消息鑒別PPT課件

1、網(wǎng)絡(luò)安全消息鑒別回顧與總結(jié) 對(duì)稱密碼算法 運(yùn)算速度快、密鑰短、多種用途（隨機(jī)數(shù)產(chǎn)生、Hash函數(shù)）、歷史悠久 密鑰管理困難（分發(fā)、更換） 非對(duì)稱密碼算法 只需保管私鑰、可以相當(dāng)長(zhǎng)的時(shí)間保持不變、需要的數(shù)目較小 運(yùn)算速度慢、密鑰尺寸大、歷史短安全的信息交換應(yīng)滿足的性質(zhì) 保密性（ Confidentiality） 完整性（Integrity） 數(shù)據(jù)完整性，未被未授權(quán)篡改或者損壞 系統(tǒng)完整性，系統(tǒng)未被非授權(quán)操縱，按既定的功能運(yùn)行 可用性（Availability） 鑒別（Authenticity） 實(shí)體身份的鑒別，適用于用戶、進(jìn)程、系統(tǒng)、信息等 不可否認(rèn)性（ Non-repudiation） 防止源

2、點(diǎn)或終點(diǎn)的抵賴消息鑒別的概念消息鑒別（Message Authentication）消息認(rèn)證、報(bào)文認(rèn)證、報(bào)文鑒別鑒別：消息接收者對(duì)消息進(jìn)行的驗(yàn)證，是一個(gè)證實(shí)收到的消息來(lái)自可信的源點(diǎn)且未被篡改的過(guò)程真實(shí)性：消息確實(shí)來(lái)自于真正的發(fā)送者，而非假冒完整性：消息內(nèi)容沒(méi)有被篡改、重放或延遲消息鑒別的必要性網(wǎng)絡(luò)通信的安全威脅泄漏消息內(nèi)容被泄漏給非授權(quán)用戶偽造假冒源點(diǎn)的身份向網(wǎng)絡(luò)中插入消息消息篡改內(nèi)容篡改：插入、刪除、修改等序號(hào)篡改：在依賴序號(hào)的協(xié)議如TCP中，對(duì)消息序號(hào)進(jìn)行篡改，包括插入、刪除、重排等時(shí)間篡改：對(duì)消息進(jìn)行延遲或重放行為抵抗發(fā)送方否認(rèn)發(fā)送某個(gè)消息，或接收方否認(rèn)接收某個(gè)消息消息鑒別的作用保護(hù)雙方

3、的數(shù)據(jù)交換不被其他人侵犯基于雙方共享的秘密但是消息鑒別無(wú)法解決雙方之間可能存在的爭(zhēng)議B偽造一個(gè)消息，聲稱是A發(fā)送的B否認(rèn)發(fā)送過(guò)某個(gè)消息，而A無(wú)法證明B撒謊單純鑒別系統(tǒng)的模型安全信道信道信源鑒 別編碼器鑒 別密鑰源攻擊者鑒 別解碼器信宿需要鑒別密鑰，而且此密鑰一般不同于加密密鑰消息鑒別系統(tǒng)的構(gòu)成認(rèn)證算法：底層實(shí)現(xiàn)的一項(xiàng)基本功能認(rèn)證功能要求底層必須實(shí)現(xiàn)某種能生成認(rèn)證標(biāo)識(shí)的算法認(rèn)證標(biāo)識(shí)（鑒別符）是一個(gè)用于消息鑒別的特征值認(rèn)證標(biāo)識(shí)的生成算法用一個(gè)生成函數(shù)f來(lái)實(shí)現(xiàn)，稱為鑒別函數(shù)認(rèn)證協(xié)議接收方用該協(xié)議來(lái)完成消息合法性鑒別的操作認(rèn)證協(xié)議調(diào)用底層的認(rèn)證算法（鑒別函數(shù)），來(lái)驗(yàn)證消息的真實(shí)性鑒別函數(shù)f是決定認(rèn)證（

4、鑒別）系統(tǒng)特性的主要因素認(rèn)證協(xié)議算法：鑒別函數(shù)高層認(rèn)證協(xié)議消息鑒別系統(tǒng)的分類可根據(jù)鑒別函數(shù)的特性分類根據(jù)鑒別符的生成方式，鑒別函數(shù)可以分成以下幾類：基于消息加密方式的鑒別以整個(gè)消息的密文作為鑒別符基于消息鑒別碼（MAC）的鑒別方式發(fā)送方利用公開(kāi)函數(shù)+密鑰產(chǎn)生一個(gè)固定長(zhǎng)度的值作為鑒別標(biāo)識(shí)，并與消息一同發(fā)送基于Hash函數(shù)的鑒別方式采用hash函數(shù)將任意長(zhǎng)度的消息映射為一個(gè)定長(zhǎng)的散列值，以此散列值為鑒別碼可以認(rèn)為是MAC方式的一種特例基于消息加密方式的鑒別基于消息加密方式的鑒別以整個(gè)消息的密文為鑒別符加密模式對(duì)稱密鑰模式公開(kāi)密鑰模式接收端鑒別的實(shí)現(xiàn)基于這樣的假設(shè)：接收端能夠正確地對(duì)密文解密，就可以

5、確定消息是完整的，而且是來(lái)自于真實(shí)的發(fā)送方，從而實(shí)現(xiàn)了對(duì)消息的鑒別使用對(duì)稱密鑰模式提供保密提供鑒別僅來(lái)自A傳輸中未被更改不提供簽名MCMEDkk發(fā)送方A接收方B使用對(duì)稱密鑰模式的問(wèn)題存在的問(wèn)題（假設(shè)明文本身就是亂碼）接收端怎樣判斷密文的合法性接收端如何判斷解密的結(jié)果是否正確解密運(yùn)算的本質(zhì)是數(shù)學(xué)運(yùn)算原始消息對(duì)接收端是未知的接收端可以得到 M = Dk(c)怎么判斷 M = M解決方法：強(qiáng)制明文具有某種結(jié)構(gòu)，并且不通過(guò)加密函數(shù)是不能復(fù)制這種結(jié)構(gòu)。解決方法加入錯(cuò)誤檢測(cè)碼內(nèi)部錯(cuò)誤控制（圖4-4a）先執(zhí)行錯(cuò)誤檢測(cè)碼函數(shù)再執(zhí)行加密函數(shù)錯(cuò)誤檢測(cè)碼被包含在密文中外部錯(cuò)誤控制（圖4-4b）先執(zhí)行加密函數(shù)再執(zhí)行錯(cuò)

6、誤檢測(cè)碼函數(shù)錯(cuò)誤檢測(cè)碼未被包含在密文中使用公鑰加密體制 1提供保密不提供鑒別和簽名MCMEDkUbkRb發(fā)送方A接收方B使用公鑰加密體制 2不提供保密提供鑒別與簽名僅A有KRa可以加密傳輸中未被更改MCMEDkRakUa發(fā)送方A接收方B使用公鑰加密體制 3提供保密：KUb提供鑒別和簽名:KRaMCMEDkRakUa發(fā)送方A接收方BCEkUbCEkRb歸納對(duì)稱加密提供保密性。只有A和B共享提供鑒別。只能發(fā)自A不提供簽名。接收方可以偽造，發(fā)送方可以否認(rèn)消息公鑰加密只提供保密。只有B擁有私鑰只提供鑒別和簽名。只有A擁有私鑰提供保密以及鑒別和簽名。A私鑰+B公鑰B私鑰+A公鑰基于MAC的鑒別基于MAC

7、的鑒別消息鑒別碼（Message Authentication Code, MAC）發(fā)送方采用一種類似于加密的算法和一個(gè)密鑰，根據(jù)消息內(nèi)容計(jì)算生成一個(gè)固定大小的小數(shù)據(jù)塊，并加入到消息中，稱為MAC。MAC = fk(m)需要鑒別密鑰核心是類似于加密算法的鑒別碼生成算法MAC被附加在消息中，用于消息的合法性鑒別功能接收者可以確信消息M未被改變接收者可以確信消息來(lái)自所聲稱的發(fā)送者消息鑒別碼的基本原理MMMMACMACf()f()比較密鑰K密鑰K認(rèn)證結(jié)果信道雙方共享鑒別密鑰 k發(fā)送方接收方MAC的基本應(yīng)用 1提供消息鑒別僅A和B共享密鑰KMMMACf()比較密鑰Kf()發(fā)送方A接收方BMMACMAC

8、的基本應(yīng)用 2MMMACf()D()比較密鑰KE()密鑰K密鑰KMMACf()密文發(fā)送方接收方提供保密只有A和B共享k提供鑒別只有A和B共享k1、先計(jì)算MAC再加密2、K是加密密鑰3、K是認(rèn)證密鑰MAC的應(yīng)用 3密文MMACf()f()比較密鑰KE()密鑰K密鑰K密文+D()密鑰KM1、先加密再計(jì)算MAC2、K是加密密鑰3、K是認(rèn)證密鑰發(fā)送方接收方提供保密只有A和B共享k提供鑒別只有A和B共享k 保密性與真實(shí)性是兩個(gè)不同的概念根本上,信息加密提供的是保密性而非真實(shí)性加密代價(jià)大(公鑰算法代價(jià)更大) 鑒別函數(shù)與保密函數(shù)的分離能提供功能上的靈活性 某些信息只需要真實(shí)性,不需要保密性廣播的信息難以使用

9、加密(信息量大)網(wǎng)絡(luò)管理信息等只需要真實(shí)性政府/權(quán)威部門的公告MAC函數(shù)的特點(diǎn)MAC函數(shù)類似于加密函數(shù)，需要密鑰MAC函數(shù)無(wú)需可逆，可以是單向函數(shù)使得MAC函數(shù)更不易被破解MAC函數(shù)不能提供對(duì)消息的保密（常用在只需要鑒別的應(yīng)用中）保密性通過(guò)對(duì)消息加密而獲得需要兩個(gè)獨(dú)立密鑰兩種方式：先計(jì)算MAC再加密先加密再計(jì)算MAC基于MAC的鑒別過(guò)程獨(dú)立于加、解密過(guò)程可以用于不需加密保護(hù)的數(shù)據(jù)的鑒別MAC方法不能提供數(shù)字簽名功能（為什么？）所以無(wú)法防止對(duì)方的欺騙MAC函數(shù)的安全性分析MAC函數(shù)的特點(diǎn)多對(duì)一映射對(duì)同一個(gè)M，存在多個(gè)key產(chǎn)生相同的MACKey相同，存在多個(gè)M產(chǎn)生相同的MACn-bit MAC:

10、 2n個(gè)可能的MACK-bit密鑰： 2k個(gè)可能的密鑰N個(gè)可能的消息：N 2n一般情況下，n kMAC函數(shù)的安全性主要是對(duì)強(qiáng)行攻擊的抵抗能力方式：窮舉法，根據(jù)已知消息M和對(duì)應(yīng)的MAC值，來(lái)推斷密鑰k前提：MAC算法已知MF()kMAC攻擊者如何用強(qiáng)力攻擊方法攻擊MAC？基于哈希函數(shù)的鑒別基于哈希函數(shù)的鑒別哈希函數(shù)一種單向函數(shù)輸入：任意長(zhǎng)度的消息M輸出：固定長(zhǎng)度的消息摘要是一個(gè)固定長(zhǎng)度的哈希值H(M)哈希值是消息中所有比特的函數(shù)值消息中任意內(nèi)容的變化將導(dǎo)致哈希值的變化具有完整性檢測(cè)功能可用于數(shù)字簽名哈希函數(shù)=特殊的MAC，哈希函數(shù)不使用密鑰，它僅僅是輸入消息的函數(shù)。哈希函數(shù)消息鑒別(a)基本的哈

11、希函數(shù)消息鑒別對(duì)稱加密：發(fā)端和收端共享加密密鑰k哈希值提供了消息鑒別需要的結(jié)構(gòu)和冗余提供保密和鑒別雙重功能：消息和H(M)被加密保護(hù)MMEkMH(M)H(M)H()D()比較密鑰KE()密鑰KMH(M)H()發(fā)送方接收方哈希函數(shù)消息鑒別(b)僅對(duì)哈希值進(jìn)行加密的鑒別方案用于不需對(duì)消息加密的場(chǎng)合基于對(duì)稱密鑰機(jī)制提供鑒別：H(M)被加密保護(hù)MMEkH(M)H()D()比較哈希密鑰KE()密鑰KH()MEkH(M)哈希函數(shù)消息鑒別(c)僅對(duì)哈希值進(jìn)行加密的鑒別方案用于不需對(duì)消息加密的場(chǎng)合基于公開(kāi)密鑰機(jī)制提供鑒別和數(shù)字簽名：發(fā)送方用自己的私鑰加密H(M)MMEkRaH(M)H()D()比較密鑰KUaE

12、()密鑰KRaH()MEkRaH(M)發(fā)送方A接收方B哈希函數(shù)消息鑒別(d)提供保密：對(duì)稱密鑰算法、密鑰k進(jìn)行外層加密提供鑒別和數(shù)字簽名：A用私鑰對(duì)消息明文的哈希值進(jìn)行加密MMEkRaH(M)H()D()比較密鑰KUaE()密鑰KRaH()MEkRaH(M)發(fā)送方A接收方BED密鑰K密鑰K哈希函數(shù)消息鑒別(e)采用秘密數(shù)值的哈希鑒別通信雙方共享一個(gè)秘密數(shù)值s計(jì)算哈希值時(shí)，s附加到消息M上一起計(jì)算得到H(M|s)傳輸過(guò)程中，數(shù)據(jù)不加密，但不傳送s提供鑒別：只有發(fā)送方和接收方共享秘密S適用于加密算法不可用的場(chǎng)合MMH(M|s)H()比較哈希H()MH(M|s)MssMss方法e的優(yōu)點(diǎn)不含加密處理 加密軟件很慢 加密硬件的開(kāi)銷很大 加密硬件是對(duì)大長(zhǎng)度數(shù)據(jù)進(jìn)行優(yōu)化的 加密算法可能受專利保護(hù) 加密算法可能受出口的限制.哈希函數(shù)消息鑒別(f)提供鑒別：只有發(fā)送方和接收方才共享S提供保密：只有發(fā)送方和接收方才共享kMMH(M|s)H()比較哈希H()MH(M|s)Mss