身份认证
身份认证又称“验证”、“鉴权”,是指通过一定的手段,完成对用户身份的确认。身份认证可以分为三类:
实体所知:
是身份鉴别最为广泛的方法,因为其成本低、实现简单,如密码,验证码,一切实体记忆的验证方法;
威胁也很大,如:暴力破解、木马等;
实体所有:
实体所有是安全性较高,但成本也较高的方法,如:IC卡,门禁卡;
因为存在固定实物,因此会面临着损坏和被复制的风险;
实体特性:
实体特性为最安全的一种方式,通常采用生物识别方法进行验证。如:指纹、虹膜、声波特征等;
但实体特性的鉴别的准确性和效率取决于开发过程中的算法特征。实体特征的鉴别方法中通常有三个指标:错误拒绝率(FRR)、错误接受率(FAR)、交叉错判率(CER)
2.数字证书
数字证书也是身份鉴别的一种方式。数字证书是指在互联网通讯中标志通讯各方身份信息的一个数字认证,人们可以在网上用它来识别对方的身份。数字证书获得过程:
模拟Alice需要获得数字证书
Alice首先把个人信息提交到RA;
RA审核通过发送给CA;
CA将Alice个人信息、Alice公钥可能还会包括Alice的数字签名打包成数字证书;
CA签发证书下载凭证,并交给RA;
CA将数字证书交给证书库保存;
RA将下载凭证交还Alice;
Alice提交下载证书申请到CA,下载证书;
获得证书之后的使用方法:
Alice获得证书之后可以把需要发送的公钥加上数字证书发送出去,接收者用鉴别机构的公钥解开数字证
书就能获得Alice的数字证书,保证权威认证绝对有效的;
PKI:是公钥基础设施(Public Key Infrastructure)的简称,PKI利用公开密钥技术建立的提供
信息安全服务的在线基础设施。它利用加密、数字签名、数字证书来保护应用、通信或
事务处理的安全
CA:是PKI的核心,主要职责为签发证书、更新证书、管理证书(撤销、查询、审计、统计)
验证数字证书、黑名单认证(CRL)、在线认证(OCSP)
RA:受理用户的数字证书申请(对证书申请者身份进行审核并提交CA制证)、提供证书生
命期的维护工作(受理用户证书申请、协助颁发用户证书、审核用户真实身份、受理证书、更新请求、受理证书吊销)
证书库:证书存放管理,信息的存储库,提供了证书的保存,修改,删除和获取的能力;CRL(Certificate Revocation List):证书撤销列表,也称"证书黑名单",存放被撤销证书的序列号,证书有效期间因为某种原因(人员调动、私钥泄露等)导致证书不再真是可信,因此需要进行证书撤销;