认证( Authentication),又称鉴别,它是由被认证者根据一些预先设定的知识来提供证据给验证者,以确定某人某事是否名副其实或者是否有效的一个过程。认证是信息安全中最基础也是最重要的一个过程。任何一个系统最基本的安全需求就是认证,只由通过认证确定被认证内容的合法性之后,才能在其基础之上再施行其他安全控制措施。被认证方提供一定的具有特征的数据,由验证方来验证认证数据是否是合法的。
认证按照认证参数的内容又分为基于密码技术的认证和基于非密码技术的认证。基于非密码技术的认证指的是认证参数为一些非密码学相关的内容,如口令、信物、智能卡、指纹、虹膜、DNA、IP地址等。下面举一些简单的例子:①军队在营地里为了防止敌人间谍渗透,往往会设置一个口令,只有在向哨兵报出这个口令之后,才被允许进入营地。②中国古代将军调兵打仗,必须要有兵符才能够调动军队,这里的兵符就是信物。③在一些网络中,数据库会根据用户的IP地址来确定是否允许其接入公安机关会比对嫌犯和犯罪现场留下的指纹甚至DNA,来判定嫌犯是否有罪。而基于密码技术的认证则是通过密码技术,如询问应答协议、MAC码、数字签名等来实现数据源认证功能。在验证数据完整性的同时也保证了数据来自预定的对端。
认证按照认证对象又分为实体认证和消息源认证。所谓实体认证,就是用于认证通信对端的身份,以保证通信对端是原定的对端,而非其他人假冒。因此实体认证也称身份认证,保证的身份为其声称的身份。而所谓数据源认证,主要认证某个指定的数据项是否来源于某个特定的实体。数据源认证通常都是与数据的完整性保护结合在一起的。只有数据的完整性得到了保护,才能实现数据源认证;反之,数据的完整性得到了保护,就能够进行数据源认证。数据源认证通常采用数字签名或者MAC(如HMAC,CMAC,其中CMAC是用分组加密的CBC模式来构造MAC码的方式)码的形式来保证。
认证按照方向分又分为单向认证和双向认证32。所谓单向认证,是指只是一方认证另一方,例如,在许多客户-服务器模型的应用中,往往只需要服务器端认证客户端的身份。
而双向认证则是通信双方都需要互相认证,互相向对方证明自己的身份。例如,用户在访问一些资源时,如果只是资源提供方对用户实行认证,则这种单向认证使得攻击者可以假冒资源提供方,形成网络上的钓鱼网站。
