杂凑函数的形式为.PPT

第4章 信息安全认证 4.3 认证技术 (1) 报文加密 使用这种方法，整个报文的密文作为认证码。如在传统密码中，发送方A要发送报文给接收方B，则A用他们共享的秘密钥K对发送的报文M加密后发送给B： 第4章 信息安全认证 4.3 认证技术 该方法可提供： 报文秘密性：如果只有A和B知道密钥K，那么其他任何人均不能恢复出报文明文。 报文源认证：除B外只有A拥有K，也就只有A可产生出B能解密的密文，所以B可相信该报文发自A。 报文认证：因为攻击者不知道密钥K，所以也就不知如何改变密文中的信息位，使得在明文中产生预期的改变。因此，若B可以恢复出明文，则B可以认为M中的每一位都未被改变。 第4章 信息安全认证 4.3 认证技术 但是，给定解密算法D和秘密钥K，接收方可对接收到的任何报文X执行解密运算从而产生输出。 例如，若明文是二进制文件，则很难确定解密后的报文是否是真实的明文。因此，攻击者可以冒充是合法用户来发布任何报文，从而造成干扰和破坏。 第4章 信息安全认证 4.3 认证技术 解决上述问题的方法之一是，在每个报文后附加错误检测码，也称帧校验序列（FCS）或校验和： 若A要发送报文M给B，则A将F(M)附于报文M之后： 若利用公钥加密，则可提供认证和签名： 如果要提供保密性，A可用B的公钥对上述签名加密： 第4章 信息安全认证 4.3 认证技术 (2) 消息认证码（MAC） 消息认证码（Message Authentication Code，MAC）是消息内容和秘密钥的公开函数，其输出是固定长度的短数据块： 假定通信双方共享秘密钥K。若发送方A向接收方B发送报文M，则A计算MAC，并将报文M和MAC发送给接收方： 第4章 信息安全认证 4.3 认证技术 接收方收到报文后，用相同的秘密钥K进行相同的计算得出新的MAC，并将其与接收到的MAC进行比较。若二者相等，则确认以下两点： ①接收方可以相信报文未被修改。如果攻击者改变了报文，因为已假定攻击者不知道秘密钥，所以他不知道如何对MAC做相应的修改，这将使接收方计算出的MAC不等于接收到的MAC。 ②接收方可以相信报文来自意定的发送方。因为其他各方均不知道秘密钥，因此他们不能产生具有正确MAC的报文。 第4章 信息安全认证 4.3 认证技术 上述方法中，报文是以明文形式传送的，所以该方法可以提供认证，但不能提供保密性。若要获得保密性，可使用下面两种方法。 一种是在使用MAC算法之后对报文加密： 另一种方法是在使用MAC算法之前对报文加密来获得保密性： 第4章 信息安全认证 4.3 认证技术 实际应用时，要求函数C具有以下性质： ①对已知 和 ，构造满足 的报文 在计算上是不可行的。 ②C(M,K)应是均匀分布的，即对任何随机选择的报文 和 ， 的概率是 ，其中n是MAC的位数。 ③设 是 的某个已知的变换，即 如f逆转 的一位或多位，那么 的概率是 其中n是MAC的位数。 第4章 信息安全认证 4.3 认证技术 性质1是为了阻止攻击者构造出与给定的MAC匹配的新报文。性质2是为了阻止基于选择明文的穷举攻击。性质3要求认证算法对报文各部分的依赖应是相同的 注意：MAC算法不要求可逆性，而加密算法必须是可逆的，与加密相比，认证函数更不易被攻破；由于收发双方共享密钥，因此，MAC不能提供数字签名功能。 第4章 信息安全认证 4.3 认证技术 4. 报文时间性的认证 报文的时间性即指报文的顺序性。简单的实现报文时间性的认证方法有：序列号、时间戳和随机数/响应。 攻击者将所截获的报文在原密钥使用期内重新注入到通信线路中进行捣乱、欺骗接收方的行为称为重放攻击（replay attacks）。报文的时间性认证就是解决重放攻击的。下面给出几个抗重放攻击的协议。 第4章 信息安全认证 4.3 认证技术 (1) Needlan-Schroeder协议 该协议的目的是要保证将会话密钥安全地分配给A和B。假定A、B和KDC分别共享秘密钥 和 。协议步骤如下： 第4章 信息安全认证 4.3 认证技术 这种方法的缺陷是依赖于时钟，而这些时钟需在整个网络上保持同步。若发送方的时钟超前于接收方的时钟，