(29)-7.3完整性與鑒別計(jì)算機(jī)網(wǎng)絡(luò)計(jì)算機(jī)網(wǎng)絡(luò)

7.3完整性與鑒別完整性與鑒別有時(shí)，通信雙方并不關(guān)心通信的內(nèi)容是否會(huì)被人竊聽，而只關(guān)心通信的內(nèi)容是否被人篡改或偽造，這就是報(bào)文完整性問題。報(bào)文完整性又稱為報(bào)文鑒別，既鑒別報(bào)文的真?zhèn)?。例如，路由器之間交換的路由信息不一定要求保密，但要求能檢測出被篡改或偽造的路由信息。實(shí)體鑒別就是一方驗(yàn)證另一方身份的技術(shù)。報(bào)文摘要和報(bào)文鑒別碼使用加密就可達(dá)到報(bào)文鑒別的目的。但對于不需要保密，而只需要報(bào)文鑒別的網(wǎng)絡(luò)應(yīng)用，對整個(gè)報(bào)文的加密和解密，會(huì)使計(jì)算機(jī)增加很多不必要的負(fù)擔(dān)。更有效的方法是使用報(bào)文摘要MD(MessageDigest)來進(jìn)行報(bào)文鑒別。用報(bào)文摘要進(jìn)行報(bào)文鑒別發(fā)送方將可變長度的報(bào)文m經(jīng)過報(bào)文摘要算法運(yùn)算后得出固定長度的報(bào)文摘要H(m)。然后對H(m)進(jìn)行加密，得出EK(H(m))，并將其附加在報(bào)文m后面發(fā)送出去。接收方把EK(H(m))解密還原為H(m)，再把收到的報(bào)文進(jìn)行報(bào)文摘要運(yùn)算，看結(jié)果是否與收到的H(m)一樣。用報(bào)文摘要進(jìn)行報(bào)文鑒別MD

密文

相同?是否接收被篡改

發(fā)送方接收方摘要KEDK摘要密文MD

附加在報(bào)文上用于鑒別報(bào)文真?zhèn)蔚拇a串，被稱為報(bào)文鑒別碼MAC

(MessageAuthenticationCode)密碼散列函數(shù)報(bào)文摘要和差錯(cuò)檢驗(yàn)碼都是多對一(many-to-one)的散列函數(shù)(hashfunction)的例子。但要抵御攻擊者的惡意篡改，報(bào)文摘要算法必須滿足以下兩個(gè)條件：任給一個(gè)報(bào)文摘要值x，若想找到一個(gè)報(bào)文y使得H(y)=x，則在計(jì)算上是不可行的。若想找到任意兩個(gè)報(bào)文x和y，使得H(x)=H(y)，則在計(jì)算上是不可行的。滿足以上條件的散列函數(shù)稱為密碼散列函數(shù)密碼散列函數(shù)差錯(cuò)檢驗(yàn)碼通常并不滿足以上條件。例如，很容易找到兩個(gè)不同的字符串：“IOU100.99BOB”和“IOU900.19BOB”的校驗(yàn)和是完全一樣的。雖然差錯(cuò)檢驗(yàn)碼可以檢測出報(bào)文的隨機(jī)改變，但卻無法抵御攻擊者的惡意篡改，因?yàn)楣粽呖梢院苋菀椎卣业讲铄e(cuò)檢驗(yàn)碼與原文相同的其他報(bào)文，從而達(dá)到攻擊目的。廣泛應(yīng)用的報(bào)文摘要算法目前廣泛應(yīng)用的報(bào)文摘要算法有MD5[RFC1321]和安全散列算法1(SecureHashAlgorithm,SHA-1)。MD5輸出128位的摘要，SHA-1輸出160位的摘要。SHA-1比MD5更安全些，但計(jì)算起來比MD5要慢。進(jìn)行報(bào)文鑒別并不需要解密MD

密文相同?是否接收被篡改

發(fā)送方接收方摘要KEK摘要密文MD并不需要將報(bào)文鑒別碼解密出來就可以進(jìn)行報(bào)文鑒別，即報(bào)文鑒別碼的計(jì)算并不需要可逆性！E密文散列報(bào)文鑒別碼在報(bào)文鑒別過程中，其實(shí)并不需要將報(bào)文鑒別碼解密出來就可以進(jìn)行報(bào)文鑒別。接收方只需要采用與發(fā)送方一樣的運(yùn)算，將收到的報(bào)文進(jìn)行摘要，然后加密，再與報(bào)文鑒別碼比較即可。可就是說，報(bào)文鑒別碼的計(jì)算不需要可逆性。散列報(bào)文鑒別碼利用密碼散列函數(shù)無需對報(bào)文摘要加密就可以實(shí)現(xiàn)對報(bào)文的鑒別，前提是雙方共享一個(gè)稱為鑒別密鑰的秘密比特串s。發(fā)送方計(jì)算散列H(m+s)。H(m+s)被稱為散列報(bào)文鑒別碼HMAC(HashedMAC)。將MAC與報(bào)文m一起發(fā)送給接收方。接收方利用收到的s和m重新計(jì)算MAC，與接收到的MAC進(jìn)行比較，從而實(shí)現(xiàn)鑒別。散列報(bào)文鑒別碼HMAC散列函數(shù)MAC

MAC散列函數(shù)

MAC相同?是否接收被篡改

發(fā)送方接收方數(shù)字簽名數(shù)字簽名必須保證以下三點(diǎn)：

(1)接收方能夠核實(shí)發(fā)送方對報(bào)文的數(shù)字簽名。

(2)發(fā)送方事后不能抵賴對報(bào)文的數(shù)字簽名。

(3)任何人包括接收方都不能偽造對報(bào)文的簽名?，F(xiàn)在已有多種實(shí)現(xiàn)各種數(shù)字簽名的方法。但采用公鑰算法更容易實(shí)現(xiàn)。密文數(shù)字簽名的實(shí)現(xiàn)D運(yùn)算明文X明文

X

ABA的私鑰

SKA因特網(wǎng)簽名核實(shí)簽名E運(yùn)算密文A的公鑰PKA數(shù)字簽名的實(shí)現(xiàn)因?yàn)槌鼳外沒有別人能具有A的私鑰，所以除A外沒有別人能產(chǎn)生這個(gè)密文。因此B相信報(bào)文X

是A簽名發(fā)送的。若A要抵賴曾發(fā)送報(bào)文給B，B可將明文和對應(yīng)的密文出示給第三者。第三者很容易用A的公鑰去證實(shí)A確實(shí)發(fā)送X給B。反之，若B將X

偽造成X‘，則B不能在第三者前出示對應(yīng)的密文。這樣就證明了B偽造了報(bào)文。數(shù)字簽名的實(shí)現(xiàn)公鑰密碼算法的計(jì)算代價(jià)非常大，對整個(gè)報(bào)文進(jìn)行數(shù)字簽名是一件非常耗時(shí)的事情。更有效的方法是僅對報(bào)文摘要進(jìn)行數(shù)字簽名。具有保密性的數(shù)字簽名核實(shí)簽名解密加密簽名E

運(yùn)算D運(yùn)算明文X明文X

ABA的私鑰SKA因特網(wǎng)E

運(yùn)算B的私鑰SKBD運(yùn)算加密與解密簽名與核實(shí)簽名B的公鑰PKBA的公鑰PKA密文實(shí)體鑒別實(shí)體鑒別就是鑒別通信對端實(shí)體的身份，即驗(yàn)證正在通信的對方確實(shí)是所認(rèn)為的通信實(shí)體，這需要使用鑒別協(xié)議。鑒別協(xié)議通常在兩個(gè)通信實(shí)體運(yùn)行其他協(xié)議（例如，可靠數(shù)據(jù)傳輸協(xié)議、路由選擇協(xié)議或電子郵件協(xié)議）之前運(yùn)行。最簡單的實(shí)體鑒別過程A發(fā)送給B的報(bào)文的被加密，使用的是對稱密鑰KAB。B收到此報(bào)文后，用共享對稱密鑰KAB進(jìn)行解密，因而鑒別了實(shí)體A的身份。ABA,口令KAB明顯的漏洞入侵者C可以從網(wǎng)絡(luò)上截獲A發(fā)給B的報(bào)文。C并不需要破譯這個(gè)報(bào)文（因?yàn)檫@可能很花很多時(shí)間）而可以直接把這個(gè)由A加密的報(bào)文發(fā)送給B，使B誤認(rèn)為C就是A。然后B就向偽裝是A的C發(fā)送應(yīng)發(fā)給A的報(bào)文。這就叫做重放攻擊(replayattack)。C甚至還可以截獲A的IP地址，然后把A的IP地址冒充為自己的IP地址（這叫做IP欺騙），使B更加容易受騙。使用不重?cái)?shù)為了對付重放攻擊，可以使用不重?cái)?shù)(nonce)。不重?cái)?shù)就是一個(gè)不重復(fù)使用的大隨機(jī)數(shù)，即“一次一數(shù)”。使