認證(鑒權)就是指用戶必須提供他是誰的證明, 他是某個雇員, 某個組織的代理、某個軟件過程(如股票交易系統或Web訂貨系統的軟件過程)。認證的標準方法就是弄清楚他是誰，他具有什么特征, 他知道什么可用于識別他的東西。比如說, 系統中存儲了他的指紋, 他接入網絡時, 就必須在連接到網絡的電子指紋機上提供他的指紋(這就防止他以假的指紋或其它電子信息欺騙系統), 只有指紋相符才允許他訪問系統。更普通的是通過視網膜血管分布圖來識別, 原理與指紋識別相同, 聲波紋識別也是商業系統采用的一種識別方式。網絡通過用戶擁有什么東西來識別的方法, 一般是用智能卡或其它特殊形式的標志, 這類標志可以從連接到計算機上的讀出器讀出來。至于說到“他知道什么”, 最普通的就是口令, 口令具有共享秘密的屬性。例如, 要使服務器操作系統識別要入網的用戶, 那么用戶必須把他的用戶名和口令送服務器。服務器就將它仍與數據庫里的用戶名和口令進行比較, 如果相符, 就通過了認證, 可以上網訪問。這個口令就由服務器和用戶共享。更保密的認證可以是幾種方法組合而成。例如用ATM卡和PIN卡。在安全方面最薄弱的一環是規程分析儀的竊聽, 如果口令以明碼(未加密)傳輸, 接入到網上的規程分析儀就會在用戶輸入帳戶和口令時將它記錄下來, 任何人只要獲得這些信息就可以上網工作。
兩種加密方法

如果口令在不安全的信道內傳輸, 必須要對口令進行加密, 加密方法有兩種: 公共密鑰加密和專用密鑰加密。專用密鑰加密具有對稱性, 即加密密鑰也可以用作解密。最有名的專用密鑰加密系統就是數據加密標準(DES), 這個標準現在由美國國家安全局和國家標準與技術局來管理。另一個系統是國際數據加密算法(IDEA), 它比DES的加密性好, 而且需要的計算機功能也不么強。IDEA加密標準由PGP(Pretty Good Privacy)系統使用。公共密鑰加密使用兩個不同的密鑰, 因此是一種不對稱的加密系統。它的一個密鑰是公開的, 而系統的基本功能也是有公共密鑰的人可以訪問的, 公共密鑰可以保存在系統目錄內或保存在未加密的電子郵件信息中。它的另一個密鑰是專用的, 它用來加密信息但公共密鑰可以解密該信息, 它也可以對公共密鑰加密的信息解密。在提供同等安全性的前提下, 專用密鑰加密的系統速度比較快。
由于專用密鑰由雙方共享, 所以沒有辦法確定哪一方始發信息, 這就為合法的爭議留下了缺口。專用密鑰和公共密鑰的鑒權過程是相同的, 主要問題是密鑰分配。怎樣使密鑰保存在手邊或記在腦子里(人、計算機、軟件模塊都會有密鑰, 我們將他們稱為密鑰持有者), 在使用時不被竊聽者截獲? 用得最多的專用密鑰認證系統就是Kerberos, 它需要有一個保密性好的服務器來保存與所有密鑰持有者通信的主密鑰, 密鑰持有者想要進行認證或解密, 與其它密鑰持有者的會話, 就要發布與他們秘密通信的密鑰, Kerberos只是部分實現了OSF的分布式計算環境(DCE)規范。Kerberos也是Windows NT 5.0安全系統的一部分, 基于Kerberos的系統尚未被廣泛采用。公共密鑰加密沒有密鑰分配問題, 它可以放在目錄內, 電話黃頁(商業電話)上或公告牌里。公共密鑰存在的問題是能否信任使用密鑰的密鑰持有者, 因為任何人都可獲得公共密鑰。目前使用的第三個版本的ITU的X. 509標準定義了兼容 的數字證書模塊, 其主要模塊是密鑰持有者的名稱、密鑰持有者的公共密鑰信息和證書管理(CA)的數字簽名(數字簽名保證證書不被修改, 也不可姳環袢?)。X. 509 V3數字證書還包括證書發行人的名字, 發行人的唯一識別碼, 密鑰持有者的唯一識別碼和證書的序列號及有效期和證書的版本號和簽字算法等。使用Novell目錄服務、Lotus Notes和PGP的用戶使用數字證書, 但它們不使用X. 509標準。
實現公共密鑰基礎結構的障礙
證書管理是一個十分陳舊而且不直觀的機制, 它不僅發布數字證書, 它還要建立維護證書取消清單(CRL)。如果你的專用密鑰丟失或被偷了, 或者你被解雇了, 或者你找到了新的工作不需要訪問現在的東西, 那么必須有一種方法使你原來有效的證書失效。因此需要一個驗證數字證書有效性的過程, 它檢查證書管理者的公共密鑰對證書是否有效, 驗證證書是否被修改, 驗證證書是否過期, 檢驗證書是否被取消。信息安全方面的人士很關心CRL的可伸縮性, 如果有效期過長, CRL就不斷加長, 就需要更多的計算機資源來搜索它, 如果證書更新太快, 又給管理帶來麻煩。
證書管理的另一個問題是如何相互作用。例如公司X對證書管理,這經與公司Y相互證明, 公司Y也對證書管理。但是我是否愿意信任某個想與我在Internet上做生意的證書管理(CA)呢? 或者說, 信任是否可以傳遞: 如果CAY信任CAZ, 而且CAX信任CAY, 那么CAX是否能自動信任CAZ呢? 如果這樣做是合理的, 那么我是否可以在與我信任的CA和我不知道的CA之間找到一個閉合的鏈路呢? 如果能得到這樣一個信任鏈, 那么它們的擴展是否可以接受呢, 或者說將花掉過多的計算費用、引起時延? X. 509標準提供一個所謂的反向證書, 它包括其它CA經過認證的密鑰, 這種能力提供了靈活的交叉認證, 但它不能解決識別和實現信任鏈的體系結構問題。
證書和密鑰管理

證書有一定的生存期, 從發布、分布到取消, 它可以到其期, 再更新。當然, 任何CA的數據庫都必須進行有效地備份, 并為任何的不測作好準備。應該為CA制定政策(如果可能的話還應該公布), 它要指明證書的有效期, 與密鑰持有人的密鑰對連接的證據, 以及防范正在雇用但不被信任的雇員應采取的步驟。CA系統應具備最起碼的性能, 還有很高的保密性。在一個可以互操作的公共密鑰體系結構中, 折衷的密鑰可能可破許多信任鏈并使特殊CA用戶的安全性消失。對專用密鑰的訪問就好象是用口令保護一樣, 處理被忘掉的口令的方法也值得認真考慮, 除了密鑰持有人外, 其它人員是不能使用專用密鑰進行訪問的。用于加密的密鑰也需要作備份, 否則密鑰丟失或改變, 用此密鑰加密的數據也會丟失(但是數字簽名的密鑰卻不能被工具所備份, 因為如果有人丟失了用于數字簽名的專用密鑰, 還可以產生一個新的專用密鑰使它與原來的公共密鑰一起工作。)將密鑰交與第三方保存是與密鑰備份不同的另一個問題。一般來說, 有一個或多個第三方保存密鑰的工具或部分密鑰工具, 所有第三方鑰密持有人一起才能生成一個完整的工具。另一個較好的方法是周期更新密鑰, 就象當初生成公共/專用密鑰對一樣, 更新密鑰也要花費CPU的周期, 比較好的主意是錯開更新的日期。