《无线教材资料网络安全技术》研讨课-第四讲.pptVIP

第四讲 消息认证/数字签名 无线网络安全技术 songyubo@seu.edu.cn 消息认证和散列函数 消息认证的概念 散列函数概念 MD5算法 SHA算法 消息鉴别码 网络通信环境下的攻击类型： 泄露(Disclosure) 传输分析(Traffic analysis) 伪装(Masquerade) 内容篡改(Content modification) 顺序修改(Sequence modification) 计时修改(Timing modification) 发送方否认(Source repudiation) 接收方否认(Destination repudiation) 机密性 消息认证 数字签名 特定的数字签名机制 消息认证—— 验证收到的消息确实来自声明的发送方且未被修改 消息认证也可以验证消息的顺序和时间 数字签名—— 一种认证技术，包含了防止发送方否认的方法 认证要求 数据完整性 不可否认性 认证函数 消息认证或数字证书可以看作有两层： 下层: 需要某种函数用于产生一个认证码，这个码用于认证消息。 产生认证码的函数实现问题 上层：将下层函数作为原语用于认证协议中。 认证协议的设计问题 认证函数类型： 消息加密 密文作为认证码 消息认证码 (MAC) 函数输入为消息和密钥，生成值为一定长的值 散列函数 将一个消息映射为一个定长的摘要值 消息加密 对称加密 对称加密算法本身提供认证 要求接收者对解密后的数据能做出正确判断是否是合法明文还是无意义的二进制数。 要求明文具有某种易于识别的结构：加密前添加校验和 利用通信协议设定消息格式，密文一旦被修改则解密后的内容无法正常解析 添加校验和 设定消息格式 用公钥加密算法提供认证 用自己的私钥加密：若接收者能判断解密后的消息是否合法，则可以提供认证 Message Authentication Code (MAC)：利用共享密钥生成一固定长度的字段 (记为MAC) MAC = C (K,M) M: 输入消息 C：MAC函数 K：共享密钥 MAC：消息认证码 消息认证码 可以确认： 消息不被修改 消息来源于宣称的发送方 消息的发送顺序未被改变（要求消息中包含序列号） 与加密函数的区别： MAC不需要解密，即MAC函数无需可逆性 MAC函数为多对一的映射关系 消息认证码的安全性要求 攻击者攻击目标：不再是获得秘钥K，而是寻找可生成相同认证码的消息。 为何使用MAC 为什么不利用加密实现认证 明文形式没有改变 MAC的实现代价更低 用于只需认证无需加密的场合 广播 执行代码的认证 某些希望把加密和认证分开的场合，保密周期和认证周期不一样。（例如：档案） 散列函数 单向散列函数（HASH函数） 将一个长度可变的消息M转换为一个固定长度的输出，称之为散列码或摘要 与MAC的区别：没有使用密钥，函数输入参数只有一个 可以检测出消息是否发生变化 和加密结合可以用于认证 加密消息及散列码：E(K,M || H(M)) 对称加密散列码：M || E(K,H(M)) E(K,H(M)) 即为一MAC函数 公钥加密散列码：M || E(PRa,H(M)) 典型的数字签名方案 散列函数 h = H(M) M 为一变长消息 h 为一固定长度的HASH值 H 为散列函数 使用方法：将散列值附于消息后发送，接收者根据收到的消息重新计算散列值，并和收到的散列值进行比较。 由于散列函数本身不存在保密性，需要某种方法来保护散列值。 对散列函数的要求 H 可应用于任意大小的数据块 H 产生一固定长度的输出 对于任意给定的x，H(x)的值都是容易计算的。 H是单向的, 即给定h, 找到任何一个满足h = H(x)的x在计算上不行 H有弱抗碰撞性：即给定x，找到任何一个满足H(x) = H(y)的 y，y  x 在计算上是不可行的。 满足性质4和5的函数称为弱单向函数 H有强抗碰撞性，找到任何两个满足H(x) = H(y)的x和y在计算上是不可行的。 满足性质4、5和6的函数称为强单向函数 对散列函数的要求 单向的特性是认证所必需的。 弱抗碰撞性对于防止伪造是必需的 强抗碰撞性对于抵抗生日攻击是非常重要的 生日攻击 生日问题1：当你走进教室的时候，问教室里要有多少人使得存在跟你生日相同的人的概率超过50%？ 答案是：253 生日问题2：一个教室内，要有多少人才能使至少有二人的生日在同一天的概率大于等于1/2？ (1-1/365) 生日攻击 (1-2/365) …… (1-(k-1)/365) 生日攻击 23 针对散列函数的生日攻击 假定函数H有2m 个可能输出值，有k个随机输入，问当k为多少的时候至少有一个重复输出出现，即对任意x，y有 H(x) = H(y) k  2m/2 如果使用64bit