信息安全原理 张基温 教学课件 第7章 认证.pdfVIP

第7章 认证 认证（Authentication ）就是对于证据的辨认、核实、 鉴别，以建立某种信任关系。在通信中，要涉及两 个方面：一方提供证据或标识，另一方面对这些证 据或标识的有效性加以辨认、核实、鉴别。从认证 的内容看，可以分为数据（报文）认证和身份验 证；从认证过程看，需要有证据符（标识）、认证 算法和认证协议三个要素。 7.1 数字签名 7.1.1 数字签名概述 在网络中进行数据的传输，必须保证接收到的消息的真实性 （的确是由它所声称的实体发来的）、完整性（未被篡改、插 入、删除）、顺序性（未重排、重放）和时间性，用来鉴别： 否认：发送者事后不承认已发送过的文件； 伪造：接收者伪造一份来自发送者的文件； 篡改：接收者私自修改接收到的文件。 冒充：网络中某一用户冒充发送者或接收者。 在现实世界中，文件的真实性依靠签名或盖章进行证实。数 字签名（Digital Signature）是数字世界中的一种信息认证 技术，它利用数据加密技术、数据变换技术，根据某种协议 来产生一个反映被签署文件的特征和签署人特征，以保证文 件的真实性和有效性的数字技术，同时也可用来核实接收者 是否有伪造、篡改行为。 简单地说，数字签名就是给报文一个可以核实或鉴 别的标识。它应当具有如下一些性质： 能够证实签名者的身份、签名日期和时间； 能用于证实被签消息的内容； 可以由第三方验证，可以解决通信双方的争议。 7.1.2 基于消息认证码的数字签名 消息认证首先需要提供消息认证符。认证符 是标识消息的数据，按照它的产生，可以分 为消息认证码（Message Authentication， MAC）和杂凑函数（Hash Function）两大 类。 1. MAC及其基本使用方式 消息认证码也称密码校验和，是一个定长的 n比特数据。它的产生方法为 MAC=CK （M） 其中：C是一个函数，它受通信双方共享的 密钥K的控制，并以A欲发向B的消息M （明文） 作为参数。 MAC的基本使用方式如图7.1所示 在实际应用时，消息及其认证码都要加密后进行 传输，从而形成不同的认证方式。 2. 数据认证算法 典型的鉴别码生成算法主要是基于DES的认证 算法。该算法采用CBC （Cipher Block chining ） 模式，使MAC函数可以在较长的报文上操作， 报文按64位分组，最后一组不足时补0。 CBC模式的加密首先是将明文分成固定长度（64位）的块（M1， M2…），然后将前面一个加密块输出的密文与下一个要加密的明文块进 行XOR （异或）操作计算，将计算结果再用密钥进行加密得到密文。第 一明文块加密的时候，因为前面没有加密的密文，所以需要一个初始化 向量（IV）。这个算法是n轮迭代过程，n为分组数。最后一轮迭代结束 后，取结果的左边n位作为鉴别码。初始向量IV取一个常数，一般取0。 3. MAC生成函数的限制 由于产生MAC的函数C是将较大的区域映射到较小的范围，所以具有 多对一的映射特点，因而不可避免地会产生碰撞，即两个不同的报 文产生相同的MAC，破坏MAC的唯一性。为此C的选择应满足如下条 件： （1）如果攻击者得到M和相应的MAC，要构造一个满足 CK （M’）=MAC 的新消息M’在计算上是不可行的。即不知道K，不可能伪造一个与截获 的MAC相匹配的新消息。 （2）CK （M）应当是均匀分布的，即随机选取两个消息M，M’，则 [CK （M’）= CK （M）]的概率为2-n 。其中n为MAC的长度。换句话说， 攻击者截获一个MAC，则伪造一个相匹配的消息的概率为最小。 （3）如果M’为M的某种变换，则CK （M’）= CK （M）的概率为2-n 。 即函数C不应当在消息的某些地方或某些比特弱于其他部分或比特，否 则攻击者一旦获得M和MAC，就可能修改M中的弱的部分，伪造出一个 与原MAC相匹配的新消息。 7.1.3 基于杂凑函数的数字签名 1. 杂凑函数与报文摘要 杂凑函数（Hash Function，也称哈希 函数或散列函数，通常简写为H）是一个 公开函数。它可以将任意任