第6章认证技术原理与应用

6.1 认证概述

6.1.1 认证概念

认证是一个实体向另一个实体证明其所声称的身份过程。

认证一般由标识（Identification）和鉴别（Authentication）两部分组成

6.1.2 认证依据

常见认证依据有4类：

所知道的密码（something you know）
所拥有的实物凭证（something you have）
所具备的生物特征（）
所表现的行为特征（something you can do）

$y=\sin(x)\\y=\mod\!x\\y=C\pmod x$

$y = f (x)$

$x = f^{'} (y)$

6.1.3 认证原理

认证机制由认证对象、认证协议、鉴别实体构成

认证分类：

单因素认证、多因素认证

一次性口令（OTP）
持续认证：

鉴定因素认识因素、物理因素、上下文因素

6.1.4 认证发展

NSTIC-eID

《网络安全法》《电子签名法》

OpenID SAML OAuth FIDO等国际标准

6.2 认证类型与认证过程

6.2.1 单向认证

两种单向认证的技术方法：

基于共享密钥
设验证着和声称者共享一个密钥 $K_{AB}$ ， $ID_A$ 为实体A的标识。则认证过程如下：
- 第一步，A产生并向B发送消息 $ID_A,K_{AB})$ .
- 第二步，B收到 $ID_A,K_{AB})$ 的消息后，B检查 $ID_A,K_{AB}$ 的正确性，若正确，则确认A的身份
- 第三步，B回复A验证结果消息
基于挑战响应

验证者B生成一个随机数 $R_B$ ， $ID_A$ 为实体A的标识， $ID_B$ 为实体B的标识，则认证过程如下：
- 第一步，B生成一个随机数 $R_B$ ，并向A发送消息 $ID_B,R_B)$ 。
- 第二步，A收到 $ID_B,R_B)$ 消息后，安全生成包含随机数R_B的密钥 $K_{AB}$ ,并发送消息 $ID_A,K_{AB})$ 到B
- 第三步，B收到 $ID_A,K_{AB})$ 消息后，解密 $K_{AB}$ ，检查 $R_B$ ，是否正确，若正确，则确认A的身份。
- 第四步，B回复A验证结果消息

6.2.2 双向认证原理图

6.2.3 第三方认证

第三方认证是指两个实体在鉴别过程中通过可信的第三方来实现。

实体 A 和实体 B 基于第三方的认证方案有多种形式，本文选取一种基于第三方挑战响应的技术方案进行阐述。设A和B各生成随机数为 $R_A$ ， $R_B$ , $ID_A$ 为实体A 的标识， $ID_B$ 为实体B的标识，则认证过程简要描述如下：
第一步，实体A 向第三方P发送加密消息 $K_{PA}(ID_B,R_A)$
第二步，第三方收到 $K_{PA}(ID_B,R_A)$ 的消息后，解密获取实体A消息。生成消息 $K_{PA}(R_A,K_{AB})$ 和 $K_{PB}(ID_A,K_{AB})$ ，发送到实体A。
第三步，实体A发送 $K_{PB}(ID_A,K_{AB})$ 到实体B.
第四步，实体B解密消息 $K_{PB}(ID_A,K_{AB})$ ，生成消息 $K_{AB}(ID_A,R_B)$ ，然后发送给实体 A。
第五步，实体A解密区 $K_{AB}(ID_A,R_B)$ ，生成消息 $K_{AB}(ID_B,R_B)$ 发送给实体B
第六步，实体 B解密消息 $K_{AB}(ID_B,R_B)$ ，检查尽的正确性，若正确，则实体 A认证通过。
第七步，B 回复A验证结果消息。