第3章数字签名与身份认证2.pptVIP

TechNet TNT1-16 第3章 数字签名与身份认证 报文鉴别 散列函数 数字签名体制 身份认证技术 身份认证的实现 认证需求 网络环境中的攻击（认证的需求） 1.泄漏 2.通信量分析 3.伪装（假报文） 4.内容篡改（插入、删除、调换和修改） 5.序号篡改（报文序号的修改） 6.计时篡改（报文延迟或回放） 7.抵赖（发送方否认） 8.抵赖（接收方否认） 数字签名与身份认证 数字签名：通信双方在网上交换信息用公钥密码防止伪造和欺骗的一种身份认证，是信息网络安全的研究热点和重要手段，保证信息完整性、鉴别发送者的身份真实性与不可否认性，在电子商务、电子银行、电子政务等领域广泛应用，世界各国先后正式颁布了数字签名法 认证：又称为鉴别、确认，是证实某人或某物是否名副其实或有效的过程，是防止主动攻击的重要技术 3.1 报文鉴别 信息网络安全的威胁的两方面 被动攻击：对手通过侦听和截取等手段获取数据 主动攻击：对手通过伪造、重放、篡改、乱序等手段改变数据 报文鉴别的目的：保护数据不受主动攻击 报文鉴别的方式 报文加密函数：加密整个报文，以报文的密文作为鉴别 报文鉴别码：依赖公开的函数对报文处理，生成定长的鉴别标签 散列函数：将任意长度的报文变换为定长的报文摘要，并加以鉴别 3.1.1 报文鉴别概述 加密：防止信息被窃听采取的措施 报文鉴别：防止信息被篡改和伪造的技术 鉴别：验证通信对象是原定的发送者而不是冒名顶替者的技术 报文鉴别的过程：通信的接收方能够鉴别验证所收到的报文（包含发送者、报文内容、发送时间和序列等）的真伪 3.1.1 报文鉴别概述 报文认证内容 报文源的鉴别：使用约定密钥（由发送方决定） 报文宿的鉴别：密钥（IDB）、通行字（PWB） 公钥密码时，用对方的公钥加密即可 报文时间性的鉴别：确认报文是否保持正确的顺 序，有无断漏和重复 初始向量法：初始向量加密报文 时间参数法：在报文中加入时间参数 随机数法：适合全双工通信 报文内容的鉴别：使收方能够确认报文内容是否真实 没有被修改 3.1.1 报文鉴别概述 报文鉴别方法 报文鉴别码（MAC，Message Authentication Code） 用一个密钥生成的一个小的数据块，追加在报文的后面 通信双方共享密钥K，A?B发送报文M，根据密钥和报文计算报文鉴别码MAC=F（K，M），F是加密算法的某一函数，将M和MAC一起发送给B；B用收到的M，使用同样的K再计算一次报文鉴别码，进行比较；若一致，报文为真。 例如，DES算法可生成报文鉴别码，采用密文的最后若干个比特（16或32）作为报文鉴别码。对MAC不进行类似加密过程的反向计算，因此鉴别较难被攻破 报文鉴别可通过将报文加密实现，在特定的网络中，许多报文不需要加密，但要求发送的报文是完整和不是伪造的。例如，通知网络上所有用户有关上网的注意事项，可使用单独的相对简单的报文鉴别算法来达到目的 3.1.1 报文鉴别概述 报文鉴别方法 报文摘要：报文鉴别码的变种 将可变长度的报文M作为单向散列函数的输入，然后得出一个固定长度的标志H(M)，将其称为报文摘要（MD，Message Digest） 单向散列函数的特点：从一个报文生成一个MD代码是容易的，反过来从一个代码生成一个报文则实际上是不可能的；还能保证不同的报文不会得出同样的MD代码 目前，大多数使用报文摘要MD算法来进行报文鉴别，原理见P72 图3-2 报文摘要的优点：对短的固定长报文摘要H(M)进行加密比对整个报文m进行加密效率要高得多，但是对鉴别报文m来说，效果一样，也就是说，m和EK(H(M))在一起是不可篡改和伪造的，是可鉴别和不可抵赖的 3.1.1 报文鉴别概述 报文摘要 要做到不可伪造，MD算法必须满足以下两个条件： 1.任给一个报文摘要值x，若想找到一个报文y，使得H(y)=x，在计 算上不可行 2.若想找到任意两个报文x和y，使得H(x)=H(y)在计算上不可行 也就是说，若(m,H(m))是发送方产生的报文和报文摘要，攻击 者不可能伪造另一个 ，使得 同时，发送方可以对H(m)进行数字签名，使报文成为可鉴别 的和不可抵赖的 报文摘要一般采用散列函数（Hash Function，