第5章 认证技术
合集下载
(现代密码学原理与实践)第5章签名与认证
证算法为
(5-10)
其中:
e1=h(m)s-1 mod q, e2=rs-1 mod q
(5-11)
第5章签名与认证
实际上,由k={h(m)+xr}s-1 mod q知:
DSS的公布引起了学术界和商业界的激烈反应: 赞成的人 认为它长度小、速度快、成本低,对金融业特别有用;反对 的人则认为它不与国际标准(以RSA为标准的ISO、CCITT、 SWIFT等)兼容。从技术上讲,s不能等于零,要加以排除,否 则危及安全性。
则理论上可以推知
成立的概率为
它表明,如果B想用其他d值来否认y是他的签名,其结果就
很难使等式成立(立刻会被发现)。因此,B能愚弄A的概率只
有 。只要q充分大,B就没有理由否认自己的签名。
第5章签名与认证
5.1.5群签名
1991年,Chaum和VanHeyst基于以下问题提出群签名 (GroupSignature)方案:
第5章签名与认证
第5章 签名与认证
1. 数字签名 2. 单向散列(Hash)函数 3. 身份识别 4. 消息认证码(MAC) 习题 5 实践练习 5
第5章签名与认证
信息技术带来现代社会变革的一个重大方面是电子商务, 它极大地促进了传统商务模式的改变和结构的更新。而电子商 务的发展, 对信息安全技术又提出了多方位的新要求, 主要表 现在形形色色的签名与认证需求方面。密码技术近年来的巨大 发展, 也正集中体现在这些方面。
杂性要求;α∈ 是 域中q次单位元根, 1≤α≤q-1 。设G表示阶为q的 的乘法子群,且定义:
K={(p,α,β,a):β=αa mod p} 其中, 私有密钥为a;公开密钥为p、α、β
。
第5章签名与认证
第05章 数字签名与身份认证
报文作为输入计算出来的,签名能够对消息的内容进行鉴别; 数据签名对发送者来说必须是惟一的,能够防止伪造和抵赖; 产生数字签名的算法必须相对简单易于实现,且能够在存储介质上保 存备份; 对数字签名的识别、证实和鉴别也必须相对简单,易于实现; 伪造数字签名在计算上是不可行的,无论攻击者采用何种方法(利用 数字签名伪造报文,或者对报文伪造数字签名)。
B
沈阳航空航天大学
1:消息+签名
T
基于仲裁的数字签名
A
B
2:消息、签名+仲裁的验证
实现的方案
基于对称密钥的方案 基于公开密钥的方案
沈阳航空航天大学
基于仲裁的数字签名--对称密钥加密方式 改进--明文加密的方案 ① A → T :IDA‖EKAB (M)‖EKTA( IDA‖H (EKAB(M)) )。 ② T→ B :EKTB( IDA‖EKAB (M)‖EKTA( 争端解决方式(A否认发送了报文M的时候) IDA‖H (EKAB(M))‖T )。 特征: 发送方A和仲裁T共享一个密钥KTA 。 B → T :EKTB( IDA‖M‖EKTA( IDA‖H(M) ) )。 ① A与 B 之间共享密钥 KAB 。 仲裁T可用KTB恢复出IDA 、M及签名,然后再用KTAK 加密。 ② DS 的构成:IDA和消息密文的散列码用 对签名解密并验证 数字签名由A的标识符IDA和报文的散列码H(M)构 TA 其散列码。 ③ DS 的验证:T 解密签名,用散列码验证消息。 成 ,用密钥KTA只能验证消息的密文,而不能读取其内容。 --T 进行加密。 ④ T将来自 A 的所有信息加上时间戳并用 KTB 加密后发送给B 。 过程: 问题: ① T 和发送方 A 联手可以否认签名的信息。 特点: (1)A → T :M‖EKTA( IDA‖H(M) )。 ② T和接收方 B 不能直接验证 A 的签名。 B联手可以伪造发送方 A 的签名。 (2)T → B③ 因为签名所使用的密钥是T 与用户共享的。 :EKTB 双方都需要高度相信 T:( IDA‖M‖EKTA( IDA‖H(M) )‖T )。 (3) (1)B 相信 T 已对消息认证,A 不能否认其签名; B存储报文M及签名。 (2)A 信任 T 没有暴露 KTA,无人可伪造EKTA( IDA‖H(M) ); (3)双方都信任 T 处理争议是公正。 问题: (1)报文 M 明文传送,有可能被窃听。 (2)若仲裁T不可信,则T 可能伪造数字签名。
B
沈阳航空航天大学
1:消息+签名
T
基于仲裁的数字签名
A
B
2:消息、签名+仲裁的验证
实现的方案
基于对称密钥的方案 基于公开密钥的方案
沈阳航空航天大学
基于仲裁的数字签名--对称密钥加密方式 改进--明文加密的方案 ① A → T :IDA‖EKAB (M)‖EKTA( IDA‖H (EKAB(M)) )。 ② T→ B :EKTB( IDA‖EKAB (M)‖EKTA( 争端解决方式(A否认发送了报文M的时候) IDA‖H (EKAB(M))‖T )。 特征: 发送方A和仲裁T共享一个密钥KTA 。 B → T :EKTB( IDA‖M‖EKTA( IDA‖H(M) ) )。 ① A与 B 之间共享密钥 KAB 。 仲裁T可用KTB恢复出IDA 、M及签名,然后再用KTAK 加密。 ② DS 的构成:IDA和消息密文的散列码用 对签名解密并验证 数字签名由A的标识符IDA和报文的散列码H(M)构 TA 其散列码。 ③ DS 的验证:T 解密签名,用散列码验证消息。 成 ,用密钥KTA只能验证消息的密文,而不能读取其内容。 --T 进行加密。 ④ T将来自 A 的所有信息加上时间戳并用 KTB 加密后发送给B 。 过程: 问题: ① T 和发送方 A 联手可以否认签名的信息。 特点: (1)A → T :M‖EKTA( IDA‖H(M) )。 ② T和接收方 B 不能直接验证 A 的签名。 B联手可以伪造发送方 A 的签名。 (2)T → B③ 因为签名所使用的密钥是T 与用户共享的。 :EKTB 双方都需要高度相信 T:( IDA‖M‖EKTA( IDA‖H(M) )‖T )。 (3) (1)B 相信 T 已对消息认证,A 不能否认其签名; B存储报文M及签名。 (2)A 信任 T 没有暴露 KTA,无人可伪造EKTA( IDA‖H(M) ); (3)双方都信任 T 处理争议是公正。 问题: (1)报文 M 明文传送,有可能被窃听。 (2)若仲裁T不可信,则T 可能伪造数字签名。
第5章 身份认证_图文.ppt
第5章 身份认证
从安全的角度衡量,上述协议显然优于例5-1中的 认证协议。但上述认证协议中,没有说明口令在服务 器端的存放方法。如果解决不了口令的存放问题,该 协议显然不能用于大规模认证。
那么上述协议是否就安全了呢?协议的安全性衡 量是非常复杂的,这一方面需要对安全性进行精确的 定义,另一方面还要对具体协议进行理论上的证明。 很多使用多年、貌似安全的协议后来被证明是不安全 的。目前,安全协议的形式化证明方面主要有以下3 类研究方法,分别是:① 基于推理结构型方法(如 BAN逻辑);② 基于攻击结构性方法(如模型检测);③ 基于证明结构性方法(如串空间模型)。
IDU
RU
RS
Key MAC
Keyed Hash Function
MAC
图5-5 一个基于挑战-应答协议的口令认证方案
第5章 身份认证
在该认证协议中,口令即是key。假如用户向服务 器发出认证请求,服务器首先产生一个随机数(挑 战)RS送给用户。用户把自己的身份IDU和自己产生的 随机数RU连同RS一起作为自变量计算由Key控制的 Hash值MAC,然后把IDU、RU和MAC发给服务器(应 答)。服务器根据收到的IDU、RU和自己保留的RS重 新计算MAC,然后与收到的MAC进行比较验证。
第5章 身份认证
5.1.5 完整性校验和
认证中秘密信息的存放是有要求的,例如,在基于口令的认 证系统中,验证端不允许存储口令,只允许存储口令的完整性校 验和。
完整性校验和是由要加以保护的数据按照特定的方法计算出 来的数值。数据的完整性靠反复计算校验和来证明正确有效。如 果计算出来的数值与存储的数值相符,则说明数据没受到损害; 反之,则认为数据已经受到损害。为行之有效,校验和必定是数 据中每一位的函数。
第五章 消息认证与身份认证
用户输入口令 以解密得到服 务申请凭证和 与TGS的会话密
钥
Client
AS 用户信息
TGS
Kerberos服务器
鉴定用户身份, 如有效生成服 务许可凭证和
client与 server的会话
6
3
2009-10-26
单向散列函数的特点
单向散列函数 H(M)作用于一个任意长度的数据M, 它返回一个固定长度的散列h,其中h的长度为m,h 称为数据M的摘要。单向散列函数有以下特点:
Ø 给定M,很容易计算h; Ø 给定h,无法推算出M;
除了单向性的特点外,消息摘要还要求散列函数具有 “防碰撞性”的特点: Ø 给定M,很难找到另一个数据N,满足H(M)=H(N)。
12
6
2009-10-26
SHA安全散列算法
1992年NIST制定了SHA(128位) 1993年SHA成为标准(FIPS PUB 180) 1994年修改产生SHA-1(160位) 1995年SHA-1成为新的标准,作为SHA-1(FIPS PUB 1801/RFC 3174),为兼容AES的安全性,NIST发布FIPS PUB 180-2,标准化SHA-256, SHA-384和SHA-512 输入:消息长度<264 输出:160bit消息摘要 处理:以512bit输入数据块为单位 基础是MD4
信保密性、完整性
§ 认证服务(Authenticator service) § 票据发放服务(Ticket Granting Service) § 票据(Ticket)
• 是一种临时的证书,用tgs 或 应用服务器的密钥 加密
• TGS 票据 • 服务票据
§ 加密:
16
2009-10-26
第5章 身份认证与访问控制
5.2 认证系统与数字签名
5.2.1认证系统
1. E-Securer的组成
· · ·
动态口令令牌 短信一次性口 令 静态口令
图5-3 E-Securer安全认证系统
5.2 认证系统与数字签名
5.2.1认证系统
2. E-Securer的安全性 E-Securer系统依据动态口令机制实现动态身份 认证,彻底解决了远程/网络环境中的用户身份认证问 题。同时,系统集中用户管理和日志审计功能,便于 管理员对整个企业员工进行集中的管理授权和事后日 志审计。
全国高校管理与工程类 学科系列规划教材
教育部高校管理与工程教学指导 委员会、机械工业出版社
第5章 身份认证与访问控制
目
录
1
2 3 4 5 6
5.1
身份认证技术概述
5.2
5.3 5.4 5.5 5.6
认证系统与数字签名
访问控制 安全审计 访问列表与Telent访问控制实验 本章小结
目
录
本章要点
●身份认证的概念、种类和方法 ●登录认证与授权管理 ●掌握数字签名技术及应用 重点 ●掌握访问控制技术及应用
5.2 认证系统与数字签名
5.2.1认证系统
2.一次性口令密码体制
(1)生成不确定因子 不确定因子的生成方式有很多,最为常用的有以下几个: 1)口令序列方式:口令为一个前后相关的单向序列,系统只用 记录第N个口令。用户用第N-1口令登录时,系统用单向算法算 出第N个口令与自己保存的第N个口令匹配,以判断用户的合法 性。由于N是有限的,用户登录N次后必须重新初始化口令序列。 2)挑战/回答方式:登录时,系统产生一个随机数发送给用户, 用户用某种单向算法将口令和随机数混合起来发送给系统,系 统用同样的方法做验算,即可验证用户身份。 3)时间同步方式:以用户登录时间作为随机因素。这种方式对 双方的时间准确定要求较高,一般采取以分钟为时间单位的这 种方法。其产品对时间误差的容忍达到 1min。
信息安全概论第五章消息认证与数字签名
6
5.1.1 信息加密认证
信息加密函数分两种,一种是常规的对称密钥加密函数, 另一种是公开密钥的双密钥加密函数。下图的通信双方 是,用户A为发信方,用户B为接收方。用户B接收到信 息后,通过解密来判决信息是否来自A, 信息是否是完 整的,有无窜扰。
1.对称密码体制加密: 对称加密:具有机密性,可认证,不提供签名
通常b>n
24
5.2.3
MD5算法
Ron Rivest于1990年提出了一个称为MD4的散列函数。 他的设计没有基于任何假设和密码体制,不久,他的 一些缺点也被提出。为了增强安全性和克服MD4的缺 陷, Rivest于1991年对MD4作了六点改进,并将改进 后的算法称为MD5. MD5算法:将明文按512比特进行分组,即MD5中的 b=512bit,经填充后信息长度为512的倍数(包括64 比特的消息长度)。 填充:首位为1,其余补0至满足要求,即填充后的比 特数为512的整数倍减去64,或使得填充后的数据长 度与448模512同余。
18
通过以下方式使用散列函数常提供消息认证
(1)使用对称加密算法对附加消息摘要的报文进行加密 A B: EK(M||H(M)) 提供保密、认证 (2)使用对称加密方法对消息摘要加密 A B: M||EK(H(M)) 提供认证 (3)使用发方的私钥对消息摘要进行加密 A B: M||EKRa(H(M)) 提供数字签名、认证 (4)在(3)的基础上,使用对称加密方法进行加密 A B: EK(M||EKa(H(M)) ) 提供数字签名、认证和保密 (5)假定双方共享一个秘密值S,与消息M串接,计算散 列值 A B: M||(H(M||S)) 提供认证 (6)假定双方共享一个秘密值S,使用散列函数,对称加 密方法 A B: EK(M||H(M||S)) 提供数字签名、认证和保密19
5.1.1 信息加密认证
信息加密函数分两种,一种是常规的对称密钥加密函数, 另一种是公开密钥的双密钥加密函数。下图的通信双方 是,用户A为发信方,用户B为接收方。用户B接收到信 息后,通过解密来判决信息是否来自A, 信息是否是完 整的,有无窜扰。
1.对称密码体制加密: 对称加密:具有机密性,可认证,不提供签名
通常b>n
24
5.2.3
MD5算法
Ron Rivest于1990年提出了一个称为MD4的散列函数。 他的设计没有基于任何假设和密码体制,不久,他的 一些缺点也被提出。为了增强安全性和克服MD4的缺 陷, Rivest于1991年对MD4作了六点改进,并将改进 后的算法称为MD5. MD5算法:将明文按512比特进行分组,即MD5中的 b=512bit,经填充后信息长度为512的倍数(包括64 比特的消息长度)。 填充:首位为1,其余补0至满足要求,即填充后的比 特数为512的整数倍减去64,或使得填充后的数据长 度与448模512同余。
18
通过以下方式使用散列函数常提供消息认证
(1)使用对称加密算法对附加消息摘要的报文进行加密 A B: EK(M||H(M)) 提供保密、认证 (2)使用对称加密方法对消息摘要加密 A B: M||EK(H(M)) 提供认证 (3)使用发方的私钥对消息摘要进行加密 A B: M||EKRa(H(M)) 提供数字签名、认证 (4)在(3)的基础上,使用对称加密方法进行加密 A B: EK(M||EKa(H(M)) ) 提供数字签名、认证和保密 (5)假定双方共享一个秘密值S,与消息M串接,计算散 列值 A B: M||(H(M||S)) 提供认证 (6)假定双方共享一个秘密值S,使用散列函数,对称加 密方法 A B: EK(M||H(M||S)) 提供数字签名、认证和保密19
第5章 质量认证体系
6、推行ISO9000的作用
强化品质管理,提高企业效益;增强客户信
心,扩大市场份额 获得了国际贸易“通行证”,消除了国际贸 易壁垒 节省了第二方审核的精力和费用 有效地避免产品责任 在产品品质竞争中永远立于不败之地 有利于国际间的经济合作和技术交流
1)强化品质管理,提高企业效益;增强客户 信心,扩大市场份额
应运而生。1971年,ISO成立了“认证委员会” (CERTICO),1985年,易名为“合格评定 委员会”(CASCO),促进了各国产品质量 认证制度的发展。 现在,全世界各国的产品质量认证一般都依据 国际标准进行认证。
国际标准中的60%是由ISO制定的,20%是由
IEC制定的,20%是由其他国际标准化组织制 定的。也有很多是依据各国自己的国家标准和 国外先进标准进行认证的。
OHSAS18002《职业安全与卫生管理体系— OHSAS18001实施指南》。
国际标准化组织(ISO)也多次提议制定相
关国际标准。不少国家已将OHSAS18001标准 做为企业实施职业安全与卫生管理体系的标准, 成为继实施ISO9000、ISO14000国际标准之后 的又一个热点。
我国国家质量监督检验检疫总局于2001年7
2、什么是ISO
ISO是一个组织的英语简称。其全称是
International Organization for Standardization,
翻译成中文就是“国际标准化组织”。 。 ISO是世界上最大的国际标准化组织。它成 立于1947年2月23日。ISO负责除电工、电子领 域之外的所有其他领域的标准化活动。 ISO的宗旨是“在世界上促进标准化及其相关 活动的发展,以便于商品和服务的国际交换, 在智力、科学、技术和经济领域开展合作。”
第五章 电子认证法律制度
第五章电子认证制度第一节电子认证概述一、电子认证的概念与类型(一)认证与电子认证1、认证2、电子认证(二)按计算机已有的认证功能及其认证的对象来分,电子认证要紧有以下几种类型:1、站点认证2、数据电文认证3、电讯源的认证4、身份认证二、电子签名的认证电子认证的具体操作程序为:〔1〕发件人利用密钥制造系统产生公用密钥和私人密钥。
〔2〕发件人在做电子签名前,必须将他的身份信息和公用密钥送给一个经合法注册,具有从事电子认证效劳许可证的第三方,也确实是根基CA认证中心,向该认证中心申请登记并由其签发认证证书。
〔3〕认证机构依据有关的和认证规那么以及自己和当事人之间的约定,对申请进行审查。
要是符合要求,就发给发件人一个认证证书,证实发件人的身份、他的公开密钥以及其他有关的信息。
〔4〕发件人对其要约信息以其私人密钥制作数字签名文件,连同认证证书一并送给收件方,向对方发出要约。
〔5〕收件方接到电子签名文件和认证证书之后,依据认证证书的内容,向相应的认证机构提出申请,请求认证机构将对方的公开密钥发给自己。
〔6〕收件人通过公用密钥和电子签名的验证,即可确信电子签名文件的真实性和可靠性。
假设认证机构有“认证废止名目〞,那么能够查询名目以了解该认证证书是否依旧有效;收件人承诺,那么电子合同成立。
由此可见,在电子文件环境中,CA认证中心起到了一个行使具有权威性、公证性的第三人的作用。
三、认证机构〔CA〕与公开密钥体系〔PKI体系〕(一)认证机构认证机构〔CertificationAuthority。
简称CA认证机构,或CA认证中心〕是指在电子合同中对用户的电子签名颁发数字证书的机构,它差不多成为开放性电子商务活动中不可缺少的信用效劳机构。
联合国贸易法委员会在其?电子签名统一规那么〔草案〕?第1条第4款中:“认证机构,是指从事颁发为数字签名的目的而使用的加密密钥相关的〔身份〕证书的任何人或实体。
〔该定义受任何要求认证机构须取得许可、或认可或以一定的方式进行营业的有效法的限制。
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
图5-5(a) 使用对称加密方法对附加哈希值的消息进行加密
22
⑵使用对称加密方法仅对哈希值进行加密
用户A M H E Ek [H(M)] M || H 比较 D 用户B
K
K
这种方法针对消息无需保密的情况,从而减少了 图5-5(b) 使用对称加密方法仅对哈希值进行加密 由加密而增加的处理负担。
23
⑶使用公开密钥加密方法和发送方的私有密钥仅
10
算法描述:
O1=EK(D1)
O2=EK(D2⊕O1)
O3=EK(D3⊕O3) …………………… ON=EK(DN⊕ON-1) MAC函数类似于加密。它与加密的区别是MAC
函数无需可逆,而对解密则必须是可逆的。
结果由于认证函数的这个数学性质使得它比加密 函数更不易被破解。
11
3. 消息认证方案
38
5.3.2 数字签名 1. 数字签名的需要 消息认证是一个证实收到的消息来自可信的源点 且未被第三方篡改的过程。消息认证也可证实序列编 号和及时性,但它并不能保证双方自身的相互欺骗。 例如,假设A发送一个认证消息给B,双方之间的 争议可能有多种形式: ●B伪造一个不同的消息,但声称是A发送的。
作为消息认证码。
9
Time = 1
Time = 2 D2 (64bits)
Time = N
D1 (64bits)
DN (64bits)
K
DES
K
DE S
s)
O2 (64bits)
ON (64bits) DAC (16 to 64 bits)
图5-2 基于DES的消息认证码
第5章 认证技术
李文媛
E-mail:lwyuan78@ M. P. :89008713 QQ:106190093 Office:2-604
教学目标
本章介绍认证的概念、认证码、认证协议、 数字签名及一些认证的方法与技术。
应掌握以下内容:
(1) 理解认证、认证系统、认证码、认证协议 及数字签名的概念;
● 加密算法可能受专利的保护。
● 加密算法易遭到美国政府的出口限制。
28
表5-1归纳了图5-5中说明的保密和认证方法。
表5-1 不同哈希值提供的保密和认证方法 (a) A→B:EK[M||H(M)] ● 提供认证 ● 提供保密 (b) A→B:M||EK[H(M)] ● 提供认证 (c) A→B:M||EKRa[H(M)] ● 提供认证和数字签名 (d) A→B:EK[M||EKRa[H(M)]] ● 提供认证和数字签名 ● 提供保密 (e) A→B:M||H(M||S) ● 提供认证 (f) A→B:EK[M||H(M||S)] ● 提供认证和数字签名 ● 提供保密
33
1. 仲裁协议(Arbitration Protocol) 在该协议的完成过程中,引入值得信赖的、公正 的第三方仲裁者。仲裁者能帮助互不信任的双方完成 协议。 T
A
B
在现实生活中,律师、银行等可充当仲裁人角色。
34
然而,在计算机领域中,若让计算机充当仲裁人
时,则会遇到如下一些新的问题:
●互相怀疑的通信双方很可能也怀疑作为仲裁者 的计算机。 ●在计算机网络中,引入仲裁者,也同样会产生 额外的成本开销。 ●当协议中引入仲裁者时,就会增加时延。 ●作为仲裁者的计算机需要对每一次会话加以处 理,可能会成为系统的瓶颈。
M C
D
M
K2
K1 K1
K2 比较
CK1[EK2(M)] 图5-3(c) 消息认证与保密 ,认证与密文连接
14
对称加密能提供认证,同时也已有广泛应用的现
成产品,为什么不简单地使用它们而要采用独立的消 息认证码呢? ⑴将相同的消息对许多终点进行广播的应用。如 通知用户某时段网络进行维护。此时,只需要一个终 端进行消息的认证。 ⑵一方有繁重的任务,无法负担对所有收到的消 息进行解密的工作量。仅进行有选择地认证,对消息
秘密值S本身并不被发送,攻击者无法更改中途截 获的消息,也就无法产生假消息。此方法只提供认证。
26
图5-5(e) 通信各方共享一个公共的秘密值S的哈希值
⑹通过对包含消息和哈希值的整体进行加密就能 对方法⑸增加保密功能
图5-5(f) 在方法(e)的基础上增加保密功能
27
需要认证的几种原因: ● 使用加密软件加密速度很慢。 ● 加密硬件的费用是不可忽略的。 ● 加密硬件是针对大长度数据进行优化的。
16
5.2.2 使用哈希函数的消息认证 1. 哈希函数概念 哈希函数可以接受可变长度的数据输入,并生成 定长数据输出的单向函数。这个定长的输出是输入数 据的哈希值或称消息摘要、散列码、数字指纹。
17
哈希值以函数H产生: h=H(M) 其中: ● M是变长的消息; ● H是一个将任意长度的消息M映射为一个较短 定长的哈希值h的哈希函数;
(2) 理解消息认证的原理; (3) 掌握认证方案;
教学内容
● 5.1 概述
● 5.2 消息认证
● 5.3 数字签名
● 实验与习题
5.1 概述
认证(Authentication)是保证信息完整性、
有效性,以防止主动攻击的重要技术。
认证的主要分为两个方面:
⑴消息认证:验证信息的完整性,即验证数
据在传输或存储过程中未被窜改、重放或延迟等。 ⑵实体认证:包括信源、信宿等的身份认证 和识别;
证据 证据 骗是否存在,而不能防止
欺骗的发生。
36
3. 自动执行协议(Self-enforcing Protocol) 协议本身就保证公平性,这种协议不需要仲裁者 的参与,也不需要裁决者来解决争端,如果协议中的 一方试图欺骗另一方,那么另一方会立刻检测到该欺
骗的发生,并停止执行协议。
A
B
37
若让计算机代替人类,必须使计算机按照事先设 计的协议来执行。人可以对新环境作出相应的反应, 而计算机在这点上却几乎无灵活性可言。
哈希值是消息中所有位的函数值,并有差错检测 能力,消息中任意一位或若干位发生改变都将导致哈
希值发生改变。
不同哈希值可以提供的几种消息认证的方式如下。
21
⑴使用对称加密方法对附加哈希值的消息加密
用户A
M || M‖H(M) Ek[M‖H(M)] M E M D M H 比较
用户B
H
K K H(M)
认证原理:因为只有A和B共享密钥K,因此M消 息必定来自A且未被篡改。因为对包括消息和哈希值 的整体进行加密,因此还提供保密。
传输或过程中是否被假冒、伪造或篡改,是否感染病毒等, 即保证信息的完整性和有效性。
在网络应用中,许多报文是并不需要加密,只需要确
认真实性。如何让接收报文的目的站来鉴别没有加密的报 文的真伪,正是消息认证的目的。 消息认证通常采用的方法: ● 采用MAC的消息认证
● 使用哈希函数的消息认证
7
5.2.1 采用MAC的消息认证 1. 消息认证码 消息认证码(Message Authentication Code, MAC)是一种实现消息认证的方法。MAC是由消息M 和密钥K的一个函数值产生的,即:MAC=Ck(M)
29
3.2.3 MD5算法 消息摘要(Message Digest,MD)算法(RFC 1321)由Rivest提出,是当前最为普遍的哈希算法, MD5是第5个版本。 MD5 算法逻辑:
● 输入:任意长度的消息
● 输出:128位消息摘要
● 处理:以512位输入数据块为单位
30
教学内容
● 5.1 概述
● 5.2 消息认证
● 5.3 数字签名
● 实验与习题
5.3 认证协议与数字签名
5.3.1 协议的基本概念
协议(Protocol)是两个或两个以上的参与
者为完成某项特定的任务而采取的一系列步骤。 这个定义包含三层含义: ● 协议自始至终是有序的过程,必须依次执 行每一步骤。 ● 协议至少需要两个参与者。
● h=H(M)是定长的哈希值。
哈希函数并不能提供机密性,并且它们不能使用 密钥来生成消息摘要。哈希函数非常适合于认证和确 保数据的完整性。
18
哈希函数的性质:
⑴H可以作用于一个任意长度的数据分组输入, 产生一个固定长度的输出。
⑵任意给定消息M,计算h=H(M)容易。 ⑶任意给定h,找到M满足H(M)=h很难,计算上 不可行性,即单向性。 ⑷任意给定的数据块M,找到不等于M的M',使 H(M)=H(M')在计算是不可行性。有时也称弱抗冲突。 ⑸找到任意数据对(x,y),满足H(x)=H(y)是计算不 可行的。有时也称强抗冲突—生日攻击。
因此,协议应该对所要完成的某项任务的过程加
以抽象。无论是客户机还是服务器,所采用的通信协
议都是相同的。这种抽象不仅可以大大提高协议的适
应性,而且还可使我们十分容易地辨别协议的优劣。 协议不仅应具有很高的运行效率,而且还应具有 行为上的完整性。在设计协议时,要考虑到完成某项 任务时可能发生的各种情况,并对其作出相应的反应。
● 执行协议后,必须能够完成某项任务。
32
密码协议是使用密码学的协议。在协议中使用密 码的目的是防止偷听或欺骗。 协议的参与者可能是相互完全信任的人,也可能 相互完全不信任的人甚至是敌人。 其主要协议类型有3种: ●仲裁协议(Arbitration Protocol) ●裁决协议(Adjudicated Protocol) ●自动执行协议(Self-enforcing Protocol)
其中: MAC的认证过程:通信双方A和B共享密钥K。 ● M是变长的消息; 当A要向B发消息时,首先计算MAC,并将它附加在 消息的后面,然后发给B。接收者B首先使用相同的 ● K是仅由收发双方共享的密钥;
密钥K,对收到的消息M重新计算一个新的MAC,然 ● Ck(M)是定长的认证码。 后将收到的MAC与新计算得出的MAC进行比较。
22
⑵使用对称加密方法仅对哈希值进行加密
用户A M H E Ek [H(M)] M || H 比较 D 用户B
K
K
这种方法针对消息无需保密的情况,从而减少了 图5-5(b) 使用对称加密方法仅对哈希值进行加密 由加密而增加的处理负担。
23
⑶使用公开密钥加密方法和发送方的私有密钥仅
10
算法描述:
O1=EK(D1)
O2=EK(D2⊕O1)
O3=EK(D3⊕O3) …………………… ON=EK(DN⊕ON-1) MAC函数类似于加密。它与加密的区别是MAC
函数无需可逆,而对解密则必须是可逆的。
结果由于认证函数的这个数学性质使得它比加密 函数更不易被破解。
11
3. 消息认证方案
38
5.3.2 数字签名 1. 数字签名的需要 消息认证是一个证实收到的消息来自可信的源点 且未被第三方篡改的过程。消息认证也可证实序列编 号和及时性,但它并不能保证双方自身的相互欺骗。 例如,假设A发送一个认证消息给B,双方之间的 争议可能有多种形式: ●B伪造一个不同的消息,但声称是A发送的。
作为消息认证码。
9
Time = 1
Time = 2 D2 (64bits)
Time = N
D1 (64bits)
DN (64bits)
K
DES
K
DE S
s)
O2 (64bits)
ON (64bits) DAC (16 to 64 bits)
图5-2 基于DES的消息认证码
第5章 认证技术
李文媛
E-mail:lwyuan78@ M. P. :89008713 QQ:106190093 Office:2-604
教学目标
本章介绍认证的概念、认证码、认证协议、 数字签名及一些认证的方法与技术。
应掌握以下内容:
(1) 理解认证、认证系统、认证码、认证协议 及数字签名的概念;
● 加密算法可能受专利的保护。
● 加密算法易遭到美国政府的出口限制。
28
表5-1归纳了图5-5中说明的保密和认证方法。
表5-1 不同哈希值提供的保密和认证方法 (a) A→B:EK[M||H(M)] ● 提供认证 ● 提供保密 (b) A→B:M||EK[H(M)] ● 提供认证 (c) A→B:M||EKRa[H(M)] ● 提供认证和数字签名 (d) A→B:EK[M||EKRa[H(M)]] ● 提供认证和数字签名 ● 提供保密 (e) A→B:M||H(M||S) ● 提供认证 (f) A→B:EK[M||H(M||S)] ● 提供认证和数字签名 ● 提供保密
33
1. 仲裁协议(Arbitration Protocol) 在该协议的完成过程中,引入值得信赖的、公正 的第三方仲裁者。仲裁者能帮助互不信任的双方完成 协议。 T
A
B
在现实生活中,律师、银行等可充当仲裁人角色。
34
然而,在计算机领域中,若让计算机充当仲裁人
时,则会遇到如下一些新的问题:
●互相怀疑的通信双方很可能也怀疑作为仲裁者 的计算机。 ●在计算机网络中,引入仲裁者,也同样会产生 额外的成本开销。 ●当协议中引入仲裁者时,就会增加时延。 ●作为仲裁者的计算机需要对每一次会话加以处 理,可能会成为系统的瓶颈。
M C
D
M
K2
K1 K1
K2 比较
CK1[EK2(M)] 图5-3(c) 消息认证与保密 ,认证与密文连接
14
对称加密能提供认证,同时也已有广泛应用的现
成产品,为什么不简单地使用它们而要采用独立的消 息认证码呢? ⑴将相同的消息对许多终点进行广播的应用。如 通知用户某时段网络进行维护。此时,只需要一个终 端进行消息的认证。 ⑵一方有繁重的任务,无法负担对所有收到的消 息进行解密的工作量。仅进行有选择地认证,对消息
秘密值S本身并不被发送,攻击者无法更改中途截 获的消息,也就无法产生假消息。此方法只提供认证。
26
图5-5(e) 通信各方共享一个公共的秘密值S的哈希值
⑹通过对包含消息和哈希值的整体进行加密就能 对方法⑸增加保密功能
图5-5(f) 在方法(e)的基础上增加保密功能
27
需要认证的几种原因: ● 使用加密软件加密速度很慢。 ● 加密硬件的费用是不可忽略的。 ● 加密硬件是针对大长度数据进行优化的。
16
5.2.2 使用哈希函数的消息认证 1. 哈希函数概念 哈希函数可以接受可变长度的数据输入,并生成 定长数据输出的单向函数。这个定长的输出是输入数 据的哈希值或称消息摘要、散列码、数字指纹。
17
哈希值以函数H产生: h=H(M) 其中: ● M是变长的消息; ● H是一个将任意长度的消息M映射为一个较短 定长的哈希值h的哈希函数;
(2) 理解消息认证的原理; (3) 掌握认证方案;
教学内容
● 5.1 概述
● 5.2 消息认证
● 5.3 数字签名
● 实验与习题
5.1 概述
认证(Authentication)是保证信息完整性、
有效性,以防止主动攻击的重要技术。
认证的主要分为两个方面:
⑴消息认证:验证信息的完整性,即验证数
据在传输或存储过程中未被窜改、重放或延迟等。 ⑵实体认证:包括信源、信宿等的身份认证 和识别;
证据 证据 骗是否存在,而不能防止
欺骗的发生。
36
3. 自动执行协议(Self-enforcing Protocol) 协议本身就保证公平性,这种协议不需要仲裁者 的参与,也不需要裁决者来解决争端,如果协议中的 一方试图欺骗另一方,那么另一方会立刻检测到该欺
骗的发生,并停止执行协议。
A
B
37
若让计算机代替人类,必须使计算机按照事先设 计的协议来执行。人可以对新环境作出相应的反应, 而计算机在这点上却几乎无灵活性可言。
哈希值是消息中所有位的函数值,并有差错检测 能力,消息中任意一位或若干位发生改变都将导致哈
希值发生改变。
不同哈希值可以提供的几种消息认证的方式如下。
21
⑴使用对称加密方法对附加哈希值的消息加密
用户A
M || M‖H(M) Ek[M‖H(M)] M E M D M H 比较
用户B
H
K K H(M)
认证原理:因为只有A和B共享密钥K,因此M消 息必定来自A且未被篡改。因为对包括消息和哈希值 的整体进行加密,因此还提供保密。
传输或过程中是否被假冒、伪造或篡改,是否感染病毒等, 即保证信息的完整性和有效性。
在网络应用中,许多报文是并不需要加密,只需要确
认真实性。如何让接收报文的目的站来鉴别没有加密的报 文的真伪,正是消息认证的目的。 消息认证通常采用的方法: ● 采用MAC的消息认证
● 使用哈希函数的消息认证
7
5.2.1 采用MAC的消息认证 1. 消息认证码 消息认证码(Message Authentication Code, MAC)是一种实现消息认证的方法。MAC是由消息M 和密钥K的一个函数值产生的,即:MAC=Ck(M)
29
3.2.3 MD5算法 消息摘要(Message Digest,MD)算法(RFC 1321)由Rivest提出,是当前最为普遍的哈希算法, MD5是第5个版本。 MD5 算法逻辑:
● 输入:任意长度的消息
● 输出:128位消息摘要
● 处理:以512位输入数据块为单位
30
教学内容
● 5.1 概述
● 5.2 消息认证
● 5.3 数字签名
● 实验与习题
5.3 认证协议与数字签名
5.3.1 协议的基本概念
协议(Protocol)是两个或两个以上的参与
者为完成某项特定的任务而采取的一系列步骤。 这个定义包含三层含义: ● 协议自始至终是有序的过程,必须依次执 行每一步骤。 ● 协议至少需要两个参与者。
● h=H(M)是定长的哈希值。
哈希函数并不能提供机密性,并且它们不能使用 密钥来生成消息摘要。哈希函数非常适合于认证和确 保数据的完整性。
18
哈希函数的性质:
⑴H可以作用于一个任意长度的数据分组输入, 产生一个固定长度的输出。
⑵任意给定消息M,计算h=H(M)容易。 ⑶任意给定h,找到M满足H(M)=h很难,计算上 不可行性,即单向性。 ⑷任意给定的数据块M,找到不等于M的M',使 H(M)=H(M')在计算是不可行性。有时也称弱抗冲突。 ⑸找到任意数据对(x,y),满足H(x)=H(y)是计算不 可行的。有时也称强抗冲突—生日攻击。
因此,协议应该对所要完成的某项任务的过程加
以抽象。无论是客户机还是服务器,所采用的通信协
议都是相同的。这种抽象不仅可以大大提高协议的适
应性,而且还可使我们十分容易地辨别协议的优劣。 协议不仅应具有很高的运行效率,而且还应具有 行为上的完整性。在设计协议时,要考虑到完成某项 任务时可能发生的各种情况,并对其作出相应的反应。
● 执行协议后,必须能够完成某项任务。
32
密码协议是使用密码学的协议。在协议中使用密 码的目的是防止偷听或欺骗。 协议的参与者可能是相互完全信任的人,也可能 相互完全不信任的人甚至是敌人。 其主要协议类型有3种: ●仲裁协议(Arbitration Protocol) ●裁决协议(Adjudicated Protocol) ●自动执行协议(Self-enforcing Protocol)
其中: MAC的认证过程:通信双方A和B共享密钥K。 ● M是变长的消息; 当A要向B发消息时,首先计算MAC,并将它附加在 消息的后面,然后发给B。接收者B首先使用相同的 ● K是仅由收发双方共享的密钥;
密钥K,对收到的消息M重新计算一个新的MAC,然 ● Ck(M)是定长的认证码。 后将收到的MAC与新计算得出的MAC进行比较。