【正文】 演講完畢，謝謝觀看！ 。 本章小結(jié) ?本章主要學(xué)習(xí)了數(shù)字加密與認(rèn)證的有關(guān)理論、技術(shù)及方法。 認(rèn)證技術(shù)的應(yīng)用 ?3．生物特征認(rèn)證 生物特征認(rèn)證定義及其技術(shù)已在認(rèn)證技術(shù)分類中作過(guò)介紹，其最具吸引力的地方在于身份鑒別的唯一性，目前正在得到廣泛而深入的研究和應(yīng)用。 認(rèn)證技術(shù)的應(yīng)用 ?2．智能卡技術(shù) ?應(yīng)該說(shuō)智能卡本身就可以算是一個(gè)功能齊全的計(jì)算機(jī)，它們有自己的內(nèi)存、微處理器和智能卡讀取器的串行接口，所有的這些都被包含在一個(gè)信用卡大小或是更小的介質(zhì)里。這種機(jī)制的最大優(yōu)勢(shì)是無(wú)須在網(wǎng)上傳輸用戶的真實(shí)口令，并且由于具有一次性的特點(diǎn)，可以有效防止重放攻擊（ replay attack）。 ?（ 3）散列函數(shù)（ hash function）：是一個(gè)公開(kāi)的函數(shù)，它將任意長(zhǎng)的信息映射成一個(gè)固定長(zhǎng)度的信息。信息加密函數(shù)分兩種：一種是常規(guī)的對(duì)稱密鑰加密函數(shù)，另一種是公開(kāi)密鑰的雙密鑰加密函數(shù)。在認(rèn)證理論中一般將信源識(shí)別和發(fā)送信息的完整性檢驗(yàn)兩者作為一個(gè)整體進(jìn)行討論。用戶 B需要確定收到的消息是否來(lái)自 A，而且還要確定來(lái)自 A的消息有沒(méi)有被別人修改過(guò)，有時(shí) A也需要知道送出的消息是否已經(jīng)正確地到達(dá)目的地。消息認(rèn)證的內(nèi)容包括：證實(shí)消息的信源和信宿，消息內(nèi)容是否曾受到偶然或有意的篡改，消息的序號(hào)和時(shí)間性是否正確。 身份認(rèn)證的方式 ?下面是常用的身份認(rèn)證方式： （ 1）用戶名 /密碼方式 （ 2） IC卡認(rèn)證 （ 3）圖片驗(yàn)證碼 （ 4）數(shù)字證書(shū) （ 5）生物特征認(rèn)證 （ 6） USB Key認(rèn)證 （ 7）動(dòng)態(tài)口令 /動(dòng)態(tài)密碼 消息認(rèn)證 ?消息認(rèn)證就是驗(yàn)證接收消息的真實(shí)性和完整性以及驗(yàn)證消息的順序性和時(shí)間性。 ?（ 2）根據(jù)是否使用硬件可以將身份認(rèn)證技術(shù)分為軟件認(rèn)證和硬件認(rèn)證。前者指僅通過(guò)一個(gè)條件的符合來(lái)證明一個(gè)人的身份。在應(yīng)用系統(tǒng) 5大安全技術(shù)（身份認(rèn)證、訪問(wèn)控制、數(shù)據(jù)保密性、數(shù)據(jù)完整性以及不可否認(rèn)性）中，身份認(rèn)證位列第一。如果沒(méi)有有效的身份認(rèn)證管理手段，訪問(wèn)者的身份就很容易被偽造，使得任何安全防范體系都形同虛設(shè)。 認(rèn)證技術(shù) ? 身份認(rèn)證 ?身份認(rèn)證技術(shù)是指計(jì)算機(jī)及網(wǎng)絡(luò)系統(tǒng)確認(rèn)操作者身份的過(guò)程以及所應(yīng)用的技術(shù)手段。 ?DTS是網(wǎng)上安全服務(wù)項(xiàng)目，由專門(mén)的機(jī)構(gòu)提供，它包括 3個(gè)部分： ? ? DTS機(jī)構(gòu)收到文件的日期和時(shí)間。在電子交易中，同樣需要對(duì)交易合同的日期和時(shí)間信息采取安全措施。發(fā)送方能夠通過(guò)數(shù)字證書(shū)來(lái)確認(rèn)接收方的身份，發(fā)送方對(duì)于自己發(fā)送的信息不能抵賴。它是由 CA發(fā)行的，可以在網(wǎng)絡(luò)中用來(lái)識(shí)別對(duì)方的身份。一般通過(guò)數(shù)據(jù)簽名機(jī)制和時(shí)間戳服務(wù)來(lái)證明數(shù)據(jù)的正確性。 PKI中的公證服務(wù)指的是數(shù)據(jù)認(rèn)證。安全時(shí)間戳就是一個(gè)可信的時(shí)間權(quán)威，它用一段可認(rèn)證的完整的數(shù)據(jù)表示時(shí)間戳。此外，還包括其他類型的不可否認(rèn)，如傳輸?shù)牟豢煞裾J(rèn)，創(chuàng)建的不可否認(rèn)以及同意的不可否認(rèn)。不可否認(rèn)服務(wù)是指從技術(shù)上用于保證實(shí)體對(duì)用戶的行為的確認(rèn)。這些服務(wù)不是任何 PKI都具備的功能，但這些服務(wù)都建立在 PKI的核心服務(wù)之上。一般通過(guò)數(shù)據(jù)簽名機(jī)制和時(shí)間戳服務(wù)來(lái)證明數(shù)據(jù)的正確性。 PKI中的公證服務(wù)指的是數(shù)據(jù)認(rèn)證。安全時(shí)間戳就是一個(gè)可信的時(shí)間權(quán)威，它用一段可認(rèn)證的完整的數(shù)據(jù)表示時(shí)間戳。此外，還包括其他類型的不可否認(rèn)，如傳輸?shù)牟豢煞裾J(rèn)，創(chuàng)建的不可否認(rèn)以及同意的不可否認(rèn)。不可否認(rèn)服務(wù)是指從技術(shù)上用于保證實(shí)體對(duì)用戶的行為的確認(rèn)。這些服務(wù)不是任何 PKI都具備的功能，但這些服務(wù)都建立在 PKI的核心服務(wù)之上。保密性服務(wù)就是確保數(shù)據(jù)的秘密性，除了指定實(shí)體外，無(wú)人能解讀數(shù)據(jù)的關(guān)鍵部分。這一般通過(guò)數(shù)字簽名技術(shù)和消息認(rèn)證碼兩種方式來(lái)實(shí)現(xiàn)。 ? ? （ 2）完整性。 公鑰基礎(chǔ)設(shè)施 ? 1） PKI的核心服務(wù) ? 一般認(rèn)為 PKI所提供的核心服務(wù)有 3個(gè)： ? （ 1）認(rèn)證。 ? 5）證書(shū)作廢處理系統(tǒng) ?證書(shū)由于某些原因需要作廢，終止使用時(shí)，需通過(guò)證書(shū)撤銷列表（ CRL）來(lái)完成。證書(shū)庫(kù)可以是關(guān)系數(shù)據(jù)庫(kù)，也可以是目錄。如果審查通過(guò)，即可實(shí)時(shí)或批量地向 CA提出申請(qǐng)，要求為用戶簽發(fā)證書(shū)。） ? 2）注冊(cè)中心 RA ? 注冊(cè)中心 RA是認(rèn)證中心 CA的延伸部分，它與 CA在邏輯上是一個(gè)整體，執(zhí)行不同的功能。 CA負(fù)責(zé)生成和管理 PKI結(jié)構(gòu)下的所有用戶（包括各種應(yīng)用程序）的證書(shū)，把用戶的公鑰和用戶的其他信息捆綁在一起，在網(wǎng)上驗(yàn)證用戶的身份。 公鑰基礎(chǔ)設(shè)施 ? 一個(gè)典型、完整、有效的 PKI應(yīng)用系統(tǒng)至少應(yīng)具有以下幾個(gè)部分。 PKI的主要目的是通過(guò)自動(dòng)管理密鑰和證書(shū)，為用戶建立起一個(gè)安全的網(wǎng)絡(luò)運(yùn)行環(huán)境，使用戶可以在多種應(yīng)用環(huán)境下方便地使用加密和數(shù)字簽名技術(shù)，從而保證網(wǎng)上數(shù)據(jù)的機(jī)密性、完整性、有效性。簽名和文件是不可分離的，簽名者事后不能聲稱他沒(méi)有簽過(guò)這個(gè)文件。文件在簽名以后，就不能改變。簽名是文件的一部分，不可能將簽名移動(dòng)到不同的文件上。簽名證明是簽名者而不是其他人在文件上簽的字。簽名使文件的接收者相信簽名者是慎重地在文件上簽名的。 數(shù)字簽名 ? 在文件上手寫(xiě)簽名長(zhǎng)期以來(lái)被作為簽名者身份的證明，或表明簽名者同意文件的內(nèi)容。 ? （ 8）密鑰歸檔。 ? （ 6）產(chǎn)生和發(fā)布證書(shū)廢止列表（ CRL）。 ? （ 4）接收、處理最終用戶的數(shù)字證書(shū)更新請(qǐng)求及證書(shū)的更新。 ? （ 2）確定是否接收最終用戶數(shù)字證書(shū)的申請(qǐng)及證書(shū)的審批。 3．認(rèn)證中心的功能 ? 概括地說(shuō)，認(rèn)證中心（ CA）的功能有證書(shū)發(fā)放、證書(shū)更新、證書(shū)撤銷和證書(shū)驗(yàn)證。發(fā)放的數(shù)字證書(shū)可以存放于 IC卡、硬盤(pán)或軟盤(pán)等介質(zhì)中。 RA系統(tǒng)是 CA的證書(shū)發(fā)放、管理的延伸。 2． RA簡(jiǎn)介 ?在數(shù)字證書(shū)認(rèn)證的過(guò)程中，證書(shū)認(rèn)證中心（ CA）作為權(quán)威的、公正的、可信賴的第三方，其作用是至關(guān)重要的。它的主要功能是接受客戶證書(shū)申請(qǐng)并進(jìn)行審核。因此客戶可在自己方便的時(shí)候在網(wǎng)上提出證書(shū)申請(qǐng)和填寫(xiě)相應(yīng)的證書(shū)