编码理论 第二版 教学课件 作者 田丽华 第12 16章 第13章.ppt

13.1　消息认证系统 13.1.1　认证系统模型　　信息的认证和保密是信息安全的两个不同方面，一个认证码可以具有保密功能，也可以没有保密功能，没有保密功能的认证码亦称Cartesian码。对具有保密功能的认证码而言，任何给定的消息没有给出关于信源的任何信息。而对Cartesian码而言，每个消息都独立于所使用的编码规则并惟一确定一个信源，无论谁看到消息都能断定这一消息所代表的信源。 　　G．J．Simmons在1984年首次系统地提出了认证系统的信息理论，他将信息论用于研究认证系统的理论安全性和实际安全性问题，指出认证系统的性能极限以及设计认证码所必须遵循的原则。虽然这一理论还不太成熟和完善，但它在认证系统中的地位与Shannon的信息理论在保密系统中的地位一样重要，它为认证系统的研究奠定了理论基础。 　　认证理论的主要研究目标有两个：一个是推导欺骗者欺骗成功的概率的下界；另一个是构造欺骗者欺骗成功的概率尽可能小的认证码，当然，也要考虑到其他因素，诸如信源集、消息集和编码规则集的大小等。目前研究的认证系统模型主要有两种。一种是无仲裁的认证系统模型，如图13－1所示。在这种模型中，只有三方面的参加者，即消息的发送者、接收者和敌方，消息的发送者和接收者相互信任，他们拥有同样的秘密消息，共同来对付敌方。另一种是有仲裁的认证系统模型，如图13－2示。在这种模型中，有四方面的参加者，即消息的发送者、接收者、敌方和仲裁者，消息的发送者和接收者相互不信任，但他们都信任仲裁者，仲裁者拥有所有的秘密信息。 图13－1　无仲裁的认证系统模型 图13－2　有仲裁的认证系统模型 　　在不需要有仲裁的消息认证系统中，发信者与收信者必须相互信任，才能防止敌方的各种攻击。而在有仲裁的认证系统中，通信双方必须对仲裁绝对信任。仲裁者如果不可靠，他无论对发信者还是收信者的欺诈都是很容易成功的。对于这种由仲裁者引起的欺诈的防止，E.G.Brickell和D.R.Stinson提出了利用多个仲裁者的方案。 13.1.2　认证系统的构成　　一个无仲裁者的认证系统中，发送者和接收者是相互信任的，他们联合起来共同对付敌方，最终的目的是使发送者通过一个公开的无扰信道将消息发送给接收者，接收者不仅能收到消息本身，而且还能验证消息是否来自发送者及消息是否被敌方篡改过。此时的敌方不仅可截收和分析信道中传送的消息，而且可伪造消息发送给接收者进行欺诈，他不再像保密系统中的分析者那样始终处于消极被动地位，而是可发起主动攻击。 　　一个没有保密功能的、无仲裁的认证系统可由满足下列条件的四重组(U，A，K,ε)来描述：　　(1)　U是所有可能的信源状态构成的一个有限集，称为信源集；　　(2)　A是所有可能的认证码字构成的一个有限集；　　(3)　K是所有可能的密钥构成的一个有限集，称为密钥集；　　(4)　对每一个k∈K，有一个认证规则ek∈ε:U→A，消息集M定义为M=U×A。 13.2　认证系统的信息理论13.2.1　模仿攻击和代替攻击　　下面只考虑两种不同类型的攻击，即模仿攻击和代替攻击。在模仿攻击中，敌方在信道中插入一个消息(u，a)，希望接收者能把它作为真消息接收。在代替攻击中，敌方在信道中观察到一个消息(u，a)后，他将(u，a)改变为(u′,a′)，u′≠u，希望接收者把它作为真消息接收。下面推导这两种攻击成功的概率的计算公式。 　　设PI表示敌方采用模仿攻击时最大可能的欺骗接收者成功的概率，PS表示在代替攻击时最大可能的欺骗接收者成功的概率。Simmons将敌方欺骗接收者成功的概率定义为 　　首先考虑PI的计算。设k0表示由发送者和接收者选择的密钥。对u∈U和a∈A，用P(u，a)表示接收者将把消息(u，a)作为真消息接收的概率,则 　　其次考虑PS的计算。PS一般既依赖于概率分布PU又依赖于概率分布PK。假定敌方在信道中观察到一个消息(u，a)，他将用某一消息(u′,a′)来代替(u,a)，u′≠u。对u，u′∈U，u′≠u和a,a′∈Ａ,用P(u′,a′;u,a)表示用(u′,a′)来代替(u，a)欺骗接收者成功的概率，那么, 　　式(13－4)中的分子可按下述方式进行计算：将认证矩阵的第u列中取值为a同时在第u′列中取值为a′的这些行所对应的密钥的概率相加。因为敌方想极大化欺骗接收者成功的机会，所以他将计算 概率分布PM可由式 设 【例13－1】　设 解　该码的认证矩阵为 因此，由式(13－3)知 敌手的一个最优的策略 表13－1　P(u′,a′;u,a)值 13.2.2　认证码欺骗概率下界　　由于认证码的安全性由欺骗概率PI和PS来度量,因此想构造使得这些概率尽可能小的认证码，还需考虑其他因素