第八章 认证技术知识 密码学课件.pptVIP

三、身份认证 2、利用公钥技术的挑战与应答 证明者向验证者展示他的私钥知识有两种方法： 一是验证者用证明者公钥加密“挑战”。 二是证明者对验证者发出的“挑战”进行数字签名。 PA表示用A的公钥加密，SA表示用A的私钥签名，x=h(r)展示关于r的知识（但不泄露它）。 三、身份认证 1）用第一种方法实现B对A的实体认证 ① 验证者B选择r，计算b1=h(r)，以展示B知道r。并计算b2=PA(r,B)并连同b1一起发送给A。 ② 证明者A用私钥解密b2，得到r’和B’，验证B’=B，h(r’)=b1，验证成功后发送r’给B。 ③ 验证者B验证r’=r。验证成功说明对方掌握与A的公钥相对应的私钥，确认对方是A。 密码学 第八章 认证技术 基本概念 1 消息认证 2 身份认证 3 第八章 认证技术 认证技术应用 4 一、基本概念 认证包括 1. 消息认证（message authentication） 2. 身份认证（identification） 消息认证是指对消息的完整性进行认证。其含义是一个“用户”检验它收到的文件是否遭到第三方有意或无意的篡改。 根据应用对象不同，“用户”的概念可以是：文件的接收者、文件的阅读者或者是一个被登陆的设备等。 一、基本概念 身份认证是让验证者相信正在与之通信的另一方就是所声称的那个实体，即真实性认证。 身份认证的目的是防止伪装。 身份认证协议是一个实时的过程，即协议执行时证明者确实在实际地参与，并自始至终地执行协议规定的动作。仅在成功完成协议时验证者才确信证明者的身份。而持续的确信还要另想办法。这点与消息认证不同。 二、消息认证 （一）序列密码实现的消息认证 利用序列密码实现消息的完整性认证方法很多，我们这里仅以加密装置的沟通为例来说明收发双方共享密钥的一致性。 对于无明密文反馈的序列密码，可直接将最初产生的若干乱数明传过去，收方检验收到的乱数是否与本密码机产生的对应乱数一致。这里序列密码所产生的最初乱数就是收发双方共享的密钥的认证码。显然如果所明传的最初乱数是64比特，则收发双方密码机的可共享密钥不一致的概率是1/264。 二、消息认证 （二）分组密码实现的消息认证 1、加密装置的沟通 当收发双方共享的会话密钥一次一变时，发方可利用该密钥对全0明文分组加密并将所得的密文结果传给收方。 收方将收到的密文与他对全0明文分组加密的结果比较，若相同，则相信双方所共享的会话密钥是一致的，从而实现了共享密钥的完整性认证。 二、消息认证 当会话密钥在若干时间内固定不变时，在该密钥的生存期内，发方每次可产生一个随时间变化的明文分组（例如实时产生的随机数或通信次数计数器的值），对该明文分组加密并将明文和密文传给收方。 收文对收到的明文加密，所得密文与收到的密文比较，从而实现了共享密钥的完整性认证。 注意：上述两种方法重点注意的地方是，所产生密文必须随时间变化而变化，以防止攻击者重放攻击。 二、消息认证 2、CBC模式实现的消息完整性认证技术 利用分组密码算法实现消息完整性认证的前提和方法： (1) 文件的制造者和检验者共享一个密钥； (2) 文件的明文必须具有检验者预先知道的冗余度； (3) 文件的制造者用共享密钥对具有约定冗余度的明文用适当的方式加密； (4) 文件的检验者用共享密钥对密文脱密,并检验约定冗余度是否正确。 二、消息认证 利用分组密码算法实现消息的完整性由于要求文件的制造者和检验者必须共享密钥，从而存在以下局限性： (1) 文件的认证码只能由自己和指定人检验，无法实现多人检验; (2) 文件认证码的生成者和检验者必须拥有共同的利益，不能相互抵赖和相互伪造； (3) 第三者无法裁决生成者和验证者之间出现的争议。 下面介绍利用分组密码的密码分组链接模式(CBC)来实现消息完整性认证的方法。 二、消息认证 （1）文件的制造者和检验者共享分组密码算法E和密钥k. （2）文件明文为m=(m1,…,mn)，记 r=mn+1=m1+m2+…+mn 称r为校验码分组。 （3）采用分组密码的CBC模式，对附带校验码的已扩充的明文(m, r)进行加密，得到的最后一个密文分组Cn+1就是认证码。 （4）如果仅需对明文认证，而不需加密时，传送明文m和认证码Cn+1；如果既需对明文认证，又需要加密时,传送密文C=(c1,c2,…,cn)和认证码Cn+1。 二、消息认证 二、消息认证 (5) 验证 仅需对明文认证而不需加密时，验证者收到明文m和认证码Cn+1，执行如下步骤： Step1 产生明文m的校验码: r=mn+1=m1+m2+…+mn Step2 利用共享密钥k使用CBC模式对(m,r)加密，将得到的最后一个密文分组与接收到的认证码Cn+1比