【文档说明】网络安全--消息鉴别.pptx，共(35)页，112.682 KB，由精品优选上传

转载请保留链接：https://www.ichengzhen.cn/view-288395.html

以下为本文档部分文字说明：

网络安全消息鉴别安全的信息交换应满足的性质机密性（Confidentiality）完整性（Integrity）可用性（Availability）不可否认性（Non-repudiation）……

消息鉴别的概念消息鉴别（MessageAuthentication）⚫消息认证、报文认证、报文鉴别⚫鉴别：消息接收者对消息进行的验证，是一个证实收到的消息来自可信的源点且未被篡改的过程真实性：消息确实来自于真正的发送者，而非假冒完整性：

消息内容没有被篡改、重放或延迟消息鉴别的必要性网络通信的安全威胁⚫泄漏消息内容被泄漏给非授权用户⚫伪造假冒源点的身份向网络中插入消息⚫消息篡改内容篡改：插入、删除、修改等序号篡改：在依赖序号的协议如TCP中，对消息序号进行篡改，包括插入、删除、重排等时间篡改：对消息

进行延迟或重放消息鉴别的作用保护双方的数据交换不被其他人侵犯⚫基于双方共享的秘密⚫但是消息鉴别无法解决双方之间可能存在的争议B伪造一个消息，声称是A发送的B否认发送过某个消息，而A无法证明B撒谎单纯鉴别系统的模型安全信道信

道信源鉴别编码器鉴别密钥源攻击者鉴别解码器信宿需要鉴别密钥，而且此密钥一般不同于加密密钥消息鉴别系统的构成认证算法：底层实现的一项基本功能⚫认证功能要求底层必须实现某种能生成认证标识的算法⚫认证标识（鉴别符）是一个用于消息鉴别的特征值

⚫认证标识的生成算法用一个生成函数f来实现，称为鉴别函数认证协议⚫接收方用该协议来完成消息合法性鉴别的操作⚫认证协议调用底层的认证算法（鉴别函数），来验证消息的真实性鉴别函数f是决定认证（鉴别）系统特性的主要因素认证协议算法：鉴别函数高层认证协议消息鉴别系统的分类可

根据鉴别函数的特性分类根据鉴别符的生成方式，鉴别函数可以分成以下几类：⚫基于消息加密方式的鉴别以整个消息的密文作为鉴别符⚫基于消息鉴别码（MAC）的鉴别方式发送方利用公开函数+密钥产生一个固定长度的值作为鉴别标识

，并与消息一同发送⚫基于Hash函数的鉴别方式采用hash函数将任意长度的消息映射为一个定长的散列值，以此散列值为鉴别码可以认为是MAC方式的一种特例基于消息加密方式的鉴别基于消息加密方式的鉴别以整个消息的密文为鉴别符加密模式⚫

对称密钥模式⚫公开密钥模式接收端鉴别的实现⚫基于这样的假设：接收端能够正确地对密文解密，就可以确定消息是完整的，而且是来自于真实的发送方，从而实现了对消息的鉴别使用对称密钥模式提供保密提供鉴别⚫仅来自A⚫传输中未被更改不提供签名MCMEDkk发

送方A接收方B使用对称密钥模式的问题存在的问题⚫接收端怎样判断密文的合法性⚫接收端如何判断解密的结果是否正确解密运算的本质是数学运算⚫原始消息对接收端是未知的⚫接收端可以得到M’=Dk(c)⚫怎么判断M=M’一种

方法是强制明文具有某种结构使用公钥加密体制1提供保密不提供鉴别和签名MCMEDkUbkRb发送方A接收方B使用公钥加密体制2不提供保密提供鉴别与签名⚫仅A有KRa可以加密⚫传输中未被更改MCMEDkRakUa发送方A接收方B使用公钥加密体制3提供保密：KUb提供

鉴别和签名:KRaMCMEDkRakUa发送方A接收方BC’EkUbCEkRb基于MAC的鉴别基于MAC的鉴别消息鉴别码（MessageAuthenticationCode,MAC）⚫发送方采用一种类似于加密的算法和一个密钥，根据消

息内容计算生成一个固定大小的小数据块，并加入到消息中，称为MAC。MAC=fk(m)需要鉴别密钥⚫核心是类似于加密算法的鉴别码生成算法⚫MAC被附加在消息中，用于消息的合法性鉴别功能⚫接收者可以确

信消息M未被改变⚫接收者可以确信消息来自所声称的发送者消息鉴别码的基本原理MMMMACMACf()f()比较密钥K密钥K认证结果信道双方共享鉴别密钥k发送方接收方MAC函数的特点MAC函数类似于加密函数，需要

密钥MAC函数无需可逆，可以是单向函数⚫使得MAC函数更不易被破解MAC函数不能提供对消息的保密⚫保密性通过对消息加密而获得需要两个独立密钥⚫两种方式：先计算MAC再加密先加密再计算MAC基于MA

C的鉴别过程独立于加、解密过程可以用于不需加密保护的数据的鉴别MAC方法不能提供数字签名功能⚫所以无法防止对方的欺骗MAC的基本应用1提供消息鉴别⚫仅A和B共享密钥K’MMMACf()比较密钥K’f()发送方A接收方BMMACMAC的基本应用2MMMAC

f()D()比较密钥KE()密钥K密钥K’MMACf()密文发送方接收方提供保密只有A和B共享k提供鉴别只有A和B共享k’1、先计算MAC再加密2、K是加密密钥3、K’是认证密钥MAC的应用3密文MMACf()f()比较密钥K’E

()密钥K密钥K’密文+D()密钥KM1、先加密再计算MAC2、K是加密密钥3、K’是认证密钥发送方接收方提供保密只有A和B共享k提供鉴别只有A和B共享k’MAC函数的安全性分析MAC函数的特点⚫多对一映射对同一个M，存在多个key产生相同的MACKey

相同，存在多个M产生相同的MAC⚫n-bitMAC:2n个可能的MAC⚫K-bit密钥：2k个可能的密钥⚫N个可能的消息：N>>2n⚫一般情况下，n<kMAC函数的安全性⚫主要是对强行攻击的抵抗能力⚫方式：穷举法，根据已知消息M和对应的MAC值，来推断密钥k⚫前提：MAC算法已知MF()

kMAC对MAC函数强行攻击的方式已知消息M1和对应的MAC1值对所有可能的密钥ki，计算消息M1的MAC，其中至少存在一个k，使得fk(M1)=MAC1由于密钥空间为2k大，以上计算将产生2k个MAC结果；而MAC空间为2n大，且2n

<2k，故存在多个k产生相同的MAC：一般是个2k-n个key对应一个MAC为了确定哪一个是正确的key，分析者需要选择另一组M2和MAC2，对上面的个结果进行验证，以缩小搜索范围因此，可能需要多轮验证：大约需要k/n轮计算量为2k+

2k-n+2k-2n+……可见强行攻击难度很大MAC函数的安全性总结需要大量的（M，MAC)对，对MAC的强行攻击通常不能离线进行MAC算法抵抗强行攻击的有效级为（2k,2n）中的最小值为了足够安全，MAC函数应

该具有以下的性质：⚫给定一个或多个(M,MAC)对而不知道密钥的情况下，对于一个新的消息，要计算出对应的MAC在计算上不可行⚫攻击者得到一个消息M及对应的MAC，则构造消息M’使得MAC’=MAC在计算上

是不可行的基于哈希函数的鉴别基于哈希函数的鉴别哈希函数⚫一种单向函数⚫输入：任意长度的消息M⚫输出：固定长度的消息摘要是一个固定长度的哈希值H(M)⚫哈希值是消息中所有比特的函数值消息中任意内容的变化

将导致哈希值的变化⚫具有完整性检测功能⚫可用于数字签名哈希函数消息鉴别(1)基本的哈希函数消息鉴别⚫对称加密：发端和收端共享加密密钥k⚫哈希值提供了消息鉴别需要的结构和冗余⚫提供保密和鉴别双重功能：消息和H(M)被加密保护MMEk[M‖H(M)]H(

M)H()D()比较密钥KE()密钥KMH(M)H()发送方接收方哈希函数消息鉴别(2)仅对哈希值进行加密的鉴别方案⚫用于不需对消息加密的场合⚫基于对称密钥机制⚫提供鉴别：H(M)被加密保护MMEk[H(M)]H()D()比较哈希密

钥KE()密钥KH()MEk[H(M)]哈希函数消息鉴别(3)仅对哈希值进行加密的鉴别方案⚫用于不需对消息加密的场合⚫基于公开密钥机制⚫提供鉴别和数字签名：发送方用自己的私钥加密H(M)MMEkRa[H(M)]H()D()比较密钥K

UaE()密钥KRaH()MEkRa[H(M)]发送方A接收方B哈希函数消息鉴别(4)提供保密：对称密钥算法、密钥k进行外层加密提供鉴别和数字签名：A用私钥对消息明文的哈希值进行加密MMEkRa[H(M)]H()D()比较密钥KUaE(

)密钥KRaH()MEkRa[H(M)]发送方A接收方BED密钥K密钥K哈希函数消息鉴别(5)采用秘密数值的哈希鉴别⚫通信双方共享一个秘密数值s⚫计算哈希值时，s附加到消息M上一起计算得到H(M|s)⚫传输过程中，数据不加密，但不传送s⚫提供鉴别：只有发送方和接收

方共享秘密S⚫适用于加密算法不可用的场合MMH(M|s)H()比较哈希H()MH(M|s)MssMss哈希函数消息鉴别(6)提供鉴别：只有发送方和接收方才共享S提供保密：只有发送方和接收方才共享kMMH(M|

s)H()比较哈希H()MH(M|s)MssMssEK密文DK发送方接收方哈希函数的安全性需求哈希函数的输入可以是任意长度消息哈希函数的输出是定长度的数值哈希函数的计算要简单单向性⚫给定哈希值h，寻找

消息M使得H(M)=h，计算上不可行弱抗冲突性⚫给定消息M，寻找消息M’，使得H(M’)=H(M)，计算上不可行强抗冲突性⚫寻找两个消息M和N，使得H(N)=H(M)，计算上不可行几种安全的哈希函数：⚫MD5,SHA-1,HMAC谢谢！