實體鑒別和報文鑒別不同。 A08-LC-TT報文鑒別是對每-個收到的報文都要鑒別報文的發(fā)送者,而實體鑒別是在系統(tǒng)接入的全部持續(xù)時間內(nèi)對和自己通信的對方實體只需驗證一次。最簡單的實體鑒別過程如圖⒎7所示。在圖中的A向遠(yuǎn)端的B發(fā)送有自己的身份A(例

如,A的姓名)和臼令的報文,并且使用雙方約定好的共享對稱密鑰KA:進行加密。圖中A發(fā)送給B的報文的左上方的小鎖表示報文已被加密,而加密用的對稱密鑰KA:就標(biāo)注在小鎖的左邊。B收到此報文后,用共享對稱密鑰Κ施進行解密,因而鑒別了實體A的身份。

   然而這種簡單的鑒別方法具有明顯的漏洞。例如,入侵者C可以從網(wǎng)絡(luò)上截獲A發(fā)給B的報文,C并不需要破譯這個報文(因為這可能得花很長時間)而是直接把這個由A力口密的報文發(fā)送給B,使B誤認(rèn)為C就是A;然后B就向偽裝是A的C發(fā)送許多本來應(yīng)當(dāng)發(fā)給A的報文。這就叫做重放攻擊(rcpl呷attack)oC甚至還可以截獲A的IP地址,后把A的IP地址冒充為自己的IP地址(這叫做IP欺騙)”使B更加容易受騙。

   為了對付重放攻擊,可以使用不重數(shù)lnoncC)。不重數(shù)就是一個不重復(fù)使用的大隨機數(shù),即“一次一數(shù)”。在鑒別過程中不重數(shù)可以使B能夠把重復(fù)的鑒別請求和新的鑒別請求區(qū)分開。圖⒎8給出了這個過程。