讲座稿-06.pptVIP

第六讲：认证与杂凑函数 一、认证与认证系统 二、消息完整性 三、杂凑函数 四、杂凑函数的设计理论 五、杂凑函数算法示例 六、消息认证码 保密的目的是防止对手破译系统中的机密信息；认证(Authentication) 则是防止主动攻击，如伪装、窜扰等的重要技术，包括对消息的内容、顺序、和时间的窜改以及重发等。 认证类别： （1）实体认证(entity Authentication) ：验证信息的发送者是真的、而不是冒充的，包括信源、信宿等的认证和识别； （2）数据源认证 (Data origin Authentication): 也称为消息认证（message authentication ），验证数据在传送或存储过程中未被窜改、重放或延迟等。 一、 认证与认证系统 类似于保密系统的信息理论，可将信息论用于研究认证系统的理论安全性和实际安全性问题，指出认证系统的性能极限以及设计认证码必须遵循的原则。保密和认证同是信息系统安全的两个重要方面，但它们是两个不同属性的问题。认证不能自动地提供保密性，而保密也不能自然地提供认证功能。在这个系统中的发送者通过一个公开信道将消息送给接收者，接收者不仅想收到消息本身，而且还要验证消息是否来自合法的发送者及消息是否经过窜改。系统中的密码分析者不仅要截收和分析信道中传送的密报，而且可伪造密文送给接收者进行欺诈，称其为系统的窜扰者(Tamper)更加贴切。实际认证系统可能还要防止收、发之间的相互欺诈。 认证系统模型 类似于保密系统的安全性，认证系统的安全性也划分为两大类，即理论安全性和实际安全性。 理论安全性又称作无条件安全性，就是我们上面所讨论的。它与窜扰者的计算能力或时间无关，也就是说窜扰者破译体制所做的任何努力都不会优于随机试凑方式。 实际安全性是根据破译认证体制所需的计算量来评价其安全性的。如果破译一个系统在原理上是可能的，但以所有已知的算法和现有的计算工具不可能完成所要求的计算量，就称其为计算上安全的。如果能够证明破译某体制的困难性等价于解决某个数学难题，就称其为可证明安全的，如RSA体制。这两种安全性虽都是从计算量来考虑，但不尽相同，计算安全要算出或估计出破译它的计算量下限，而可证明安全则要从理论上证明破译它的计算量不低于解已知难题的计算量。 二、消息完整性 早期的教科书认为数据源认证和消息完整性验证无本质的区别。 两者之间的区别： 　１、数据源认证 必须涉及通信，而消息完整性则不一定，它有可能是存储的数据。 　２、数据源认证 涉及到消息源的身份，而消息完整性则不一定，它也提供无源认证。 　３、数据源认证 涉及到消息的更新，而消息完整性则不一定，一个陈旧的消息也有完善的完整性。 传送错误：由于通信中或处理数据过程中的故障而引起 消息中的错误。 主动攻击：敌手有意的篡改、伪造、重放消息。 解决方法：错误检测码技术和消息完整性技术。 这两种技术本质上一样的。消息的传送者通过给消息 编码注入一定的冗余度来产生“校验值”，并将消息和 该校验值一起发送；接受者通过该校验值来验证消息的 正确性。 编码方式和方法不同： １、错误检测码中，接收者能从他所接收到的可能有错的码中推断出真正最可能传递的消息。 ２、在数据完整性保护中，所附加的检验值正态的分布于整个它所在的消息空间中，使得攻击者伪造一个正确的检测值的概率是可忽略的。　 数据完整性保护：Ke是编码密钥，Kv 是对应的 验证密钥。 (1)窜改检测码生成：MDC-- f(Ke,Data) (2) 验证算法： 方法：对称技术和非对称技术 三、杂凑函数 杂凑(Hash)函数：压缩(Compression)函数、紧缩(Contraction)函数、数据认证码(Data Authentication Code)、消息摘要(Message Digest)、数字指纹、数据完整性校验(Data Integity Check)、密码检验和(Cryptographic Check Sum)、消息