第5章 认证技术
合集下载
(现代密码学原理与实践)第5章签名与认证
证算法为
(5-10)
其中:
e1=h(m)s-1 mod q, e2=rs-1 mod q
(5-11)
第5章签名与认证
实际上,由k={h(m)+xr}s-1 mod q知:
DSS的公布引起了学术界和商业界的激烈反应: 赞成的人 认为它长度小、速度快、成本低,对金融业特别有用;反对 的人则认为它不与国际标准(以RSA为标准的ISO、CCITT、 SWIFT等)兼容。从技术上讲,s不能等于零,要加以排除,否 则危及安全性。
则理论上可以推知
成立的概率为
它表明,如果B想用其他d值来否认y是他的签名,其结果就
很难使等式成立(立刻会被发现)。因此,B能愚弄A的概率只
有 。只要q充分大,B就没有理由否认自己的签名。
第5章签名与认证
5.1.5群签名
1991年,Chaum和VanHeyst基于以下问题提出群签名 (GroupSignature)方案:
第5章签名与认证
第5章 签名与认证
1. 数字签名 2. 单向散列(Hash)函数 3. 身份识别 4. 消息认证码(MAC) 习题 5 实践练习 5
第5章签名与认证
信息技术带来现代社会变革的一个重大方面是电子商务, 它极大地促进了传统商务模式的改变和结构的更新。而电子商 务的发展, 对信息安全技术又提出了多方位的新要求, 主要表 现在形形色色的签名与认证需求方面。密码技术近年来的巨大 发展, 也正集中体现在这些方面。
杂性要求;α∈ 是 域中q次单位元根, 1≤α≤q-1 。设G表示阶为q的 的乘法子群,且定义:
K={(p,α,β,a):β=αa mod p} 其中, 私有密钥为a;公开密钥为p、α、β
。
第5章签名与认证
第05章 数字签名与身份认证
报文作为输入计算出来的,签名能够对消息的内容进行鉴别; 数据签名对发送者来说必须是惟一的,能够防止伪造和抵赖; 产生数字签名的算法必须相对简单易于实现,且能够在存储介质上保 存备份; 对数字签名的识别、证实和鉴别也必须相对简单,易于实现; 伪造数字签名在计算上是不可行的,无论攻击者采用何种方法(利用 数字签名伪造报文,或者对报文伪造数字签名)。
B
沈阳航空航天大学
1:消息+签名
T
基于仲裁的数字签名
A
B
2:消息、签名+仲裁的验证
实现的方案
基于对称密钥的方案 基于公开密钥的方案
沈阳航空航天大学
基于仲裁的数字签名--对称密钥加密方式 改进--明文加密的方案 ① A → T :IDA‖EKAB (M)‖EKTA( IDA‖H (EKAB(M)) )。 ② T→ B :EKTB( IDA‖EKAB (M)‖EKTA( 争端解决方式(A否认发送了报文M的时候) IDA‖H (EKAB(M))‖T )。 特征: 发送方A和仲裁T共享一个密钥KTA 。 B → T :EKTB( IDA‖M‖EKTA( IDA‖H(M) ) )。 ① A与 B 之间共享密钥 KAB 。 仲裁T可用KTB恢复出IDA 、M及签名,然后再用KTAK 加密。 ② DS 的构成:IDA和消息密文的散列码用 对签名解密并验证 数字签名由A的标识符IDA和报文的散列码H(M)构 TA 其散列码。 ③ DS 的验证:T 解密签名,用散列码验证消息。 成 ,用密钥KTA只能验证消息的密文,而不能读取其内容。 --T 进行加密。 ④ T将来自 A 的所有信息加上时间戳并用 KTB 加密后发送给B 。 过程: 问题: ① T 和发送方 A 联手可以否认签名的信息。 特点: (1)A → T :M‖EKTA( IDA‖H(M) )。 ② T和接收方 B 不能直接验证 A 的签名。 B联手可以伪造发送方 A 的签名。 (2)T → B③ 因为签名所使用的密钥是T 与用户共享的。 :EKTB 双方都需要高度相信 T:( IDA‖M‖EKTA( IDA‖H(M) )‖T )。 (3) (1)B 相信 T 已对消息认证,A 不能否认其签名; B存储报文M及签名。 (2)A 信任 T 没有暴露 KTA,无人可伪造EKTA( IDA‖H(M) ); (3)双方都信任 T 处理争议是公正。 问题: (1)报文 M 明文传送,有可能被窃听。 (2)若仲裁T不可信,则T 可能伪造数字签名。
B
沈阳航空航天大学
1:消息+签名
T
基于仲裁的数字签名
A
B
2:消息、签名+仲裁的验证
实现的方案
基于对称密钥的方案 基于公开密钥的方案
沈阳航空航天大学
基于仲裁的数字签名--对称密钥加密方式 改进--明文加密的方案 ① A → T :IDA‖EKAB (M)‖EKTA( IDA‖H (EKAB(M)) )。 ② T→ B :EKTB( IDA‖EKAB (M)‖EKTA( 争端解决方式(A否认发送了报文M的时候) IDA‖H (EKAB(M))‖T )。 特征: 发送方A和仲裁T共享一个密钥KTA 。 B → T :EKTB( IDA‖M‖EKTA( IDA‖H(M) ) )。 ① A与 B 之间共享密钥 KAB 。 仲裁T可用KTB恢复出IDA 、M及签名,然后再用KTAK 加密。 ② DS 的构成:IDA和消息密文的散列码用 对签名解密并验证 数字签名由A的标识符IDA和报文的散列码H(M)构 TA 其散列码。 ③ DS 的验证:T 解密签名,用散列码验证消息。 成 ,用密钥KTA只能验证消息的密文,而不能读取其内容。 --T 进行加密。 ④ T将来自 A 的所有信息加上时间戳并用 KTB 加密后发送给B 。 过程: 问题: ① T 和发送方 A 联手可以否认签名的信息。 特点: (1)A → T :M‖EKTA( IDA‖H(M) )。 ② T和接收方 B 不能直接验证 A 的签名。 B联手可以伪造发送方 A 的签名。 (2)T → B③ 因为签名所使用的密钥是T 与用户共享的。 :EKTB 双方都需要高度相信 T:( IDA‖M‖EKTA( IDA‖H(M) )‖T )。 (3) (1)B 相信 T 已对消息认证,A 不能否认其签名; B存储报文M及签名。 (2)A 信任 T 没有暴露 KTA,无人可伪造EKTA( IDA‖H(M) ); (3)双方都信任 T 处理争议是公正。 问题: (1)报文 M 明文传送,有可能被窃听。 (2)若仲裁T不可信,则T 可能伪造数字签名。
第5章 身份认证_图文.ppt
第5章 身份认证
从安全的角度衡量,上述协议显然优于例5-1中的 认证协议。但上述认证协议中,没有说明口令在服务 器端的存放方法。如果解决不了口令的存放问题,该 协议显然不能用于大规模认证。
那么上述协议是否就安全了呢?协议的安全性衡 量是非常复杂的,这一方面需要对安全性进行精确的 定义,另一方面还要对具体协议进行理论上的证明。 很多使用多年、貌似安全的协议后来被证明是不安全 的。目前,安全协议的形式化证明方面主要有以下3 类研究方法,分别是:① 基于推理结构型方法(如 BAN逻辑);② 基于攻击结构性方法(如模型检测);③ 基于证明结构性方法(如串空间模型)。
IDU
RU
RS
Key MAC
Keyed Hash Function
MAC
图5-5 一个基于挑战-应答协议的口令认证方案
第5章 身份认证
在该认证协议中,口令即是key。假如用户向服务 器发出认证请求,服务器首先产生一个随机数(挑 战)RS送给用户。用户把自己的身份IDU和自己产生的 随机数RU连同RS一起作为自变量计算由Key控制的 Hash值MAC,然后把IDU、RU和MAC发给服务器(应 答)。服务器根据收到的IDU、RU和自己保留的RS重 新计算MAC,然后与收到的MAC进行比较验证。
第5章 身份认证
5.1.5 完整性校验和
认证中秘密信息的存放是有要求的,例如,在基于口令的认 证系统中,验证端不允许存储口令,只允许存储口令的完整性校 验和。
完整性校验和是由要加以保护的数据按照特定的方法计算出 来的数值。数据的完整性靠反复计算校验和来证明正确有效。如 果计算出来的数值与存储的数值相符,则说明数据没受到损害; 反之,则认为数据已经受到损害。为行之有效,校验和必定是数 据中每一位的函数。
第五章 消息认证与身份认证
用户输入口令 以解密得到服 务申请凭证和 与TGS的会话密
钥
Client
AS 用户信息
TGS
Kerberos服务器
鉴定用户身份, 如有效生成服 务许可凭证和
client与 server的会话
6
3
2009-10-26
单向散列函数的特点
单向散列函数 H(M)作用于一个任意长度的数据M, 它返回一个固定长度的散列h,其中h的长度为m,h 称为数据M的摘要。单向散列函数有以下特点:
Ø 给定M,很容易计算h; Ø 给定h,无法推算出M;
除了单向性的特点外,消息摘要还要求散列函数具有 “防碰撞性”的特点: Ø 给定M,很难找到另一个数据N,满足H(M)=H(N)。
12
6
2009-10-26
SHA安全散列算法
1992年NIST制定了SHA(128位) 1993年SHA成为标准(FIPS PUB 180) 1994年修改产生SHA-1(160位) 1995年SHA-1成为新的标准,作为SHA-1(FIPS PUB 1801/RFC 3174),为兼容AES的安全性,NIST发布FIPS PUB 180-2,标准化SHA-256, SHA-384和SHA-512 输入:消息长度<264 输出:160bit消息摘要 处理:以512bit输入数据块为单位 基础是MD4
信保密性、完整性
§ 认证服务(Authenticator service) § 票据发放服务(Ticket Granting Service) § 票据(Ticket)
• 是一种临时的证书,用tgs 或 应用服务器的密钥 加密
• TGS 票据 • 服务票据
§ 加密:
16
2009-10-26
第5章 身份认证与访问控制
5.2 认证系统与数字签名
5.2.1认证系统
1. E-Securer的组成
· · ·
动态口令令牌 短信一次性口 令 静态口令
图5-3 E-Securer安全认证系统
5.2 认证系统与数字签名
5.2.1认证系统
2. E-Securer的安全性 E-Securer系统依据动态口令机制实现动态身份 认证,彻底解决了远程/网络环境中的用户身份认证问 题。同时,系统集中用户管理和日志审计功能,便于 管理员对整个企业员工进行集中的管理授权和事后日 志审计。
全国高校管理与工程类 学科系列规划教材
教育部高校管理与工程教学指导 委员会、机械工业出版社
第5章 身份认证与访问控制
目
录
1
2 3 4 5 6
5.1
身份认证技术概述
5.2
5.3 5.4 5.5 5.6
认证系统与数字签名
访问控制 安全审计 访问列表与Telent访问控制实验 本章小结
目
录
本章要点
●身份认证的概念、种类和方法 ●登录认证与授权管理 ●掌握数字签名技术及应用 重点 ●掌握访问控制技术及应用
5.2 认证系统与数字签名
5.2.1认证系统
2.一次性口令密码体制
(1)生成不确定因子 不确定因子的生成方式有很多,最为常用的有以下几个: 1)口令序列方式:口令为一个前后相关的单向序列,系统只用 记录第N个口令。用户用第N-1口令登录时,系统用单向算法算 出第N个口令与自己保存的第N个口令匹配,以判断用户的合法 性。由于N是有限的,用户登录N次后必须重新初始化口令序列。 2)挑战/回答方式:登录时,系统产生一个随机数发送给用户, 用户用某种单向算法将口令和随机数混合起来发送给系统,系 统用同样的方法做验算,即可验证用户身份。 3)时间同步方式:以用户登录时间作为随机因素。这种方式对 双方的时间准确定要求较高,一般采取以分钟为时间单位的这 种方法。其产品对时间误差的容忍达到 1min。
信息安全概论第五章消息认证与数字签名
6
5.1.1 信息加密认证
信息加密函数分两种,一种是常规的对称密钥加密函数, 另一种是公开密钥的双密钥加密函数。下图的通信双方 是,用户A为发信方,用户B为接收方。用户B接收到信 息后,通过解密来判决信息是否来自A, 信息是否是完 整的,有无窜扰。
1.对称密码体制加密: 对称加密:具有机密性,可认证,不提供签名
通常b>n
24
5.2.3
MD5算法
Ron Rivest于1990年提出了一个称为MD4的散列函数。 他的设计没有基于任何假设和密码体制,不久,他的 一些缺点也被提出。为了增强安全性和克服MD4的缺 陷, Rivest于1991年对MD4作了六点改进,并将改进 后的算法称为MD5. MD5算法:将明文按512比特进行分组,即MD5中的 b=512bit,经填充后信息长度为512的倍数(包括64 比特的消息长度)。 填充:首位为1,其余补0至满足要求,即填充后的比 特数为512的整数倍减去64,或使得填充后的数据长 度与448模512同余。
18
通过以下方式使用散列函数常提供消息认证
(1)使用对称加密算法对附加消息摘要的报文进行加密 A B: EK(M||H(M)) 提供保密、认证 (2)使用对称加密方法对消息摘要加密 A B: M||EK(H(M)) 提供认证 (3)使用发方的私钥对消息摘要进行加密 A B: M||EKRa(H(M)) 提供数字签名、认证 (4)在(3)的基础上,使用对称加密方法进行加密 A B: EK(M||EKa(H(M)) ) 提供数字签名、认证和保密 (5)假定双方共享一个秘密值S,与消息M串接,计算散 列值 A B: M||(H(M||S)) 提供认证 (6)假定双方共享一个秘密值S,使用散列函数,对称加 密方法 A B: EK(M||H(M||S)) 提供数字签名、认证和保密19
5.1.1 信息加密认证
信息加密函数分两种,一种是常规的对称密钥加密函数, 另一种是公开密钥的双密钥加密函数。下图的通信双方 是,用户A为发信方,用户B为接收方。用户B接收到信 息后,通过解密来判决信息是否来自A, 信息是否是完 整的,有无窜扰。
1.对称密码体制加密: 对称加密:具有机密性,可认证,不提供签名
通常b>n
24
5.2.3
MD5算法
Ron Rivest于1990年提出了一个称为MD4的散列函数。 他的设计没有基于任何假设和密码体制,不久,他的 一些缺点也被提出。为了增强安全性和克服MD4的缺 陷, Rivest于1991年对MD4作了六点改进,并将改进 后的算法称为MD5. MD5算法:将明文按512比特进行分组,即MD5中的 b=512bit,经填充后信息长度为512的倍数(包括64 比特的消息长度)。 填充:首位为1,其余补0至满足要求,即填充后的比 特数为512的整数倍减去64,或使得填充后的数据长 度与448模512同余。
18
通过以下方式使用散列函数常提供消息认证
(1)使用对称加密算法对附加消息摘要的报文进行加密 A B: EK(M||H(M)) 提供保密、认证 (2)使用对称加密方法对消息摘要加密 A B: M||EK(H(M)) 提供认证 (3)使用发方的私钥对消息摘要进行加密 A B: M||EKRa(H(M)) 提供数字签名、认证 (4)在(3)的基础上,使用对称加密方法进行加密 A B: EK(M||EKa(H(M)) ) 提供数字签名、认证和保密 (5)假定双方共享一个秘密值S,与消息M串接,计算散 列值 A B: M||(H(M||S)) 提供认证 (6)假定双方共享一个秘密值S,使用散列函数,对称加 密方法 A B: EK(M||H(M||S)) 提供数字签名、认证和保密19
第5章 质量认证体系
6、推行ISO9000的作用
强化品质管理,提高企业效益;增强客户信
心,扩大市场份额 获得了国际贸易“通行证”,消除了国际贸 易壁垒 节省了第二方审核的精力和费用 有效地避免产品责任 在产品品质竞争中永远立于不败之地 有利于国际间的经济合作和技术交流
1)强化品质管理,提高企业效益;增强客户 信心,扩大市场份额
应运而生。1971年,ISO成立了“认证委员会” (CERTICO),1985年,易名为“合格评定 委员会”(CASCO),促进了各国产品质量 认证制度的发展。 现在,全世界各国的产品质量认证一般都依据 国际标准进行认证。
国际标准中的60%是由ISO制定的,20%是由
IEC制定的,20%是由其他国际标准化组织制 定的。也有很多是依据各国自己的国家标准和 国外先进标准进行认证的。
OHSAS18002《职业安全与卫生管理体系— OHSAS18001实施指南》。
国际标准化组织(ISO)也多次提议制定相
关国际标准。不少国家已将OHSAS18001标准 做为企业实施职业安全与卫生管理体系的标准, 成为继实施ISO9000、ISO14000国际标准之后 的又一个热点。
我国国家质量监督检验检疫总局于2001年7
2、什么是ISO
ISO是一个组织的英语简称。其全称是
International Organization for Standardization,
翻译成中文就是“国际标准化组织”。 。 ISO是世界上最大的国际标准化组织。它成 立于1947年2月23日。ISO负责除电工、电子领 域之外的所有其他领域的标准化活动。 ISO的宗旨是“在世界上促进标准化及其相关 活动的发展,以便于商品和服务的国际交换, 在智力、科学、技术和经济领域开展合作。”
第五章 电子认证法律制度
第五章电子认证制度第一节电子认证概述一、电子认证的概念与类型(一)认证与电子认证1、认证2、电子认证(二)按计算机已有的认证功能及其认证的对象来分,电子认证要紧有以下几种类型:1、站点认证2、数据电文认证3、电讯源的认证4、身份认证二、电子签名的认证电子认证的具体操作程序为:〔1〕发件人利用密钥制造系统产生公用密钥和私人密钥。
〔2〕发件人在做电子签名前,必须将他的身份信息和公用密钥送给一个经合法注册,具有从事电子认证效劳许可证的第三方,也确实是根基CA认证中心,向该认证中心申请登记并由其签发认证证书。
〔3〕认证机构依据有关的和认证规那么以及自己和当事人之间的约定,对申请进行审查。
要是符合要求,就发给发件人一个认证证书,证实发件人的身份、他的公开密钥以及其他有关的信息。
〔4〕发件人对其要约信息以其私人密钥制作数字签名文件,连同认证证书一并送给收件方,向对方发出要约。
〔5〕收件方接到电子签名文件和认证证书之后,依据认证证书的内容,向相应的认证机构提出申请,请求认证机构将对方的公开密钥发给自己。
〔6〕收件人通过公用密钥和电子签名的验证,即可确信电子签名文件的真实性和可靠性。
假设认证机构有“认证废止名目〞,那么能够查询名目以了解该认证证书是否依旧有效;收件人承诺,那么电子合同成立。
由此可见,在电子文件环境中,CA认证中心起到了一个行使具有权威性、公证性的第三人的作用。
三、认证机构〔CA〕与公开密钥体系〔PKI体系〕(一)认证机构认证机构〔CertificationAuthority。
简称CA认证机构,或CA认证中心〕是指在电子合同中对用户的电子签名颁发数字证书的机构,它差不多成为开放性电子商务活动中不可缺少的信用效劳机构。
联合国贸易法委员会在其?电子签名统一规那么〔草案〕?第1条第4款中:“认证机构,是指从事颁发为数字签名的目的而使用的加密密钥相关的〔身份〕证书的任何人或实体。
〔该定义受任何要求认证机构须取得许可、或认可或以一定的方式进行营业的有效法的限制。
第5章信息认证技术
第五章 信息认证技术
第一节 报文认证
一、报文内容的认证 二、报文源的认证 三、报文时间性的认证
第五章 信息认证技术
第一节 报文认证
一、报文内容的认证 在报文中加入一个“报尾” 在报文中加入一个“报尾”或“报头”, 报头” 称其为“认证码”(AC-authenticating 称其为“认证码” code)。这个认证码是通过对报文进行的某 )。这个认证码是通过对报文进行的某 )。 种运算得到的,也可以称其为“校验和” 种运算得到的,也可以称其为“校验和”。 它与报文内容密切相关, 它与报文内容密切相关,报文内容正确与否 可以通过这个认证码来确定。 可以通过这个认证码来确定。
第五章 信息认证技术
第一节 报文认证
二、报文源的认证 一是由收方和发方共享某个秘密的数 据加密密钥, 据加密密钥,并利用这个密钥来验证发方 身份验证过程如下: 身份验证过程如下:
K1加密 A方 方 K2解密 B方 方
第五章 信息认证技术
第一节 报文认证
二、报文源的认证 二是通行字。 二是通行字。是指通信双方事先约定好 各自所使用的通行字。 发给B的所有报文 各自所使用的通行字。在A发给 的所有报文 发给 中都要含有A的通行字,同样, 发往A的 中都要含有 的通行字,同样,由B发往 的 的通行字 发往 所有报文也都要含有B的通行字。 所有报文也都要含有 的通行字。 的通行字
第五章 信息认证技术
第三节 数字签名 一、数字签名的概念
在计算机中,签名函数必须满足以下条件: 在计算机中,签名函数必须满足以下条件: ①当M′≠M时,有SIG(M′K)≠SIG(M,K),即S≠S′; 时 , , ;
只能由签名者产生, ②签名S只能由签名者产生,否则别人便可伪造, 签名 只能由签名者产生 否则别人便可伪造, 于是签名者也就可以抵赖; 于是签名者也就可以抵赖;
信息安全 第5章消息认证
所以许多不同的密钥(约2k-n个),计算出来的MAC都 等于MAC1。这些密钥中哪一个是正确的密钥不得而 知。这时需要新的M-MAC对来测试这2k-n个密钥, 于是有如下的重复攻击:
重复攻击
Step 1:
给定M1和MAC1 = C k1 (M1) 对所有2k个密钥,判断MACi = C ki (M1) 匹配数约为: 2k-n
没有消息认证的通信系统是极为危险的
消息M
用户A 用户B
篡改、伪造、重放、冒充
恶意者C
消息认证(Message Authentication)
消息认证用于抗击主动攻击
验证接收消息的真实性和完整性 真实性
的确是由所声称的实体发过来的
完整性
未被篡改、插入和删除
验证消息的顺序性和时间性(未重排、重放
MD5 hash算法 MD5 Hash Algorithm
MD4是MD5杂凑算法的前身, 由Ron Rivest于1990年10月作为RFC 提出,1992年4月公布的MD4的改进 (RFC 1320,1321)称为MD5。
M E K EK(M) D K M
由于攻击者不知道密钥K,他也就不知道如何改变密文中的 信息位才能在明文中产生预期的改变。 接收方可以根据解密后的明文是否具有合理的语法结构来进 行消息认证。 但有时发送的明文本身并名优明显的语法结构或特征,例如 二进制文件,因此很难确定解密后的消息就是明文本身。
提供消息认证和保密性:
K2
A
M
E C
K1
||
C K1
C K 1 [ E K 2 ( M )]
D 比较 K2
B
A和B共享K1和K2 K1:用于生成MAC K2:用于加密
第5章 数字签名与认证技术
第5章 数字签名与认证技术
本章主要内容
5.1 数字签名
5.2 安全散列函数 5.3 认证技术
5.1 数字签名
5.1.1 数字签名概念
5.1.2 数字签名的实现过程 5.1.3 EIGamal数字签名算法
5.1.4 Schnorr数字签名算法
5.1.5 数字签名标准DSS
5.1.5 数字签名标准DSS
⑶ DSA与RSA在签名时的速度相同,但验证签名时 的速度DSA要慢10到40倍;
⑷ 密钥长度只有512位,由于DSA的安全性取决于
计算离散对数的难度,因此有很多密码学家对此 表示担心。NIST于1994年5月19日正式颁布了该标 准,并将密钥长度的规定改在512位至1024位之间 可变。
5.1.5 数字签名标准DSS
人们对DSS提出了很多意见,主要包括:
⑴ DSA不能用于加密和密钥分配; ⑵ DSA是由美国国家安全局NSA研制的,因为有人对
NSA不信任,怀疑其中可能存在陷门,特别是NIST一开 始声称DSA是他们自己设计的,后来表示得到了NSA的 帮助,最后承认该算法的确是由NSA设计的;DSA算法 未经过公开选择阶段,未公开足够长的时间以便人们 分析其完全强度和弱点;
5.1.1 数字签名概念
数字签名是网络中进行安全交易的基础,数字签名不
仅可以保证信息的完整性和信息源的可靠性,而且可 以防止通信双方的欺骗和抵赖行为。虽然报文认证能 够保证通信双方免受任何第三方的攻击,然而却不能 保护通信双方中的一方防止另一方的欺骗和伪造。
5.1.1 数字签名概念
例如,当用户A和用户B进行通信时,若未使用数字签
5.1.4 Schnorr数字签名算法
Schnorr数字签名算法的目标是将生成签名所需的报文
本章主要内容
5.1 数字签名
5.2 安全散列函数 5.3 认证技术
5.1 数字签名
5.1.1 数字签名概念
5.1.2 数字签名的实现过程 5.1.3 EIGamal数字签名算法
5.1.4 Schnorr数字签名算法
5.1.5 数字签名标准DSS
5.1.5 数字签名标准DSS
⑶ DSA与RSA在签名时的速度相同,但验证签名时 的速度DSA要慢10到40倍;
⑷ 密钥长度只有512位,由于DSA的安全性取决于
计算离散对数的难度,因此有很多密码学家对此 表示担心。NIST于1994年5月19日正式颁布了该标 准,并将密钥长度的规定改在512位至1024位之间 可变。
5.1.5 数字签名标准DSS
人们对DSS提出了很多意见,主要包括:
⑴ DSA不能用于加密和密钥分配; ⑵ DSA是由美国国家安全局NSA研制的,因为有人对
NSA不信任,怀疑其中可能存在陷门,特别是NIST一开 始声称DSA是他们自己设计的,后来表示得到了NSA的 帮助,最后承认该算法的确是由NSA设计的;DSA算法 未经过公开选择阶段,未公开足够长的时间以便人们 分析其完全强度和弱点;
5.1.1 数字签名概念
数字签名是网络中进行安全交易的基础,数字签名不
仅可以保证信息的完整性和信息源的可靠性,而且可 以防止通信双方的欺骗和抵赖行为。虽然报文认证能 够保证通信双方免受任何第三方的攻击,然而却不能 保护通信双方中的一方防止另一方的欺骗和伪造。
5.1.1 数字签名概念
例如,当用户A和用户B进行通信时,若未使用数字签
5.1.4 Schnorr数字签名算法
Schnorr数字签名算法的目标是将生成签名所需的报文
第5章 身份认证与访问控制
5.1 身份认证技术概述
表5-1 证书的类型与作用 证书名称
个人证书
证书类型
个人证书
主要功能描述
个人网上交易、网上支付、电子邮件等相关网 络作业
单位身份证书 用于企事业单位网上交易、网上支付等
单位证书 服务器证书 代码签名证 书 Email证书 部门证书 企业证书 个人证书 企业证书 用于企事业单位内安全电子邮件通信 用于企事业单位内某个部门的身份认证 用于服务器、安全站点认证等 用于个人软件开发者对其软件的签名 用于软件开发企业对其软件的签名
2.认证技术Байду номын сангаас类型
认证技术是用户身份认证与鉴别的重要手段,也是计算机系统 安全中一项重要内容.从鉴别对象上,分为消息认证和用户身份认证: (1)消息认证:用于保证信息的完整性和不可否认性。 (2)身份认证:鉴别用户身份。包括识别和验证两部分。识别 是鉴别访问者的身份,验证是对访问者身份的合法性进行确认。 从认证关系上,身份认证也可分为用户与主机间的认证和主机之间 的认证,
2. 数字签名的功能
保证信息传输的完整性、发送者的身份认证、防止交易中的抵 赖行为发生。数字签名技术是将摘要信息用发送者的私钥加密,与 原文一起传送给接收者。最终目的是实现6种安全保障功能: (1)必须可信。(2)无法抵赖。(3)不可伪造。 (4)不能重用。(5)不许变更。(6)处理快、应用广。
5.2数字签名概述
5.3.2 访问控制的类型及机制
访问控制可以分为两个层次:物理访问控制和逻 辑访问控制。 1. 访问控制的类型 访问控制类型有3种模式: 1)自主访问控制 自主访问控制(Discretionary Access Control,DAC)是一种接入控制服务,通过执行基 于系统实体身份及其到系统资源的接入授权。包括 在文件,文件夹和共享资源中设置许可。
第5章-身份认证-电子课件
2020/6/16
5
图5.1 身份认证的过程
2020/6/16
6
5.1.1身份认证技术的基本概念
3. 认证技术的类型 认证技术是用户身份鉴别确认的重要手段,也是网络系 统安全中的一项重要内容。从鉴别对象上可以分为两种:消 息认证和用户身份认证。
消息认证:用于保证信息的完整性和不可否认性。通常 用来检测主机收到的信息是否完整,以及检测信息在传递过 程中是否被修改或伪造。
2020/6/16
8
5.1.2基于信息秘密的身份认证
基于信息秘密的身份认证是根据双方共同所知道的秘密 信息来证明用户的身份(what you know),并通过对秘密 信息进行鉴别来验证身份。例如,基于口令、密钥、IP地址 、MAC地址等身份因素的身份认证。主要包括:
1.网络身份证 网络身份证即虚拟身份电子标识VIEID(Virtual identity electronic identification)技术。就是在网络上可以证明一 个人身份及存在的虚拟证件。VIEID是网络身份证的工具或 服务协议,也是未来互联网络基础设施的基本构成之一。
身份认证:鉴别用户身份。包括识别和验证两部分内容 。其中,识别是鉴别访问者的身份,验证是对访问者身份的 合法性进行确认。
2020/6/16
7
5.1.1身份认证技术的基本概念
4.常见的身份认证技术 在现实世界中,对用户的身份认证基本方法可以分为三种:
(1)基于信息秘密的身份认证:就是根据你所知道的信息 来证明你的身份(what you know你知道什么);
2020/6/16
18
5.1.4基于生物特征的身份认证
认证系统测量的生物特征是指唯一的可以测量或可自动 识别和验证的生理特征或行为方式。使用传感器或者扫描仪 来读取生物的特征信息,将读取的信息和用户在数据库中的 特征信息比对,如果一致则通过认证。
第5章 身份认证与网络安全
(1)用户A选取时间戳tA,表示消息生成时间和期满时间,被用 来防止信息传递的延迟以抗重放;生成一个非重复的随机数rA (rA用来抗重放攻击)及密钥kA,A用自己的密钥kA加密 {tA ,rA,B}即{tA ,rA,B}kA。并将它发送给B。 (2)B收到消息后执行以下动作:获取A的X.509证书,并验证 证书的有效性,从A证书中提取A的公开密钥信息,验证A的身 份是否属实,同时检验消息的完整性;检查B自己是否是消息 的接收者;验证时间戳tA是否为当前时间,检查rA是否被重放; 最后B生成一个非重复的随机数rB(作用与rA相同),并向A 发送消息: {rB,tB,A,rA}kA。 (3)A收到消息后执行以下动作:获取B的X.509证书,并验证 证书的有效性,接着从B的证书中提取B的公开密钥,验证B的 公开密钥,验证B的身份,同时检验消息的完整性;检查A自己 是否是消息的接收者;验证时间戳tB是否为当前时间,并检查rB 是否被重放。
协议的目的是由KDC为A、B安全地分配会话密钥 KS,A在第②步安全地获得了KS,而第③步的消 息仅能被B解读,因此B在第③步安全地获得了KS , 第④步中B向A示意自己已掌握KS,N2用于向A询 问自己在第③步收到的KS是否为一新会话密钥, 第⑤步A对B的询问作出应答,一方面表示自己已 掌握KS,另一方面由f(N2)回答了KS的新鲜性。 可见第④、⑤两步用于防止一种类型的重放攻击, 比如敌手在前一次执行协议时截获第③步的消息, 然后在这次执行协议时重放,如果双方没有第④、 ⑤两步的握手过程的话,B就无法检查出自己得到 的KS是重放的旧密钥。
清华大学出版社
北京交通大学出版社
5.1.1身份认证技术简介 G.J.Simmons在1984年提出了认证系统的 信息理论。他将信息论用于研究认证系统的 理论安全性和实际安全问题,也指出了认证 系统的性能极限以及设计认证码所必须遵循 的原则。
信息安全技术05章
信息安全技术05章第五章认证技术现代密码的两个最重要的分⽀就是加密和认证。
加密的⽬的是防⽌敌⽅获得机密信息。
认证则是为了防⽌敌⽅的主动攻击,包括验证信息真伪及防⽌信息在通信过程中被篡改、删除、插⼊、伪造、延迟及重放等。
认证主要包括三个⽅⾯:消息认证、⾝份验证和数字签名。
上⼀章介绍了数字签名技术,本章将对认证技术的另外两个⽅⾯进⾏介绍。
5.1 消息认证⽹络安全所⾯临的基本攻击类型,包括:被动攻击(获取消息的内容、进⾏业务流分析)主动攻击(假冒、重放、消息的篡改、业务拒绝)。
抗击被动攻击的⽅法是加密,抗击主动攻击的⽅法则是消息认证。
消息认证是⼀个过程,⽤以验证接收消息的真实性(的确是由它所声称的实体发来的)和完整性(未被篡改、插⼊、删除),同时还⽤于验证消息的顺序性和时间性(未重排、重放、延迟)。
除此之外,在考虑⽹络安全时还需考虑业务的不可否认性,即防⽌通信双⽅中的其⼀⽅对所传输消息的否认。
实现消息的不可否认性可通过数字签字,数字签字也是⼀种认证技术,也可⽤于抗击主动攻击。
5.1.1 消息认证的模式5.1.2 认证函数消息认证机制和数字签字机制都有⼀产⽣认证符的基本功能,这⼀基本功能⼜作为认证协议的⼀个组成成分。
认证符是⽤于认证消息的数值,它的产⽣⽅汉⼜分为消息加密、消息认证码MAC(Message Authentication Code)、杂凑函数(Hash Function)三⼤类,下⾯分别介绍。
1.消息加密(Message Encryption Function):消息加密产⽣认证符是指将消息加密后的密⽂作为认证符,其⽤法⼜根据单钥加密还是公钥加密有所不同。
1)单钥加密图5.1表⽰消息M的发送⽅A根据单钥加密算法以与接收⽅B 共享的密钥K对消息加密后发往B。
第三⽅不知密钥K就不能恢复消息的明⽂,因此系统提供了保密性。
图5.1单钥消息加密:保密性和认证性该系统还向B保证所收到的消息的确来⾃A,因为只有A知道密钥K。
软件工程中的可信验证与认证
帮助开发人员确保应用安全性
银行系统信息安全认证实践
静态代码分析和模 型验证技术
保证系统的稳定性 和可靠性
持续改进安全措施
应对不断演变的网 络安全威胁
定期安全扫描和漏 洞修复
确保系统免受黑客 攻击和数据泄露的
威胁
结语
可信验证与认证在软件工程中扮演着重要角色, 不仅保障用户数据安全,也提升系统可信度。 不同领域的认证实践为我们提供了宝贵的经验,
安全认证技术
安全评估和认证
安全认证技术是通 过认证机构对软件 系统进行安全评估
和认证的技术
符合安全标准和法规
安全认证技术可以 确保软件系统符合 相关的安全标准和
法规
提供信任和保障
安全认证技术可以 为软件系统的用户
提供信任和保障
总结
可信验证与认证技术在软件工程中起着重要作 用,静态代码分析、动态测试技术、模型验证 方法和安全认证技术都是为了确保软件系统的 可信度和安全性。通过这些技术的应用,可以 提高软件系统的质量和可靠性,同时确保用户
数据和系统的安全。
第3章 可信验证与认证工具
●03
Coverity
静态检查工具
SonarQube
代码质量分析工具
PMD
代码规范检查工具
静态代码分析工具
动态测试工具
JUnit
单元测试框架
Postman
API测试工具
Selenium
Web自动化测试 工具
模型验证工具
SPIN
Alloy
TLA+
NuSMV
以提高软件系统的可信度和安全性。
工具种类繁多
静态、动态、模型、认证
提高软件可信度
检测问题、验证模型、解决漏洞
信息安全实际原理及具体应用第5章消息认证
• 因此,认证函数比加密函数更不易被攻破,因为即 便攻破也无法验证其正确性。关键就在于加密函数 是一对一的,而认证函数是多对一的。
消息认证码的基本用途
• 只提供消息认证,不提供保密性。(见前) • 提供消息认证和保密性:
A
B
MKC||KE KDCM KC 比较 1
2 2 EK2[M || CK1 (M )]
– 与消息认证码不同的是, hash码的产生过程中并不使用 密钥。
– Hash码是所有消息的函数,改变消息的任何一位或多位, 都会导致hash码的改变。
– Hash算法通常是公开的。 – 又称为:哈希函数、数字指纹(Digital finger print)、压
缩(Compression)函数、紧缩(Contraction )函数、 数据鉴别码DAC(Data authentication code)、篡改 检验码MDC(Manipulation detection code)
• 平均来讲,若k=x*n,则需x次循环才能找到正确的密钥。 • 所以,用穷举法攻破MAC比攻破加密算法要困难得多。
对MAC的攻击—攻击算法
• 考虑下面的算法:
消息M=(X1‖X2‖…‖Xm)是由64比特长的分组Xi(i=1,…,m)链接而成 MAC算法是:
(M ) X1 X2 Xm
CK (M ) EK (M )
消息认证码用于认证
MMCKA比C 较
• A和B共享密钥K • A计算MAC=Ck(M),
• M和MAC一起发送
到B
• B对收到的M,计算 MAC,比较两个 MAC是否相同。
如果两个MAC相等,则:
1. 接收方可以相信消息未被修改,因为如果攻击者改变了消 息,由于不知道k,无法生成正确的MAC。
消息认证码的基本用途
• 只提供消息认证,不提供保密性。(见前) • 提供消息认证和保密性:
A
B
MKC||KE KDCM KC 比较 1
2 2 EK2[M || CK1 (M )]
– 与消息认证码不同的是, hash码的产生过程中并不使用 密钥。
– Hash码是所有消息的函数,改变消息的任何一位或多位, 都会导致hash码的改变。
– Hash算法通常是公开的。 – 又称为:哈希函数、数字指纹(Digital finger print)、压
缩(Compression)函数、紧缩(Contraction )函数、 数据鉴别码DAC(Data authentication code)、篡改 检验码MDC(Manipulation detection code)
• 平均来讲,若k=x*n,则需x次循环才能找到正确的密钥。 • 所以,用穷举法攻破MAC比攻破加密算法要困难得多。
对MAC的攻击—攻击算法
• 考虑下面的算法:
消息M=(X1‖X2‖…‖Xm)是由64比特长的分组Xi(i=1,…,m)链接而成 MAC算法是:
(M ) X1 X2 Xm
CK (M ) EK (M )
消息认证码用于认证
MMCKA比C 较
• A和B共享密钥K • A计算MAC=Ck(M),
• M和MAC一起发送
到B
• B对收到的M,计算 MAC,比较两个 MAC是否相同。
如果两个MAC相等,则:
1. 接收方可以相信消息未被修改,因为如果攻击者改变了消 息,由于不知道k,无法生成正确的MAC。
粤教版信息技术必修二第五章知识点梳理复习
粤教版信息技术必修二《信息系统与社会》第五章信息系统的安全风险风范【知识结构体系】信息系统的安全风险防范安全风险人为因素软硬件因素网络因素数据因素技术与方法重要术语威胁攻击入侵漏洞脆弱性风险P2DR安全模型策略、防护、检测、响应常用技术加密技术认证技术主机系统安全技术网络与系统安全应急响应技术恶意代码检测与防范技术人工智能在反病毒中的应用合理使用信息系统树立信息安全意识信息系统安全操作规范信息社会的道德准则与法律法规【知识梳理】一、信息系统应用中的安全风险(一)人为因素1.原因:人是信息系统的使用者与管理者,是信息系统的薄弱环节。
2.策略:✓加强立法✓提高关键安全技术水平✓全面提高道德意识与技术防范水平(二)软硬件因素1.对硬件的保护:✓把硬件作为物理资产✓严格限制访问权限2.对软件的保护:及时为软件打补丁或修复漏洞(三)网络因素1.风险:✓网络黑客窃取、篡改信息;✓网络崩溃导致信息丢失。
2.诱因:✓网络系统管理的复杂性✓网络信息的重要性✓网络系统本身的脆弱性✓低风险的诱惑(四)数据因素采集、存储、处理、传输过程中的安全问题二、信息系统安全风险防范的技术与方法(一)信息系统安全风险防范的重要术语1.威胁:对信息、系统或信息资产有潜在危险的人、实体或其他对象2.攻击:对信息、信息系统或信息资产进行蓄意或无意破坏3.入侵:对网络或联网系统的未授权访问与控制4.漏洞:信息系统自身存在的缺陷5.脆弱性:物理环境、组织、过程、人员、管理、配置、硬件、软件、信息都存在的缺陷6.风险:威胁主体利用脆弱性,采用一定的途径和方式,对信息、信息系统或信息资产造成损害或损失,从而形成风险。
(二)信息系统安全模型及安全策略1.信息系统安全性、便利性与成本的关系2.P2DR模型(1)策略:根据风险分析产生的安全策略描述了系统中哪些资源要得到保护,以及如何实现对它们的保护等。
✓网络安全策略包括:访问控制策略、加密通信策略、身份认证策略和回复备份策略。
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
图5-5(a) 使用对称加密方法对附加哈希值的消息进行加密
22
⑵使用对称加密方法仅对哈希值进行加密
用户A M H E Ek [H(M)] M || H 比较 D 用户B
K
K
这种方法针对消息无需保密的情况,从而减少了 图5-5(b) 使用对称加密方法仅对哈希值进行加密 由加密而增加的处理负担。
23
⑶使用公开密钥加密方法和发送方的私有密钥仅
10
算法描述:
O1=EK(D1)
O2=EK(D2⊕O1)
O3=EK(D3⊕O3) …………………… ON=EK(DN⊕ON-1) MAC函数类似于加密。它与加密的区别是MAC
函数无需可逆,而对解密则必须是可逆的。
结果由于认证函数的这个数学性质使得它比加密 函数更不易被破解。
11
3. 消息认证方案
38
5.3.2 数字签名 1. 数字签名的需要 消息认证是一个证实收到的消息来自可信的源点 且未被第三方篡改的过程。消息认证也可证实序列编 号和及时性,但它并不能保证双方自身的相互欺骗。 例如,假设A发送一个认证消息给B,双方之间的 争议可能有多种形式: ●B伪造一个不同的消息,但声称是A发送的。
作为消息认证码。
9
Time = 1
Time = 2 D2 (64bits)
Time = N
D1 (64bits)
DN (64bits)
K
DES
K
DE S
s)
O2 (64bits)
ON (64bits) DAC (16 to 64 bits)
图5-2 基于DES的消息认证码
第5章 认证技术
李文媛
E-mail:lwyuan78@ M. P. :89008713 QQ:106190093 Office:2-604
教学目标
本章介绍认证的概念、认证码、认证协议、 数字签名及一些认证的方法与技术。
应掌握以下内容:
(1) 理解认证、认证系统、认证码、认证协议 及数字签名的概念;
● 加密算法可能受专利的保护。
● 加密算法易遭到美国政府的出口限制。
28
表5-1归纳了图5-5中说明的保密和认证方法。
表5-1 不同哈希值提供的保密和认证方法 (a) A→B:EK[M||H(M)] ● 提供认证 ● 提供保密 (b) A→B:M||EK[H(M)] ● 提供认证 (c) A→B:M||EKRa[H(M)] ● 提供认证和数字签名 (d) A→B:EK[M||EKRa[H(M)]] ● 提供认证和数字签名 ● 提供保密 (e) A→B:M||H(M||S) ● 提供认证 (f) A→B:EK[M||H(M||S)] ● 提供认证和数字签名 ● 提供保密
33
1. 仲裁协议(Arbitration Protocol) 在该协议的完成过程中,引入值得信赖的、公正 的第三方仲裁者。仲裁者能帮助互不信任的双方完成 协议。 T
A
B
在现实生活中,律师、银行等可充当仲裁人角色。
34
然而,在计算机领域中,若让计算机充当仲裁人
时,则会遇到如下一些新的问题:
●互相怀疑的通信双方很可能也怀疑作为仲裁者 的计算机。 ●在计算机网络中,引入仲裁者,也同样会产生 额外的成本开销。 ●当协议中引入仲裁者时,就会增加时延。 ●作为仲裁者的计算机需要对每一次会话加以处 理,可能会成为系统的瓶颈。
M C
D
M
K2
K1 K1
K2 比较
CK1[EK2(M)] 图5-3(c) 消息认证与保密 ,认证与密文连接
14
对称加密能提供认证,同时也已有广泛应用的现
成产品,为什么不简单地使用它们而要采用独立的消 息认证码呢? ⑴将相同的消息对许多终点进行广播的应用。如 通知用户某时段网络进行维护。此时,只需要一个终 端进行消息的认证。 ⑵一方有繁重的任务,无法负担对所有收到的消 息进行解密的工作量。仅进行有选择地认证,对消息
秘密值S本身并不被发送,攻击者无法更改中途截 获的消息,也就无法产生假消息。此方法只提供认证。
26
图5-5(e) 通信各方共享一个公共的秘密值S的哈希值
⑹通过对包含消息和哈希值的整体进行加密就能 对方法⑸增加保密功能
图5-5(f) 在方法(e)的基础上增加保密功能
27
需要认证的几种原因: ● 使用加密软件加密速度很慢。 ● 加密硬件的费用是不可忽略的。 ● 加密硬件是针对大长度数据进行优化的。
16
5.2.2 使用哈希函数的消息认证 1. 哈希函数概念 哈希函数可以接受可变长度的数据输入,并生成 定长数据输出的单向函数。这个定长的输出是输入数 据的哈希值或称消息摘要、散列码、数字指纹。
17
哈希值以函数H产生: h=H(M) 其中: ● M是变长的消息; ● H是一个将任意长度的消息M映射为一个较短 定长的哈希值h的哈希函数;
(2) 理解消息认证的原理; (3) 掌握认证方案;
教学内容
● 5.1 概述
● 5.2 消息认证
● 5.3 数字签名
● 实验与习题
5.1 概述
认证(Authentication)是保证信息完整性、
有效性,以防止主动攻击的重要技术。
认证的主要分为两个方面:
⑴消息认证:验证信息的完整性,即验证数
据在传输或存储过程中未被窜改、重放或延迟等。 ⑵实体认证:包括信源、信宿等的身份认证 和识别;
证据 证据 骗是否存在,而不能防止
欺骗的发生。
36
3. 自动执行协议(Self-enforcing Protocol) 协议本身就保证公平性,这种协议不需要仲裁者 的参与,也不需要裁决者来解决争端,如果协议中的 一方试图欺骗另一方,那么另一方会立刻检测到该欺
骗的发生,并停止执行协议。
A
B
37
若让计算机代替人类,必须使计算机按照事先设 计的协议来执行。人可以对新环境作出相应的反应, 而计算机在这点上却几乎无灵活性可言。
哈希值是消息中所有位的函数值,并有差错检测 能力,消息中任意一位或若干位发生改变都将导致哈
希值发生改变。
不同哈希值可以提供的几种消息认证的方式如下。
21
⑴使用对称加密方法对附加哈希值的消息加密
用户A
M || M‖H(M) Ek[M‖H(M)] M E M D M H 比较
用户B
H
K K H(M)
认证原理:因为只有A和B共享密钥K,因此M消 息必定来自A且未被篡改。因为对包括消息和哈希值 的整体进行加密,因此还提供保密。
传输或过程中是否被假冒、伪造或篡改,是否感染病毒等, 即保证信息的完整性和有效性。
在网络应用中,许多报文是并不需要加密,只需要确
认真实性。如何让接收报文的目的站来鉴别没有加密的报 文的真伪,正是消息认证的目的。 消息认证通常采用的方法: ● 采用MAC的消息认证
● 使用哈希函数的消息认证
7
5.2.1 采用MAC的消息认证 1. 消息认证码 消息认证码(Message Authentication Code, MAC)是一种实现消息认证的方法。MAC是由消息M 和密钥K的一个函数值产生的,即:MAC=Ck(M)
29
3.2.3 MD5算法 消息摘要(Message Digest,MD)算法(RFC 1321)由Rivest提出,是当前最为普遍的哈希算法, MD5是第5个版本。 MD5 算法逻辑:
● 输入:任意长度的消息
● 输出:128位消息摘要
● 处理:以512位输入数据块为单位
30
教学内容
● 5.1 概述
● 5.2 消息认证
● 5.3 数字签名
● 实验与习题
5.3 认证协议与数字签名
5.3.1 协议的基本概念
协议(Protocol)是两个或两个以上的参与
者为完成某项特定的任务而采取的一系列步骤。 这个定义包含三层含义: ● 协议自始至终是有序的过程,必须依次执 行每一步骤。 ● 协议至少需要两个参与者。
● h=H(M)是定长的哈希值。
哈希函数并不能提供机密性,并且它们不能使用 密钥来生成消息摘要。哈希函数非常适合于认证和确 保数据的完整性。
18
哈希函数的性质:
⑴H可以作用于一个任意长度的数据分组输入, 产生一个固定长度的输出。
⑵任意给定消息M,计算h=H(M)容易。 ⑶任意给定h,找到M满足H(M)=h很难,计算上 不可行性,即单向性。 ⑷任意给定的数据块M,找到不等于M的M',使 H(M)=H(M')在计算是不可行性。有时也称弱抗冲突。 ⑸找到任意数据对(x,y),满足H(x)=H(y)是计算不 可行的。有时也称强抗冲突—生日攻击。
因此,协议应该对所要完成的某项任务的过程加
以抽象。无论是客户机还是服务器,所采用的通信协
议都是相同的。这种抽象不仅可以大大提高协议的适
应性,而且还可使我们十分容易地辨别协议的优劣。 协议不仅应具有很高的运行效率,而且还应具有 行为上的完整性。在设计协议时,要考虑到完成某项 任务时可能发生的各种情况,并对其作出相应的反应。
● 执行协议后,必须能够完成某项任务。
32
密码协议是使用密码学的协议。在协议中使用密 码的目的是防止偷听或欺骗。 协议的参与者可能是相互完全信任的人,也可能 相互完全不信任的人甚至是敌人。 其主要协议类型有3种: ●仲裁协议(Arbitration Protocol) ●裁决协议(Adjudicated Protocol) ●自动执行协议(Self-enforcing Protocol)
其中: MAC的认证过程:通信双方A和B共享密钥K。 ● M是变长的消息; 当A要向B发消息时,首先计算MAC,并将它附加在 消息的后面,然后发给B。接收者B首先使用相同的 ● K是仅由收发双方共享的密钥;
密钥K,对收到的消息M重新计算一个新的MAC,然 ● Ck(M)是定长的认证码。 后将收到的MAC与新计算得出的MAC进行比较。
22
⑵使用对称加密方法仅对哈希值进行加密
用户A M H E Ek [H(M)] M || H 比较 D 用户B
K
K
这种方法针对消息无需保密的情况,从而减少了 图5-5(b) 使用对称加密方法仅对哈希值进行加密 由加密而增加的处理负担。
23
⑶使用公开密钥加密方法和发送方的私有密钥仅
10
算法描述:
O1=EK(D1)
O2=EK(D2⊕O1)
O3=EK(D3⊕O3) …………………… ON=EK(DN⊕ON-1) MAC函数类似于加密。它与加密的区别是MAC
函数无需可逆,而对解密则必须是可逆的。
结果由于认证函数的这个数学性质使得它比加密 函数更不易被破解。
11
3. 消息认证方案
38
5.3.2 数字签名 1. 数字签名的需要 消息认证是一个证实收到的消息来自可信的源点 且未被第三方篡改的过程。消息认证也可证实序列编 号和及时性,但它并不能保证双方自身的相互欺骗。 例如,假设A发送一个认证消息给B,双方之间的 争议可能有多种形式: ●B伪造一个不同的消息,但声称是A发送的。
作为消息认证码。
9
Time = 1
Time = 2 D2 (64bits)
Time = N
D1 (64bits)
DN (64bits)
K
DES
K
DE S
s)
O2 (64bits)
ON (64bits) DAC (16 to 64 bits)
图5-2 基于DES的消息认证码
第5章 认证技术
李文媛
E-mail:lwyuan78@ M. P. :89008713 QQ:106190093 Office:2-604
教学目标
本章介绍认证的概念、认证码、认证协议、 数字签名及一些认证的方法与技术。
应掌握以下内容:
(1) 理解认证、认证系统、认证码、认证协议 及数字签名的概念;
● 加密算法可能受专利的保护。
● 加密算法易遭到美国政府的出口限制。
28
表5-1归纳了图5-5中说明的保密和认证方法。
表5-1 不同哈希值提供的保密和认证方法 (a) A→B:EK[M||H(M)] ● 提供认证 ● 提供保密 (b) A→B:M||EK[H(M)] ● 提供认证 (c) A→B:M||EKRa[H(M)] ● 提供认证和数字签名 (d) A→B:EK[M||EKRa[H(M)]] ● 提供认证和数字签名 ● 提供保密 (e) A→B:M||H(M||S) ● 提供认证 (f) A→B:EK[M||H(M||S)] ● 提供认证和数字签名 ● 提供保密
33
1. 仲裁协议(Arbitration Protocol) 在该协议的完成过程中,引入值得信赖的、公正 的第三方仲裁者。仲裁者能帮助互不信任的双方完成 协议。 T
A
B
在现实生活中,律师、银行等可充当仲裁人角色。
34
然而,在计算机领域中,若让计算机充当仲裁人
时,则会遇到如下一些新的问题:
●互相怀疑的通信双方很可能也怀疑作为仲裁者 的计算机。 ●在计算机网络中,引入仲裁者,也同样会产生 额外的成本开销。 ●当协议中引入仲裁者时,就会增加时延。 ●作为仲裁者的计算机需要对每一次会话加以处 理,可能会成为系统的瓶颈。
M C
D
M
K2
K1 K1
K2 比较
CK1[EK2(M)] 图5-3(c) 消息认证与保密 ,认证与密文连接
14
对称加密能提供认证,同时也已有广泛应用的现
成产品,为什么不简单地使用它们而要采用独立的消 息认证码呢? ⑴将相同的消息对许多终点进行广播的应用。如 通知用户某时段网络进行维护。此时,只需要一个终 端进行消息的认证。 ⑵一方有繁重的任务,无法负担对所有收到的消 息进行解密的工作量。仅进行有选择地认证,对消息
秘密值S本身并不被发送,攻击者无法更改中途截 获的消息,也就无法产生假消息。此方法只提供认证。
26
图5-5(e) 通信各方共享一个公共的秘密值S的哈希值
⑹通过对包含消息和哈希值的整体进行加密就能 对方法⑸增加保密功能
图5-5(f) 在方法(e)的基础上增加保密功能
27
需要认证的几种原因: ● 使用加密软件加密速度很慢。 ● 加密硬件的费用是不可忽略的。 ● 加密硬件是针对大长度数据进行优化的。
16
5.2.2 使用哈希函数的消息认证 1. 哈希函数概念 哈希函数可以接受可变长度的数据输入,并生成 定长数据输出的单向函数。这个定长的输出是输入数 据的哈希值或称消息摘要、散列码、数字指纹。
17
哈希值以函数H产生: h=H(M) 其中: ● M是变长的消息; ● H是一个将任意长度的消息M映射为一个较短 定长的哈希值h的哈希函数;
(2) 理解消息认证的原理; (3) 掌握认证方案;
教学内容
● 5.1 概述
● 5.2 消息认证
● 5.3 数字签名
● 实验与习题
5.1 概述
认证(Authentication)是保证信息完整性、
有效性,以防止主动攻击的重要技术。
认证的主要分为两个方面:
⑴消息认证:验证信息的完整性,即验证数
据在传输或存储过程中未被窜改、重放或延迟等。 ⑵实体认证:包括信源、信宿等的身份认证 和识别;
证据 证据 骗是否存在,而不能防止
欺骗的发生。
36
3. 自动执行协议(Self-enforcing Protocol) 协议本身就保证公平性,这种协议不需要仲裁者 的参与,也不需要裁决者来解决争端,如果协议中的 一方试图欺骗另一方,那么另一方会立刻检测到该欺
骗的发生,并停止执行协议。
A
B
37
若让计算机代替人类,必须使计算机按照事先设 计的协议来执行。人可以对新环境作出相应的反应, 而计算机在这点上却几乎无灵活性可言。
哈希值是消息中所有位的函数值,并有差错检测 能力,消息中任意一位或若干位发生改变都将导致哈
希值发生改变。
不同哈希值可以提供的几种消息认证的方式如下。
21
⑴使用对称加密方法对附加哈希值的消息加密
用户A
M || M‖H(M) Ek[M‖H(M)] M E M D M H 比较
用户B
H
K K H(M)
认证原理:因为只有A和B共享密钥K,因此M消 息必定来自A且未被篡改。因为对包括消息和哈希值 的整体进行加密,因此还提供保密。
传输或过程中是否被假冒、伪造或篡改,是否感染病毒等, 即保证信息的完整性和有效性。
在网络应用中,许多报文是并不需要加密,只需要确
认真实性。如何让接收报文的目的站来鉴别没有加密的报 文的真伪,正是消息认证的目的。 消息认证通常采用的方法: ● 采用MAC的消息认证
● 使用哈希函数的消息认证
7
5.2.1 采用MAC的消息认证 1. 消息认证码 消息认证码(Message Authentication Code, MAC)是一种实现消息认证的方法。MAC是由消息M 和密钥K的一个函数值产生的,即:MAC=Ck(M)
29
3.2.3 MD5算法 消息摘要(Message Digest,MD)算法(RFC 1321)由Rivest提出,是当前最为普遍的哈希算法, MD5是第5个版本。 MD5 算法逻辑:
● 输入:任意长度的消息
● 输出:128位消息摘要
● 处理:以512位输入数据块为单位
30
教学内容
● 5.1 概述
● 5.2 消息认证
● 5.3 数字签名
● 实验与习题
5.3 认证协议与数字签名
5.3.1 协议的基本概念
协议(Protocol)是两个或两个以上的参与
者为完成某项特定的任务而采取的一系列步骤。 这个定义包含三层含义: ● 协议自始至终是有序的过程,必须依次执 行每一步骤。 ● 协议至少需要两个参与者。
● h=H(M)是定长的哈希值。
哈希函数并不能提供机密性,并且它们不能使用 密钥来生成消息摘要。哈希函数非常适合于认证和确 保数据的完整性。
18
哈希函数的性质:
⑴H可以作用于一个任意长度的数据分组输入, 产生一个固定长度的输出。
⑵任意给定消息M,计算h=H(M)容易。 ⑶任意给定h,找到M满足H(M)=h很难,计算上 不可行性,即单向性。 ⑷任意给定的数据块M,找到不等于M的M',使 H(M)=H(M')在计算是不可行性。有时也称弱抗冲突。 ⑸找到任意数据对(x,y),满足H(x)=H(y)是计算不 可行的。有时也称强抗冲突—生日攻击。
因此,协议应该对所要完成的某项任务的过程加
以抽象。无论是客户机还是服务器,所采用的通信协
议都是相同的。这种抽象不仅可以大大提高协议的适
应性,而且还可使我们十分容易地辨别协议的优劣。 协议不仅应具有很高的运行效率,而且还应具有 行为上的完整性。在设计协议时,要考虑到完成某项 任务时可能发生的各种情况,并对其作出相应的反应。
● 执行协议后,必须能够完成某项任务。
32
密码协议是使用密码学的协议。在协议中使用密 码的目的是防止偷听或欺骗。 协议的参与者可能是相互完全信任的人,也可能 相互完全不信任的人甚至是敌人。 其主要协议类型有3种: ●仲裁协议(Arbitration Protocol) ●裁决协议(Adjudicated Protocol) ●自动执行协议(Self-enforcing Protocol)
其中: MAC的认证过程:通信双方A和B共享密钥K。 ● M是变长的消息; 当A要向B发消息时,首先计算MAC,并将它附加在 消息的后面,然后发给B。接收者B首先使用相同的 ● K是仅由收发双方共享的密钥;
密钥K,对收到的消息M重新计算一个新的MAC,然 ● Ck(M)是定长的认证码。 后将收到的MAC与新计算得出的MAC进行比较。