第三章 数字签名和身份验证.pptVIP

第3章 数字签名与身份认证 思考： 什么是完整性、抗否认性？ 如何保证？ 报文鉴别 散列函数 数字签名 身份认证 主动攻击和被动攻击 被动攻击： 侦听、截取等手段获得数据-加密技术 主动攻击： 通过伪造、重放、篡改、乱序等手段改变数据-报文鉴别技术 一 报文鉴别 报文鉴别是这样一种过程 报文源的鉴别 收方使用约定的密钥（由发方决定）对收到的密文进行解密，并且检验还原的明文是否正确，根据检验结果就可以验证对方的身份。其原理如图所示。 报文宿的鉴别 在以密钥为基础的鉴别方案的每一报文中，同时加入收方标识符IDB；在以通行字为基础的鉴别方案中，每一报文加入收方通行字PWB。 若采用公开密钥密码，报文宿的认证只要发方A对报文用B的公开密钥进行加密即可，因为只有B才能用自己必威体育官网网址的解密密钥还原报文，若还原的报文是正确的，B便确认自己是指定的收方。 报文时间性的鉴别 初始向量法 时间参数法 随机数法 挫败重播攻击。指攻击者并不试图从截获的数据中恢复出有价值的信息，而是直接将截获的数据重发，以达到非法的目的。 报文内容的鉴别 报文加密:用完整的报文的密文作为对报文的认证 对称密钥体系报文加密 报文内容的鉴别 报文加密:用完整的报文的密文作为对报文的认证 公钥密码体系报文加密 报文内容的鉴别 但在特定的网络应用中，许多报文并不需要加密，而要求发送的报文应该是完整和不是伪造的。 例如，通知网络上所有的用户有关上网的注意事项。对于不需要加密的报文进行加密和解密，将对计算机增加很多不必要的开销。因此，可使用单独的相对简单的报文鉴别算法来达到目的。 报文内容的鉴别 报文鉴别码(Message Authentication Code,MAC) ： 报文鉴别码是用一个密钥生成的一个小的数据块，追加在报文的后面。 报文内容的鉴别 报文摘要 报文鉴别码的一个变种，将可变长度的报文M作为单向散列函数的输入，然后得出一个固定长度的标志H（M），这个H（M）就称为报文摘要（MD）。 二 散列函数 散列函数（Hash）又称哈希函数 是把任意长度的报文（消息）M，通过函数H，将其变换为一个固定长度的散列码h，散列函数表示为 h=H(M) 它生成报文所独有的“指纹”。惟一地对应原始报文 。 单向散列函数的性质 散列函数为文件、报文或其他数据产生一个“指纹” ⑴广泛适用性 函数H适用于任何大小的数据分组 ⑵码长固定性 函数H产生定长输出 ⑶易计算性 对于任何数据M，计算H（M）是容易的 ⑷单向不可逆性 无法根据散列码倒推报文 ⑸弱单向性 对于任意给定的数据X，要计算出另一个数据Y，使H（X）=H（Y），这在计算上是不可行的。弱碰撞 ⑹强单向性 要寻找任何一对数据（X，Y），使得H（X）=H（Y），这在计算上是不可行的，即对于不同的报文不能产生相同的散列码。强碰撞 散列函数可公开，不需要必威体育官网网址，安全性来自于产生单向散列的能力 用途－验证完整性 如果原始报文改变并且再次通过散列函数，它将生成不同的报文摘要。运行相同算法的接收者应该收到相同的报文摘要，否则报文是不可信的。 用途－口令认证 大部分操作系统的密码都是以hash版本的形式存储，而不是密码的原始文本。 当有人登录时，输入的密码先做hash处理，然后与存储的数据比较。 这意味着机器上没有任何地方保存原始密码，别人很难偷到它。 同时摘要算法是单向函数，不可能通过函数值解出原始密码。 当前国际通行的两大散列函数标准 MD5：常用的128位的消息摘要，大量用于口令存储机制。由国际著名密码学家图灵奖获得者兼公钥加密算法RSA的创始人Rivest设计 SHA和SHA-1：160位的消息摘要。由美国专门制定密码算法的标准机构—美国国家标准技术研究院（NIST）与美国国家安全（NSA）设计。 两大算法是目前国际电子签名及许多其它密码应用领域的关键技术，广泛应用于金融、证券等电子商务领域。其中，SHA-1早在1994年便为美国政府采纳，目前是美国政府广泛应用的计算机密码系统。 对这类算法的攻击方式 一个安全的摘要算法在设计时必须满足两个要求 其一是对一个输出，能得到给定的输入在计算上是不可行的，即不可从结果推导出它的初始状态。 香农的信息论可以保证 原文的长度超过一定的程度的时候 摘要相对于原文有丢失，理论上无法恢复 对这类算法的攻击方式 一个安全的摘要算法在设计时必须满足两个要求 其二对于任意给定的数据X，要计算出另一个数据Y，使H（X）=H（Y），这在计算上是不可行的（弱碰撞） 一般的攻击是碰撞攻击：寻找两个输入得到相同的输出值(注意计算上的可行) 抵制碰撞攻击的原因： 摘要算法的用途决定 它只要能找到碰撞就足以让它