導語:訊息認證就是使意定的接收者能夠檢驗收到的訊息是否真實的方法,又稱為完整性校驗。下面就由小編為大家帶來計算機三級網路技術輔導:認證技術,希望能給大家帶來幫助!
在資訊保安領域中,常見的訊息保護手段大致可分為加密和認證兩大類。加密前面我們已經介紹了,下面將介紹認證。認證主要包括3方面:訊息認證、數字簽名、身份認證。
1.訊息認證
(1)訊息認證的概念
訊息認證就是使意定的接收者能夠檢驗收到的訊息是否真實的方法,又稱為完整性校驗。訊息認證的內容包括:證實訊息的信源和信宿、訊息內容是否曾受到偶然或有意的篡改、訊息的序號和時間性是否正確。
(2)訊息認證的方法
①認證訊息的來源。有兩種方法:其一是雙方事先約定訊息的`加密金鑰,接收者只要證實可用此金鑰解密即可鑑定傳送者,如雙方使用同一資料加密金鑰,只需要在訊息中嵌入傳送者的識別符即可。其二是雙方約定傳送訊息使用的通行字,如果接收的訊息中有此通行字即可鑑定傳送者。
②認證訊息的完整性。有兩種基本途徑:採用訊息認證碼(MAC)和採用篡改檢測碼(MDC)。
③認證訊息的序號和時間。常見的方法有:訊息的流水作業號、隨機數認證法和時間戳等。
(3)訊息認證的模式
訊息認證的模式有兩類方法:單向驗證和雙向驗證。
(4)認證函式
可用來認證的函式分為以下3類。
①資訊加密數。②資訊認證碼(MAC)。③雜湊函式,常見的雜湊函式有MD5和SHA-1。
MD5通過下列4步得到128位訊息摘要:填充——附加——初始化累加器——主迴圈。
SHA-1(安全雜湊演算法)產生l60位訊息摘要。
2.數字簽名
(1)數字簽名的要求
訊息認證用來保護通訊雙方免受任何的第三方的攻擊,但是它無法防止通訊雙方的互相攻擊。數字簽名可以保證資訊傳輸過程中資訊的完整性,並提供資訊傳送者本身的身份認證,防止抵賴行為的發生。
基於公鑰密碼體制和私鑰密碼體制都可以獲得數字簽名,但目前主流的是基於公鑰密碼體制的數字簽名,包括普通數字簽名和特殊數字簽名。
普通數字簽名的演算法有:RSA、ELGamal、 Fiat.Shamir、Guillou—Quisquarter、Schnorr、 Ong.Schnorr-Shamir數字簽名演算法、DES/DSA、橢圓曲線數字簽名演算法和有限自動機數字簽名演算法等。
特殊數字簽名演算法:盲簽名、代理簽名、群簽名、不可否認簽名、公平盲簽名、門限簽名、具有訊息恢復功能的簽名等。
數字簽名的應用涉及法律問題。美國政府基於有限域上的離散對數問題制定了自己的數字簽名標準(DES)。
(2)數字簽名的建立
基於公鑰密碼體制的數字簽名是一個加密的訊息摘要,附加在訊息的後面。如果甲要在給乙的訊息中建立一個數字簽名,其步驟如下:
①甲建立一個公鑰/私鑰對。②甲將自己的公鑰給乙。③甲將要傳送的訊息作為一個單項雜湊函式的輸入,雜湊函式的輸出就是訊息摘要。④甲再用其私鑰加密訊息摘要,得到數字簽名。
(3)數字簽名的驗證
在接收方,乙需要按以下步驟驗證甲的數字簽名:
①乙將收到的資料分離成訊息和數字簽名。②乙用甲的公鑰對數字簽名解密,得到訊息摘要。③乙把訊息作為甲所使用的相同雜湊函式的輸入,得到一個訊息摘要。④比較這兩個訊息摘要,若匹配表示驗證成功。
3.身份認證
身份認證也稱為身份識別,是通訊和資料系統中正確識別通訊使用者或終端身份的重要途徑。
(1)身份認證的方法
身份認證的常用方法有3種:口令認證、持證認證和生物識別。
①口令認證。口令認證是最常用的認證方式。防止口令猜測的措施之一就是嚴格地限制從一個終端進行連續不成功登入的次數。為了使口令更加安全,可以通過加密口令或修改加密方法來提供更強健的方法,這就是一次性口令方案,常見的有:S/Key協議和令牌口令認證方案。
②持證認證。持證(ToIcen)是一種個人持有物,如磁卡、智慧卡等。這類卡通常和個人識別號(PIN)一起使用。
③生物識別。生物識別包括:指紋識別、聲音識別、筆跡識別和虹膜識別及手形識別等。
(2)常用的身份認證協議
目前有多種認證協議,主要有幾類:一次一密機制、X.509認證協議、Kerberos認證協議。
①一次一密機制。採用請求應答機制:使用者登入時,系統隨機提示一條資訊,使用者根據資訊產生一個口令,完成一次登入。
②X.509認證協議。X.509定義了一種通過X.500目錄提供認證服務的框架。該目錄可以看作是公鑰證書的資料庫。
③Kerberos認證協議。Kerberos基於對稱金鑰體制,一般使用DES加密演算法,廣泛應用於校園網環境。由3個組成部分:身份認證、計費和審計。
