信息系统安全第2章_1_.ppt

第2章 认证 2.1 报文鉴别 2.1.1 数据完整性保护概述 内容完整性保护 序列完整性保护 时间完整性保护 2.1.2 报文鉴别与报文摘要数据完整性保护概述 1. 报文鉴别方法 报文鉴别（message authentication）也称为消息鉴别，是用于鉴别报文（即消息）内容完整性的过程，即要鉴别报文在传输中有没有被删除、添加或修改。 生成报文鉴别码的方法主要有两种： 一种方法称为报文鉴别码方法，它是使用一个由密钥控制的公开函数由报文产生的固定长的数值，也称密码校验和。 另一种方法称为杂凑码（散列码），它是将报文使用单向杂凑（hash，哈希）函数变换成为具有固定长度的报文（消息）摘要（message digest，MD） 报文摘要的使用方法 2.1.3 报文摘要算法 1. 对杂凑函数的一般要求 报文摘要就像是需要鉴别的数据的一个“指纹”。为了实现对于数据的鉴别，杂凑函数应当满足如下一些条件： （1）对于不同的报文不能产生相同的杂凑码，即对于任何两个报文X和Y，不能生成H(X)= H(Y)。因此，改变原始报文中的任意一位的值，将产生完全不同的杂凑码。 （2）无法由HD推出报文，即对于给定的杂凑码MD，几乎无法找到M’使H(M’)=MD。 （3）对于任意一个报文，无法预知它的杂凑码。 （4）D的输入可以是任意长，而输出是固定长。 （5）H函数的算法是公开的，杂凑码的安全性来自H产生单向杂凑的能力。 报文摘要算法MD5 特点： 单向性：由报文生成报文摘要，但不能由报文摘要还原为报文。 无碰撞性：对于不同的报文不会产生两个相同的报文摘要。 运算速度快，应用比较普遍。 应用： 防篡改鉴别 加密 例： MD5 (tanajiya.tar.gz) = 0ca175b9c0f726a831d895e269332461 MD5算法轮廓 以512位分组来处理输入的报文； 每一分组又被划分为16个32b子分组； 经过了一系列的处理后，输出4个32b分组放在4个链接变量（Chaining Variable）或称寄存器A、B、C、D中； 将4个链接变量进行级联，生成一个128b散列值。 MD5算法步骤 第1步：数据扩展。 安全杂凑算法SHA SHA（Secure Hash Algorithm，安全杂凑算法）是由美国国家标准技术研究所（NIST）于1993年发布的联邦信息处理标准（FIPS 180）中的安全散列标准（secure hash standard,SHS）中使用的算法。 SHA与MD5都是来自MD4，所以它们有许多相似之处。 2.2 数字签名 性质： 能够验证签名者的身份，以及签名的日期和时间； 能够用于证实被签报文的内容的真实性； 签名可以由第三方验证，以解决双方在通信中的争议。 要求： 签名的产生必须使用发送方独有的一些信息进行，以防伪造和否认； 签名的产生、识别和验证应比较容易； 数字签名应当可以被备份； 用已知的签名构造一个新的报文或由已知的报文产生一个假冒的签名，在计算上都是不可行的。 2.2.1 直接数字签名和数字签名标准DSS 所谓直接方式，就是签名过程只与发送和接收参与。实施这种方法的前提是接收方可以通过某种方式验证发送方提交的凭证，也可以在发生争议时将该凭证交第三方仲裁。 DSS（digital signature standard）是美国国家标准委员会（NIST）公布的联邦信息处理标准FIPS PUB 186。 DSA算法的签字函数参数： 用SHA方法生成的报文摘要； 一个随机数； 发送方的私有密钥SKA； 全局公钥PKG——供所有用户使用的一族参数。 DSA算法输出：s和r。这两个输出就构成了对报文M的数字签名。 2.2.2 有仲裁的数字签名 有仲裁的数字签字的基本思想是：发送方完成签字后，不是直接发送给接收方，而是将报文和签字先发送给双方共同信任的第三方进行验证，第三方验证无误后，再附加一个“已经通过验证”的说明并注上日期，一同发送给接收方。由于第三方的介入，发方和接收方都无法抵赖。 1. 方案1 ① X→A：M || EKXA[IDX || H(M)]。X将签名（EKXA[IDX || H(M)]和报文M发给A。KXA为X和A的共享密钥。 ② A→Y：EKAY[IDX || M || EKXA[IDX || H(M)] || T]。A对签字验证后，再附加上时间戳T并用A和Y共享的密钥KAY加密后转发给Y。 ③ Y收到A发来的报文，解密后，将结果保存起来。由于Y不知道KXA，所以不能直接检查X的签字，只能相信A。 当出现争议时，Y可以声称自己收到的M来自X，并将 EKAY[IDX || M || EKXA[IDX || H(M)] || T]