在网络的应用中,鉴别(atltlDenticatioll)是网络安全中的一个很重要的问题。鉴别和A03TGLC加密并不相同。鉴别是要验证通信的对方的确是自己所要通信的对象,而不是其他的冒充者。鉴别可分为两种。一种是报文鉴别,即所收到的报文的确是报文的发送者所发送的,而不是其他人伪造的或篡改的。另一种则是实体鉴别。实体可以是一个人,也可以是一个进程(客户或服务器)。

   请注意,鉴别与授权(authoriz献ion)是不同的概念。授权涉及到的问题是:所进行的过程是否被允许(如是否可以对某文件进行读或写)。下面分别讨论报文鉴别与实体鉴别的特点。

   许多报文并不需要加密但却需要数字签名,以便让报文的接收者能够鉴别报文的真伪。然而对很长的报文进行数字签名会使计算机增加很大的负担(需要进行很长时间的运算),D运算和E运算都需要花费很多的CPu时间。因此,当我们传送不需要加密的报文时,应当使接收者能用很简单的方法鉴别报文的真伪。

报文摘要MD fMessagc Ⅱgest)是进行报文鉴别的简单方法。如图⒎6所示,A把较长的报文X经过报文摘要算法运算后得出很短的报文摘要〃。然后用自己的私钥对〃进行D运算,即进行数字签名。得出已签名的报文摘要。这个已签名的报文摘要通常称为报文鉴别码WIAC(Mess鸲c AuthentiGatioll Code)。现在把报文鉴别码bIAC追加在报文X后面发送给B。B收到“报文X+报文鉴别码ˇ队C”后,首先把报文鉴别码MAC和报文X分离。然后再做两件事。第一,用A的公钥对报文鉴别码NIAC进行E运算,还原出报文摘要Jf。第 二,对报文X进行报文摘要运算,看是否能够得出同样的报文摘要H。如一样,就能以极高的概率断定收到的报文是A产生的。否则就不是。报文摘要的优点就是:仅对短得多的定长报文摘要Ⅰ进行数字签名要比对整个长报文进行数字签名要简单得多,所耗费的计算

资源也小得多,但对鉴别报文X来说,效果是一样的。也就是说,报文X和报文鉴别码w1Ac合在一起,是不可伪造的,是可检验的和不可否认的。