网络安全技术6

菜鸟

六. 认证和数字签名技术
　　认证技术主要解决网络通讯过程中通讯双方的身份认可，数字签名作为身份认证技术中的一种具体技术，同时数字签名还可用于通信过程中的不可抵赖要求的实现。 　　认证技术将应用到企业网络中的以下方面： 　　(1) 路由器认证，路由器和交换机之间的认证。 　　(2) 操作系统认证。操作系统对用户的认证。 　　(3) 网管系统对网管设备之间的认证。 　　(4) VPN网关设备之间的认证。 　　(5) 拨号访问服务器与客户间的认证。 　　(6) 应用服务器(如Web Server)与客户的认证。 　　(7) 电子邮件通讯双方的认证。 　　数字签名技术主要用于： 　　(1) 基于PKI认证体系的认证过程。 　　(2) 基于PKI的电子邮件及交易(通过Web进行的交易)的不可抵赖记录。 　　认证过程通常涉及到加密和密钥交换。通常，加密可使用对称加密、不对称加密及两种加密方法的混合。 　　UserName/Password认证 　　该种认证方式是最常用的一种认证方式，用于操作系统登录、telnet、rlogin等，但由于此种认证方式过程不加密，即password容易被监听和解密。 　　使用摘要算法的认证 　　Radius(拨号认证协议)、路由协议(OSPF)、SNMP Security Protocol等均使用共享的Security Key，加上摘要算法(MD5)进行认证，由于摘要算法是一个不可逆的过程，因此，在认证过程中，由摘要信息不能计算出共享的security key，敏感信息不在网络上传输。市场上主要采用的摘要算法有MD5和SHA-1。 　　基于PKI的认证 　　使用公开密钥体系进行认证和加密。该种方法安全程度较高，综合采用了摘要算法、不对称加密、对称加密、数字签名等技术，很好地将安全性和高效率结合起来。后面描述了基于PKI认证的基本原理。这种认证方法目前应用在电子邮件、应用服务器访问、客户认证、防火墙验证等领域。 　　该种认证方法安全程度很高，但是涉及到比较繁重的证书管理任务。