03 - 消息鑒別1

1、網(wǎng)絡(luò)安全,消息鑒別,回顧與總結(jié),? 對(duì)稱密碼算法– 運(yùn)算速度快、密鑰短、多種用途（隨機(jī)數(shù)產(chǎn)生、Hash函數(shù)）、歷史悠久– 密鑰管理困難（分發(fā)、更換）? 非對(duì)稱密碼算法– 只需保管私鑰、可以相當(dāng)長的時(shí)間保持不變、需要的數(shù)目較小– 運(yùn)算速度慢、密鑰尺寸大、歷史短,安全的信息交換應(yīng)滿足的性質(zhì),? 保密性（ Confidentiality）? 完整性（Integrity）– 數(shù)據(jù)完整性，未被未授權(quán)篡改或者損壞– 系統(tǒng)完整性，

2、系統(tǒng)未被非授權(quán)操縱，按既定的功能運(yùn)行? 可用性（Availability）? 鑒別（Authenticity）– 實(shí)體身份的鑒別，適用于用戶、進(jìn)程、系統(tǒng)、信息等? 不可否認(rèn)性（ Non-repudiation）– 防止源點(diǎn)或終點(diǎn)的抵賴,消息鑒別的概念,消息鑒別（Message Authentication）消息認(rèn)證、報(bào)文認(rèn)證、報(bào)文鑒別鑒別：消息接收者對(duì)消息進(jìn)行的驗(yàn)證，是一個(gè)證實(shí)收到的消息來自可信的源點(diǎn)且未被篡改的過程真實(shí)

3、性：消息確實(shí)來自于真正的發(fā)送者，而非假冒完整性：消息內(nèi)容沒有被篡改、重放或延遲,消息鑒別的必要性,網(wǎng)絡(luò)通信的安全威脅泄漏消息內(nèi)容被泄漏給非授權(quán)用戶偽造假冒源點(diǎn)的身份向網(wǎng)絡(luò)中插入消息消息篡改內(nèi)容篡改：插入、刪除、修改等序號(hào)篡改：在依賴序號(hào)的協(xié)議如TCP中，對(duì)消息序號(hào)進(jìn)行篡改，包括插入、刪除、重排等時(shí)間篡改：對(duì)消息進(jìn)行延遲或重放行為抵抗發(fā)送方否認(rèn)發(fā)送某個(gè)消息，或接收方否認(rèn)接收某個(gè)消息,消息鑒別的作用,保護(hù)雙方的數(shù)據(jù)交換

4、不被其他人侵犯基于雙方共享的秘密但是消息鑒別無法解決雙方之間可能存在的爭議B偽造一個(gè)消息，聲稱是A發(fā)送的B否認(rèn)發(fā)送過某個(gè)消息，而A無法證明B撒謊,單純鑒別系統(tǒng)的模型,,,,,,,,,,,,,,,,,,,安全信道,信道,信源,鑒 別編碼器,鑒 別密鑰源,攻擊者,鑒 別解碼器,信宿,需要鑒別密鑰，而且此密鑰一般不同于加密密鑰,消息鑒別系統(tǒng)的構(gòu)成,認(rèn)證算法：底層實(shí)現(xiàn)的一項(xiàng)基本功能認(rèn)證功能要求底層必須實(shí)現(xiàn)某種能生成認(rèn)證標(biāo)識(shí)的算法

5、認(rèn)證標(biāo)識(shí)（鑒別符）是一個(gè)用于消息鑒別的特征值認(rèn)證標(biāo)識(shí)的生成算法用一個(gè)生成函數(shù)f來實(shí)現(xiàn)，稱為鑒別函數(shù)認(rèn)證協(xié)議接收方用該協(xié)議來完成消息合法性鑒別的操作認(rèn)證協(xié)議調(diào)用底層的認(rèn)證算法（鑒別函數(shù)），來驗(yàn)證消息的真實(shí)性鑒別函數(shù)f是決定認(rèn)證（鑒別）系統(tǒng)特性的主要因素,認(rèn)證協(xié)議,,,算法：鑒別函數(shù),高層認(rèn)證協(xié)議,消息鑒別系統(tǒng)的分類,可根據(jù)鑒別函數(shù)的特性分類根據(jù)鑒別符的生成方式，鑒別函數(shù)可以分成以下幾類：基于消息加密方式的鑒別以整個(gè)消息的

6、密文作為鑒別符基于消息鑒別碼（MAC）的鑒別方式發(fā)送方利用公開函數(shù)+密鑰產(chǎn)生一個(gè)固定長度的值作為鑒別標(biāo)識(shí)，并與消息一同發(fā)送基于Hash函數(shù)的鑒別方式采用hash函數(shù)將任意長度的消息映射為一個(gè)定長的散列值，以此散列值為鑒別碼可以認(rèn)為是MAC方式的一種特例,基于消息加密方式的鑒別,基于消息加密方式的鑒別,以整個(gè)消息的密文為鑒別符加密模式對(duì)稱密鑰模式公開密鑰模式接收端鑒別的實(shí)現(xiàn)基于這樣的假設(shè)：接收端能夠正確地對(duì)密文解密，

7、就可以確定消息是完整的，而且是來自于真實(shí)的發(fā)送方，從而實(shí)現(xiàn)了對(duì)消息的鑒別,使用對(duì)稱密鑰模式,提供保密提供鑒別僅來自A傳輸中未被更改不提供簽名,,M,,C,,M,,E,,D,,,,,,,k,k,發(fā)送方A,接收方B,使用對(duì)稱密鑰模式的問題,存在的問題（假設(shè)明文本身就是亂碼）接收端怎樣判斷密文的合法性接收端如何判斷解密的結(jié)果是否正確解密運(yùn)算的本質(zhì)是數(shù)學(xué)運(yùn)算原始消息對(duì)接收端是未知的接收端可以得到 M’ = Dk(c)怎么判斷

8、 M = M’解決方法：強(qiáng)制明文具有某種結(jié)構(gòu)，并且不通過加密函數(shù)是不能復(fù)制這種結(jié)構(gòu)。,解決方法,加入錯(cuò)誤檢測碼內(nèi)部錯(cuò)誤控制（圖4-4a）先執(zhí)行錯(cuò)誤檢測碼函數(shù)再執(zhí)行加密函數(shù)錯(cuò)誤檢測碼被包含在密文中外部錯(cuò)誤控制（圖4-4b）先執(zhí)行加密函數(shù)再執(zhí)行錯(cuò)誤檢測碼函數(shù)錯(cuò)誤檢測碼未被包含在密文中,,,使用公鑰加密體制 1,提供保密不提供鑒別和簽名,,M,,C,,M,,E,,D,,,,,,,kUb,kRb,發(fā)送方A,接收方B,使用公鑰

9、加密體制 2,不提供保密提供鑒別與簽名僅A有KRa可以加密傳輸中未被更改,,M,,C,,M,,E,,D,,,,,,,kRa,kUa,發(fā)送方A,接收方B,使用公鑰加密體制 3,提供保密：KUb提供鑒別和簽名:KRa,,M,,C,,M,,E,,D,,,,,,,kRa,kUa,發(fā)送方A,接收方B,,C’,,E,,,,kUb,,,C,,E,,,kRb,歸納,對(duì)稱加密提供保密性。只有A和B共享提供鑒別。只能發(fā)自A不提供簽名。接收方可

10、以偽造，發(fā)送方可以否認(rèn)消息公鑰加密只提供保密。只有B擁有私鑰只提供鑒別和簽名。只有A擁有私鑰提供保密以及鑒別和簽名。A私鑰+B公鑰——B私鑰+A公鑰,基于MAC的鑒別,基于MAC的鑒別,消息鑒別碼（Message Authentication Code, MAC）發(fā)送方采用一種類似于加密的算法和一個(gè)密鑰，根據(jù)消息內(nèi)容計(jì)算生成一個(gè)固定大小的小數(shù)據(jù)塊，并加入到消息中，稱為MAC。MAC = fk(m)需要鑒別密鑰核心是類似

11、于加密算法的鑒別碼生成算法MAC被附加在消息中，用于消息的合法性鑒別功能接收者可以確信消息M未被改變接收者可以確信消息來自所聲稱的發(fā)送者,消息鑒別碼的基本原理,,,,,,,,,,,,,,,,,,,M,M,M,,MAC,,MAC,f(),f(),比較,,,密鑰K,密鑰K,認(rèn)證結(jié)果,信道,雙方共享鑒別密鑰 k,,發(fā)送方,接收方,MAC的基本應(yīng)用 1,提供消息鑒別僅A和B共享密鑰K’,,,,,,,,,,,,,,M,M,,MAC,f(

12、),比較,,密鑰K’,,f(),,發(fā)送方A,接收方B,,M,,MAC,,,MAC的基本應(yīng)用 2,,,,,,,,,,,,,M,M,,MAC,f(),D(),比較,,密鑰K,,,E(),,密鑰K,密鑰K’,,M,,MAC,,,f(),,,密文,,發(fā)送方,接收方,,,,,提供保密只有A和B共享k提供鑒別只有A和B共享k’,1、先計(jì)算MAC再加密2、K是加密密鑰3、K’是認(rèn)證密鑰,MAC的應(yīng)用 3,,,,,,,,,,,,,,密文,M,

13、,MAC,f(),f(),比較,,,密鑰K’,,E(),,密鑰K,密鑰K’,,,,密文,,,,+,,,,,D(),密鑰K,,M,,1、先加密再計(jì)算MAC2、K是加密密鑰3、K’是認(rèn)證密鑰,發(fā)送方,接收方,,提供保密只有A和B共享k提供鑒別只有A和B共享k’,,? 保密性與真實(shí)性是兩個(gè)不同的概念–根本上,信息加密提供的是保密性而非真實(shí)性–加密代價(jià)大(公鑰算法代價(jià)更大)? 鑒別函數(shù)與保密函數(shù)的分離能提供功能上的靈活性?

14、某些信息只需要真實(shí)性,不需要保密性–廣播的信息難以使用加密(信息量大)–網(wǎng)絡(luò)管理信息等只需要真實(shí)性–政府/權(quán)威部門的公告,MAC函數(shù)的特點(diǎn),MAC函數(shù)類似于加密函數(shù)，需要密鑰MAC函數(shù)無需可逆，可以是單向函數(shù)使得MAC函數(shù)更不易被破解MAC函數(shù)不能提供對(duì)消息的保密（常用在只需要鑒別的應(yīng)用中）保密性通過對(duì)消息加密而獲得需要兩個(gè)獨(dú)立密鑰兩種方式：先計(jì)算MAC再加密先加密再計(jì)算MAC基于MAC的鑒別過程獨(dú)立于加、解密過

15、程可以用于不需加密保護(hù)的數(shù)據(jù)的鑒別MAC方法不能提供數(shù)字簽名功能（為什么？）所以無法防止對(duì)方的欺騙,MAC函數(shù)的安全性分析,MAC函數(shù)的特點(diǎn)多對(duì)一映射對(duì)同一個(gè)M，存在多個(gè)key產(chǎn)生相同的MACKey相同，存在多個(gè)M產(chǎn)生相同的MACn-bit MAC: 2n個(gè)可能的MACK-bit密鑰： 2k個(gè)可能的密鑰N個(gè)可能的消息：N >> 2n一般情況下，n < kMAC函數(shù)的安全性主要是對(duì)強(qiáng)行攻擊的抵抗能

16、力方式：窮舉法，根據(jù)已知消息M和對(duì)應(yīng)的MAC值，來推斷密鑰k前提：MAC算法已知,M,,,F(),,k,,MAC,攻擊者如何用強(qiáng)力攻擊方法攻擊MAC？,,,基于哈希函數(shù)的鑒別,基于哈希函數(shù)的鑒別,哈希函數(shù)一種單向函數(shù)輸入：任意長度的消息M輸出：固定長度的消息摘要是一個(gè)固定長度的哈希值H(M)哈希值是消息中所有比特的函數(shù)值消息中任意內(nèi)容的變化將導(dǎo)致哈希值的變化具有完整性檢測功能可用于數(shù)字簽名哈希函數(shù)=特殊的MAC，哈

17、希函數(shù)不使用密鑰，它僅僅是輸入消息的函數(shù)。,哈希函數(shù)消息鑒別(a),基本的哈希函數(shù)消息鑒別對(duì)稱加密：發(fā)端和收端共享加密密鑰k哈希值提供了消息鑒別需要的結(jié)構(gòu)和冗余提供保密和鑒別雙重功能：消息和H(M)被加密保護(hù),,,,,,,,,,,,,,,,M,M,Ek[M‖H(M)],,H(M),H(),D(),比較,,密鑰K,,,E(),,密鑰K,,,M,,H(M),,,,H(),,,發(fā)送方,接收方,哈希函數(shù)消息鑒別(b),僅對(duì)哈希值進(jìn)行加密的

18、鑒別方案用于不需對(duì)消息加密的場合基于對(duì)稱密鑰機(jī)制提供鑒別：H(M)被加密保護(hù),,,,,,,,,,,,M,M,,Ek[H(M)],H(),D(),比較,,哈希,密鑰K,,E(),,密鑰K,,,,H(),,,,,,M,,Ek[H(M)],,,哈希函數(shù)消息鑒別(c),僅對(duì)哈希值進(jìn)行加密的鑒別方案用于不需對(duì)消息加密的場合基于公開密鑰機(jī)制提供鑒別和數(shù)字簽名：發(fā)送方用自己的私鑰加密H(M),,,,,,,,,,,M,M,,EkRa[H(M

19、)],H(),D(),比較,,密鑰KUa,,E(),,密鑰KRa,,,H(),,,,,,,,,M,,EkRa[H(M)],發(fā)送方A,接收方B,哈希函數(shù)消息鑒別(d),提供保密：對(duì)稱密鑰算法、密鑰k進(jìn)行外層加密提供鑒別和數(shù)字簽名：A用私鑰對(duì)消息明文的哈希值進(jìn)行加密,,,,,,,,,,,M,M,,EkRa[H(M)],H(),D(),比較,,密鑰KUa,,E(),,密鑰KRa,,,H(),,,,,,,,,M,,EkRa[H(M)],發(fā)送方

20、A,接收方B,,,E,,,,D,,,,密鑰K,密鑰K,哈希函數(shù)消息鑒別(e),采用秘密數(shù)值的哈希鑒別通信雙方共享一個(gè)秘密數(shù)值s計(jì)算哈希值時(shí)，s附加到消息M上一起計(jì)算得到H(M|s)傳輸過程中，數(shù)據(jù)不加密，但不傳送s提供鑒別：只有發(fā)送方和接收方共享秘密S適用于加密算法不可用的場合,,,,,,,,,,M,M,,H(M|s),H(),比較,哈希,,,,H(),,,,,M,,H(M|s),,,,,M,,s,,s,,,M,,s,s,,,

21、方法e的優(yōu)點(diǎn),不含加密處理– 加密軟件很慢– 加密硬件的開銷很大– 加密硬件是對(duì)大長度數(shù)據(jù)進(jìn)行優(yōu)化的– 加密算法可能受專利保護(hù)– 加密算法可能受出口的限制.,哈希函數(shù)消息鑒別(f),提供鑒別：只有發(fā)送方和接收方才共享S提供保密：只有發(fā)送方和接收方才共享k,,,,,,,,,,M,M,,H(M|s),H(),比較,哈希,,,,H(),,,,,M,,H(M|s),,,,M,,s,,s,,,M,,s,s,,,,E,,K,,,密文,,