Для того, чтобы установить подлинность субъектов и объектов системы, все субъекты и объекты, зарегистрированные в системе, должны иметь уникальные имена - идентификатоpы.
Идентификация субъекта (объекта) представляет собой присвоение этому субъекту (объекту) уникального имени (идентификатора). Идентификация позволяет субъекту (пользователю, процессу, действующему от имени определенного пользователя, или иному аппаратно-программному компоненту) назвать себя (сообщить свое имя).
Когда какой-либо субъект обращается к ресурсам системы, необходимо установить его подлинность, опознать его. Процесс установления подлинности в зарубежной литературе называется "авторизация", "аутентификация", "опознание". Обычно используют термин "установление подлинности".
Установление подлинности субъекта (объекта) заключается в подтверждении того, что обратившийся субъект (вызываемый объект) является именно тем, которому разрешено участвовать в данном процессе (выполнять данные действия). В зависимости от сложности установления подлинности различают три основные группы операций: простое, усложненное и особое установление подлинности.
Простое установление подлинности сводится, как правило, к сравнению предъявленного кода (характеристики) с эталонным кодом, который хранится в памяти устройства, выполняющего установление подлинности.
При усложненном установлении подлинности система требует от пользователя ввода дополнительной информации и производится в режиме диалога.
Особое установление подлинности, кроме использования методов простого и усложненного установления подлинности, использует специальную совокупность опознавательных характеристик, которая выбирается для обеспечения надежного установления подлинности.
Аутентификация бывает односторонней (обычно клиент доказывает свою подлинность серверу) и двусторонней (взаимной). Пример односторонней аутентификации – процедура входа пользователя в систему.
Существует три основных вида аутентификации - статическая, устойчивая и постоянная.
Статическая аутентификация обеспечивает защиту только от атак, в ходе которых атакующий не может видеть, вставить или изменить информацию, передаваемую между аутентифицируемым и аутентифицирующим в ходе аутентификации и последующего сеанса. В этом случае атакующий может только попытаться определить данные для аутентификации пользователя с помощью инициации процесса аутентификации (что может сделать законный пользователь) и совершения ряда попыток угадать эти данные.
Устойчивая аутентификация использует динамические данные аутентификации, меняющиеся с каждым сеансом аутентификации. Атакующий, который может перехватить информацию, передаваемую между аутентифицируемым и аутентифицирующим, может попытаться инициировать новый сеанс аутентификации с аутентифицирующим, и повторить записанные им данные аутентификации в надежде замаскироваться под легального пользователя. Традиционные пароли не смогут обеспечить устойчивую аутентификацию, так как пароль пользователя можно перехватить и использовать в дальнейшем. А одноразовые пароли и электронные подписи могут обеспечить этот уровень защиты
Постоянная аутентификация аутентификации обеспечивает защиту от атакующих, которые могут перехватить, изменить и вставить информацию в поток данных, передаваемых между аутентифицирующим и аутентифицируемым даже после аутентификации. Такие атаки обычно называются активными атаками, так как подразумевается, что атакующий может активно воздействовать на соединение между пользователем и сервером. Одним из способов реализации этого является обработка с помощью алгоритма генерации электронных подписей каждого бита данных, посылаемых от пользователя к серверу.
В сетевой среде, когда стороны идентификации/аутентификации территориально разнесены, у рассматриваемого сервиса есть два основных аспекта:

• что служит аутентификатором (то есть используется для подтверждения подлинности субъекта);
• как организован (и защищен) обмен данными идентификации/аутентификации.

Субъект может подтвердить свою подлинность, предъявив по крайней мере одну из следующих сущностей:

• нечто, что он знает (пароль, личный идентификационный номер, криптографический ключ и т.п.);
• нечто, чем он владеет (личную карточку или иное устройство аналогичного назначения);
• нечто, что есть часть его самого (голос, отпечатки пальцев и т.п., то есть свои биометрические характеристики).

В открытой сетевой среде между сторонами идентификации/аутентификации не существует доверенного маршрута; это значит, что в общем случае данные, переданные субъектом, могут не совпадать с данными, полученными и использованными для проверки подлинности. Необходимо обеспечить защиту от пассивного и активного прослушивания сети, то есть от перехвата, изменения и/или воспроизведения данных.
Надежная идентификация и аутентификация затруднена не только из-за сетевых угроз, но и по целому ряду причин:

• почти все аутентификационные сущности можно узнать, украсть или подделать;
• имеется противоречие между надежностью аутентификации и удобствами пользователя и системного администратора;
• чем надежнее средство защиты, тем оно дороже.

Современные средства идентификации/аутентификации должны поддерживать концепцию единого входа в сеть.