尽管认证与数字签名都是用来保证数据的真实性,但二者有着明显的区别。
如数字签名具有:
(1)实体认证:在报文通信之前,采用可鉴别协议来认证通信是否在议定的通信实体之间进行。
(2)报文认证:经实体认证后,双方通信实体便可进行报文通信。为了保证数据的真实性,应对报文进行认证。即接收实体应能验证报文的来源、时间性与目的地的真实性。通常采用数字签名等技术来实现。
(3)身份认证:用户的身份认证是许多应用系统的第一道防线,目的是防止数据被非法用户访问。目前主要用于身份认证的技术有以下几种:
● 验证用户知道什么(如口令、密钥等)。
● 验证用户拥有什么(如钥匙、徽标、IC卡等)。
● 验证用户的生理特征(如指纹、声纹等)。
● 验证用户的下意识动作(如笔迹等)。
以往的书信或文件是根据亲笔签名或印章来证明其真实性的。但在计算机网络中传送的报文又如何盖章呢?这就是数字签名所要解决的问题。数字签名必须保证以下3点:
● 接收者能够核实发送者对报文的签名;
● 发送者事后不能抵赖对报文的签名;
● 接收者不能伪造对报文的签名。
现在已有多种实现各种数字签名的方法,但采用公开密钥算法要比常规算法更容易实现。其具体方法是:
发送者A用其私人密钥对报文摘要进行加密(即签字),将原始报文与签名的摘要一同传送给接收者B。B用已知A的公开密钥对签名摘要解密,并将结果与原始报文的摘要比较。因为只有A的公开密钥能对此报文进行解密,而除A外没有别人具有A的私人密钥,即没有别人能产生这样的报文,所以此报文一定是由A加密的。这样,报文就被签名了(图3)。
图3
认证字
由上可知,采用公开密钥法进行通信时,通信的一方需要有另外一方的公开密钥。公开密钥是很容易得到的,如:从签了名的邮件。但如何确定你所获得的公开密钥是真的属于对方?
在认证系统中,这个问题是通过认证字(Certificate)来解决的。一个认证字包括用户的信息(如:用户名、国家、单位等)、用户的公钥、以及一个认证机构(CA)的签名。由认证机构担保认证字中的信息是属于该用户的。在建立SSL连接和给邮件签名时,用户需出示自己的认证字,使对方相信所得到的公开密钥是正确的。
强制用户认证
常见的强用户认证方式有:加密口令、一次性口令系统、令牌认证和其它的基于双因素的认证方式。
用户身份认证是网络操作系统安全保密的第一道设防。如果非法入侵者攻破了这一道防线,则许多其它保护措施将被瓦解。目前,多数网络操作系统对用户的身份认证采用口令方式,然而许多口令系统是不安全的。采用单向函数和数据签名技术可以提高口令系统的安全性。完善的身份认证应该是用户身份和系统身份的对等相互认证。基于用户生理特征的身份认证是安全性极高的认证方法。然而由于技术复杂、成本高而不能普遍应用。一种安全性和成本都较适合的身份认证是基于智能卡的身份认证,它可实现一种基于零知识证明的人机交互认证。(待续)
如数字签名具有:
(1)实体认证:在报文通信之前,采用可鉴别协议来认证通信是否在议定的通信实体之间进行。
(2)报文认证:经实体认证后,双方通信实体便可进行报文通信。为了保证数据的真实性,应对报文进行认证。即接收实体应能验证报文的来源、时间性与目的地的真实性。通常采用数字签名等技术来实现。
(3)身份认证:用户的身份认证是许多应用系统的第一道防线,目的是防止数据被非法用户访问。目前主要用于身份认证的技术有以下几种:
● 验证用户知道什么(如口令、密钥等)。
● 验证用户拥有什么(如钥匙、徽标、IC卡等)。
● 验证用户的生理特征(如指纹、声纹等)。
● 验证用户的下意识动作(如笔迹等)。
以往的书信或文件是根据亲笔签名或印章来证明其真实性的。但在计算机网络中传送的报文又如何盖章呢?这就是数字签名所要解决的问题。数字签名必须保证以下3点:
● 接收者能够核实发送者对报文的签名;
● 发送者事后不能抵赖对报文的签名;
● 接收者不能伪造对报文的签名。
现在已有多种实现各种数字签名的方法,但采用公开密钥算法要比常规算法更容易实现。其具体方法是:
发送者A用其私人密钥对报文摘要进行加密(即签字),将原始报文与签名的摘要一同传送给接收者B。B用已知A的公开密钥对签名摘要解密,并将结果与原始报文的摘要比较。因为只有A的公开密钥能对此报文进行解密,而除A外没有别人具有A的私人密钥,即没有别人能产生这样的报文,所以此报文一定是由A加密的。这样,报文就被签名了(图3)。
图3
认证字
由上可知,采用公开密钥法进行通信时,通信的一方需要有另外一方的公开密钥。公开密钥是很容易得到的,如:从签了名的邮件。但如何确定你所获得的公开密钥是真的属于对方?
在认证系统中,这个问题是通过认证字(Certificate)来解决的。一个认证字包括用户的信息(如:用户名、国家、单位等)、用户的公钥、以及一个认证机构(CA)的签名。由认证机构担保认证字中的信息是属于该用户的。在建立SSL连接和给邮件签名时,用户需出示自己的认证字,使对方相信所得到的公开密钥是正确的。
强制用户认证
常见的强用户认证方式有:加密口令、一次性口令系统、令牌认证和其它的基于双因素的认证方式。
用户身份认证是网络操作系统安全保密的第一道设防。如果非法入侵者攻破了这一道防线,则许多其它保护措施将被瓦解。目前,多数网络操作系统对用户的身份认证采用口令方式,然而许多口令系统是不安全的。采用单向函数和数据签名技术可以提高口令系统的安全性。完善的身份认证应该是用户身份和系统身份的对等相互认证。基于用户生理特征的身份认证是安全性极高的认证方法。然而由于技术复杂、成本高而不能普遍应用。一种安全性和成本都较适合的身份认证是基于智能卡的身份认证,它可实现一种基于零知识证明的人机交互认证。(待续)
下一篇:网络安全技术论述(三)上一篇:网络安全技术论述(二)
责任编辑:DVBCN编辑部
为您推荐
2005沈阳国际数字电视广播通信网络展会
一、展会背景介绍数字电视是我国电视领域采用的最新先进技术。从节目制作、编辑到传输、播放、接收均采用数字技术,与现正在使用的模拟技术相比,具有清晰度高、存储方便快捷、信号稳定、可与用户互动等优点。2004年是国家广电总局确定的数字电视发展元年,2015年全国将停播模拟电视信号,取而代之的就是数字信号。东北地区计划在2010年前完成电视数字化进程,工程浩大、任务艰巨、影响深远。东三省广电局为加快数字电视发展,于2005年6月16日至19日在沈阳国际会展中心举办了“2005沈阳国际数字电视广播通信网络展览会”。电视台、数字电视和电视节目与大众生活息息相关。由于受益群体非常之大,观众的参观热情要高于房
NGN:具备全业务能力的完美网络
张雪丽下一代网络(NGN)是个有能力提供全业务的网络,包括话音、数据、视频、流媒体、Internet接入、数字TV广播、移动等各种带宽、有线和无线的业务及应用,并提供开放的业务接口,允许多种业务提供商构建和提供业务。从用户的角度看,NGN包含现有业务环境提供的所有电信业务和应用。从技术的角度看,NGN涉及电信技术、计算机技术、安全技术、电子应用技术、广播技术等多种技术手段。NGN网络可以为用户提供语音、数据、视频等多媒体业务和应用。从严格意义上讲,“业务”和“应用”是不同的。业务是网络中的功能模块,应用是在网络业务的基础上开发的,它不是网络内的组成成分,但它是终端用户可以使用的能力集,例如可视
