1.网络安全认证技术的概况
网络安全认证技术是网络安全技术的重要组成部分之一。认证指的是证实被认证对象是否属实和是否有效的一个过程,其基本思想是通过验证被认证对象的属性,来达到确认被认证对象是否真实有效的目的。被认证对象的属性可以是口令、数字签名或指纹、声音、视网膜这样的生理特征。
认证常常用于通信双方相互确认身份,以保证通信的安全。认证一般可以分为下列两种。
(1)身份认证:用于鉴别用户身份。
(2)消息认证:用于保证信息的完整性和抗否认性。在很多情况下,用户要确认网上信息的真假,信息是否被第三方修改或伪造,这就需要消息认证。
2.身份认证技术
随着网络技术的发展,如何辨识网络另一端的用户身份成为一个很迫切的问题。
在许多情况下都有对身份识别认证的要求,例如使用6 位密码在自动柜员机(ATM)上取钱,通过计算机网络登录远程计算机,保密通信双方交换密钥时需要确保对方的身份等。
身份认证(Identification and Authentication)可以定义为:为了使某些授予许可权限的权威机构、组织和个人满意,而提供所要求的证明自己身份的过程。
3.消息认证技术
在计算机网络中,用户A 将消息送给用户B,用户B 需要确定收到的消息是否来自A,而且还要确定来自A 的消息有没有被别人修改过,有时用户A 也要知道发送出去的消息是否正确地到达了目的地。消息认证就是使消息的接收者能够检验收到的消息是否正确的方法。
4.数字证书
数字证书由权威公正的第三方机构(即CA 中心)签发,以数字证书为核心的加密技术可以对网络上传输的信息进行加密和解密、数字签名和签名验证,确保网上传递信息的机密性、完整性,以及交易实体身份的真实性、签名信息的不可否认性,从而保障网络应用的安全性。
数字证书可用于发送安全电子邮件、访问安全站点、网上证券、网上招标采购、网上签约、网上办公、网上缴费、网上税务等网上安全电子事务处理和安全电子交易活动。以数字证书为核心的身份认证、数字签名、数字信封等数字加密技术是目前通用可行的安全问题解决方案。
5.数字签名
数字签名机制提供了一种身份鉴别方法,以解决伪造、抵赖、冒充和篡改等问题。数字签名一般采用非对称加密技术(如RSA),通过对整个明文进行某种变换,得到一个值作为核实签名。
接收者使用发送者提供的公开密钥对签名进行解密运算,如能正确解密,则签名有效,证明对方的身份是真实的。在实际应用中,一般是对传送的数据包中的一个IP 包进行一次签名验证,以提高网络的运行效率。当然签名也可以采用多种方式,例如,将签名附在明文之后。数字签名普遍用于银行、电子贸易中。
数字签名采用一定的数据交换协议,使双方能够满足两个条件:
(1)接收方能够鉴别发送方所宣称的身份。(www.xing528.com)
(2)发送方以后不能否认它发送的数据这一事实。
数字签名不同于手写签字,数字签名随文本的变化而变化,手写签字反映某个人的个性特征,是不变的。手写签名与数字签名的另外一个区别是一个数字签名的备份是与原来的签名相同的,而签名的纸质文件的备份通常与原来的签名文件作用不同。
这个特点意味着必须防止签名的数字信息被再一次使用,例如在签名中包含一些时间信息等,可以防止签名的再次使用。下面举例说明数字签名的应用。
若A 向B 发送消息,其创建数字签名的过程如图9.16(a)所示。
(1)利用散列函数计算原消息的摘要。
(2)用自己的私钥加密摘要,并将摘要附在原消息的后面。
B 收到消息,对数字签名进行验证的过程如图9.16(b)所示。
图9.16 数字签名
(1)将消息中的原消息及其加密后的摘要分离出来。
(2)使用A 的公钥将加密后的摘要解密。
(3)利用散列函数重新计算原消息的摘要。
(4)将解密后的摘要与自己用相同散列算法生成的摘要进行比较。若两者相等,则说明消息在传递过程中没有被篡改;否则,消息不可信。
了解数字签名及其验证过程后可以发现,这一技术带来了以下三个方面的安全性:
(1)信息的完整性:由散列函数的特性可知,如果信息在传输过程中遭到篡改,B 重新计算出的摘要必然不同于用A 的公钥解密出的摘要,因此B 就确信信息不可信。
(2)信源确认:因为公钥和私钥之间存在对应关系,既然B 能用A 的公钥解开加密的摘要,并且其值与B 重新计算出的摘要一致,那么该消息是A 发出的。
(3)不可抵赖性:这一点实际上是数字签名满足条件(2)的理由阐述。因为只有A 持有自己的私钥,其他人不可能冒充他的身份,所以A 无法否认他发过这一则消息。
免责声明:以上内容源自网络,版权归原作者所有,如有侵犯您的原创版权请告知,我们将尽快删除相关内容。
