公钥密码和消息认证.PDFVIP

第 3 章 公钥密码和消息认证 3.1 消息认证方法 3.2 安全散列函数 3.3 消息认证码 3.4 公钥密码原理 3.5 公钥密码算法 3.6 数字签名 3.7 推荐读物 3.8 关键词、思考题和习题 学习目标 学习完这一章后，你应该能够： 定义术语消息认证码。 列出并解释消息认证码的基本要求。 解释为什么用在消息认证码中的散列函数必须是安全的。 理解原像攻击、第二原像攻击和碰撞攻击之间的区别。 理解 SHA-512 的操作。 给出 HMAC 的概述。 给出公钥密码系统基本原则的概述。 解释公钥密码系统两种不同的用途。 给出 RSA 算法的概述。 定义 Diffie-Hellman 密钥交换协议。 理解中间人攻击方法。 除消息机密性外，消息认证也是一个重要的网络安全功能。本章分析消息认证的三个 方面。首先，研究使用消息认证码 （MAC ）和散列函数进行消息认证。然后分析公钥密码 原理和两个具体的公钥算法。这些算法在交换常规公钥时非常有用。最后分析使用公钥密 码生成数字签名，从而提供了加强版的消息认证。 3.1 消息认证方法 加密可以防止被动攻击（窃听）。加密的另一个要求是可以防止主动攻击（伪造数据和 业务）。防止这些攻击的办法被称为消息认证。 当消息、文件、文档或其他数据集合是真实的且来自合法来源，则称其为可信的。消 48 网络安全基础：应用与标准（第 5 版） 息认证是一种允许通信者验证所收消息是否可信的措施。认证包括两个重要方面：验证消 息的内容有没有被篡改和验证来源是否可信1 。还可能希望验证消息的时效性（消息有没有 被人为地延迟或重放）以及两实体之间消息流的相对顺序。这些问题属于第 1 章介绍的数 据完整性范畴。 3.1.1 利用常规加密的消息认证 仅简单地使用常规加密似乎也可以进行消息认证。假设只有发送者和接收者共享一个 密钥（这是合理的），那么假定接收者能够识别有效消息时，只有真正的发送者才能够成功 地为对方加密消息。 此外，如果消息里带有错误检测码和序列号，则接收者能够确认消息 是否被篡改过和序列号是否正常。如果消息里还包含时间戳，则接收者能够确认消息没有 超出网络传输的正常延时。 事实上，对数据认证而言只使用对称加密的方法不是一个合适的工具。一个简单的例 子是，在分组加密算法的 ECB 工作模式下，攻击者重排密文分组次序后每一个分组仍然能 被成功地解密。虽然在某些层级（例如各 IP 包）可以使用序列号，但通常情况下一个单独 的序列号不一定与明文中的每个 b 比特分组发生联系。因此，分组的重排是一种威胁。 3.1.2 非加密的消息认证 本节分析几种不依赖于加密的消息认证方法。 所有这些方法都会生成认证标签，并且 附在每一条消息上用于传输。消息本身并不会被加密，所以它在 目的地可读而与 目的地的 认证功能无关 。 由于本节讨论 的方法并不加密消息，所以不提供消息的保密性。正如上面所指 出的， 通过对消息自身的加密并不能提供一种安全的认证形式。然而，在一个单一算法中通过加 密消息并附上认证标签的方法把消息的认证和保密结合起来是可能的。通常，消息认证与 消息加密是两个独立的功能。[DAVI89]给出了三种无须保密的消息认证情况： （1）许多应用需要把相 同的消息广播到多个 目的地。其中两个例子就是：通知当前的 用户 网络不可使用和控 中心的警报信号。只 由一端负责监控的认证既经济又安全。因此， 消息必须 以带有相关消息认证标签的明文形式进行发送。负责监控的系统执行认证。一旦 出现冲突，则普通的警报信号就会警告其他 目的端系统 。 （2 ）在信息交换中，另一种可能的情况是通信某一端 的负载太大，没时间解密所有传 入的消息。这时就会有选择 的随机抽取消息进行认证。 （3 ）对明文形式的计算机程序进行认证是很有意义的工作。这些程序不用每次都进行 解密就可以运行，从而节省了处理器资源。然而，如果程序含有消息认证标签，则当消息 完整性需要确认的时候要进行认证。 可见，在满足安全需求上认证和加密都有其应用场所。 消息认证码。一种认证技术利用