在信息的安全领域中.docVIP

7.4 鉴别 在信息的安全领域中，对付被动攻击的重要措施是加密，而对付主动攻击中的篡改和伪造则要用鉴别(authentication)。 报文鉴别使得通信的接收方能够验证所收到的报文（发送者和报文内容、发送时间、序列等）的真伪。 使用加密就可达到报文鉴别的目的。但在网络的应用中，许多报文并不需要加密。应当使接收者能用很简单的方法鉴别报文的真伪。 鉴别与授权不同 鉴别与授权(authorization)是不同的概念。 授权涉及到的问题是：所进行的过程是否被允许（如是否可以对某文件进行读或写）。 7.4.1 报文鉴别 许多报文并不需要加密但却需要数字签名，以便让报文的接收者能够鉴别报文的真伪。 然而对很长的报文进行数字签名会使计算机增加很大的负担（需要进行很长时间的运算。 当我们传送不需要加密的报文时，应当使接收者能用很简单的方法鉴别报文的真伪。 报文摘要 MD (Message Digest) A 将报文 X 经过报文摘要算法运算后得出很短的报文摘要 H。然后然后用自己的私钥对 H 进行 D 运算，即进行数字签名。得出已签名的报文摘要 D(H)后，并将其追加在报文 X 后面发送给 B。 B 收到报文后首先把已签名的 D(H) 和报文 X 分离。然后再做两件事。 用A的公钥对 D(H) 进行E运算，得出报文摘要 H 。 对报文 X 进行报文摘要运算，看是否能够得出同样的报文摘要 H。如一样，就能以极高的概率断定收到的报文是 A 产生的。否则就不是。 报文摘要的优点 仅对短得多的定长报文摘要 H 进行数字签名要比对整个长报文进行数字签名要简单得多，所耗费的计算资源也小得多。 但对鉴别报文 X 来说，效果是一样的。也就是说，报文 X 和已签名的报文摘要 D(H) 合在一起是不可伪造的，是可检验的和不可否认的。 报文摘要算法 报文摘要算法就是一种散列函数。这种散列函数也叫做密码编码的检验和。报文摘要算法是防止报文被人恶意篡改。 报文摘要算法是精心选择的一种单向函数。 可以很容易地计算出一个长报文 X 的报文摘要 H，但要想从报文摘要 H 反过来找到原始的报文 X，则实际上是不可能的。 若想找到任意两个报文，使得它们具有相同的报文摘要，那么实际上也是不可能的。 因特网报文摘要的实现 因特网 A A 比较 签名 核实签名 报文 X ? H D 运算 D(H) A 的私钥 报文 X D(H) B 报文摘要 报文 X D(H) 发送 E 运算 H 签名的报文摘要 H 报文摘要 运算 A 的公钥 报文摘要 运算 报文摘要 报文摘要 7.4.2 实体鉴别 实体鉴别和报文鉴别不同。 报文鉴别是对每一个收到的报文都要鉴别报文的发送者，而实体鉴别是在系统接入的全部持续时间内对和自己通信的对方实体只需验证一次。 最简单的实体鉴别过程 A 发送给 B 的报文的被加密，使用的是对称密钥 KAB。 B 收到此报文后，用共享对称密钥 KAB 进行解密，因而鉴别了实体 A 的身份。 ABA, A B A, 口令 KAB 明显的漏洞 入侵者 C 可以从网络上截获 A 发给 B 的报文。C 并不需要破译这个报文（因为这可能很花很多时间）而可以直接把这个由 A 加密的报文发送给 B，使 B 误认为 C 就是 A。然后 B 就向伪装是 A 的 C 发送应发给 A 的报文。 这就叫做重放攻击(replay attack)。C 甚至还可以截获 A 的 IP 地址，然后把 A 的 IP 地址冒充为自己的 IP 地址（这叫做 IP 欺骗），使 B 更加容易受骗。 使用不重数 为了对付重放攻击，可以使用不重数(nonce)。不重数就是一个不重复使用的大随机数，即“一次一数”。 使用不重数进行鉴别 A A B A, RA RB KAB RA RB KAB , 时间 中间人攻击 AB A B 我是 A 中间人 C 我是 A RB RB SKC 请把公钥发来 PKC RB RB SKA 请把公钥发来 PKA DATA PKC DATA PKA 时间 中间人攻击说明 A 向 B 发送“我是 A”的报文，并给出了自己的身份。此报文被“中间人” C 截获，C 把此报文原封不动地转发给 B。B 选择一个不重数 RB 发送给 A，但同样被C截获后也照样转发给A。 中间人 C 用自己的私钥 SKC 对 RB 加密后发回给 B，使 B 误以为是 A 发来的。A 收到 RB 后也用自己的私钥 SKA 对 RB 加密后发回给 B，中途被 C 截获并丢弃。B 向 A 索取其公钥，此报文被 C截获后转发给 A。 C 把自己的公钥 PKC 冒充是 A 的发送给 B，而 C 也截获到 A 发送给 B 的公钥 PKA。 B 用收到的公钥 PKC（以为是 A 的）对数据加密发送给 A。C 截获后用自