表着有价值的资源(resource)，“芝麻开门”是访问山洞这个资源的密码。这个故事中的访问控制机制极其原始，我都不能称它为身份验证，因为没有用户名，不需要说你是谁(identity)，只有一个密码，而且故事中的人物，强盗们，还不善于保护这个密码，阿里巴巴就是靠偷听获取了这个密码。另外，这个密码在故事里还是不能修改的，强盗们在发现有人知道这个暗号后也只能接受密码泄露这个事实，他们的办法就是通过杀人来警告非法访问者，但不能杜绝非法访问。

中国民间传说中也到处是这种用口诀进入藏宝山洞，或呼唤神仙或神物帮忙的故事。在中国的版本里，好人掌握的密码往往是被地主，官吏等恶人用暴力逼迫或奸人用诱骗等手段取得。在有的故事里，口诀被坏人用就会失灵，可以认为这是没有输入正确的用户名。有的故事里，好人还掌握了另一个使资源不能再被访问的口诀，是身份认证出现漏洞时关闭系统的手段。

高中语文课本里有个《信陵君窃符救赵》的故事，大概是开了假传圣旨的先河。信陵君用兵符向晋鄙认证他的身份，故事交待的很清楚，兵符是如姬偷出来的。兵符认证是基于“what you have(你有什么)”的方式。但是用物来证人，一个隐含的前提就是这个“信物”一定要妥善保存，只为身份合法的人所拥有，并且不能被复制。正如我们在无数中外历史故事，文学作品和电影中看到的一样，这点基本上是不可能的，信物可以被偷，被强，被复制。

《射雕英雄传》中的丐帮一开始也是以物证人，杨康拿到了打狗棒，丐帮弟子就把他奉为帮主。黄蓉即使会打狗棒法，一开始也是有口难辩；还好随着情节的发展，黄蓉有机会提供更多的认证手段，才使真相大白。可见仅凭信物来认证不光不能过滤坏人还会冤枉好人。

强身份认证要求用多种因素(factor)进行认证，晋鄙虽然验明兵符是真的，但从事理上判断，他还是不能相信信陵君。只是侯嬴早料到晋鄙可能会请示魏王进一步认证，也备好了杀招，朱亥当即椎杀晋鄙。在这个故事中，身份认证实际没有通过，认证系统倒是被破坏了。

我们平时到ATM机上取款，也是What you know(你知道什么)＋what you have(你有什么)的双因素认证方式。我们插入的银行卡是我们拥有的东西，输入的密码是我们知道的东西。但是社会的现实显示，伪造银行卡的门槛已经很低了，而中国的银行卡6位数的纯数字密码破获也不是难事，我觉得中国的银行业可以检讨检讨了。

中国历史上有个破镜重圆的故事，讲的是南朝陈的驸马徐德言与妻子乐昌公主在国破家亡时，将一面铜镜一分为二，两人各执一半，作为来日重逢的凭证。在这个典故中，他们也是用信物来认证。铜镜本身是很普遍的东西，但一分为二的镜子我们可以假定它的断面复杂度足够高，有点类似公钥私钥的互补性。所以这个典故中，他们互相认证的东西具有唯一性，我的半面只有你的半面才能对上。但是他们也不能避免信物被盗用的情况，根据故事记载，乐昌公主实际上是叫家仆带了镜子去市场上找人的，如果代理人移花接木，后果还不知道会是什么样子呢。徐德言和乐昌公主的故事比较接近我们现在互联网上陌生人之间互相进行身份认证的情况，只不过他们手头的半块铜镜既是私钥也是公钥。

《三国演义》中有个著名的“蒋干盗书”故事，蒋干拿了周瑜伪造的蔡瑁张允的通敌书给曹操看，曹操在头脑发热的时候信以为真。如果有现在的私钥签名，公钥认证手段，就可以防止被别人冒充了。我们现在的电子邮件就可以通过签名来保证它确实是声称的那个人发出来的。

同样的，清朝疑案之一雍正登基，也牵涉到一份有争议的据说被篡改的圣旨。如果能有今天的认证手段就可以知道圣旨内容是真是假了。

除了What you know和What you have的认证手段，还有一种Who you are(你是谁)的认证方式，这是基于生物技术上的发展和进步，根据生物学理论，人的指纹、面貌和视网膜等物理特征具有生物唯一性，人的声波，笔迹等等也是生物认证的内容。我们期待生物认证(Biometric)是最可靠的认证方式，但目前生物识别技术的准确性和稳定性还有待提高。我用的IBM T42就带了个指纹识别功能，但不时会认不出我的指纹。

说到生物认证，我不由得想到了《西游记》。因为这是本神话小说，《西游记》中从生物角度进行身份冒充的事例遍拾皆是。神通广大的孙悟空动不动就变成别人的样子，变小妖，变苍蝇，变物品，变道士，变小孩，都能够蒙混过关。在乌鸡国的时候，妖怪变成了假唐僧，连火眼金睛的孙猴子一时都分辨不清，倒是猪八戒在这时候变得无比聪明，他指出了真唐僧拥有的另一著名特征——念紧箍咒(What you know)。还是要用多因素认证来加强认证功能。

不过生物认证如果广泛应用的话，是不是会像电影里一样，为了获取你的手纹和视网膜，歹徒会不择手段的加害你，这个就不好预测了。