認證技術;訊息認證、數字簽名、身份認證。
1、訊息認證(驗證訊息是否來自發送方並未經修改)
(1)訊息認證的概念:
接收者能夠檢驗收到的訊息是否真實的方法,又稱訊息完整性校驗。
認證的內容包括:訊息的信源信宿、內容是否篡改,訊息的序號和時間是否正確等。
認證只在通訊雙方之間進行,不允許第三者進行上述認證。
(2)訊息認證的方法:
訊息來源認證:A、通訊雙方事先約定傳送訊息的資料加密金鑰,接收者只要證實發送來的訊息是否能用該金鑰還原成明文就能鑑定傳送者。B、事先約定各自發送訊息所使用的通行字,傳送者訊息中含有加密的通行字,接收者驗證是否含有通行字即可,通行字是可變的。
認證資訊的完整性:基本途徑有兩條:採用訊息認證碼和採用篡改檢測碼。
認證訊息的序號和時間:目的是阻止訊息的重放攻擊,常用的方法是流水作業號、隨機數認證法和時間戳等。
(3)訊息認證模式
單向認證:單向通訊,接收者驗證傳送者的身份和訊息的完整性
雙向認證:雙向通訊,接收者驗證傳送者的身份和訊息的完整性,同時傳送者確認接收者是真實的。
(4)認證函式:分為3類:
資訊加密函式MEF:用完整資訊的密文作為對資訊的認證。
資訊認證碼MAC:是對信源訊息的一個編碼函式。訊息認證碼的安全性取決於兩點:採用的加密演算法;待加密資料塊的生成方法。
雜湊函式HASH Function:將任意長的資訊對映成一個固定長度的資訊。
2、數字簽名(通訊雙方真實性檢驗)
(1)數字簽名的需求:訊息認證來保護通訊雙方免受第三方的攻擊,但無法防止通訊雙方的相互攻擊。解決方案是是數字簽名,是筆跡簽名的模擬。具有如下性質:
能證實作者簽名和簽名的日期和時間、簽名時必須能對內容進行鑑別、必須能被第三方證實以解決爭端。
基於公鑰密碼體制、私鑰密碼體制、公證系統都可以獲得數字簽名。常用的公鑰數字簽名演算法包括:RSA演算法和數字簽名標準演算法(DSS)。
(2)數字簽名的建立
數字簽名是一個加密的訊息摘要,附加在訊息後面。步驟是:甲建立公鑰/私鑰對;將公鑰傳送給乙;訊息作為單項雜湊函式輸入,雜湊函式的輸出為訊息摘要;甲用私鑰加密訊息摘要,得到數字簽名。
數字簽名的驗證:傳送的資料是訊息與數字簽名的組合。乙將計算出來的'訊息摘要與甲解密後的訊息相匹配,則證明訊息的完整性並驗證了訊息的傳送者是甲。
3、身份認證(使用者身份是否合法)
又稱身份識別。是通訊和資料系統中正確識別通訊使用者或終端身份的重要途徑。
常用的方法有:口令認證、持證認證和生物識別。
口令認證:口令由數字、字母組成的字串,有時也有特殊字元、控制字元等。
持證認證:一種個人持有物,類似鑰匙。
生物識別:依據人類自身所固有的生理或行為特徵,包括指紋識別、掌紋識別等
常用的身份認證協議有:
一次一密制:每次根據資訊產生口令。
X.509認證協議:利用公鑰密碼技術對X.500(對分散式網路中儲存使用者資訊的資料庫所提供的目錄檢索服務的協議標準)的服務所提供的認證服務的協議標準。
Kerberos認證協議:基於對稱金鑰體制,與網路上的每個實體共享一個不同的金鑰,通過是否知道金鑰驗證身份。
