2、消息认证技术
消息认证通过对消息(及附加信息)进行加密或签名认证,其作用包括消息完整性认证(内容认证)、消息的身份认证(发送者和接收者的合法性),以及消息的发送时间和发送序列号认证等。
(1)消息完整性认证(内容认证)
消息发送者在消息中增加认证码,经加密后发送给接收者进行认证验算,接收者用约定的算法对解密后的消息进行验算,若通过,则接收;若未通过,则拒绝接收。
(2)消息的身份认证
在消息认证中,消息发送者和接收者的确认有两种方法:第一种是双方事先约定消息数据加密的密钥,接收者只需验证该密钥是否能把消息还原成明文就能认证发送者;第二种是双方事先商定发送消息的特征字,在发送消息时将特征字一起加密发送,接收者只需检验消息中解密的特征字是否与约定特征字相同就可认证发送者。
(3)消息的发送时间和发送序列号认证
消息的发送时间和发送序列号的认证用于防止消息的重放攻击,常用的认证信息包括:消息链接认证符、消息认证随机数和消息时间戳等。
3、身份认证
身份认证是确认系统用户身份的过程,明确用户拥有对资源的访问和使用权限。身份认证是通过将一个证据与实体身份绑定来实现的,实体可能是用户、计算单元、程序或进程。以身份认证为基础,访问控制、安全审计、入侵检测等安全机制才能实施。
用户身份主要通过以下三种方式来确认。
(1)根据用户所知道的信息来确认用户的身份,如约定信息。
(2)根据用户所拥有的东西来确认用户的身份,如用户的身份信息。
(3)根据用户的特征来确认用户的身份,例如,生理特征(如DNA、人脸等)。
仅通过一个条件来验证一个人的身份,称为单因子认证。由于仅使用一种条件判断用户的身份,很容易被伪造,存在很大的安全隐患,作为改进,我们可以通过组合多种不同的条件,来证明一个人的身份,如双因子认证。
目前有很多身份认证方法:用户名/密码方式、IC卡认证、USB Key、生物特征识别、动态密码
和数字签名等。
(二)访问控制
认证、访间控制和审计共同保障计算机系统的安全。
认证是用户进入系统的第一关,访问控制是在用户以合法合法身份进入系统后,通过监控器控制用户对数据信息的访问动作。