第五讲云安全关键技术ppt.ppt

第四讲 云安全关键技术（2） Hash函数与数字摘要 数字摘要 数字签名的实施问题 长度问题（签名比原文长） 速度问题 完整性问题 数字摘要和Hash函数 Hash函数 Hash函数适用任意信息长度 产生的摘要是定长的 易于计算 通过摘要得到原信息计算上不可行 无冲突 弱无冲突与强无冲突 弱无冲突（weakly collision-free） 给定消息x，如果寻找一个x’≠x，使得h(x’)=h(x)在计算上不可行，相应的hash函数h(x)是弱无冲突的。 强无冲突（strongly collision-free） 寻找一对消息x’≠x，使得h(x’)=h(x)在计算上不可行，相应的hash函数h(x)是强无冲突的。 ONE-WAY 称Hash函数是ONE-WAY FUNCTION: 给定摘要z，如果寻找一个消息x使h(x)=z计算上不可行。 MD算法 RSA的发明者之一，R . Rivest 教授提出了消息摘要的MD算法（散列算法）。之后又出现了一系列的改进版本：MD2，MD4, MD5，其摘要的长度均为128位； SHS算法 近几年，又出现了另一个散列算法：SHS（安全Hash标准），其代表性的产品为SHA－1，其摘要长度为160位，安全强度比MD5的更高。 生日悖论 生日悖论： 随机选取23人作为一组，则至少两人同生日的概率是1/2. 结论就是用更多比特位的 hash Hash攻击 40位的数字摘要足够安全 建议采用128位以上的数字摘要 DSS采用160位的数字摘要 时戳 签名的时效 时戳的算法： z=h(x) z’=h(z|pub) y=sigk(z’) pub的选取 TTS ( Trusted Timestamping Service ) 消息认证 在网络通信中, 有一些针对消息内容的攻击方法, 如: 伪造消息 窜改消息内容 改变消息顺序 消息重放或者延迟 消息认证：对收到的消息进行验证，证明确实是来自声称的发送方（身份认证），并且没有被修改过。 怎样实现消息认证？ 通过“认证标识”（或称认证符）。即：首先产生一个认证标识，将这个认证标识加到消息中，同消息一起发给接收方。 怎样产生“认证标识”？ 消息加密（Message encryption）方式 用整个消息的密文作为 “认证标识”。 Hash函数（Hash function）方式 一个公开函数，它将任意长度的消息映射到一个固定长度的散列值，作为“认证标识”（消息摘要）。 消息认证码（MAC）方式 一个公开函数加上一个密钥，产生一个固定长度的值，作为“认证标识”。 消息验证——消息加密方式 DES 效率 消息验证——Hash函数方式 无密钥 身份认证 认证( authentication )：证明一个对象的身份的过程。 比如某个人说她是Alice，认证系统的任务就是作出她是否就是Alice的结论 授权( authorization )：决定把什么特权附加给该身份 口令认证的工作过程 下图是基于口令的认证系统的组成与工作原理，这个系统用起来非常方便，但存在明显的安全问题。 口令认证存在的问题 (1) 攻击者可以在Alice登录时实施侦听以获取口令。 (2) 攻击者可以读取计算机中所存储的口令信息。 (3) 攻击者可以进行口令猜测。 (4) 如果试图强制用户选择无法猜测的口令，那么系统可能变得不便于使用，用户可能不得不写下口令。 物理认证 通过“你所拥有的东西”进行认证 介绍信、证明、学生证、第一代身份证等。 信用卡、智能卡 生物认证 基于“你是谁”的认证 不能用于对网络的其他实体(主机、机构等)的认证。 指纹识别、虹膜扫描认证、掌纹识别认证、语音识别认证、手工签名认证 单向口令认证 协议1： 单向口令认证的改进(协议2) 协议1的另一种变形 协议3 协议2修改成协议4 前面几个协议都是使用共享密钥方案KAB，共同的缺点是，如果攻击者能够获得KAB ，那么就能够冒充Alice。 公钥认证 协议5/6的问题 协议5可以诱骗Alice对某些消息进行签名；协议6可以诱骗Alice对某些消息解密。 避免这些问题的可行的方法有两种： 一是不要将相同的密钥用于两种不同的目的；二是确定用于认证的消息应当有固定的格式。 双向认证 两个方向上的独立认证， （协议7） (协议8) 对协议8的反射攻击 协议8的改进 有两种方法可以避免反射攻击， (1)在认证Alice和Bob时使用不同的密钥； (2) 要求挑战者和响应者使用的随机数有不同的格式。 用公钥实现