ESA2000 身份认证系统技术特点

1.基于PKI技术实现用户身份认证，同时支持客户-服务器间的双向身份认证

    基于公钥密码系统的数据传送流程是：当客户方要向服务器方传送数据时，首先客户方用自己不公开的私钥来 签名欲传送给服务器方的数据，再用服务器方所公开出来的公钥来进行加密，最后传送给服务器方。当服务器方收到此加密数据便用自己的私钥解开数据，因为只有 服务器方拥有其私钥，所以只有服务器方能解密，接下来服务器方取得客户方的公钥来验证解密后的消息的完整性和合法性。

身份鉴别过程如下：

1、服务器端产生随机数送客户端；

2、客户端提示输入用户名、口令；

3、对用户名、口令、随机数用私钥作数字签名；

4、将用户名、数字签名结果连同签名用数字证书用PKCS#7格式一起发送到服务器端；

5、服务器端验证书的合法性，合法则转下一步；

6、服务器端用接收到的用户名、检索到的口令与先前产生的随机数一起作为明文验证签名。如通过，则为合法用户，否则为不合法用户或用户信息被假冒、篡改。

2.数据完整性

    采用数字签名的技术，防止信息在传输过程中被篡改。

3.数据新鲜性

    采用随机数方式，防止攻击者截获用户数据，并使用数据重放攻击服务器。认证信息的新鲜性是防止重放攻击的最好方法。

4.防抵赖功能

    采用数字签名的技术，防止发送者抵赖其发送过信息。

5.采用数字证书标识用户身份

    采用以数字证书为基础的公钥密码系统(Certificate-based public key cryptosystem)，通过可信的第三方(Trusted Third Party；TTP)来保证证书和公钥的有效性。