計算機網路網路安全（二）

鑑別是要驗證通訊的對方的確是自己所要通訊的物件，而不是其他的冒充者。

鑑別分為兩種：（1）報文鑑別，即所收到的報文的確是報文的傳送者所傳送，而不是其他人偽造的或篡改的

（2）實體鑑別，實體可以是乙個人，也可以是乙個程序。

報文摘要md是進行報文鑑別的簡單方法。

鑑別過程：

（1）形成報文鑑別碼並傳送

a把較長的報文x經報文摘要演算法運算後得出很短的報文摘要h。然後用自己的私鑰對h進行d運算，即進行數字簽名。得出已簽名的報文摘要。這個已簽名的報文摘要稱為報文鑑別碼mac。然後將mac放在報文x的前面傳送給b。

（2）b進行報文鑑別

b收到報文後先將mac和報文x分離，然後a.用a的公鑰對報文鑑別碼mac進行e運算，還原出報文摘要h。b.對報文x進行報文摘要運算，得到報文摘要h。如一樣，就能基本確定收到的報文是a產生的。

報文摘要優點：

報文x和報文鑑別碼mac合在一起，是不可偽造的，是可檢驗和不可否認的。

報文鑑別對每乙個收到的報文都要鑑別報文的傳送者，而實體鑑別是在系統接入的全部持續時間內對自己通訊的對方實體只需驗證一次。

重放攻擊：

如圖，入侵者c易從網路中截獲a傳送給b的報文，c不需要破譯報文，而是直接把這個報文傳送給b，使b誤認為c就是a，然後b就向偽裝是a的c傳送許多應向a傳送的的報文。

為對付重放攻擊，可以使用不重複數，就是乙個使用不重複使用的大隨機數，即一次一數。

使用不重複數鑑別

a首先用明文傳送其身份a和乙個不重複數ra給b，接著，b相應a的查問，用共享金鑰kab對ra加密後發回給a，同時給出自己的不重複數rb。最後，a再響應b的查問，用共享的金鑰kab對rb加密後發回b。

中間人攻擊

由於密碼演算法是公開的，網路的安全性就完全基於金鑰的安全保護上。因此在密碼學中出現了乙個重要的分支--金鑰管理。金鑰管理包括：金鑰的產生、分配、注入、驗證和使用。

金鑰分配是金鑰管理中最大的問題，金鑰必須通過最安全的通路進行分配。

對稱金鑰的分配

目前常用的金鑰分配方式是設立金鑰分配中心kdc。kdc是大家都信任的機構，其任務是給需要進行秘密通訊的使用者臨時分配乙個會話金鑰（僅使用一次）。如圖，假定a,b都是kdc的登記使用者。a和b在kdc登記時就已經在kdc的伺服器上安裝了各自和kdc進行通訊的主金鑰ka和kb.

計算機網路 網路安全（二）