古典密码教学资料-09-消息认证码.pptVIP

Chapter 12  消息认证码 《信息保障与安全》 消息认证需求 消息认证函数 消息认证码 基于Hash函数的MAC 基于分组密码的MAC：DAA和CMAC 2017-4-11 华中农业大学信息学院 2 2017-4-11 华中农业大学信息学院 3 §12.1 对认证的需求 可能的攻击： 1. 泄密：将消息透漏给未授权方 2. 传输分析：分析通信双方的通信模式 3. 伪装：欺诈源向网络中插入一条消息 4. 内容修改：对消息内容的修改 5. 顺序修改：对通信双方消息顺序的修改 6. 计时修改：对消息的延时和重播 7. 发送方否认：对消息否认 8. 接收方否认：对消息否认 2017-4-11 华中农业大学信息学院 4 消息认证：验证所收到的消息确实是来自真实的发送方且未被修改的消息，它也可验证消息的顺序和及时性。 数字签名：是一种认证技术，其中的一些方法可用来抗发送方否认攻击。（接收者可验证但不能伪造） 消息认证函数是实现消息认证的基础 其工作原理和通信领域常见的差错控制编码函数类似，都是通过对原始报文进行某种运算，产生一个定长的输出，这个输出是原始报文的“冗余信息”，即消息认证码，有时也被称为密码校验和。 2017-4-11 华中农业大学信息学院 5 常用的消息认证函数包括如下两类： ① 利用加密函数作为消息认证函数：这种方法把原始报文加密后产生的密文作为它的消息认证码； ② 专用的消息认证函数：以原始报文和密钥作为输入，产生定长的输出，这个输出就是原始报文的消息认证码。可以利用运行于CBC模式下的常规加密算法或带密钥的Hash函数（HMAC）来构造消息认证函数。 2017-4-11 华中农业大学信息学院 6 2017-4-11 华中农业大学信息学院 7 §12.2 认证函数 两层：产生认证符 ＋ 验证 产生认证符的函数类型： 消息加密：消息的密文作为认证符。 消息认证码：消息和密钥的公开函数，产生定长的值作为认证符。 MAC: message authentication code Hash函数：将任意长消息映射为定长的hash值作为认证符。 2017-4-11 华中农业大学信息学院 8 12.2.1 消息加密 消息加密也能提供一种认证的方法 对称密码，既可以提供认证又可以提供保密性，但不是绝对的。 只有消息具有适当的结构、冗余或含有校验和，接收方才可能对消息的任何变化进行检测。 否则，认证难以完成。 2017-4-11 华中农业大学信息学院 9 2017-4-11 华中农业大学信息学院 10 2017-4-11 华中农业大学信息学院 11 消息加密 公钥体制中: 加密不能提供对发送方的认证（公钥是公开的） 发送方可用自己的私钥进行签名 接收方可用发送方的公钥进行验证 保密性和可认证性 2017-4-11 华中农业大学信息学院 12 2017-4-11 华中农业大学信息学院 13 2017-4-11 华中农业大学信息学院 14 2017-4-11 华中农业大学信息学院 15 12.2.2 消息认证码 (MAC) 一种认证技术 利用密钥来生成一个固定长度的短数据块（MAC），并将该数据块附加在消息之后。 MAC的值依赖于消息和密钥 MAC = Ck(M)=C(M,K) MAC函数于加密类似，但MAC算法不要求可逆性，而加密算法必须是可逆的。 接收方进行同样的MAC码计算并验证是否与发送过来的MAC码相同 2017-4-11 华中农业大学信息学院 16 MAC 特性 MAC码是一个密码校验和 MAC = CK(M)=C(K, M) 消息M的长度是可变的 密钥K是要保密的，且收发双方共享。 产生固定长度的认证码 MAC算法是一个多对一的函数 多个消息对应同一MAC值 但是找到同一MAC值所对应的多个消息应该是困难的。 2017-4-11 华中农业大学信息学院 17 Message Authentication Code 2017-4-11 华中农业大学信息学院 18 若相同，则有： 接收方可以相信消息未被修改。 接收方可以相信消息来自真正的发送方。 接收方可以确信消息中含有的序列号是正确的。 为什么需要使用MAC? 有些情况只需要认证（如广播） 文档的持续保护（例如解密后的保护） …… 由于收发双方共享密钥，所以MAC不能提供数字签名 2017-4-11 华中农业大学信息学院 19 对MACs的要求： 抗多种攻击（例如穷举密钥攻击） 且满足: 已知一条消息和MAC, 构造出另一条具有同样MAC的消息是不可行的 MACs应该是均匀分布的 MAC应该依赖于消息的所有比特位 2017-4-11 华中农业大学信息学院 20 201