信息认证的原理和技术.ppt

第8讲信息认证的原理和技术 信息安全概论 课程幻灯片 主要内容 完整性认证及其应用数字签名技术许诺认证身份认证方法的非密码方法 信息认证的内容 1 发方的身份 2 收方的身份 3 内容的真伪 4 时间的真伪 认证方法的分类 1 利用已知的信息 如口令 身份号码 证书 秘密密钥或公开密钥 书籍中某页的单词 2 利用拥有的信息 指物理设备 如IC卡 口令生成器 3 利用固有的信息 非密码技术如指纹 手写签名 人眼的红膜等生物特征 一 完整性认证及其应用 1 完整性认证的含义完整性认证是一个 用户 检验它收到的文件是否遭到第三方有意或无意的篡改 因此 完整性认证 不需检验文件的制造者是否造假 文件的制造者和检验者利益一致 不需互相欺骗和抵赖 根据应用对象不同 用户 的概念可以是 文件的接收者文件的阅读者一个被登陆的设备 如取款机 密码机等 2 能实现完整性认证的密码技术 1 分组密码技术的正确应用 2 具有认证功能的序列密码 3 杂凑函数技术 4 数字签名技术其中最经济的技术是分组密码技术 3 完整性认证的分组密码技术 关键技术 1 文件的制造者和检验者共享一个密钥 2 文件的明文必须具有检验者预先知道的冗余度 3 文件的制造者用共享密钥对具有约定冗余度的明文用适当的方式加密 4 文件的检验者用共享密钥对密文脱密 并检验约定冗余度是否正确 3 完整性认证的分组密码技术 局限性 1 文件的认证码只能由自己和指定人检验 无法实现多人检验 2 文件认证码的生成者和检验者必须拥有共同的利益 不能相互抵赖和相互伪造 3 第三者无法裁决生成者和验证者之间出现的争议 1 文件的制造者和检验者共享一个密钥 2 文件的明文m产生一个校验码分组r 3 采用分组密码的CBC模式 对附带校验码的已扩充的明文 m r 进行加密 得到的最后一个密文分组就是认证码 n分组明文m m1 m2 mn 的校验码分组为 注意 这里的逐分组加法 不能是逐位模2加 3 报文完整性认证的分组密码技术 Cn 1为认证码 1 仅需对明文认证 而不需加密时 需传送明文m和认证码Cn 1 2 既需对明文认证 又需要加密时 需传送密文C和认证码Cn 1 n分组明文m m1 m2 mn 的校验码分组为 校验码 认证码 例1报文内容的认证问题 检查报文在传输或存储过程中是否遭到有意或无意的篡改 方法 加密 1 将明文增加一个检验码分组 使它是前面所有分组的函数 不能是模2和 2 利用分组密码的CBC模式和共享密钥 文件加密密钥 对扩展后的明文加密 脱密并认证 脱密并检验所得明文分组的模2和是否为0 为0时接受明文 不为0时否认明文 例2报文源 报文宿 报文时间的认证 检查报头中声称的来源地和目的地是否正确 方法 将包含报文源 报文宿 报文时间 明传的 会话密钥等信息的报头看作明文 按报文内容认证类似的方式处理 但报头保留其明文而不保留密文 最后一个密文分组作为认证码 例3电脑彩票的防伪技术 彩票中心检查兑奖的电脑彩票是否是自己发行的 问题 如何防止电脑彩票的伪造问题 方法 1 选择一个分组密码算法和一个认证密钥 将他们存于售票机内 2 将电脑彩票上的重要信息 如彩票期号 彩票号码 彩票股量 售票单位代号等重要信息按某个约定的规则作为彩票资料明文 3 对彩票资料明文扩展一个校验码分组后 利用认证密钥和分组密码算法对之加密 并将得到的最后一个分组密文作为认证码打印于彩票上面 认证过程 执行 3 并将计算出的认证码与彩票上的认证码比较 二者一致时判定该彩票是真彩票 否则判定该彩票是假彩票 同样的方法可用于产品防伪 手机充值卡防伪等其它商品的防伪之中 可用于解决金融系统对用户的身份认证中 4 完整性认证的杂凑函数技术 定义 杂凑函数是将无论多长的报文都压缩 或扩张 为给定长度的值 这个值称为杂凑值或Hash值或报文摘要 该杂凑值就是对应报文的 指纹 它主要用于数据完整性 数字签名 认证和随机数生成与伪随机数生成等 4 完整性认证的杂凑函数技术 优缺点 由于报文摘要不包含报文持有者的秘密信息 故优点 任何人都可对报文的 指纹 进行检验 缺点 掌握报文的人都可生成报文的 指纹 上述缺点导致当将报文及其指纹放在一起时 只能检验出对报文无意的修改 不能检验出有意的篡改或伪造 4 完整性认证的杂凑函数技术 使用方法 因此 为检查有意的篡改和伪造 必须 1 将报文与摘要分开存放 或 2 将报文与摘要之一 用自己掌握的秘密信息信息处理后放在一起 方法C的特例 选择一个随机数作为报的开头 将该随机数与报文合在一起杂凑 摘要值和报文送给对方 随机数秘密存放 必要时 对方不必伪造时 再送给对方检验 例4名酒电话防伪的技术 杂凑函数方法 Step1酒厂选择一个杂凑函数 Step2酒厂选择一个128比特的随机数 将它与该随机数的编号一起作为防伪码置于酒瓶盖中 并将防伪码的编号和杂凑值存于数据库中 检验方法 用户输入防伪码后 酒厂数据库计算其杂凑值 并通过其编号查出数据库中的杂凑值 将二者比较 二者不一致时判定防伪码假 一致时再检查数据库中是否有该码已检验过的记录 若无 则判定防伪码真 并记录检验时间 若有记录 告知用户该酒的检验时间 三 数字签名技术 互不信任的双方的认证技术 防抵赖 防伪造的密码技术 例5第三方可仲裁的电脑彩票的防伪技术 彩票中心检查兑奖的电脑彩票是否是自己发行的 出现争议时法官可以仲裁 前面利用分组密码的CBC模式设计的电脑彩票防伪技术只能保证发行者检验彩票的真假 如果彩票是真 但其发行者却说是假 中彩者的利益将受到侵害 这时就会出现争议 如何保证第三方能够进行仲裁呢 这就要利用数字签名技术 即要求发行者必须对每张彩票进行数字签名 使发行者无法抵赖 例5第三方可仲裁的电脑彩票的防伪技术 一 识别码生成方法 1 选择一个数字签名算法 将其签名密钥在彩票机内秘密保管 将使用的签名算法和签名识别密钥公开 2 将电脑彩票上的重要信息 如彩票期号 彩票号码 彩票股量 售票单位代号等重要信息按某个约定的规则作为彩票资料明文 3 计算彩票资料明文的杂凑值 并利用秘密密钥对该杂凑值签名 将签名值打印在彩票上面 例5第三方可仲裁的电脑彩票的防伪技术 二 检验和仲裁方法 1 计算出彩票资料明文的报文摘要 2 从彩票上读入签名值 利用公开的签名识别密钥对该签名值变换 将所得结果与 1 计算出的报文摘要比较 二者一致时判定彩票真 不一致时判定彩票假 分析 只有彩票发行者才有秘密密钥 因而只有他才能计算产生正确的签名值 也只有他的签名识别密钥才能将签名值变换为报文摘要 因而他无法抵赖 可能的问题 签名识别密钥就是公开密钥 彩票中心的公开密钥一般只有当用户中奖后才会去检验它 也只有当彩票中心不承认中奖彩票时才会提交第三方仲裁 因此 彩票中心不希望第三方判定真彩票为真 怎样能使第三方总判定真彩票为假呢 彩票中心公布一个假的公钥 公钥的识别技术 如果彩票中心公布一个假的公钥怎么办 如何识别公钥的真伪 要求 公布公钥的同时必须公布签名算法 必须将公钥交给公证机关公证 公钥的识别技术 公证机关检验办法 1 公证机关随机选择一个报文m 并将m交给公钥发布者 2 公钥发布者随机选择一个随机数r 并对m r签名 同时将签名值和随机数r交给公证机关 不可直接在别人给的文件签名 否则可能暴露RSA的秘密密钥 3 公证机关利用签名识别密钥对签名值变换 其结果应为m r 将所得结果与m r比较 二者一致时判定公钥真 不一致时判定公钥假 许诺认证 用户A向用户B声称自己掌握某个结果 但并不告诉B该结果的具体内容 只交给用户B一串数字 一段时间后 当结果公布后 B可验证A是否猜对了该结果 且A也不能再更改他所进行的猜测 许诺认证主要通过杂凑函数技术实现 例 猜测彩票特等奖 A向B说他猜出了彩票特等奖的号码 但不告诉B该号码 设A猜测的号码对应的数字为a 则A可选择一个很长的随机数x 然后利用杂凑函数计算出 a x 的杂凑值h a x 并只将该杂凑值y h a x 及其计算方法告诉B 同时将a和随机数x秘密保管 待彩票开奖并公布特等奖的号码a 后 A将随机数x告诉B B就可检验 是否成立 成立时判定A事先的猜测正确 不成立是判定A事先没有猜测出来 1 用户A不可能再构造一个新的a 使成立 因而不能再更改其先B的许诺 即a的值 2 用户B无法由h a x 求出a的值 因而不能推测出A的许诺 即a的值 许诺认证在电子商务等应用领域有广泛的应用 许诺的不可否认性可让用户A对h a x 数字签名实现 还可要求用户B采取对许诺进行签名的方式打个收条 杂凑函数的性质保证了 许诺认证在电子商务公平交易电子赌博等应用领域有广泛的应用 身份认证的非密码方法 弱的认证方法 一 基于固定口令的身份认证 例 银行帐户的密码 开机口令 系统的登陆口令等 好处 容易记忆 缺点 固定不变 易被截发攻击和穷举攻击 实现方式 1 用户记忆口令 系统存储口令和该用户的权限 2 基于查阅存取矩阵和权限矩阵的方法实现 二 基于一次一变口令的身份认证 例 基于口令刷新的身份认证 用户在每次登陆系统后 系统重新为用户生成一个随机数作为下次登陆的口令 并写入用户的IC卡之中 三 基于挑战 响应的身份认证 由Alice向Bob提出有关某个秘密的问题 Bob一一回答 从而表明Bob知道这个秘密 但Bob并不揭示这个秘密本身 例 Alice向公证中心证实她所提供的公钥的正确性时 公证中心可以产生一些消息让Alice签名 Alice签名后将签名结果返回公证中心 公证中心在检测签名是否正确后 判断Alice是否知道该公钥对应的秘密密钥 时间认证的几种技术 对抗截取 重放攻击的认证技术 使用每次不同或以很大概率不同的时变因素 1 每次均提供一个随机产生的随机数 作为参与认证的一个因素 2 每次使用通报的序号或计数值 作为参与认证的一个因素 3 每次使用一个时间戳 时钟 作为参与认证的一个因素 将上述与时间密切相关的因素 利用密码技术与消息绑定在一起产生认证码 从而完成时间认证 新鲜性 最后的强调 身份认证与信息认证的两种结合方法 方法一 身份认证与信息认证分离的方法此时 系统先对用户的身份进行认证 认证通过后准许该用户登陆 在该用户登陆后 凡是声称来自该用户的信息和操作请求都认可 不再进行身份认证 方法二 身份认证与信息认证合二为一的方法对每次收到的 声称来自该用户的信息和操作请求 都进行身份认证