網絡安全5防火墻.ppt

1、第七章 消息認證與數字簽名,回顧與總結,對稱密碼算法 運算速度快、密鑰短、多種用途、歷史悠久 密鑰管理困難（分發(fā)、更換） 非對稱密碼算法 只需保管私鑰、可以相當長的時間保持不變、需要的數目較小 運算速度慢、密鑰尺寸大、歷史短,信息安全的需求,保密性（ Confidentiality） 完整性（Integrity） 數據完整性，未被未授權篡改或者損壞 系統(tǒng)完整性，系統(tǒng)未被非授權操縱，按既定的功能運行 可用性（Availability） 不可否認性（ Non-repudiation） 防止源點或終點的抵賴,7.1 信息認證,保證信息的完整性和抗否認性 通過信息認證和數字簽名來實現,通信系統(tǒng)典型攻擊

2、,竊聽 消息篡改 內容修改：消息內容被插入、刪除、修改。 順序修改：插入、刪除或重組消息序列。 時間修改：消息延遲或重放。 冒充：從一個假冒信息源向網絡中插入消息 抵賴：接受者否認收到消息；發(fā)送者否認發(fā)送過消息。,消息認證（Message Authentication)： 是一個證實收到的消息來自可信的源點且未被篡改的過程。（防范第三方攻擊） 數字簽名（Digital Signature） 是一種防止源點或終點抵賴的鑒別技術。（防范通信雙方的欺騙）,認證的目的 認證模型 認證函數,信息認證,認證的目的,驗證信息的完整性，在傳送或存儲過程中未被篡改，重放或延遲等。,認證系統(tǒng)的組成,認證編碼器和鑒

3、別譯碼器可抽象為認證函數。 一個安全的認證系統(tǒng)，需滿足 意定的接收者能夠檢驗和證實消息的合法性、 真實性和完整性 除了合法的消息發(fā)送者，其它人不能偽造合法的消息 首先要選好恰當的鑒別函數，該函數產生一個鑒別標識，然后在此基礎上，給出合理的認證協(xié)議(Authentication Protocol)，使接收者完成消息的認證。,認證函數,可用來做鑒別的函數分為三類： (1) 消息加密函數(Message encryption)用完整信息的密文作為對信息的鑒別。 (2) 消息認證碼MAC(Message Authentication Code)公開函數+密鑰產生一個固定長度的值作為鑒別標識 (3) 散

4、列函數(Hash Function)是一個公開的函數，它將任意長的信息映射成一個固定長度的信息。,7.1.1消息加密,消息的自身加密可以作為一個鑒別的度量。 對稱密鑰模式和公開密鑰模式有所不同,對稱密碼體制加密認證 發(fā)送者A，接受者B，雙方共同擁有密鑰 A把加密過的信息傳送給B 攻擊者不知道如何改變密文 B只要能順利解出明文，就知道信息在中途沒有被人更改過。,公鑰密碼體制加密認證 A用私鑰對明文的信息加密 由于攻擊者沒有A的私鑰，不知道如何改變密文 B能用A的公鑰解出明文，說明沒有被人更改。 這種方式既能提供認證，又能夠提供數字簽名。,7.1.2 消息認證碼,使用一個密鑰生成一個固定大小的小數

5、據塊，附加在消息后，稱MAC （Message Authentication Code）， 或密碼校驗和（cryptographic checksum） MAC = FK(M) 收到消息后，只需要根據密鑰和消息來計算MAC是否等于傳過來的MAC。,1、接收者可以確信消息M未被改變。 2、接收者可以確信消息來自所聲稱的發(fā)送者； MAC函數類似于加密函數，但不需要可逆性。因此在數學上比加密算法被攻擊的弱點要少。,只提供認證，不提供保密和數字簽名 Why?,為何要使用消息認證碼,根本上,信息加密提供的是保密性而非真實性 加密代價大(公鑰算法代價更大) 認證函數與保密函數的分離能提供功能上的靈活性 某

6、些信息只需要真實性,不需要保密性 廣播的信息難以使用加密(信息量大) 網絡管理信息等只需要真實性 政府/權威部門的公告,7.2散列函數Hash Function,H(M): 輸入為任意長度的消息M; 輸出為一個固定長度的散列值，稱為消息摘要(Message Digest)。 這個散列值是消息M的所有位的函數并提供錯誤檢測能力：消息中的任何一位或多位的變化都將導致該散列值的變化。 又稱為：哈希函數、數字指紋（Digital finger print)、壓縮（Compression)函數、緊縮（Contraction ）函數、數據鑒別碼DAC（Data authentication code）、篡

7、改檢驗碼,h=H(M) H公開，散列值在信源處被附加在消息上 接收方通過重新計算散列值來確認消息未被篡改 如果要提供保密性，需要對散列值提供另外的加密保護,5.2.1 散列函數的性質,目的：產生文件、報文或其它數據塊的“指紋” 可以提供保密性、認證、數字簽名的作用 如果不要求提供保密性，可以采用不對整條報文加密而只對Hash碼（也稱作報文摘要）加密的方法,基本性質,能用于任何長度的數據分組 對于任何給定的x,H(x)要易于計算 對于任何給定的h，尋找x都是不可能的 對于任何給定的x，找不到x不等于y,但是H(x)=H(y) 尋找任何（x,y),使得H(x)=H(y)在計算上不可行。,散列碼的不

8、同使用方式,使用對稱密碼體制對附加了散列碼的消息進行加密（提供認證及保密性） 使用對稱密碼僅對附加了散列碼進行加密（提供認證） 使用公鑰密碼體制，只對散列碼進行加密（提供認證及數字簽名） 發(fā)送者將消息M與通信各方共享的一個秘密值S串聯(lián)后計算出散列值，將此值附在消息后發(fā)出去，則攻擊者無法產生假消息（提供認證）,不同使用方式,提供認證 A-B: M|H(M|S) 提供認證和保密性 A-B: E(M|H(M),K) 提供認證和數字簽名 A-B: M|D(H(M),KdA) 提供認證、數字簽名和保密性 A-B: E(M|D(H(M),KdA),K),幾種常用的HASH算法,MD5 SHA-1 RIPE

9、MD-160,MD5簡介,Merkle于1989年提出hash function模型 Ron Rivest于1990年提出MD4 1992年, MD5 (RFC 1321) developed by Ron Rivest at MIT MD5把數據分成512-bit塊 MD5的hash值是128-bit 在最近數年之前,MD5是最主要的hash算法 現行美國標準SHA-1以MD5的前身MD4為基礎,2004年8月17日的美國加州圣巴巴拉，正在召開的國際密碼學會議（Crypto2004）。來自山東大學的王小云教授做了破譯MD5、HAVAL-128、 MD4和RIPEMD算法的報告。,Secure

10、 Hash Algorithm簡介,1992年NIST制定了SHA(128位) 1993年SHA成為標準（FIPS PUB 180） 1994年修改產生SHA-1(160位) 1995年SHA-1成為新的標準,作為SHA-1(FIPS PUB180-1) SHA-1要求輸入消息長度264 輸入按512位的分組進行處理的 SHA-1的摘要長度為160位 基礎是MD4,RIPEMD-160簡介,歐洲RIPE項目的結果 RIPEMD為128位 更新后成為RIPEMD-160 基礎是MD5,hash函數小結,hash函數把變長信息映射到定長信息 hash函數不具備可逆性 hash函數速度較快 hash

11、函數與對稱密鑰加密算法有某種相似性 對hash函數的密碼分析比對稱密鑰密碼更困難 hash函數可用于消息摘要 hash函數可用于數字簽名,7.3 數字簽名digital signature,消息認證用以保護雙方之間的數據交換不被第三方侵犯；但它并不保證雙方自身的相互欺騙。,用戶A,用戶B,MAC,用戶C,篡改、冒充,假定A發(fā)送一個認證的信息給B，雙方之間的爭議可能有多種形式： A可以否認發(fā)過該消息，B無法證明A確實發(fā)了該消息。 B偽造一個不同的消息，但聲稱是從A收到的。,用戶A,用戶B,MAC,偽造,否認,例如：對合同書的抵賴；股票交易指令虧損后抵賴,所以用到“數字簽名”這種方式 保證信息的抗

12、否認性,SIGA,用戶A,用戶B,無法偽造SIGA,無法抵賴SIGA,傳統(tǒng)簽名的基本特點: 能與被簽的文件在物理上不可分割 簽名者不能否認自己的簽名 簽名不能被偽造 容易被驗證,數字簽名是傳統(tǒng)簽名的數字化,基本要求: 能與所簽文件“綁定” 簽名者不能否認自己的簽名 簽名不能被偽造，容易被自動驗證 存在仲裁機構,簽名者,時間,簽名有效,源文件被修改后，簽名無效,數字簽名應具有的性質,必須能夠驗證作者及其簽名的日期時間； 必須能夠認證簽名時刻的內容； 簽名必須能夠由第三方驗證，以解決爭議； 因此，數字簽名功能包含了認證的功能 WHY?,數字簽名的設計要求,依賴性：簽名必須是依賴于被簽名信息的一個比

13、特模式 唯一性：簽名必須使用某些對發(fā)送者是唯一的信息，以防止雙方的偽造與否認； 可驗性：必須相對容易識別和驗證該數字簽名； 抗偽造：偽造該數字簽名在計算上具有不可行性， 對一個已有的數字簽名構造新的消息 對一個給定消息偽造一個數字簽名 可用性：在存儲器中保存一個數字簽名副本是現實可行的,數字簽名分類,以方式分 直接數字簽名direct digital signature 仲裁數字簽名arbitrated digital signature 以安全性分 無條件安全的數字簽名 計算上安全的數字簽名 以可簽名次數分 一次性的數字簽名 多次性的數字簽名,直接數字簽名的缺點,驗證模式依賴于發(fā)送方的保密密

14、鑰； 發(fā)送方要抵賴發(fā)送某一消息時，可能會聲稱其私有密鑰丟失或被竊，從而他人偽造了他的簽名。 通常需要采用與私有密鑰安全性相關的行政管理控制手段來制止這種情況，但威脅依然存在。 改進的方式:例如可以要求被簽名的信息包含一個時間戳（日期與時間） A的某些私有密鑰確實在時間T被竊取，敵方可以偽造A的簽名及早于或等于時間T的時間戳。,仲裁數字簽名,引入仲裁者 所有從發(fā)送方A到接收方B的簽名消息首先送到仲裁者S，S將消息及其簽名進行一系列測試，以檢查其來源和內容，然后將消息加上日期并與已被仲裁者驗證通過的指示一起發(fā)給B。,用戶A,用戶B,SIG,仲裁者S,驗證通過,仲裁者在這一類簽名模式中扮演敏感和關鍵的角色。 所有的參與者必須極大地相信這一仲裁機制工作正常。（trusted system）,仲裁者S,7.3.2 RSA數字簽名,回顧：RSA的加密方法 C=Me mod n M=Cd mod