第3讲公钥密码和消息认证-(1)消息认证方法

合集下载

第三章信息认证技术

第5讲认证
加强口令安全的措施： A、禁止使用缺省口令。 B、定期更换口令。 C、保持口令历史记录，使用户不能循环使用旧口令。 D、用口令破解程序测试口令。
第5讲认证
2、口令攻击的种类
计算资源依靠口令的方式来保护的脆弱性：
网络数据流窃听。由于认证信息要通过网络传递，并且很多认证系统的口令是未经加密的明文，攻击者通过窃听网络数据，就很容易分辨出某种特定系统的认证数据，并提取出用户名和口令。口令被盗也就是用户在这台机器上的一切信息将全部丧失，并且危及他人信息安全，计算机只认口令不认人。最常见的是电子邮件被非法截获。
认证服务器(Authentication Server)
负责进行使用者身份认证的工作，服务器上存放使用者的私有密钥、认证方式及其他使用者认证的信息。
认证系统用户端软件(Authentication Client Software) 认证系统用户端通常都是需要进行登陆(login)的设备或系统，在这些设备及系统中必须具备可以与认证服务器协同运作的认证协定。
第5讲认证
1.选择很难破译的加密算法
让硬件解密商品不能发挥作用。
2.控制用户口令的强度(长度、混合、大小写)
3.掺杂口令
先输入口令，然后口令程序取一个 12 位的随机数(通过读取实时时钟)并把它并在用户输入的口令后面。然后加密这个复合串。最后把 64 位的加密结果连同 12 位的随机数一起存入口令文件。
信息安全概论
信息认证技术
信息认证技术
验证信息的发送者是否是合法的，即实体认证，包括信源、信宿的认证与识别。
数字签名身份识别技术
验证消息的完整性以及数据在传输和存储过程中是否会被篡改、重放或延迟。

信息安全第3讲-认证3(2011)

电子通信基础设施（网络）允许不同机器之间为不同的目的交换数据
电力供应基础设施可以让各种电力设备获得运行所需要的电压和电流
PKI 是什么?
• PKI(Pubic Key Infrastructure)是一系列基于公钥密码学之上，用来创建、管理、存储、分布和作废证书的软件、硬件、人员、策略和过程的集合。基础：公钥密码学动作：创建、管理、存储、分布和作废证书包含：软件、硬件、人员、策略和过程目的：表示和管理信任关系作用： PKI能为网络用户建立安全通信信任机制。
• IPSEC • SSL/TLS
小结
PKI是一个用公钥技术来实施和提供安全服务的具有普适性的安全基础设施 PKI的主要任务是管理密钥和证书 PKI由证书签发机构、证书注册机构、证书库、密钥备份与恢复系统、证书废除系统、应用接口组成 PKI标准化文档包括X.509、PKIX、 PKCS等
第3讲信息认证技术与应用
孙旭主讲成都理工大学信息工程学院
目录
• • • • • • • • 一.引言二.消息认证技术－验证完整性三.数字签名技术－不可抵赖性四.身份识别技术－用户标识五.主体认证协议－证实身份六. PKI 基本知识七. PKI 关键技术八. PKI 发展与应用
六、PKI 基本知识
PKIX系列文档
• 概貌 – RFC2459（描述证书和证书撤销列表）, RFC3280 • 运作协议 – RFC2559（描述LDAPv2）, RFC2560, RFC2585(描述FTP/HTTP操作协议), etc. • 管理协议 – RFC2510（描述证书管理协议CMP）, RFC2511, RFC2797, etc. • 策略概要– RFC2527 • 时间戳、数据验证和数据认证服务 – RFC3029, RFC3161 • • 处于IETF标准化的第一阶段：proposed standrad

计算机等三级考试《网络技术》考点：认证技术

计算机等三级考试《网络技术》考点：认证技术在信息安全领域中，常见的消息保护手段大致可分为加密和认证两大类。

加密前面我们已经介绍了，下面将介绍认证。

认证主要包括3方面：消息认证、数字签名、身份认证。

下面是为大家带来的认证技术，欢迎阅读。

1.消息认证(1)消息认证的概念消息认证就是使意定的接收者能够检验收到的消息是否真实的方法，又称为完整性校验。

消息认证的内容包括：证实消息的信源和信宿、消息内容是否曾受到偶然或有意的篡改、消息的序号和时间性是否正确。

(2)消息认证的方法②认证消息的完整性。

有两种基本途径：采用消息认证码(MAC)和采用篡改检测码(MDC)。

③认证消息的序号和时间。

常见的方法有：消息的流水作业号、随机数认证法和时间戳等。

(3)消息认证的模式消息认证的模式有两类方法：单向验证和双向验证。

(4)认证函数可用来认证的函数分为以下3类。

①信息加密数。

②信息认证码(MAC)。

③散列函数，常见的散列函数有MD5和SHA-1。

MD5通过下列4步得到128位消息摘要：填充——附加——初始化累加器——主循环。

SHA-1(安全哈希算法)产生l60位消息摘要。

2.数字签名(1)数字签名的要求消息认证用来保护通信双方免受任何的第三方的攻击，但是它无法防止通信双方的互相攻击。

数字签名可以保证信息传输过程中信息的完整性，并提供信息发送者本身的身份认证，防止抵赖行为的发生。

基于公钥密码体制和私钥密码体制都可以获得数字签名，但目前主流的是基于公钥密码体制的数字签名，包括普通数字签名和特殊数字签名。

普通数字签名的算法有：RSA、ELGamal、Fiat.Shamir、Guillou—Quisquarter、Schnorr、Ong.Schnorr-Shamir数字签名算法、DES/DSA、椭圆曲线数字签名算法和有限自动机数字签名算法等。

特殊数字签名算法：盲签名、代理签名、群签名、不可否认签名、公平盲签名、门限签名、具有消息恢复功能的签名等。

消息认证算法

消息认证算法一、介绍消息认证算法（Message Authentication Algorithm）是一种用于验证消息完整性和真实性的算法。

在信息传输过程中，为了防止消息被篡改或伪造，需要使用消息认证算法对消息进行保护。

本文将介绍消息认证算法的基本原理、常见的算法以及应用场景。

二、基本原理消息认证算法的基本原理是通过对消息进行加密和生成消息认证码（Message Authentication Code，MAC），然后将消息和MAC一起传输给接收方。

接收方在接收到消息后，使用相同的算法对消息进行解密，并重新生成MAC。

如果接收到的MAC与重新生成的MAC相符，则说明消息没有被篡改或伪造。

三、常见的算法3.1 HMACHMAC（Hash-based Message Authentication Code）是一种基于散列函数的消息认证算法。

它使用一个密钥和一个散列函数来生成MAC。

常用的散列函数有MD5、SHA-1、SHA-256等。

HMAC算法具有高效、安全和可靠的特点，被广泛应用于网络通信、数字签名等领域。

3.2 RSARSA（Rivest-Shamir-Adleman）是一种非对称加密算法，也可以用于消息认证。

RSA算法使用两个密钥，一个公钥和一个私钥。

发送方使用私钥对消息进行签名，接收方使用公钥对签名进行验证。

RSA算法具有较高的安全性，但计算量较大，适用于对安全性要求较高的场景。

3.3 DSADSA（Digital Signature Algorithm）是一种数字签名算法，也可以用于消息认证。

DSA算法使用一个密钥对，包括一个私钥和一个公钥。

发送方使用私钥对消息进行签名，接收方使用公钥对签名进行验证。

DSA算法具有较高的安全性和较快的计算速度，适用于对计算效率要求较高的场景。

3.4 ECDSAECDSA（Elliptic Curve Digital Signature Algorithm）是一种基于椭圆曲线的数字签名算法，也可以用于消息认证。

消息认证的方法

消息认证的方法
消息认证的方法有以下几种：
1. 对称密钥认证（Symmetric Key Authentication）：发送方和接收方使用同一个密钥进行加密和解密，确保消息的机密性和完整性。

2. 非对称密钥认证（Asymmetric Key Authentication）：发送方使用接收方公钥进行加密，接收方使用自己的私钥进行解密，确保消息的机密性和完整性。

3. 数字签名认证（Digital Signature Authentication）：发送方使用自己的私钥对消息进行签名，接收方使用发送方的公钥进行验证，确保消息的来源可信。

4. 消息认证码认证（Message Authentication Code Authentication）：发送方使用密钥对消息进行加密，并附带一个消息认证码（MAC），接收方使用相同的密钥计算消息认证码，进行比对，确保消息的完整性和来源可信。

5. 哈希认证（Hash Authentication）：发送方对消息进行哈希操作，生成一个固定长度的摘要值，接收方通过对接收到的消息进行哈希操作，并比对摘要值，确保消息的完整性。

信息安全第5章消息认证

所以许多不同的密钥(约2k-n个)，计算出来的MAC都等于MAC1。这些密钥中哪一个是正确的密钥不得而知。这时需要新的M-MAC对来测试这2k-n个密钥，于是有如下的重复攻击：
重复攻击

Step 1:
给定M1和MAC1 = C k1 (M1) 对所有2k个密钥，判断MACi = C ki (M1) 匹配数约为： 2k-n
没有消息认证的通信系统是极为危险的
消息M
用户A 用户B
篡改、伪造、重放、冒充
恶意者C
消息认证(Message Authentication)
消息认证用于抗击主动攻击
验证接收消息的真实性和完整性真实性
的确是由所声称的实体发过来的
完整性
未被篡改、插入和删除
验证消息的顺序性和时间性（未重排、重放

MD5 hash算法 MD5 Hash Algorithm
MD4是MD5杂凑算法的前身，由Ron Rivest于1990年10月作为RFC 提出，1992年4月公布的MD4的改进（RFC 1320，1321）称为MD5。
M E K EK(M) D K M
由于攻击者不知道密钥K，他也就不知道如何改变密文中的信息位才能在明文中产生预期的改变。接收方可以根据解密后的明文是否具有合理的语法结构来进行消息认证。但有时发送的明文本身并名优明显的语法结构或特征，例如二进制文件，因此很难确定解密后的消息就是明文本身。
提供消息认证和保密性：
K2
A
M
E C
K1
||
C K1
C K 1 [ E K 2 ( M )]
D 比较 K2
B
A和B共享K1和K2 K1：用于生成MAC K2：用于加密

消息认证码算法

消息认证码算法摘要：1.消息认证码算法的概述2.消息认证码算法的分类3.消息认证码算法的工作原理4.消息认证码算法的应用实例5.消息认证码算法的优缺点正文：【1.消息认证码算法的概述】消息认证码算法（Message Authentication Code，简称MAC）是一种用于验证消息真实性和完整性的加密技术。

在通信过程中，消息认证码算法可以确保接收方收到的消息与发送方发出的消息一致，防止消息被篡改或伪造。

消息认证码算法不同于加密算法，其主要目的是验证消息的真伪，而非加密消息的内容。

【2.消息认证码算法的分类】根据算法的特性和应用场景，消息认证码算法主要分为以下几类：（1）对称密钥算法：使用相同的密钥进行加密和解密，如：DES、AES 等。

（2）非对称密钥算法：使用不同的密钥进行加密和解密，如：RSA、ECC 等。

（3）哈希算法：将任意长度的消息映射为固定长度的摘要，如：SHA-1、SHA-256 等。

【3.消息认证码算法的工作原理】消息认证码算法通常采用“加密- 解密”的方式进行验证。

发送方首先使用密钥对消息进行加密生成认证码，然后将认证码与消息一同发送给接收方。

接收方收到消息后，使用相同的密钥对认证码进行解密，比较解密后的认证码与接收到的认证码是否一致，以此判断消息的真实性和完整性。

【4.消息认证码算法的应用实例】消息认证码算法广泛应用于各种通信场景，例如：网络数据传输、电子商务、数字签名等。

以数字签名为例，发送方首先使用哈希算法对消息进行摘要，然后使用私钥对摘要进行加密生成数字签名，将数字签名与消息一同发送给接收方。

接收方使用发送方的公钥对数字签名进行解密，比较解密后的数字签名与接收到的摘要是否一致，以此判断消息的真实性和完整性。

【5.消息认证码算法的优缺点】优点：（1）算法简单，计算量小，易于实现。

（2）可以有效防止消息被篡改或伪造。

缺点：（1）无法保证消息的保密性，仅能验证消息的真实性和完整性。

消息认证的三种方法

消息认证的三种方法
消息认证的三种方法包括：
1. 密码认证：使用预先共享的密码或密钥来验证消息的完整性和真实性。

发送方使用密钥对消息进行加密，并将其与消息一起发送。

接收方使用相同的密钥对消息进行解密，并验证消息是否与发送方发送的密文匹配。

2. 数字签名认证：使用公钥密码学技术创建和验证数字签名来验消息的完整性、真实性和身份。

发送方使用其私钥对消息进行数字签名，然后将消息和签名一起发送。

接收方使用发送方的公钥来验证签名，以确保消息是由发送方提供且未被篡改的。

3. 消息认证码（MAC）认证：使用一个密钥和散列函数来创
建和验证MAC来验证消息的完整性和真实性。

发送方使用密
钥和散列函数对消息进行计算，并将生成的MAC与消息一起
发送。

接收方使用相同的密钥和散列函数对收到的消息进行计算，并验证计算出的MAC是否与发送方发送的MAC匹配。

这种方法还可以防止消息被篡改，因为即使消息的内容被轻微更改，计算出的MAC也会与发送方发送的MAC不匹配。

这些方法可以单独或结合使用，以提供更强的消息认证和安全性。

举例说明消息认证的三种方法

举例说明消息认证的三种方法消息认证是确保消息的完整性、真实性和不可否认性的重要手段。

下面就来举例说明消息认证的三种方法。

第一种方法是基于密码的消息认证码。

它的步骤呢，就是发送方和接收方共享一个密钥，发送方利用这个密钥和要发送的消息计算出一个认证码，然后将消息和认证码一起发送给接收方。

接收方收到后，用同样的密钥和收到的消息计算出认证码，与接收到的认证码进行比较。

这其中要注意密钥的安全性，可不能轻易泄露呀！在这个过程中，只要密钥不被破解，那安全性可是相当高的呀，稳定性也很不错呢。

这种方法适用于很多场景，比如网络通信中对数据的认证。

想想看，要是没有它，那网络上的信息还不知道会乱成啥样呢！比如说在网上银行转账时，利用这种方法就能保证交易信息的准确无误，不会被篡改。

第二种方法是数字签名。

这就好像是给消息盖上一个独一无二的印章！发送方用自己的私钥对消息进行处理，得到数字签名，接收方用发送方的公钥来验证签名的真实性。

这里面的关键就是保护好私钥哦！这过程的安全性那是杠杠的，稳定性也没得说。

它的应用场景也很多呀，比如电子合同的签署，这多靠谱呀！就好像你签了一份重要合同，别人想假冒可没那么容易。

第三种方法是哈希函数。

发送方对消息计算哈希值，然后把消息和哈希值一起发送，接收方收到后重新计算哈希值进行比较。

这个简单又好用呢！注意哈希函数的选择要合适哦。

它的安全性和稳定性也不错呢。

常用于文件完整性的验证，你想想，下载一个大文件，用它来验证一下是不是完整的，多放心呀！就拿我们平时用的手机支付来说吧，这里面肯定用到了消息认证的方法呀，不然我们怎么能放心地付钱呢？正是因为有了这些可靠的消息认证方法，我们的信息安全和交易安全才有了保障呀！所以说呀，消息认证真的是太重要啦！消息认证就是我们信息世界的守护神呀，保护着我们的信息不被侵犯，让我们能安心地在信息的海洋里遨游！。

第三章认证技术

动态口令认证技术分为：基于时间同步（Time Synchronous）的认证技术、基于事件同步的（Event Synchronous）认证技术和挑战/应答方式的非同布（Challenge/Response Asynchronous）认证技术。
基于事件同步的认证技术
基于事件同步认证的原理是通过某一特定的事件次序及相同的种子值作为输入，在算法中运算出一致的密码。事件动态口令技术是让用户的密码按照使用次数不断动态变化。用户输入一次ID就会产生一个密码，变化单位是用户的使用次数。
指纹识别过程
上面介绍的身份认证方法可以单独使用，也可以结合起来使用，使用一种方法进行认证时，称为单因素认证，多种方法结合使用时，称为双因素或者多因素的身份认证。身份认证技术从需要验证的条件来划分，可以分为单因子认证和双因子认证；从是否使用硬件来划分，可以分为软件认证和硬件认证；从认证信息来划分，可以分为静态认证和动态认证。身份认证技术的发展经历了从单因子认证到双因子认证、从软件认证到硬件认证、从静态认证到动态认证的发展过程。
用户向应用服务器提交应用服务器的许可证和用户新产生的带时间戳的认证符（认证符以用户与应用服务器之间的会话密钥加密）。
应用服务器从许可证中取出会话密钥、解密认证符取出时间戳并检验有效性，从而验证用户。
通过以上3个阶段，客户端和服务器端完成身份认证，并且拥有了会话密钥。其后进行的数据交换将以此会话密钥进行加密。
身份的零知识证明
“零知识证明”是由Goldwasser等人在20世纪 80年代初提出的。它指的是示证方P掌握某些秘密信息，P想设法让认证方V相信他确实掌握那些信息，但又不想让V也知道那些信息的具体内容。
所谓身份的零知识证明，指的是示证者在证明自己身份时不泄露任何信息，验证者得不到示证者的任何私有信息，但又能有效证明对方身份的一种方法。

第四章消息认证

公钥密码体制加密认证
这种方式既能提供认证，又能够提供数字签名
A用B的公钥对明文加密 B能用自己的私钥解出明文，说明没有被人更改。
消息认证
(2) 消息认证码
使用一个密钥生成一个固定大小的小数据块，附加在消息后，称MAC （Message Authentication Code）。 MAC = FK(M) 收到消息后，只需要根据密钥和消息来计算MAC是否等于传过来的MAC。接收者可以确信消息M未被改变，也可以确信消息来自所声称的发送者；
MAC函数类似于加密函数，但不需要可逆性。因此在数学上比加密算法被攻击的弱点要少。
假设双方共享密钥
消息认证
为何要使用消息认证码? 根本上,信息加密提供的是保密性而非真实性加密代价大(公钥算法代价更大) 某些信息只需要真实性,不需要保密性
广播的信息难以使用加密(信息量大)
网络管理信息等只需要真实性政府/权威部门的公告
第四章
数字签名和认证技术
一二
消息认证
数字签名身份认证
三
回顾与总结
对称密码算法
– 运算速度快、密钥短、多种用途、历史悠久 – 密钥管理困难
非对称密码算法
– 只需保管私钥、可以相当长的时间保持不变、需要
的数目较小
– 运算速度慢、密钥尺寸大、历史短
信息安全的需求
保密性（ Confidentiality）
A->B: E(M || D(H(M),KdA),K)
几种常用的HASH算法
MD5
SHA-1
RIPEMD-160
MD5简介
Merkle于1989年提出hash function模型 Ron Rivest于1990年提出MD4

第3章信息认证技术

第3章信息认证技术本章学习目标本章介绍认证的概念、认证模式与认证方式、数字签名及一些认证的方法和技术。

认证的方法从两个方面进行介绍：身份认证和消息认证。

通过本章的学习，应该达到如下目标：掌握：数字签名的基本原理，哈希函数的基本概念。

理解：认证的概念与作用，消息认证和身份认证的基本原理。

了解：认证模式与认证方式，常用的数字签名体制和身份认证机制。

任务提出设有A公司的老板名叫Alice，B公司的老板名叫Bob，现Alice想传送一份标书File BS 给Bob，而公司C的老板想要假冒Alice的名义发另一份标书给Bob，以达到破坏A公司中标的目的。

怎样做才能使Bob确认标书的来源，并且在传输过程中未被修改过？3.1 认证概述在信息安全领域中，一方面是保证信息的保密性，防止通信中的机密信息被窃取和破译，防止对系统进行被动攻击；另一方面是保证信息的完整性、有效性，即要确认与之通信的对方身份的真实性，信息在传输过程中是否被篡改、伪装和抵赖，防止对系统进行主动攻击。

认证（Authentication）是防止对信息系统进行主动攻击（如伪造、篡改信息等）的重要技术，对于保证开放环境中各种信息系统的安全性有重要作用。

认证的目的有两个方面：一是验证信息发送者是合法的，而不是冒充的，即实体验证，包括信源、信宿等的认证和识别；二是验证信息的完整性以及数据在传输或存储过程中是否被篡改、重放或延迟等。

图3-1 纯认证系统模型·2·信息安全技术认证不能自动地提供保密性，而保密也不能自然地提供认证功能。

一个纯认证系统的模型如图3-1所示。

在这个系统中发送者通过一个公开信道将信息传送给接收者，接收者不仅想收到消息本身，还要通过认证编码器和认证译码器验证消息是否来自合法的发送者及消息是否被篡改。

系统中的密码分析者不仅可截获和分析信道中传送的密文，而且可伪造密文送给接收者进行欺诈，他不再像保密系统中的分析者那样始终出于被动地位，而是可发动主动攻击，因此常称为系统的串扰者（tamper）。

网络安全03- 公钥密码学

网络安全公开密钥算法重要地位和作用公钥密码体制是现代密码学的一个标志，到目前为止，是密码学史上最大也是唯一真正的革命。

引起密码界高度关注，并得到迅速的发展，尤其在信息安全的应用中涉及公钥密码技术。

≈ securing communication Encrypt Enc(k,m)key kkey k Adv. Learns nothing about m Agree on a secret key k next target ?de45#Cryptography in the past Modern cryptography Decrypt Dec(k,C)adversary Much more than encryption…sevenites now public-keyencryptione-cash electronic voting multiparty-computations mental poker zero-knowledgekey exchangeelectronic auctions digital signature重大历史时刻回顾1976年W．Diffie和Hellman 在《New Direction in Cryptography》中首次提出了非对称密码算法的思想。

1978年后Rivest，Shamir和Adleman提出的RSA密码系统，体现了公钥算法的思想。

--公开密钥算法的思想公钥密码体制构造是基于一定的数学难题–没有多项式时间能够解决的算法进行密码运算时，分别使用了两个不同的密钥：一个可对外界公开，称为“公钥”(public key –pk)；一个只有所有者知道并且秘密保存，称为“私钥”（secret key –sk)。

公钥往往是通过私钥的某种运算产生的。

要想由一个密钥推知另一个密钥，在计算上是不可能的。

公钥和私钥之间具有紧密联系，例如：用公钥加密的信息只能用相应的私钥解密；用私钥进行的数字签名密码运算，可以通过公钥来进行验证等。

网络安全思考题参考答案完整版

网络安全思考题参考答案完整版网络安全思考题参考答案集团标准化办公室：[VV986T-J682P28-JP266L8-68PNN]网络安全思考题答案第一章1.什么是osi安全体系结构？为了有效评估某个机构的安全需求，并选择各种安全产品和策略，负责安全的管理员需要一些系统性的方法来定义安全需求以及满足这些安全需求的方法，这一套系统体系架构便称为安全体系架构。

2.被动和主动威胁之间有什么不同？被动威胁的本质是窃听或监视数据传输，主动威胁包含数据流的改写和错误数据流的添加。

3.列出并简要定义被动和主动安全攻击的分类？被动攻击：消息内容泄漏和流量分析。

主动攻击：假冒，重放，改写消息和拒绝服务。

4.列出并简要定义安全服务的分类认证，访问控制，数据机密性，数据完整性，不可抵赖性。

5.列出并简要定义安全机制的分类。

特定安全机制：为提供osi安全服务，可能并到适当的协议层中。

普通安全机制：没有特定osi安全服务或者协议层的机制。

第二章1.对称密码的基本因素是什么？明文，加密算法，秘密密钥，密文，解密算法。

2.加密算法使用的两个基本功能是什么？替换和排列组合3.分组密码和流密码区别是什么？流密码是一个比特一个比特的加密，分组时若干比特同时加密。

比如DES是64bit的明文一次性加密成密文。

密码分析方面有很多不同。

比如说密码中，比特流的很多统计特性影响到算法的安全性。

密码实现方面有很多不同，比如流密码通常是在特定硬件设备上实现。

分组密码可以在硬件实现，也可以在计算机软件上实现。

4.攻击密码的两个通用方法是什么？密码分析与穷举法（暴力解码）5.为什么一些分组密码操作模式只使用了加密，而其他的操作模式使用了加密又使用了解密答：出于加密与解密的考虑，一个密码模式必须保证加密与解密的可逆性。

在密码分组链接模式中，对明文与前一密文分组异或后加密，在解密时就要先解密再异或才能恢复出明文；在计数器模式中，对计数器值加密后与明文异或产生密文，在解密时，只需要相同的计数器加密值与密文异或就可得到明文。

1、下载文档前请自行甄别文档内容的完整性，平台不提供额外的编辑、内容补充、找答案等附加服务。
2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
3、如文档侵犯您的权益，请联系客服反馈,我们会尽快为您处理(人工客服工作时间：9:00-18:30)。

2
3.1 消息认证方法
加密可以防止被动攻击（窃听）。
消息认证可以检测主动攻击（伪造数据和业务）。
认证包括:
•验证消息的内容有没有被篡改 •验证消息的来源是否可信 •验证消息的时效性（消息有没有被认为地延迟或重放） •两个实体之间消息流的相对顺序
3
网络与信息安全
3
消息内容认证
• 消息内容认证常用的方法：
②冒充攻击 •攻击者冒充合法用户发布虚假消息。 •为避免这种攻击可采用身份认证技术。
③重组攻击
•把以前协议执行时一次或多次传输的信息重新组合进行攻击。 •为了避免这类攻击，把协议运行中的所有消息都连接在一起。
④篡改攻击 •修改、删除、添加或替换真实的消息。 •为避免这种攻击可采用消息认证码MAC或hash函数等技术。
网络与信息安全
8
方法二：非加密算法的消息认证
• 不依赖于加密算法，都会生成认证标签，并附在消息的后面进行传输。消息本身并不会被加密，因此不提供消息的保密性。
• 通常消息认证和消息加密是两个独立的功能，但在一些特殊场景下可以将两者结合起来使用。
网络与信息安全
9
消息认证码
• MAC(Message authentication code)
• 另一种是通信双方事先约定各自发送消息所使用的通行字，发送消息中含有此通行字并进行加密，接收者只需判别消息中解密的通行字是否等于约定的通行字就能鉴别发送者。为了安全起见，通行字应该是可变的。
网络与信息安全
5
消息序号和操作时间的认证
• 消息的序号和时间性的认证主要是阻止消息的重放攻击。
• 常用的方法有消息的流水作业、链接认证符随机数认证和时间戳等。
• 可以使用现有的算法来充当MAC算法。MAC 算法类似于加密，不同点是认证算法不需要可逆，加密算法必须可逆。
网络与信息安全
12
单向哈希函数
• 哈希函数接收变长的消息作为输入，生成定长的哈希摘要H(M)。
• 利用哈希函数进行认证的工作原理同MAC一样。区别是哈希函数不需要密钥输入。• 方法：网络与信来自安全15使用秘密值
秘密值:发送方和接收方共享的秘密
MD'M=H(S||M)2
MDM=H(S||M)2
网络与信息安全
MDM=H(S||M)2
16
消息认证中常见的攻击和对策
①重放攻击
•截获以前协议执行时传输的信息，然后在某个时候再次使用。
•对付这种攻击的一种措施是在认证消息中包含一个非重复值，如序列号、时戳、随机数或嵌入目标身份的标志符等。
网络与信息安全
10
消息认K 证码
消息
MAC 算法
消息 MAC
消息 MAC 算法
MAC
双方 K共享密钥
MAC
MAC
MAC'M=F(K,M)
MACM=F(K,M)
发送方
MACM=F(K,M)
接收方
网络与信息安全
11
消息认证码
• 许多算法可以生产MAC，NIST标准推荐使用 DES,使用密文的最后几个比特用作MAC（如 16bit或32bit）。
网络与信息安全
Network and information security
主讲陈付龙
安徽师范大学计算机与信息学院（2020年）
第3讲公钥密码和消息认证
3.1 消息认证方法 3.2 安全散列函数 3.3 消息认证码 3.4 公钥密码原理 3.5 公钥密码算法 3.6 数字签名
网络与信息安全
– 消息发送者在消息中加入一个鉴别码（MAC、 MDC等）并经加密后发送给接受者（有时只需加密鉴别码即可）。
– 接受者利用约定的算法对解密后的消息进行鉴别运算，将得到的鉴别码与收到的鉴别码进行比较，若二者相等，则接收，否则拒绝接收。
网络与信息安全
4
源和宿的认证
• 一种是通信双方事先约定发送消息的数据加密密钥，接收者只需要证实发送来的消息是否能用该密钥还原成明文就能鉴别发送者。如果双方使用同一个数据加密密钥，那么只需在消息中嵌入发送者识别符即可。
• 又称：消息鉴别码、文件消息认证码、讯息鉴别码、信息认证码
• 利用密钥对消息加密获得的数据
• 是经过特定算法后产生的一小段信息，检查某段消息的完整性，以及作身份验证。
• 它可以用来检查在消息传递过程中，其内容是否被更改过，不管更改的原因是来自意外或是蓄意攻击。同时可以作为消息来源的身份验证，确认消息的来源。
网络与信息安全
17
网络与信息安全
6
如何进行实现消息认证功能？
• 方法一：利用常规加密算法的消息认证 • 方法二：非加密算法的消息认证
网络与信息安全
7
方法一：利用常规加密算法的消息认证
• 若使用对称加密模型，如果消息里带有错误检测码和序列号，则接收者能够确认消息是否被篡改过。
• 对数据认证而言只使用对称加密的方法不是一个合适的工具。例如分组重排的威胁，即在分组加密ECB模式下，攻击者重排密文分组次序后每一个分组仍然能被成功地解密。
– 使用传统加密
– 使用公钥加密
– 使用秘密值
网络与信息安全
13
使用传统加密
MD'M=H(M)
MDM=H(M)
MDEM=EK(MDM) 网络与信息安全
MDM=DK(MDEM)
14
使用公钥加密
MD'M=H(M)
MDEM=EPRa(MDM)
MDM=H(M)
MDM=DPUa(MDEM)
优势：既能提供数字签名又能提供消息认证；不需要在通信各方之间分发密钥。