网络信息安全网络信息安全课程课程 第四讲第四讲消息验证与数字签名消息验证与数字签名 主讲主讲段云所段云所副教授副教授 北京大学计算机系北京大学计算机系 问题的提出 通信威胁 1.泄露把消息内容发布给任何人或没有合法密钥的进程 2.流量分析发现团体之间信息流的结构模式在一个面向 连接的应用中可以用来确定连接的频率和持续时间长度 3.伪造从一个假冒信息源向网络中插入消息 4.内容修改消息内容被插入删除变换修改 5.顺序修改插入删除或重组消息序列 6.时间修改消息延迟或重放 7.否认接受者否认收到消息发送者否认发送过消息 1信息认证 网络系统安全要考虑两个方面一方面用密码保护传 送的信息使其不被破译另一方面就是防止对手对系统进 行主动攻击如伪造篡改信息等认证authentication 则是防止主动攻击的重要技术它对于开放的网络中的各种 信息系统的安全性有重要作用认证的主要目的目的有二目的有二 第一验证信息的发送者是真正的而不是冒充的此 为信源识别 第二验证信息的完整性在传送或存储过程中未被篡改 重放或延迟等 保密和认证同时是信息系统安全的两个方面但 它们是两个不同属性的问题认证不能自动提供 保密性而保密性也不能自然提供认证功能一 个纯认证系统认证系统的模型如下图所示认证系统的模型如下图所示 窜扰者 信源认证编码器认证译码器信宿 信道 安全信道 密钥源 2认证函数 可用来做认证的函数分为三类 (1)信息加密函数(Messageencryption) 用完整信息的密文作为对信息的认证 (2)信息认证码MAC(MessageAuthenticationCode) 是对信源消息的一个编码函数 (3)散列函数(HashFunction) 是一个公开的函数它将任意长的信息映射成一 个固定长度的信息 信息加密函数作认证 信息加密函数分二种一种是常规的对称密钥加 密函数另一种是公开密钥的双密钥加密函数下 图的通信双方是用户A为发信方用户B为接收方 用户B接收到信息后通过解密来判决信息是否来自 A信息是否是完整的有无窜扰 信源信宿 ED MEk(M)M k A方kB方 Dk(Ek(M)) (a)常规加密具有机密性可认证 ED MEKUb(M)M A方B方 KUb(B方的 DkRb 公钥) (b)公钥加密具有机密性 ED MEkRa(M)M A方KRaKUaB方 (c)公钥加密认证和签名 EE MEkRa(M)EKUb(EkRa(M)) A方KU KRab DD EkRa(M)MB方 KR bKUa (d)公钥加密机密性可认证和签名 信息认证码(MAC) 设S为通信中的发方A发送的所有可能的信源集合 为了达到防窜扰的目的发方A和收方B设计一个编码法 则发方A根据这个法则对信源S进行编码信源经编码 后成为消息M表示所有可能的消息集合发方A通信时 发送的是消息用简单的例子说明设S={0,1}, M={00,01,10,11},定义四个不同的编码法则e0,e1,e2,e3: 00011011 e001 e101 e201 e301 这样就构成一个认证码MAC发方A和收方B在通信前先 秘密约定使用的编码法则例如若决定采用e0则以 发送消息00代表信源0发送消息10代表信源1我们称 消息00和10在e0之下是合法的而消息01和11在e0之下不 合法收方将拒收这二个消息 信息的认证和保密是不同的两个方面一个认证码 可具有保密功能也可没有保密功能 认证编码的基本方法是要在发送的消息中引入多余 度使通过信道传送的可能序列集Y大于消息集X对于 任何选定的编码规则(相应于某一特定密钥):发方从Y中选 出用来代表消息的许用序列即码字收方根据编码规 则唯一地确定出发方按此规则向他传来的消息窜扰者 由于不知道密钥因而所伪造的假码字多是Y中的禁用序 列收方将以很高的概率将其检测出来而被拒绝认证 系统设计者的任务是构造好的认证码认证码(Authentication Code),使接收者受骗概率极小化 令xX为要发送的消息kK为发方选定的密钥 y=A(x,k)Y是表示消息X的认证码字Ak={y=A(x,k)|x X}为认证码Ak是Y中的许用(合法)序列集接收者知 道认证编码A(.,.)和密钥k,故从收到的y,唯一确定出消息x 窜扰者虽然知道X,Y,y,A(.,.),但不知具体密码k,他的目的是 想伪造出一个假码字y*使y*Ak,以使接收者收到y*后 可用密钥k解密得到一个合法的消息x*这样窜扰者 欺诈成功 消息认证消息认证 消息认证是使预定的消息接收者能够检验收到的消 息是否真实的方法检验内容应包括 (1)证实报文的源和宿 (2)报文内容是否曾受到偶然的或有意的篡改 (3)报文的序号和时间栏 总之消息认证使接收者能识别 消息