消息认证与数字签名课程.pptVIP

参考网址 * * 第三十一页，共四十九页。 消息认证的局限性 消息认证可以保护信息交换双方不受第三方的攻击，但是它不能处理通信双方的相互攻击 信宿方可以伪造消息并称消息发自信源方，信源方产生一条消息，并用和信源方共享的密钥产生认证码，并将认证码附于消息之后 信源方可以否认曾发送过某消息，因为信宿方可以伪造消息，所以无法证明信源方确实发送过该消息 在收发双方不能完全信任的情况下，引入数字签名来解决上述问题 数字签名的作用相当于手写签名 * * 第三十二页，共四十九页。 数字签名 在公钥体制中，用接受者的公钥加密消息得到密文，接受者用自己的私钥解密密文得到消息。加密过程任何人都能完成，解密过程只有接受者能够完成。 考虑一种相反的过程，发送者用自己的私钥“加密”消息得到“密文”，然后利用发送者的公钥“解密”密文得到消息。很显然，加密只有发送者能够完成，而解密任何人都可以完成。 所以，任何人都可相信是特定的发送者产生了该消息，这就相当于“签名”，证明一个消息的所属 * * 第三十三页，共四十九页。 数字签名 随着计算机通信网的发展，人们希望通过电子设备实现快速、远距离的交易，数字(或电子)签名法应运而生，并开始用于商业通信系统，如电子邮递、电子转账和办公自动化等系统。随着计算机网络的发展，过去依赖于手书签名的各种业务都可用这种电子数字签名代替，它是实现电子贸易、电子支票、电子货币、电子购物、电子出版及知识产权保护等系统安全的重要保证 * * 第三十四页，共四十九页。 数字签名 传统签名的基本特点 与被签的文件在物理上不可分割 签名者不能否认自己的签名 签名不能被伪造 容易被验证 数字签名是传统签名的数字化 能与所签文件“绑定” 签名者不能否认自己的签名 容易被自动验证 签名不能被伪造 * * 第三十五页，共四十九页。 * Sun Yat-sen University ? 广东省信息安全技术重点实验室 消息认证和数字签名 中山大学信息科学与技术学院 王常吉 副教授 2006年11月 第一页，共四十九页。 消息认证和数字签名 消息认证（Message Authentication） 验证所收到的消息确实是来自真正的发送方，并且未被篡改的消息的过程 Hash函数（Hash Function） 散列函数是以变长的报文作为输入，产生一个定长的散列值（也称消息摘要）作为输出 * * 第二页，共四十九页。 认证 信息与网络安全系统一方面需要防范攻击者对系统进行被动攻击（采用加密机制来保护消息的机密性，使其不被破译），另一方面需要防范攻击者对系统进行主动攻击（如伪造，篡改信息等）。认证（authentication）是防止主动攻击的重要技术，它对于开放网络中的各种信息系统的安全性有重要作用，认证的目的： 验证信息的发送者是真正的，而不是冒充的，此为信源识别； 验证信息的完整性，在传送或存储过程中未被篡改，重放或延迟等 * * 第三页，共四十九页。 消息认证模型 保密和认证是信息系统安全的两个方面，认证不能自动提供保密性，而保密性也不能自然提供认证功能。一个纯认证系统的模型如下图所示： 窜扰者 认证编码器 认证译码器 信道 安全信道 密钥源 信宿 信源 * * 第四页，共四十九页。 消息认证模型 在这个系统中的发送者通过一个公开的无扰信道将消息发送给接收者，接收者不仅想收到消息本身，而且还要验证消息是否来自合法的发送者及消息是否经过篡改。系统中的密码分析者不仅要截收和破译信道中传送的密报，而且可伪造密文送给接收者进行欺诈，将其称为系统的窜扰者（tamper）更加合适。实际认证系统可能还要防止收方、发方之间的相互欺诈 上述标出的认证编码器和认证译码器可抽象为认证函数 一个安全的认证系统，首先要选好恰当的认证函数，然后在此基础上，给出合理的认证协议（Authentication Protocol） * * 第五页，共四十九页。 消息认证模型 消息认证和数字签名方法在功能上分为两层： 下层中有产生认证符（一个用来认证消息的值）的函数，上层协议中将该函数作原语使接收方可以验证消息的真实性 可用来产生认证符的函数可分为三类： 消息加密：整个消息的密文作为认证符 消息认证码MAC：它是消息和密钥的公开函数，产生一个固定长度的值作为认证符，MAC = F（K， M） Hash函数：将任意长的消息映射为定长的Hash值的公开函数，以Hash值作为认证符 * * 第六页，共四十九页。 消息认证模型 一个安全的消息认证系统，需满足 意定的接收者能够检验和证实消息的合法性、真实性和完整性 消息的发送者和接收者不能抵赖 除了合法的消息发送者，其它人不能伪造合法的消息 * * 第七页，共四十九页。 消息加密（对称） 消息加密本身提供了一种认证手段（消息的自身加密可以作为一个