网络安全的认证技术。

网络认证技术是网络安全技术的重要组成部分之一。认证指的是证实被认证对象是否属实和是否有效的一个过程。其基本思想是通过验证被认证对象的属性来达到确认被认证对象是否真实有效的目的。被认证对象的属性可以是口令、数字签名或者象指纹、声音、视网膜这样的生理特征。认证常常被用于通信双方相互确认身份，以保证通信的安全。认证可采用各种方法进行。

　　基于口令的认证方法

　　传统的认证技术主要采用基于口令的认证方法。当被认证对象要求访问提供服务的系统时，提供服务的认证方要求被认证对象提交该对象的口令，认证方收到口令后，将其与系统中存储的用户口令进行比较，以确认被认证对象是否为合法访问者。

　　这种认证方法的优点在于：一般的系统（如UNIX，Windows NT，NetWare等）都提供了对口令认证的支持，对于封闭的小型系统来说不失为一种简单可行的方法。

　　然而，基于口令的认证方法存在下面几点不足：

　　①用户每次访问系统时都要以明文方式输入口令，这时很容易泄密

　　②口令在传输过程中可能被截获。

　　③系统中所有用户的口令以文件形式存储在认证方，攻击者可以利用系统中存在的漏洞获取系统的口令文件。

　　④用户在访问多个不同安全级别的系统时，都要求用户提供口令，用户为了记忆的方便，往往采用相同的口令。而低安全级别系统的口令更容易被攻击者获得，从而用来对高安全级别系统进行攻击。

　　⑤只能进行单向认证，即系统可以认证用户，而用户无法对系统进行认证。攻击者可能伪装成系统骗取用户的口令。

　　对于第②点，系统可以对口令进行加密传输。对于第③点，系统可以对口令文件进行不可逆加密。尽管如此，攻击者还是可以利用一些工具很容易地将口令和口令文件解密。

　　双因素认证

　　在双因素认证系统中，用户除了拥有口令外，还拥有系统颁发的令牌访问设备。当用户向系统登录时，用户除了输入口令外，还要输入令牌访问设备所显示的数字。该数字是不断变化的，而且与认证服务器是同步的。

　　双因素认证比基于口令的认证方法增加了一个认证要素，攻击者仅仅获取了用户口令或者仅仅拿到了用户的令牌访问设备，都无法通过系统的认证。而且令牌访问设备上所显示的数字不断地变化，这使得攻击变得非常困难。因此，这种方法比基于口令的认证方法具有更好的安全性，在一定程度上解决了口令认证方法中的问题①、②和③。

　　提问握手认证协议CHAP

　　除双因素认证外，还可采用提问-响应（challenge-response）方法来解决上述问题。提问-握手认证协议CHAP（Challenge Handshake Anthentication Protocol）采用的就是提问-响应方法，它通过三次握手（3-way handshake）方式对被认证方的身份进行周期性的认证。其认证过程是：第一步，在通信双方链路建立阶段完成后，认证方（authenticator）向被认证方（peer）发送一个提问（challenge）消息；第二步，被认证方向认证方发回一个响应（response），该响应由单向散列函数计算得出，单向散列函数的输入参数由本次认证的标识符、秘诀（secret）和提问构成；第三步，认证方将收到的响应与它自己根据认证标识符、秘诀和提问计算出的散列函数值进行比较，若相符则认证通过，向被认证方发送“成功”消息，否则，发送“失败”消息，断开连接。在双方通信过程中系统将以随机的时间间隔重复上述三步认证过程。

　

　　CHAP采用的单向散列函数算法可保证由已知的提问和响应不可能计算出秘诀。同时由于认证方的提问值每次都不一样，而且是不可预测的，因而具有很好的安全性。

　　CHAP具有以下优点：

　　①通过不断地改变认证标识符和提问消息的值来防止回放(playback)攻击。

　　②利用周期性的提问防止通信双方在长期会话过程中被攻击。

　　③虽然CHAP进行的是单向认证，但在两个方向上进行CHAP协商，也能实现通信双方的相互认证。 　　④CHAP可用于认证多个不同的系统。

　　CHAP的不足之处是：CHAP认证的关键是秘诀，CHAP的秘诀以明文形式存放和使用，不能利用通常的不可逆加密口令数据库。并且CHAP的秘诀是通信双方共享的，这一点类似于对称密钥体制，因此给秘诀的分发和更新带来了麻烦，要求每个通信对都有一个共享的秘诀，这不适合大规模的系统。