安徽工程大学 信息安全原理及应用 第6讲 报文鉴别技术
信息安全原理及应用第5章消息认证
重复攻击
• Step 1:
– 给定M1和MAC1 = C k1 (M1)
– 对所有2k个密钥,判断MACi = C ki (M1) – 匹配数约为: 2k-n
• Step 2:
– 给定M2和MAC2 = C k1 (M1)
– 对所有2k-n个密钥,判断MACi = C ki (M2) – 匹配数约为: 2k-2n
• 平均来讲,若k=x*n,则需x次循环才能找到正确的密钥。 • 所以,用穷举法攻破MAC比攻破加密算法要困难得多。
对MAC的攻击—攻击算法
• 考虑下面的算法:
消息M=(X1‖X2‖…‖Xm)是由64比特长的分组Xi(i=1,…,m)链接而成 MAC算法是:
(M ) X1 X2 Xm
CK (M ) EK (M )
填充图样
消息长度
消息
Kbit L×512bit
100…0 64bit
• 如果消息长度大于264,则取其对264的模。
• 执行完后,消息的长度为512的倍数(设为L倍),则可将消 息表示为分组长为512的一系列分组Y0,Y1,…,YL-1,而 每一分组又可表示为16个32比特长的字,这样消息中的总字 数为N=L×16,因此消息又可按字表示为M[0,…,N-1]。
• 因此,认证函数比加密函数更不易被攻破,因为即 便攻破也无法验证其正确性。关键就在于加密函数 是一对一的,而认证函数是多对一的。
消息认证码的基本用途
• 只提供消息认证,不提供保密性。(见前) • 提供消息认证和保密性:
A
B
MKC||KE KDCM KC 比较 1
2 2 EK2[M || CK1 (M )]
Hash与MAC的区别
• MAC需要对全部数据进行加密 • MAC速度慢 • Hash是一种直接产生鉴别码的方法 • Hash可用于数字签名
报文鉴别概述
MD5 算法
• MD5是报文摘要 MD (Message Digest) 的第5个版本。 报文摘要算法MD5公布于RFC 1321 (1991年),并获 得了非常广泛的应用。
• MD5 的设计者 Rivest曾提出一个猜想,即根据给定的 MD5 报文摘要代码,要找出一个与原来报文有相同报 文摘要的另一报文,其难度在计算上几乎是不可能的。
• 基本思想:
– 用足够复杂的方法将报文的数据位充分“弄乱”,报文摘 要代码中的每一位都与原来报文中的每一位有关。
MD5 算法
• 计算步骤:
– 1,附加:把任意长的报文按模 264 计算其余数 (64位),追加在报文的后面(长度项)。
– 2,填充:在报文和长度项之间填充 1512 位,
使得填充后的总长度是 512 的整数倍。填充的
• 基本思想:
– 要求输入码长小于 264 位,输出码长为 160 位。 – 将明文分成若干 512 位的定长块,每一块与当
前的报文摘要值结合,产生报文摘要的下一个 中间结果,直到处理完毕 – 共扫描 5 遍,效率略低于 MD5,抗穷举性更高。
11
3. 报文鉴别码 MAC
• MD5 实现的报文鉴别可以防篡改,但不能防 伪造,因而不能真正实现报文鉴别。
密算法,但由于散列 H 的长度通常都远远 小于报文 X 的长度,因此这种加密不会消 耗很多的计算资源。 • 因此,使用鉴别码 MAC 就能够很方便地保 护报文的完整性。
3. 报文鉴别码 MAC
M
M
发送
M
H MD
K
H
MAC
MD E
K
比较
D MD
使用传统加密方法鉴别报文(防伪造)
M
M
信息安全原理及应用知识点总结概括
信息安全原理及应⽤知识点总结概括信息安全原理及应⽤1.攻击的种类:(1)被动攻击是在未经⽤户同意和认可的情况下将信息或数据⽂件泄露给系统攻击者,但不对数据信息做任何修改。
常⽤⼿段:a.搭线监听b.⽆线截获 c.其他截获流量分析是被动攻击的⼀种。
(2)主动攻击,会涉及某些数据流的篡改或虚假流的产⽣。
可分为以下4个⼦类:假冒,重放,篡改消息,拒绝服务(DoS)(3)物理临近攻击,以主动攻击为⽬的⽽物理接近⽹络,系统或设备(4)内部⼈员攻击(恶意或⾮恶意)(5)软硬件配装攻击,⼜称分发攻击,指在软硬件的⽣产⼯⼚或在产品分发过程中恶意修改硬件或软件,(引⼊后门程序或恶意代码)2.⽹络信息系统安全的基本要求:1.保密性:信息不泄露给⾮授权⽤户、实体和过程,不被⾮法利⽤。
(数据加密)2.完整性:数据未经授权不能进⾏改变的特性,即信息在存储或传输过程中保持不被⾮法修改、破坏和丢失,并且能够辨别出数据是否已改变。
(加密,数字签名,散列函数)3.可⽤性:被授权实体访问并按需求使⽤的特性,即当需要时授权者总能够存取所需的信息,攻击者不能占⽤所有的资源并妨碍授权者的使⽤。
(鉴别技术)4.可控性:可以控制授权范围内的信息流向及⾏为⽅式,对信息的传播及内容具有保证能⼒。
(控制列表,握⼿协议,⾝份鉴别)5.不可否认性:信息的⾏为⼈要对⾃⼰的信息⾏为负责,不能抵赖⾃⼰曾有过的⾏为也不能否认曾经接到对⽅的信息。
(数字签名和公证机制来保证)3.加密功能实现⽅式a.链到链加密:通过加密链路的任何数据都要被加密。
通常在物理层或数据链路层实施加密机制。
⼀般采⽤物理加密设备。
优点:1.通常由主机维护加密设施,易于实现,对⽤户透明;2.能提供流量保密性 3.密钥管理简单,仅链路的两端需要⼀组共同的密钥,⽽且可以独⽴于⽹络其它部分更换密钥;4.可提供主机鉴别 5.加/解密是在线的,即⽆论什么时候数据从链路的⼀端发往另⼀端都会被加解密,没有数据时可以加解密随机数据。
信息安全工程复习
信息安全工程复习信息安全工程第1章绪论1.1 什么是信息安全1) 信息安全的概念2) 信息安全六个基本属性的含义1.2 信息安全发展阶段1) 信息安全技术的概念1.3 信息安全威胁1) 信息安全威胁的概念2) 信息安全威胁的分类及各种威胁的概念(九种)3) 各种信息安全威胁所危及的信息安全属性4) 信息安全威胁的分类(四种)及与1)中分类的对应关系1.4 信息安全技术体系1) 信息安全技术体系结构及五类信息安全技术各包括哪些内容(p8 图1.1)1.5 信息安全模型1) 攻击者能做和不能做的事第2章密码技术2.1 基本概念1) 保密通信模型基本概念:明文、密文、加密、解密、密钥2) 密码技术是保障信息安全的核心基础技术3) 密码编码学和密码分析学的概念4) 密码系统的概念5) 根据分析者具备的条件,密码分析的分类2.2 对称密码1) 对称密码的分类2) 古典密码包括哪三类2.3 公钥密码1) 公钥密码的概念和基本思想2) RSA公钥密码基于整数因子分解的困难问题;ElGamal公钥密码基于离散对数的困难问题3) RSA公钥密码算法2.4 杂凑函数和消息认证码1) 杂凑的概念2) 理想杂凑函数的性质3) 消息认证码的概念2.5 数字签名1) 数字签名一般方案2) RSA签名方案的签名和验证过程3) RSA签名方案中使用杂凑函数的原因2.6 密钥管理1) 密钥管理包括哪些内容2) 密钥分配和协商的原则3) Diffie-Hellman密钥交换协议4) 密钥保护的门限方案第3章标识与认证技术3.1 标识1) 标识的概念2) 系统实体标识和网络实体标识分别包括哪些内容3) 主机在不同网络层次上的标识方法4) 网络资源的标识方法(统一资源定位URL)3.2 口令与挑战-响应技术1) 口令与挑战-响应技术的概念2) 针对口令有哪些威胁以及相应的对策3.3 在线认证服务技术1) 在线认证服务技术有哪两种基本认证方法3.4 公钥认证技术1) 公钥认证的基本原理2) X.509双向和三向协议3.5 其他常用认证技术3.6 PKI技术1) PKI的概念2) PKI最基本的元素是数字证书3) PKI的组成包括哪些部分3) PKI的主要安全功能4) PKI信任模型分类以及严格层次结构模型的产生过程和验证过程第4章授权与访问控制技术4.1 授权和访问控制策略的概念1) 授权、访问控制、访问控制策略、访问控制模型的概念2) 制定访问控制策略需要考虑哪些因素3) 主体属性和客体属性包括哪些内容4) 当前主要访问控制策略有哪些4.2 自主访问控制1) 自主访问控制策略的概念2) 能力列表和访问控制列表的概念4.3 强制访问控制1) 强制访问控制策略的概念4.4 基于角色的访问控制1) 基于角色的访问控制策略的概念2) 基于角色的访问控制分为哪三类4.5 PMI技术1) PMI的概念2) PMI的基本要素3) 属性证书、属性权威机构、源授权机构的概念4) PMI包括哪四种模型第5章信息隐藏技术5.1 基本概念1) 信息隐藏的概念2) 信息隐藏有哪些用处3) 信息隐藏基本模型包括哪些部分5.2 隐藏信息的基本方法1) 信息隐藏基本方法有哪些5.3 数字水印1) 鲁棒水印的概念和要求2) 脆弱水印的概念和要求5.4 数字隐写1) 数字隐写的概念和要求第6章网络与系统攻击技术1) 网络与系统攻击技术有哪些6.1 网络与系统调查1) 网络与系统调查有哪些方法6.2 口令攻击1) 口令攻击的概念2) 枚举口令是一种最直接的攻击方法6.3 拒绝服务攻击1) 拒绝服务攻击的概念2) 拒绝服务攻击有哪些方法3) 利用系统漏洞的DoS攻击方法有哪些4) 利用网络协议的DoS攻击方法有哪些6.4 缓冲区溢出攻击1) 一般的缓冲区溢出包括哪些步骤第7章网络与系统安全防护与应急响应技术7.1 防火墙技术1) 防火墙的概念2) 防火墙的主要功能3) 防火墙的基本类型有哪些4) 包过滤型防火墙的工作原理和优缺点5) 代理网关的工作原理和分类6) 包检查型防火墙的工作原理7.2 入侵检测技术1) 入侵检测技术的概念2) 入侵检测系统要解决的问题3) 入侵检测系统分为哪三个模块4) 按照数据源不同,入侵检测系统分为哪两类5) 分析检测方法有哪些6) 入侵响应的概念和分类7) 主动响应采取哪些措施7.3 蜜罐技术1) 蜜罐技术的概念2) 蜜罐有哪些类型3) 蜜罐采用的主要技术有哪些7.4 应急响应技术1) 应急响应的概念2) 应急响应包括哪三个阶段第8章安全审计与责任认定技术8.1 审计系统1) 审计系统的概念2) 审计系统需要解决哪几方面问题3) 审计日志的分类和内容8.2 事件分析与追踪1) 事件分析包括哪些方法2) 地址追踪包括哪两类3) 假冒地址追踪有哪些方法8.3 数字取证1) 电子证据的概念2) 电子证据有哪些特征3) 电子取证有哪些原则4) 电子取证有哪些过程8.4 数字指纹与追踪码第9章主机系统安全技术1) 主机系统安全技术包括哪些内容9.1 操作系统安全技术1) 操作系统安全的需求包括哪些内容2) 当前操作系统安全技术包括哪些3) 分离是最典型的操作系统安全技术,分离技术包括哪些方面4) 最小特权原则和特权分离原则的概念5) 操作系统内核中最典型的安全模块是引用监控器9.2 数据库安全技术1) 典型数据库特色的安全需求包括哪些内容2) 数据完整性约束包括哪三个层次3) DBMS的完整性控制技术包括哪三个方面4) DBMS通过哪些方法支持对事务处理9.3 可信计算技术1) 可信计算平台需要满足哪些功能需求2) TCPA系统结构第10章网络系统安全技术10.1 OSI安全体系结构1) OSI七层参考模型2) 底层网络安全协议和安全组件的范围和作用3) OSI安全体系结构包括哪4个层次10.2 SSL/TLS协议1) TLS的结构和作用2) TLS记录协议的作用和处理发送数据的基本过程3) TLS握手协议的作用和一般执行步骤4) TLS采用单向认证的握手过程10.3 IPSec协议1) IPSec模式包含哪两种模式2) 安全关联SA的三元组标识10.4 电子商务安全与SET协议1) 基于SET的电子交易涉及哪些参与方2) SET提供对数据机密性和完整性的保护功能,也提供对商家和持卡人身份的验证功能3) 进行一次SET交易的基本过程第11章恶意代码检测与防范技术11.1 常见的恶意代码1) 恶意代码的概念2) 常见恶意代码包括哪些3) 恶意代码有哪些危害4) 恶意代码有哪些特征5) 计算机病毒的概念和区别于其他恶意代码的本质特征6) 计算机病毒的分类7) 蠕虫的概念8) 特洛伊木马的概念和区别于其他恶意代码的特点11.2 恶意代码机理1) 恶意代码的传播机制和感染机制有哪些11.3 恶意代码分析与检测1) 恶意代码检测常用方法有哪些以及各个方法的优缺点11.4 恶意代码清除与预防第12章内容安全技术12.1 内容安全的概念1) 内容安全的危害和需求体现在哪三个方面2) 内容安全技术的分类及概念(两种分类方法)3) 狭义内容安全的核心包括哪些方面12.2 文本过滤1) 最简单的文本过滤方法采用关键词查找2) 文本过滤系统包含哪三类技术12.3 话题发现和跟踪1) 话题发现和追踪的研究与开发集中在哪些方面12.4 内容安全分级监管1) 内容安全分级监管的概念及包括哪几个环节12.5 多媒体内容安全技术简介1) 被动多媒体内容安全技术和主动多媒体内容安全技术的概念第13章信息安全评测技术13.1 信息安全测评的发展1) 信息安全测评的概念2) 信息安全测评技术的概念13.2 信息安全验证与测试技术1) 形式化分析验证包括哪些方面2) 信息安全产品测试包括哪些技术3) 有效性测试、负荷测试、攻击测试、故障测试、一致性测试、兼容性测试的概念13.3 评估准则及其主要模型与方法1) 主要评估准则有哪些第14章信息安全管理技术14.1 信息安全规划1) 信息安全规划的概念2) 安全策略是信息安全规划中的核心组成部分,需要明确哪些问题14.2 信息安全风险评估1) 信息安全风险评估的概念和有哪三类风险评估方法2) 信息安全风险评估包括哪些步骤14.3 物理安全保障14.4 信息安全等级保护1) 信息安全等级保护管理办法将信息系统的安全保护划分为哪些级别14.5 ISO信息安全管理标准14.6 信息安全法规。
信息安全原理与实践-第二版06 高级密码分析
6.2.3 转子
• 转子的吸引力?
有可能通过一个简单的机电设备,以一种鲁棒的方式生成数量巨大的不同的置换。
• 例子:有4个字母的转子ABCD
• Enigma密码机就是其自身的逆,这就意味着,使用同样的机器,进行 完全相同的设置,就可以进行加密和解密
10
• 基于这种三个转子的框架,仅仅通过对这三个转子的64种配置状态执 行步进操作,就可以生成由字母ABCD所构成的64个置换的一个环。 • 并非所有这些置换都会是唯一的,因为对于4个字母ABCD来说,最多 只有24个不同的置换。 • 通过选择这些转子不同的初始化设置,能够生成不同的置换序列。 • 更进一步地,通过选择一个不同的转子集合(或者重新排列给定的转子 ),我们也能够生成置换的不同序列。对于某个单一转子来说,仅仅需 要将信号以相反的传递方向通过转子,就很容易从一系列的转子中得 到其逆置换。对于解密运算来说,逆置换是必须的。
19
6.3.2 RC4密码分析攻击
2000年,Fluhrer、Mantin和Shamir三人公布了一个针对WEP协议中 使用的RC4加密方案行之有效的攻击。
• 假设对于一个特定的消息,三个字节长的初始化向量的形式如下:
其中V可以是任意字节值。那么这三个字节的初始化向量IV将变成K0,K1,K2。
• •
每一个转子都实现了26个阿拉伯字母的一个置换。可移动环可以被设置 于对应字母的26个可能的位置中的任何一个。
8
•
转子的初始化:
每一个的初始化位置都可以设定为26个位置中的任何一个,因此,共有26· 26· 26 = 214.1种方式来初始化转子。
•
插头的初始化:
令F(p)是在插头中插入p条电缆的方式种类,则有
安徽专升本信息安全
第七章信息安全第一节系统与数据安全计算机信息系统是一个人机系统,基本组成有3部分:计算机实体、信息和人。
1.计算机信息安全内容实体安全(保护计算机设备)、信息安全(保密性、完整性、可用性、可控制)、运行安全(信息处理过程中的安全)、人员安全(安全意识、法律意识、安全技能等)2.计算机信息面临的威胁◆脆弱性:信息处理环节中存在不安全因素、计算机信息自身的脆弱性和其它不安全因素。
◆面临威胁:主要来自自然灾害构成的威胁、人为和偶然事故构成的威胁等◆易受到攻击:主动攻击和被动攻击例如:◆破坏信息可用性用户的数据文件被别有用心的人移到了其他目录中。
在这个事件中可用性被破坏,而其他安全性要素,即完整性、保密性没有受到侵犯。
◆破坏信息的完整性财务软件缺少记帐机制,而软件技术说明书中有这个控制机制,客户公司的会计利用此疏漏并参与一次大额可付账公款盗用。
此安全中软件缺少了完整性,因而不可靠,保密性没有被影响。
◆破坏信息的保密性某用户的一份机密文件被人拷贝。
此案例中用户的秘密被侵犯,而可用性、完整性没有影响。
3.计算机信息安全技术:计算机信息的安全体系,分7个层次:信息、安全软件、安全硬件、安全物理环境、法律规范纪律、职业道德和人。
4.计算机网络安全技术内容(1)网络加密技术(2)身份认证(3)防火墙技术(4)WEB网中的安全技术(5)虚拟专用网(PVN)5.使用计算机的注意事项(1)开机/关机: 开机先外设后主机;关机先主机后外设。
(2) 开机后,机器及各种设备不要随意搬动。
(3) 当磁盘驱动器处于读写状态时,相应的指示灯闪亮,此时不要抽出盘片,否则会将盘上数据破坏,甚至毁坏贵重的磁头(4) 硬盘的使用要尤为小心, 要注意防震(5) USB插口拔出U盘或移动硬盘时,应先正确执行删除硬件操作(6) 敲击键盘时,不要用力过猛(7) 使用鼠标时,保持桌面的平整和清洁6.数据的安全维护数据是一种重要的资源。
系统软件和应用软件也是以数据的形式存放在磁盘上。
信息安全 第三章
散列函数
摘要
加密算法
11
接收方对报文摘要的验证过程
报文文本 Hash算法 生成的摘要 考察是否相同
摘要明文
获得的 解密算法 摘要密文
用密钥解密
注:此处可用对称密码算法也可用公钥密码算法
12
四、报文加密函数
1、对称密码体制加密认证
设想发送者A用只有他与接收者B知道的密钥K加密信息 发送给接收者。因为A是除B以外惟一拥有密钥K的一方, 而敌手不知道如何改变密文来产生明文中所期望的变化, 因此B知道解密得到的明文是否被改变(是否乱码)。这 样对称加密就提供了消息认证功能。
13
2、公钥密码体制加密认证
为了提供认证,发送者A用私钥对信息的明文进 行加密,任意接收者都可以用A的公钥解密。 同样,敌手不知道如何改变密文来产生明文中所 期望的变化,因此B知道解密得到的明文是否被改变 (是否乱码)。这样公钥密码体制就提供了消息认证 功能。
14
实际应用过程中,考虑到数据加密 的代价较高,所以不直接使用这一方法 实现报文鉴别功能。 在实践中,使用最多的报文鉴别方 法是报文摘要技术。
27
六、两类数字签名体制
1、直接数字签名
直接数字签名仅涉及通信双方。 常用方法:使用公钥密码算法进行数字签名。假定 收方知道发方的公开密钥。数字签名通过使用发方的 私有密钥对整个消息进行加密或使用发方的私有密钥 对消息的散列码进行加密。接收方能够用该公钥解密 即可验证该密文肯定是拥有者所发,无法抵赖。 直接数字签名体制有一个缺点,即方案的有效性 依赖于发方私有密钥的安全性。如果发方随后想否认 发送过某个签名消息,发方可以声称签名的私钥丢失 或被盗用,并伪造了他的签名;如果A的私有密钥真 的被盗,盗用者便能够发送带有A的签名的消息,并 28 附加上盗用前的任何时刻作为时间戳。
网络安全03消息鉴别
使用对称密钥模式
发送方A
M
E
C
k
提供保密 提供鉴别
仅来自A 传输中未被更改
不提供签名
接收方B
D
M
k
使用对称密钥模式的问题
存在的问题
接收端怎样判断密文的合法性 接收端如何判断解密的结果是否正确
解密运算的本质是数学运算
原始消息对接收端是未知的 接收端可以得到 M’ = Dk(c) 怎么判断 M = M’
消息鉴别的作用
保护双方的数据交换不被其他人侵犯
基于双方共享的秘密 但是消息鉴别无法解决双方之间可能存在的争议
B伪造一个消息,声称是A发送的 B否认发送过某个消息,而A无法证明B撒谎
ቤተ መጻሕፍቲ ባይዱ
单纯鉴别系统的模型
攻击者
信源
鉴别 编码器
信道 安全信道
鉴别 密钥源
需要鉴别密钥,而且此密 钥一般不同于加密密钥
kUb
接收方B
E
C
kRb
D
M
kUa
提供保密:KUb 提供鉴别和签名:KRa
基于MAC的鉴别
基于MAC的鉴别
消息鉴别码(Message Authentication Code, MAC)
发送方采用一种类似于加密的算法和一个密钥,根据 消息内容计算生成一个固定大小的小数据块,并加入 到消息中,称为MAC。 MAC = fk(m) 需要鉴别密钥
发送方A
M M
MAC f()
密钥K’
提供消息鉴别
仅A和B共享密钥K’
接收方B
M
f()
MAC
比较
MAC的基本应用 2
发送方
M
M
E()
MAC
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
对数字签名来说,散列函数h是这样使用的:
消息: x 任意长 消息摘要: Z=h(x) 160bits
签名:y=sigk(Z) 320 bits (签名一个消息摘要)
验证签名:(x,y),其中y= sigk(h(x)) 使用公开的散列函数h, 重构
Z’=h(x) 然后检验Verk(Z,y),来看Z?=Z’
Hash码用于消息认证的各种方法
若既希望保证保密性又希望有数字签名,则先用发送方的私 钥对hash码加密,再用对称密码中的密钥对消息和上述加密 结果进行加密。这种技术比较常用。
消息摘要是报文中所有比特的函数值。 散列函数是单向函数,是消息认证码的一种变形。
Hash码用于消息认证的各种方法
用对称密码对消息及附加在其后的hash码加密。由于只有A 和B共享密钥,所以消息一定是来自A且未被修改过。hash 码提供了认证所需的结构或冗余,并且由于该方法是对整个 消息和hash码加密,所以也提供了保密性。
6.1 概述
5. 鉴别函数的分类
根据鉴别符的生成方式,鉴别函数可以分为以下几类:
基于报文加密方式的鉴别: 以整个报文的密文作为鉴别符。
报文鉴别码(MAC)方式。
散列函数方式: 采用一个公共散列函数,将任意长度的报文
映射为一个定长的散列值,并以散列值作为鉴别符。
6.2 基于报文加密方式的鉴别
1. 对称密钥加密方式 :加密的同时提供保密和鉴别。
对称密钥加密方式
问题:B如何判断收到的密文X的合法性?
如果消息M是具有某种语法特征的文本,或者M本身具有一
定的结构 :B可通过分析Y的语法或结构特征。
如果消息M是完全随机的二进制比特序列: B无法判断是否
正确恢复密文。
解决办法:强制明文使其具有某种结构。
6.1 概述
2.消息鉴别的必要性
网络通信的安全威胁
泄漏
消息的内容被泄漏没有合法权限的人或程序。
伪造
以假冒源点的身份向网络中插入报文; 例如,攻击者伪造消息发送给目的端,却声称该消息源来自一个
已授权的实体。
6.1 概述
2.消息鉴别的必要性
消息篡改
内容篡改:以插入、删除、调换或修改等方式篡改消息; 序号篡改:在依赖序号的通信协议中(如 TCP
2. MAC函数 Vs 加密函数
基于MAC消息鉴别方式其鉴别过程独立于加密和解密过程。
与基于加密的鉴别方式是不同的;
鉴别函数与保密函数的分离能提供结构上的灵活性。
MAC方式更适合不需要加密保护的数据的鉴别。
在某些应用中,鉴别报文的真实性比报文的保密性更重要。
3. 一种实用的MAC算法
若攻击者更改报文内容而未更改MAC,则接收者计算出的MAC将不同
于接收到的MAC;
由于攻击者不知道密钥K,故他不可能计算出一个与更改后报文相对应 MAC值。
接收者B也能够确信报文M是来自发送者A的 (真实性)
只有A了解密钥K,也只有A能够计算出报文M所对应的正确的MAC值。
报文鉴别码的功能
构成(16≤r≤64)。
r取大小可由通信双方约定。美国联邦电信建议采用24bit[见 FTSC-1026],而美国金融系统采用32bit [ABA,1986] 64bit寄存器
k
DES 选左边k位
选左边r位
As
xi
+
yi
利用工作于CFB模式下DES
6.3 散列函数报文鉴别
1. 散列函数
散列函数(Hash Function):哈希函数、摘要函数 若对相当长的文件通过签名认证怎么办?如一个合法文件有数 兆字节长,若按160比特分划成一块一块用相同的密钥独立地签 每一个块然而这样太慢。 解决办法引入可公开的密码散列函数(Hash function) 。它将取 任意长度的消息做自变量,结果产生规定长度的消息摘要, 如使用数字签名标准DSS 消息摘要为160比特, 然后签名消息 摘要。
这种结构易于识别、不能被复制,同明文相关,决办法例子:附加报文鉴别结构
附加报文鉴别结构
源点A
对消息明文M首先利用校验函数F 计算出消息的校验码 C=F(M); 校验码 C=F(M)被附加到原始消息明文上,生成新的明文
[M‖C];
利用密钥K对明文 [M‖C]进行加密,得到密文 X=EK [M‖C];
将密文X发送给接收端 B
附加报文鉴别结构
终点B
接收密文 X; 用密钥K解密得到明文Y=DK(X),其中Y被视为附加校验码的消息, 即 Y= [M′‖C′];
利用校验函数F 计算明文Y中消息部分的校验码F(M′)。若校验码相
匹配,即F(M′)=C′,则可确认报文是可信的,M′就是原始消息M, 并且可以确认该报文就是来自A的,因为任何随机的比特序列是不可 能具有这种期望的数学关系的。
设计MAC函数的要点
如果攻击者得到一个 M 及其对应的 MAC,那么他试图构造 一个消息 M’ 使得 MAC’ = MAC 在计算上应该是不可行的。 MAC 函数应是均匀分布的,即随机选择消息 M 和 M’, MAC = MAC’ 的概率应是 2-n,其中 n 是 MAC 的位数。 令 M’ 为 M 的某些已知变换,即:M’ = f (M),应保证在这 种情况下,MAC = MAC’ 的概率为 2-n。
第6讲
报文鉴别技术
1
6.1 概述
1. 报文鉴别(消息认证)的概念
报文鉴别(Message Authentication)
Message:消息、报文。
Authentication: 鉴别、认证。
鉴别:消息的接收者对消息进行的验证。
真实性:消息确实来自于其真正的发送者,而非假冒;
完整性:消息的内容没有被篡改。
6.1 概述
4. 报文鉴别系统的功能
从层次角度上来看,报文鉴别系统的功能一般可以划分成两个基本的层次。 鉴别算法:在较低的层次上,系统需要提供某种报文鉴别函数 f 来产
生一个用于实现报文鉴别的鉴别符或鉴别码;
鉴别协议:消息的接收者通过鉴别协议完成对报文合法性的鉴别,底 层的鉴别函数通常作为一个原语,为高层鉴别协议的各项功能提供服 务; 鉴别函数 f 是决定鉴别系统特性的主要因素。
2 .公开密钥加密方式 :提供报文鉴别和签名功能 ,不提供保 密功能。
M
E
EKUb(M)
D
M
M
E
EKRa(M)
D
M
M
E
EKRa(M)
E
EKUb(EKRa(M))
D
EKRa(M)
D
M
6.3 报文鉴别码(消息认证码)
另一种可行的消息鉴别技术是使用报文或消息鉴别码 (message authentication code,MAC):核心是一个类似 于加密的算法CK( )。
被鉴别的报文数据被划分为连续的64比特的分段:X1,X2,…,XN 。
若必要,需用 0来填充XN的右边,以形成 64 比特的数据块。 数据鉴别代码(DAC)的计算方式如下: Y0 = 0 Yi = EK ( Xi + Yi-1 ) i = 1, 2, … , N ,K为56位的密钥
数据鉴别代码(DAC)就可用算法的最终输出YN或YN最左边的r比特
Hash码用于消息认证的各种方法
用对称密码仅对hash加密。hash函数和加密函数的合成函数 即是MAC。也就是说EK[H(M)]是变长消息M和密钥K的函数, 它产生定长的输出值,若攻击者不知道密钥,则他无法得出 这个值。
Hash码用于消息认证的各种方法
用公钥密码和发送方的私钥仅对hash码加密,这种方法可提 供认证,由于只有发送方可以产生加密后的hash码,所以也 提供了数字签名。
4. 基于DES的报文鉴别码
有两种基于DES的认证算法,一种按CFB模式,一种按CBC 模式运行。在CBC模式下,消息按64bit分组,不足时以0补 齐,送入DES系统加密,但不输入密文,只取加密结果最左 边的r位作为认证符。
基于DES的报文鉴别码
采用密码分组链接(CBC)方式的DES迭代算法,以0为初始化值。 具体过程:
十进制移位加MAC算法
第 P1=9359354506
+ x2=5283586900
Q1=8217882178
+ x2=5283586900
二
轮
P1+x2=4642941406
Q1+x2=3501469078
+R(8)(P1+x2)=4294140646 +R(9)(Q1+x2)=5014690783 P2=8937082052 …. …. Q2=8516159861
十进制移位加MAC算法
第 十 P10=7869031447 Q10=3408472104 P10+Q10=1277403551 (mod 1010)
轮
403551
+ 1277
认证符404828 (mod 1010)
将第二组消息x2=528358586900分别与P1和Q1相加其结果又分别以P1和Q1 的第一位控制循环移位后进行相加得到P2和Q2 依此类推直至进行十轮后 得P10和Q10计算P10+Q10 (mod 1010),并将结果的后6位数与前4位数在(mod 1010)下相加得6位认证符。
十进制移位加MAC算法
先算x1+b1, x1+b2(mod 1010), 接着根据b2的第一位数值4对 x1+b1循环右移4位记作R(4)(x1+b1),再与(x1+b1)相加得 R(4)(x1+b1)+(x1+b1)≡P1(mod 1010) 类似地右路在b1的第一位数值5控制下运算结果为 R(5)(x1+b2)+(x1+b2)=Q1(mod 1010)