計算機三級網絡技術輔導：認證技術

導語：消息認證就是使意定的接收者能夠檢驗收到的消息是否真實的方法，又稱為完整性校驗。下面就由小編為大家帶來計算機三級網絡技術輔導：認證技術，希望能給大家帶來幫助！

在信息安全領域中，常見的消息保護手段大致可分為加密和認證兩大類。加密前面我們已經介紹了，下面將介紹認證。認證主要包括3方面：消息認證、數字簽名、身份認證。

　　1．消息認證

(1)消息認證的概念

消息認證就是使意定的接收者能夠檢驗收到的消息是否真實的方法，又稱為完整性校驗。消息認證的內容包括：證實消息的信源和信宿、消息內容是否曾受到偶然或有意的篡改、消息的序號和時間性是否正確。

(2)消息認證的方法

①認證消息的來源。有兩種方法：其一是雙方事先約定消息的`加密密鑰，接收者只要證實可用此密鑰解密即可鑑定發送者，如雙方使用同一數據加密密鑰，只需要在消息中嵌入發送者的識別符即可。其二是雙方約定發送消息使用的通行字，如果接收的消息中有此通行字即可鑑定發送者。

②認證消息的完整性。有兩種基本途徑：採用消息認證碼(MAC)和採用篡改檢測碼(MDC)。

③認證消息的序號和時間。常見的方法有：消息的流水作業號、隨機數認證法和時間戳等。

(3)消息認證的模式

消息認證的模式有兩類方法：單向驗證和雙向驗證。

(4)認證函數

可用來認證的函數分為以下3類。

①信息加密數。②信息認證碼(MAC)。③散列函數，常見的散列函數有MD5和SHA-1。

MD5通過下列4步得到128位消息摘要：填充——附加——初始化累加器——主循環。

SHA-1(安全哈希算法)產生l60位消息摘要。

　　2．數字簽名

(1)數字簽名的要求

消息認證用來保護通信雙方免受任何的第三方的攻擊，但是它無法防止通信雙方的互相攻擊。數字簽名可以保證信息傳輸過程中信息的完整性，並提供信息發送者本身的身份認證，防止抵賴行為的發生。

基於公鑰密碼體制和私鑰密碼體制都可以獲得數字簽名，但目前主流的是基於公鑰密碼體制的數字簽名，包括普通數字簽名和特殊數字簽名。

普通數字簽名的算法有：RSA、ELGamal、 Fiat．Shamir、Guillou—Quisquarter、Schnorr、 Ong．Schnorr-Shamir數字簽名算法、DES／DSA、橢圓曲線數字簽名算法和有限自動機數字簽名算法等。

特殊數字簽名算法：盲簽名、代理簽名、羣簽名、不可否認簽名、公平盲簽名、門限簽名、具有消息恢復功能的簽名等。

數字簽名的應用涉及法律問題。美國政府基於有限域上的離散對數問題制定了自己的數字簽名標準(DES)。

(2)數字簽名的創建

基於公鑰密碼體制的數字簽名是一個加密的消息摘要，附加在消息的後面。如果甲要在給乙的消息中創建一個數字簽名，其步驟如下：

①甲創建一個公鑰／私鑰對。②甲將自己的公鑰給乙。③甲將要發送的消息作為一個單項散列函數的輸入，散列函數的輸出就是消息摘要。④甲再用其私鑰加密消息摘要，得到數字簽名。

(3)數字簽名的驗證

在接收方，乙需要按以下步驟驗證甲的數字簽名：

①乙將收到的數據分離成消息和數字簽名。②乙用甲的公鑰對數字簽名解密，得到消息摘要。③乙把消息作為甲所使用的相同散列函數的輸入，得到一個消息摘要。④比較這兩個消息摘要，若匹配表示驗證成功。

　　3．身份認證

身份認證也稱為身份識別，是通信和數據系統中正確識別通信用户或終端身份的重要途徑。

(1)身份認證的方法

身份認證的常用方法有3種：口令認證、持證認證和生物識別。

①口令認證。口令認證是最常用的認證方式。防止口令猜測的措施之一就是嚴格地限制從一個終端進行連續不成功登錄的次數。為了使口令更加安全，可以通過加密口令或修改加密方法來提供更強健的方法，這就是一次性口令方案，常見的有：S／Key協議和令牌口令認證方案。

②持證認證。持證(ToIcen)是一種個人持有物，如磁卡、智能卡等。這類卡通常和個人識別號(PIN)一起使用。

③生物識別。生物識別包括：指紋識別、聲音識別、筆跡識別和虹膜識別及手形識別等。

(2)常用的身份認證協議

目前有多種認證協議，主要有幾類：一次一密機制、X．509認證協議、Kerberos認證協議。

①一次一密機制。採用請求應答機制：用户登錄時，系統隨機提示一條信息，用户根據信息產生一個口令，完成一次登錄。

②X．509認證協議。X．509定義了一種通過X．500目錄提供認證服務的框架。該目錄可以看作是公鑰證書的數據庫。

③Kerberos認證協議。Kerberos基於對稱密鑰體制，一般使用DES加密算法，廣泛應用於校園網環境。由3個組成部分：身份認證、計費和審計。