消息认证与消息完整性PPT(27张)
合集下载
第5章信息认证技术-1PPT课件
强抗碰撞性: 1.h的输入x可以是任意消息或文件M。 2.h的输出长度是固定的。给定h和M计算h(M)
是容易的。 3.给定h,找两个M1和M2使得h(M1)=h(M2)是
计算上不可行的
弱抗碰撞性:h(M1)=h(M2)是计算上可行的
-
10
第五章 信息认证技术
• 网络环境中的攻击(认证的需求)
– 1.泄漏 – 2.通信量分析 – 3.伪装(假报文) – 4.内容篡改(插入,删除,调换和修改) – 5.序号篡改(报文序号的修改) – 6.计时篡改(报文延迟或回放) – 7.抵赖(否认收或发某报文)
访问服务控制的重要支撑、信息源认证的可能 方法、责任人认定的依据
第五章 信息认证技术
第二节 身份认证 个人身份验证方法可以分成四种类型:
1. 验证他知道什么(密码、口令) 2. 验证他拥有什么(身份证、护照) 3. 验证他的生物特征(指纹、虹膜) 4. 验证他的下意识动作的结果(笔迹)
第五章 信息认证技术
①当M′≠M时,有SIG(M′K)≠SIG(M,K), 即S≠S′;
②签名S只能由签名者产生,否则别人便可 伪造,于是签名者也就可以抵赖;
第五章 信息认证技术
第三节 数字签名
一、数字签名的概念
③收信者可以验证签名S的真伪。这使得当 签名S为假时收信者不致上当,当签名S为真 时又可阻止签名者的抵赖;
-
2
消息摘要的主要特点
②消息摘要看起来是“随机的”。这些比特看 上去是胡乱的杂凑在一起的。
但是,一个摘要并不是真正随机的,因为用相同 的算法对相同的消息求两次摘要,其结果必然相 同;而若是真正随机的,则无论如何都是无法重 现的。因此消息摘要是“伪随机的”。
-
信息安全 第5章消息认证
所以许多不同的密钥(约2k-n个),计算出来的MAC都 等于MAC1。这些密钥中哪一个是正确的密钥不得而 知。这时需要新的M-MAC对来测试这2k-n个密钥, 于是有如下的重复攻击:
重复攻击
Step 1:
给定M1和MAC1 = C k1 (M1) 对所有2k个密钥,判断MACi = C ki (M1) 匹配数约为: 2k-n
没有消息认证的通信系统是极为危险的
消息M
用户A 用户B
篡改、伪造、重放、冒充
恶意者C
消息认证(Message Authentication)
消息认证用于抗击主动攻击
验证接收消息的真实性和完整性 真实性
的确是由所声称的实体发过来的
完整性
未被篡改、插入和删除
验证消息的顺序性和时间性(未重排、重放
MD5 hash算法 MD5 Hash Algorithm
MD4是MD5杂凑算法的前身, 由Ron Rivest于1990年10月作为RFC 提出,1992年4月公布的MD4的改进 (RFC 1320,1321)称为MD5。
M E K EK(M) D K M
由于攻击者不知道密钥K,他也就不知道如何改变密文中的 信息位才能在明文中产生预期的改变。 接收方可以根据解密后的明文是否具有合理的语法结构来进 行消息认证。 但有时发送的明文本身并名优明显的语法结构或特征,例如 二进制文件,因此很难确定解密后的消息就是明文本身。
提供消息认证和保密性:
K2
A
M
E C
K1
||
C K1
C K 1 [ E K 2 ( M )]
D 比较 K2
B
A和B共享K1和K2 K1:用于生成MAC K2:用于加密
《信息认证技术》PPT课件
通常有三种方法验证主体身份。
1)是只有该主体了解的秘密,如口令、密钥;
2)是主体携带的物品,如智能卡和令牌卡;
3)是只有该主体具有的独一无二的特征或能 力,如指纹、声音、视网膜图或签字等。 单独用一种方法进行认证不充分
第5讲 认证
身份认证系统架构包含三项主要组成元件:
认证服务器(Authentication Server)
第5讲 认证
认证信息截取/重放(Record/Replay) 有的系统会将认证信息进 行简单加密后进行传输,如果攻击者无法用第一种方式推算 出密码,可以使用截取/重放方式。攻击者仍可以采用离线方 式对口令密文实施字典攻击;
对付重放的方法有:
1在认证交换中使用一个序数来给每一个消息报文编号 ,仅当 收到的消息序号合法时才接受之;
第5讲 认证
4)主体特征认证
目前已有的设备包括:视网膜扫描仪、声音验 证设备、手型识别器等。安全性高。
例如:系统中存储了他的指纹,他接入网络时, 就必须在连接到网络的电子指纹机上提供他的 指纹(这就防止他以假的指纹或其它电子信息 欺骗系统),只有指纹相符才允许他访问系统。 更普通的是通过视网膜膜血管分布图来识别, 原理与指纹识别相同,声波纹识别也是商业系 统采用的一种识别方式。
否认 伪造 篡改 冒充
数字签名实现方式
Hash签名
通过一个单向函数(Hash)对要传送的报文进行处理, 用以认证报文来源。
公钥签名技术
用户使用自己的私钥对原始数据的哈希摘要进行加密, 接受者使用公钥进行解密,与摘要进行匹配以确定消 息的来源。
对称加密算法进行数字签名
Hash函数 单密钥 实现简单性能好 安全性低
4.不要暴露账户是否存在的信息 例:打入一个用户名后,不论账户是否存
认证、哈希算法PPT课件
T[64] = EB86D391
16 MD5算法描述(Cont.)
• 步骤5:输出结果。所有L个512位数据块处理完毕后,最后的结果 就是128位消息摘要。
CV0 = IV CVq+1 = SUM32(CVq,RFI[Yq,RFH[Yq,RFG[Yq,RFF[Yq,CVq]]]]) MD = CVL
其中:IV = ABCD的初始值(见步骤3) Yq = 消息的第q个512位数据块 L = 消息中数据块数; CVq = 链接变量,用于第q个数据块的处理 RFx = 使用基本逻辑函数x的一轮功能函数。 MD = 最终消息摘要结果 SUM32=分别按32位字计算的模232加法结果。
Yq
512
CVq 128
字
T[i] = 表T中的第i个32位字;
+
= 模 232的加;
ABCD
基本MD5操作(单步)
+
g
X[k] +
T[i] +
CLSs
Function g g(b,c,d) 1 F(b,c,d) (bc)(bd) 2 G(b,c,d) (bd)(cd) 3 H(b,c,d) bcd 4 I(b,c,d) c(bd)
实现都实际可行; – 对任意给定的码h, 寻求x使得H(x)=h在计算上是不
可行的(单向性); – 任意给定分组x, 寻求不等于x的y, 使得H(y)= H(x)
在计算上不可行(弱抗攻击性); – 寻求对任何的(x,y)对使得H(x)=H(y)在计算上不可
行(强抗攻击性);
7 Hash 函数设计原理
• 步骤2: 添加长度。原始消息长度(二进制位的个数 ),用64位表示。
表示为L个512位的数据块:Y0,Y1,…,YL-1。其长度为 L512bits。令N=L16,则长度
消息认证技术知识概述(ppt 25页)
(2) 初始化缓冲区
算法中使用了128位的缓冲区,每个缓冲区由4个32比特的寄存 器A,B,C,D组成,先把这4个寄存器初始化为:
A=01 23 45 67
B=89 AB CD EF
C=FE DC BA 98
D=76 54 32 10
4.3 MD5算法
(3) 处理512位消息块Yq,进入主循环 主循环的次数正好是消息中512位的块的数目L。先从Y0开始,
4.3 MD5算法
(1) 填充消息使其长度正好为512位的整数倍L
首先在消息的末尾处附上64比特的消息长度的二进制表示,大 小为 ,n表示消息长度。然后在消息后面填充一个“1”和多 个“0”,填充后的消息恰好是512比特的整倍长L。Y0,Y1, …,YL-1表示不同的512比特长的消息块,用M[0],M[1],…, M[N-1]表示各个Yq中按32比特分组的字,N一定是16的整数 倍。
出Hash值,要求输入M在计算上是不可行的,即运 算过程是不可逆的,这种性质称为函数的单向性。 (4) 给定消息M和其Hash值H(M) ,要找到另一个 M’ ,且M ≠M’,使得H(M) =H(M’)在计算上是不可行的 ,这条性质被称为抗弱碰撞性。 (5) 对于任意两个不同的消息 M ≠M’ ,它们的摘要值 不可能相同,这条性质被称为抗强碰撞性。
Hash函数的这种单向性特征和输出数据长度固定的 特征使得它可以用于检验消息的完整性是否遭到破 坏。
4.1 Hash函数
用作消息认证的Hash函数具有如下一些性质: (1) 消息M可以是任意长度的数据。 (2) 给定消息M,计算它的Hash值 h=H(M) 是很容易
的。 (3) 任意给定 h,则很难找到M使得h=H(M) ,即给
这个共享密钥,其他人也就不可能为消息M附加合适的MAC。 此为消息源验证。
消息认证
• 攻击者如何用强力攻击方法攻击MAC?
假设:用户A和B通信时没有增加保密性实现,攻击者可以看到 明文, k > n (k为密钥长度位数,n为MAC长度位数) 给定:M1和MAC1, MAC1= CK1(M1) 密码分析员可以计算MACi = CKi(M1) 对所有可能的Ki,至少有一 个Ki保证产生 MACi = MAC1 注意:总共会产生2k个MAC结果,但只有2n< 2k个不同的MAC 值,因此,有若干个key将产生相同的MAC,而攻击者无法确 定哪一个是正确的key。 平均来说, 2k/2n= 2(k-n)个key将产生匹配的MAC,所以,攻击 者需要循环多次攻击,以确定K: 第一轮:给定 M1和MAC1= CK(M1),对所有2k个key,计算 MACi = CKi(M1) ,匹配的数量 2(k-n) 第二轮:给定 M2和MAC2= CK(M2),对所有2(k-n)个key,计算 MACi = CKi(M2) ,匹配的数量 2(k-2n)
散列函数的基本用法(a、b)
Provides confidentiality -- only A and B share K Provides authentication -- H(M) is cryptographically protected
Provides authentication -- H(M) is cryptographically protected
问题
• 若对相当长的文件通过签认证怎么办?如一 个合法文件有数兆字节长。自然按64比特分划 成一块一块,用相同的密钥独立地签每一个块。 然而,这样太慢。
解决办法
• 解决办法:引入可公开的密码散列函数(Hash function)。它将取任意长度的消息做自变量,结果产 生规定长度的消息摘要。[如,使用数字签名标准DSS, 消息摘要为160比特],然后签名消息摘要。对数字签 名来说,散列函数h是这样使用的: 消息: x 任意长 消息摘要: Z=h(x) 160bits 签名: y=sigk(Z) 320 bits (签名一个消息摘要) • 验证签名:(x,y),其中y= sigk(h(x)),使用公开的散列函 数h,重构作Z =h(x)。然后Verk(y)=Z,来看Z=Z'
网络安全--消息鉴别(PPT35张)
一般是个2kn个key对应一个mac2kn2k2n可见强行攻击难度很大mac函数的安全性总结需要大量的mmac对对mac的强行攻击通常不能离线进行给定一个或多个mmac对而不知道密钥的情况下对于一个新的消息要计算出对应的mac在计算上不可行攻击者得到一个消息m及对应的mac则构造消息m使得macmac在计算上是不可行的基于哈希函数的鉴别基于哈希函数的鉴别可用于数字签名哈希函数消息鉴别1比较密钥k发送方接收方哈希函数消息鉴别2比较哈希密钥k比较密钥kua密钥kra发送方a接收方b哈希函数消息鉴别4比较密钥kua密钥kra发送方a接收方b密钥k密钥k哈希函数消息鉴别5比较哈希比较哈希发送方接收方哈希函数的安全性需求hm计算上不可行md5sha1hmac谢谢
M
E kRa
C
E kUb
C’
E
C
D
M
kRb
kUa
提供保密:KUb 提供鉴别和签名:KRa
基于MAC的鉴别
基于MAC的鉴别
消息鉴别码(Message Authentication Code, MAC)
发送方采用一种类似于加密的算法和一个密钥,根据 消息内容计算生成一个固定大小的小数据块,并加入 到消息中,称为MAC。 MAC = fk(m) 需要鉴别密钥 核心是类似于加密算法的鉴别码生成算法 MAC被附加在消息中,用于消息的合法性鉴别 接收者可以确信消息M未被改变 接收者可以确信消息来自所声称的发送者
给定哈希值h,寻找消息M使得H(M) = h,计算上不可行 给定消息M,寻找消息M’,使得H(M’) = H(M),计算上不 可行
弱抗冲突性
强抗冲突性
寻找两个消息M和N,使得H(N) = H(M) ,计算上不可行
M
E kRa
C
E kUb
C’
E
C
D
M
kRb
kUa
提供保密:KUb 提供鉴别和签名:KRa
基于MAC的鉴别
基于MAC的鉴别
消息鉴别码(Message Authentication Code, MAC)
发送方采用一种类似于加密的算法和一个密钥,根据 消息内容计算生成一个固定大小的小数据块,并加入 到消息中,称为MAC。 MAC = fk(m) 需要鉴别密钥 核心是类似于加密算法的鉴别码生成算法 MAC被附加在消息中,用于消息的合法性鉴别 接收者可以确信消息M未被改变 接收者可以确信消息来自所声称的发送者
给定哈希值h,寻找消息M使得H(M) = h,计算上不可行 给定消息M,寻找消息M’,使得H(M’) = H(M),计算上不 可行
弱抗冲突性
强抗冲突性
寻找两个消息M和N,使得H(N) = H(M) ,计算上不可行
消息认证与消息完整性(ppt 27页)PPT学习课件
第3章 信息认证技术
安全机 制
消息完整性机制
M信认主|息证要|H认 系 机(M证统制安|用设包|S)来计括全保者:服护的加通任密务信务、双是数提方构字供免造签鉴受好名加别任的、何认认S密为第证证A三码码,方(、B共的序A数签u享攻列th字名e击完n,整tica性数ti、o访 控字n身签Co问 制份名de认除)证了,等数可使整。以接据防收性止者完第受三骗方概鉴 交攻率击极别 换还小用化来。业防填止务通充信流双方的互路控相由制攻击。 公证
认证技术包括对消息完整性的认证和身份认证。
(1)在签名、加密之前,给数据附加一个完整性序列号
认证服务 Y EKRc[IDA|| M || EKRa[IDx|| H(M)] || T]
散列函数的基本用法:
Y
-
-
Y
-
-
-
产生认证码的函数归结为:
(1)在签名、加密之前,给数据附加一个完整性序列号
访问控制服务 - - Y - - - 消息的散列值由只有通信双方知道的秘密密钥K来控制。
3.2.3消息认证
a) M||CK(M) b) EK2[M||CK1(M) ]
提供鉴别 K仅A,B共享; 提供鉴别 K1仅A,B共享; 提供保密 K2仅A,B共享
c) EK2 [M]||CK1(EK2 [M]) 提供鉴别 K1仅A,B共享; 提供保密 K2仅A,B共享;
3.2.3消息认证
1) 消息认证码 基于分组密码算法的MAC
认证协议
消息完整性认证机制
某种函数产生认证码
用于鉴别消息的值
3.2.3 消息认证
认证系统设计者的任务是构造好的 认证码(Authentication Code),使 接收者受骗概率极小化。
信息安全技术chapter8消息认证、完整性检验与HASH函数PPT55页
常成 于困约 ,而败 于奢靡 。——陆 游 52、 生 命 不 等 于是呼 吸,生 命是活 动。——卢 梭
53、 伟 大 的 事 业,需 要决心 ,能力 ,组织 和责任 感。 ——易 卜 生 54、 唯 书 籍 不 朽。——乔 特
信息安全技术chapter8消息认证、完 整性检验与HASH函数
11、用道德的示范来造就一个人,显然比用法律来约束他更有价值。—— 希腊
12、法律是无私的,对谁都一视同仁。在每件事上,她都不徇私情。—— 托马斯
13、公正的法律限制不了好的自由,因为好人不会去做法律不允许的事 情。——弗劳德
14、法律是为了保护无辜而制定的。——爱略特 15、像房子一样,法律和法律都是相互依存的。——伯克
55、 为 中 华 之 崛起而 读书。 ——周 恩来
53、 伟 大 的 事 业,需 要决心 ,能力 ,组织 和责任 感。 ——易 卜 生 54、 唯 书 籍 不 朽。——乔 特
信息安全技术chapter8消息认证、完 整性检验与HASH函数
11、用道德的示范来造就一个人,显然比用法律来约束他更有价值。—— 希腊
12、法律是无私的,对谁都一视同仁。在每件事上,她都不徇私情。—— 托马斯
13、公正的法律限制不了好的自由,因为好人不会去做法律不允许的事 情。——弗劳德
14、法律是为了保护无辜而制定的。——爱略特 15、像房子一样,法律和法律都是相互依存的。——伯克
55、 为 中 华 之 崛起而 读书。 ——周 恩来
相关主题
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
认证协议
消息完整性认证机制
某种函数产生认证码
用于鉴别消息的值
3.2.3 消息认证
认证系统设计者的任务是构造好的 认证码(Authentication Code),使 接收者受骗概率极小化。
3.2.3消息认证
产生认证码的函数归结为:
* 消息加密:以整个消息的密文作为它的认 证码。
* 消息认证码(MAC):以一个消息的公共函 数和一个密钥作用于消息,产生一个定长分 组,作为认证码。 Message Authentication Code
•SHA安全散列算法(vc++6.0) /docs/ref521/s ha_8cpp-source.html
3.2.3消息认证
散列函数的基本用法:
a) EK[M||H(M)]
提供保密 K仅A,B共享 提供鉴别 加密保护H(M)
b) M|| EK[H(M) ] c) M|| EKRa[H(M)]
3.2.3消息认证
a) M||CK(M) b) EK2[M||CK1(M) ]
提供鉴别 K仅A,B共享; 提供鉴别 K1仅A,B共享; 提供保密 K2仅A,B共享
c) EK2 [M]||CK1(EK2 [M]) 提供鉴别 K1仅A,B共享; 提供保密 K2仅A,B共享;
3.2.3消息认证
1) 消息认证码 基于分组密码算法的MAC
3.2.3消息认证
5. 序列完整性检测
检测数据项的重放、重排、丢失等。
一般方法:
(1)在签名、加密之前,给数据附加一个 完整性序列号 (2)在签名、加密过程中利用数据项上的 链产生一个密码链
6. 抗抵赖
3.2.3消息认证
消息的否认分两种:起源否认和传递否认
抗起源否认机制:
(1)发送者签名
(2)可信第三方签名
可信系统(Trusted System)或可信第 三方(Trusted third party)
3.2.3消息认证
仲裁人C
IDA||M||EKRa[IDA|| H(M)]
A
B
EKRc[IDA|| M || EKRa[IDx|| H(M)] || T]
3.2.3消息认证 4. 签名(散列)算法实现
基于散列函数的MAC
消息的散列值由只有通信双方知道的秘密密钥K来控制。 HMAC-SHA-1
3.2.3消息认证
2) 散列函数
散列算法 •MD5报文摘要算法 按512bit块来处理输入,产生128bit报文摘要作为输出 •SHA安全散列算法(SHA-1) 按512bit块来处理输入,产生160bit报文摘要作为输出
安全信道
密钥源
信息认证技术
安全服务
安全机 制
加密
数字 签名
访问 数据完 鉴别 控制 整性 交换
业务流 填充
路由 控制
公证
认证服务
Y
Y
-
-
Y
-
-
-
访问控制服务 -
-
Y
-
-
-
-
-
机密性服务
Y
-
-
-
-
Y
Y
-
完整性服务
Y
Y
-
Y
-
-
-
-
抗抵赖服务-Y- NhomakorabeaY
-
-
-
Y
完整性认证
2低. 层认证的码函数用作高层认证协议的原语。 认证协议能使接收者完成消息的认证。
数字签名是实现认证、抗抵赖的主要工具。 用于解决否认、伪造、篡改及冒充等问题。
3.2.3消息认证
数字签名的实现方法
直接数字签名
利用公钥加密算法进行签名和验证
*使用发方的私有密钥对整个报文加密; *使用发方的私有密钥对报文的散列码进行加密;
仲裁数字签名
3.2.3消息认证
引入仲裁者
仲裁者在这一类签名模式中扮演敏感和 关键的角色。 所有的参与者必须极大地 相信这一仲裁机制工作正常。
第3章 信息认证技术
安全服务
安全机 制
加密
数字 签名
访问 数据完 鉴别 控制 整性 交换
业务流 填充
路由 控制
公证
认证服务
Y
Y
-
-
Y
-
-
-
访问控制服务 -
-
Y
-
-
-
-
-
机密性服务
Y
-
-
-
-
Y
Y
-
完整性服务
Y
Y
-
Y
-
-
-
-
抗抵赖服务
-
Y
-
Y
-
-
-
Y
第3章 信息认证技术
3.3.2 消息认证和 消息完整性
3.3.2 消息认证
消息认证是研究使发送 信息具有被验证的能力,使 接收者或第三方能够识别和 确认其真伪的技术。
3.3.2 消息认证
1. .信认源证、系统模型 .信宿、 .消息完整性、窜扰者 .消息的序号和时间。 主信源要机制认包证括编:码器加密、认数证译字码签器名、信宿 认证码、序列完整性、身份认证等。
* 散列函数(MDC):一个将任意长度的消 息映射为定长的散列值的公共函数,以散列 值作为认证码。 Manipulation detection code
3.2.3消息认证
基1于) D消E息S的认报证文码认证码(DES-CBC-MAC)
基于分组密码算法的MAC 基于散列函数的MAC
主要应用方式:
d) EK[M|| EKRa [H(M)]] e) M||H(M||S) f) EK[M|| H(M||S)]
提供鉴别 加密保护H(M) 提供鉴别 和数字签名; 加密保护H(M) 仅A生成EKRa[H(M)] 提供鉴别和数字签名;提供保密 提供鉴别 S为A,B共享 提供鉴别;提供保密
3.2.3消息认证
抗传递否认机制:
(1)接收者签名确认
(2)可信传递代理确认
小结
认证技术包括对消息完整性的认证和身 份认证。
完整性服务的保证主要可以使用 消息完整性机制 数字签名机制
数字签名也是提供抗抵赖服务的主要机 制。一般要引入公证的第三方。
思考: 为保证文档流转的真实性,设计保护方案。
信息安全支撑技术
信息保密技术 信息认证技术 授权管理与访问控制技术 安全管理技术
第二部分 信息安全支撑技术
第3章
信息认证技术
第3章 信息认证技术
信息认证技术。通过数字签名、 信息摘要以及身份认证理论和技术, 实现信息完整性检测;保护信息的 抗否认性。利用知识、推理、生物 特征和认证的可信协议及模型完成 实体的身份认证,防止身份的假冒。
3. 数字签名
数字签名在ISO7498-2标准中的定 义为:附加在数据单元上的一些数据, 或是对数据单元所做的密码变换,这种 数据和变换允许数据单元的接收者用以 确认数据单元来源和数据单元的完整性, 并保护数据,防止被他人(如接收者) 进行伪造。
3.2.3消息认证
信息认证用来保护通信双方免受任 何第三方的攻击, 数字签名除了可以防 止第三方攻击还用来防止通信双方的互 相攻击。
消息完整性认证机制
某种函数产生认证码
用于鉴别消息的值
3.2.3 消息认证
认证系统设计者的任务是构造好的 认证码(Authentication Code),使 接收者受骗概率极小化。
3.2.3消息认证
产生认证码的函数归结为:
* 消息加密:以整个消息的密文作为它的认 证码。
* 消息认证码(MAC):以一个消息的公共函 数和一个密钥作用于消息,产生一个定长分 组,作为认证码。 Message Authentication Code
•SHA安全散列算法(vc++6.0) /docs/ref521/s ha_8cpp-source.html
3.2.3消息认证
散列函数的基本用法:
a) EK[M||H(M)]
提供保密 K仅A,B共享 提供鉴别 加密保护H(M)
b) M|| EK[H(M) ] c) M|| EKRa[H(M)]
3.2.3消息认证
a) M||CK(M) b) EK2[M||CK1(M) ]
提供鉴别 K仅A,B共享; 提供鉴别 K1仅A,B共享; 提供保密 K2仅A,B共享
c) EK2 [M]||CK1(EK2 [M]) 提供鉴别 K1仅A,B共享; 提供保密 K2仅A,B共享;
3.2.3消息认证
1) 消息认证码 基于分组密码算法的MAC
3.2.3消息认证
5. 序列完整性检测
检测数据项的重放、重排、丢失等。
一般方法:
(1)在签名、加密之前,给数据附加一个 完整性序列号 (2)在签名、加密过程中利用数据项上的 链产生一个密码链
6. 抗抵赖
3.2.3消息认证
消息的否认分两种:起源否认和传递否认
抗起源否认机制:
(1)发送者签名
(2)可信第三方签名
可信系统(Trusted System)或可信第 三方(Trusted third party)
3.2.3消息认证
仲裁人C
IDA||M||EKRa[IDA|| H(M)]
A
B
EKRc[IDA|| M || EKRa[IDx|| H(M)] || T]
3.2.3消息认证 4. 签名(散列)算法实现
基于散列函数的MAC
消息的散列值由只有通信双方知道的秘密密钥K来控制。 HMAC-SHA-1
3.2.3消息认证
2) 散列函数
散列算法 •MD5报文摘要算法 按512bit块来处理输入,产生128bit报文摘要作为输出 •SHA安全散列算法(SHA-1) 按512bit块来处理输入,产生160bit报文摘要作为输出
安全信道
密钥源
信息认证技术
安全服务
安全机 制
加密
数字 签名
访问 数据完 鉴别 控制 整性 交换
业务流 填充
路由 控制
公证
认证服务
Y
Y
-
-
Y
-
-
-
访问控制服务 -
-
Y
-
-
-
-
-
机密性服务
Y
-
-
-
-
Y
Y
-
完整性服务
Y
Y
-
Y
-
-
-
-
抗抵赖服务-Y- NhomakorabeaY
-
-
-
Y
完整性认证
2低. 层认证的码函数用作高层认证协议的原语。 认证协议能使接收者完成消息的认证。
数字签名是实现认证、抗抵赖的主要工具。 用于解决否认、伪造、篡改及冒充等问题。
3.2.3消息认证
数字签名的实现方法
直接数字签名
利用公钥加密算法进行签名和验证
*使用发方的私有密钥对整个报文加密; *使用发方的私有密钥对报文的散列码进行加密;
仲裁数字签名
3.2.3消息认证
引入仲裁者
仲裁者在这一类签名模式中扮演敏感和 关键的角色。 所有的参与者必须极大地 相信这一仲裁机制工作正常。
第3章 信息认证技术
安全服务
安全机 制
加密
数字 签名
访问 数据完 鉴别 控制 整性 交换
业务流 填充
路由 控制
公证
认证服务
Y
Y
-
-
Y
-
-
-
访问控制服务 -
-
Y
-
-
-
-
-
机密性服务
Y
-
-
-
-
Y
Y
-
完整性服务
Y
Y
-
Y
-
-
-
-
抗抵赖服务
-
Y
-
Y
-
-
-
Y
第3章 信息认证技术
3.3.2 消息认证和 消息完整性
3.3.2 消息认证
消息认证是研究使发送 信息具有被验证的能力,使 接收者或第三方能够识别和 确认其真伪的技术。
3.3.2 消息认证
1. .信认源证、系统模型 .信宿、 .消息完整性、窜扰者 .消息的序号和时间。 主信源要机制认包证括编:码器加密、认数证译字码签器名、信宿 认证码、序列完整性、身份认证等。
* 散列函数(MDC):一个将任意长度的消 息映射为定长的散列值的公共函数,以散列 值作为认证码。 Manipulation detection code
3.2.3消息认证
基1于) D消E息S的认报证文码认证码(DES-CBC-MAC)
基于分组密码算法的MAC 基于散列函数的MAC
主要应用方式:
d) EK[M|| EKRa [H(M)]] e) M||H(M||S) f) EK[M|| H(M||S)]
提供鉴别 加密保护H(M) 提供鉴别 和数字签名; 加密保护H(M) 仅A生成EKRa[H(M)] 提供鉴别和数字签名;提供保密 提供鉴别 S为A,B共享 提供鉴别;提供保密
3.2.3消息认证
抗传递否认机制:
(1)接收者签名确认
(2)可信传递代理确认
小结
认证技术包括对消息完整性的认证和身 份认证。
完整性服务的保证主要可以使用 消息完整性机制 数字签名机制
数字签名也是提供抗抵赖服务的主要机 制。一般要引入公证的第三方。
思考: 为保证文档流转的真实性,设计保护方案。
信息安全支撑技术
信息保密技术 信息认证技术 授权管理与访问控制技术 安全管理技术
第二部分 信息安全支撑技术
第3章
信息认证技术
第3章 信息认证技术
信息认证技术。通过数字签名、 信息摘要以及身份认证理论和技术, 实现信息完整性检测;保护信息的 抗否认性。利用知识、推理、生物 特征和认证的可信协议及模型完成 实体的身份认证,防止身份的假冒。
3. 数字签名
数字签名在ISO7498-2标准中的定 义为:附加在数据单元上的一些数据, 或是对数据单元所做的密码变换,这种 数据和变换允许数据单元的接收者用以 确认数据单元来源和数据单元的完整性, 并保护数据,防止被他人(如接收者) 进行伪造。
3.2.3消息认证
信息认证用来保护通信双方免受任 何第三方的攻击, 数字签名除了可以防 止第三方攻击还用来防止通信双方的互 相攻击。