无线网络安全技术-10消息认证和散列函数.ppt

2025/3/121/292021年东南大学信息平安根底课程

通信平安理论与技术秦中元东南大学信息科学与工程学院信息平安研究中心

2025/3/122/29上次课内容第10章密钥管理和其他公钥密码体制10.1密钥管理10.2Diffie-Hellman密钥交换10.3椭圆曲线算术10.4椭圆曲线密码学

2025/3/123/29公钥证书通信双方使用证书来交换密钥，而不是通过公钥管理员。证书包含用户编号和公钥，由证书管理员产生。CA=E[PRauth，T，IDa，PUa]

2025/3/124/29公钥和私钥的产生

2025/3/125/29密钥的产生

2025/3/126/29本次课内容第11章消息认证和散列函数11.1对认证的要求11.2消息加密11.3消息认证码11.4散列函数

2025/3/127/2911.1认证要求网络通信环境下的攻击类型：泄露(Disclosure)传输分析(Trafficanalysis)伪装(Masquerade)内容篡改(Contentmodification)顺序修改(Sequencemodification)计时修改(Timingmodification)发送方否认(Sourcerepudiation)接收方否认(Destinationrepudiation)机密性消息认证数字签名

2025/3/128/29消息认证——验证收到的消息确实来自声明的发送方且未被修改消息认证也可以验证消息的顺序和时间数字签名——一种认证技术，包含了防止发送方否认的方法11.1认证要求数据完整性不可否认性

2025/3/129/2911.2认证函数消息认证或数字证书可以看作有两层：下层:需要某种函数用于产生一个认证码，这个码用于认证消息。产生认证码的函数实现问题上层：将下层函数作为原语用于认证协议中。认证协议的设计问题认证函数类型：消息加密密文作为认证码消息认证码(MAC)函数输入为消息和密钥，生成值为一定长的值散列函数将一个消息映射为一个定长的摘要值

2025/3/1210/2911.2.1对称加密如果明文具有一定的语法结构，接收方可以判断解密后明文的合法性，从而确认消息来自发送方而且中间未受到篡改。如果明文为二进制文件，那么难以判断解密后的消息是正确的明文。

2025/3/1211/29内部和外部错误控制发送端：在加密前对每个消息附加错误检测码F，附加在M后面，对M和F一起进行加密。接收端：解密收到的信息，重新计算F，并与收到的F进行比较。

2025/3/1212/2911.2.2公钥加密保密性认证和签名

2025/3/1213/29公钥加密既能实现保密性，又能完成认证和签名。一次通信中要进行四次复杂的公钥算法。

2025/3/1214/29MessageAuthenticationCode(MAC)：利用共享密钥生成一固定长度的字段(记为MAC)MAC=C(K,M)K：共享密钥M:输入消息C：MAC函数MAC：消息认证码11.2.2消息认证码可以确认：消息不被修改消息来源于宣称的发送方消息的发送顺序未被改变〔要求消息中包含序列号〕与加密函数的区别：MAC不需要解密，即MAC函数无需可逆性MAC函数为多对一的映射关系

2025/3/1215/29基于DES的消息认证码数据认证算法(FIPSPUB113)使用CBC(CipherBlockChaining)方式，初始向量为0。它是使用最广泛的MAC算法之一。将数据按64位分组，D1,D2,…,DN，必要时最后一个数据块用0向右填充。运用DES加密算法E，密钥为K。数据鉴别码(DAC)的计算如下： O1=EK(D1) O2=EK(D2⊕O1) O3=EK(D3⊕O2) … ON=EK(DN⊕ON-1)

2025/3/1216/29基于DES的消息认证码

2025/3/1217/29消息认证码的讨论保密性与真实性是两个不同的概念从根本上说,信息加密提供的是保密性而非真实性加密代价大(公钥算法代价更大)某些信息只需要真实性,不需要保密性–播送的信息难以使用加密(信息量大)–网络管理信息等只需要真实性–政府/权威部门的公告

2025/3/1218/29针对MAC的穷举攻击令k为密钥长度，n为MAC长度假定不提供保密(图11.4(a))假设kn穷举攻击会产生2(k-n)个待选密钥给定M1和MAC1,利用穷举攻击方法测试所有的Ki.至少存在一个密钥可以匹配平均来说，会有2k/2n=2(k-n)密钥匹配第2轮：使用新的M和MAC，将不确定数减小到2(k-2n)个第i轮：不确定数减小到2(k-in)个平均需要?k/n?轮假设k?n,