第03章消息鉴别与数字签名案例分析.ppt

第3章 消息鉴别与数字签名 经典密码学-现代公开的计算机环境 保密?有效系统地保障电子数据的机密性、完整性和真实性 公开的计算机网络环境中，传输中的数据可能遭受到威胁（5种）： 泄密 通信业务量分析 伪造： 攻击者假冒发方身份，向网络插入一条消息；或假冒接收方发送一个消息确认。 篡改：内容篡改 序号篡改 时间篡改 行为抵赖 第3章 消息鉴别与数字签名 3.1 消息鉴别 3.1.1 消息鉴别的概念 3.1.2 基于MAC的鉴别 3.1.3 基于散列函数的鉴别 3.1.4 散列函数 3.2 数字签名 3.1. 消息鉴别 完整性是安全的基本要求之一。篡改消息是对通信系统的主动攻击常见形式。 被篡改的消息是不完整的；信道的偶发干扰和故障也破坏消息完整性。 接收者能检查所收到的消息是否完整； 进一步接收者能识别所收到的信息是否源于所声称的主体。即消息来源的真实性 保障消息完整性和真实性的手段： 消息鉴别技术 3.1.1 消息鉴别的概念 消息鉴别 概念：是一个对收到的消息进行验证的过程，验证的内容包括： 真实性：消息发送者是真正的，而非假冒 完整性：消息在存储和传输过程中没有被篡改过。 消息鉴别系统功能上的层次结构 低层 产生鉴别符 高层：调用鉴别函数，验证 3.1.1 消息鉴别的概念 根据鉴别符的生成方式，鉴别函数分（3类）： 基于消息加密方式 以整个消息的密文作为鉴别符 基于消息鉴别码（MAC）3.1.2 发送方利用公开函数+密钥产生一个固定长度的值作为鉴别标识，并与消息一同发送 基于散列函数 3.1.3 采用hash函数将任意长度的消息映射为一个定长的散列值，以此散列值为鉴别码。MAC方式的一种特例 最近几年消息鉴别符的热点转向 Hash函数导出MAC的方法 3.1.2 基于MAC的鉴别 消息鉴别码原理 基于DES的消息鉴别码 3.1.2 -1 消息鉴别码原理 消息鉴别码(MAC Message Authentication Code) 又密码校验和。原理： 采用公开函数和密钥生成一个固定大小的小数据块，即MAC，并附加到消息后面传输，接收方利用与发送方共享的密钥进行鉴别。 MAC提供消息完整性保护，可以在不安全信道中传输，因为MAC生成需要密钥。 3.1.2 -1 消息鉴别码原理 3.1.2 -1 消息鉴别码原理 消息和MAC一起发给接收方。接收方对收到的消息利用相同的密钥K计算，得出新的MAC。如果接收到的MAC与计算得出的MAC相等： 接收者可以确信消息M在传送途中未被篡改 接收者可以确信消息来自所声称的发送者 如果消息中含有序列号（如TCP序列号），接收方可以相信接收顺序是正确的。因为攻击者无法成功修改序列号并保持MAC与消息一致。 图3-2 仅仅提供鉴别，而不能提供保密性。因为消息是明文传输的。如果要加密？… 3.1.2 -1 消息鉴别码原理 MAC与加密函数类似， 但不需要可逆，更不易攻破。 使用分离的消息鉴别码的情形(3)： 加解密算法，尤其公钥算法代价大。广播信息经济可靠方式，明文传送，一个接收者验证。 一些应用不关心保密，而关心消息鉴别 将鉴别函数和加密函数结构上分离，可使层次结构更加灵活。应用层鉴别消息，传输层提供保密。 3.1.2 -2基于DES的消息鉴别码 基于DES的消息鉴别码 基于分组密码，并按密文块链接模式操作 CBC。 数据鉴别算法 CBC—MAC 密文分组链接消息鉴别码 数据鉴别算法图 图3-3 p57 O0 = IV O1 = Ek（D1? O0） O2 = Ek（D2? O1） 。。。 ON = Ek（DN? ON-1） 3.1.3 基于散列函数的鉴别 散列函数(Hash)是消息鉴别码(MAC)的一种变形。散列函数与消息鉴别码相同点： 输入都是可变大小M； 输出都是固定大小散列码 H(M) 散列函数与消息鉴别码不同点: 散列码不使用密钥，它仅是输入消息的函数。 需要安全地存放和传输消息摘要，防止被篡改。 3.1.3 基于散列函数的鉴别 散列码用于消息鉴别的两种方法：图 1）加密消息及散列码 A?B A 计算，加密：E(K，[M||H(M)]) B 解密，计算，比较 2）仅加密散列码 （共享密钥） A?B: A 计算，加密： M|| E(K，[H(M)]) B 计算，解密，比较 3.1.3-散列码用于消息鉴别的两种方法： (a)加密消息及散列码 3.1.3 基于散列函数的鉴别 HMAC 散列函数+MAC（K，M） IP安全 和SSL协议使用HMAC RF2104给出的HMAC设计目标（5） HMAC总体结构图 图3-5 p59 H