身份认证技术采用口令和物理形式的身份认证进行标记,但这种技术不太安全。基于密码学原理的密码身份认证协议更安全,并能提供更多的安全服务。密码学中的算法如私钥算法、公钥算法和散列算法都可以构成身份认证协议。身份认证协议一般有两个通信方,可能还会有一个双方都信任的第三方参与进行。其中一个通信方按照协议的规定向另一方或者第三方发出认证请求,对方按照协议规定做出响应或者其他规定的动作,当协议顺利执行完毕时双方应该确定对方的身份。身份认证技术分为会话密钥、共享密钥认证、公钥认证等方法。
1.会话密钥
会话密钥是指在一次会话过程中使用的密钥,一般都是由机器随机生成。会话密钥在实际使用时,往往是在一定时间内有效。会话密钥主要用于通信加密。
2.共享密钥认证
共享密钥认证是通过口令认证用户发展起来的,但这种口令容易在传递过程中被窃听而泄露。必须采用既能够验证对方拥有共同的秘密而又不会在通信过程中泄露该秘密的方法(零知识认证)才能解决这个问题,挑战/应答协议是一个较好的选择。挑战/应答协议是在每次认证时,认证服务器端都给客户端发送一个不同的“挑战”字串,客户端程序收到这个“挑战”字串后,做出相应的“应答”,表明客户端知道这个秘密,从而表明客户端合法的身份。在网络系统中,一台计算机可能需要与众多计算机都建立共享密钥,这样既不经济也不安全,因此出现了密钥分发中心( Key Distribution Center,KDC)。
KDC在网络环境中被大家所信任,并且与每个网络通信方都有一个共享密钥。KDC负责给通信方创建并分发共享密钥,通信双方获得共享密钥后再利用挑战应答协议建立信任关系。
3.公钥认证
公钥认证一般采用私钥对明文信息进行变换,变换后的信息为签名信息。利用公钥对明文信息进行的变换称为封装或者加密。使用公钥认证需要事先知道对方的公钥,这就需要一个可信第三方参与分发公钥。在实际网络环境中,采用证书的方式分发和验证公钥。
