26
四、报文认证
3、报文内容的认证
z 报文内容认证使接收方能够确认报文内容的真实 性，这可以通过验证消息认证码 的正确性来实现。
z 消息认证码MAC（Message Authentication Code） 是消息内容和密钥的公开函数，其输出是固定长度 的短数据块：
MAC＝C(M，K)
27
四、报文认证
12
二、身份认证
1. 口令
z 利用数字签名方法验证口令 ： ④ 份当有且效仅。当IDi= IDi*, Ni*=Ti+1时系统才确认用户身 ⑤ 它安不全存性储分于析系：统口中令，是所用以户任的何保人密都的不解可密能密得钥K到d；i ，
由虽于然K从e终i存端储到于系系统统的中通，道但上是传由输K的ei不是能签推名出数K据di ；而 播K不Tid，攻是i；且K击由d仅。i本于当但身系N必，统i*须=所为T对以每i+T1攻用i是实击户才施者设接保也置收护不了访。能已问通访，过问所截次以取数可获标以得志抗重
2
内容简介
第十讲 公钥密码（2） 第十一讲 数字签名（1） 第十二讲 数字签名（2） 第十三讲 HASH函数 第十四讲 认证 第十五讲 密码协议 第十六讲 密钥管理（1） 第十七讲 密钥管理（2） 第十八讲 复习
3
教材与主要参考书
教材
参考书
4
一、认证的概念
z 认证（Authentication）又称鉴别，确认，它是证实 某人某事是否名符其实或是否有效的一个过程。
① 采用传统密码 z 设A为发送方，B为接收方。A和B共享保密的密
钥KS。A的标识为IDA，报文为M，在报文中增加 标识IDA ,那么B认证A的过程如下：
A→B：< IDA ，E(IDA||M ，KS) > z B收到报文后用KS解密，若解密所得的发送方标
识与IDA相同，则B认为报文是A发来的。
24
密码学
第十四讲 认证
张焕国 武汉大学计算机学院 空天信息安全与可信计算教育部重点实验室
内容简介
第一讲 信息安全概论 第二讲 密码学的基本概念 第三讲 数据加密标准（DES） 第四讲 高级数据加密标准（AES） 第五讲 中国商用密码（SMS4） 第六讲 分组密码的应用技术 第七讲 序列密码 第八讲 复习 第九讲 公钥密码（1）
yi=f n-i (x) (1≤i ≤ n-1) 作为其第i次通信的口令发送给B。 B是计真算实并的验，证否：则f可(y知i)=Ayi的－1身吗份？是若不相真等实，的则，确认A的身份
16
二、身份认证
2. 磁卡、智能卡和USB-Key
z 磁卡 ：
磁卡是目前已广泛应用的一种个人身份持证物，在银行 界得到广泛地应用。磁卡使用方便、成本低。但磁卡仅 有数据存储能力，无数据处理能力，安全性低。
M♣ MAC ♣
MAC=C(M♣ ,K)
N
=?
Y M不真实或不正确
z 目前广泛应用的还是基于密码的认证技术。
z 认证和加密的区别：
加密用以确保数据的保密性 认证用以确保当事人身份的真实性以及数据的完整性
6
一、认证的概念
z 认证和数字签名的区别：
①认证总是基于某种收发双方共享的保密数据来认证 对象的真实性，而数字签名中用于验证签名的数据 是公开的。
②认证允许收发双方互相验证其真实性，不准许第三 者验证，而数字签名允许收发双方和第三者都能验 证。
击，可在f (PB|| RA)和f (PA|| RB)中加入时间性参量。
15
二、身份认证
1. 口令
z 一次性口令 ：
为了安全，口令应当经常更换，最好是一个口令只使用 一次，即一次性口令。利用单向函数也可实现一次性口 令。
设A和B要进行通信，A选择随机数x，并计算y0=f n (x) A数将，y所0发以送对给yB0不作需为保验密证。口令的数据。因为f是单向函 A以
③数字签名具有发送方不能抵赖、接收方不能伪造和 能够公开验证解决纠纷的能力，而认证则不一定具 备。
7
二、身份认证
z 用户的身份认证是许多应用系统的第一道防线，其 目的在于识别用户的合法性，从而阻止非法用户访 问系统。
z 可见，身份识别对确保系统和数据的安全保密是极 其重要的。
z 一般，可以通过以下验证，来验证用户的身份：
用户知道什么 用户拥有什么 用户的生理特征
8
二、身份认证
1. 口令
z 口令是收发双方预先约定的秘密数据，口令认证 属于验证用户知道什么。
z 口令验证的安全性虽然不如其他几种方法，但是 口令验证简单易行，因此口令验证仍是目前应用 最为广泛的身份认证方法。
z 在一些简单的系统中，用户的口令以口令表的形 式存储。当用户要访问系统时，系统要求用户提 供口令，系统将用户提供的口令与口令表中存储 的口令进行比较，若相等则确认用户身份有效， 否则确认用户身份无效，拒绝访问。
9
二、身份认证
1. 口令
z 这样的简单口令系统存在以下问题： ① 因为用户的口令以明文形式存储在系统中，系统
管理员可以获得所有口令，攻击者也可利用系统 的漏洞来获得他人的口令。 ② 因为用户的口令在用户终端到系统的线路上以明 文形式传输，所以攻击者可在传输线路上截获用 户口令。 ③ 只有系统验证用户的身份，用户无法验证系统的 身份。
4. A→B：E(RB ，KS)
5. B判断 RB = RB? 若相等则B认为A是合法站点。
z 是安保全密性的：，上因述此协A议、成B功是，合则法表的明A拥有KS且B也拥有KS ， KS
21
三、站点认证
z 利用公钥密码，则A和B相互认证的过程如下:
1. A产生随机数RA
1. B产生随机数RB
2. A→B：RA
14
二、身份认证
1. 口令
z 口令的双向验证 ：
设令f，是P单B是向B函的数口，令R，A A是和AB的共随享机口数令，。RB 是B的随机数。PA是A的口 ① A→B：RA ② B→A：f(PB || RA) || RB RAA利)进用行单比向较函。数若f对两R者A和相共等享，的则PAB确进认行B加的密身，份并是与真接实收的到。的f (PB || ③ A→B：f(PA|| RB) |B|R利B)用进单行向比函较数。f若对两RB者和相共等享，的则PAB进确行认加A密的，身并份与是接真收实到的的。f (PA 即由使于知使f道有是一f单(P方向B是|函| R假数B冒)，和者即R，B使也他知不也道能不f计(能P算A骗出||得RPA对B)，和方所R的A以也口在不令上能。述计为口算了令出阻验P止证A重，中播即，攻
四、报文认证
1Hale Waihona Puke 报文源的认证② 采用公开密钥密码 z 报文源的认证十分简单。只要发送方对每一报文
进行数字签名，接收方验证签名即可：
A→B：< IDA, D(IDA||M ，KdA) > B：E（ D(IDA||M ,KdA) ,KeA ），并验证加密所得IDA
是 否 等 于 IDA ？ 若 收 方 验 证 签 名 正 确 ， 则 认 为 发 方 为 真。
10
二、身份认证
1. 口令
z 用单向函数加密口令 ：
① 用户的口令在系统中以密文的形式存储。 ② 口令一旦加密，将不可解密。 ③ 用户访问系统时提供其口令，系统对该口令用单
向函数加密，并与存储的密文相比较。若相等， 则确认用户身份有效，否则确认用户身份无效。 ④ 可选用强的HASH函数作为单向函数。
z USB-Key ：
USB-Key是一种具有USB 接口，具有身份认证、加解 密、数字签名等多种安全保密功能的便携式安全设备。 从技术上看，USB-Key就是一个具有USB 接口的密码单 片机。
z 如果仅仅只靠磁卡、智能卡和USB-key这种物理持物来作 为用户的身份凭证进行身份认证，尚有不足。因为它们会 丢失，则捡到的人就可假冒真正的用户。为此，还需要一 种磁卡、智能卡和USB-key上不具有的身份信息。这种身 份信息通常采用个人识别号PIN(Personal Identification Number)。
下(假定A、B共享保密的会话密钥KS ):
1. A产生随机数RA
1. B产生随机数RB
2. A→B：E(RA ，KS)
2. B接受E(RA ，KS)
3. A接受E(RA||RB ，KS)
3. B→A：E(RA||RB ，KS)
并解密判断 RA = RA?
4. B接受E(RB ，KS)
若相等则A认为B是合法站点。
18
二、身份认证
3. 生理特征识别
z 人的指纹、掌纹、面孔、发音、视网膜、DNA等 都具有唯一性和稳定性的特征，即每个人的这些 特征都与别人不同且终生不变，因此可以据此进 行身份识别。基于这些特征，人们发展了指纹识 别、视网膜识别、发音识别、人脸识别等多种生 物识别技术，其中指纹识别和人脸识别技术比较 成熟，得到广泛应用。
z 智能卡：
智能卡是一种镶嵌有单片机芯片的集成电路卡。卡上有 CPU、RAM、EEPROM或FLASH、ROM和I/O接口。 因此智能卡被誉为最小的个人计算机。芯片操作系统 COS（Chip Operating System）管理资源。安全性高。
17
二、身份认证
2. 磁卡、智能卡和USB-Key
11
二、身份认证
1. 口令
z 利用数字签名方法验证口令 ： ① 用户i将其公钥提交给系统，作为验证口令的数
据，系统为每个用户建立一个已访问次数标志Ti ② 用户访问系统时将其签名信息提供给系统，
IDi||D( (IDi , Ni) ，Kdi)， 其中Ni表示本次访问是第Ni次访问。 ③ E系(D统(根(I据Di,明Ni文)，形K式di)的，标Ke识i )=符<IIDDi查i*,N出i*K>ei ，并计算