實(shí)體鑒別和報(bào)文鑒別不同。 A08-LC-TT報(bào)文鑒別是對每-個(gè)收到的報(bào)文都要鑒別報(bào)文的發(fā)送者,而實(shí)體鑒別是在系統(tǒng)接入的全部持續(xù)時(shí)間內(nèi)對和自己通信的對方實(shí)體只需驗(yàn)證一次。最簡單的實(shí)體鑒別過程如圖⒎7所示。在圖中的A向遠(yuǎn)端的B發(fā)送有自己的身份A(例

如,A的姓名)和臼令的報(bào)文,并且使用雙方約定好的共享對稱密鑰KA:進(jìn)行加密。圖中A發(fā)送給B的報(bào)文的左上方的小鎖表示報(bào)文已被加密,而加密用的對稱密鑰KA:就標(biāo)注在小鎖的左邊。B收到此報(bào)文后,用共享對稱密鑰Κ施進(jìn)行解密,因而鑒別了實(shí)體A的身份。

   然而這種簡單的鑒別方法具有明顯的漏洞。例如,入侵者C可以從網(wǎng)絡(luò)上截獲A發(fā)給B的報(bào)文,C并不需要破譯這個(gè)報(bào)文(因?yàn)檫@可能得花很長時(shí)間)而是直接把這個(gè)由A力口密的報(bào)文發(fā)送給B,使B誤認(rèn)為C就是A;然后B就向偽裝是A的C發(fā)送許多本來應(yīng)當(dāng)發(fā)給A的報(bào)文。這就叫做重放攻擊(rcpl呷attack)oC甚至還可以截獲A的IP地址,后把A的IP地址冒充為自己的IP地址(這叫做IP欺騙)”使B更加容易受騙。

   為了對付重放攻擊,可以使用不重?cái)?shù)lnoncC)。不重?cái)?shù)就是一個(gè)不重復(fù)使用的大隨機(jī)數(shù),即“一次一數(shù)”。在鑒別過程中不重?cái)?shù)可以使B能夠把重復(fù)的鑒別請求和新的鑒別請求區(qū)分開。圖⒎8給出了這個(gè)過程。