认证(Authentication )又称鉴别、确认,是一个证实某事是否名副其实的过程。
认证和加密的区别在于,加密用于确保数据的机密性,阻止对方的被动攻击,如拦截、窃听等;认证确保消息的发送者和接收者的真实性和消息的完整性,对方的主动攻击,如冒充、篡改、重播等认证是许多APP应用系统中安全保护的第一个防御措施,因此非常重要。
认证的基本思想是通过验证被叫方(人或事)的一个或多个参数的真实性和有效性来验证被叫方是否真实正确的目的。 因此,要求验证的参数和要被认证的对象之间存在严格的对应关系,理想的情况下该对应关系应该是唯一的。
认证系统常用的参数有密码、标识符、私钥、信件、智能卡、指纹、视网膜等。 使用长期保持不变的参数(非时变参数是在秘密条件下预先生成并存储的比特模式进行认证,对于频繁变化的参数适时生成比特模式,并对其进行认证。
一般来说,人的生理特征参数认证安全性较高,但技术要求也较高,至今尚未普及。 现在广泛使用的是基于密码的认证技术。
认证和数字签名技术都是确保数据真实性的措施,但两者有明显区别。
认证总是基于某种收发双方共享的秘密数据来认证被认证对象的真实性,但在数字签名中公开了用于验证签名的数据。
认证允许收发双方相互验证其真实性,不允许第三方验证,但数字签名允许收发双方和第三方验证。
数字签名无可抵赖的是,发送方具有接收方不能伪造和在公证人面前解决纠纷的能力,但不一定具备认证。
如果收发双方都诚实的话,认证就足够了。 利用认证技术,收发双方可以验证对方的真实性和消息的真实性、完整性。 但是,因为他们双方共享秘密认证数据,所以如果接收者不诚实,他就可以伪造发送者的消息,发送者不能讨论,同样发送者也可以否认发送的消息,接收方也不能讨论。 因为接收方可以伪造,发送方可以否认,所以第三方不能仲裁。