信息認(rèn)證技術(shù)課件

1、第三章 信息認(rèn)證技術(shù) 3.1 概述3.2 哈希函數(shù)3.3 消息認(rèn)證技術(shù)3.4 數(shù)字簽名3.5 身份認(rèn)證第1頁(yè)，共58頁(yè)。3.1 概述在網(wǎng)絡(luò)通信和電子商務(wù)中很容易發(fā)生如下問(wèn)題。1否認(rèn)，發(fā)送信息的一方不承認(rèn)自己發(fā)送過(guò)某一信息。2偽造，接收方偽造一份文件，并聲稱它來(lái)自某發(fā)送方的。3冒充，網(wǎng)絡(luò)上的某個(gè)用戶冒充另一個(gè)用戶接收或發(fā)送信息。4篡改，信息在網(wǎng)絡(luò)傳輸過(guò)程中已被篡改，或接收方對(duì)收到的信息進(jìn)行篡改。用數(shù)字簽名（Digital Signature）可以有效地解決這些問(wèn)題。數(shù)字簽名就是主要用于對(duì)數(shù)字信息進(jìn)行的簽名，以防止信息被偽造或篡改等。第2頁(yè)，共58頁(yè)。3.1 概述一個(gè)安全的認(rèn)證系統(tǒng)應(yīng)滿足以下條件：

2、（1）合法的接收者能夠檢驗(yàn)所接收消息的合法性和真實(shí)性。（2）合法的發(fā)送方對(duì)所發(fā)送的消息無(wú)法進(jìn)行否認(rèn)。（3）除了合法的發(fā)送方之外，任何人都無(wú)法偽造、篡改消息。第3頁(yè)，共58頁(yè)。3.2 哈希函數(shù) 哈希函數(shù)，單向散列函數(shù)基本思想輸入任意長(zhǎng)度的消息M，產(chǎn)生固定長(zhǎng)度的數(shù)據(jù)輸出。向hash函數(shù)輸入一任意長(zhǎng)度的信息M時(shí)，hash函數(shù)將輸出一固定長(zhǎng)度為m的散列值h。即： h = H(M) 第4頁(yè)，共58頁(yè)。性質(zhì)：固定長(zhǎng)度輸出散列值h。給定M，很容易計(jì)算h。給定h，根據(jù)H(M)h計(jì)算M很難。給定M，找到另一消息M，滿足H(M)H(M)，在計(jì)算上是不可行的-弱抗碰撞性。對(duì)于任意兩個(gè)不同的消息 M M，它們的散列值

3、不可能相同-強(qiáng)抗碰撞性。注：碰撞性是指對(duì)于兩個(gè)不同的消息M和M ，如果它們的摘要值相同，則發(fā)生了碰撞。3.2 哈希函數(shù) 第5頁(yè)，共58頁(yè)。3.2 哈希函數(shù)常用的哈希函數(shù)MD5SHA-1RIPEMD-160等等 第6頁(yè)，共58頁(yè)。3.2.2 MD5算法麻省理工學(xué)院Ron Rivest提出，可將任意長(zhǎng)度的消息經(jīng)過(guò)變換得到一個(gè)128位的散列值。MD5算法：MD5以512位分組來(lái)處理輸入的信息，每一分組又被劃分為16個(gè)32位子分組，經(jīng)過(guò)了一系列的處理后，算法的輸出由四個(gè)32位分組組成，將這四個(gè)32位分組級(jí)聯(lián)后生成128位散列值。第7頁(yè)，共58頁(yè)。 MD5主循環(huán)3.2.2 MD5算法第8頁(yè)，共58頁(yè)。M

4、D5算法步驟 1數(shù)據(jù)填充與分組（1）將輸入信息M按順序每512位一組進(jìn)行分組： M = M1，M2，Mn-1，Mn（2）將信息M的Mn長(zhǎng)度填充為448位。 當(dāng)Mn長(zhǎng)度L（bit為單位） 448時(shí)，在信息Mn后加一個(gè)“1”，然后再填充512-L+447個(gè)“0”，使最后的信息Mn長(zhǎng)度為512位，Mn+1長(zhǎng)度為448位3.2.2 MD5算法第9頁(yè)，共58頁(yè)。2初始化散列值 在MD5算法中要用到4個(gè)32位變量，分別為A、B、C、D： A = 0 x01234567 B = 0 x89abcdef C = 0 xfedcba98 D = 0 x76543210 在MD5算法過(guò)程中，這四個(gè)32位變量被稱為

5、鏈接變量，它們始終參與運(yùn)算并形成最終的散列值。3.2.2 MD5算法第10頁(yè)，共58頁(yè)。3計(jì)算散列值 （1）將填充后的信息按每512位分為一塊（Block），每塊按32位為一組劃分成16個(gè)分組，即 Mi = Mi0，Mi2，Mi15，i = 1 n。 （2）分別對(duì)每一塊信息進(jìn)行4輪計(jì)算（即主循環(huán)）。每輪定義一個(gè)非線性函數(shù)： （3）將A、B、C、D這四個(gè)變量分別復(fù)制到變量a、b、c、d中。3.2.2 MD5算法第11頁(yè)，共58頁(yè)。 （4）每一輪進(jìn)行16次操作，每次操作對(duì)a、b、c、d中的三個(gè)變量作一次非線性函數(shù)運(yùn)算，然后將所得的結(jié)果與第四個(gè)變量、信息的一個(gè)分組Mj和一個(gè)常數(shù)ti相加。再將所得的結(jié)

6、果循環(huán)左移一個(gè)不定數(shù)s，并加上a、b、c、d中的一個(gè)變量。 FF（a,b,c,d, Mj ,s, ti ） 表示 a = b +（a + F（b,c,d）+ Mj + ti ）s） GG（a,b,c,d, Mj ,s, ti ）表示 a = b +（a + G（b,c,d）+ Mj + ti ）s） HH（a,b,c,d, Mj ,s, ti ）表示 a = b +（a + H（b,c,d）+ Mj + ti ）s） I I（a,b,c,d, Mj ,s, ti ） 表示 a = b +（a + I（b,c,d）+ Mj + ti ）s） 在第i步中，常數(shù)ti 取值為232abs（sin（i）

7、的整數(shù)部分。 這樣就可以得到4輪共64步操作。3.2.2 MD5算法第12頁(yè)，共58頁(yè)。第一輪FF(a,b,c,d,M0,7,0 xD76AA478)FF(d,a,b,c,M1,12,0 xE8C7B756)FF(c,d,a,b,M2,17,0 x242070DB)FF(b,c,d,a,M15,22,0 x49B40821)第二輪GG(a,b,c,d,M1,5,0 xF61E2562)GG(d,a,b,c,M6,9,0 xC040B340)GG(c,d,a,b,M11,14,0 x265E5A51)GG(b,c,d,a,M12,20,0 x8D2A4C8A)第三輪HH(a,b,c,d,M5,4

8、,0 xFFFA3942)HH(d,a,b,c,M8,11,0 x8771F681)HH(c,d,a,b,M11,16,0 x6D9D6122)HH(b,c,d,a,M2,23,0 xC4AC5665)第四輪II(a,b,c,d,M0,6,0 xF4292244)II(d,a,b,c,M7,10,0 x432AFF97)II(c,d,a,b,M14,15,0 xAB9423A7)II(b,c,d,a,M9,21,0 xEB86D391)16第13頁(yè)，共58頁(yè)。MD5的基本操作過(guò)程 3.2.2 MD5算法第14頁(yè)，共58頁(yè)。4輪循環(huán)操作完成之后，將A、B、C、D分別加上a、b、c、d，即A=A+

9、aB=B+bC=C+cD=D+d這里的加法是模232加法然后用下一分組數(shù)據(jù)繼續(xù)運(yùn)行算法，最后的輸出是A、B、C和D的級(jí)聯(lián)。 3.2.2 MD5算法第15頁(yè)，共58頁(yè)。SHA(Secure Hash Algorithm)是美國(guó)國(guó)家標(biāo)準(zhǔn)與技術(shù)研究所（NIST）提出，于1993年作為聯(lián)邦信息處理標(biāo)準(zhǔn)（FIPS 180）發(fā)布的，1995年又發(fā)布了其修訂版（FIPS 180-1），通常稱為SHA-1。SHA-1算法的輸入是長(zhǎng)度小于264位的消息，輸出160位的散列值。 3.2.3 SHA-1算法第16頁(yè)，共58頁(yè)。與MD5算法類似，SHA-1算法也需要對(duì)消息進(jìn)行填充補(bǔ)位。補(bǔ)位是這樣進(jìn)行的：先添加一個(gè)1，

10、然后再添加多個(gè)0，使得消息長(zhǎng)度滿足對(duì)512取模后余數(shù)是448。 SHA-1的中間結(jié)果和最終結(jié)果保存在160位的緩沖區(qū)中，緩沖區(qū)用5個(gè)32位的變量表示，這些變量初始化為：A=0 x67452301B=0 xefcdab89C=0 x98badcfeD=0 x10325476E=0 xc3d2e1f03.2.3 SHA-1算法第17頁(yè)，共58頁(yè)。SHA-1的主循環(huán) 3.2.3 SHA-1算法第18頁(yè)，共58頁(yè)。SHA-1的非線性函數(shù) 3.2.3 SHA-1算法第19頁(yè)，共58頁(yè)。對(duì)512位的消息進(jìn)行處理，將其從16個(gè)32位的消息分組變成80個(gè)32位的消息分組。用到的80對(duì)常數(shù)：3.2.3 SHA-

11、1算法第20頁(yè)，共58頁(yè)。SHA-1的基本操作過(guò)程 3.2.3 SHA-1算法第21頁(yè)，共58頁(yè)。1981年，NIST發(fā)布FIPS 180-2，新增了三個(gè)哈希函數(shù)，分別為SHA-256，SHA-384，SHA-512，其散列值的長(zhǎng)度分別為256,384,512。同時(shí)，NIST指出FIPS 180-2的目的是要與使用AES而增加的安全性相適應(yīng)。SHA-1SHA-256SHA-384SHA-512散列值長(zhǎng)度160256384512消息大小26426421282128分組大小51251210241024字長(zhǎng)32326464步數(shù)808080803.2.3 SHA-1算法第22頁(yè)，共58頁(yè)。3.3 消息

12、認(rèn)證技術(shù) 網(wǎng)絡(luò)傳輸過(guò)程中信息保密性的要求：(1)對(duì)敏感的數(shù)據(jù)進(jìn)行加密，即使別人截獲文件也無(wú)法得到真實(shí)內(nèi)容。(2)保證數(shù)據(jù)的完整性，防止截獲人對(duì)數(shù)據(jù)進(jìn)行篡改。(3)對(duì)數(shù)據(jù)和信息的來(lái)源進(jìn)行驗(yàn)證，以確保發(fā)信人的身份。消息認(rèn)證是指使合法的接收方能夠檢驗(yàn)消息是否真實(shí)的方法。檢驗(yàn)內(nèi)容包括驗(yàn)證通信的雙方和驗(yàn)證消息內(nèi)容是否偽造或遭篡改。 第23頁(yè)，共58頁(yè)。常見(jiàn)的認(rèn)證函數(shù)：(1) 消息加密：將整個(gè)消息的密文作為認(rèn)證碼。(2) 哈希函數(shù)：通過(guò)哈希函數(shù)使消息產(chǎn)生定長(zhǎng)的散列值作為認(rèn)證碼。(3) 消息認(rèn)證碼（MAC）：將消息與密鑰一起產(chǎn)生定長(zhǎng)值作為認(rèn)證碼。 3.3 消息認(rèn)證技術(shù)第24頁(yè)，共58頁(yè)?；趯?duì)稱密鑰加密的消

13、息認(rèn)證過(guò)程3.3 消息認(rèn)證技術(shù)(1) 消息加密認(rèn)證第25頁(yè)，共58頁(yè)。添加校驗(yàn)碼的消息認(rèn)證過(guò)程3.3 消息認(rèn)證技術(shù)(1) 消息加密認(rèn)證第26頁(yè)，共58頁(yè)?；诠€加密的消息認(rèn)證過(guò)程(1) 消息加密認(rèn)證3.3 消息認(rèn)證技術(shù)第27頁(yè)，共58頁(yè)。使用哈希函數(shù)的消息認(rèn)證過(guò)程 3.3 消息認(rèn)證技術(shù)(2) 哈希函數(shù)認(rèn)證第28頁(yè)，共58頁(yè)。保證機(jī)密性的哈希函數(shù)消息認(rèn)證過(guò)程(2) 哈希函數(shù)認(rèn)證3.3 消息認(rèn)證技術(shù)第29頁(yè)，共58頁(yè)?；旌霞用苷J(rèn)證 (2) 哈希函數(shù)認(rèn)證3.3 消息認(rèn)證技術(shù)第30頁(yè)，共58頁(yè)。基于消息認(rèn)證碼的認(rèn)證過(guò)程 (3) 消息認(rèn)證碼（MAC）的認(rèn)證3.3 消息認(rèn)證技術(shù)第31頁(yè)，共58頁(yè)。MAC

14、函數(shù)與加密函數(shù)相似之處在于使用了密鑰，但差別在于加密函數(shù)是可逆的，而MAC函數(shù)可以是單向的，它無(wú)需可逆，因此比加密更不容易破解。哈希函數(shù)同樣也可以用來(lái)產(chǎn)生消息認(rèn)證碼。假設(shè)是通信雙方和共同擁有的密鑰，A要發(fā)送消息M給B，在不需要進(jìn)行加密的條件下，A只需將M和K合起來(lái)一起通過(guò)哈希函數(shù)計(jì)算出其散列值，即H(M|K)，該散列值就是M的消息認(rèn)證碼。 3.3 消息認(rèn)證技術(shù)第32頁(yè)，共58頁(yè)。3.4 數(shù)字簽名用戶A與B相互之間要進(jìn)行通信，雙方擁有共享的會(huì)話密鑰K，在通信過(guò)程中可能會(huì)遇到如下問(wèn)題：1）A偽造一條消息，并稱該消息來(lái)自B。A只需要產(chǎn)生一條偽造的息，用A和B的共享密鑰通過(guò)哈希函數(shù)產(chǎn)生認(rèn)證碼，并將認(rèn)證

15、碼附于消息之后。由于哈希函數(shù)的單向性和密鑰K是共享的，因此無(wú)法證明該消息是A偽造的。2）B可以否認(rèn)曾經(jīng)發(fā)送過(guò)某條消息。因?yàn)槿魏稳硕加修k法偽造消息，所以無(wú)法證明B是否發(fā)送過(guò)該消息。哈希函數(shù)可以進(jìn)行報(bào)文鑒別，但無(wú)法阻止通信用戶的欺騙和抵賴行為。當(dāng)通信雙方不能互相信任，需要用除了報(bào)文鑒別技術(shù)以外的其他方法來(lái)防止類似的抵賴和欺騙行為。 第33頁(yè)，共58頁(yè)。3.4 數(shù)字簽名數(shù)字簽名也稱電子簽名。“以電子形式所附或邏輯上與其他電子數(shù)據(jù)相關(guān)的數(shù)據(jù)，做為一種判別的方法。” 聯(lián)合國(guó)貿(mào)法會(huì)電子簽名示范法定義為：“在數(shù)據(jù)電文中以電子形式所含、所附或在邏輯上與數(shù)據(jù)電文有聯(lián)系的數(shù)據(jù)，它可用于鑒別與數(shù)據(jù)電文相關(guān)的簽名人和

16、表明簽名人認(rèn)可數(shù)據(jù)電文所含信息。”數(shù)字簽名應(yīng)該能夠在數(shù)據(jù)通信過(guò)程中識(shí)別通信雙方的真實(shí)身份，保證通信的真實(shí)性以及不可抵賴性，起到與手寫(xiě)簽名或者蓋章同等作用。第34頁(yè)，共58頁(yè)。簽名應(yīng)該具有的特征：（1）可信。因?yàn)锽是用A的公鑰解開(kāi)加密文件的，這說(shuō)明原文件只能被A的私鑰加密而只有A才知道自己的私鑰。（2）無(wú)法被偽造。只有A知道自己的私鑰。因此只有A能用自己的私鑰加密一個(gè)文件。（3）無(wú)法重復(fù)使用。簽名在這里就是一個(gè)加密過(guò)程，自己無(wú)法重復(fù)使用。（4）文件被簽名以后是無(wú)法被篡改的。因?yàn)榧用芎蟮奈募桓膭?dòng)后是無(wú)法被A的公鑰解開(kāi)的。（5）簽名具有不可否認(rèn)性。因?yàn)槌鼳以外無(wú)人能用A的私鑰加密一個(gè)文件。3.4

17、數(shù)字簽名第35頁(yè)，共58頁(yè)。1. 直接數(shù)字簽名 3.4.2 數(shù)字簽名的實(shí)現(xiàn)第36頁(yè)，共58頁(yè)。用戶A與B要進(jìn)行通信，每個(gè)從A發(fā)往B的簽名報(bào)文首先都先發(fā)送給仲裁者C，C檢驗(yàn)該報(bào)文及其簽名的出處和內(nèi)容，然后對(duì)報(bào)文注明日期，同時(shí)指明該報(bào)文已通過(guò)仲裁者的檢驗(yàn)。仲裁者的引入解決了直接簽名方案中所面臨的問(wèn)題，及發(fā)送方的否認(rèn)行為。2. 仲裁數(shù)字簽名 3.4.2 數(shù)字簽名的實(shí)現(xiàn)第37頁(yè)，共58頁(yè)。方案11 AC:M|EKA(IDA|H(M)2CB:EKB(IDA|M|EKA(IDA|H(M)|T)方案21 AC: IDA|EKS(M)|EKA(IDA|H(EKS(M)2 CB:EKB(IDA|EKS(M)|E

18、KA(IDA|H(EKS(M)|T)方案31 AC:M|EKA(IDA|H(M)2CB:EKB(IDA|M|EKA(IDA|H(M)|T)3.4.2 數(shù)字簽名的實(shí)現(xiàn)2. 仲裁數(shù)字簽名 第38頁(yè)，共58頁(yè)。數(shù)字簽名標(biāo)準(zhǔn)（Digital Signature Standard，DSS)是美國(guó)國(guó)家標(biāo)準(zhǔn)技術(shù)局（NIST）在1991年提出作為美國(guó)聯(lián)邦信息處理標(biāo)準(zhǔn)（FIPS）。它采用了美國(guó)國(guó)家安全局(NSA)主持開(kāi)發(fā)的數(shù)字簽名算法(Digital Signature Algorithm, DSA)，DSS使用安全散列算法（SHA），給出一種新的數(shù)字簽名方法。DSS在出后，分別于1993年和1996年做了修改

19、。2000年發(fā)布該標(biāo)準(zhǔn)的擴(kuò)充版，即FIPS 186-2,其中包括基于RSA和橢圓曲線密碼的數(shù)字簽名算法。 3.4.2 數(shù)字簽名的實(shí)現(xiàn)數(shù)字簽名標(biāo)準(zhǔn)第39頁(yè)，共58頁(yè)。RSA數(shù)字簽名方法3.4.3 數(shù)字簽名標(biāo)準(zhǔn)第40頁(yè)，共58頁(yè)。DSS數(shù)字簽名方法3.4.3 數(shù)字簽名標(biāo)準(zhǔn)第41頁(yè)，共58頁(yè)。DSS簽名函數(shù) 3.4.3 數(shù)字簽名標(biāo)準(zhǔn)第42頁(yè)，共58頁(yè)。圖3.17 DSS驗(yàn)證函數(shù) 第43頁(yè)，共58頁(yè)。3.5 身份認(rèn)證 身份認(rèn)證目的-對(duì)通信中一方的身份進(jìn)行標(biāo)識(shí)和驗(yàn)證。方法驗(yàn)證用戶所擁有的可被識(shí)別的特征。身份認(rèn)證系統(tǒng)構(gòu)成：被驗(yàn)證身份者；驗(yàn)證者攻擊者可信任的機(jī)構(gòu)作為仲裁或調(diào)解機(jī)構(gòu)。第44頁(yè)，共58頁(yè)。3.5

20、 身份認(rèn)證在網(wǎng)絡(luò)通信中，身份認(rèn)證就是用某種方法證明用戶身份是合法的。 口令技術(shù)是目前常用的身份認(rèn)證技術(shù)。問(wèn)題：口令泄露?？诹钚孤锻緩降卿洉r(shí)被他人窺視；攻擊者從計(jì)算機(jī)中存放口令的文件中讀到；口令被在線攻擊猜測(cè)出；被離線攻擊搜索到。第45頁(yè)，共58頁(yè)。3.5 身份認(rèn)證用密碼學(xué)方法的身份認(rèn)證協(xié)議比傳統(tǒng)的口令認(rèn)證更安全。身份認(rèn)證協(xié)議構(gòu)成：兩個(gè)通信方，可能還會(huì)有一個(gè)雙方都信任的第三方參與進(jìn)行。其中一個(gè)通信方按照協(xié)議的規(guī)定向另一方或者第三方發(fā)出認(rèn)證請(qǐng)求，對(duì)方按照協(xié)議的規(guī)定作出響應(yīng)，當(dāng)協(xié)議順利執(zhí)行完畢時(shí)雙方應(yīng)該確信對(duì)方的身份。從使用加密的方法分類：基于對(duì)稱密鑰的身份認(rèn)證基于公鑰加密的身份認(rèn)證。從認(rèn)證的方向性

21、分類：相互認(rèn)證單向認(rèn)證第46頁(yè)，共58頁(yè)。3.5 身份認(rèn)證重放攻擊：簡(jiǎn)單重放：攻擊者簡(jiǎn)單地復(fù)制消息并在此之后重放這條消息?？蓹z測(cè)的重放：攻擊者在有效的時(shí)限內(nèi)重放有時(shí)間戳的消息。不可檢測(cè)的重放：由于原始消息可能被禁止而不能到達(dá)接收方，只有通過(guò)重放消息才能發(fā)送給接收方，此時(shí)可能出現(xiàn)這種攻擊。不加修改的逆向重放：如果使用對(duì)稱密碼，并且發(fā)送方不能根據(jù)內(nèi)容來(lái)區(qū)分發(fā)出的消息和接收的消息，那么可能出現(xiàn)這種攻擊。第47頁(yè)，共58頁(yè)。3.5 身份認(rèn)證對(duì)重放攻擊預(yù)防：序列號(hào)為每個(gè)需要認(rèn)證的消息添加一個(gè)序列號(hào)，新的消息到達(dá)后先對(duì)序列號(hào)進(jìn)行檢查，只有滿足正確次序的序列號(hào)的消息才能被接收。時(shí)間戳為傳送的報(bào)文添加時(shí)間戳，

22、當(dāng)接收到新的消息時(shí)，首先對(duì)時(shí)間戳進(jìn)行檢查，只有在消息的時(shí)間戳與本地時(shí)鐘足夠接近時(shí)，才認(rèn)為該消息是一個(gè)新的消息。隨機(jī)數(shù)/響應(yīng)在接收消息前首先要發(fā)送一個(gè)臨時(shí)的交互號(hào)（隨機(jī)數(shù)），并要求所發(fā)送的消息要包含該臨時(shí)交互號(hào)。第48頁(yè)，共58頁(yè)。3.5 身份認(rèn)證基于口令的身份認(rèn)證 AS：IDA|PWA AS：IDA|salt|PWA哈希鏈方法第49頁(yè)，共58頁(yè)。3.5 身份認(rèn)證基于對(duì)稱密鑰的雙向身份認(rèn)證 （1）Needham-Schroeder協(xié)議Needham-Schroeder協(xié)議利用KDC進(jìn)行密鑰分配，同時(shí)具備了身份認(rèn)證的功能。假設(shè)通信雙方A、B和KDC分別共享密鑰Ka和Kb。1AKDC:IDA|IDB

23、|N12KDCA:EKa(Ks|IDB|N1|EKb(Ks|IDA)3AB:EKb(Ks|IDA)4BA:EKs(N2)5AB:EKs(f(N2)第50頁(yè)，共58頁(yè)。3.5 身份認(rèn)證基于對(duì)稱密鑰的雙向身份認(rèn)證 （2）Denning協(xié)議Denning協(xié)議對(duì)Needham-Schroeder協(xié)議進(jìn)行了修改，引入了時(shí)間戳機(jī)制 1 AKDC:IDa|IDb 2 KDC A:EKa（Ks|IDb|T|EKb（Ks|IDa|T）3 A B:EKb（Ks|IDa|T）4 B A:EKs(N1)5 A B:EKs(f(N1)第51頁(yè)，共58頁(yè)。3.5 身份認(rèn)證基于對(duì)稱密鑰的雙向身份認(rèn)證 （3）Neuman-S

24、tubblebine協(xié)議Neuman-Stubblebine協(xié)議的提出是為了試圖解決抑制-重放攻擊，同時(shí)解決Needham-Schroeder協(xié)議中出現(xiàn)的問(wèn)題： 1AB:IDA|N12BKDC:IDB|N2|EKb(IDA|N1|T)3KDCA:EKa(IDB|N1|KS|T)|EKb(IDA|KS|T)|N24AB:EKb(IDA|KS|T)|EKs(N2)第52頁(yè)，共58頁(yè)。3.5 身份認(rèn)證2.基于對(duì)稱密鑰的單向身份認(rèn)證基于對(duì)稱密鑰的單向認(rèn)證一般也采用以KDC為基礎(chǔ)的方法。但是在電子郵件的應(yīng)用中，無(wú)法要求發(fā)送方和接收方同時(shí)在線，因此在協(xié)議過(guò)程中不存在雙方的交互。具體過(guò)程如下：1 AKDC:IDA|IDB|N12 KDCA:EKa(KS|IDB|N1|EKb(KS|IDA) 3 AB:EKb(IDA|KS)|EKs(M)第53頁(yè)，共58頁(yè)。3.5 身份認(rèn)證基于公鑰的雙向身份認(rèn)證 （1）Denning-Sacco協(xié)議是一種使用時(shí)間戳機(jī)制的公鑰分配和認(rèn)證方法。假設(shè)通信雙方分別為A和B