|
尽管认证与数字签名都是用来保证数据的真实性,但二者有着明显的区别。
如数字签名具有:
(1)实体认证:在报文通信之前,采用可鉴别协议来认证通信是否在议定的通信实体之间进行。
(2)报文认证:经实体认证后,双方通信实体便可进行报文通信。为了保证数据的真实性,应对报文进行认证。即接收实体应能验证报文的来源、时间性与目的地的真实性。通常采用数字签名等技术来实现。
(3)身份认证:用户的身份认证是许多应用系统的第一道防线,目的是防止数据被非法用户访问。目前主要用于身份认证的技术有以下几种:
● 验证用户知道什么(如口令、密钥等)。
● 验证用户拥有什么(如钥匙、徽标、IC卡等)。
● 验证用户的生理特征(如指纹、声纹等)。
● 验证用户的下意识动作(如笔迹等)。
以往的书信或文件是根据亲笔签名或印章来证明其真实性的。但在计算机网络中传送的报文又如何盖章呢?这就是数字签名所要解决的问题。数字签名必须保证以下3点:
● 接收者能够核实发送者对报文的签名;
● 发送者事后不能抵赖对报文的签名;
● 接收者不能伪造对报文的签名。
现在已有多种实现各种数字签名的方法,但采用公开密钥算法要比常规算法更容易实现。其具体方法是:
发送者A用其私人密钥对报文摘要进行加密(即签字),将原始报文与签名的摘要一同传送给接收者B。B用已知A的公开密钥对签名摘要解密,并将结果与原始报文的摘要比较。因为只有A的公开密钥能对此报文进行解密,而除A外没有别人具有A的私人密钥,即没有别人能产生这样的报文,所以此报文一定是由A加密的。这样,报文就被签名了(图3)。
图3
认证字
由上可知,采用公开密钥法进行通信时,通信的一方需要有另外一方的公开密钥。公开密钥是很容易得到的,如:从签了名的邮件。但如何确定你所获得的公开密钥是真的属于对方?
在认证系统中,这个问题是通过认证字(Certificate)来解决的。一个认证字包括用户的信息(如:用户名、国家、单位等)、用户的公钥、以及一个认证机构(CA)的签名。由认证机构担保认证字中的信息是属于该用户的。在建立SSL连接和给邮件签名时,用户需出示自己的认证字,使对方相信所得到的公开密钥是正确的。
强制用户认证
常见的强用户认证方式有:加密口令、一次性口令系统、令牌认证和其它的基于双因素的认证方式。
用户身份认证是网络操作系统安全保密的第一道设防。如果非法入侵者攻破了这一道防线,则许多其它保护措施将被瓦解。目前,多数网络操作系统对用户的身份认证采用口令方式,然而许多口令系统是不安全的。采用单向函数和数据签名技术可以提高口令系统的安全性。完善的身份认证应该是用户身份和系统身份的对等相互认证。基于用户生理特征的身份认证是安全性极高的认证方法。然而由于技术复杂、成本高而不能普遍应用。一种安全性和成本都较适合的身份认证是基于智能卡的身份认证,它可实现一种基于零知识证明的人机交互认证。(待续)
|
|
|
|
|
