认证又叫验证,它是验证某事是不是真实或有效的过程,是避免主动攻击的主要技术。认证与保密都为信息系统安全的重大属性,但它们的属性不一样。认证和保密的区别在于:保密的作用是确保信息的机密性,避免遭遇截取、窃听等攻击;认证的作用是保证信息的真实性、完整性和有效性,避免冒充、篡改与重放等攻击。
认证技术的发展历经了由软件至硬件,由单因子至双因子,由静态至动态的认证过程。相应地,各种认证方式也出现了。由认证对象的数量及主体间的关系可分为单向与双向2种认证;由有无采用密码技术可分为密码技术与非密码技术2种认证方式。
两个用户A与B在通信过程中先要建立共享的会话密钥,此时考虑的核心问题是机密性、完整性和时效性。为避免会话密钥被伪造或泄露,通信双方交换时应该是密文形式,所以通信双方可用加密体制保证消息传输的机密性与完整性。达到消息的时效性在避免被重放攻击非常关键,确保消息的时效性有以下两种常用方法。
·时间戳:若用户A收到的消息包括一时间戳,且A认为此时间戳十分接近自已的当即时刻,A才觉得收到的消息为新的然后接受它。
·随机数:若用户A给B发出一次性随机数当做询问,若拿到B发的应答消息也有无误的一次性随机数,A会认为此消息是新的并接受它。
在单向和双向认证方式中一般用加密体制确保信息传输的机密性与完整性,在加密体制中加进时间戳与随机数来确保消息传输的时效性,最终目标是确认通信主体的真实性与合法性。
1.单向认证
单向认证指通信双方仅有一方给对方实施认证。实现单向认证不仅可用对称密码体制也能用非对称密码体制,既可加入时间也可加入随机数。
2.双向认证
在双向认证过程中,通信双方得认证识别对方的身份,之后交换会话密钥。在实现双向认证时,不仅能用对称密码体制与非对称密码体制,也能加入时间戳与随机数。
