認證又叫驗證,它是驗證某事是不是真實或有效的過程,是避免主動攻擊的主要技術。認證與保密都為信息系統安全的重大屬性,但它們的屬性不一樣。認證和保密的區別在於:保密的作用是確保信息的機密性,避免遭遇截取、竊聽等攻擊;認證的作用是保證信息的真實性、完整性和有效性,避免冒充、篡改與重放等攻擊。

認證技術的开展歷經了由軟件至硬件,由單因子至雙因子,由靜態至動態的認證過程。相應地,各種認證方式也出現了。由認證對象的數量及主體間的關係可分為單向與雙向2種認證;由有無採用密碼技術可分為密碼技術與非密碼技術2種認證方式。

兩個用戶A與B在通信過程中先要建立共享的會話密鑰,此時考慮的核心問題是機密性、完整性和時效性。為避免會話密鑰被偽造或泄露,通信雙方交換時應該是密文形式,所以通信雙方可用加密體制保證消息傳輸的機密性與完整性。達到消息的時效性在避免被重放攻擊非常關鍵,確保消息的時效性有以下兩種常用方法。

·時間戳:若用戶A收到的消息包括一時間戳,且A認為此時間戳十分接近自已的當即時刻,A才覺得收到的消息為新的然後接受它。

·隨機數:若用戶A給B發出一次性隨機數當做詢問,若拿到B發的應答消息也有無誤的一次性隨機數,A會認為此消息是新的並接受它。

在單向和雙向認證方式中一般用加密體制確保信息傳輸的機密性與完整性,在加密體制中加進時間戳與隨機數來確保消息傳輸的時效性,最終目標是確認通信主體的真實性與合法性。

1.單向認證

單向認證指通信雙方僅有一方給對方實施認證。實現單向認證不僅可用對稱密碼體制也能用非對稱密碼體制,既可加入時間也可加入隨機數。

2.雙向認證

在雙向認證過程中，通信雙方得認證識別對方的身份,之後交換會話密鑰。在實現雙向認證時,不僅能用對稱密碼體制與非對稱密碼體制,也能加入時間戳與隨機數。