(消息认证与数字签名.ppt

第五章 消息认证与数字签名 5.1 信息认证 5.2 散列（Hash）函数 5.3 数字签名体制 问题的提出 通信威胁 1. 泄露：把消息内容发布给任何人或没有合法密钥的进程。 2. 伪造：从一个假冒信息源向网络中插入消息。 3. 内容修改：消息内容被插入删除变换修改。 4. 顺序修改：插入删除或重组消息序列。 5. 时间修改：消息延迟或重放。 6. 否认：接受者否认收到消息,发送者否认发送过消息。 5.1 信息认证 回顾：前面讲述的对称密码（如DES和AES）和公钥密码体制（RSA）都是围绕信息的必威体育官网网址性，即防止第三方获取明文消息而展开的，但信息的完整性和抗否认性也是信息安全内容的重要特征。保证信息的完整性和抗否认性是通过信息认证和数字签名来实现的。 信息认证（消息认证）验证信息的完整性，当接收方收到发送方的报文时，接收方能够验证收到的报文时真实的未被篡改的。 （包括顺序和及时性） 它包含两方面的含义： （1）验证信息的发送者是真正的而不是冒充的，即数据起源验证； （2）验证信息在传递过程中未被篡改、重放或延迟等。 信息认证检验的内容：证实报文的信源和信宿、报文内容是否遭到偶然或有意地篡改、报文的序号是否正确，报文到达的时间是否在指定的期限内。这种认证只在通信的双方之间进行，而不允许第三者进行上述认证。认证不一定实时的。 必威体育官网网址和认证同时是信息系统安全的两个方面，但它们是两个不同属性的问题，认证不能自动提供必威体育官网网址性，而必威体育官网网址性也不能自然提供认证功能。一个纯认证系统的模型如下图所示： 认证函数 可用来做认证的函数分为三类 (1) 信息加密函数(Message encryption)： 将明文加密后以密文作为认证 (2) 信息认证码MAC(Message Authentication Code)：用一个密钥控制的公开函数作用后，产生固定长度的数值作为认证符，也称密码校验和。 (3) 散列函数(Hash Function)： 是一个公开的函数它将任意长的信息映射成一 个固定长度的散列值，以散列值作为认证符。 常见的散列函数有：MD4、 MD5、SHA和 SHA-1 5.1.1 信息加密认证 信息加密函数分两种，一种是常规的对称密钥加密函数，另一种是公开密钥的双密钥加密函数。下图的通信双方是，用户A为发信方，用户B为接收方。用户B接收到信息后，通过解密来判决信息是否来自A， 信息是否是完整的，有无窜扰。 1.对称密码体制加密： 对称加密：具有机密性，可认证,不提供签名 2. 公钥密码体制加密认证： （1）公钥加密：具有机密性，不能提供认证（任何人都可以得到公钥） （3）公钥加密体制：机密性，可认证和签名 5.1.2 消息认证码（MAC） 消息认证码（MAC）是在密钥的控制下将任意长的消息映射到一个简短的定长数据分组，并将它附加在消息后。MAC进行消息的认证过程如图： A B: M||CK(M) 即A使用双方共享的密钥K对明文进行计算，产生一个 短小的数据块，即消息验证码 MAC=CK(M) 。发送给 接收方B时，将它附加在报文中。 接收方收到报文使用相同的密钥K执行相同的计算，得到新的MAC。接收方将收到的MAC与计算得到MAC进行比较，如果相匹配，那么可以保证报文在传输过程中维持了完整性： （1）报文未被更改过 （2）接收者确信报文来自真实的发送者。（无人知晓密钥） 注意：上述认证过程只提供认证、不提供必威体育官网网址性。 消息认证 VS 常规加密 MAC函数类似于加密函数，主要区别在于MAC函数不需要可逆而加密函数必须是可逆的，因此，认证函数比加密函数更不易破解。 必威体育官网网址性与真实性是两个不同的概念 根本上,信息加密提供的是必威体育官网网址性而非真实性 加密代价大(公钥算法代价更大) 认证函数与必威体育官网网址函数的分离能提供功能上的灵活性 某些信息只需要真实性,不需要必威体育官网网址性 – 广播的信息难以使用加密(信息量大) – 网络管理信息等只需要真实性 – 政府/权威部门的公告 5.2 散列（Hash）函数 散列函数（又称杂凑函数）是对不定长的输入产生定长输出的一种特殊函数：h=H(M) M: 变长消息 h=H(M)是定长的散列值（或称消息摘要） H：散列函数，是公开的； H(M)又称为：哈希函数、数字指纹（Digital finger print)、压缩（Compression)函数、数据鉴别码（Dataauthentication code）等 散列值在信源处被附加在消息上，接收方重新计算散列值来确认消息未被篡改。由于函数本身公开，传送过程中需要对散列值加密保护（如果没有对散列值的保护，篡改者可以在修改消