免费视频淫片aa毛片_日韩高清在线亚洲专区vr_日韩大片免费观看视频播放_亚洲欧美国产精品完整版

安全認(rèn)證技術(shù)是信息安全技術(shù)的重要組成部分，主要指其基本思想是通過驗證被認(rèn)證對象的屬性來完成。被認(rèn)證對象的屬性包括且不限于：用于身份認(rèn)證的口令或聲音、容貌、指紋、虹膜、DNA等生理特征，用于內(nèi)容認(rèn)證的數(shù)字摘要、數(shù)字簽名等特征。安全認(rèn)證技術(shù)分為兩種：身份認(rèn)證和消息認(rèn)證。

概念形成過程

安全認(rèn)證是信息安全的重要任務(wù)之一，用于非信任環(huán)境下的安全通信，以證實操作對象身份是否真實、有效、合法，以及/或者通信內(nèi)容是否真實、有效、完整。主要基于密碼學(xué)算法來實現(xiàn)。實際上，無論是身份驗證還是內(nèi)容驗證，都可以抽象為信息驗證，因為它們實質(zhì)上都是某種類型的數(shù)據(jù)信息。

密碼學(xué)有悠久的歷史，可以追溯到數(shù)千年前。早在幾千年前的古埃及人就學(xué)會了使用初級的密碼；公元前50年左右，凱撒大帝使用了著名的古凱撒密碼；在美國的南北戰(zhàn)爭時期，使用了柵欄密碼。第二次世界大戰(zhàn)使密碼學(xué)的理論和應(yīng)用得到極大發(fā)展，在指導(dǎo)思想上，形成了密碼算法公開，密鑰保護的設(shè)計思路，在技術(shù)手段上形成了基于代替和置換的高次迭代設(shè)計方法。到20世紀(jì)70年代，密碼學(xué)家找到了一種可以緩解尋找代替集合復(fù)雜度的法伊斯特爾（Feistel）結(jié)構(gòu)，以此為基礎(chǔ)形成了著名的對稱加密（DES）分組密碼算法。法伊斯特爾結(jié)構(gòu)影響了隨后的數(shù)十年間幾乎所有的分組加密算法的設(shè)計理念，但是這種對稱加密算法無法直接用于安全認(rèn)證。直到1975年，美國學(xué)者W.迪菲和M.赫爾曼發(fā)表《加密算法新方向》（New Direction in Cryptography），第一次提出了公開密鑰密碼算法的概念。

從此以后，基于公鑰密碼學(xué)的優(yōu)秀研究成果不斷涌現(xiàn)出來。1978年，R.L.李維斯特（R.L.Rivest，羅納德·李維斯特，1947～　　）、A.薩莫爾（A.Shamir，阿迪·薩莫爾，1953～　?。┖蚅.阿德曼（L.Adleman，倫納德·阿德曼，1955～　　）提出了RSA公鑰密碼體制，已成為使用最廣的公鑰密碼體制之一；基于RSA算法的簽名方案，其安全性源于大整數(shù)因子分解的困難性。1979年，M.拉賓（Micheal Rabin，米歇爾·拉賓）提出了Rabin公鑰密碼體制，基于Rabin算法的簽名方法，其安全性依賴于大整數(shù)因子分解的困難性。1985年，N.科布利茨（Neal Koblitz，尼爾·科布利茨，1957～　?。┖蚖.S.米勒（Victor Saul Miller，1953～　　）分別提出了利用橢圓曲線來構(gòu)建公鑰密碼體制，基于橢圓曲線公鑰體制的數(shù)字簽名方案，其安全性依賴于橢圓曲線離散對數(shù)問題的困難性。同年，T.蓋莫爾（Taher Elgamal，塔希爾·蓋莫爾，1963～　　?。┨岢錾w莫爾（elgamal）簽名算法，是一種基于離散對數(shù)問題的公鑰密碼體制，其修正版已被美國國家標(biāo)準(zhǔn)和技術(shù)學(xué)會NIST作為簽名標(biāo)準(zhǔn)。

公開密鑰體制為安全認(rèn)證技術(shù)提供了可行的技術(shù)支撐，其基本思路：待驗證者與驗證者均采用相同的公鑰體制，采用相同的公鑰加密算法，并擁有對方的公開密鑰。信息的真實性，可以使用信息擁有者的私鑰進行加密，發(fā)給驗證者，驗證者則采用擁有者的公鑰進行解密，與待驗證的信息進行比對而得到驗證。

1991年，美國國家標(biāo)準(zhǔn)和技術(shù)學(xué)會NIST發(fā)布了數(shù)字簽名標(biāo)準(zhǔn)（digital signature standard，DSS），并于1993年和1996年作了修訂。在數(shù)字簽名標(biāo)準(zhǔn)中采用的是數(shù)字簽名算法（digital signature algorithm，DSA）。在認(rèn)證協(xié)議方面，20世紀(jì)80年代麻省理工學(xué)院（MIT）開發(fā)了基于對稱加密體制的Kerberos認(rèn)證系統(tǒng)，主要解決在分布式網(wǎng)絡(luò)環(huán)境下，用戶訪問網(wǎng)絡(luò)資源的安全認(rèn)證問題。同時期，零知識證明（zero-knowledge proof）由美國學(xué)者S.戈德瓦塞爾（Shafi Goldwasser，沙菲·戈德瓦塞爾，1943～　　）、S.米卡利（Silvio Micali，斯文·米卡利，1954～　　）及C.羅科夫（Charles Rackoff，卡洛斯·羅科夫，1956～　?。凰缸C明者能夠在不向驗證者提供任何有用的信息的情況下，證明自己是某種權(quán)益的合法擁有者。

哈希（hash）函數(shù)是一種有損壓縮函數(shù)，通常是任意長度的輸入，其計算結(jié)果是固定長度的輸出，因此從原理上講存在碰撞。也就是說，存在不同的輸入，其計算結(jié)果為同樣的輸出結(jié)果的情況。哈希函數(shù)設(shè)計的一個重要任務(wù)就是，使其在理論上是不可能為相同的哈希輸出找到兩個不同的輸入。另一個主要任務(wù)是，輸入的1個比特（bit）變化應(yīng)導(dǎo)致輸出一半左右的比特（bit）發(fā)生變化。哈希函數(shù)主要用于確保通信內(nèi)容完整、不可篡改和不可抵賴。1990年，美國密碼學(xué)家R.L.李維斯特（R.L.Rivest，羅納德·李維斯特，1947～　　）設(shè)計了稱為信息摘要算法（MD4）的哈希算法，該算法所采用的分塊壓縮，以及壓縮函數(shù)中的論函數(shù)設(shè)計的手段，影響了后來幾乎所有的哈希函數(shù)的設(shè)計，直到基于彈性結(jié)構(gòu)的第三代安全散列算法（SHA-3）問世。

安全認(rèn)證過程中使用哈希函數(shù)的主要原因之一是公鑰加密的過程需要花費大量的時間空間資源，經(jīng)過哈希計算之后，將大大減少公鑰加密的計算量。

主要代表人物

美國數(shù)學(xué)家C.E.香農(nóng)（Claude Elwood Shannon，1916-04-30～2001-02-24）是信息論的創(chuàng)始人。

美國科學(xué)家W.迪菲和M.赫爾曼合作發(fā)明了著名的公共密鑰密碼體系，共同獲得2015年圖靈獎。

基本內(nèi)容

認(rèn)證（authentication）是證實實體身份的過程，是保證系統(tǒng)安全的重要措施之一。安全認(rèn)證技術(shù)包括兩種：①身份認(rèn)證。即鑒別通信過程中用戶的身份。②消息認(rèn)證。即保證通信內(nèi)容的完整性和抗否認(rèn)性。

在通信過程中，要鑒別通信雙方身份的合法、有效性，檢驗信息內(nèi)容是否被第三方篡改或偽造，就要利用安全認(rèn)證。

身份認(rèn)證

身份認(rèn)證是指通信系統(tǒng)確認(rèn)操作者身份的過程。通信系統(tǒng)是一個虛擬的數(shù)字世界，在這個虛擬世界中，所有用戶的身份信息都是用一組特定的數(shù)據(jù)來表示的，對用戶的所有授權(quán)也是基于用戶數(shù)字身份的授權(quán)。而現(xiàn)實世界是一個真實的物理世界，每個人都擁有獨一無二的物理身份。如何保證基于數(shù)字身份進行活動的操作者就是該數(shù)字身份合法擁有者，即保證操作者的物理身份與數(shù)字身份相對應(yīng)，成為一個很重要的問題。身份認(rèn)證技術(shù)的誕生就是為了解決這個問題。

在真實世界中，驗證一個人的身份主要通過三種方式判定：一是根據(jù)你所知道的信息來證明你的身份，假設(shè)某些信息只有某個人知道，比如暗號等，通過詢問這個信息就可以確認(rèn)這個人的身份；二是根據(jù)你所擁有的東西來證明你的身份，假設(shè)某一個東西只有某個人有，比如印章等，通過出示這個東西也可以確認(rèn)個人的身份；三是直接根據(jù)你獨一無二的身體特征來證明你的身份，比如指紋、面貌等。在信息系統(tǒng)中，一般來說，有三個要素可以用于認(rèn)證過程，即：用戶的知識（knowledge），如口令等；用戶的物品（possession），如IC卡等；用戶的特征（characteristic），如指紋等。

現(xiàn)在計算機通信網(wǎng)絡(luò)中常用的身份認(rèn)證方法如下：①口令認(rèn)證。傳統(tǒng)的認(rèn)證技術(shù)主要采用基于口令的認(rèn)證方法。當(dāng)待認(rèn)證對象要訪問提供服務(wù)的系統(tǒng)時，提供服務(wù)的認(rèn)證方要求待認(rèn)證對象提交口令，認(rèn)證方收到口令后，將其與系統(tǒng)中存儲的用戶口令進行比較，以確認(rèn)被認(rèn)證對象是否為合法訪問者。這種認(rèn)證方法的優(yōu)點在于：一般的系統(tǒng)（如UNIX/Linux，Windows NT/XP，NetWare等）都提供了對口令認(rèn)證的支持，對于封閉的小型系統(tǒng)來說不失為一種簡單可行的方法。②雙因素認(rèn)證。在雙因素認(rèn)證系統(tǒng)中，用戶除了擁有口令外，還擁有系統(tǒng)頒發(fā)的令牌訪問設(shè)備。當(dāng)用戶向系統(tǒng)登錄時，用戶除了輸入口令外，還要輸入令牌訪問設(shè)備所顯示的數(shù)字。該數(shù)字是不斷變化的，而且與認(rèn)證服務(wù)器是同步的。③一次口令機制。一次口令機制其實采用動態(tài)口令技術(shù)，是一種讓用戶的密碼按照時間或使用次數(shù)不斷動態(tài)變化，每個密碼只使用一次的技術(shù)。它采用一種稱之為動態(tài)令牌的專用硬件，內(nèi)置電源、密碼生成芯片和顯示屏，密碼生成芯片運行專門的密碼算法，根據(jù)當(dāng)前時間或使用次數(shù)生成當(dāng)前密碼并顯示在顯示屏上。認(rèn)證服務(wù)器采用相同的算法計算當(dāng)前的有效密碼。用戶使用時只需要將動態(tài)令牌上顯示的當(dāng)前密碼輸入客戶端計算機，即可實現(xiàn)身份的確認(rèn)。由于每次使用的密碼必須由動態(tài)令牌來產(chǎn)生，只有合法用戶才持有該硬件，所以只要密碼驗證通過就可以認(rèn)為該用戶的身份是可靠的。而用戶每次使用的密碼都不相同，即使黑客截獲了一次密碼，也無法利用這個密碼來仿冒合法用戶的身份。④生物特征認(rèn)證。生物特征認(rèn)證是指采用每個人獨一無二的生物特征來驗證用戶身份的技術(shù)，常見的有指紋識別、虹膜識別等。從理論上說，生物特征認(rèn)證是最可靠的身份認(rèn)證方式，因為它直接使用人的物理特征來表示每一個人的數(shù)字身份，不同的人具有相同生物特征的可能性可以忽略不計，因此幾乎不可能被仿冒。⑤USB Key認(rèn)證?；赨SB Key的身份認(rèn)證方式是一種方便、安全、經(jīng)濟的身份認(rèn)證技術(shù)，它采用軟硬件相結(jié)合一次一密的強雙因子認(rèn)證模式，很好地解決了安全性與易用性之間的矛盾。USB Key是一種USB接口的硬件設(shè)備，它內(nèi)置單片機或智能卡芯片，可以存儲用戶的密鑰或數(shù)字證書，利用USB Key內(nèi)置的密碼學(xué)算法實現(xiàn)對用戶身份的認(rèn)證?；赨SB Key身份認(rèn)證系統(tǒng)主要有兩種應(yīng)用模式：一是基于沖擊/響應(yīng)的認(rèn)證模式，二是基于公鑰基礎(chǔ)設(shè)施（PKI）體系的認(rèn)證模式。⑥數(shù)字證書。數(shù)字證書的原理是利用公鑰密碼體制（身份認(rèn)證機構(gòu)）申請注冊取得一個數(shù)字證書，當(dāng)數(shù)字簽名時，用自己本人知道的私鑰對消息摘要進行加密，附加在消息后面。而接受者向身份認(rèn)證機構(gòu)求證是否真的是用你的密鑰簽發(fā)的文件，以確認(rèn)發(fā)送消息者的安全可靠性。當(dāng)然公鑰加密系統(tǒng)允許任何人在發(fā)送信息時使用公鑰進行加密，但接收者不可能百分之百確信發(fā)送者的真實身份，而只能在密碼系統(tǒng)未被破譯的情況下才有理由確信，此重要性在財務(wù)數(shù)據(jù)上的鑒權(quán)表現(xiàn)得尤為突出，并且數(shù)字證書具有保障數(shù)據(jù)的完整性和不可抵賴性等特點。

消息認(rèn)證

隨著通信技術(shù)的發(fā)展，對傳輸過程中信息的保密性提出了更高的要求，主要包括：①對敏感的文件進行加密，即使別人截取文件也無法得到其內(nèi)容。②保證數(shù)據(jù)的完整性，防止截獲人在文件中加入其他信息。③對數(shù)據(jù)和信息的來源進行驗證，以確保發(fā)信人的身份。

業(yè)界普遍通過加密技術(shù)方式來滿足以上要求，實現(xiàn)消息的安全認(rèn)證。消息認(rèn)證就是驗證所收到的消息確實是來自真正的發(fā)送方且未被修改的消息，也可以驗證消息的順序和及時性。消息認(rèn)證實際上是對消息本身產(chǎn)生一個冗余的信息：MAC（消息認(rèn)證碼），其主要利用密鑰對待認(rèn)證的消息產(chǎn)生新的數(shù)據(jù)塊，并對數(shù)據(jù)塊加密而生成。它對于待保護的信息是唯一的，一旦原始數(shù)據(jù)發(fā)送變化，相應(yīng)的消息認(rèn)證碼也會隨之而變，因此通過驗證消息認(rèn)證碼是否發(fā)生改變，可以有效地保護消息的完整性，確保消息的不可抵賴和不能偽造。

消息認(rèn)證技術(shù)可以防止數(shù)據(jù)被偽造和被篡改，證實消息來源的有效性隨著密碼技術(shù)與計算機計算能力的提高，消息認(rèn)證技術(shù)已廣泛應(yīng)用于信息網(wǎng)絡(luò)。消息認(rèn)證碼的實現(xiàn)方法也在不斷改進和更新之中，多種實現(xiàn)方式會為更安全的消息認(rèn)證碼提供保障。

數(shù)字簽名（又稱公鑰數(shù)字簽名、電子簽章）是一種常用的消息認(rèn)證技術(shù)。數(shù)字簽名是一個加密的、用于確認(rèn)發(fā)送方身份和消息完整性的消息摘要，是只有信息發(fā)送者才能產(chǎn)生、且別人無法偽造的一段數(shù)字串，這段數(shù)字串同時也是對信息的發(fā)送者和發(fā)送信息真實、完整的一個有效證明。最常用的一些公鑰數(shù)字簽名算法有RSA算法和數(shù)字簽名標(biāo)準(zhǔn)算法（DSS）。DSS由美國國家技術(shù)標(biāo)準(zhǔn)研究所提出，它建立在蓋莫爾（elgamal）公鑰算法的基礎(chǔ)之上的開發(fā)出來的加密技術(shù)，它與RSA相比，DSS在生成密鑰時速度更快一些，在生成簽名時的性能差不多，但進行簽名驗證時要慢得多。

未來發(fā)展方向

量子密碼技術(shù)是密碼學(xué)與量子力學(xué)相結(jié)合的產(chǎn)物，采用量子態(tài)作為信息載體，經(jīng)由量子通道在合法用戶之間傳遞密鑰。量子密碼技術(shù)可達到經(jīng)典密碼學(xué)所無法達到的兩個最終目的：一是合法的通信雙方可察覺潛在的竊聽者并采取相應(yīng)的措施；二是使竊聽者無法破解量子密碼，無論企圖破解者有多么強大的計算能力。將量子密碼技術(shù)的不可竊聽性和不可復(fù)制性用于認(rèn)證技術(shù)則可以用來認(rèn)證通信雙方的身份，原則上提供了不可破譯、不可竊聽和大容量的保密通訊體系。真正做到了通信的絕對安全。主要有三類量子身份認(rèn)證的實現(xiàn)方案：基于量子密鑰的經(jīng)典身份認(rèn)證系統(tǒng)；基于經(jīng)典密鑰的量子身份認(rèn)證系統(tǒng)；純量子身份認(rèn)證系統(tǒng)。

基于身份加密（IBE）是一種將用戶公開的字符串信息（如郵件地址、手機號碼、身份證號碼等）用作公鑰的公鑰加密方式。1984年，美國學(xué)者A.薩莫爾（Adi Shamir，阿迪·薩莫爾，1953～　　）首先提出了實現(xiàn)該方式的可能性。2001年，美國斯坦福大學(xué)的D.博納什（Dan Boneh，丹·博納什，1969～　?。┖图永Ｄ醽喆髮W(xué)戴維斯分校的M.富蘭克林（Matt Franklin，馬特·富蘭克林，1961～　?。┕餐岢隽司哂虚_創(chuàng)性意義的基于標(biāo)識的IBE算法。

思維認(rèn)證是一種全新的身份認(rèn)證方式，它是以腦-機接口技術(shù)為基礎(chǔ)并有望替代傳統(tǒng)的身份認(rèn)證方式。其原理：當(dāng)受試主體的大腦產(chǎn)生某種動作意識之后或者受到外界刺激后，其神經(jīng)系統(tǒng)的活動會發(fā)生相應(yīng)的改變。這種變化可以通過一定的手段檢測出來，并作為意識發(fā)生的特征信號試驗表明即使對于同一個外部刺激或者主體在思考同一個事件的時候，不同人的大腦所產(chǎn)生的認(rèn)知腦電信號是不同的。也就是說，這些思維的信號攜帶有主體的獨一無二的特性，因此人們可以通過探測被試者的腦部的響應(yīng)變化來進行身份認(rèn)證。

行為認(rèn)證技術(shù)有別于傳統(tǒng)的認(rèn)證技術(shù)，它是以用戶的行為為依據(jù)的全新的認(rèn)證技術(shù)。行為認(rèn)證技術(shù)的基本思想：對于一個固定的用戶，其行為總是遵循一定的習(xí)慣，表現(xiàn)為在行動操作中存在規(guī)律性。行為認(rèn)證技術(shù)正是基于對用戶的行為習(xí)慣來判斷用戶的身份是否假冒。

自動認(rèn)證技術(shù)是認(rèn)證技術(shù)的演進方向，可以融合多種認(rèn)證技術(shù)（標(biāo)識認(rèn)證技術(shù)、基于量子密碼的認(rèn)證技術(shù)、思維認(rèn)證技術(shù)、行為認(rèn)證技術(shù)等），可以接受多種認(rèn)證手段（口令、Key、證書、生物特征信息等），提供接入多元化、核心架構(gòu)統(tǒng)一化、應(yīng)用服務(wù)綜合化的智能認(rèn)證技術(shù)。自動認(rèn)證技術(shù)的原理：綜合利用各個認(rèn)證因子作為整個認(rèn)證系統(tǒng)的輸入，利用專家知識系統(tǒng)對其進行判斷，對沒有通過認(rèn)證的和假冒成功的綜合因子的特征信息通過免疫技術(shù)學(xué)習(xí)進化使得專家知識庫不斷更新，同時通過數(shù)據(jù)挖掘技術(shù)來識別專家知識庫中不斷進化的潛在威脅。

擴展閱讀

范明鈺．網(wǎng)絡(luò)安全協(xié)議理論與技術(shù)．北京：清華大學(xué)出版社，2009．

TANENBAUM A S, WETHERALL D J．Computer networks. 5th ed．北京：機械工業(yè)出版社，2011．

KRUL J．Authentication Method and System for Authenticating Security Documents, Security Document and Security Element．2008．