数字签名
数字签名(或称电子加密)是公开密钥加密技术的一种应用。其使用方式是:报文的发送方从报文文本中生成一个128位的单向散列值(即HASH函数根据报文文本而产生的具有固定长度的单向HASH值),有时这个单向(哈希)值也叫做报文摘要,它与报文文本的数字指纹或标准校验和相似。
发送方用自己的专用密钥对这个散列值进行加密来形成发送方的数字签名。然后,这个数字签名将作为报文的附件和报文一起发送给报文的接收方。报文的接收方首先从接收到的原始报文中计算出128位的散列值(或报文摘要),接着再用发送方的公开密钥来对报文附加的数字签名进行解密。如果两个散列值相同,那么接收方就能确认该数字签名是发送方的。通过数字签名能够实现对原始报文的鉴别和不可抵赖性。
数字签名机制提供了一种鉴别方法,普遍用于银行、电子贸易等,以解决如下问题:
(1)伪造:接收者伪造一份文件,声称是对方发送的;
(2)抵赖:发送者或接收者事后不承认自己发送或接收过文件;
(3)冒充:网上的某个用户冒充另一个用户发送或接收文件;
(4)篡改:接收者对收到的文件进行局部的篡改。
身份认证技术
身份识别(Identification)是指用户向系统出示自己的身份证明过程。身份认证(Authentication)是系统查核用户的身份证明的过程,实质上是查明用户是否具有他所请求资源的存储和使用权。人们常把这两项工作(Identification and Authentication)统称为身份认证(或称身份鉴别或称身份验证),它是判明和确认通信双方真实身份的两个重要环节。
身份认证必须作到准确无二义地将对方辨认出来,同时还应该提供双向的认证,即相互证明自己的身份。身份认证是授权控制的基础,但实现起来较困难。
通常在单机状态下的身份认证概括起来有三种:根据人的生理特征进行身份认证;根据约定的口令等进行身份认证;采用硬件设备进行身份认证。
而在网络环境下的身份认证较为复杂,主要是要考虑到验证身份的双方一般都是通过网络而非直接交互,象根据指纹等手段就难以实现。同时大量的黑客随时随地都可能尝试向网络渗透,截获合法用户口令并冒名顶替以合法身份入网。所以目前一般采用高强度的密码技术来进行身份认证。
公开密钥证明
公开密钥的证明有时也称作“数字ID”或“数字证明”或“数字护照”。如果甲和乙通过Internet获得各自的公开密钥,他们需要对这些密钥进行认证。甲不能简单地向乙询问其公开密钥,因为在网络上可能存在第三者截获甲的请求,并发送它自己的公开密钥,如此第三者可以阅读甲传送给乙的所有消息。
因此,需要一个第三方的认证机构(CA,Certificate Authority),使甲即使是通过不安全的渠道,也能够借助它可靠地获取乙的公共密钥。
CA为乙的公开密钥生成一个证书(Certificate),也称为数字签名。证书一般包括一个公钥及其有效期,姓名,发证机构,序列号和发证者的数字签名,其过程如图所示。任何人都可以获取乙的公开密钥,并利用该证书作为验证公开密钥的根据。
在网络上,证明的作用就像公民的护照、司机的驾驶执照、学生的校徽。网上的某些服务仅对持有证明的用户提供服务。
新成果:据报道Oracle公司采用加州一家新技术公司开发的指纹扫描仪专利,推出掌上指纹扫描仪。该仪器可以将用户的指纹记录下来,存入指纹档案库。当用户登记使用该计算机系统时,扫描仪还会将用户的指纹与库中的指纹相对照,只有当口令与指纹均相符时,才能进入系统。现已被美国军方和社会福利部门采用。有关专家认为,虽然目前计算机加密技术繁多,但指纹加密可说是最终方向,因为人的指纹互不相同,极难摹仿。而计算机登录的口令有可能失窃,即使是那些使用智能磁卡的用户也有磁卡被盗、口令被破译的可能。而电脑指纹扫描仪能够区分人的手指与伪造的如蜡制的手指,或橡胶手套上的指纹。因为前者的传感系统能分辨出血液的流动情况、血压等信息。专家认为指纹识别技术具有市场潜力,它将有助于Internet上电子商务等应用的发展。