信息安全導(dǎo)論(4-4_密碼基礎(chǔ)-認(rèn)證)課件

1、1密碼基礎(chǔ)認(rèn)證信息安全導(dǎo)論（模塊信息安全導(dǎo)論（模塊4密碼基礎(chǔ)）密碼基礎(chǔ)）2對信息安全的攻擊對信息安全的攻擊n被動攻擊：獲取消息的內(nèi)容、業(yè)務(wù)流分被動攻擊：獲取消息的內(nèi)容、業(yè)務(wù)流分析析n主動攻擊：假冒、重放、消息的篡改、主動攻擊：假冒、重放、消息的篡改、業(yè)務(wù)拒絕業(yè)務(wù)拒絕n參與方抵賴：通信雙方中的某一方對所參與方抵賴：通信雙方中的某一方對所傳輸消息的否認(rèn)傳輸消息的否認(rèn)3被動攻擊與主動攻擊被動攻擊與主動攻擊發(fā)送方發(fā)送方接收方接收方攻擊者發(fā)送方發(fā)送方接收方接收方攻擊者4攻擊攻擊主動攻擊主動攻擊被動攻擊被動攻擊獲取消息的內(nèi)容獲取消息的內(nèi)容業(yè)務(wù)流分析業(yè)務(wù)流分析假冒假冒重放重放篡改篡改攻擊的類型攻擊的類型否認(rèn)

2、否認(rèn)抗被動攻擊：加密抗主動攻擊：認(rèn)證5n抗被動攻擊：加密抗被動攻擊：加密n抗主動攻擊：認(rèn)證抗主動攻擊：認(rèn)證6 驗(yàn)證消息的真實(shí)性驗(yàn)證消息的真實(shí)性：的確是由它所聲稱的實(shí)：的確是由它所聲稱的實(shí)體發(fā)來的體發(fā)來的 驗(yàn)證消息的完整性驗(yàn)證消息的完整性：未被篡改、插入、刪除：未被篡改、插入、刪除 驗(yàn)證消息的順序性和時(shí)間性驗(yàn)證消息的順序性和時(shí)間性：未重排、重放、：未重排、重放、延遲延遲 驗(yàn)證消息的不可否認(rèn)性驗(yàn)證消息的不可否認(rèn)性：防止通信雙方中的：防止通信雙方中的某一方對所傳輸消息的否認(rèn)（可通過數(shù)字簽?zāi)骋环綄λ鶄鬏斚⒌姆裾J(rèn)（可通過數(shù)字簽名）名）認(rèn)證的功能認(rèn)證的功能7信息認(rèn)證技術(shù) n1 1 HashHash函數(shù)和

3、消息完整性函數(shù)和消息完整性n2 2 數(shù)字簽名技術(shù)數(shù)字簽名技術(shù) n3 3 身份認(rèn)證技術(shù)身份認(rèn)證技術(shù) n4 4 認(rèn)證的具體實(shí)現(xiàn)認(rèn)證的具體實(shí)現(xiàn) 81 Hash函數(shù)和消息完整性函數(shù)和消息完整性本節(jié)提示：本節(jié)提示：n1.1 基本概念基本概念n1.2 Hash函數(shù)的構(gòu)造函數(shù)的構(gòu)造n1.3 消息認(rèn)證碼消息認(rèn)證碼91.1 基本概念基本概念nHash函數(shù)也稱為雜湊函數(shù)或散列函數(shù)函數(shù)也稱為雜湊函數(shù)或散列函數(shù)n其輸入為一可變長度序列其輸入為一可變長度序列x，返回一固定長度，返回一固定長度串，該串被稱為輸入串，該串被稱為輸入x的的Hash值（值（消息摘要消息摘要）nHash函數(shù)是多對一的函數(shù)，一定將某些不同函數(shù)是多對

4、一的函數(shù)，一定將某些不同的輸入變換成相同的輸出的輸入變換成相同的輸出nHash函數(shù)要求：給定輸入計(jì)算函數(shù)要求：給定輸入計(jì)算Hash值是很容值是很容易的；給定易的；給定Hash值求原始輸入是困難的值求原始輸入是困難的n又稱為單向又稱為單向Hash函數(shù)函數(shù)10基本概念（續(xù)）基本概念（續(xù)）nHash函數(shù)一般滿足以下幾個(gè)基本需求：函數(shù)一般滿足以下幾個(gè)基本需求：（1）輸入）輸入x可以為任意長度；可以為任意長度；（2）輸出長度固定；）輸出長度固定；（3）易計(jì)算：給定任何）易計(jì)算：給定任何x，容易計(jì)算出，容易計(jì)算出x的的Hash值值H(x)；（4）單向性：給一個(gè)）單向性：給一個(gè)Hash值，很難反向計(jì)算值，很

5、難反向計(jì)算出原始輸入；出原始輸入；（5）唯一性：找到兩個(gè)不同的輸入得到相同的）唯一性：找到兩個(gè)不同的輸入得到相同的Hash輸出值是困難的（在計(jì)算上是不可行的）輸出值是困難的（在計(jì)算上是不可行的）11 Hash函數(shù)的其他性質(zhì)函數(shù)的其他性質(zhì)nHash值的長度由算法的類型決定，與輸入的值的長度由算法的類型決定，與輸入的消息大小無關(guān)，一般為消息大小無關(guān)，一般為128或者或者160位。位。nHash函數(shù)的一個(gè)主要功能就是為了保證數(shù)據(jù)函數(shù)的一個(gè)主要功能就是為了保證數(shù)據(jù)完整性。完整性。n Hash函數(shù)可以按照其是否有密鑰控制分為兩函數(shù)可以按照其是否有密鑰控制分為兩類：類：n一類有密鑰控制，以一類有密鑰控制，

6、以hk(x)表示，為密碼表示，為密碼Hash函數(shù)；函數(shù)；n另一類無密鑰控制，為一般另一類無密鑰控制，為一般Hash函數(shù)。函數(shù)。121.2 Hash函數(shù)的構(gòu)造函數(shù)的構(gòu)造n用分組加密函數(shù)構(gòu)造用分組加密函數(shù)構(gòu)造hash函數(shù)函數(shù)n專門設(shè)計(jì)的專門設(shè)計(jì)的Hash函數(shù)函數(shù)13用分組加密函數(shù)構(gòu)造用分組加密函數(shù)構(gòu)造hash函數(shù)函數(shù)n分組密碼：給出明文和對應(yīng)的密文，要分組密碼：給出明文和對應(yīng)的密文，要找出所用的密鑰是困難的（單向函數(shù)）找出所用的密鑰是困難的（單向函數(shù)）n加密函數(shù)加密函數(shù)y=E(x,k)，輸入明文，輸入明文x（長度（長度m），密鑰），密鑰k（長度（長度n）輸出密文）輸出密文y（長（長度度m）n輸入數(shù)

7、據(jù)總長度輸入數(shù)據(jù)總長度mn，輸出，輸出m。單向壓。單向壓縮函數(shù)縮函數(shù)14用分組加密函數(shù)構(gòu)造用分組加密函數(shù)構(gòu)造hash函數(shù)函數(shù)n先將先將N長消息分組，分組長為長消息分組，分組長為m（或（或n）n設(shè)初始向量設(shè)初始向量IV，可公開，長度，可公開，長度mn消息消息x的分組為的分組為x1, x2, , xt15用分組加密函數(shù)構(gòu)造用分組加密函數(shù)構(gòu)造hash函數(shù)函數(shù)n方案方案1n消息的分組長為消息的分組長為nnh0=IVnh1=E(h0,x1)nh2=E(h1,x2)nh3=E(h2,x3)nnh(x)=htn輸出為輸出為m長長x1x2xtn長n長n長16用分組加密函數(shù)構(gòu)造用分組加密函數(shù)構(gòu)造hash函數(shù)函數(shù)

8、n方案方案2n消息的分組長為消息的分組長為m，選擇密鑰，選擇密鑰k（n長）長）nh0=IVnh1=E(x1+h0,k)nh2=E(x2+h1,k)nh3=E(x3+h2,k)nnh(x)=htn輸出為輸出為m長長x1x2xtm長m長m長17n用加密函數(shù)可以構(gòu)造用加密函數(shù)可以構(gòu)造Hash函數(shù)，但速度函數(shù)，但速度較慢較慢n專門設(shè)計(jì)的專門設(shè)計(jì)的Hash函數(shù)：函數(shù)：MD4，MD5， SHA18MD4算法算法nMR4是是Ron Rivest設(shè)計(jì)的單向散列函數(shù)設(shè)計(jì)的單向散列函數(shù)nMD表示消息摘要（表示消息摘要（Message Digest），），對輸入消息，算法產(chǎn)生對輸入消息，算法產(chǎn)生128位散列值位散列

9、值19MD4算法設(shè)計(jì)目標(biāo)算法設(shè)計(jì)目標(biāo)n安全性：找到兩個(gè)具有相同散列值的消息在計(jì)算上不安全性：找到兩個(gè)具有相同散列值的消息在計(jì)算上不可行，不存在比窮舉攻擊更有效的攻擊?？尚?，不存在比窮舉攻擊更有效的攻擊。n直接安全性：直接安全性：MD4的安全性不基于任何假設(shè)，如因子的安全性不基于任何假設(shè)，如因子分解的難度。分解的難度。n速度：速度：MD4適用于軟件實(shí)現(xiàn)，基于適用于軟件實(shí)現(xiàn)，基于32位操作數(shù)的一些位操作數(shù)的一些簡單位操作。簡單位操作。n簡單性和緊湊性：簡單性和緊湊性：MD4盡可能簡單，沒有大的數(shù)據(jù)結(jié)盡可能簡單，沒有大的數(shù)據(jù)結(jié)構(gòu)和復(fù)雜的程序。構(gòu)和復(fù)雜的程序。n有利的有利的Little-Endian結(jié)

10、構(gòu)：結(jié)構(gòu)：MD4最適合微處理器結(jié)最適合微處理器結(jié)構(gòu)，更大型、速度更快的計(jì)算機(jī)要作必要的轉(zhuǎn)化。構(gòu)，更大型、速度更快的計(jì)算機(jī)要作必要的轉(zhuǎn)化。20其他算法其他算法nMD5是是MD4的改進(jìn)的改進(jìn)nSHA(Security Hash Algorithm)算法是美國算法是美國NIST設(shè)計(jì)的一種標(biāo)準(zhǔn)設(shè)計(jì)的一種標(biāo)準(zhǔn)Hash算法算法nSHA用于數(shù)字簽名的標(biāo)準(zhǔn)算法用于數(shù)字簽名的標(biāo)準(zhǔn)算法DSS中，也是安全性中，也是安全性很高的一個(gè)很高的一個(gè)Hash算法算法n該算法的輸入消息長度小于該算法的輸入消息長度小于 bit，輸出值為，輸出值為160bit。SHA與與MD4相比較而言，主要是增加了擴(kuò)相比較而言，主要是增加了擴(kuò)展

11、變換，將前一輪的輸出加到下一輪的，這樣增加展變換，將前一輪的輸出加到下一輪的，這樣增加了雪崩效應(yīng)。而且由于其了雪崩效應(yīng)。而且由于其160 bit的輸出，對窮舉攻的輸出，對窮舉攻擊更有抵抗力。擊更有抵抗力。642211.3消息認(rèn)證碼消息認(rèn)證碼n消息認(rèn)證碼（消息認(rèn)證碼（MAC，Messages Authentication Codes），是與密鑰相關(guān)），是與密鑰相關(guān)的單向的單向Hash函數(shù)，也稱為消息鑒別碼或是函數(shù)，也稱為消息鑒別碼或是消息校驗(yàn)和消息校驗(yàn)和nMAC與單向與單向Hash函數(shù)一樣，但是還包括一函數(shù)一樣，但是還包括一個(gè)密鑰。個(gè)密鑰。 n將單向?qū)蜗騂ash函數(shù)變成函數(shù)變成MAC的一個(gè)簡單

12、的辦的一個(gè)簡單的辦法是用對稱算法加密法是用對稱算法加密Hash值。相反將值。相反將MAC變成單向變成單向Hash函數(shù)則只需將密鑰公開。函數(shù)則只需將密鑰公開。 22消息認(rèn)證碼的實(shí)現(xiàn)示意圖消息認(rèn)證碼的實(shí)現(xiàn)示意圖 23消息認(rèn)證碼的定義及使用方式消息認(rèn)證碼的定義及使用方式n 消息認(rèn)證碼：指消息被一密鑰控制的公開函消息認(rèn)證碼：指消息被一密鑰控制的公開函數(shù)作用后產(chǎn)生的、用作認(rèn)證符的、固定長度的數(shù)作用后產(chǎn)生的、用作認(rèn)證符的、固定長度的數(shù)值，也稱為密碼校驗(yàn)和數(shù)值，也稱為密碼校驗(yàn)和n 需要通信雙方需要通信雙方A和和B共享一密鑰共享一密鑰Kn 設(shè)設(shè)A欲發(fā)送給欲發(fā)送給B的消息是的消息是M，A首先計(jì)算首先計(jì)算MAC=

13、CK(M)，其中，其中CK()是密鑰控制的公開函是密鑰控制的公開函數(shù)，然后向數(shù)，然后向B發(fā)送發(fā)送MMAC，B收到后做與收到后做與A相相同的計(jì)算，求得一新同的計(jì)算，求得一新MAC，并與收到的，并與收到的MAC做比較做比較24消息認(rèn)證碼的定義及使用方式消息認(rèn)證碼的定義及使用方式n如果僅收發(fā)雙方知道如果僅收發(fā)雙方知道K，且，且B計(jì)算得到的計(jì)算得到的MAC與接收到的與接收到的MAC一致，則這一系統(tǒng)就實(shí)現(xiàn)了以一致，則這一系統(tǒng)就實(shí)現(xiàn)了以下功能（圖下功能（圖a）n 接收方相信發(fā)送方發(fā)來的消息未被篡改接收方相信發(fā)送方發(fā)來的消息未被篡改。因?yàn)楣?。因?yàn)楣粽卟恢烂荑€，所以不能夠在篡改消息后相應(yīng)地篡改者不知道密

14、鑰，所以不能夠在篡改消息后相應(yīng)地篡改MAC，而如果僅篡改消息，則接收方計(jì)算的新，而如果僅篡改消息，則接收方計(jì)算的新MAC將與收到的將與收到的MAC不同。不同。n 接收方相信發(fā)送方不是冒充的接收方相信發(fā)送方不是冒充的。因?yàn)槌瞻l(fā)雙方外。因?yàn)槌瞻l(fā)雙方外再無其他人知道密鑰，因此其他人不可能對自己發(fā)送再無其他人知道密鑰，因此其他人不可能對自己發(fā)送的消息計(jì)算出正確的的消息計(jì)算出正確的MAC。25消息認(rèn)證碼的定義及使用方式消息認(rèn)證碼的定義及使用方式n 消息本身在發(fā)送過程中是明文形式，因此上消息本身在發(fā)送過程中是明文形式，因此上述過程只提供認(rèn)證性而未提供保密性述過程只提供認(rèn)證性而未提供保密性n 為提供保密

15、性，可：為提供保密性，可：nM與與MAC鏈接后再被整體加密，圖鏈接后再被整體加密，圖bnM先被加密再與先被加密再與MAC鏈接后發(fā)送，圖鏈接后發(fā)送，圖c26MAC的基本使用方式的基本使用方式272 數(shù)字簽名技術(shù)數(shù)字簽名技術(shù)本節(jié)提示：本節(jié)提示：n2.1 數(shù)字簽名的基本概念數(shù)字簽名的基本概念n2.2 常用的數(shù)字簽名體制常用的數(shù)字簽名體制282.1 2.1 數(shù)字簽名技術(shù)數(shù)字簽名技術(shù)n數(shù)字簽名在信息安全，包括身份認(rèn)證、數(shù)據(jù)完整性、不可否認(rèn)性以及匿名性等方面有重要應(yīng)用n數(shù)字簽名是實(shí)現(xiàn)認(rèn)證的重要工具29什么是數(shù)字簽名n數(shù)字簽名是一種以電子形式給一個(gè)消息簽名的方法，是只有信息發(fā)送方才能夠進(jìn)行的簽名，是任何其他

16、人都無法偽造的一段數(shù)字串，這段特殊的數(shù)字串同時(shí)也是對簽名真實(shí)性的一種證明30n數(shù)字簽名應(yīng)達(dá)到與傳統(tǒng)手寫簽名相同的效果n手寫簽名的特點(diǎn)n可識別簽名者n難以偽造n對應(yīng)所簽署內(nèi)容n簽名者不可否認(rèn)31數(shù)字簽名的特性（ 1/2 ）n簽名是可信的簽名是可信的：任何人都可以方便地驗(yàn)證簽名的有效性。n簽名是不可偽造的簽名是不可偽造的：除了合法的簽名者之外，任何其他人偽造其簽名是困難的（計(jì)算上不可行）n簽名是不可復(fù)制的簽名是不可復(fù)制的：對一個(gè)消息的簽名不能通過復(fù)制變?yōu)閷α硪粋€(gè)消息的簽名。如果一個(gè)消息的簽名是從別處復(fù)制的，則任何人都可以發(fā)現(xiàn)消息與簽名之間的不一致性。 32數(shù)字簽名的特性（2/2）n簽名的消息是不可

17、改變的簽名的消息是不可改變的：經(jīng)簽名的消息不能被篡改。一旦簽名的消息被篡改，則任何人都可以發(fā)現(xiàn)消息與簽名之間的不一致性。n簽名是不可抵賴的簽名是不可抵賴的：簽名者不能否認(rèn)自己的簽名。 33數(shù)字簽名技術(shù)的功能 n數(shù)字簽名可以解決否認(rèn)、偽造、篡改及冒充等問題，具體要求為：n發(fā)送者事后不能否認(rèn)發(fā)送的報(bào)文簽名n接收者能夠核實(shí)發(fā)送者發(fā)送的報(bào)文簽名、接收者不能偽造發(fā)送者的報(bào)文簽名、接收者不能對發(fā)送者的報(bào)文進(jìn)行部分篡改n網(wǎng)絡(luò)中的某一用戶不能冒充另一用戶作為發(fā)送者或接收者。34數(shù)字簽名的實(shí)現(xiàn)方法 n用非對稱加密算法進(jìn)行數(shù)字簽名用非對稱加密算法進(jìn)行數(shù)字簽名 35數(shù)字簽名示意圖消息Hash函數(shù)消息摘要發(fā)方A相等？

18、收方B加密算法A的私鑰簽名消息 加密的消息摘要簽名消息Hash函數(shù)消息摘要解密算法A的公鑰簽名有效y簽名無效n36用非對稱加密算法進(jìn)行數(shù)字簽名和驗(yàn)證 n 發(fā)送方首先用公開的單向函數(shù)對報(bào)文進(jìn)行計(jì)算，得到消息摘要，然后利用私有密鑰對消息摘要進(jìn)行加密后附在報(bào)文之后一同發(fā)出；n 接收方用發(fā)送方的公開密鑰對數(shù)字簽名進(jìn)行解密變換，得到消息摘要的明文；n 接收方將得到的報(bào)文通過單向函數(shù)進(jìn)行計(jì)算，同樣得到一個(gè)消息摘要，再將兩個(gè)摘要進(jìn)行對比，如果相同，則證明簽名有效，否則無效。 37公鑰簽名n使用公鑰算法進(jìn)行數(shù)字簽名的最大方便是沒有密鑰分配問題382.2 常用的數(shù)字簽名體制n用非對稱加密算法實(shí)現(xiàn)的數(shù)字簽名技術(shù)最

19、常用的是RSA和DSS簽名nRSA簽名 nDSS簽名 39RSA簽名 （1）參數(shù) 選兩個(gè)互異的大素?cái)?shù)p和q。 計(jì)算n=pq，(n)=(p-1)(q-1) 選一整數(shù)e，滿足1e6位。n大小寫字母混合。如果用一個(gè)大寫字母，既不要放在開頭，也不要放在結(jié)尾。n可以把數(shù)字無序的加在字母中。n系統(tǒng)用戶一定用8位口令，而且包括!?:等特殊符號。安全口令的特點(diǎn)88n不安全的口令有如下幾種情況：n使用用戶名（帳號）作為口令。這種方法便于記憶，可是在安全上幾乎是不堪一擊n用用戶名（帳號）的變換形式作為口令。將用戶名顛倒或者加前后綴作為口令n使用自己或者親友的生日作為口令n使用常用的英文單詞作為口令。這種方法比前幾

20、種方法要安全一些。如果選用的單詞是十分偏僻的，那么黑客軟件破解就需要費(fèi)些力氣不安全口令的特點(diǎn)892.2.利用認(rèn)證者所具有的物品進(jìn)行認(rèn)證利用認(rèn)證者所具有的物品進(jìn)行認(rèn)證 n利用硬件實(shí)現(xiàn)的認(rèn)證方式n安全令牌n智能卡 90安全令牌n安全性要求較高的場合使用硬件來實(shí)現(xiàn)認(rèn)證，如安全令牌。n安全令牌通常是每隔固定間隔產(chǎn)生一個(gè)脈沖序列的同步序列發(fā)生器。 91概念解釋-令牌 n令牌是一個(gè)可以為每一次認(rèn)證產(chǎn)生不同的認(rèn)證值的小型電子設(shè)備，其易于攜帶。n認(rèn)證令牌的實(shí)現(xiàn)有兩種具體的方式n時(shí)間令牌n挑戰(zhàn)/應(yīng)答式令牌92概念解釋時(shí)間令牌 n時(shí)間令牌n令牌和認(rèn)證服務(wù)器共同擁有一個(gè)相同的隨機(jī)種子，認(rèn)證時(shí)雙方將當(dāng)前時(shí)間和隨機(jī)種子

21、做加密或是hash運(yùn)算，然后由認(rèn)證服務(wù)器對這一結(jié)果進(jìn)行校驗(yàn)比較。n必須保證令牌與認(rèn)證服務(wù)器的時(shí)間同步 93概念解釋挑戰(zhàn)應(yīng)答令牌 n挑戰(zhàn)應(yīng)答令牌n由認(rèn)證系統(tǒng)產(chǎn)生一個(gè)隨機(jī)數(shù)，令牌和認(rèn)證系統(tǒng)使用同樣的密鑰對這個(gè)數(shù)字進(jìn)行加密或是hash變換，然后進(jìn)行校驗(yàn)。 94智能卡n智能卡n卡中存儲有用戶的私鑰、登錄信息和用于不同目的的公鑰證書，如數(shù)字簽名證書和數(shù)據(jù)加密證書等 n提供了抗修改能力，用于保護(hù)其中的用戶證書和私鑰。954.2 認(rèn)證方式的實(shí)際應(yīng)用 n目前實(shí)用的認(rèn)證方式有nSkeyn防止竊聽和重放nKerberosnRadius96Skey認(rèn)證方式n攻擊者通過監(jiān)聽網(wǎng)絡(luò)中的信息，可以獲得用戶的帳號和口令，可以

22、利用重放等方式非法進(jìn)入系統(tǒng)nSkey是一個(gè)一次性口令系統(tǒng)，可以用來對付上述攻擊。 97Skey認(rèn)證方式的特點(diǎn)n使用Skey系統(tǒng)時(shí)，網(wǎng)絡(luò)中傳送的帳戶和口令只使用一次后就銷毀。n用戶使用的源口令永遠(yuǎn)也不會在網(wǎng)絡(luò)上傳輸，包括登錄時(shí)或其它需要口令的情形，這樣就可以保護(hù)用戶的帳戶和口令不會因此而被竊取。98使用Skey類系統(tǒng)兩方面的操作 n在用戶方，必須有方法產(chǎn)生正確的一次性口令。 n在服務(wù)器方必須能夠驗(yàn)證該一次性口令的有效性，并能夠讓用戶安全地修改源口令99Skey認(rèn)證方式nSkey系統(tǒng)一般是基于一些不可逆算法的（如Hash），如果擁有源數(shù)據(jù)，正向計(jì)算出結(jié)果速度很快。n但試圖反向計(jì)算出源數(shù)據(jù)，則基本上是不可能的。 100例如n用戶Alice產(chǎn)生隨機(jī)數(shù)R，計(jì)算nR x1=f(R)nx1 x2=f(x1)nnxn xn+1=f(xn)nAlice保存x1，x2，x3，xn，計(jì)算機(jī)在登錄數(shù)據(jù)庫中Alice的帳號中對應(yīng)存儲xn+1的值101n當(dāng)Alice第一次登錄時(shí)，輸入用戶名和口令xn，計(jì)算機(jī)計(jì)算f(xn)，并把它和數(shù)據(jù)庫中保存的xn+1比較，如果匹配，就證明Alice身份是真的n然后，計(jì)算機(jī)用xn代替x