鉴别

• 鉴别(authentication)和授权(authorization)：

鉴别(authentication)是要验证通信的双方的确是自己所要通信的对象，而不是其他的冒充者，并且所传送的报文是完整的。

授权(authorization)涉及的问题是：所进行的过程是否被允许。

1、报文鉴别

Ⅰ、密码散列函数

数字签名就能实现报文鉴别，但是计算开销很大。所以另一种相对简单的方法就是密码散列函数(cryptographic hash function)。

• 散列函数的特点：

1. 散列函数的输入可以很长，但是其输出长度是短并且固定的。
2. 不同的散列函数肯定对应不同的输入，但是不同的输入却可能得出相同的散列值。即输入输出是多对一的。
3. 散列函数是单向函数。无法通过计算来找出相同散列的两个输入。

Ⅱ、密码散列函数MD5和SHA-1

最出名的密码散列函数就是MD5(报文摘要第5版)和SHA-1。SHA是从MD5发展而来的。

MD5和SHA-1已经被破解，目前应用SHA-2和SHA-3。

Ⅲ、报文鉴别码

散列值需要加密一次。然后再拼接在报文后。

散列用密钥加密的结果称为报文鉴别码(MAC)。

2、实体鉴别

实体鉴别和报文鉴别不同。报文鉴别是对每一个收到的报文都要鉴别报文的发送者，而实体鉴别是在系统接入的全部持续时间内和对自己通信的对方实体只鉴别一次。

（END）