第六章认证理论与技术-厦门大学教学文件服务系统.pptVIP

消息认证 要点 消息认证是用来验证消息完整性的一种机制或服务。消息认证确保收到的数据确实就发送时的一样(即没有修改、插入、删除或重放)，且发送方声称的身份是真实有效的。 对称密码在那些相互共享密钥的用户间提供认证。用消息发送方的私钥加密消息也可提供一种形式的认证。 用于消息认证的最常见的密码技术是消息认证码和安全散列(hash)函数。 MAC是一种需要使用秘密密钥的算法，以可变长的消息和秘密密钥作为输入，产生一个认证码。拥有秘密密钥的接收方产生一个认证码来验证消息的完整性。 散列函数将可变长度的消息映射为固定长度的散列值，或叫消息摘要。对于消息认证码，安全散列函数必须以某种方式和秘密密钥捆绑起来。 9.1认证与认证系统(Cont.) 网络环境中的攻击(认证的需求) 1.泄密：消息泄露给不合法用户 2.传输分析：分析通信双方的通信模式。 3.伪装：假消息 4.内容修改：对消息的插入,删除,转换和修改 5.顺序修改：对消息顺序的修改 6.计时修改：对消息的延时和重放 7.抵赖：发送方否认和接收方否认 对以上攻击的解决方案： 1,2加密, 3~6消息认证, 7数字签名(3~6) 9.1认证与认证系统 认证(Authentication)是防止主动攻 击的重要技术,对开发系统安全性有重 要作用. 认证的主要目的 实体认证(发送者非冒充) 消息认证(验证信息的完整性) 保密和认证同时是信息系统安全的两个方面，但它 们是两个不同属性的问题，认证不能自动提供保密性， 而保密性也不能自然提供认证功能。一个纯认证系统的 模型如下图所示： 认证与认证系统 三类产生认证码的函数 报文加密 以整个报文的密文为认证码; 报文认证码(MAC) 是报文和密钥的函数，产生一个定长 值作为认证码; Hash函数 一个将任意长度的报文映射为定长的Hash值 的公共函数,以Hash值作为认证码; 9.2　消息加密提供认证 消息加密本身提供了一种认证手段。 传统密码和公钥密码体制中，对消息加密的分析是不同的。 对称加密 A-B: E(K, M) 提供保密(仅A和B共享密钥K) 提供一定程度的认证 仅来自A 传输中不会被更改 需要某种结构或冗余 不提供签名 接收者可以伪造报文 发送者可以否认报文 下图的通信双方，用户A为发信方，用户 B为接收方。用户B接收到信息后，通过解密来 判断信息是否来自A，信息是否是完整的。 报文加密提供认证 常规加密 问题:如果明文是任意比特的组合，接收方 没有自动的方法确定报文的合法性。 解决方案:要求明文具有某种易于识别的结构，并且不通过加密函数是不能重复这种结构的。例如帧校验序列（FCS）。 如果在加密前加入FCS，称为内部错误控制。如果在加密后加入FCS，称为外部错误控制。 外部错误控制：F函数是公开的，因此攻击者还是可以伪造消息。 内部错误控制：攻击者很难产生密文，使得解密后其错误控制位是正确的，因此内部错误控制可以提供认证。 更一般地，只要在消息中加入任何类型的结构信息（比如TCP头），然后再进行加密，这样都可以增强认证能力。 9.2　消息加密提供认证(Cont.) 公开密钥加密 提供保密：发送方用对方的公钥加密报文,接收方用自己的私钥解密。 提供认证：发送方用自己的私钥加密，接收方用发送方的公钥解密。 提供保密与认证：以上两者的混合使用。 公开密钥加密与认证的关系 A-B: E(KUb,M) 提供保密(仅B能解密) 不提供认证 A-B: E(KRa,M) 提供认证和签名(仅有A可加密,需要某种结构和冗余,任何一方均能验证签名) A-B: E(KUb,E(KRa, M)) 可提供保密 可提供认证和签名 但效率不高 9.3 消息认证码(MAC) 认证码(MAC,也称密码检验和) 对选定消息,使用一个密钥,产生一个短小的定长数据分组,称认证码,并将它附加在报文中,提供认证功能. MAC = C(K, M) ,其中M是可变长的报文, K是共享密钥,C(K, M)是定长的认证码。 应用认证码,如果只有收发方知道密钥,并且收到的MAC与计算得出的MAC匹配: 确认消息未被更改; 确信消息来自真正的发送者; 如果消息包含序列号,可确信消息顺序是正确的; MAC函数与加密类似，其区别之一是，加密算法必须是可逆的，MAC算法不要求可逆性。 一般而言，MAC函数是多对一的函数，其定义域是任意长的消息，而值域由所有可能的MAC组成。 例如100位的消息和10位MAC，那么将有2100/210=290条不同的消息会映射到同一MAC上。 可以证明，与加密相比，认证函数更不易被攻破。 消息认证码(Cont.) 认证码的基本用法1 A-B: M || Ck(M) 提供认证, 因仅A和B共享K; 消息认证码(Cont.) 认证码的基