军事网络与通信安全技术
相关主题
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
• MDC 方法是利用一个认证函数C,将要发送的信息明文变换成篡改 检测码,并将其附在明文之后,然后对合在一起的信息进行加密发送 (可以只对篡改检测码加密),以此来实现保密认证。
• 2)信息唯一性、时间性认证
上一页 下一页 返回
7.1 认证与签名技术
• 信息的唯一性和时间性认证主要是阻止消息重放攻击,常使用变参数 的方法来进行认证。时变参数有时间戳、顺序号和随机数等类别。在 不同的应用场合,可以根据具体情况选择不同类别的时变参数,也可 以同时选用几种时变参数。
上一页 下一页 返回
7.1 认证与签名技术
• (2)顺序号。在顺序号验证方法中,收发双方要预先确定编号的特 定方式,特定的编号信息只能被接收一次,且编号格式必须符合相关 规定,否则,接收方就会拒绝接收。这种方法使得接收方可以检测信 息重用,以此来控制唯一性。
• (3)随机数。在随机数认证方法中,认证一方产生一个随机数,并 发送给被认证一方,被认证者将该随机数加密后回传给认证者,认证 者检测这一随机数是否为所发送的随机数。随机数认证可以防止重用 攻击和交错攻击。
上一页 下一页 返回
7.1 认证与签名技术
• 收方亦通过与发送方同样的过程来计算鉴别码,然后将收发双方计算 的鉴别码进行比较,如果两者相等,接收方认为:① 所接收的信息M 未被篡改,信息是完整的;② 信息来自所声称的发送者,因为没有 第三者知道共享密钥K,也就不可能为信息M 附加合适的MAC;如果 两者不等,说明信息已被非法篡改,或者不是来自所声称的发送者。
下一页 返回
7.1 认证与签名技术
• 可以采用四种机制来实现上述目标:公开密钥算法、对称密钥算法、 密码校验函数和零知识技术。较普遍使用的是对称密钥算法。
• 1)信息完整性认证 • 信息的完整性(Integrity)认证基本途径有两条,一种是采用信息鉴
别码(Message Authentication Code,MAC),另外一种是采用 篡改检测码(Manipulation Detection Code,MDC)。 • MAC 方法如图7−1 所示,MAC 是信息和密钥的公开函数,它是一个 定长的值,以该值作为鉴别码,即MAC=CK(M)。其中M 为可变 长的消息,K 是收发双方共享的密钥,C 为认证函数。在信息传输过 程中,鉴别码被附加到消息后,以M/MAC 方式一并发送。
第7 章 军事网络与通信安全技术
• 7.1 认证与签名技术 • 7.2 保密通信技术 • 7.3 抗干扰通信 • 7.4 网络安全防护技术 • 7.5 网络管理
返回
7.1 认证与签Leabharlann Baidu技术
• 7.1.1 信息认证
• 在军用信息系统中,如果用户A 发送给用户B 一段信息,用户B 在收 到这段信息后,除了需要确定这段信息确实来自用户A,同时还要确 认这段信息在传输过程中未被非法篡改,而用户A 也需要确认发送的 信息是否已经正确地到达目的地。这些对信息的确认过程需要由验证 技术来解决。信息认证技术能够实现三个目标:① 证实信息的发送 源和目的地;② 确认信息内容是否受到了偶然的或有意的篡改;③ 确认信息的时间性和顺序号。换句话说,信息认证就是要确定信息的 完整性、唯一性和时间性。
• (1)时间戳。时间戳方法要求通信双方使用相同的参考时间,如格 林尼治时间。接收方使用固定大小的时间窗口,认证者收到信息时间 与信息认证码中所携带的时间戳之间存在一个差值,如果差值在时间 窗口内,信息就被接收。通过对经过窗口的信息进行登记,当已经登 记的信息第二次以后出现时,将被接收方拒绝,以此来控制信息的唯 一性。
• 通俗点说,电子签名就是通过密码技术对电子文档的电子形式的签名, 并非是书面签名的数字图像化,它类似于手写签名或印章,也可以说 它就是电子印章。
• 以往在各类纸质文档中,人们常常使用指纹印、各类印章和手写签字 等方式实现文档产生者的身份证明,便于其他人对文档进行认证和核 准。但在电子邮件系统、电子转账系统、办公自动化系统、电子商务 系统以及作战指挥系统等信息系统中,就不能使用手写签字或印鉴, 这些传送的签名在电子信息系统中不易进行输入、识别和鉴定,却很 容易被非法复制。所以在信息系统中,要使用电子签名。
• 所谓零知识证明,指的是示证者在证明自己身份时不泄露任何信息, 验证者得不到示证者的任何私有信息,但又能有效证明对方身份的一 种方法。
• 7.1.3 数字签名
• 电子签名是指数据电文中以电子形式所含、所附用于识别签名人身份 并表明签名人认可其中内容的数据。
上一页 下一页 返回
7.1 认证与签名技术
上一页 下一页 返回
7.1 认证与签名技术
• 一般来说,口令越长、各类字符(数字、字母、特殊字符)组合越复 杂、更改越频繁,口令就越难以被破解;随着信息技术的发展,可以 用来进行身份认证的证件类型越来越丰富,有磁卡、IC 卡和 USB−Key等;基于生物特征身份认证的方法可利用的生物特征非常 多,包括指纹、掌纹、声纹、虹膜、唇纹、血型、DNA 信息,等等。 在实际使用生物特征的时候,不但要考虑算法的识别率,还要考虑特 征提取的难易程度和响应时间等因素。
• 7.1.2 身份认证
上一页 下一页 返回
7.1 认证与签名技术
• 身份认证是指对系统使用者合法性的验证技术。在通信领域,身份认 证是一项重要的安全措施,利用身份认证可以实现通信双方的身份鉴 别,以及控制对各类资源的访问权限。身份认证的主要方法有人机鉴 别、通信实体鉴别和身份零知识证明。
• 人机鉴别可以实现对通信设备使用和操作人员的认证。通常采用口令 、个人持证和生物特征等鉴别方法。口令(或通行字)是一种较简单 和原始的方法。在实际使用中,应该根据安全要求来合理设置口令, 达到易记忆、难猜测、抗分析的效果。
• 通信实体鉴别是要对进入通信系统的终端和设备进行鉴别,以此控制 这些终端或设备对各类资源的访问权限、可享受的服务。
上一页 下一页 返回
7.1 认证与签名技术
• 在鉴别过程中,可以进行单向鉴别和相互鉴别,也可以借助于第三方 参与鉴别过程。鉴别过程采用时间戳、顺序号和随机数等时变参数, 来防止利用以前的鉴别信息进行重放攻击,
• 2)信息唯一性、时间性认证
上一页 下一页 返回
7.1 认证与签名技术
• 信息的唯一性和时间性认证主要是阻止消息重放攻击,常使用变参数 的方法来进行认证。时变参数有时间戳、顺序号和随机数等类别。在 不同的应用场合,可以根据具体情况选择不同类别的时变参数,也可 以同时选用几种时变参数。
上一页 下一页 返回
7.1 认证与签名技术
• (2)顺序号。在顺序号验证方法中,收发双方要预先确定编号的特 定方式,特定的编号信息只能被接收一次,且编号格式必须符合相关 规定,否则,接收方就会拒绝接收。这种方法使得接收方可以检测信 息重用,以此来控制唯一性。
• (3)随机数。在随机数认证方法中,认证一方产生一个随机数,并 发送给被认证一方,被认证者将该随机数加密后回传给认证者,认证 者检测这一随机数是否为所发送的随机数。随机数认证可以防止重用 攻击和交错攻击。
上一页 下一页 返回
7.1 认证与签名技术
• 收方亦通过与发送方同样的过程来计算鉴别码,然后将收发双方计算 的鉴别码进行比较,如果两者相等,接收方认为:① 所接收的信息M 未被篡改,信息是完整的;② 信息来自所声称的发送者,因为没有 第三者知道共享密钥K,也就不可能为信息M 附加合适的MAC;如果 两者不等,说明信息已被非法篡改,或者不是来自所声称的发送者。
下一页 返回
7.1 认证与签名技术
• 可以采用四种机制来实现上述目标:公开密钥算法、对称密钥算法、 密码校验函数和零知识技术。较普遍使用的是对称密钥算法。
• 1)信息完整性认证 • 信息的完整性(Integrity)认证基本途径有两条,一种是采用信息鉴
别码(Message Authentication Code,MAC),另外一种是采用 篡改检测码(Manipulation Detection Code,MDC)。 • MAC 方法如图7−1 所示,MAC 是信息和密钥的公开函数,它是一个 定长的值,以该值作为鉴别码,即MAC=CK(M)。其中M 为可变 长的消息,K 是收发双方共享的密钥,C 为认证函数。在信息传输过 程中,鉴别码被附加到消息后,以M/MAC 方式一并发送。
第7 章 军事网络与通信安全技术
• 7.1 认证与签名技术 • 7.2 保密通信技术 • 7.3 抗干扰通信 • 7.4 网络安全防护技术 • 7.5 网络管理
返回
7.1 认证与签Leabharlann Baidu技术
• 7.1.1 信息认证
• 在军用信息系统中,如果用户A 发送给用户B 一段信息,用户B 在收 到这段信息后,除了需要确定这段信息确实来自用户A,同时还要确 认这段信息在传输过程中未被非法篡改,而用户A 也需要确认发送的 信息是否已经正确地到达目的地。这些对信息的确认过程需要由验证 技术来解决。信息认证技术能够实现三个目标:① 证实信息的发送 源和目的地;② 确认信息内容是否受到了偶然的或有意的篡改;③ 确认信息的时间性和顺序号。换句话说,信息认证就是要确定信息的 完整性、唯一性和时间性。
• (1)时间戳。时间戳方法要求通信双方使用相同的参考时间,如格 林尼治时间。接收方使用固定大小的时间窗口,认证者收到信息时间 与信息认证码中所携带的时间戳之间存在一个差值,如果差值在时间 窗口内,信息就被接收。通过对经过窗口的信息进行登记,当已经登 记的信息第二次以后出现时,将被接收方拒绝,以此来控制信息的唯 一性。
• 通俗点说,电子签名就是通过密码技术对电子文档的电子形式的签名, 并非是书面签名的数字图像化,它类似于手写签名或印章,也可以说 它就是电子印章。
• 以往在各类纸质文档中,人们常常使用指纹印、各类印章和手写签字 等方式实现文档产生者的身份证明,便于其他人对文档进行认证和核 准。但在电子邮件系统、电子转账系统、办公自动化系统、电子商务 系统以及作战指挥系统等信息系统中,就不能使用手写签字或印鉴, 这些传送的签名在电子信息系统中不易进行输入、识别和鉴定,却很 容易被非法复制。所以在信息系统中,要使用电子签名。
• 所谓零知识证明,指的是示证者在证明自己身份时不泄露任何信息, 验证者得不到示证者的任何私有信息,但又能有效证明对方身份的一 种方法。
• 7.1.3 数字签名
• 电子签名是指数据电文中以电子形式所含、所附用于识别签名人身份 并表明签名人认可其中内容的数据。
上一页 下一页 返回
7.1 认证与签名技术
上一页 下一页 返回
7.1 认证与签名技术
• 一般来说,口令越长、各类字符(数字、字母、特殊字符)组合越复 杂、更改越频繁,口令就越难以被破解;随着信息技术的发展,可以 用来进行身份认证的证件类型越来越丰富,有磁卡、IC 卡和 USB−Key等;基于生物特征身份认证的方法可利用的生物特征非常 多,包括指纹、掌纹、声纹、虹膜、唇纹、血型、DNA 信息,等等。 在实际使用生物特征的时候,不但要考虑算法的识别率,还要考虑特 征提取的难易程度和响应时间等因素。
• 7.1.2 身份认证
上一页 下一页 返回
7.1 认证与签名技术
• 身份认证是指对系统使用者合法性的验证技术。在通信领域,身份认 证是一项重要的安全措施,利用身份认证可以实现通信双方的身份鉴 别,以及控制对各类资源的访问权限。身份认证的主要方法有人机鉴 别、通信实体鉴别和身份零知识证明。
• 人机鉴别可以实现对通信设备使用和操作人员的认证。通常采用口令 、个人持证和生物特征等鉴别方法。口令(或通行字)是一种较简单 和原始的方法。在实际使用中,应该根据安全要求来合理设置口令, 达到易记忆、难猜测、抗分析的效果。
• 通信实体鉴别是要对进入通信系统的终端和设备进行鉴别,以此控制 这些终端或设备对各类资源的访问权限、可享受的服务。
上一页 下一页 返回
7.1 认证与签名技术
• 在鉴别过程中,可以进行单向鉴别和相互鉴别,也可以借助于第三方 参与鉴别过程。鉴别过程采用时间戳、顺序号和随机数等时变参数, 来防止利用以前的鉴别信息进行重放攻击,