密码学sec-chap09.10.pptVIP

认证与数字签名 第9、10讲  认证与数字签名 认证与认证系统 认证(Authentication)是防止主动攻 击的重要技术,对开发系统安全性有重 要作用. 认证的主要目的 实体认证(发送者非冒充) 消息认证(验证信息的完整性) 认证与认证系统(Cont.) 网络环境中的攻击(认证的需求) 1.泄密 2.传输分析 3.伪装(假报文) 4.内容修改(插入,删除,调换和修改) 5.顺序修改(报文序号的修改) 6.计时修改(报文延迟或回放) 7.发送方否认(否认发送过某报文) 8.接收方否认(否认收到过某报文) 1,2加密, 3~6报文认证, 7,8数字签名 保密和认证同时是信息系统安全的两个方面，但它 们是两个不同属性的问题，认证不能自动提供保密性，而保密性也不能自然提供认证功能。一个纯认证系统的模型如下图所示： 认证与认证系统 三类产生认证符的函数 报文加密 以整个报文的密文为认证码; 报文认证码(MAC) 以一个报文的公共函数和用于产生一个定长 值的密钥作为认证符; 散列函数 一个将任意长度的报文映射为定长的散列值 的公共函数,以散列值作为认证符; 报文加密提供认证 常规加密 下图的通信双方，用户A为发信方，用户 B为接收方。用户B接收到信息后，通过解密来 判决信息是否来自A，信息是否是完整的，有无 窜扰。 常规(对称)加密与认证的关系 A-B: E(K, M) 提供保密(仅A和B共享密钥K) 提供一定程度的认证 仅来自A 传输中不会被更改 需要某种结构或冗余 不提供签名 接收者可以伪造报文 发送者可以否认报文 报文加密提供认证(Cont.) 公开密钥加密 发送方用自己的私钥加密报文,接收方用发 送方的公钥解密(与对称密钥加密原理相 同,需要某种特定报文结构).该方案不提供 加密. 发送方先用自己的密钥加密以提供认证,然 后使用接收方公钥加密提供保密性.缺点是 效率不高. A-B: E(KUb,M) 提供保密(仅B能解密) 不提供认证 A-B: E(KRa,M) 提供认证和签名(仅有A可加密,需要某种结构和冗余,任何一方均能验证签名) A-B: E(KUb,E(KRa, M)) 可提供保密 可提供认证和签名 报文认证码(MAC) 认证码(MAC,也称密码检验和) 对选定报文,使用一个密钥,产生一个短小的定长数据分组,称认证码,并将它附加在报文中,提供认证功能. (MAC = Ck(M) ,其中M是可变长的报文, K是共享密钥,Ck(M)是定长的认证码.) 应用认证码,如果只有收发方知道密钥,同时收到的MAC与计算得出的MAC匹配: 确认报文未被更改; 确信报文来自所谓的发送者; 如果报文包含序号,可确信该序号的正确性; 报文认证码(MAC) 报文认证码的基本用法1 A-B: M || Ck(M) 提供认证, 因仅A和B共享K; 报文认证码(MAC) 报文认证码的基本用法2 A-B: Ek2 (M || Ck1(M) ) 提供认证, 因仅A和B共享K1; 提供保密,因仅A和B共享K2; 报文认证码(MAC) 报文认证码的基本用法3 A-B: Ek2 (M) || Ck1(Ek2 (M) ) 提供认证, 因仅A和B共享K1; 提供保密,因仅A和B共享K2; 报文认证码(MAC) 为什么使用报文认证(而不是用常规加密) 适用于报文广播(并不需要每个点都有密钥); 报文加密解密的工作量比较大; 某些应用不关心报文的保密而只关心报文的真实性; 认证函数与保密函数的分离能提供结构上的灵活性(认证与保密可在网络协议的不同层次进行). 认证码可延长报文的保护期限,同时能处理报文内容(使用加密,当报文解密后,保护就失效了). 报文认证码(MAC) 注意 认证函数类似加密函数,但它是不可逆的,这个性质使其比加密函数更难破解; 认证函数并不提供数字签名; 报文认证码(MAC) MAC函数应有如下性质(攻击者没有K): 有M和Ck(M),试图生成M’, 使得Ck(M’)= Ck(M), 这在计算上不可行; Ck(M)应能均匀分布;对于随机选取的报文M和M’, Ck(M)= Ck(M’)的概率为2-n其中n 为 MAC的比特长度;(抗选择明文攻击) 报文M’为M的某种已知代换,即M’=f(M),则Ck(M)= Ck(M’)的概率为2-n. 报文认证码(MAC) 基于DES的报文鉴别码 描述如下: 被鉴别报文分成连续的64bit分组:M1,M2,… Mn(必要时用0填充).使用DES算法E,密钥 K,数据鉴别码计算如下: C1 = Ek(M1) C2 = Ek(M2?C1) ．．． Cn =