五、认证技术;消息认证、数字签名、身份认证。
1、消息认证(验证消息是否来自发送方并未经修改)
(1)消息认证的概念:
接收者能够检验收到的消息是否真实的方法,又称消息完整性校验。
认证的内容包括:消息的信源信宿、内容是否篡改,消息的序号和时间是否正确等。
认证只在通信双方之间进行,不允许第三者进行上述认证。
(2)消息认证的方法:
消息来源认证:A、通信双方事先约定发送消息的数据加密密钥,接收者只要证实发送来的消息是否能用该密钥还原成明文就能鉴定发送者。B、事先约定各自发送消息所使用的通行字,发送者消息中含有加密的通行字,接收者验证是否含有通行字即可,通行字是可变的。
认证信息的完整性:基本途径有两条:采用消息认证码和采用篡改检测码。
认证消息的序号和时间:目的是阻止消息的重放攻击,常用的方法是流水作业号、随机数认证法和时间戳等。
(3)消息认证模式
单向认证:单向通信,接收者验证发送者的身份和消息的完整性
双向认证:双向通信,接收者验证发送者的身份和消息的完整性,同时发送者确认接收者是真实的。
(4)认证函数:分为3类:
信息加密函数MEF:用完整信息的密文作为对信息的认证。
信息认证码MAC:是对信源消息的一个编码函数。消息认证码的安全性取决于两点:采用的加密算法;待加密数据块的生成方法。
散列函数HASH Function:将任意长的信息映射成一个固定长度的信息。
2、数字签名(通信双方真实性检验)
(1)数字签名的需求:消息认证来保护通信双方免受第三方的攻击,但无法防止通信双方的相互攻击。解决方案是是数字签名,是笔迹签名的模拟。具有如下性质:
能证实作者签名和签名的日期和时间、签名时必须能对内容进行鉴别、必须能被第三方证实以解决争端。
基于公钥密码体制、私钥密码体制、公证系统都可以获得数字签名。常用的公钥数字签名算法包括:RSA算法和数字签名标准算法(DSS)。
(2)数字签名的创建
数字签名是一个加密的消息摘要,附加在消息后面。步骤是:甲创建公钥/私钥对;将公钥发送给乙;消息作为单项散列函数输入,散列函数的输出为消息摘要;甲用私钥加密消息摘要,得到数字签名。
数字签名的验证:发送的数据是消息与数字签名的组合。乙将计算出来的消息摘要与甲解密后的消息相匹配,则证明消息的完整性并验证了消息的发送者是甲。
3、身份认证(用户身份是否合法)
又称身份识别。是通信和数据系统中正确识别通信用户或终端身份的重要途径。
常用的方法有:口令认证、持证认证和生物识别。
口令认证:口令由数字、字母组成的字符串,有时也有特殊字符、控制字符等。
持证认证:一种个人持有物,类似钥匙。
生物识别:依据人类自身所固有的生理或行为特征,包括指纹识别、掌纹识别等
常用的身份认证协议有:
一次一密制:每次根据信息产生口令。
X.509认证协议:利用公钥密码技术对X.500(对分布式网络中存储用户信息的数据库所提供的目录检索服务的协议标准)的服务所提供的认证服务的协议标准。
Kerberos认证协议:基于对称密钥体制,与网络上的每个实体共享一个不同的密钥,通过是否知道密钥验证身份。
全国职称计算机考试速成过关系列套装:W .. 定价:¥133 优惠价:¥133.0 更多书籍 | |
全国职称计算机考试速成过关系列套装:W .. 定价:¥124 优惠价:¥124.0 更多书籍 |