网络安全11消息认证码课件.pptxVIP

单纯的加解密算法无法保证抵抗下述攻击 伪装;Chapter 12;消息认证需求 消息认证函数 消息认证码 基于Hash函数的MAC 基于分组密码的MAC：DAA和CMAC;§12.1 对认证的需求;消息认证：验证所收到的消息确实是来自真实的发送方且未被修改的消息，它也可验证消息的顺序和及时性。 数字签名：是一种认证技术，其中的一些方法可用来抗发送方否认攻击。（接收者可验证但不能伪造）;消息认证函数是实现消息认证的基础 其工作原理和通信领域常见的差错控制编码函数类似， 都是通过对原始报文进行某种运算，产生一个定长的输 出，这个输出是原始报文的“冗余信息”，即消息认证码，有时也被称为密码校验和。;常用的消息认证函数包括如下两类： ① 利用加密函数作为消息认证函数：这种方法把原始报文加密后产生的密文作为它的消息认证码； ② 专用的消息认证函数：以原始报文和密钥作为输入，产生定长的输出，这个输出就是原始报文的消息认证码。可以利用运行于CBC模式下的常规加密算法或带密钥的Hash函数（HMAC）来构造消息认证函数。;§12.2 认证函数;12.2.1 消息加密;2023/9/17;2023/9/17;消息加密;2023/9/17;2023/9/17;2023/9/17;12.2.2 消息认证码 (MAC);MAC 特性;Message Authentication Code;若相同，则有： 接收方可以相信消息未被修改。 接收方可以相信消息来自真正的发送方。 接收方可以确信消息中含有的序列号是正确的。 为什么需要使用MAC? 有些情况只需要认证（如广播） 文档的持续保护（例如解密后的保护） …… 由于收发双方共享密钥，所以MAC不能提供数字签名;对MACs的要求： 抗多种攻击（例如穷举密钥攻击） 且满足:;2023/9/17;2023/9/17;§12.3 HMAC;利用带密钥的Hash函数实现消息认证;当前获得广泛应用的构造带密钥的Hash函数的方案是 HMAC（keyed-hashing for message authentication code） ，它是Bellare等人于1996年提出，并于1997年作为 RFC2104 标准发表， 并被很多因特网协议（如 SSL）所使用。HMAC算法利用已有的Hash函数，使用不同的Hash函数，就可以得到不同的HMAC，例如选用 MD5时的HMAC记为HMAC-MD5，选用SHA-1时的 HMAC记为HMAC-SHA1。;HMAC的设计目标是：;;2023/9/17 西安电子科技大学计算机学院 28;HMAC;;建立在嵌入Hash 函数基础上的所有MAC ，其安全性在某种程度上都依赖于该Hash函数的强度。对于HMAC，可以给出HMAC的强度与所嵌入Hash函数强度之间的关系。Bellare等人（1996年）已经证明，如果攻击者已知若干（时间、消息-MAC）对，则成 功攻击HMAC的概率等价于对所嵌入Hash函数的下列攻击之一： ① 即使对于攻击者而言，IV是随机的、秘密的和未知的，攻击者也能计算Hash函数的压缩函数的输出。 ② 即使IV是随机的和秘密的，攻击者也能找到Hash函数的碰撞。;HMAC 的安全性;12.6 基于分组密码的MAC;用对称密码产生MACs;Data Authentication Algorithm;① 置IV = 0，并把报文的最后一个分组用0填充成64比特； ? 采用DES的CBC模式加密报文； ③ 抛弃加密的中间结果，只将最后一组密文（或最后一组密文的左边M (16≤M≤64)比特）作为原始报文的MAC。;12.6.2 CMAC;12.7 认证加密;12.7 认证加密;12.8 使用Hash函数和MAC产生伪随机数