計算機等考三級網絡技術輔導：認證技術

認證技術;消息認證、數字簽名、身份認證。

1、消息認證(驗證消息是否來自發送方並未經修改)

(1)消息認證的概念：

接收者能夠檢驗收到的消息是否真實的方法，又稱消息完整性校驗。

認證的內容包括：消息的信源信宿、內容是否篡改，消息的序號和時間是否正確等。

認證只在通信雙方之間進行，不允許第三者進行上述認證。

(2)消息認證的方法：

消息來源認證：A、通信雙方事先約定發送消息的數據加密密鑰，接收者只要證實發送來的消息是否能用該密鑰還原成明文就能鑑定發送者。B、事先約定各自發送消息所使用的通行字，發送者消息中含有加密的通行字，接收者驗證是否含有通行字即可，通行字是可變的。

認證信息的完整性：基本途徑有兩條：採用消息認證碼和採用篡改檢測碼。

認證消息的序號和時間：目的是阻止消息的重放攻擊，常用的方法是流水作業號、隨機數認證法和時間戳等。

(3)消息認證模式

單向認證：單向通信，接收者驗證發送者的身份和消息的完整性

雙向認證：雙向通信，接收者驗證發送者的身份和消息的完整性，同時發送者確認接收者是真實的。

(4)認證函數:分為3類：

信息加密函數MEF：用完整信息的密文作為對信息的認證。

信息認證碼MAC：是對信源消息的一個編碼函數。消息認證碼的安全性取決於兩點：採用的加密算法;待加密數據塊的生成方法。

散列函數HASH Function：將任意長的信息映射成一個固定長度的信息。

2、數字簽名(通信雙方真實性檢驗)

(1)數字簽名的需求：消息認證來保護通信雙方免受第三方的攻擊，但無法防止通信雙方的相互攻擊。解決方案是是數字簽名，是筆跡簽名的模擬。具有如下性質：

能證實作者簽名和簽名的日期和時間、簽名時必須能對內容進行鑑別、必須能被第三方證實以解決爭端。

基於公鑰密碼體制、私鑰密碼體制、公證系統都可以獲得數字簽名。常用的公鑰數字簽名算法包括：RSA算法和數字簽名標準算法(DSS)。

(2)數字簽名的創建

數字簽名是一個加密的消息摘要，附加在消息後面。步驟是：甲創建公鑰/私鑰對;將公鑰發送給乙;消息作為單項散列函數輸入，散列函數的輸出為消息摘要;甲用私鑰加密消息摘要，得到數字簽名。

數字簽名的驗證：發送的數據是消息與數字簽名的組合。乙將計算出來的'消息摘要與甲解密後的消息相匹配，則證明消息的完整性並驗證了消息的發送者是甲。

3、身份認證(用户身份是否合法)

又稱身份識別。是通信和數據系統中正確識別通信用户或終端身份的重要途徑。

常用的方法有：口令認證、持證認證和生物識別。

口令認證：口令由數字、字母組成的字符串，有時也有特殊字符、控制字符等。

持證認證：一種個人持有物，類似鑰匙。

生物識別：依據人類自身所固有的生理或行為特徵，包括指紋識別、掌紋識別等

常用的身份認證協議有：

一次一密制：每次根據信息產生口令。

X.509認證協議：利用公鑰密碼技術對X.500(對分佈式網絡中存儲用户信息的數據庫所提供的目錄檢索服務的協議標準)的服務所提供的認證服務的協議標準。

Kerberos認證協議：基於對稱密鑰體制，與網絡上的每個實體共享一個不同的密鑰，通過是否知道密鑰驗證身份。