網(wǎng)絡(luò)安全認(rèn)證技術(shù)概述

網(wǎng)絡(luò)安全認(rèn)證技術(shù)概述網(wǎng)絡(luò)\t"_blank”安全認(rèn)證技術(shù)是網(wǎng)絡(luò)安全技術(shù)的重要組成部分之一.認(rèn)證指的是證實(shí)被認(rèn)證對象是否屬實(shí)和是否有效的一個(gè)過程。其基本思想是通過驗(yàn)證被認(rèn)證對象的屬性來達(dá)到確認(rèn)被認(rèn)證對象是否真實(shí)有效的目的。被認(rèn)證對象的屬性可以是口令、數(shù)字簽名或者像指紋、聲音、視網(wǎng)膜這樣的生理特征。認(rèn)證常常被用于通信雙方相互確認(rèn)身份，以保證通信的安全.一般可以分為兩種：(1）身份認(rèn)證：用于鑒別用戶身份.（2)消息認(rèn)證：用于保證信息的完整性和抗否認(rèn)性;在很多情況下，用戶要確認(rèn)網(wǎng)上信息是不是假的，信息是否被第三方修改或偽造,這就需要消息認(rèn)證。1。身份認(rèn)證技術(shù)認(rèn)證(Authentication)是證實(shí)實(shí)體身份的過程，是保證系統(tǒng)安全的重要措施之一.當(dāng)HYPERLINK”http：///incsearch/search.asp?key=％B7%FE％CE％F1％C6％F7"\t”_blank"服務(wù)器提供服務(wù)時(shí)，需要確認(rèn)來訪者的身份，訪問者有時(shí)也需要確認(rèn)服務(wù)提供者的身份。身份認(rèn)證是指計(jì)算機(jī)及網(wǎng)絡(luò)系統(tǒng)確認(rèn)操作者身份的過程。計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)是一個(gè)虛擬的數(shù)字世界。在這個(gè)數(shù)字世界中，一切信息包括用戶的身份信息都是用一組特定的數(shù)據(jù)來表示的，計(jì)算機(jī)只能識別用戶的數(shù)字身份，所有對用戶的授權(quán)也是針對用戶數(shù)字身份的授權(quán)。而現(xiàn)實(shí)世界是一個(gè)真實(shí)的物理世界，每個(gè)人都擁有獨(dú)一無二的物理身份。如何保證以數(shù)字身份進(jìn)行操作的操作者就是這個(gè)數(shù)字身份合法擁有者，也就是說，保證操作者的物理身份與數(shù)字身份相對應(yīng)，就成為一個(gè)很重要的問題.身份認(rèn)證技術(shù)的誕生就是為了解決這個(gè)問題。如何通過技術(shù)手段保證用戶的物理身份與數(shù)字身份相對應(yīng)呢?在真實(shí)世界中,驗(yàn)證一個(gè)人的身份主要通過三種方式判定：一是根據(jù)你所知道的信息來證明你的身份(whatyouknow）,假設(shè)某些信息只有某個(gè)人知道,比如暗號等，通過詢問這個(gè)信息就可以確認(rèn)這個(gè)人的身份;二是根據(jù)你所擁有的東西來證明你的身份（whatyouhave)，假設(shè)某一個(gè)東西只有某個(gè)人有，比如印章等，通過出示這個(gè)東西也可以確認(rèn)個(gè)人的身份；三是直接根據(jù)你獨(dú)一無二的身體特征來證明你的身份(whoyouare)，比如指紋、面貌等。在信息系統(tǒng)中，一般來說，有三個(gè)要素可以用于認(rèn)證過程，即:用戶的知識（Knowledge），如口令等；用戶的物品（Possession)，如IC卡等;用戶的特征(Characteristic），如指紋等?，F(xiàn)在計(jì)算機(jī)及網(wǎng)絡(luò)系統(tǒng)中常用的身份認(rèn)證方法如下：身份認(rèn)證技術(shù)從是否使用硬件來看,可以分為軟件認(rèn)證和硬件認(rèn)證;從認(rèn)證需要驗(yàn)證的條件來看，可以分為單因子認(rèn)證和雙因子認(rèn)證;從認(rèn)證信息來看，可以分為靜態(tài)認(rèn)證和動態(tài)認(rèn)證。身份認(rèn)證技術(shù)的發(fā)展，經(jīng)歷了從軟件認(rèn)證到硬件認(rèn)證，從單因子認(rèn)證到雙因子認(rèn)證，從靜態(tài)認(rèn)證到動態(tài)認(rèn)證的過程。下面介紹常用的身份認(rèn)證方法.(1)基于口令的認(rèn)證方法傳統(tǒng)的認(rèn)證技術(shù)主要采用基于口令的認(rèn)證方法.當(dāng)被認(rèn)證對象要求訪問提供服務(wù)的系統(tǒng)時(shí)，提供服務(wù)的認(rèn)證方要求被認(rèn)證對象提交該對象的口令，認(rèn)證方收到口令后,將其與系統(tǒng)中HYPERLINK”/incsearch/search。asp?key=％B4％E6％B4％A2”\t”_blank"存儲的用戶口令進(jìn)行比較,以確認(rèn)被認(rèn)證對象是否為合法訪問者.這種認(rèn)證方法的優(yōu)點(diǎn)在于:一般的系統(tǒng)(如UNIX/HYPERLINK”http：///incsearch/search。asp？key=Linux"\t”_blank”Linux,\t"_blank”Windows

NT/XP，NetWare等）都提供了對口令認(rèn)證的支持，對于封閉的小型系統(tǒng)來說不失為一種簡單可行的方法。（2）雙因素認(rèn)證在雙因素認(rèn)證系統(tǒng)中，用戶除了擁有口令外，還擁有系統(tǒng)頒發(fā)的令牌訪問設(shè)備。當(dāng)用戶向系統(tǒng)登錄時(shí),用戶除了輸入口令外，還要輸入令牌訪問設(shè)備所顯示的數(shù)字。該數(shù)字是不斷變化的，而且與認(rèn)證服務(wù)器是同步的。（3)一次口令機(jī)制一次口令機(jī)制其實(shí)采用動態(tài)口令技術(shù)，是一種讓用戶的密碼按照時(shí)間或使用次數(shù)不斷動態(tài)變化，每個(gè)密碼只使用一次的技術(shù)。它采用一種稱之為動態(tài)令牌的專用硬件，內(nèi)置電源、密碼生成芯片和顯示屏，密碼生成芯片運(yùn)行專門的密碼算法，根據(jù)當(dāng)前時(shí)間或使用次數(shù)生成當(dāng)前密碼并顯示在顯示屏上._blank"認(rèn)證HYPERLINK”http：///incsearch/search.asp？key=％B7%FE％CE%F1%C6％F7”服務(wù)器采用相同的算法計(jì)算當(dāng)前的有效密碼。用戶使用時(shí)只需要將動態(tài)令牌上顯示的當(dāng)前密碼輸入客戶端計(jì)算機(jī),即可實(shí)現(xiàn)身份的確認(rèn)。由于每次使用的密碼必須由動態(tài)令牌來產(chǎn)生，只有合法用戶才持有該硬件，所以只要密碼驗(yàn)證通過就可以認(rèn)為該用戶的身份是可靠的。而用戶每次使用的密碼都不相同，即使黑客截獲了一次密碼，也無法利用這個(gè)密碼來仿冒合法用戶的身份。(4)生物特征認(rèn)證生物特征認(rèn)證是指采用每個(gè)人獨(dú)一無二的生物特征來驗(yàn)證用戶身份的技術(shù)，常見的有指紋識別、虹膜識別等。從理論上說,生物特征認(rèn)證是最可靠的身份認(rèn)證方式，因?yàn)樗苯邮褂萌说奈锢硖卣鱽肀硎久恳粋€(gè)人的數(shù)字身份,不同的人具有相同生物特征的可能性可以忽略不計(jì)，因此幾乎不可能被仿冒。（5)USBKey認(rèn)證基于USBKey的身份認(rèn)證方式是近幾年發(fā)展起來的一種方便、HYPERLINK”http：///incsearch/search。asp?key=％B0％B2％C8％AB"\t”_blank"安全、經(jīng)濟(jì)的身份認(rèn)證技術(shù),它采用軟硬件相結(jié)合一次一密的強(qiáng)雙因子認(rèn)證模式，很好地解決了安全性與易用性之間的矛盾。USBKey是一種USB接口的硬件設(shè)備，它內(nèi)置單片機(jī)或智能卡芯片,可以存儲用戶的密鑰或數(shù)字證書，利用USBKey內(nèi)置的密碼學(xué)算法實(shí)現(xiàn)對用戶身份的認(rèn)證。基于USBKey身份認(rèn)證系統(tǒng)主要有兩種應(yīng)用模式：一是基于沖擊/響應(yīng)的認(rèn)證模式,二是基于PKI體系的認(rèn)證模式.2.消息認(rèn)證技術(shù)隨著HYPERLINK”http：///incsearch/search.asp?key=%CD%F8%C2％E7％BC％BC％CA%F5”\t”_blank”網(wǎng)絡(luò)技術(shù)的發(fā)展，對網(wǎng)絡(luò)傳輸過程中信息的保密性提出了更高的要求，這些要求主要包括：（1）對敏感的文件進(jìn)行加密，即使別人截取文件也無法得到其內(nèi)容。（2)保證數(shù)據(jù)的完整性，防止截獲人在文件中加入其他信息。(3）對數(shù)據(jù)和信息的來源進(jìn)行驗(yàn)證，以確保發(fā)信人的身份?，F(xiàn)在業(yè)界普遍通過加密技術(shù)方式來滿足以上要求，實(shí)現(xiàn)消息的安全認(rèn)證。消息認(rèn)證就是驗(yàn)證所收到的消息確實(shí)是來自真正的發(fā)送方且未被修改的消息，也可以驗(yàn)證消息的順序和及時(shí)性。消息認(rèn)證實(shí)際上是對消息本身產(chǎn)生一個(gè)冗余的信息—-MAC(消息認(rèn)證碼)，消息認(rèn)證碼是利用密鑰對要認(rèn)證的消息產(chǎn)生新的數(shù)據(jù)塊并對數(shù)據(jù)塊加密生成的。它對于要保護(hù)的信息