(29)-7.3完整性與鑒別計算機(jī)網(wǎng)絡(luò)計算機(jī)網(wǎng)絡(luò)

7.3完整性與鑒別完整性與鑒別有時，通信雙方并不關(guān)心通信的內(nèi)容是否會被人竊聽，而只關(guān)心通信的內(nèi)容是否被人篡改或偽造，這就是報文完整性問題。報文完整性又稱為報文鑒別，既鑒別報文的真?zhèn)巍＠纾酚善髦g交換的路由信息不一定要求保密，但要求能檢測出被篡改或偽造的路由信息。實體鑒別就是一方驗證另一方身份的技術(shù)。報文摘要和報文鑒別碼使用加密就可達(dá)到報文鑒別的目的。但對于不需要保密，而只需要報文鑒別的網(wǎng)絡(luò)應(yīng)用，對整個報文的加密和解密，會使計算機(jī)增加很多不必要的負(fù)擔(dān)。更有效的方法是使用報文摘要MD(MessageDigest)來進(jìn)行報文鑒別。用報文摘要進(jìn)行報文鑒別發(fā)送方將可變長度的報文m經(jīng)過報文摘要算法運(yùn)算后得出固定長度的報文摘要H(m)。然后對H(m)進(jìn)行加密，得出EK(H(m))，并將其附加在報文m后面發(fā)送出去。接收方把EK(H(m))解密還原為H(m)，再把收到的報文進(jìn)行報文摘要運(yùn)算，看結(jié)果是否與收到的H(m)一樣。用報文摘要進(jìn)行報文鑒別MD

密文

相同?是否接收被篡改

發(fā)送方接收方摘要KEDK摘要密文MD

附加在報文上用于鑒別報文真?zhèn)蔚拇a串，被稱為報文鑒別碼MAC

(MessageAuthenticationCode)密碼散列函數(shù)報文摘要和差錯檢驗碼都是多對一(many-to-one)的散列函數(shù)(hashfunction)的例子。但要抵御攻擊者的惡意篡改，報文摘要算法必須滿足以下兩個條件：任給一個報文摘要值x，若想找到一個報文y使得H(y)=x，則在計算上是不可行的。若想找到任意兩個報文x和y，使得H(x)=H(y)，則在計算上是不可行的。滿足以上條件的散列函數(shù)稱為密碼散列函數(shù)密碼散列函數(shù)差錯檢驗碼通常并不滿足以上條件。例如，很容易找到兩個不同的字符串：“IOU100.99BOB”和“IOU900.19BOB”的校驗和是完全一樣的。雖然差錯檢驗碼可以檢測出報文的隨機(jī)改變，但卻無法抵御攻擊者的惡意篡改，因為攻擊者可以很容易地找到差錯檢驗碼與原文相同的其他報文，從而達(dá)到攻擊目的。廣泛應(yīng)用的報文摘要算法目前廣泛應(yīng)用的報文摘要算法有MD5[RFC1321]和安全散列算法1(SecureHashAlgorithm,SHA-1)。MD5輸出128位的摘要，SHA-1輸出160位的摘要。SHA-1比MD5更安全些，但計算起來比MD5要慢。進(jìn)行報文鑒別并不需要解密MD

密文相同?是否接收被篡改

發(fā)送方接收方摘要KEK摘要密文MD并不需要將報文鑒別碼解密出來就可以進(jìn)行報文鑒別，即報文鑒別碼的計算并不需要可逆性！E密文散列報文鑒別碼在報文鑒別過程中，其實并不需要將報文鑒別碼解密出來就可以進(jìn)行報文鑒別。接收方只需要采用與發(fā)送方一樣的運(yùn)算，將收到的報文進(jìn)行摘要，然后加密，再與報文鑒別碼比較即可?？删褪钦f，報文鑒別碼的計算不需要可逆性。散列報文鑒別碼利用密碼散列函數(shù)無需對報文摘要加密就可以實現(xiàn)對報文的鑒別，前提是雙方共享一個稱為鑒別密鑰的秘密比特串s。發(fā)送方計算散列H(m+s)。H(m+s)被稱為散列報文鑒別碼HMAC(HashedMAC)。將MAC與報文m一起發(fā)送給接收方。接收方利用收到的s和m重新計算MAC，與接收到的MAC進(jìn)行比較，從而實現(xiàn)鑒別。散列報文鑒別碼HMAC散列函數(shù)MAC

MAC散列函數(shù)

MAC相同?是否接收被篡改

發(fā)送方接收方數(shù)字簽名數(shù)字簽名必須保證以下三點(diǎn)：

(1)接收方能夠核實發(fā)送方對報文的數(shù)字簽名。

(2)發(fā)送方事后不能抵賴對報文的數(shù)字簽名。

(3)任何人包括接收方都不能偽造對報文的簽名?，F(xiàn)在已有多種實現(xiàn)各種數(shù)字簽名的方法。但采用公鑰算法更容易實現(xiàn)。密文數(shù)字簽名的實現(xiàn)D運(yùn)算明文X明文

X

ABA的私鑰

SKA因特網(wǎng)簽名核實簽名E運(yùn)算密文A的公鑰PKA數(shù)字簽名的實現(xiàn)因為除A外沒有別人能具有A的私鑰，所以除A外沒有別人能產(chǎn)生這個密文。因此B相信報文X

是A簽名發(fā)送的。若A要抵賴曾發(fā)送報文給B，B可將明文和對應(yīng)的密文出示給第三者。第三者很容易用A的公鑰去證實A確實發(fā)送X給B。反之，若B將X

偽造成X‘，則B不能在第三者前出示對應(yīng)的密文。這樣就證明了B偽造了報文。數(shù)字簽名的實現(xiàn)公鑰密碼算法的計算代價非常大，對整個報文進(jìn)行數(shù)字簽名是一件非常耗時的事情。更有效的方法是僅對報文摘要進(jìn)行數(shù)字簽名。具有保密性的數(shù)字簽名核實簽名解密加密簽名E

運(yùn)算D運(yùn)算明文X明文X

ABA的私鑰SKA因特網(wǎng)E

運(yùn)算B的私鑰SKBD運(yùn)算加密與解密簽名與核實簽名B的公鑰PKBA的公鑰PKA密文實體鑒別實體鑒別就是鑒別通信對端實體的身份，即驗證正在通信的對方確實是所認(rèn)為的通信實體，這需要使用鑒別協(xié)議。鑒別協(xié)議通常在兩個通信實體運(yùn)行其他協(xié)議（例如，可靠數(shù)據(jù)傳輸協(xié)議、路由選擇協(xié)議或電子郵件協(xié)議）之前運(yùn)行。最簡單的實體鑒別過程A發(fā)送給B的報文的被加密，使用的是對稱密鑰KAB。B收到此報文后，用共享對稱密鑰KAB進(jìn)行解密，因而鑒別了實體A的身份。ABA,口令KAB明顯的漏洞入侵者C可以從網(wǎng)絡(luò)上截獲A發(fā)給B的報文。C并不需要破譯這個報文（因為這可能很花很多時間）而可以直接把這個由A加密的報文發(fā)送給B，使B誤認(rèn)為C就是A。然后B就向偽裝是A的C發(fā)送應(yīng)發(fā)給A的報文。這就叫做重放攻擊(replayattack)。C甚至還可以截獲A的IP地址，然后把A的IP地址冒充為自己的IP地址（這叫做IP欺騙），使B更加容易受騙。使用不重數(shù)為了對付重放攻擊，可以使用不重數(shù)(nonce)。不重數(shù)就是一個不重復(fù)使用的大隨機(jī)數(shù)，即“一次一數(shù)”。使