第三章数据完整性和数字签名.ppt

第三章数据完整性与数字签名 3.1 消息认证与认证系统 3.2 消息鉴别码 3.3 散列函数 3.4 数字签名 3.5 数字签名算法 3.1 消息认证与认证系统 消息认证是一个过程，用于验证接收消息的真实性和完整性，同时还用于验证消息的顺序性和时间性（未重排、重放、延时）。 消息认证机制和数字签名机制都有一个产生认证符的基本功能，认证符是用于认证消息的数值。产生的方法分为消息加密，消息认证码，散列函数。 网络通信的攻击威胁 泄露：把消息内容发布给任何人或没有合法密钥的进程 流量分析：发现通信双方之间信息流的结构模式，可以用来确定连接的频率、持续时间长度；还可以发现报文数量和长度等 伪装：从一个假冒信息源向网络中插入消息 内容篡改：消息内容被插入、删除、变换、修改 顺序修改：插入、删除或重组消息序列 时间修改：消息延迟或重放 否认：接受者否认收到消息；发送者否认发送过消息 鉴别和认证 鉴别：authentication 真伪性 (1) 用来验证发送的数据,特别是一个信息的完整性的过程 (2) 在用户开始使用系统时对其身份进行的确认 认证：Certification 资格审查 计算安全学用语,指为了鉴定一个计算机系统或网络的设计和它提供的手段在多大程度上能满足预定的安全要求而进行的技术评估 鉴别的结构 任何消息认证或数字签名机制可以看到两个层次： 底层必须有某种函数产生一个认证标识：一个用于认证一个报文的值 高层认证协议以底层函数为原语，使接收者完成报文的鉴别 鉴别的目的 信源识别：验证信息的发送者是真正的，而不是冒充的 验证信息的完整性，在传送或存储过程中未被篡改，重放或延迟等 鉴别模型 鉴别系统的组成 鉴别编码器和鉴别译码器可抽象为鉴别函数 一个安全的鉴别系统，需满足 （1）指定的接收者能够检验和证实消息的合法性、真实性和完整性 （2）消息的发送者和接收者不能抵赖 （3）除了合法的消息发送者，其它人不能伪造合法的消息 鉴别函数分类 消息加密：整个消息的密文作为认证标识 消息鉴别码(MAC)：公开函数+密钥产生一个固定长度的值作为认证标识 散列函数：一个公开函数将任意长度的消息映射到一个固定长度的哈希值，作为认证标识 消息加密 消息鉴别码MAC 消息鉴别码 使用一个密钥生成一个固定大小的小数据块，并加入到消息中，称MAC， 或密码校验和（cryptographic checksum） 1、接收者可以确信消息M未被改变 2、接收者可以确信消息来自所声称的发送者 3、如果消息中包含顺序码，则接收者可以保证消息的正常顺序 MAC函数类似于加密函数，但不需要可逆性。因此在数学上比加密算法被攻击的弱点要少 消息鉴别 消息鉴别与保密，鉴别与明文连接 消息鉴别 VS 常规加密 保密性与真实性是两个不同的概念 根本上,信息加密提供的是保密性而非真实性 加密代价大(公钥算法代价更大) 鉴别函数与保密函数的分离能提供功能上的灵活性 某些信息只需要真实性,不需要保密性 – 广播的信息难以使用加密(信息量大) – 网络管理信息等只需要真实性 – 政府/权威部门的公告 散列函数Hash Function 散列函数 H(M): 输入为任意长度的消息M; 输出为一个固定长度的散列值，称为消息摘要(MessageDigest） H(M)是消息M的所有位的函数并提供错误检测能力：消息中的任何一位或多位的变化都将导致该散列值的变化 H(M)又称为：哈希函数、数字指纹（Digital finger print)、压缩（Compression)函数、数据鉴别码（Dataauthentication code）等 散列函数基本用法 散列函数基本用法 散列函数基本用法 3.2消息鉴别码MAC MAC应具备的性质 如果一个攻击者得到M和CK(M)，则攻击者构造一个消息M’使得CK(M’)=CK(M)应具有计算复杂性意义下的不可行性 CK(M)应均匀分布，即：随机选择消息M和M’， CK(M)= CK(M’)的概率是2-n，其中n是MAC的位数 令M’为M的某些变换，即：M’=f(M)，（例如：f可以涉及M中一个或多个给定位的反转），在这种情况下，Pr[CK(M)= CK(M’)] = 2-n 基于DES的报文鉴别码 基于DES的报文鉴别码 算法来源 FIPS publication (FIPS PUB 113) ANSI standard (X9.17) 使用CBC(Cipher Block Chaining)方式，初始向量为IV=0 基于DES的报文鉴别码 将数据按64位分组，D1, D2, … , DN，必要时最后一个数据块用0