认证技术：身份认证、消息认证和认证机构认证

防止信息被篡改、删除、重放和伪造的有效解决方法是让发送的信息有被验证的可能，使信息接收者或第三者能识别和确认信息的真伪，能够实现这项功能的保密系统称为认证系统。

信息的认证和保密是不同的。保密是使信息截获者在不知密钥的条件下不能解读密文内容；而认证是使任何不知密钥的人不能构造一个密文，使意定的接收者利用密钥将密文解密成一种可理解的信息（合法信息）。认证理论和技术在近年随着计算机通信的普及应用得到了迅速的发展，成为保密学研究的一个重要领域。

认证技术主要包括身份认证（也叫用户认证）、消息认证和认证机构认证三种方式。身份认证用于鉴别用户的身份是否合法；消息认证可用于验证所收到的消息确实来自真正的发送方且未被修改（即完整性），也可以用于验证消息的顺序性和及时性；认证机构认证可用于对买卖双方身份的认证，是保障网络交易安全的重要措施。

（一）身份认证

在进行交易时，一方向对方提交一个由“认证中心”签发的包含个人身份的证书，使对方相信自己的身份，即数字证书。在网上的电子交易中，如双方出示了各自的数字凭证，并用它来进行交易操作，那么双方都可以不必为对方身份的真伪担心。数字凭证可用于电子邮件、电子商务、群件、电子基金转移等。

另外，在双方通信时，通过出示由某个认证中心（CA）签发的证书来证明自己的身份，如果对签发证书的CA本身不信任，则可验证“认证中心”的身份。以此类推，一直到公认的权威CA处，就可确信证书的有效性，SET（Secure Electronic Transaction，安全电子交易）证书正是通过信任层次来逐级验证的。每一个证书与数字化签发证书的实体的签名证书关联。沿着信任一直到一个公认的信任组织，就可以确认该证书是有效的。

身份认证基本可分为身份证实和身份识别两大类。

1.身份证实

身份证实是指对个人身份进行肯定或否定。身份证实的通常方法是将输入的个人信息（经公式和算法运算所得的结果）与卡上或库存中的信息（经公式和算法运算所得的结果）进行比较，从而得出结论。

2.身份识别(www.xing528.com)

身份识别的一般方法是输入个人信息，经处理后提取成模板信息，试着在存储数据库中搜寻出一个与之匹配的模板，而后得出结论，如确定某犯罪嫌疑人是否有前科的指纹检验系统。身份识别比身份证实困难，这是显而易见的。

（二）消息认证

消息认证是指验证消息的完整性，当接收方收到发送方的报文时，接收方能够验证收到的报文是真实的和未被篡改的。消息认证常用的方法就是消息摘要，即发送方在发送的消息中附加一个鉴别码，并经加密后发送给接收方。接收方利用约定的算法对解密后的消息进行鉴别运算，将得到的鉴别码与收到的鉴别码进行比较，若二者相等，则接收；否则拒绝接收。

消息认证可分为基于公钥体制的信息认证和加入数字签名的验证两大类。

1.基于公钥体制的信息认证

由于基于公钥体制的算法速度很慢，因此其不太适合对文件加密，只适合对少量数据加密。在Windows NT安全性体系结构中，公开密钥系统主要用于私有密钥的加密过程。每位用户要对数据进行加密，都需要生成一对自己的密钥对。密钥对中的公开密钥和非对称加密、解密算法是公开的，只有私有密钥由密钥的主人妥善保管。

2.加入数字签名的验证

除对文件加密外，还需要采取另外的手段来防止他人破坏传输的文件，以及确定发信人的身份。因此，要加入数字签名及验证才能真正实现信息在公开网络上安全传输。

例如，第三者冒充发送者发了一个文件，因为接收者在对数字签名进行解密时使用的是发送者的公开密钥，只要第三者不知道发送者的私有密钥，那么解密出来的数字签名必然与真正的不同，这就提供了一个安全确认发送者身份的方法。