第5章-身份認證-電子課件

第五章身份認證第五章身份認證2024/12/42學習目標熟悉常見的身份認證技術了解什么是身份認證技術了解身份認證技術的作用了解基于X.509的數(shù)字證書的認證5.1身份認證技術概述5.1.1身份認證技術的基本概念5.1.2基于信息秘密的身份認證5.1.3基于信任物體的身份認證5.1.4基于生物特征的身份認證2024/12/435.1.1身份認證技術的基本概念1.身份認證的概念認證（Authentication）是指通過對網(wǎng)絡系統(tǒng)使用過程中的主客體雙方互相鑒別確認身份后,對其賦予恰當?shù)臉酥?、標簽和證書等過程。認證可以解決主體本身的信用問題和客體對主體的訪問的信任問題,認證可以為下一步的授權(quán)奠定基礎,是對用戶身份的認證信息的生成、存儲、同步、驗證和維護的全生命周期的管理。身份認證（IdentityandAuthenticationManagement）是網(wǎng)絡系統(tǒng)的用戶在進入系統(tǒng)或訪問不同保護級別的系統(tǒng)資源時,系統(tǒng)確認該用戶的身份是否真實、合法和唯一的過程。數(shù)據(jù)完整性可以通過消息認證進行保證,是網(wǎng)絡系統(tǒng)安全保障的重要措施之一。2024/12/445.1.1身份認證技術的基本概念2.身份認證的作用在網(wǎng)絡系統(tǒng)中,身份認證是網(wǎng)絡安全中的第一道防線,對網(wǎng)絡系統(tǒng)的安全有著重要的意義。用戶在訪問系統(tǒng)前,先要經(jīng)過身份認證系統(tǒng)進行有效身份識別,可以通過訪問監(jiān)控設備（系統(tǒng)）,根據(jù)用戶的身份和授權(quán)數(shù)據(jù)庫,來確定所訪問系統(tǒng)資源的權(quán)限。授權(quán)數(shù)據(jù)庫由安全管理員按照需要配置。審計系統(tǒng)根據(jù)設置記錄用戶的請求和行為,同時入侵檢測系統(tǒng)檢測異常行為。訪問控制和審計系統(tǒng)都依賴于身份認證系統(tǒng)提供的“認證信息”進行鑒別和審計,如圖5.1所示。2024/12/452024/12/46圖5.1身份認證的過程5.1.1身份認證技術的基本概念3.認證技術的類型認證技術是用戶身份鑒別確認的重要手段，也是網(wǎng)絡系統(tǒng)安全中的一項重要內(nèi)容。從鑒別對象上可以分為兩種:消息認證和用戶身份認證。消息認證:用于保證信息的完整性和不可否認性。通常用來檢測主機收到的信息是否完整，以及檢測信息在傳遞過程中是否被修改或偽造。身份認證:鑒別用戶身份。包括識別和驗證兩部分內(nèi)容。其中，識別是鑒別訪問者的身份，驗證是對訪問者身份的合法性進行確認。2024/12/475.1.1身份認證技術的基本概念4.常見的身份認證技術在現(xiàn)實世界中，對用戶的身份認證基本方法可以分為三種:（1）基于信息秘密的身份認證:就是根據(jù)你所知道的信息來證明你的身份（whatyouknow你知道什么）；（2）基于信任物體的身份認證:就是根據(jù)你所擁有的東西來證明你的身份（whatyouhave，你有什么）；（3）基于生物特征的身份認證:就是直接根據(jù)獨一無二的身體特征來證明你的身份（whoyouare，你是誰），比如指紋、面貌等。在網(wǎng)絡世界中手段與真實世界中是一致的，為了達到更高的身份認證安全性，某些場景會將上面3種情況挑選出其中的兩種進行混合，即所謂的雙因素認證。2024/12/485.1.2基于信息秘密的身份認證基于信息秘密的身份認證是根據(jù)雙方共同所知道的秘密信息來證明用戶的身份（whatyouknow），并通過對秘密信息進行鑒別來驗證身份。例如，基于口令、密鑰、IP地址、MAC地址等身份因素的身份認證。主要包括:1.網(wǎng)絡身份證網(wǎng)絡身份證即虛擬身份電子標識VIEID（Virtualidentityelectronicidentification）技術。就是在網(wǎng)絡上可以證明一個人身份及存在的虛擬證件。VIEID是網(wǎng)絡身份證的工具或服務協(xié)議，也是未來互聯(lián)網(wǎng)絡基礎設施的基本構(gòu)成之一。2024/12/495.1.2基于信息秘密的身份認證（1）將用戶現(xiàn)實中的身份資料包括文字資料、語音、指紋等信息采集到權(quán)威服務機構(gòu)，然后生成一個賬戶。賬戶內(nèi)包含VIEID的賬戶ID.公鑰和私鑰等信息；（2）當用戶在相應客戶端識別系統(tǒng)中輸入VIEID的賬戶ID和公鑰，識別系統(tǒng)會在VIEID庫中搜索公鑰解密還原出該VIEID持有人的資料從而識別其身份或某種資格。另外，網(wǎng)絡身份證應具有公開性（IP）、一致性（統(tǒng)一性）和保密性、區(qū)域性等特點。2024/12/4105.1.2基于信息秘密的身份認證2.靜態(tài)口令這是現(xiàn)在普遍采用的一種方法,用戶的密碼是由用戶自己設定的。在網(wǎng)絡登錄時輸入正確的密碼,計算機就認為操作者就是合法用戶。實際上,由于許多用戶為了防止忘記密碼,經(jīng)常采用諸如生日、電話號碼等容易被猜測的字符串作為密碼,或者把密碼抄在紙上放在一個自認為安全的地方,這樣很容易造成密碼泄漏。如果密碼是靜態(tài)的數(shù)據(jù),在驗證過程中需要在計算機內(nèi)存中和傳輸過程可能會被木馬程序或網(wǎng)絡中截獲。因此,靜態(tài)密碼機制無論是使用還是部署都非常簡單,但從安全性上講,用戶名/密碼的方式是一種不安全的身份認證方式。它利用whatyouknow方法。2024/12/4115.1.2基于信息秘密的身份認證3.一次性口令一次性口令認證也稱為動態(tài)口令認證,是目前應用最廣的一種身份識別方式?；趧討B(tài)口令認證的方式主要有動態(tài)短信密碼和動態(tài)口令牌（卡）兩種方式,口令一次一密。前者是將系統(tǒng)發(fā)給用戶注冊手機的動態(tài)短信密碼進行身份認證；后者則以發(fā)給（機構(gòu)）用戶動態(tài)口令牌進行認證,如圖所示。很多世界500強企業(yè)都運用其來保護系統(tǒng)登入的安全,被廣泛應用在VPN、網(wǎng)上銀行和電子商務等領域。2024/12/4125.1.2基于信息秘密的身份認證動態(tài)口令認證的主要優(yōu)點:無須像保護靜態(tài)口令那樣定期修改口令，方便管理；一次一口令，有效防止黑客一次性口令竊取就獲得永久訪問權(quán)；由于口令使用后即被廢棄，可以有效防止身份認證中的重放攻擊。動態(tài)口令認證的主要缺點:客戶端和服務器的時間或事件若不能保持良好的同步，可能發(fā)生合法用戶無法登錄的問題；口令是一長串較長的數(shù)字組合，一旦輸錯就得重新操作。2024/12/4135.1.3基于信任物體的身份認證基于信任物體的身份認證是根據(jù)雙你所擁有的東西來證明用戶的身份（whatyouhave）。例如，通過信用卡、智能卡、USBKey等方式進行身份認證。主要包括:1.智能卡（IC卡）智能卡一種內(nèi)置集成電路的芯片，芯片中存有與用戶身份相關的數(shù)據(jù)，智能卡由專門的廠商通過專門的設備生產(chǎn)，是不可復制的硬件。智能卡由合法用戶隨身攜帶，登錄時必須將智能卡插入專用的讀卡器讀取其中的信息，以驗證用戶的身份。?智能卡認證是通過智能卡硬件不可復制來保證用戶身份不會被仿冒。然而由于每次從智能卡中讀取的數(shù)據(jù)是靜態(tài)的，通過內(nèi)存掃描或網(wǎng)絡監(jiān)聽等技術還是很容易截取到用戶的身份驗證信息，因此還是存在安全隱患。它利用what?you?have方法。2024/12/4145.1.3基于信任物體的身份認證智能卡自身就是功能齊備的計算機,它有自己的內(nèi)存和微處理器,該微處理器具備讀取和寫入能力,允許對智能卡上的數(shù)據(jù)進行訪問和更改。智能卡被包含在一個信用卡大小或者更小的物體里（比如手機中的SIM就是一種智能卡）。智能卡技術能夠提供安全的驗證機制來保護持卡人的信息,并且智能卡的復制很難。從安全的角度來看,智能卡提供了在卡片里存儲身份認證信息的能力,該信息能夠被智能卡讀卡器所讀取。智能卡讀卡器能夠連到PC上來驗證VPN連接或驗證訪問另一個網(wǎng)絡系統(tǒng)的用戶。?這個驗證方式的成本比較高,現(xiàn)在有的國內(nèi)銀行的網(wǎng)上銀行采用這個驗證辦法。2024/12/4155.1.3基于信任物體的身份認證2.短信密碼短信密碼以手機短信形式請求包含6位隨機數(shù)的動態(tài)密碼,身份認證系統(tǒng)以短信形式發(fā)送隨機的6位密碼到客戶的手機上?？蛻粼诘卿浕蛘呓灰渍J證時候輸入此動態(tài)密碼,從而確保系統(tǒng)身份認證的安全性。如圖所示。2024/12/4165.1.3基于信任物體的身份認證具體優(yōu)點表現(xiàn)如下:（1）安全性（2）普及性（3）易收費（4）易維護由于短信網(wǎng)關技術非常成熟，大大降低短信密碼系統(tǒng)上馬的復雜度和風險，短信密碼業(yè)務后期客服成本低，穩(wěn)定的系統(tǒng)在提升安全同時也營造良好的口碑效應，這也是銀行也大量采納這項技術很重要的原因。2024/12/4175.1.3基于信任物體的身份認證3.USBKey認證USBKey（U盾）認證方式是近幾年才得到廣泛應用的。它主要采用軟硬件相結(jié)合、一次一密的強雙因素（兩種認證方法）進行認證，很好地解決了安全性與易用性之間的矛盾。以一種USB接口的硬件設備，內(nèi)置單片機或者智能芯片卡，可存儲用戶的秘鑰或數(shù)字證書，利用其內(nèi)置的密碼算法實現(xiàn)對用戶身份的認證。其身份認證系統(tǒng)主要有兩種認證模式:基于沖擊/響應模式和基于PKI體系的認證模式。常見的網(wǎng)銀USBKey如圖所示。2024/12/4185.1.4基于生物特征的身份認證認證系統(tǒng)測量的生物特征是指唯一的可以測量或可自動識別和驗證的生理特征或行為方式。使用傳感器或者掃描儀來讀取生物的特征信息，將讀取的信息和用戶在數(shù)據(jù)庫中的特征信息比對，如果一致則通過認證。?生物特征分為身體特征和行為特征兩類。目前我們接觸最多的是指紋識別技術，應用的領域有門禁系統(tǒng)、微型支付等。我們?nèi)粘Ｊ褂玫牟糠质謾C和筆記本電腦已具有指紋識別功能，在使用這些設備前，無需輸入密碼，只要將手指在掃描器上輕輕一按就能進入設備的操作界面，非常方便，而且別人很難復制。例如，通過指紋、聲紋、視網(wǎng)膜、虹膜等方式進行身份認證。主要包括:2024/12/4195.1.4基于生物特征的身份認證1.指紋識別技術指紋識別技術是最傳統(tǒng)、最成熟的生物鑒定方式。它就是通過分析指紋的全局特征和指紋的局部特征來確定身份，從指紋中抽取的特征值應盡可能地詳盡，足以可靠地通過指紋來確認一個人的身份。主要優(yōu)勢如下:（1）穩(wěn)定性:從胎兒6個月時指紋完全形成到人死亡后，指紋的紋線類型、結(jié)構(gòu)等始終不會有明顯變化；（2）獨特性:至今未找到兩個指紋完全相同的人。根據(jù)指紋學理論，兩枚指紋完全匹配上12個特征的幾率為10-50；（3）便利性:提取指紋作為永久記錄存檔比較簡單易行。2024/12/4205.1.4基于生物特征的身份認證2.聲紋識別技術聲紋識別技術是指根據(jù)語音波形中反映說話人生理和行為特征的語音參數(shù)，自動識別說話人身份。每個人說話的聲音都會有自己的特點，人對語音的識別能力是特別強的。在商業(yè)和軍事等安全性要求較高的系統(tǒng)中，常?？咳说穆暭y來實現(xiàn)個人身份的驗證。聲紋識別與傳統(tǒng)語音識別的區(qū)別:（1）聲紋識別利用語音信號中的說話人信息，而無須考慮語音中的字詞意思，它強調(diào)的是說話人的個性。（2）語音識別的目的是識別出語音信號中的言語內(nèi)容，并不考慮說話人是誰，它強調(diào)共性。2024/12/4215.1.4基于生物特征的身份認證3.視網(wǎng)膜識別技術人的視網(wǎng)膜血管的圖樣具有良好的個人特征,基于視網(wǎng)膜開發(fā)的識別系統(tǒng)在身份驗證上有著獨特的優(yōu)勢。視網(wǎng)膜識別的基本方法是用光學和電子儀器將視網(wǎng)膜血管圖樣記錄下來,一個視網(wǎng)膜血管的圖樣可壓縮為小于35字節(jié)的數(shù)字信息,可根據(jù)對圖樣的節(jié)點和分支的檢測結(jié)果進行分類識別。視網(wǎng)膜識別的驗證效果相當好,但成本較高,運行的難度大（要求被識別人的合作并允許進行視網(wǎng)膜特征的采樣）,因此,只在軍事或銀行系統(tǒng)中被采用。2024/12/4225.1.4基于生物特征的身份認證4.虹膜圖樣識別技術從理論上講，虹膜認證是基于生物特征的認證中最好的一種認證方式。虹膜（眼睛中的彩色部分）是眼球中包圍瞳孔的部分，上面布滿極其復雜的鋸齒網(wǎng)絡狀花紋，而每個人虹膜的花紋都是不同的。虹膜識別技術就是應用計算機對虹膜花紋特征進行量化數(shù)據(jù)分析，用以確認被識別者的真實身份。虹膜識別可以在35-40厘米的距離采樣，比采集視網(wǎng)膜圖樣要方便，易為人所接受?；诤缒さ淖R別系統(tǒng)可用于安全入口、接入控制、信用卡、POS、ATM等應用系統(tǒng)中，有效進行身份識別。一個虹膜識別系統(tǒng)一般由4部分組成:虹膜圖像的采集、預處理、特征提取及模式匹配，如圖所示。2024/12/4235.1.4基于生物特征的身份認證2024/12/4245.1.4基于生物特征的身份認證5.臉型識別技術臉型識別技術是分析比較人臉視覺特征信息進行身份鑒別的技術。傳統(tǒng)的臉部識別方法有兩種:（1）基于面部結(jié)構(gòu)幾何特征的臉像識別:這是最直觀、最傳統(tǒng)的方法，對人臉的描述非常緊湊，但存在特征提取困難、容易受頭部姿勢變化影響等缺點。（2）基于模板匹配的方法:特征提取簡單、準確度較高，但也容易受到光照和姿勢的影響。2024/12/4255.2安全的身份認證5.2.1身份認證的安全性相信不少人會知道這樣一幅漫畫：一條狗在計算機面前一邊打字，一邊對另一條狗說“在互聯(lián)網(wǎng)上，沒有人知道你是一個人還是一條狗！”這個漫畫說明了在互聯(lián)網(wǎng)上很難進行身份識別。身份認證是指計算機及網(wǎng)絡系統(tǒng)確認操作者身份的過程。計算機和計算機網(wǎng)絡組成了一個虛擬的數(shù)字世界。在數(shù)字世界中，一切信息包括用戶的身份信息都是由一組特定的數(shù)據(jù)表示，計算機只能識別用戶的數(shù)字身份，給用戶的授權(quán)也是針對用戶數(shù)字身份進行的。而我們生活的現(xiàn)實世界是一個真實的物理世界，每個人都擁有獨一無二的物理身份。2024/12/4265.2安全的身份認證如何保證以數(shù)字身份進行操作的訪問者就是這個數(shù)字身份的合法擁有者,即如何保證操作者的物理身份與數(shù)字身份相對應,就成為一個重要的安全問題。身份認證技術的誕生就是為了解決這個問題。如果沒有有效的身份認證手段,訪問者的身份就很容易被偽造,使得未經(jīng)授權(quán)的人仿冒有權(quán)限人的身份,這樣,任何安全防范體系就都形同虛設,所有安全投入就被無情地浪費了。因此,進行合理的身份認證對于加強網(wǎng)絡安全的建設是顯得十分必要的。2024/12/4275.2安全的身份認證5.2.2口令認證的安全方案口令是最簡單也最常用的一種接入控制與身份認證手段。所謂簡單口令就是日常生活中經(jīng)常使用的口令,普通老百姓常稱之為“密碼”,在分布式環(huán)境與移動應用領域更被廣泛使用,到目前很多系統(tǒng)的認證技術都基于簡單口令。系統(tǒng)提前保存用戶的身份信息與口令字。當被認證對象提出訪問服務的系統(tǒng)時,給出服務的認證方需被認證對象提交口令信息,認證方收到口令后,比較它和系統(tǒng)里存儲的用戶口令,來辨認被認證對象是不是合法訪問者。這種認證方式叫做簡單口令協(xié)議（PAP）認證。2024/12/4285.2安全的身份認證PAP協(xié)議只操作于連接建立階段,數(shù)據(jù)傳輸過程中不實施PAP認證。這種認證方法的好處是簡單有效、實用便捷、費用低廉、使用靈活,因此,一般系統(tǒng)加UNIX、WindowsNT、NetWare等都可支持口令認證,對封閉的小型系統(tǒng)而言也算是一種簡單行得通的方法。

【案例5-1】Office365動態(tài)口令密碼認證安全方案2024/12/4295.2.2口令認證的安全方案1.面臨挑戰(zhàn)Office365是微軟公司基于云平臺的應用套件，提供了完整的云辦公服務，將Office桌面端應用的優(yōu)勢融于一體，滿足不同類型企業(yè)的在線辦公需求。（1）安全挑戰(zhàn):弱口令一直是企業(yè)數(shù)據(jù)泄露的一個大癥結(jié)。僅采用一種方式（用戶名密碼）進行Office365的登錄鑒別，若靜態(tài)密碼被暴力破解或泄露，會導致合法用戶身份被冒用。冒用者能夠隨意復制、刪除、破壞Office365賬號中包含的敏感信息，可能給企業(yè)造成不可估量的經(jīng)濟損失。2024/12/4305.2.2口令認證的安全方案（2）管理挑戰(zhàn):為防止Office365賬號信息泄露，控制安全風險，企業(yè)通常會強制要求員工定期更換不同的登錄密碼，這給員工及IT運維人員帶來了許多不必要的麻煩，大大增加了賬號的管理成本。為應對以上挑戰(zhàn)，企業(yè)需要在Office365登錄環(huán)節(jié)實現(xiàn)雙因素認證，雙重保障賬號安全，防止密碼共享、密碼泄露，一旦發(fā)生網(wǎng)絡安全事件，也可追責到個人，可以有效控制信息安全威脅及賬號管理成本問題。2024/12/4315.2.2口令認證的安全方案2.解決方案（1）寧盾Office365雙因素認證方案概述靜態(tài)密碼只能對Office365用戶身份的真實性進行低級認證。寧盾雙因素認證（如圖所示）在Office365原有靜態(tài)密碼認證基礎上增加第二重保護,通過提供手機令牌、短信令牌、硬件令牌等三種動態(tài)密碼形式,實現(xiàn)雙因素認證,提升賬號安全,加強用戶登錄認證審計。2024/12/4325.2.2口令認證的安全方案2024/12/4335.2.2口令認證的安全方案寧盾雙因素認證服務器負責動態(tài)密碼生成及驗證,可同時無縫支持AD/LDAP/ACS等帳號源,接管Office365帳號的靜態(tài)密碼認證工作。通過在Office365配置第三方RADIUS認證,指向?qū)幎茈p因素認證服務器（內(nèi)置RADIUSSERVER）。打開Office365進行用戶名+靜態(tài)密碼認證,認證通過之后獲取動態(tài)密碼（令牌產(chǎn)生/短信接收方式）,從而進行動態(tài)密碼驗證,通過之后方可放行。2024/12/4345.2.2口令認證的安全方案（2）寧盾動態(tài)密碼形式短信令牌基于短信發(fā)送動態(tài)密碼的形式。在用戶完成Office365賬號密碼認證之后,寧盾雙因素認證服務器會隨機生成一個一次性密碼并通過短信網(wǎng)關發(fā)送到綁定的用戶手機上,用戶輸入該短信密碼并提交驗證通過后才能完成登錄認證。密碼是一次性使用的,他人即使盜用了,也無法再次使用,從而能保證賬號和信息的安全。2024/12/4355.2.2口令認證的安全方案手機令牌基于時間的動態(tài)密碼,由手機AP生成。基于時間同步技術,寧盾令牌APP每60秒隨機生成一個獨一無二的動態(tài)驗證碼（如圖所示）,寧盾認證服務器能夠驗證這個變化的密碼是否有效。2024/12/4365.2.2口令認證的安全方案硬件令牌基于時間的動態(tài)密碼,由硬件生成。硬件令牌（如圖所示）每60秒產(chǎn)生一個6位隨機密碼,使用壽命3年。需要IT運維人員為每個Office365用戶分發(fā)一枚寧盾硬件令牌,用戶登錄時輸入靜態(tài)密碼+硬件令牌上顯示的動態(tài)密碼,驗證通過即可完成登錄。2024/12/4375.2.2口令認證的安全方案3.方案價值（1）賬號雙重保護：寧盾雙因素認證在Office365原有賬號密碼認證基礎之上增加一層動態(tài)密碼認證，以此提升Office365用戶登錄認證安全，解決了弱身份鑒別可能引發(fā)的信息泄漏隱患；（2）多種認證方式：短信令牌、手機令牌、硬件令牌，三種動態(tài)密碼形式各有優(yōu)勢，客戶可以根據(jù)需求自由選擇，也可以多種形式進行組合；（3）與現(xiàn)有系統(tǒng)無縫集成：內(nèi)置Radius認證模塊，可與AD.LDAP等標準賬號源結(jié)合，同時也支持與其他企業(yè)本地應用、私有云應用以及SAAS等的對接，提供Office365的雙因素認證服務；2024/12/4385.2.2口令認證的安全方案3.方案價值（4）實名追溯:詳盡的登錄日志，發(fā)生安全事件時可定位到具體個人，做到用戶認證可審計，滿足了不同用戶的安保需求；（5）簡化管理:減少Office365靜態(tài)密碼定期強制更改，給用戶及IT運維人員帶來的麻煩，同時進一步節(jié)約了Office3655賬號管理成本問題；（6）體驗優(yōu)化:通過簡化移動安全接入，優(yōu)化用戶體驗，在為用戶登錄Office365提供安全認證的同時，提升了使用的便捷性，助力移動化轉(zhuǎn)型。2024/12/4395.2.3基于X.509的數(shù)字證書的認證1.數(shù)字證書簡介數(shù)字證書是一個經(jīng)證書授權(quán)中心數(shù)字簽名的包含公開密鑰擁有者信息以及公開密鑰的文件。最簡單的證書包含一個公開密鑰、名稱以及證書授權(quán)中心的數(shù)字簽名。數(shù)字證書還有一個重要的特征就是只在特定的時間段內(nèi)有效。數(shù)字證書是一種權(quán)威性的電子文檔,可以由權(quán)威公正的第三方機構(gòu),即CA（例如中國各地方的CA公司）中心簽發(fā)的證書,也可以由企業(yè)級CA系統(tǒng)進行簽發(fā)。目前主要用于發(fā)送安全電子郵件、訪問安全站點、網(wǎng)上證券交易、網(wǎng)上招標采購、網(wǎng)上辦公、網(wǎng)上保險、網(wǎng)上稅務、網(wǎng)上簽約和網(wǎng)上銀行等安全電子事務處理和安全電子交易活動中。2024/12/4405.2.3基于X.509的數(shù)字證書的認證2.CA認證CA（CertificationAuthority）是國際認證機構(gòu)的通稱,是對數(shù)字證書的申請用戶進行發(fā)放、管理、檢驗或取消的機構(gòu)。主要用于審查證書持有者身份的合法性,并簽發(fā)管理證書,以防止證書被偽造或篡改。隨著電子商務、網(wǎng)上銀行和網(wǎng)上辦公等的廣泛應用,在線支付手段的不斷完善,網(wǎng)絡交易已變得更為普及,安全問題就顯得非常重要。網(wǎng)絡間的身份認證成為網(wǎng)絡安全的關鍵所在。認證機構(gòu)如同一個有權(quán)威可信的中間人,可核實交易各方的身份,負責電子證書的發(fā)放和管理。每個機構(gòu)或個人上網(wǎng)用戶都要有各自的網(wǎng)絡身份證作為唯一識別。2024/12/4415.2.3基于X.509的數(shù)字證書的認證CA作為網(wǎng)絡安全可信認證及證書管理機構(gòu)，其主要職能就是管理和維護所簽發(fā)的證書，并提供各種證書服務，包括證書的簽發(fā)、更新、回收和歸檔等。CA系統(tǒng)的主要功能是管理其轄域內(nèi)的用戶證書，因此，CA系統(tǒng)功能及CA證書的應用將圍繞證書進行具體管理。CA的主要職能體現(xiàn)在以下3個方面:管理和維護客戶的證書和證書作廢表（CRL）；維護整個認證過程的安全；提供安全審計的依據(jù)。2024/12/4425.2.3基于X.509的數(shù)字證書的認證3.X.509證書X.509是由國際電信聯(lián)盟（ITU-T）制定的數(shù)字證書標準。該證書主要由用戶共同密鑰和用戶標識符組成,此外還包括版本號、證書序列號、CA標識符、簽名算法標識、簽發(fā)者名稱、證書有效期等信息。目前,采用X.509數(shù)字證書的安全應用系統(tǒng)已被廣泛應用于開發(fā)事務處理、工作流等業(yè)務。在WWW系統(tǒng)中,采用Borwser/Server模式工作。2024/12/4435.2.3基于X.509的數(shù)字證書的認證具體內(nèi)容如下:（1）序列號發(fā)放證書的實體有責任為證書指定序列號，以