11章认证理论与技术1P.pptVIP

第11章 认证理论与技术(1) 认证、认证码、Hash函数 11.1认证与认证系统 认证(Authentication)是防止主动攻 击的重要技术,对开发系统安全性有重 要作用. 认证的主要目的 实体认证(发送者非冒充) 消息认证(验证信息的完整性) 11.1认证与认证系统(Cont.) 网络环境中的攻击(认证的需求) 1.泄漏 2.通信量分析 3.伪装(假报文) 4.内容篡改(插入,删除,调换和修改) 5.序号篡改(报文序号的修改) 6.计时篡改(报文延迟或回放) 7.抵赖(否认收或发某报文) 1,2加密, 3~6报文认证, 7数字签名(3~6) 保密和认证同时是信息系统安全的两个方面，但它 们是两个不同属性的问题，认证不能自动提供保密性， 而保密性也不能自然提供认证功能。一个纯认证系统的 模型如下图所示： 11.1认证与认证系统 三类产生认证码的函数 报文加密 以整个报文的密文为认证码; 报文认证码(MAC) 是报文和密钥的公共函数，产生一个定长 值作为认证码; Hash函数 一个将任意长度的报文映射为定长的Hash值 的公共函数,以Hash值作为认证码; 11.2报文加密提供认证 常规加密 问题:如果报文是任意比特的组合,接收方 没有自动的方法确定报文的合法性. 解决方案:强调明文的某种结构,这种结构 是易于识别但不能复制且无需加密的. 对称加密与认证的关系 A-B: E(K, M) 提供保密(仅A和B共享密钥K) 提供一定程度的认证 仅来自A 传输中不会被更改 需要某种结构或冗余 不提供签名 接收者可以伪造报文 发送者可以否认报文 下图的通信双方，用户A为发信方，用户 B为接收方。用户B接收到信息后，通过解密来 判决信息是否来自A，信息是否是完整的，有无 窜扰。 11.2报文加密提供认证(Cont.) 公开密钥加密 发送方用自己的私钥加密报文,接收方用发 送方的公钥解密(与对称密钥加密原理相 同,需要某种特定报文结构).该方案不提供 加密. 发送方先用自己的密钥加密以提供认证,然 后使用接收方公钥加密提供保密性.缺点是 效率不高. 公开密钥加密与认证的关系 A-B: E(KUb,M) 提供保密(仅B能解密) 不提供认证 A-B: E(KRa,M) 提供认证和签名(仅有A可加密,需要某种结构和冗余,任何一方均能验证签名) A-B: E(KUb,E(KRa, M)) 可提供保密 可提供认证和签名 11.3 报文认证码(MAC) 认证码(MAC,也称密码检验和) 对选定报文,使用一个密钥,产生一个短小的定长数据分组,称认证码,并将它附加在报文中,提供认证功能. (MAC = Ck(M) ,其中M是可变长的报文, K是共享密钥,Ck(M)是定长的认证码.) 应用认证码,如果只有收发方知道密钥,同时收到的MAC与计算得出的MAC匹配: 确认报文未被更改; 确信报文来自所谓的发送者; 如果报文包含序号,可确信该序号的正确性; 11.3 报文认证码(Cont.) 报文认证码的基本用法1 A-B: M || Ck(M) 提供认证, 因仅A和B共享K; 11.3 报文认证码(Cont.) 报文认证码的基本用法2 A-B: Ek2 (M || Ck1(M) ) 提供认证, 因仅A和B共享K1; 提供保密,因仅A和B共享K2; 11.3 报文认证码(Cont.) 报文认证码的基本用法3 A-B: Ek2 (M) || Ck1(Ek2 (M) ) 提供认证, 因仅A和B共享K1; 提供保密,因仅A和B共享K2; 11.3 报文认证码(Cont.) 为什么使用报文认证(而不是用常规加密) 适用于报文广播(并不需要每个点都有密钥); 报文加密解密的工作量比较大; 某些应用不关心报文的保密而只关心报文的真实性; 认证函数与保密函数的分离能提供结构上的灵活性(认证与保密可在网络协议的不同层次进行). 认证码可延长报文的保护期限,同时能处理报文内容(使用加密,当报文解密后,保护就失效了). 11.3 报文认证码(Cont.) 注意 认证函数类似加密函数,但它是不可逆的,这个性质使其比加密函数更难破解; 认证函数并不提供数字签名; 认证码的信息论* G.J. Simmons发展的认证系统的信息理论,类似保密系统的信息理论,也是将信息论用于研究认证系统的理论安全性和实际安全性问题,指出认证系统的性能极限以及设计认证码必须遵循的原则,是研究认证问题的理论基础. 11.3 报文认证码(Cont.) MAC函数应有如下性质(攻击者没有K): 有M和Ck(M),试图生成M’, 使得Ck(M’)= Ck(M), 这在计算上不可行; Ck(M)应能均匀分布;对于随机选取的报文M和M’, Ck(M)= Ck(M’)的概率为2-n其