第八章 网络安全技术与应用


             硬件相结合、一次一密的强双因素认证模式，能够解决安全性与易用性之间的矛
             盾。它以一种USB接口的硬件设备，内置单片机或智能卡芯片，可存储用户的密

             钥或数字证书，利用其内置的密码算法实现对用户身份的认证。其身份认证系统
             主要有两种认证模式：基于冲击/响应模式和基于PKI体系的认证模式。
                 4.生物识别技术
                 生物识别技术是指通过可测量的生物信息和行为等特征进行身份认证的一种

             技术。该技术是利用人体唯一的、可靠的及稳定的生物特征，采用计算机技术和
             网络技术进行图像处理和模式识别，具有较强的安全性和可靠性。生物特征分为
             身体特征和行为特征两类。身体特征包括：指纹、掌形、虹膜、视网膜、人脸、
             DNA和手的血管等；行为特征包括：签名、语音、行走步态、击键特征和情境

             感知等。

                 二、认证系统与数字签名

                 （一）身份认证系统
                 身份认证系统的构成一般包括三部分：认证服务器、认证系统客户端和认证
             设备系统主要通过身份认证协议和认证系统软硬件进行实现。其中，身份认证协
             议又分为单向认证协议和双向认证协议。若通信双方只需一方鉴别另一方的身

             份，则称单向认证协议；如果双方都需要验证身份，则称双向认证协议。
                 ①单向认证。双方在网上通信时，甲只需要认证乙的身份。这时甲需要获取
             乙的证书，获取的方式有两种，一种是在通信时乙直接将证书传送给甲，另一种
             是甲向CA的目录服务器查询索取。甲获得乙的证书后，先用CA的根证书公钥验

             证该证书的签名，验证通过说明该证书是第三方CA签发的有效证书，然后检查
             证书的有效期及时效性（纵向冗余校验，LRC）及黑名单。
                 ②双向认证。双方在网上通信时，双方互相认定身份。其认证过程的各方都
             与上述单向认证过程相同。双方采用LDAP（Light Directory Access Protocol）在

             网上查询对方证书的有效性及黑名单。
                 （二）身份认证常用机制
                 在网络系统中，身份认证机制定义了参与认证的通信方在身份认证过程中所
             需要交换的消息的格式、消息发生的次序以及消息的语义，为网络中的各种资源

             提供安全保护。认证机制与授权机制经常结合在一起，通过认证的用户才可获得
             使用权限。常用的认证机制有固定口令方式、一次性口令方式、双因素安全令牌


                                                                                    269