信息認(rèn)證技術(shù)概述

信息認(rèn)證技術(shù)概述3.1概述在網(wǎng)絡(luò)通信和電子商務(wù)中很容易發(fā)生如下問(wèn)題。1．否認(rèn)，發(fā)送信息的一方不承認(rèn)自己發(fā)送過(guò)某一信息。2．偽造，接收方偽造一份文件，并聲稱(chēng)它來(lái)自某發(fā)送方的。3．冒充，網(wǎng)絡(luò)上的某個(gè)用戶(hù)冒充另一個(gè)用戶(hù)接收或發(fā)送信息。4．篡改，信息在網(wǎng)絡(luò)傳輸過(guò)程中已被篡改，或接收方對(duì)收到的信息進(jìn)行篡改。用數(shù)字簽名（DigitalSignature）可以有效地解決這些問(wèn)題。數(shù)字簽名就是主要用于對(duì)數(shù)字信息進(jìn)行的簽名，以防止信息被偽造或篡改等。3.1概述一個(gè)安全的認(rèn)證系統(tǒng)應(yīng)滿(mǎn)足以下條件：（1）合法的接收者能夠檢驗(yàn)所接收消息的合法性和真實(shí)性。（2）合法的發(fā)送方對(duì)所發(fā)送的消息無(wú)法進(jìn)行否認(rèn)。（3）除了合法的發(fā)送方之外，任何人都無(wú)法偽造、篡改消息。3.2哈希函數(shù)

哈希函數(shù)，單向散列函數(shù)基本思想輸入任意長(zhǎng)度的消息M，產(chǎn)生固定長(zhǎng)度的數(shù)據(jù)輸出。向hash函數(shù)輸入一任意長(zhǎng)度的信息M時(shí)，hash函數(shù)將輸出一固定長(zhǎng)度為m的散列值h。即：h=H(M)

性質(zhì)：固定長(zhǎng)度輸出散列值h。給定M，很容易計(jì)算h。給定h，根據(jù)H(M)＝h計(jì)算M很難。給定M，找到另一消息M’，滿(mǎn)足H(M)＝H(M’)，在計(jì)算上是不可行的---弱抗碰撞性。對(duì)于任意兩個(gè)不同的消息M≠M(fèi)’，它們的散列值不可能相同---強(qiáng)抗碰撞性。注：碰撞性是指對(duì)于兩個(gè)不同的消息M和M’，如果它們的摘要值相同，則發(fā)生了碰撞。3.2哈希函數(shù)

安全散列函數(shù)的一般結(jié)構(gòu)與分組對(duì)稱(chēng)密碼的CBC模式非常相似。函數(shù)的輸入M被分為b位的L個(gè)分組Y0,Y1,..YL-1，以及n位鏈接變量初值V0，通常b>n。反復(fù)調(diào)用壓縮函數(shù)f：Vi=f(Yi-1,Vi-1)，i=1,2,..L。f輸出Vi仍然是n位。M的散列值H(M,V0)=VL算法的核心是壓縮函數(shù)f在對(duì)M的分組中，最后一組YL-1不足b位時(shí)填充0或者1將其補(bǔ)足。通常還將M的長(zhǎng)度填充到最后一個(gè)分組中。fY0V0fY1V1fYL-1VL-1VL安全散列函數(shù)的一般結(jié)構(gòu)常用的哈希函數(shù)MD5SHA-1RIPEMD-160等等MD5算法麻省理工學(xué)院RonRivest提出，可將任意長(zhǎng)度的消息經(jīng)過(guò)變換得到一個(gè)128位的散列值。MD5算法：MD5以512位分組來(lái)處理輸入的信息，每一分組又被劃分為16個(gè)32位子分組，經(jīng)過(guò)了一系列的處理后，算法的輸出由四個(gè)32位分組組成，將這四個(gè)32位分組級(jí)聯(lián)后生成128位散列值。

MD5產(chǎn)生消息摘要的過(guò)程MD5算法實(shí)現(xiàn)邏輯由4個(gè)步驟組成：S1：消息分組與填充。（1）將輸入信息M按順序每512位一組進(jìn)行分組：M=M1，M2，…，Mn-1，Mn（2）將信息M的Mn長(zhǎng)度填充為448位。 當(dāng)Mn長(zhǎng)度L（bit為單位）<448時(shí)，在信息Mn后加一個(gè)“1”，然后再填充447-L個(gè)“0”，使最后的信息Mn長(zhǎng)度為448位。當(dāng)Mn長(zhǎng)度L>448時(shí)，在信息Mn后加一個(gè)“1”，然后再填充512-L+447個(gè)“0”，使最后的信息Mn長(zhǎng)度為512位，Mn+1長(zhǎng)度為448位最后一個(gè)分組的后64位為M的位長(zhǎng)度（低字節(jié)優(yōu)先）。S2：緩沖區(qū)初始化。MD5算法使用128位緩沖區(qū)存放處理過(guò)程的中間結(jié)果和最后的消息摘要值。這128位緩沖分為4個(gè)32位邏輯寄存器A、B、C、D。每個(gè)寄存器以L(fǎng)ittle-Endian存放數(shù)據(jù)，其初始值為：A=0x1234567，B=0x89abcdef，C=0xfedcba98，D=0x7543210這四個(gè)32位變量被稱(chēng)為鏈接變量，它們始終參與運(yùn)算并形成最終的散列值。S3：對(duì)每個(gè)分組Mi進(jìn)行壓縮處理HMD5。HMD5是算法核心。HMD5內(nèi)部有4輪處理過(guò)程。每輪處理結(jié)構(gòu)一樣，但使用的位邏輯函數(shù)不同，分別表示為F、G、H、I。每輪處理的輸入是當(dāng)前正在處理的512位分組、128位緩沖區(qū)(A、B、C、D)的當(dāng)前值和常量表T中四分之一的常數(shù)，即分別為T(mén)[1..16]、T[17…32]、T[33…48]、T[49...64]。第4輪處理的輸出再與第1輪的輸入CVq按照4個(gè)32位字進(jìn)行模232相加，結(jié)果即為壓縮函數(shù)HMD5對(duì)當(dāng)前512位分組的輸出。常量表T=T[1,…64]中各元素：T[i]=int(232×abs(sin(i)))，為32位整型數(shù)。T作為予置的常數(shù)表，其作用是隨機(jī)化32位整型量，消除輸入數(shù)據(jù)的規(guī)律性。

壓縮函數(shù)HMD5每輪處理細(xì)節(jié)由對(duì)128位緩沖區(qū)(A、B、C、D)的16步迭代構(gòu)成，每一步運(yùn)算如下：

a←B+CLS(s,A+g(B,C,D)+X[k]+T[i]))其中，+為模232加法，CLS(s,w)是對(duì)32位字w循環(huán)左移s位。位邏輯函數(shù)g分別取F、G、H、I之一，X[k]=M[q×16+k]，即消息的第q個(gè)分組中第k個(gè)32位字(k=1,2,..16)。512位分組的壓縮處理HMD5HMD5中每步的邏輯運(yùn)算位邏輯運(yùn)算函數(shù)F、G、H、I定義如下：F(x,y,z)=(x&y)|((~x)&z)G(x,y,z)=(x&z)|(y&(~z))H(x,y,z)=x⊕y⊕zI(x,y,z)=z⊕(y&(~z))

上圖中ρj(i)表示各輪處理中使用16個(gè)32位字的不同次序（j=2,3,4）。其中第1輪按照初始次序；第2、3、4輪按照下式對(duì)(1,2,..16)進(jìn)行置換：ρ2(i)=（1+5*i）mod16ρ3(i)=（5+3*i）mod16ρ4(i)=(7*i)mod16S4：將消息M的L個(gè)分組處理完畢，最后一個(gè)分組處理的輸出即為消息M的摘要。因此，第3、4步可以總結(jié)為：CV0=V1CVq+1=CVq+RFI(Yq,RFH(Yq,RFG(Yq,RFF(Yq,CVq))))q=1,2,..(L-1)MD=CVL其中RFX()為與位邏輯函數(shù)X結(jié)合的輪處理過(guò)程(X=F、G、H、I)，+為對(duì)應(yīng)32位字模232加法。V1取緩沖區(qū)(A、B、C、D)的初值。

MD5算法的核心處理HMD5中重復(fù)進(jìn)行位邏輯運(yùn)算F、G、H、I，使得最終輸出的摘要中每一位與輸入消息中所有位相關(guān)，因此達(dá)到很好的混淆效果。MD5在數(shù)據(jù)處理中廣泛使用。例如：用戶(hù)口令可以用MD5碼值秘密存儲(chǔ)。當(dāng)用戶(hù)輸入口令時(shí)先轉(zhuǎn)換為對(duì)應(yīng)MD5碼值，在和系統(tǒng)保存的密碼MD5值進(jìn)行比較(Linux)。這樣系統(tǒng)在未知用戶(hù)口令的情況下即可實(shí)現(xiàn)對(duì)口令的驗(yàn)證，同時(shí)用戶(hù)口令對(duì)于系統(tǒng)管理員也是未知的。SHA(SecureHashAlgorithm)是美國(guó)國(guó)家標(biāo)準(zhǔn)與技術(shù)研究所（NIST）提出，于1993年作為聯(lián)邦信息處理標(biāo)準(zhǔn)（FIPS180）發(fā)布的，1995年又發(fā)布了其修訂版（FIPS180-1），通常稱(chēng)為SHA-1。與MD5相比，SHA-1生成160位的消息摘要，執(zhí)行速度有所降低，卻被認(rèn)為更安全。明文消息的最大長(zhǎng)度可達(dá)到264位。3.2.3SHA-1算法與MD5算法類(lèi)似，SHA-1算法也需要對(duì)消息進(jìn)行填充補(bǔ)位。補(bǔ)位是這樣進(jìn)行的：先添加一個(gè)1，然后再添加多個(gè)0，使得消息長(zhǎng)度滿(mǎn)足對(duì)512取模后余數(shù)是448。SHA-1的中間結(jié)果和最終結(jié)果保存在160位的緩沖區(qū)中，緩沖區(qū)用5個(gè)32位的變量表示，這些變量初始化為： A=0x67452301 B=0xefcdab89 C=0x98badcfe D=0x10325476 E=0xc3d2e1f03.2.3SHA-1算法SHA-1的主循環(huán)

3.2.3SHA-1算法SHA-1的非線(xiàn)性函數(shù)

3.2.3SHA-1算法對(duì)512位的消息進(jìn)行處理，將其從16個(gè)32位的消息分組變成80個(gè)32位的消息分組。用到的80對(duì)常數(shù)：3.2.3SHA-1算法SHA-1的基本操作過(guò)程

3.2.3SHA-1算法1981年，NIST發(fā)布FIPS180-2，新增了三個(gè)哈希函數(shù)，分別為SHA-256，SHA-384，SHA-512，其散列值的長(zhǎng)度分別為256,384,512。同時(shí)，NIST指出FIPS180-2的目的是要與使用AES而增加的安全性相適應(yīng)。SHA-1SHA-256SHA-384SHA-512散列值長(zhǎng)度160256384512消息大小<264<264<2128<2128分組大小51251210241024字長(zhǎng)32326464步數(shù)808080803.2.3SHA-1算法3.3消息認(rèn)證技術(shù)網(wǎng)絡(luò)傳輸過(guò)程中信息保密性的要求： (1)對(duì)敏感的數(shù)據(jù)進(jìn)行加密，即使別人截獲文件也無(wú)法得到真實(shí)內(nèi)容。(2)保證數(shù)據(jù)的完整性，防止截獲人對(duì)數(shù)據(jù)進(jìn)行篡改。(3)對(duì)數(shù)據(jù)和信息的來(lái)源進(jìn)行驗(yàn)證，以確保發(fā)信人的身份。消息認(rèn)證是指使合法的接收方能夠檢驗(yàn)消息是否真實(shí)的方法。檢驗(yàn)內(nèi)容包括驗(yàn)證通信的雙方和驗(yàn)證消息內(nèi)容是否偽造或遭篡改。常見(jiàn)的認(rèn)證函數(shù)：(1)消息加密：將整個(gè)消息的密文作為認(rèn)證碼。(2)哈希函數(shù)：通過(guò)哈希函數(shù)使消息產(chǎn)生定長(zhǎng)的散列值作為認(rèn)證碼。(3)消息認(rèn)證碼（MAC）：將消息與密鑰一起產(chǎn)生定長(zhǎng)值作為認(rèn)證碼。3.3消息認(rèn)證技術(shù)基于對(duì)稱(chēng)密鑰加密的消息認(rèn)證過(guò)程3.3消息認(rèn)證技術(shù)(1)消息加密認(rèn)證添加校驗(yàn)碼的消息認(rèn)證過(guò)程3.3消息認(rèn)證技術(shù)(1)消息加密認(rèn)證基于公鑰加密的消息認(rèn)證過(guò)程(1)消息加密認(rèn)證3.3消息認(rèn)證技術(shù)使用哈希函數(shù)的消息認(rèn)證過(guò)程

3.3消息認(rèn)證技術(shù)(2)哈希函數(shù)認(rèn)證保證機(jī)密性的哈希函數(shù)消息認(rèn)證過(guò)程(2)哈希函數(shù)認(rèn)證3.3消息認(rèn)證技術(shù)混合加密認(rèn)證

(2)哈希函數(shù)認(rèn)證3.3消息認(rèn)證技術(shù)MAC函數(shù)與加密函數(shù)相似之處在于使用了密鑰，但差別在于加密函數(shù)是可逆的，而MAC函數(shù)可以是單向的，它無(wú)需可逆，因此比加密更不容易破解。哈希函數(shù)同樣也可以用來(lái)產(chǎn)生消息認(rèn)證碼。假設(shè)Ｋ是通信雙方Ａ和Ｂ共同擁有的密鑰，A要發(fā)送消息M給B，在不需要進(jìn)行加密的條件下，A只需將M和K合起來(lái)一起通過(guò)哈希函數(shù)計(jì)算出其散列值，即H(M||K)，該散列值就是M的消息認(rèn)證碼。3.3消息認(rèn)證技術(shù)(3)消息認(rèn)證碼（MAC）的認(rèn)證基于消息認(rèn)證碼的認(rèn)證過(guò)程:MAC=C(M,K)=[H(M||k)或者DES密碼鏈接模式值]

(3)消息認(rèn)證碼（MAC）的認(rèn)證3.3消息認(rèn)證技術(shù)3.4數(shù)字簽名用戶(hù)A與B相互之間要進(jìn)行通信，雙方擁有共享的會(huì)話(huà)密鑰K，在通信過(guò)程中可能會(huì)遇到如下問(wèn)題：1）A偽造一條消息，并稱(chēng)該消息來(lái)自B。A只需要產(chǎn)生一條偽造的息，用A和B的共享密鑰通過(guò)哈希函數(shù)產(chǎn)生認(rèn)證碼，并將認(rèn)證碼附于消息之后。由于哈希函數(shù)的單向性和密鑰K是共享的，因此無(wú)法證明該消息是A偽造的。2）B可以否認(rèn)曾經(jīng)發(fā)送過(guò)某條消息。因?yàn)槿魏稳硕加修k法偽造消息，所以無(wú)法證明B是否發(fā)送過(guò)該消息。哈希函數(shù)可以進(jìn)行報(bào)文鑒別，但無(wú)法阻止通信用戶(hù)的欺騙和抵賴(lài)行為。當(dāng)通信雙方不能互相信任，需要用除了報(bào)文鑒別技術(shù)以外的其他方法來(lái)防止類(lèi)似的抵賴(lài)和欺騙行為。3.4數(shù)字簽名數(shù)字簽名也稱(chēng)電子簽名?！耙噪娮有问剿交蜻壿嬌吓c其他電子數(shù)據(jù)相關(guān)的數(shù)據(jù)，做為一種判別的方法?！甭?lián)合國(guó)貿(mào)法會(huì)《電子簽名示范法》定義為：“在數(shù)據(jù)電文中以電子形式所含、所附或在邏輯上與數(shù)據(jù)電文有聯(lián)系的數(shù)據(jù)，它可用于鑒別與數(shù)據(jù)電文相關(guān)的簽名人和表明簽名人認(rèn)可數(shù)據(jù)電文所含信息。”數(shù)字簽名應(yīng)該能夠在數(shù)據(jù)通信過(guò)程中識(shí)別通信雙方的真實(shí)身份，保證通信的真實(shí)性以及不可抵賴(lài)性，起到與手寫(xiě)簽名或者蓋章同等作用。簽名應(yīng)該具有的特征：（1）可信。因?yàn)锽是用A的公鑰解開(kāi)加密文件的，這說(shuō)明原文件只能被A的私鑰加密而只有A才知道自己的私鑰。（2）無(wú)法被偽造。只有A知道自己的私鑰。因此只有A能用自己的私鑰加密一個(gè)文件。（3）無(wú)法重復(fù)使用。簽名在這里就是一個(gè)加密過(guò)程，自己無(wú)法重復(fù)使用。（4）文件被簽名以后是無(wú)法被篡改的。因?yàn)榧用芎蟮奈募桓膭?dòng)后是無(wú)法被A的公鑰解開(kāi)的。（5）簽名具有不可否認(rèn)性。因?yàn)槌鼳以外無(wú)人能用A的私鑰加密一個(gè)文件。3.4數(shù)字簽名1.直接數(shù)字簽名3.4.2數(shù)字簽名的實(shí)現(xiàn)用戶(hù)A與B要進(jìn)行通信，每個(gè)從A發(fā)往B的簽名報(bào)文首先都先發(fā)送給仲裁者C，C檢驗(yàn)該報(bào)文及其簽名的出處和內(nèi)容，然后對(duì)報(bào)文注明日期，同時(shí)指明該報(bào)文已通過(guò)仲裁者的檢驗(yàn)。仲裁者的引入解決了直接簽名方案中所面臨的問(wèn)題，及發(fā)送方的否認(rèn)行為。2.仲裁數(shù)字簽名3.4.2數(shù)字簽名的實(shí)現(xiàn)方案1(基于對(duì)稱(chēng)加密算法,消息M不加密)[1]A→C:M||EKA(IDA||H(M))[2]C→B:EKB(IDA||M||EKA(IDA||H(M))||T)方案2(基于對(duì)稱(chēng)加密算法，消息M加密)[1]A→C:IDA||EKS(M)||EKA(IDA||H(EKS(M)))[2]C→B:EKB(IDA||EKS(M)||EKA(IDA||H(EKS(M)))||T)方案3(基于公鑰加密算法，消息M加密)[1]A→C:IDA||EKAS(IDA||EKBP(EKAS(M)))[2]C→B:EKCS(IDA||EKBP(EKAS(M))||T)3.4.2數(shù)字簽名的實(shí)現(xiàn)2.仲裁數(shù)字簽名數(shù)字簽名標(biāo)準(zhǔn)（DigitalSignatureStandard，DSS)是美國(guó)國(guó)家標(biāo)準(zhǔn)技術(shù)局（NIST）在1991年提出作為美國(guó)聯(lián)邦信息處理標(biāo)準(zhǔn)（FIPS）。它采用了美國(guó)國(guó)家安全局(NSA)主持開(kāi)發(fā)的數(shù)字簽名算法(DigitalSignatureAlgorithm,DSA)，DSS使用安全散列算法（SHA），給出一種新的數(shù)字簽名方法。DSS在出后，分別于1993年和1996年做了修改。2000年發(fā)布該標(biāo)準(zhǔn)的擴(kuò)充版，即FIPS186-2,其中包括基于RSA和橢圓曲線(xiàn)密碼的數(shù)字簽名算法。3.4.3數(shù)字簽名標(biāo)準(zhǔn)RSA數(shù)字簽名方法3.4.3數(shù)字簽名標(biāo)準(zhǔn)DSS數(shù)字簽名方法3.4.3數(shù)字簽名標(biāo)準(zhǔn)DSS簽名函數(shù)

3.4.3數(shù)字簽名標(biāo)準(zhǔn)圖3.17DSS驗(yàn)證函數(shù)

3.5身份認(rèn)證身份認(rèn)證目的--對(duì)通信中一方的身份進(jìn)行標(biāo)識(shí)和驗(yàn)證。方法驗(yàn)證用戶(hù)所擁有的可被識(shí)別的特征。身份認(rèn)證系統(tǒng)構(gòu)成：被驗(yàn)證身份者(示證者)；驗(yàn)證者攻擊者可信任的機(jī)構(gòu)作為仲裁或調(diào)解機(jī)構(gòu)。3.5身份認(rèn)證在網(wǎng)絡(luò)通信中，身份認(rèn)證就是用某種方法證明用戶(hù)身份是合法的?？诹罴夹g(shù)是目前常用的身份認(rèn)證技術(shù)。問(wèn)題：口令泄露?？诹钚孤锻緩降卿洉r(shí)被他人窺視；攻擊者從計(jì)算機(jī)中存放口令的文件中讀到；口令被在線(xiàn)攻擊猜測(cè)出；被離線(xiàn)攻擊搜索到。3.5身份認(rèn)證用密碼學(xué)方法的身份認(rèn)證協(xié)議比傳統(tǒng)的口令認(rèn)證更安全。身份認(rèn)證協(xié)議構(gòu)成：兩個(gè)通信方，可能還會(huì)有一個(gè)雙方都信任的第三方參與進(jìn)行。其中一個(gè)通信方按照協(xié)議的規(guī)定向另一方或者第三方發(fā)出認(rèn)證請(qǐng)求，對(duì)方按照協(xié)議的規(guī)定作出響應(yīng)，當(dāng)協(xié)議順利執(zhí)行完畢時(shí)雙方應(yīng)該確信對(duì)方的身份。從使用加密的方法分類(lèi)：基于對(duì)稱(chēng)密鑰的身份認(rèn)證基于公鑰加密的身份認(rèn)證。從認(rèn)證的方向性分類(lèi)：相互認(rèn)證單向認(rèn)證3.5身份認(rèn)證重放攻擊：簡(jiǎn)單重放：攻擊者簡(jiǎn)單地復(fù)制消息并在此之后重放這條消息?？蓹z測(cè)的重放：攻擊者在有效的時(shí)限內(nèi)重放有時(shí)間戳的消息。不可檢測(cè)的重放：由于原始消息可能被禁止而不能到達(dá)接收方，只有通過(guò)重放消息才能發(fā)送給接收方，此時(shí)可能出現(xiàn)這種攻擊。不加修改的逆向重放：如果使用對(duì)稱(chēng)密碼，并且發(fā)送方不能根據(jù)內(nèi)容來(lái)區(qū)分發(fā)出的消息和接收的消息，那么可能出現(xiàn)這種攻擊。3.5身份認(rèn)證對(duì)重放攻擊預(yù)防：序列號(hào)為每個(gè)需要認(rèn)證的消息添加一個(gè)序列號(hào)，新的消息到達(dá)后先對(duì)序列號(hào)進(jìn)行檢查，只有滿(mǎn)足正確次序的序列號(hào)的消息才能被接收。時(shí)間戳為傳送的報(bào)文添加時(shí)間戳，當(dāng)接收到新的消息時(shí)，首先對(duì)時(shí)間戳進(jìn)行檢查，只有在消息的時(shí)間戳與本地時(shí)鐘足夠接近時(shí)，才認(rèn)為該消息是一個(gè)新的消息。隨機(jī)數(shù)/響應(yīng)在接收消息前首先要發(fā)送一個(gè)臨時(shí)的交互號(hào)（隨機(jī)數(shù)），并要求所發(fā)送的消息要包含該臨時(shí)交互號(hào)。3.5身份認(rèn)證基于口令的身份認(rèn)證(單向)1）A→S：IDA||PWA

Server保存（IDA，H(PWA))A→S：IDA||salt||PWA

//salt:隨機(jī)數(shù)

Server保存（IDA，salt,H(PWA,salt))3）哈希鏈方法：倒序遞減保存口令的Hash值，防止對(duì)相同口令的竊聽(tīng)3.5身份認(rèn)證基于對(duì)稱(chēng)密鑰的雙向身份認(rèn)證

（1）Needham-Schroeder協(xié)議Needham-Schroeder協(xié)議利用KDC進(jìn)行密鑰分配，同時(shí)具備了身份認(rèn)證的功能。假設(shè)通信雙方A、B和KDC分別共享密鑰Ka和Kb。 [1]A→KDC:IDA||IDB||N1 [2]KDC→A:EKa(Ks||IDB||N1||EKb(Ks||IDA)) [3]A→B:EKb(Ks||IDA)//有可能被重放 [4]B→A:EKs(N2) [5]A→B:EKs(f(N2))3.5身份認(rèn)證基于對(duì)稱(chēng)密鑰的雙向身份認(rèn)證

（2）Denning協(xié)議Denning協(xié)議對(duì)Needham-Schroeder協(xié)議進(jìn)行了修改，引入了時(shí)間戳機(jī)制[1]A→KDC:IDa||IDb

[2]KDC→A:EKa（Ks||IDb||T||EKb（Ks||IDa||T））[3]A→B:EKb（Ks||IDa||T）[4]B→A:EKs(N1)[5]A→B:EKs(f(N1))3.5身份認(rèn)證基于對(duì)稱(chēng)密鑰的雙向身份認(rèn)證

（3）Neuman-Stubblebine協(xié)議Neuman-Stubblebine協(xié)議的提出是為了試圖解決抑制-重放攻擊，同時(shí)解決Needham-Schroeder協(xié)議中出現(xiàn)的問(wèn)題：[1]A→B:IDA||N1[2]B→KDC:IDB||N2||EKb(IDA||N1||T)[3]KDC→A:EKa(IDB||N1||KS||T)||EKb(IDA||KS||T)||N2[4]A→B:EKb(IDA||KS||T)||EKs(N2)3.5身份認(rèn)證2.基于對(duì)稱(chēng)密鑰的單向身份認(rèn)證 基于對(duì)稱(chēng)密鑰的單向認(rèn)證一般也采用以KDC為基礎(chǔ)的方法。但是在電子郵件的應(yīng)用中，無(wú)法要求發(fā)送方和接收方同時(shí)在線(xiàn)，因此在協(xié)議過(guò)程中不存在雙方的交互。具體過(guò)程如下： [1]A→KDC:IDA||IDB||N1 [2]KDC→A:EKa(KS||IDB||N1||EKb(KS||IDA))[3]A→B:EKb(IDA||KS)||EKs(M)3.5身份認(rèn)證基于公鑰的雙向身份認(rèn)證

（1）Denning-Sacco協(xié)議是一種使用時(shí)間戳機(jī)制的公鑰分配和認(rèn)證方法。假設(shè)通信雙方分別為A和B，AS為認(rèn)證服務(wù)器。

[1]A→AS:IDA||IDB [2]AS→A:EKsas(IDA||Kpa||T)||EKsas(IDB||K