探析信息认证技术的作用与实现

认证技术是指个最终用户和设备（如服务器、交换机、防火墙等）的声明身份过程，即认证建立信息发送者与接收者的身份。认证有两个目的：①信源识别，验证发送者信息的真实性；②完整性验证、保证用户传输的信息没有被篡改、重放或延迟等。

认证技术主要是解决网络通信过程中通信双方的身份认可。它是防止各种敌手对信息进行篡改的一个重要技术，它对于开放环境中的各种信息的安全有着重要的作用。认证方式通常有账户名/口令认证、基于PKI的认证、有使用摘要算法的认证等。

账户名/口令认证方式主要用于操作系统登录、rlogin等，这种认证方式不进行加密，容易被监听和解密。

使用摘要算法的认证，在认证过程中，摘要信息不能计算出共享的密钥，所以敏感信息不能在网络上传输。目前市场上主要采用的摘要算法有MD5和SHA-1。

认证、授权以及访问控制都与网络上的实体有关，这个实体可以是一个设备也可以是一个人。实体在网络内有不同的能力，并且根据它们身份的不同被允许访问不同的资源。身份不但与认证有关，而且还与实体的授权及访问控制有关。

授权是指把访问权授予某一个用户、用户组或者指定系统的整个过程。授权给用户后，用户可以做有权做的事情。

访问控制是指限制系统资源中的信息只能流到网络中的被授权的个人和系统。

目前有关认证的使用技术主要有消息认证、身份认证以及数字签名。

7.2.5.1　消息认证

消息认证是指特定的接收者用来检验收到消息是否真实的一种方法。消息认证又被称为完整性校验，在银行业被称为消息认证，在OSI安全模型中被称为封装。消息认证主要包括以下内容：

（1）确实消息的信息源和信息宿。

（2）消息内容是否有人进行了篡改。

（3）消息的序号以及时间性。

总之，消息认证是使接收者能够识别信息源真伪、时间性以及指定的信宿。这种认证是一种只在互通的两者之间进行，不允许有第三者的加入。

消息认证的方法描述如下：消息的发送者使用所有消息产生一个附件，发送时把消息与附件一起进行发送给接收者。接收者接收到消息先对消息的真实性进行检验，检查消息与附件是否一致。这里如果不对附件进行保护，那么附件很容易受到攻击。为了避免这种攻击，需要利用密钥产生附件。只有知道密钥的人才能打开附件，从而验证其消息的真实性。即使有攻击者对消息进行修改，也可以被察知。

7.2.5.2　身份认证

网络用户的身份认证可以通过下述三种途径之一或它们的组合来实现。(www.xing528.com)

（1）所知（Knowledge）个人所掌握的密码、口令等。

（2）所有（Possesses）个人的身份证、护照、信用卡、钥匙等。

（3）个人特征（Characteristics）人的指纹、声音、笔记、手形、脸形、血型、视网膜、虹膜、DNA，以及个人动作方面的特征等。

根据安全要求和用户可接受的程度，以及成本等因素，可以选择适当的组合，来设计一个自动身份认证系统。

在安全性要求较高的系统，由口令和证件等提供的安全保障是不完善的，口令可能被泄露，证件可能丢失或伪造。更高级的身份验证是根据用户的个人特征来进行确认，它是一种可信度高，而又难于伪造的验证方法。

新的、广义的生物统计学正在成为网络环境中个人身份认证技术中的最简单而安全的方法。它是利用个人所特有的生理特征来设计的。个人特征包括很多，如容貌、肤色、发质、身材、姿势、手印、指纹、脚印、唇印、颅相、口音、脚步、体味、视网膜、血型、遗传因子、笔迹、习惯性签字、打字韵律，以及在外界刺激下的反应等。当然，采用哪种方式还要看是否能够方便实现，以及是不是能够被用户所接受。个人特征都具有“因人而异”和随身“携带”的特点，不会丢失且难以伪造，适用于高级别个人身份认证的要求。因此，将生物统计学与网络安全、身份认证结合起来是目前网络安全研究的一个重要课题。

7.2.5.3　数字签名

数字签名就是通过一个单向函数对要传送的报文进行处理得到的用户认证报文来源并核实报文是否发生变化的一个字母数字串。通过这些字符串来代替书写签名或印章。显然，数字签名的应用涉及法律问题，国际社会已开始制定相应的法律、法规。如美国联邦政府对基于有限域上的离散对数问题制定了自己的数字签名标准（DSS）。一些国家如法国和德国已经制定了数字签名法。

数字签名在ISO7498—2标准中被定义为：“附加在数据单元上的一些数据，或是对数据单元所做的密码变换，这种数据和变换允许数循单元的接收者用来确认数据单元来源和数据单元的完整性，并保护数据，防止被人进行伪造”。

数字签名与手写签名相类似，不同之处是手写签名是模拟的，因人而异；数字签名只有0和1的数字串，因消息而不同。数字签名满足的要求有以下几点：

（1）接收方只能确认发送方的签名而不能伪造。

（2）发送方一旦发以签名的消息后，就不能否认他所签发的消息。

（3）如果接收方对收到的签名消息不能否认，即有收报认证。

（4）第三者可以确认接收方与发送方双方之间的消息传送，但对这一传送过程不能进行伪造。数字签名可通过公钥密码体制和私钥密码体制来实现，目前主要是基于公钥密码体制的数字签名和单向安全散列函数算法的组合。

常用的公钥数字签名算法有RSA算法和数字签名算法DSS。DSS在生成密钥的速度上要比RSA的速度快，而生成签名时的性能两者差不多，但进行签名验证时速度就比RSA慢得多。