網(wǎng)絡(luò)安全5防火墻.ppt

1、第七章 消息認(rèn)證與數(shù)字簽名,回顧與總結(jié),對稱密碼算法 運(yùn)算速度快、密鑰短、多種用途、歷史悠久 密鑰管理困難（分發(fā)、更換） 非對稱密碼算法 只需保管私鑰、可以相當(dāng)長的時(shí)間保持不變、需要的數(shù)目較小 運(yùn)算速度慢、密鑰尺寸大、歷史短,信息安全的需求,保密性（ Confidentiality） 完整性（Integrity） 數(shù)據(jù)完整性，未被未授權(quán)篡改或者損壞 系統(tǒng)完整性，系統(tǒng)未被非授權(quán)操縱，按既定的功能運(yùn)行 可用性（Availability） 不可否認(rèn)性（ Non-repudiation） 防止源點(diǎn)或終點(diǎn)的抵賴,7.1 信息認(rèn)證,保證信息的完整性和抗否認(rèn)性 通過信息認(rèn)證和數(shù)字簽名來實(shí)現(xiàn),通信系統(tǒng)典型攻擊

2、,竊聽 消息篡改 內(nèi)容修改：消息內(nèi)容被插入、刪除、修改。 順序修改：插入、刪除或重組消息序列。 時(shí)間修改：消息延遲或重放。 冒充：從一個(gè)假冒信息源向網(wǎng)絡(luò)中插入消息 抵賴：接受者否認(rèn)收到消息；發(fā)送者否認(rèn)發(fā)送過消息。,消息認(rèn)證（Message Authentication)： 是一個(gè)證實(shí)收到的消息來自可信的源點(diǎn)且未被篡改的過程。（防范第三方攻擊） 數(shù)字簽名（Digital Signature） 是一種防止源點(diǎn)或終點(diǎn)抵賴的鑒別技術(shù)。（防范通信雙方的欺騙）,認(rèn)證的目的 認(rèn)證模型 認(rèn)證函數(shù),信息認(rèn)證,認(rèn)證的目的,驗(yàn)證信息的完整性，在傳送或存儲過程中未被篡改，重放或延遲等。,認(rèn)證系統(tǒng)的組成,認(rèn)證編碼器和鑒

3、別譯碼器可抽象為認(rèn)證函數(shù)。 一個(gè)安全的認(rèn)證系統(tǒng)，需滿足 意定的接收者能夠檢驗(yàn)和證實(shí)消息的合法性、 真實(shí)性和完整性 除了合法的消息發(fā)送者，其它人不能偽造合法的消息 首先要選好恰當(dāng)?shù)蔫b別函數(shù)，該函數(shù)產(chǎn)生一個(gè)鑒別標(biāo)識，然后在此基礎(chǔ)上，給出合理的認(rèn)證協(xié)議(Authentication Protocol)，使接收者完成消息的認(rèn)證。,認(rèn)證函數(shù),可用來做鑒別的函數(shù)分為三類： (1) 消息加密函數(shù)(Message encryption)用完整信息的密文作為對信息的鑒別。 (2) 消息認(rèn)證碼MAC(Message Authentication Code)公開函數(shù)+密鑰產(chǎn)生一個(gè)固定長度的值作為鑒別標(biāo)識 (3) 散

4、列函數(shù)(Hash Function)是一個(gè)公開的函數(shù)，它將任意長的信息映射成一個(gè)固定長度的信息。,7.1.1消息加密,消息的自身加密可以作為一個(gè)鑒別的度量。 對稱密鑰模式和公開密鑰模式有所不同,對稱密碼體制加密認(rèn)證 發(fā)送者A，接受者B，雙方共同擁有密鑰 A把加密過的信息傳送給B 攻擊者不知道如何改變密文 B只要能順利解出明文，就知道信息在中途沒有被人更改過。,公鑰密碼體制加密認(rèn)證 A用私鑰對明文的信息加密 由于攻擊者沒有A的私鑰，不知道如何改變密文 B能用A的公鑰解出明文，說明沒有被人更改。 這種方式既能提供認(rèn)證，又能夠提供數(shù)字簽名。,7.1.2 消息認(rèn)證碼,使用一個(gè)密鑰生成一個(gè)固定大小的小數(shù)

5、據(jù)塊，附加在消息后，稱MAC （Message Authentication Code）， 或密碼校驗(yàn)和（cryptographic checksum） MAC = FK(M) 收到消息后，只需要根據(jù)密鑰和消息來計(jì)算MAC是否等于傳過來的MAC。,1、接收者可以確信消息M未被改變。 2、接收者可以確信消息來自所聲稱的發(fā)送者； MAC函數(shù)類似于加密函數(shù)，但不需要可逆性。因此在數(shù)學(xué)上比加密算法被攻擊的弱點(diǎn)要少。,只提供認(rèn)證，不提供保密和數(shù)字簽名 Why?,為何要使用消息認(rèn)證碼,根本上,信息加密提供的是保密性而非真實(shí)性 加密代價(jià)大(公鑰算法代價(jià)更大) 認(rèn)證函數(shù)與保密函數(shù)的分離能提供功能上的靈活性 某

6、些信息只需要真實(shí)性,不需要保密性 廣播的信息難以使用加密(信息量大) 網(wǎng)絡(luò)管理信息等只需要真實(shí)性 政府/權(quán)威部門的公告,7.2散列函數(shù)Hash Function,H(M): 輸入為任意長度的消息M; 輸出為一個(gè)固定長度的散列值，稱為消息摘要(Message Digest)。 這個(gè)散列值是消息M的所有位的函數(shù)并提供錯(cuò)誤檢測能力：消息中的任何一位或多位的變化都將導(dǎo)致該散列值的變化。 又稱為：哈希函數(shù)、數(shù)字指紋（Digital finger print)、壓縮（Compression)函數(shù)、緊縮（Contraction ）函數(shù)、數(shù)據(jù)鑒別碼DAC（Data authentication code）、篡

7、改檢驗(yàn)碼,h=H(M) H公開，散列值在信源處被附加在消息上 接收方通過重新計(jì)算散列值來確認(rèn)消息未被篡改 如果要提供保密性，需要對散列值提供另外的加密保護(hù),5.2.1 散列函數(shù)的性質(zhì),目的：產(chǎn)生文件、報(bào)文或其它數(shù)據(jù)塊的“指紋” 可以提供保密性、認(rèn)證、數(shù)字簽名的作用 如果不要求提供保密性，可以采用不對整條報(bào)文加密而只對Hash碼（也稱作報(bào)文摘要）加密的方法,基本性質(zhì),能用于任何長度的數(shù)據(jù)分組 對于任何給定的x,H(x)要易于計(jì)算 對于任何給定的h，尋找x都是不可能的 對于任何給定的x，找不到x不等于y,但是H(x)=H(y) 尋找任何（x,y),使得H(x)=H(y)在計(jì)算上不可行。,散列碼的不

8、同使用方式,使用對稱密碼體制對附加了散列碼的消息進(jìn)行加密（提供認(rèn)證及保密性） 使用對稱密碼僅對附加了散列碼進(jìn)行加密（提供認(rèn)證） 使用公鑰密碼體制，只對散列碼進(jìn)行加密（提供認(rèn)證及數(shù)字簽名） 發(fā)送者將消息M與通信各方共享的一個(gè)秘密值S串聯(lián)后計(jì)算出散列值，將此值附在消息后發(fā)出去，則攻擊者無法產(chǎn)生假消息（提供認(rèn)證）,不同使用方式,提供認(rèn)證 A-B: M|H(M|S) 提供認(rèn)證和保密性 A-B: E(M|H(M),K) 提供認(rèn)證和數(shù)字簽名 A-B: M|D(H(M),KdA) 提供認(rèn)證、數(shù)字簽名和保密性 A-B: E(M|D(H(M),KdA),K),幾種常用的HASH算法,MD5 SHA-1 RIPE

9、MD-160,MD5簡介,Merkle于1989年提出hash function模型 Ron Rivest于1990年提出MD4 1992年, MD5 (RFC 1321) developed by Ron Rivest at MIT MD5把數(shù)據(jù)分成512-bit塊 MD5的hash值是128-bit 在最近數(shù)年之前,MD5是最主要的hash算法 現(xiàn)行美國標(biāo)準(zhǔn)SHA-1以MD5的前身MD4為基礎(chǔ),2004年8月17日的美國加州圣巴巴拉，正在召開的國際密碼學(xué)會議（Crypto2004）。來自山東大學(xué)的王小云教授做了破譯MD5、HAVAL-128、 MD4和RIPEMD算法的報(bào)告。,Secure

10、 Hash Algorithm簡介,1992年NIST制定了SHA(128位) 1993年SHA成為標(biāo)準(zhǔn)（FIPS PUB 180） 1994年修改產(chǎn)生SHA-1(160位) 1995年SHA-1成為新的標(biāo)準(zhǔn),作為SHA-1(FIPS PUB180-1) SHA-1要求輸入消息長度264 輸入按512位的分組進(jìn)行處理的 SHA-1的摘要長度為160位 基礎(chǔ)是MD4,RIPEMD-160簡介,歐洲RIPE項(xiàng)目的結(jié)果 RIPEMD為128位 更新后成為RIPEMD-160 基礎(chǔ)是MD5,hash函數(shù)小結(jié),hash函數(shù)把變長信息映射到定長信息 hash函數(shù)不具備可逆性 hash函數(shù)速度較快 hash

11、函數(shù)與對稱密鑰加密算法有某種相似性 對hash函數(shù)的密碼分析比對稱密鑰密碼更困難 hash函數(shù)可用于消息摘要 hash函數(shù)可用于數(shù)字簽名,7.3 數(shù)字簽名digital signature,消息認(rèn)證用以保護(hù)雙方之間的數(shù)據(jù)交換不被第三方侵犯；但它并不保證雙方自身的相互欺騙。,用戶A,用戶B,MAC,用戶C,篡改、冒充,假定A發(fā)送一個(gè)認(rèn)證的信息給B，雙方之間的爭議可能有多種形式： A可以否認(rèn)發(fā)過該消息，B無法證明A確實(shí)發(fā)了該消息。 B偽造一個(gè)不同的消息，但聲稱是從A收到的。,用戶A,用戶B,MAC,偽造,否認(rèn),例如：對合同書的抵賴；股票交易指令虧損后抵賴,所以用到“數(shù)字簽名”這種方式 保證信息的抗

12、否認(rèn)性,SIGA,用戶A,用戶B,無法偽造SIGA,無法抵賴SIGA,傳統(tǒng)簽名的基本特點(diǎn): 能與被簽的文件在物理上不可分割 簽名者不能否認(rèn)自己的簽名 簽名不能被偽造 容易被驗(yàn)證,數(shù)字簽名是傳統(tǒng)簽名的數(shù)字化,基本要求: 能與所簽文件“綁定” 簽名者不能否認(rèn)自己的簽名 簽名不能被偽造，容易被自動驗(yàn)證 存在仲裁機(jī)構(gòu),簽名者,時(shí)間,簽名有效,源文件被修改后，簽名無效,數(shù)字簽名應(yīng)具有的性質(zhì),必須能夠驗(yàn)證作者及其簽名的日期時(shí)間； 必須能夠認(rèn)證簽名時(shí)刻的內(nèi)容； 簽名必須能夠由第三方驗(yàn)證，以解決爭議； 因此，數(shù)字簽名功能包含了認(rèn)證的功能 WHY?,數(shù)字簽名的設(shè)計(jì)要求,依賴性：簽名必須是依賴于被簽名信息的一個(gè)比

13、特模式 唯一性：簽名必須使用某些對發(fā)送者是唯一的信息，以防止雙方的偽造與否認(rèn)； 可驗(yàn)性：必須相對容易識別和驗(yàn)證該數(shù)字簽名； 抗偽造：偽造該數(shù)字簽名在計(jì)算上具有不可行性， 對一個(gè)已有的數(shù)字簽名構(gòu)造新的消息 對一個(gè)給定消息偽造一個(gè)數(shù)字簽名 可用性：在存儲器中保存一個(gè)數(shù)字簽名副本是現(xiàn)實(shí)可行的,數(shù)字簽名分類,以方式分 直接數(shù)字簽名direct digital signature 仲裁數(shù)字簽名arbitrated digital signature 以安全性分 無條件安全的數(shù)字簽名 計(jì)算上安全的數(shù)字簽名 以可簽名次數(shù)分 一次性的數(shù)字簽名 多次性的數(shù)字簽名,直接數(shù)字簽名的缺點(diǎn),驗(yàn)證模式依賴于發(fā)送方的保密密

14、鑰； 發(fā)送方要抵賴發(fā)送某一消息時(shí)，可能會聲稱其私有密鑰丟失或被竊，從而他人偽造了他的簽名。 通常需要采用與私有密鑰安全性相關(guān)的行政管理控制手段來制止這種情況，但威脅依然存在。 改進(jìn)的方式:例如可以要求被簽名的信息包含一個(gè)時(shí)間戳（日期與時(shí)間） A的某些私有密鑰確實(shí)在時(shí)間T被竊取，敵方可以偽造A的簽名及早于或等于時(shí)間T的時(shí)間戳。,仲裁數(shù)字簽名,引入仲裁者 所有從發(fā)送方A到接收方B的簽名消息首先送到仲裁者S，S將消息及其簽名進(jìn)行一系列測試，以檢查其來源和內(nèi)容，然后將消息加上日期并與已被仲裁者驗(yàn)證通過的指示一起發(fā)給B。,用戶A,用戶B,SIG,仲裁者S,驗(yàn)證通過,仲裁者在這一類簽名模式中扮演敏感和關(guān)鍵的角色。 所有的參與者必須極大地相信這一仲裁機(jī)制工作正常。（trusted system）,仲裁者S,7.3.2 RSA數(shù)字簽名,回顧：RSA的加密方法 C=Me mod n M=Cd mod