信息安全導論(4-4_密碼基礎-認證)課件

1、1密碼基礎認證信息安全導論（模塊信息安全導論（模塊4密碼基礎）密碼基礎）2對信息安全的攻擊對信息安全的攻擊n被動攻擊：獲取消息的內容、業(yè)務流分被動攻擊：獲取消息的內容、業(yè)務流分析析n主動攻擊：假冒、重放、消息的篡改、主動攻擊：假冒、重放、消息的篡改、業(yè)務拒絕業(yè)務拒絕n參與方抵賴：通信雙方中的某一方對所參與方抵賴：通信雙方中的某一方對所傳輸消息的否認傳輸消息的否認3被動攻擊與主動攻擊被動攻擊與主動攻擊發(fā)送方發(fā)送方接收方接收方攻擊者發(fā)送方發(fā)送方接收方接收方攻擊者4攻擊攻擊主動攻擊主動攻擊被動攻擊被動攻擊獲取消息的內容獲取消息的內容業(yè)務流分析業(yè)務流分析假冒假冒重放重放篡改篡改攻擊的類型攻擊的類型否認

2、否認抗被動攻擊：加密抗主動攻擊：認證5n抗被動攻擊：加密抗被動攻擊：加密n抗主動攻擊：認證抗主動攻擊：認證6 驗證消息的真實性驗證消息的真實性：的確是由它所聲稱的實：的確是由它所聲稱的實體發(fā)來的體發(fā)來的 驗證消息的完整性驗證消息的完整性：未被篡改、插入、刪除：未被篡改、插入、刪除 驗證消息的順序性和時間性驗證消息的順序性和時間性：未重排、重放、：未重排、重放、延遲延遲 驗證消息的不可否認性驗證消息的不可否認性：防止通信雙方中的：防止通信雙方中的某一方對所傳輸消息的否認（可通過數字簽某一方對所傳輸消息的否認（可通過數字簽名）名）認證的功能認證的功能7信息認證技術 n1 1 HashHash函數和

3、消息完整性函數和消息完整性n2 2 數字簽名技術數字簽名技術 n3 3 身份認證技術身份認證技術 n4 4 認證的具體實現認證的具體實現 81 Hash函數和消息完整性函數和消息完整性本節(jié)提示：本節(jié)提示：n1.1 基本概念基本概念n1.2 Hash函數的構造函數的構造n1.3 消息認證碼消息認證碼91.1 基本概念基本概念nHash函數也稱為雜湊函數或散列函數函數也稱為雜湊函數或散列函數n其輸入為一可變長度序列其輸入為一可變長度序列x，返回一固定長度，返回一固定長度串，該串被稱為輸入串，該串被稱為輸入x的的Hash值（值（消息摘要消息摘要）nHash函數是多對一的函數，一定將某些不同函數是多對

4、一的函數，一定將某些不同的輸入變換成相同的輸出的輸入變換成相同的輸出nHash函數要求：給定輸入計算函數要求：給定輸入計算Hash值是很容值是很容易的；給定易的；給定Hash值求原始輸入是困難的值求原始輸入是困難的n又稱為單向又稱為單向Hash函數函數10基本概念（續(xù)）基本概念（續(xù)）nHash函數一般滿足以下幾個基本需求：函數一般滿足以下幾個基本需求：（1）輸入）輸入x可以為任意長度；可以為任意長度；（2）輸出長度固定；）輸出長度固定；（3）易計算：給定任何）易計算：給定任何x，容易計算出，容易計算出x的的Hash值值H(x)；（4）單向性：給一個）單向性：給一個Hash值，很難反向計算值，很

5、難反向計算出原始輸入；出原始輸入；（5）唯一性：找到兩個不同的輸入得到相同的）唯一性：找到兩個不同的輸入得到相同的Hash輸出值是困難的（在計算上是不可行的）輸出值是困難的（在計算上是不可行的）11 Hash函數的其他性質函數的其他性質nHash值的長度由算法的類型決定，與輸入的值的長度由算法的類型決定，與輸入的消息大小無關，一般為消息大小無關，一般為128或者或者160位。位。nHash函數的一個主要功能就是為了保證數據函數的一個主要功能就是為了保證數據完整性。完整性。n Hash函數可以按照其是否有密鑰控制分為兩函數可以按照其是否有密鑰控制分為兩類：類：n一類有密鑰控制，以一類有密鑰控制，

6、以hk(x)表示，為密碼表示，為密碼Hash函數；函數；n另一類無密鑰控制，為一般另一類無密鑰控制，為一般Hash函數。函數。121.2 Hash函數的構造函數的構造n用分組加密函數構造用分組加密函數構造hash函數函數n專門設計的專門設計的Hash函數函數13用分組加密函數構造用分組加密函數構造hash函數函數n分組密碼：給出明文和對應的密文，要分組密碼：給出明文和對應的密文，要找出所用的密鑰是困難的（單向函數）找出所用的密鑰是困難的（單向函數）n加密函數加密函數y=E(x,k)，輸入明文，輸入明文x（長度（長度m），密鑰），密鑰k（長度（長度n）輸出密文）輸出密文y（長（長度度m）n輸入數

7、據總長度輸入數據總長度mn，輸出，輸出m。單向壓。單向壓縮函數縮函數14用分組加密函數構造用分組加密函數構造hash函數函數n先將先將N長消息分組，分組長為長消息分組，分組長為m（或（或n）n設初始向量設初始向量IV，可公開，長度，可公開，長度mn消息消息x的分組為的分組為x1, x2, , xt15用分組加密函數構造用分組加密函數構造hash函數函數n方案方案1n消息的分組長為消息的分組長為nnh0=IVnh1=E(h0,x1)nh2=E(h1,x2)nh3=E(h2,x3)nnh(x)=htn輸出為輸出為m長長x1x2xtn長n長n長16用分組加密函數構造用分組加密函數構造hash函數函數

8、n方案方案2n消息的分組長為消息的分組長為m，選擇密鑰，選擇密鑰k（n長）長）nh0=IVnh1=E(x1+h0,k)nh2=E(x2+h1,k)nh3=E(x3+h2,k)nnh(x)=htn輸出為輸出為m長長x1x2xtm長m長m長17n用加密函數可以構造用加密函數可以構造Hash函數，但速度函數，但速度較慢較慢n專門設計的專門設計的Hash函數：函數：MD4，MD5， SHA18MD4算法算法nMR4是是Ron Rivest設計的單向散列函數設計的單向散列函數nMD表示消息摘要（表示消息摘要（Message Digest），），對輸入消息，算法產生對輸入消息，算法產生128位散列值位散列

9、值19MD4算法設計目標算法設計目標n安全性：找到兩個具有相同散列值的消息在計算上不安全性：找到兩個具有相同散列值的消息在計算上不可行，不存在比窮舉攻擊更有效的攻擊?？尚?，不存在比窮舉攻擊更有效的攻擊。n直接安全性：直接安全性：MD4的安全性不基于任何假設，如因子的安全性不基于任何假設，如因子分解的難度。分解的難度。n速度：速度：MD4適用于軟件實現，基于適用于軟件實現，基于32位操作數的一些位操作數的一些簡單位操作。簡單位操作。n簡單性和緊湊性：簡單性和緊湊性：MD4盡可能簡單，沒有大的數據結盡可能簡單，沒有大的數據結構和復雜的程序。構和復雜的程序。n有利的有利的Little-Endian結

10、構：結構：MD4最適合微處理器結最適合微處理器結構，更大型、速度更快的計算機要作必要的轉化。構，更大型、速度更快的計算機要作必要的轉化。20其他算法其他算法nMD5是是MD4的改進的改進nSHA(Security Hash Algorithm)算法是美國算法是美國NIST設計的一種標準設計的一種標準Hash算法算法nSHA用于數字簽名的標準算法用于數字簽名的標準算法DSS中，也是安全性中，也是安全性很高的一個很高的一個Hash算法算法n該算法的輸入消息長度小于該算法的輸入消息長度小于 bit，輸出值為，輸出值為160bit。SHA與與MD4相比較而言，主要是增加了擴相比較而言，主要是增加了擴展

11、變換，將前一輪的輸出加到下一輪的，這樣增加展變換，將前一輪的輸出加到下一輪的，這樣增加了雪崩效應。而且由于其了雪崩效應。而且由于其160 bit的輸出，對窮舉攻的輸出，對窮舉攻擊更有抵抗力。擊更有抵抗力。642211.3消息認證碼消息認證碼n消息認證碼（消息認證碼（MAC，Messages Authentication Codes），是與密鑰相關），是與密鑰相關的單向的單向Hash函數，也稱為消息鑒別碼或是函數，也稱為消息鑒別碼或是消息校驗和消息校驗和nMAC與單向與單向Hash函數一樣，但是還包括一函數一樣，但是還包括一個密鑰。個密鑰。 n將單向將單向Hash函數變成函數變成MAC的一個簡單

12、的辦的一個簡單的辦法是用對稱算法加密法是用對稱算法加密Hash值。相反將值。相反將MAC變成單向變成單向Hash函數則只需將密鑰公開。函數則只需將密鑰公開。 22消息認證碼的實現示意圖消息認證碼的實現示意圖 23消息認證碼的定義及使用方式消息認證碼的定義及使用方式n 消息認證碼：指消息被一密鑰控制的公開函消息認證碼：指消息被一密鑰控制的公開函數作用后產生的、用作認證符的、固定長度的數作用后產生的、用作認證符的、固定長度的數值，也稱為密碼校驗和數值，也稱為密碼校驗和n 需要通信雙方需要通信雙方A和和B共享一密鑰共享一密鑰Kn 設設A欲發(fā)送給欲發(fā)送給B的消息是的消息是M，A首先計算首先計算MAC=

13、CK(M)，其中，其中CK()是密鑰控制的公開函是密鑰控制的公開函數，然后向數，然后向B發(fā)送發(fā)送MMAC，B收到后做與收到后做與A相相同的計算，求得一新同的計算，求得一新MAC，并與收到的，并與收到的MAC做比較做比較24消息認證碼的定義及使用方式消息認證碼的定義及使用方式n如果僅收發(fā)雙方知道如果僅收發(fā)雙方知道K，且，且B計算得到的計算得到的MAC與接收到的與接收到的MAC一致，則這一系統就實現了以一致，則這一系統就實現了以下功能（圖下功能（圖a）n 接收方相信發(fā)送方發(fā)來的消息未被篡改接收方相信發(fā)送方發(fā)來的消息未被篡改。因為攻擊。因為攻擊者不知道密鑰，所以不能夠在篡改消息后相應地篡改者不知道密

14、鑰，所以不能夠在篡改消息后相應地篡改MAC，而如果僅篡改消息，則接收方計算的新，而如果僅篡改消息，則接收方計算的新MAC將與收到的將與收到的MAC不同。不同。n 接收方相信發(fā)送方不是冒充的接收方相信發(fā)送方不是冒充的。因為除收發(fā)雙方外。因為除收發(fā)雙方外再無其他人知道密鑰，因此其他人不可能對自己發(fā)送再無其他人知道密鑰，因此其他人不可能對自己發(fā)送的消息計算出正確的的消息計算出正確的MAC。25消息認證碼的定義及使用方式消息認證碼的定義及使用方式n 消息本身在發(fā)送過程中是明文形式，因此上消息本身在發(fā)送過程中是明文形式，因此上述過程只提供認證性而未提供保密性述過程只提供認證性而未提供保密性n 為提供保密

15、性，可：為提供保密性，可：nM與與MAC鏈接后再被整體加密，圖鏈接后再被整體加密，圖bnM先被加密再與先被加密再與MAC鏈接后發(fā)送，圖鏈接后發(fā)送，圖c26MAC的基本使用方式的基本使用方式272 數字簽名技術數字簽名技術本節(jié)提示：本節(jié)提示：n2.1 數字簽名的基本概念數字簽名的基本概念n2.2 常用的數字簽名體制常用的數字簽名體制282.1 2.1 數字簽名技術數字簽名技術n數字簽名在信息安全，包括身份認證、數據完整性、不可否認性以及匿名性等方面有重要應用n數字簽名是實現認證的重要工具29什么是數字簽名n數字簽名是一種以電子形式給一個消息簽名的方法，是只有信息發(fā)送方才能夠進行的簽名，是任何其他

16、人都無法偽造的一段數字串，這段特殊的數字串同時也是對簽名真實性的一種證明30n數字簽名應達到與傳統手寫簽名相同的效果n手寫簽名的特點n可識別簽名者n難以偽造n對應所簽署內容n簽名者不可否認31數字簽名的特性（ 1/2 ）n簽名是可信的簽名是可信的：任何人都可以方便地驗證簽名的有效性。n簽名是不可偽造的簽名是不可偽造的：除了合法的簽名者之外，任何其他人偽造其簽名是困難的（計算上不可行）n簽名是不可復制的簽名是不可復制的：對一個消息的簽名不能通過復制變?yōu)閷α硪粋€消息的簽名。如果一個消息的簽名是從別處復制的，則任何人都可以發(fā)現消息與簽名之間的不一致性。 32數字簽名的特性（2/2）n簽名的消息是不可

17、改變的簽名的消息是不可改變的：經簽名的消息不能被篡改。一旦簽名的消息被篡改，則任何人都可以發(fā)現消息與簽名之間的不一致性。n簽名是不可抵賴的簽名是不可抵賴的：簽名者不能否認自己的簽名。 33數字簽名技術的功能 n數字簽名可以解決否認、偽造、篡改及冒充等問題，具體要求為：n發(fā)送者事后不能否認發(fā)送的報文簽名n接收者能夠核實發(fā)送者發(fā)送的報文簽名、接收者不能偽造發(fā)送者的報文簽名、接收者不能對發(fā)送者的報文進行部分篡改n網絡中的某一用戶不能冒充另一用戶作為發(fā)送者或接收者。34數字簽名的實現方法 n用非對稱加密算法進行數字簽名用非對稱加密算法進行數字簽名 35數字簽名示意圖消息Hash函數消息摘要發(fā)方A相等？

18、收方B加密算法A的私鑰簽名消息 加密的消息摘要簽名消息Hash函數消息摘要解密算法A的公鑰簽名有效y簽名無效n36用非對稱加密算法進行數字簽名和驗證 n 發(fā)送方首先用公開的單向函數對報文進行計算，得到消息摘要，然后利用私有密鑰對消息摘要進行加密后附在報文之后一同發(fā)出；n 接收方用發(fā)送方的公開密鑰對數字簽名進行解密變換，得到消息摘要的明文；n 接收方將得到的報文通過單向函數進行計算，同樣得到一個消息摘要，再將兩個摘要進行對比，如果相同，則證明簽名有效，否則無效。 37公鑰簽名n使用公鑰算法進行數字簽名的最大方便是沒有密鑰分配問題382.2 常用的數字簽名體制n用非對稱加密算法實現的數字簽名技術最

19、常用的是RSA和DSS簽名nRSA簽名 nDSS簽名 39RSA簽名 （1）參數 選兩個互異的大素數p和q。 計算n=pq，(n)=(p-1)(q-1) 選一整數e，滿足1e6位。n大小寫字母混合。如果用一個大寫字母，既不要放在開頭，也不要放在結尾。n可以把數字無序的加在字母中。n系統用戶一定用8位口令，而且包括!?:等特殊符號。安全口令的特點88n不安全的口令有如下幾種情況：n使用用戶名（帳號）作為口令。這種方法便于記憶，可是在安全上幾乎是不堪一擊n用用戶名（帳號）的變換形式作為口令。將用戶名顛倒或者加前后綴作為口令n使用自己或者親友的生日作為口令n使用常用的英文單詞作為口令。這種方法比前幾

20、種方法要安全一些。如果選用的單詞是十分偏僻的，那么黑客軟件破解就需要費些力氣不安全口令的特點892.2.利用認證者所具有的物品進行認證利用認證者所具有的物品進行認證 n利用硬件實現的認證方式n安全令牌n智能卡 90安全令牌n安全性要求較高的場合使用硬件來實現認證，如安全令牌。n安全令牌通常是每隔固定間隔產生一個脈沖序列的同步序列發(fā)生器。 91概念解釋-令牌 n令牌是一個可以為每一次認證產生不同的認證值的小型電子設備，其易于攜帶。n認證令牌的實現有兩種具體的方式n時間令牌n挑戰(zhàn)/應答式令牌92概念解釋時間令牌 n時間令牌n令牌和認證服務器共同擁有一個相同的隨機種子，認證時雙方將當前時間和隨機種子

21、做加密或是hash運算，然后由認證服務器對這一結果進行校驗比較。n必須保證令牌與認證服務器的時間同步 93概念解釋挑戰(zhàn)應答令牌 n挑戰(zhàn)應答令牌n由認證系統產生一個隨機數，令牌和認證系統使用同樣的密鑰對這個數字進行加密或是hash變換，然后進行校驗。 94智能卡n智能卡n卡中存儲有用戶的私鑰、登錄信息和用于不同目的的公鑰證書，如數字簽名證書和數據加密證書等 n提供了抗修改能力，用于保護其中的用戶證書和私鑰。954.2 認證方式的實際應用 n目前實用的認證方式有nSkeyn防止竊聽和重放nKerberosnRadius96Skey認證方式n攻擊者通過監(jiān)聽網絡中的信息，可以獲得用戶的帳號和口令，可以

22、利用重放等方式非法進入系統nSkey是一個一次性口令系統，可以用來對付上述攻擊。 97Skey認證方式的特點n使用Skey系統時，網絡中傳送的帳戶和口令只使用一次后就銷毀。n用戶使用的源口令永遠也不會在網絡上傳輸，包括登錄時或其它需要口令的情形，這樣就可以保護用戶的帳戶和口令不會因此而被竊取。98使用Skey類系統兩方面的操作 n在用戶方，必須有方法產生正確的一次性口令。 n在服務器方必須能夠驗證該一次性口令的有效性，并能夠讓用戶安全地修改源口令99Skey認證方式nSkey系統一般是基于一些不可逆算法的（如Hash），如果擁有源數據，正向計算出結果速度很快。n但試圖反向計算出源數據，則基本上是不可能的。 100例如n用戶Alice產生隨機數R，計算nR x1=f(R)nx1 x2=f(x1)nnxn xn+1=f(xn)nAlice保存x1，x2，x3，xn，計算機在登錄數據庫中Alice的帳號中對應存儲xn+1的值101n當Alice第一次登錄時，輸入用戶名和口令xn，計算機計算f(xn)，并把它和數據庫中保存的xn+1比較，如果匹配，就證明Alice身份是真的n然后，計算機用xn代替x