服务器端身份验证技术,身份认证技术和协议的常用方法

原标题：身份认证技术和协议的常用方法

在服务器端对客户端的用户身份真实性认证(验证)设计中主要考虑防止通信窃取和重放攻击。

常用方法有：

口令变换:用户给出的口令在客户端经过单问函数变换处理后传送给服务器,服务器对存储的用户口令副本进行同样变换后与收到的口令值进行比较。这主要是防止攻击者通过信道窃取合法用户口令原值。

提问-回答:服务器向客户端发送一个称为提问的随机值或者现值。作为提问的随机值对每次认证请求是不一样的,该值必须合并到用户的答复中。服务器在处理用户答复时必须确认用户是否使用了正确的提问。这种考虑主要是防止客户端的重放攻击。

时间戳:从客户端发出的认证请求必须嵌人正确的日期时间,以供服务器检查认证请求的合理性。这也是防止客户重放的一种办法,但时间戳的应用要求系统所有时钟同步。

一次性口令:一次性口令类似于口令变换,对用户登录的口令执行N次确定的单向处理数。用户每登录一次,N减1,从而生成一个不同的在线口令。攻击者可能窃取一个在线口令,但不能生成下一个在线口令,因此能够防止重放和窃取。

数字签名:数字签名是基于现代密码学的认证协议的基础。用户使用私钥对消息或者消息摘要的加密被称为数字签名。由于私钥是每个用户特有的,以此来证明消息来源的身份。在签名内容中加上提问现值或者时间戳,可以防止重放攻击。

零知识技术:零知识技术是用于相互认证的加密技术,该技术的特点是不需要给出与信息相关的任何内容就能够验证消息来源的身份。零知识技术的实现可能要求复杂的数据交换协议,需要传输较多的数据,因此是以消耗通信资源为代价的。

实际认证过程通常是以上各种方法的综合,即所谓认证协议。好的认证协议需要认真设计,需要考虑的问题包括窃取、重放和欺骗威胁。既要求尽可能严谨,又要考虑协议实现的代价。认证协议通常建立在网络通信协议之上,如网络层协议和应用层协议。基于现代密码学的认证协议既可以是以对称密码系统为基础,也可以公钥密码系统为基础,但更多的是两者的结合。

更多详情请前往官网www.fisec.cn或关注公众号“渔翁信息安全”“密码产品平台”，转载请注明出处！

责任编辑：