加密与认证技术.ppt

第10讲 加密与认证技术（二）认证技术 认证技术概述 在现实生活中，我们个人的身份主要是通过各种证件来确认的，比如：身份证、户口本等。 认证是对网络中的主体进行验证的过程，用户必须提供他是谁的证明，他是某个雇员，某个组织的代理、某个软件过程（如交易过程）。 认证( authentication )是证明一个对象的身份的过程。与决定把什么特权附加给该身份的授权( authorization )不同。 认证服务提供了关于某个实体（人或事物）身份的保证。这意味着当某个实体声称具有一个特定的身份要求对某些信息进行操作时，认证服务将提供某种方法来证实这一声明是否正确。 认证技术的目的 消息的完整性认证，即验证消息在传输过程中是否被篡改；（消息认证） 身份认证，即验证消息的收发者是否持有正确的身份认证符；（实体认证） 消息的序号和操作时间等的认证，用来防止消息重放攻击。 认证的需求 网络环境中的攻击(认证的需求) 1.泄漏 2.通信量分析 3.伪装(假报文) 4.内容篡改(插入,删除,调换和修改) 5.序号篡改(报文序号的修改) 6.计时篡改(报文延迟或回放) 7.抵赖(否认收或发某报文) 1,2加密, 3~6报文认证, 7数字签名(3~6) 认证的重要性 认证是一种最重要的安全服务，在某种程度 上其他的安全服务都依赖于它： （1）认证是对付假冒攻击的最有效方法。 （2）认证服务是访问控制服务的一种必要支持，后者的执行依赖于确知的身份。 （3）认证服务也是保证数据完整性目标的直接而有力的手段。 （4）认证服务是非否认服务的基础。 必威体育官网网址和认证 必威体育官网网址和认证同时是信息系统安全的两个方面，但它们是两个不同属性的问题，认证不能自动提供必威体育官网网址性，而必威体育官网网址性也不能自然提供认证功能。一个纯认证系统的模型如下图所示： 认证技术 认证技术一般可以分为三个层次：安全管理协议、认证体制和密码体制。安全管理协议的主要任务是在安全体制的支持下，建立、强化和实施整个网络系统的安全策略；认证体制在安全管理协议的控制和密码体制的支持下，完成各种认证功能；密码体制是认证技术的基础，它为认证体制提供数学方法支持。 认证技术 一个安全的认证体制满足的基本要求： 1、接收者能够检验和证实消息的合法性、真实性和完整性。 2、消息的发送者对所发的消息不能抵赖，有时也要求消息的接收者不能否认收到的消息。 3、除了合法的消息发送者外，其他人不能伪造发送消息。 认证技术 认证体制中通常存在一个可信中心或可信第三方(如认证机构CA，即证书授权中心)，用于仲裁、颁发证书或管理某些机密信息。通过数字证书实现公钥的分配和身份的认证。 数字证书是标志通信各方身份的数据，是一种安全分发公钥的方式。CA负责密钥的发放、注销及验证，所以CA也称密钥管理中心。CA为每个申请公开密钥的用户发放一个证书，证明该用户拥有证书中列出的公钥。CA的数字签名保证不能伪造和篡改该证书，因此，数字证书既能分配公钥，又实现了身份认证。 认证的分类 （1）数据起源认证 主要认证某个指定的数据项是否来源于某个特定的实体。也是保证数据完整性的直接方法。采用的技术如：数字签名技术 。 （2）实体认证 所需认证的身份由参加通信连接或会话的远程参与者提交，我们一般称之为身份认证。 常用认证技术 数字签名技术 身份认证技术 消息认证技术 数字水印技术 数字签名技术 数字签名是以电子化的形式，使用密码方法，在数字消息中嵌入一个密码信息（一次性签名密钥和签名者私钥），以验证这个秘密信息（签名结果）是否是正确的来达到识别的目的。数字签名对应于手写签名的数字版，是对电子文件进行签名认证的手段。可以用来提供数据源认证、数据完整性和不可否认性等。通常由可信任的认证中心使用数字签名来签署将通信实体和其公钥项绑定的证书，是现代网络办公和网上交易的关键环节。 数字签名的实质是一种密码变换，属于认证理论的研究课题。简单来说，就是信息发送者使用公开密钥算法技术，产生别人无法伪造的一段数字串。发送者用自己的私有密钥加密数据传给接收者，接收者用发送者的公钥解开数据后，就可以确定消息来自于谁，同时也是对发送者发送信息的真实性的一个证明。发送者对所发信息不能抵赖。 数字签名使用要求 数字签名的使用至少要达到三点安全要求： 1）不可否认性。签名者事后不能否认自己的签名。 2）可验证性。接收者能验证签名，且任何其他的人都无法伪造签名。 3）可仲裁性。当签名方与验证方发生争执时，可以由公正的第三方来证实签名，解决争端。 数字签名结构 一个数字签名方案一般包括三个部分： 1）系统的初始化过程：初始化过程产生整个方案中需要的参数； 2）签名过程：签名过程中签名者对信息操作