消息认证技术知识概述PPT(25张)
合集下载
消息认证与消息完整性(ppt 27页)PPT学习课件
第3章 信息认证技术
安全机 制
消息完整性机制
M信认主|息证要|H认 系 机(M证统制安|用设包|S)来计括全保者:服护的加通任密务信务、双是数提方构字供免造签鉴受好名加别任的、何认认S密为第证证A三码码,方(、B共的序A数签u享攻列th字名e击完n,整tica性数ti、o访 控字n身签Co问 制份名de认除)证了,等数可使整。以接据防收性止者完第受三骗方概鉴 交攻率击极别 换还小用化来。业防填止务通充信流双方的互路控相由制攻击。 公证
认证技术包括对消息完整性的认证和身份认证。
(1)在签名、加密之前,给数据附加一个完整性序列号
认证服务 Y EKRc[IDA|| M || EKRa[IDx|| H(M)] || T]
散列函数的基本用法:
Y
-
-
Y
-
-
-
产生认证码的函数归结为:
(1)在签名、加密之前,给数据附加一个完整性序列号
访问控制服务 - - Y - - - 消息的散列值由只有通信双方知道的秘密密钥K来控制。
3.2.3消息认证
a) M||CK(M) b) EK2[M||CK1(M) ]
提供鉴别 K仅A,B共享; 提供鉴别 K1仅A,B共享; 提供保密 K2仅A,B共享
c) EK2 [M]||CK1(EK2 [M]) 提供鉴别 K1仅A,B共享; 提供保密 K2仅A,B共享;
3.2.3消息认证
1) 消息认证码 基于分组密码算法的MAC
认证协议
消息完整性认证机制
某种函数产生认证码
用于鉴别消息的值
3.2.3 消息认证
认证系统设计者的任务是构造好的 认证码(Authentication Code),使 接收者受骗概率极小化。
消息认证技术知识概述PPT(25张)
4.2 消息认证码
1. 消息认证 认证码被附加到消息后以M||MAC方式一并发送,收方通过重
新计算MAC以实现对M的认证。如图所示。
假定收、发双方共享密钥k,如果收到的MAC与计算得出的 MAC一致,那么可以得出如下结论:
① 接收方确信消息M未被篡改。此为完整性验证。 ② 接收方确信消息来自所声称的发送者,因为没有其他人知道
•
9、别再去抱怨身边人善变,多懂一些道理,明白一些事理,毕竟每个人都是越活越现实。
•
10、山有封顶,还有彼岸,慢慢长途,终有回转,余味苦涩,终有回甘。
•
11、人生就像是一个马尔可夫链,你的未来取决于你当下正在做的事,而无关于过去做完的事。
•
12、女人,要么有美貌,要么有智慧,如果两者你都不占绝对优势,那你就选择善良。
4.1 Hash函数
弱抗碰撞性保证对于一个消息M及其Hash值,无法 找到一个替代消息M’ ,使它的Hash值与给定的 Hash值相同。这条性质可用于防止伪造。
强抗碰撞性对于消息Hash函数的安全性要求更高, 这条性质保证了对生日攻击的防御能力。
碰撞性是指对于两个不同的消息M和M’ ,如果它们 的摘要值相同,则发生了碰撞。虽然可能的消息是 无限的,但可能的摘要值却是有限的。因此,不同 的消息可能会产生同一摘要,碰撞是可能存在的。 但是, Hash函数要求用户不能按既定需要找到一个 碰撞,意外的碰撞更是不太可能的。显然,从安全 性的角度来看,Hash函数输出的比特越长,抗碰撞 的安全强度越大。
4.2 消息认证码
消息认证具有两层含义:一是检验消息的来源是真实的,即对 消息的发送者的身份进行认证;二是检验消息是完整的,即验 证消息在传送或存储过程中未被篡改、删除或插入等。
第5章信息认证技术-1PPT课件
强抗碰撞性: 1.h的输入x可以是任意消息或文件M。 2.h的输出长度是固定的。给定h和M计算h(M)
是容易的。 3.给定h,找两个M1和M2使得h(M1)=h(M2)是
计算上不可行的
弱抗碰撞性:h(M1)=h(M2)是计算上可行的
-
10
第五章 信息认证技术
• 网络环境中的攻击(认证的需求)
– 1.泄漏 – 2.通信量分析 – 3.伪装(假报文) – 4.内容篡改(插入,删除,调换和修改) – 5.序号篡改(报文序号的修改) – 6.计时篡改(报文延迟或回放) – 7.抵赖(否认收或发某报文)
访问服务控制的重要支撑、信息源认证的可能 方法、责任人认定的依据
第五章 信息认证技术
第二节 身份认证 个人身份验证方法可以分成四种类型:
1. 验证他知道什么(密码、口令) 2. 验证他拥有什么(身份证、护照) 3. 验证他的生物特征(指纹、虹膜) 4. 验证他的下意识动作的结果(笔迹)
第五章 信息认证技术
①当M′≠M时,有SIG(M′K)≠SIG(M,K), 即S≠S′;
②签名S只能由签名者产生,否则别人便可 伪造,于是签名者也就可以抵赖;
第五章 信息认证技术
第三节 数字签名
一、数字签名的概念
③收信者可以验证签名S的真伪。这使得当 签名S为假时收信者不致上当,当签名S为真 时又可阻止签名者的抵赖;
-
2
消息摘要的主要特点
②消息摘要看起来是“随机的”。这些比特看 上去是胡乱的杂凑在一起的。
但是,一个摘要并不是真正随机的,因为用相同 的算法对相同的消息求两次摘要,其结果必然相 同;而若是真正随机的,则无论如何都是无法重 现的。因此消息摘要是“伪随机的”。
-
第5讲 消息认证
十进制移位加MAC算法
第 P1=9359354506
+ x2=5283586900
Q1=8217882178
+ x2=5283586900
二
轮
P1+x2=4642941406
Q1+x2=3501469078
+R(8)(P1+x2)=4294140646 +R(9)(Q1+x2)=5014690783 P2=8937082052 …. …. Q2=8516159861
第5讲
消息认证
1
5.1 基本概念
1. 报文鉴别(消息认证)的概念
消息认证(Message Authentication)
Message:消息、报文。
Authentication: 鉴别、认证。
认证:消息的接收者对消息进行的验证。
真实性:消息确实来自于其真正的发送者,而非假冒;
完整性:消息的内容没有被篡改。
设计MAC函数的要点
如果攻击者得到一个 M 及其对应的 MAC,那么他试图构造 一个消息 M’ 使得 MAC’ = MAC 在计算上应该是不可行的。 MAC 函数应是均匀分布的,即随机选择消息 M 和 M’, MAC = MAC’ 的概率应是 2-n,其中 n 是 MAC 的位数。 令 M’ 为 M 的某些已知变换,即:M’ = f (M),应保证在这 种情况下,MAC = MAC’ 的概率为 2-n。
MAC = CK(M)
MAC被附加在消息中传输,用于消息的合法性鉴别。
消息认证码用于认证
K MAC M C C
A和B共享密钥K A计算MAC=Ck(M),
比较
MAC
消息认证和杂凑函数课件
MAC算法的安全性基于哈希函数的不可逆性和加密 算法的强度。
MAC算法可以防止消息被篡改、伪造和重放攻击, 因为任何对消息的修改都会导致MAC标签验证失败 。
04
杂凑函数的实现
Hale Waihona Puke MD5杂凑算法摘要长度
MD5算法生成的摘要长度 为128位。
输入
MD5算法的输入为一个消 息。
处理过程
MD5算法首先将消息填充 至长度为512位,然后通 过一系列的压缩函数和模 运算,最终得到128位的 消息摘要。
THANK YOU
感谢观看
密码存储
杂凑函数可以将密码转化为固定 长度的摘要值,方便存储和比较
,同时保护密码的安全性。
数据完整性校验
杂凑函数可以用于数据完整性校 验,通过计算数据的哈希值并与 事先存储的哈希值进行比较,判
断数据是否被篡改。
数字签名
杂凑函数可以用于生成数字签名 ,用于鉴别消息的发送者身份并
防止消息被篡改。
消息认证和杂凑函数在物联网中的应用
03
消息认证码的生成
MAC算法的原理
消息认证码(MAC)是一种基于密钥的认证方法,用于验证消息的完整 性和真实性。
MAC算法基于哈希函数和对称加密算法,其中哈希函数用于生成固定长 度的摘要,对称加密算法用于加密消息和MAC标签。
MAC算法原理包括三个主要步骤:密钥生成、消息处理和MAC标签验证 。
应用
MD5广泛应用于数据完整 性验证和密码存储等领域 。
SHA-1杂凑算法
摘要长度 SHA-1算法生成的摘要长度为 160位。
应用 SHA-1广泛应用于数据完整性验 证和密码存储等领域,且在安全 性上比MD5更高。
输入 SHA-1算法的输入为一个消息。
《信息认证技术》PPT课件
通常有三种方法验证主体身份。
1)是只有该主体了解的秘密,如口令、密钥;
2)是主体携带的物品,如智能卡和令牌卡;
3)是只有该主体具有的独一无二的特征或能 力,如指纹、声音、视网膜图或签字等。 单独用一种方法进行认证不充分
第5讲 认证
身份认证系统架构包含三项主要组成元件:
认证服务器(Authentication Server)
第5讲 认证
认证信息截取/重放(Record/Replay) 有的系统会将认证信息进 行简单加密后进行传输,如果攻击者无法用第一种方式推算 出密码,可以使用截取/重放方式。攻击者仍可以采用离线方 式对口令密文实施字典攻击;
对付重放的方法有:
1在认证交换中使用一个序数来给每一个消息报文编号 ,仅当 收到的消息序号合法时才接受之;
第5讲 认证
4)主体特征认证
目前已有的设备包括:视网膜扫描仪、声音验 证设备、手型识别器等。安全性高。
例如:系统中存储了他的指纹,他接入网络时, 就必须在连接到网络的电子指纹机上提供他的 指纹(这就防止他以假的指纹或其它电子信息 欺骗系统),只有指纹相符才允许他访问系统。 更普通的是通过视网膜膜血管分布图来识别, 原理与指纹识别相同,声波纹识别也是商业系 统采用的一种识别方式。
否认 伪造 篡改 冒充
数字签名实现方式
Hash签名
通过一个单向函数(Hash)对要传送的报文进行处理, 用以认证报文来源。
公钥签名技术
用户使用自己的私钥对原始数据的哈希摘要进行加密, 接受者使用公钥进行解密,与摘要进行匹配以确定消 息的来源。
对称加密算法进行数字签名
Hash函数 单密钥 实现简单性能好 安全性低
4.不要暴露账户是否存在的信息 例:打入一个用户名后,不论账户是否存
06密码学基础(五)消息认证和数字签名PPT课件
MAC算法的要求
条件:
➢ 攻击者知道MAC函数但不知道密钥K
要求:
➢ 已知M和CK(M),要想构造M使得CK(M)=CK(M)在 计算上不可行 (计算上无碰撞)
➢ CK(M)均匀分布:随机选择M和M, Pr[CK(M) = CK(M)]=2-|MAC|
➢ f是M的一个变换(例如对某些位取反),那么, Pr[CK(M)= CK(f(M))]=2-|MAC|
对于任何选定的编码规则,则(相应于某一特定密钥) :发方从Y中选出用来代表消息的许用序列,即码字
收方根据编码规则唯一地确定出发方按此规则向他传 来的消息。
窜扰者由于不知道密钥,因而所伪造的假码字多是Y 中的禁用序列,收方将以很高的概率将其检测出来, 而被拒绝认证
系统设计者的任务是构造好的认证码 (Authentication Code),使接收者受骗概率极小化
y得*∈到A一k个, 以合使法接的收消者息收x*到,y*这后样,窜可扰用者密欺钥诈k解成密功 。 窜扰者虽然知道X,Y,y,A(.,.),但不知具体密码k
关于MAC算法
MAC不等于数字签名
➢ 因为通讯双方共享同一个密钥
MAC有固定的长度
MAC结构的重要性,例如,密钥足够长+加密 算法足够好安全
通信双方是用户A为发信方,用户B为接收方, 用户B接收到信息后,通过解密来判决信息是 否来自A、 信息是否是完整的、有无窜扰。
常规加密
公钥加密
私钥加密
公私钥加密
公(私d)公钥私加钥密加密:机:机密密性性,,可可认认证和证签和名签名
消息认证码(MAC)
简介: 设S为通信中的发方A发送的所有可能的信源集
保密和认证同时是信息系统安全的两个方面,但它们 是两个不同属性的问题。认证不能自动提供保密性, 而保密性也不能自然提供认证功能(能同时实现吗)
第5章消息认证087-资料
2. 接收方可以相信消息的确来自确定的发送方。因为其他人 不能生成和原始消息相应的MAC。
2019/11/7
16
MAC函数与加密函数的区别
MAC函数与加密函数类似,都需要明文、密钥和 算法的参与。
但MAC算法不要求可逆性,而加密算法必须是可 逆的。
例如:使用100比特的消息和10比特的MAC,那 么总共有2100个不同的消息,但仅有210个不同的 MAC。也就是说,平均每290个消息使用的MAC是 相同的。
M
M
C
CK (M )
K
K
A和B共享密钥K
C
MAC A计算MAC=Ck(M),
比较
M和MAC一起发送 到B
MAC
B对收到的M,计算 MAC,比较两个
MAC是否相同。
如果两个MAC相等,则:
1. 接收方可以相信消息未被修改,因为如果攻击者改变了消 息,由于不知道k,无法生成正确的MAC。
C
B
比较
K1
A和B共享K1和K2 K1:用于生成MAC K2:用于加密
与明文有关的认证
2019/11/7
18
消息认证码的基本用途
提供消息认证和保密性:
K2
AM
E
||
C
D
C
B
比较 K2
K1
K1
CK1[EK2 (M)]
A和B共享K1和K2 K1:用于生成MAC K2:用于加密
与密文有关的认证
2019/11/7
2019/11/7
8
1 消息加密---在对)
由于攻击者不知道密钥K,他也就不知道如何改变密文中的 信息位才能在明文中产生预期的改变。
接收方可以根据解密后的明文是否具有合理的语法结构来进 行消息认证。
2019/11/7
16
MAC函数与加密函数的区别
MAC函数与加密函数类似,都需要明文、密钥和 算法的参与。
但MAC算法不要求可逆性,而加密算法必须是可 逆的。
例如:使用100比特的消息和10比特的MAC,那 么总共有2100个不同的消息,但仅有210个不同的 MAC。也就是说,平均每290个消息使用的MAC是 相同的。
M
M
C
CK (M )
K
K
A和B共享密钥K
C
MAC A计算MAC=Ck(M),
比较
M和MAC一起发送 到B
MAC
B对收到的M,计算 MAC,比较两个
MAC是否相同。
如果两个MAC相等,则:
1. 接收方可以相信消息未被修改,因为如果攻击者改变了消 息,由于不知道k,无法生成正确的MAC。
C
B
比较
K1
A和B共享K1和K2 K1:用于生成MAC K2:用于加密
与明文有关的认证
2019/11/7
18
消息认证码的基本用途
提供消息认证和保密性:
K2
AM
E
||
C
D
C
B
比较 K2
K1
K1
CK1[EK2 (M)]
A和B共享K1和K2 K1:用于生成MAC K2:用于加密
与密文有关的认证
2019/11/7
2019/11/7
8
1 消息加密---在对)
由于攻击者不知道密钥K,他也就不知道如何改变密文中的 信息位才能在明文中产生预期的改变。
接收方可以根据解密后的明文是否具有合理的语法结构来进 行消息认证。
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
4.2 消息认证码
1. 消息认证 认证码被附加到消息后以M||MAC方式一并发送,收方通过重
新计算MAC以实现对M的认证。如图所示。
假定收、发双方共享密钥k,如果收到的MAC与计算得出的 MAC一致,那么可以得出如下结论:
① 接收方确信消息M未被篡改。此为完整性验证。 ② 接收方确信消息来自所声称的发送者,因为没有其他人知道
4.1 Hash函数
弱抗碰撞性保证对于一个消息M及其Hash值,无法 找到一个替代消息M’ ,使它的Hash值与给定的 Hash值相同。这条性质可用于防止伪造。
强抗碰撞性对于消息Hash函数的安全性要求更高, 这条性质保证了对生日攻击的防御能力。
碰撞性是指对于两个不同的消息M和M’ ,如果它们 的摘要值相同,则发生了碰撞。虽然可能的消息是 无限的,但可能的摘要值却是有限的。因此,不同 的消息可能会产生同一摘要,碰撞是可能存在的。 但是, Hash函数要求用户不能按既定需要找到一个 碰撞,意外的碰撞更是不太可能的。显然,从安全 性的角度来看,Hash函数输出的比特越长,抗碰撞 的安全强度越大。
第4讲 消息认证技术
Hash函数 消息认证码 MD5算法 SHA-1算法 Hash函数的攻击分析
4.1 Hash函数
4.1.1 一个简单的Hash函数 4.1.2 完整性检验一般方法
4.1 Hash函数
Hash函数,就是将一种任意长度的消息压缩成某一 固定长度的消息摘要的函数,又称消息摘要函数, 散列函数或杂凑函数,记为:h=H(M) 。我们把 Hash值 称为输入数据M的“数字指纹”。
Hash函数的这种单向性特征和输出数据长度固定的 特征使得它可以用于检验消息的完整性是否遭到破 坏。
4.1 Hash函数
用作消息认证的Hash函数具有如下一些性质: (1) 消息M可以是任意长度的数据。 (2) 给定消息M,计算它的Hash值 h=H(M) 是很容易
的。 (3) 任意给定 h,则很难找到M使得h=H(M) ,即给
4.2 消息认证码
消息认证具有两层含义:一是检验消息的来源是真实的,即对 消息的发送者的身份进行认证;二是检验消息是完整的,即验 证消息在传送或存储过程中未被篡改、删除或插入等。
当需要进行消息认证时,仅有消息作为输入是不够的,需要加 入密钥k,这就是消息认证的原理。能否认证,关键在于信息 发送者或信息提供者是否拥有密钥k。
出Hash值,要求输入M在计算上是不可行的,即运 算过程是不可逆的,这种性质称为函数的单向性。 (4) 给定消息M和其Hash值H(M) ,要找到另一个 M’ ,且M ≠M’,使得H(M) =H(M’)在计算上是不可行的 ,这条性质被称为抗弱碰撞性。 (5) 对于任意两个不同的消息 M ≠M’ ,它们的摘要值 不可能相同,这条性质被称为抗强碰撞性。
4.1.1 一个简单的Hash函数
一个例外的情况是,若消息出错,而摘要值仍然不变的概率 为 2n 。当n充分大时,出错的概率或者说消息被篡改的概率非 常小,视为2n小概率事件,忽略不计。
4.1.2 完整性检验一般方法
消息完整性检验的一般机制如图所示。无论是存储文件还是传 输文件,都需要同时存储或发送该文件的数字指纹;验证时, 对于实际得到的文件重新产生其数字指纹,再与原数字指纹对 比,如果一致,则说明文件是完整的。否则,是不完整的。
消息认证码(Message Authentication Code,MAC)通常表示为 MAC=CK(M)
其中M是可变长的消息,K是收发双方共享的密钥,函数值 CK(M)是定长的认证码,也称为密码校验和。MAC就是带密钥 的消息摘要函数,其实就是一种带密钥的数字指纹,它与不带 密钥的数字指纹是有本质区别的。
4.2 消息认证码
3. 密文认证 改变(2)中加密的位置,得到另外一种消息保密与认证方式,如
图所示。该种处理方式先对消息进行加密,然后再对密文计算 MAC,传送Ek2(M)||Ck1(Ek2(M))给接收方。接收方先对收到的 密文进行认证,认证成功后,再解密。
4.3 MD5算法
MD表示消息摘要(Message Digest,简记为MD),MD5以512 比特一块的方式处理输入的消息文本,每个块又划分为16个32 比特的子块。算法的输出是由4个32比特的块组成,将它们级 联成一个128比特的摘要值。MD5算法如图所示,包括以下几 个步骤。
4.3 MD5算法
(1) 填充消息使其长度正好为512位的整数倍L
首先在消息的末尾处附上64比特的消息长度的二进制表示,大 小为 ,n表示消息长度。然后在消息后面填充一个“1”和多 个“0”,填充后的消息恰好是512比特的整倍长L。Y0,Y1, …,YL-1表示不同的512比特长的消息块,用M[0],M[1],…, M[N-1]表示各个Yq中按32比特分组的字,N一定是16的整数 倍。
上一循环的输出作为下一循环的输入,直到处理完YL-1为止。 消息块Yq的处理,以当前的512位数据块Yq和128位缓冲值A,
B,C,D作为输入,并修改缓冲值的内容。消息块的处理包含 4轮操作,每一轮由16次迭代操作组成,上一轮的输出作为下 一轮的输入,如图所示。
(2) 初始化缓冲区
算法中使用了128位的缓冲区,每个缓冲区由4个32比特的寄存 器A,B,C,D组成,先把这4个寄存器初始化为:
A=01 23 45 67
B=89 AB CD EF
C=FE DC BA 98
D=76 54 处理512位消息块Yq,进入主循环 主循环的次数正好是消息中512位的块的数目L。先从Y0开始,
这个共享密钥,其他人也就不可能为消息M附加合适的MAC。 此为消息源验证。
4.2 消息认证码
2. 消息认证与保密 在(1)中,消息以明文方式传送,这一过程只提供认证而不具备
保密性。如图4-2-2所示提供一种即加密又认证的方式,发送方 发送Ek2[M||Ck1(M)]。该种处理方式除具备(1)的功能外,还具 有保密性。