第8讲 信息认证的原理和技术

许诺认证在 • 电子商务 • 公平交易 • 电子赌博 等应用领域有广泛的应用.
身份认证的非密码方法
---- 弱的认证方法 ----
一、基于固定口令的身份认证 例：银行帐户的密码； 开机口令； 系统的登陆口令等 ---- 好处：容易记忆 ---- 缺点：固定不变，易被截发攻击和穷举攻击 ---- 实现方式： （1）用户记忆口令，系统存储口令和该用户 的权限； （2）基于查阅存取矩阵和权限矩阵的方法实 现
一、 完整性认证及其应用
1. 完整性认证的含义
完整性认证是一个“用户”检验它收到
的文件是否遭到第三方有意或无意的篡改。
因此，完整性认证：
• 不需检验文件的制造者是否造假；
• 文件的制造者和检验者利益一致，不需互
相欺骗和抵赖。
根据应用对象不同，“用户”的概念可以 是： • 文件的接收者 • 文件的阅读者 • 一个被登陆的设备(如取款机、密码机等）
许诺认证：
用户A向用户B声称自己掌握某个结果， 但并不告诉B该结果的具体内容，只交给用 户B一串数字。 一段时间后，当结果公布后: • B可验证A是否猜对了该结果; • 且A也不能再更改他所进行的猜测。 许诺认证主要通过杂凑函数技术实现。
例: 猜测彩票特等奖
A向B说他猜出了彩票特等奖的号码，但 不告诉B该号码。 设A猜测的号码对应的数字为a ,则A可选 择一个很长的随机数x，然后利用杂凑函数计 算出(a,x)的杂凑值h(a,x),并只将该杂凑值y = h(a,x)及其计算方法告诉B，同时将a和随机数 x秘密保管。待彩票开奖并公布特等奖的号码 a’后，A将随机数x告诉B，B就可检验
----彩票中心检查兑奖的电脑彩票是否是自己发行的
同样的方法可用于产品防伪、
手机充值卡防伪等其它商品的防伪
之中。
可用于解决金融系统对用户的 身份认证中
4.完整性认证的杂凑函数技术
定义： 杂凑函数是将无论多长的报文都压缩 （或扩张）为给定长度的值，这个值称为杂 凑值或Hash值或报文摘要。 该杂凑值就是对应报文的“指纹”.它主 要用于数据完整性、数字签名、认证和随机 数生成与伪随机数生成等。
报文 杂凑函数 报文摘要
4.完整性认证的杂凑函数技术----优缺点
由于报文摘要不包含报文持有者的秘密信 息,故 优点: 任何人都可对报文的“指纹”进行检 验； 缺点: 掌握报文的人都可生成报文的“指 纹”. 上述缺点导致当将报文及其指纹放在一起 杂凑函数 时,只能检验出对报文无意的修改,不能检验出有 报文 报文摘要 意的篡改或伪造.
公钥的识别技术
如果彩票中心公布一个假的公钥怎么办？ 如何识别公钥的真伪？ 要求： 公布公钥的同时必须公布签名算法，必须 将公钥交给公证机关公证
公钥的识别技术
公证机关检验办法： （1）公证机关随机选择一个报文m,并将m 交给公钥发布者； （2）公钥发布者随机选择一个随机数r,并 对m+r签名，同时将签名值和随机数r交给公证 机关；(不可直接在别人给的文件签名,否则可能 暴露RSA的秘密密钥!) （3）公证机关利用签名识别密钥对签名值 变换(其结果应为m+r)，将所得结果与m+r比较。 二者一致时判定公钥真，不一致时判定公钥假。
h(a' , x) h(a, x)
是否成立。成立时判定A事先的猜测正确， 不成立是判定A事先没有猜测出来。
杂凑函数的性质保证了：
(1) 用户A不可能再构造一个新的a’,使
h(a' , x) h(a, x)
成立,因而不能再更改其先B的许诺(即a的值); (2) 用户B无法由h(a,x)求出a的值,因而不 能推测出A的许诺(即a的值). 许诺认证在电子商务等应用领域有广泛 的应用. 许诺的不可否认性可让用户A对h(a,x)数 字签名实现; 还可要求用户B采取对许诺进行 签名的方式打个收条.
n分组明文 m = ( m1 , m2 ,…, mn )的校验码分组为
Cn+1为认证码。 m1 m2
Ek (x) Ek (x)
r mn1 m1 mn
m3
Ek (x)
校验码
mn1
Ek (x)
m4
Ek (x)
…
…
… c3 cn 1 c2 c4 (1) 仅需对明文认证,而不需加密时,需传送明 文m和认证码Cn+1； (2) 既需对明文认证,又需要加密时,需传送密 文C和认证码Cn+1
3. 完整性认证的分组密码技术
----------- 局限性 -----------(1) 文件的认证码只能由自己和指定人检 验,无法实现多人检验; (2) 文件认证码的生成者和检验者必须拥 有共同的利益，不能相互抵赖和相互伪造。 (3) 第三者无法裁决生成者和验证者之间 出现的争议。
3. 报文完整性认证的分组密码技术
彩票资料 杂凑函数 报文摘要
比较 计算出的值 签名
签名值
打印在彩票上
识别签名
Leabharlann Baidu
可能的问题
签名识别密钥就是公开密钥。 彩票中心的公开密钥一般只有当用户中 奖后才会去检验它,也只有当彩票中心不承认 中奖彩票时才会提交第三方仲裁。 因此,彩票中心不希望第三方判定真彩票 为真。 怎样能使第三方总判定真彩票为假呢？ 彩票中心公布一个假的公钥！
三、数字签名技术
------互不信任的双方的认证技术----------- 防抵赖、防伪造的密码技术------
例5 第三方可仲裁的电脑彩票的防伪技术-------彩票中心检查兑奖的电脑彩票是否是自己发行的 ---- 出现争议时法官可以仲裁
前面利用分组密码的CBC模式设计的电脑彩票 防伪技术只能保证发行者检验彩票的真假. 如果彩票是真,但其发行者却说是假,中彩者的 利益将受到侵害，这时就会出现争议.如何保证第三 方能够进行仲裁呢? 这就要利用数字签名技术，即要求发行者必须 对每张彩票进行数字签名,使发行者无法抵赖.
最后的强调：
身份认证与信息认证的两种结合方法： 方法一：身份认证与信息认证分离的方法 此时，系统先对用户的身份进行认证，认 证通过后准许该用户登陆。在该用户登陆后， 凡是声称来自该用户的信息和操作请求都认可， 不再进行身份认证。 方法二：身份认证与信息认证合二为一的方法 对每次收到的、声称来自该用户的信息和 操作请求，都进行身份认证。
例5
术(一)
第三方可仲裁的电脑彩票的防伪技
识别码生成方法：
（1）选择一个数字签名算法，将其签名密钥 在彩票机内秘密保管，将使用的签名算法和签名识 别密钥公开； （2）将电脑彩票上的重要信息，如彩票期号、 彩票号码、彩票股量、售票单位代号等重要信息按 某个约定的规则作为彩票资料明文； （3）计算彩票资料明文的杂凑值，并利用秘 密密钥对该杂凑值签名，将签名值打印在彩票上面； 彩票资料 杂凑函数
报文摘要
签名
签名值
打印在彩票上
例5 第三方可仲裁的电脑彩票的防伪技术(二) 检验和仲裁方法：
（1）计算出彩票资料明文的报文摘要； （2） 从彩票上读入签名值，利用公开的签名识 别密钥对该签名值变换，将所得结果与（1）计算出的 报文摘要比较。二者一致时判定彩票真，不一致时判 定彩票假。 分析：只有彩票发行者才有秘密密钥，因而只有 他才能计算产生正确的签名值，也只有他的签名识别 密钥才能将签名值变换为报文摘要，因而他无法抵赖。
(1) 文件的制造者和检验者共享一个密钥； (2) 文件的明文m产生一个校验码分组 r ；
n分组明文 m = ( m1 , m2 ,…, mn )的校验码分组为
r mn1 m1 mn
注意：这里的逐分组加法 + 不能是逐位模2加。 (3) 采用分组密码的CBC模式，对附带校验 码的已扩充的明文(m, r)进行加密，得到的最后 一个密文分组就是认证码；
2. 能实现完整性认证的密码技术
(1) 分组密码技术的正确应用 (2) 具有认证功能的序列密码 (3) 杂凑函数技术 (4) 数字签名技术 其中最经济的技术是分组密码技术 。
3. 术
完整性认证的分组密码技
关键技术: (1) 文件的制造者和检验者共享一个密钥； (2) 文件的明文必须具有检验者预先知道的 冗余度； (3) 文件的制造者用共享密钥对具有约定 冗余度的明文用适当的方式加密； (4) 文件的检验者用共享密钥对密文脱密, 并检验约定冗余度是否正确。
4.完整性认证的杂凑函数技术----使用方法
因此,为检查有意的篡改和伪造,必须: (1) 将报文与摘要分开存放; 或：(2) 将报文与摘要之一,用自己掌握的秘 密信息信息处理后放在一起.
(A)
(B) (C)
报文 报文 报文 加密 杂凑函数 杂凑函数 报文摘要 报文摘要 报文摘要
签名
杂凑函数
方法C的特例：
• 选择一个随机数作为报的开头；
• 将该随机数与报文合在一起杂凑； • 摘要值和报文送给对方； • 随机数秘密存放,必要时(对方不必伪造时)再送给 对方检验。
随机数
用户选择 并秘密存放 报文 报文 杂凑函数 报文摘要
随机数
事后某时刻
例4
法
名酒电话防伪的技术----杂凑函数方
Step1 酒厂选择一个杂凑函数； Step2 酒厂选择一个128比特的随机数,将它与该随 机数的编号一起作为防伪码置于酒瓶盖中,并将防伪码 的编号和杂凑值存于数据库中; 检验方法: 用户输入防伪码后,酒厂数据库计算其杂凑值,并 通过其编号查出数据库中的杂凑值,将二者比较.二者 不一致时判定防伪码假;一致时再检查数据库中是否有 该码已检验过的记录.若无,则判定防伪码真,并记录检 验时间;若有记录,告知用户该酒的检验时间.
例2 报文源、报文宿、报文时间的认证
----检查报头中声称的来源地和目的地是否正确 方法: 将包含报文源、报文宿、报文时间、(明 传的)会话密钥等信息的报头看作明文,按报文 内容认证类似的方式处理，但报头保留其明文 而不保留密文，最后一 个密文分组作为认证 码。
例3 电脑彩票的防伪技术
问题：如何防止电脑彩票的伪造问题。 方法：（1）选择一个分组密码算法和一个认证密钥， 将他们存于售票机内； （2）将电脑彩票上的重要信息，如彩票期号、 彩票号码、彩票股量、售票单位代号等重要信息按某 个约定的规则作为彩票资料明文； （3）对彩票资料明文扩展一个校验码分组后， 利用认证密钥和分组密码算法对之加密，并将得到的 最后一个分组密文作为认证码打印于彩票上面； 认证过程：执行（3）,并将计算出的认证码与彩票上 的认证码比较，二者一致时判定该彩票是真彩票，否 则判定该彩票是假彩票。
《信息安全概论》课程幻灯片
第8讲 信息认证的原理和技术
主 要 内 容
• 完整性认证及其应用
• 数字签名技术
• 许诺认证
• 身份认证方法的非密码方法
信息认证的内容
(1) 发方的身份； (2) 收方的身份； (3) 内容的真伪； (4) 时间的真伪 认证方法的分类：
(1) 利用已知的信息； 如口令、身份号码、证书、秘密密钥或公开 密钥、书籍中某页的单词 (2) 利用拥有的信息： ---- 指物理设备，如IC卡、口令生成器 (3) 利用固有的信息：----非密码技术 如指纹、手写签名、人眼的红膜等生物特征
认证码
c1
例1 报文内容的认证问题 ----检查报文在传输或存储过程中是否遭到有意或无意的篡改
方法: 加密: (1) 将明文增加一个检验码分组,使 它是前面所有分组的函数（不能是模2和）; (2) 利用分组密码的CBC模式和共享密钥 (文件加密密钥)对扩展后的明文加密; 脱密并认证:脱密并检验所得明文分组的模 2和是否为0,为0时接受明文;不为0时否认明文.
二、基于一次一变口令的身份认证
例：基于口令刷新的身份认证； 用户在每次登陆系统后，系统重新为用户 生成一个随机数作为下次登陆的口令，并写入 用户的IC卡之中。
三、基于挑战----响应的身份认证
由Alice向Bob提出有关某个秘密的问题， Bob一一回答，从而表明Bob知道这个秘密，但 Bob并不揭示这个秘密本身。 例： Alice向公证中心证实她所提供的公 钥的正确性时，公证中心可以产生一些消息让 Alice签名，Alice签名后将签名结果返回公证中 心，公证中心在检测签名是否正确后，判断 Alice是否知道该公钥对应的秘密密钥。
时间认证的几种技术
---- 对抗截取----重放攻击的认证技术------- 使用每次不同或以很大概率不同的时变因素----
（1）每次均提供一个随机产生的随机数， 作为参与认证的一个因素； （2）每次使用通报的序号或计数值，作为 参与认证的一个因素； （3）每次使用一个时间戳（时钟），作为 参与认证的一个因素； 将上述与时间密切相关的因素，利用密码 技术与消息绑定在一起产生认证码，从而完成 时间认证。 新鲜性