第八章-认证技术-密码学课件(共45张PPT).pptx

密码学第一页，共45页。第八章 认证(rènzhèng)技术第二页，共45页。第八章 认证技术根本(gēnběn)概念1消息(xiāo xi)认证2身份(shēn fen)认证3认证技术应用4第三页，共45页。一、根本(gēnběn)概念认证包括1. 消息认证〔message authentication〕2. 身份(shēn fen)认证〔identification〕消息认证是指对消息的完整性进行认证。其含义是一个“用户〞检验它收到的文件是否遭到第三方有意或无意的篡改。根据应用对象不同，“用户〞的概念可以是：文件的接收者、文件的阅读者或者是一个被登陆的设备等。 第四页，共45页。一、根本(gēnběn)概念身份(shēn fen)认证是让验证者相信正在与之通信的另一方就是所声称的那个实体，即真实性认证。身份(shēn fen)认证的目的是防止伪装。身份(shēn fen)认证协议是一个实时的过程，即协议执行时证明者确实在实际地参与，并自始至终地执行协议规定的动作。仅在成功完成协议时验证者才确信证明者的身份(shēn fen)。而持续确实信还要另想方法。这点与消息认证不同。第五页，共45页。一、根本(gēnběn)概念例如，A对消息M的签名S＝SigA(M)之后的任何时候，只要通过验证VerA(S)＝True就能确认S是A对M的签名，这里没有时间限制。采用密码技术实现消息认证和身份认证是信息系统平安(píng ān)的根底，是实现信息的机密性和系统访问控制的前提。第六页，共45页。二、消息(xiāo xi)认证对称密码体制〔包括序列密码、分组密码〕、杂凑函数和公钥密码体制都可以实现消息(xiāo xi)的完整性认证。下面我们分别介绍其实现方法。 第七页，共45页。二、消息(xiāo xi)认证〔一〕序列密码实现的消息认证 利用序列密码实现消息的完整性认证方法很多，我们这里仅以加密装置的沟通为例来说明收发双方共享密钥的一致性。对于无明密文反响(fǎnxiǎng)的序列密码，可直接将最初产生的假设干乱数明传过去，收方检验收到的乱数是否与本密码机产生的对应乱数一致。这里序列密码所产生的最初乱数就是收发双方共享的密钥的认证码。显然如果所明传的最初乱数是64比特，那么收发双方密码机的可共享密钥不一致的概率是1/264。 第八页，共45页。二、消息(xiāo xi)认证〔二〕分组密码实现的消息认证 1、加密装置的沟通当收发双方共享的会话密钥一次一变时，发方可利用该密钥对全0明文分组加密并将所得的密文结果(jiē guǒ)传给收方。收方将收到的密文与他对全0明文分组加密的结果(jiē guǒ)比较，假设相同，那么相信双方所共享的会话密钥是一致的，从而实现了共享密钥的完整性认证。第九页，共45页。二、消息(xiāo xi)认证当会话密钥在假设干时间内固定不变时，在该密钥的生存期内，发方每次可产生一个随时间变化的明文分组〔例如实时产生的随机数或通信次数计数器的值〕，对该明文分组加密并将明文和密文传给收方。收文对收到的明文加密，所得密文与收到的密文比较(bǐjiào)，从而实现了共享密钥的完整性认证。注意：上述两种方法重点注意的地方是，所产生密文必须随时间变化而变化，以防止攻击者重放攻击。第十页，共45页。二、消息(xiāo xi)认证2、CBC模式实现的消息完整性认证技术利用分组密码算法实现消息完整性认证的前提(qiántí)和方法：(1) 文件的制造者和检验者共享一个密钥；(2) 文件的明文必须具有检验者预先知道的冗余度；(3) 文件的制造者用共享密钥对具有约定冗余度的明文用适当的方式加密；(4) 文件的检验者用共享密钥对密文脱密,并检验约定冗余度是否正确。 第十一页，共45页。二、消息(xiāo xi)认证利用分组密码算法实现消息的完整性由于要求文件的制造者和检验者必须共享密钥，从而存在以下局限性：(1) 文件的认证码只能(zhī nénɡ)由自己和指定人检验，无法实现多人检验;(2) 文件认证码的生成者和检验者必须拥有共同的利益，不能相互抵赖和相互伪造；(3) 第三者无法裁决生成者和验证者之间出现的争议。 下面介绍利用分组密码的密码分组链接模式(CBC)来实现消息完整性认证的方法。第十二页，共45页。二、消息(xiāo xi)认证〔1〕文件的制造者和检验者共享分组密码算法E和密钥k.〔2〕文件明文为m=(m1,…,mn)，记r=mn+1=m1+m2+…+mn称r为校验码分组。〔3〕采用分组密码的CBC模式，对附带校验码的已扩充的明文(m, r)进行加密，得到的最后一个密文分组Cn+1就是认证码。〔4〕如果(rúguǒ)仅需对明文认证，而不需加密时，传送明文m和认证码Cn+1；如果(rúguǒ)既需对明文认证，又需要加密时,传送密