第03章 消息鉴别与数字签名PPT课件.pptVIP

3.2.2 基于公钥密码的数字签名原理 图3-7 签名和保密 C C M PUb PUa D D 发送方A 接收方B M E PRa C’ E PRb M 比较 密钥PUa PRa || H E E(K,[M||E(PRa,H(M))]） H D K E D K M E(PRa,H(M)） 签名和保密时，先签名再外层加密在发生争执时的好处 ? 3.2.2 基于公钥密码的数字签名原理 签名的有效性依赖于发送方私钥的安全性。 每条签名的消息包含时间戳。泄密后向管理中心报告的时间 第3章 消息鉴别与数字签名 经典密码学-现代公开的计算机环境 保密?有效系统地保障电子数据的机密性、完整性和真实性 公开的计算机网络环境中，传输中的数据可能遭受到威胁（5种）： 泄密 通信业务量分析 伪造： 攻击者假冒发方身份，向网络插入一条消息；或假冒接收方发送一个消息确认。 篡改：内容篡改 序号篡改 时间篡改 行为抵赖 保密 消息鉴别 数字签名 第3章 消息鉴别与数字签名 3.1 消息鉴别 3.1.1 消息鉴别的概念 3.1.2 基于MAC的鉴别 3.1.3 基于散列函数的鉴别 3.1.4 散列函数 3.2 数字签名 3.1. 消息鉴别 完整性是安全的基本要求之一。篡改消息是对通信系统的主动攻击常见形式。 被篡改的消息是不完整的；信道的偶发干扰和故障也破坏消息完整性。 接收者能检查所收到的消息是否完整； 进一步接收者能识别所收到的信息是否源于所声称的主体。即消息来源的真实性 保障消息完整性和真实性的手段： 消息鉴别技术 3.1.1 消息鉴别的概念 消息鉴别 概念：是一个对收到的消息进行验证的过程，验证的内容包括： 真实性：消息发送者是真正的，而非假冒 完整性：消息在存储和传输过程中没有被篡改过。 消息鉴别系统功能上的层次结构 低层 产生鉴别符 高层：调用鉴别函数，验证 低层：鉴别函数 高层：认证协议 3.1.1 消息鉴别的概念 根据鉴别符的生成方式，鉴别函数分（3类）： 基于消息加密方式 以整个消息的密文作为鉴别符 基于消息鉴别码（MAC）3.1.2 发送方利用公开函数+密钥产生一个固定长度的值作为鉴别标识，并与消息一同发送 基于散列函数 3.1.3 采用hash函数将任意长度的消息映射为一个定长的散列值，以此散列值为鉴别码。MAC方式的一种特例 最近几年消息鉴别符的热点转向 Hash函数导出MAC的方法 3.1.2 -1 消息鉴别码原理 M K 源A 宿B M C || C(K,M) K 比较 图3-2 MAC鉴别原理图 C 通信双方AB共享密钥K，A?B, 则A计算MAC，其中： M—明文 C---MAC函数 K---共享的密钥 MAC---消息鉴别码 MAC=C(K ,M) 3.1.2 -1 消息鉴别码原理 消息和MAC一起发给接收方。接收方对收到的消息利用相同的密钥K计算，得出新的MAC。如果接收到的MAC与计算得出的MAC相等： 接收者可以确信消息M在传送途中未被篡改 接收者可以确信消息来自所声称的发送者 如果消息中含有序列号（如TCP序列号），接收方可以相信接收顺序是正确的。因为攻击者无法成功修改序列号并保持MAC与消息一致。 图3-2 仅仅提供鉴别，而不能提供保密性。因为消息是明文传输的。如果要加密？… 3.1.2 -1 消息鉴别码原理 MAC与加密函数类似， 但不需要可逆，更不易攻破。 使用分离的消息鉴别码的情形(3)： 加解密算法，尤其公钥算法代价大。广播信息经济可靠方式，明文传送，一个接收者验证。 一些应用不关心保密，而关心消息鉴别 将鉴别函数和加密函数结构上分离，可使层次结构更加灵活。应用层鉴别消息，传输层提供保密。 3.1.2 -2基于DES的消息鉴别码 基于DES的消息鉴别码 基于分组密码，并按密文块链接模式操作 CBC。 数据鉴别算法 CBC—MAC 密文分组链接消息鉴别码 数据鉴别算法图 图3-3 p57 O0 = IV O1 = Ek（D1? O0） O2 = Ek（D2? O1） 。。。 ON = Ek（DN? ON-1） 3.1.3 基于散列函数的鉴别 散列函数(Hash)是消息鉴别码(MAC)的一种变形。散列函数与消息鉴别码相同点： 输入都是可变大小M； 输出都是固定大小散列码 H(M) 散列函数与消息鉴别码不同点: 散列码不使用密钥，它仅是输入消息的函数。 需要安全地存放和传输消息摘要，防止被篡改。 3.1.3 基于散列函数的鉴别 散列码用于消息鉴别的两种方法：图 1）加密消息及散列码 A?B A 计算，加密：E(K，[M||H(M)]) B 解密，计算，比较 2）仅加密散列码 （共享密钥）