第8章_报文鉴别技术

报文鉴别系统的功能
从层次角度上来看，报文鉴别系统的功能一般可以划 层次角度上来看， 角度上来看 分成两个基本的层次: 分成两个基本的层次: 鉴别函数: (1)鉴别函数 在较低的层次上， (1)鉴别函数:在较低的层次上，系统需要提供某种报 文鉴别函数 f 来产生一个用于实现报文鉴别的鉴别 符或鉴别码； 符或鉴别码； (2)鉴别协议 鉴别协议： (2)鉴别协议：消息的接收者通过鉴别协议完成对报文 合法性的鉴别，底层的鉴别函数通常作为一个原语， 合法性的鉴别，底层的鉴别函数通常作为一个原语， 为高层鉴别协议的各项功能提供服务； 为高层鉴别协议的各项功能提供服务； 鉴别函数 f 是决定鉴别系统特性的主要因素。 是决定鉴别系统特性的主要因素。
2
网络通信的安全威胁
(1)泄漏:消息的内容被泄漏没有合法权限的人或过程。 (1)泄漏:消息的内容被泄漏没有合法权限的人或过程。 泄漏 加强消息和报文的保密性,通过加密手段 加强消息和报文的保密性 通过加密手段 (2)伪造 以假冒源点的身份向网络中插入报文; 伪造: (2)伪造:以假冒源点的身份向网络中插入报文; 防范的一般方法是消息鉴别技术， (3)消息篡改 内容篡改、序号篡改、 消息篡改: 防范的一般方法是消息鉴别技术 (3)消息篡改:内容篡改、序号篡改、时间篡改 ，数字 (4)行为抵赖 签名也有防信息伪造和篡改的能力， (4)行为抵赖 签名也有防信息伪造和篡改的能力，是 包括防止信源或信宿抵赖的鉴别技术 • 接收端否认收到某报文； 接收端否认收到某报文； • 源点否认发过某报文。 源点否认发过某报文。 数字签名 (5)流量分析：发现通信双方的通信方式。在一个面向 (5)流量分析：发现通信双方的通信方式。在一个面向 流量分析 的应用中， 连接的应用中 连接的应用中，可以用来确定连接的频率和持续时 间长度。在一个面向连接或无连接的应用中， 面向连接或无连接的应用中 间长度。在一个面向连接或无连接的应用中，可以 报文鉴别提供了一种证实收到的报文来自可信的源 用来确定报文数量和长度。 用来确定报文数量和长度。 点且未被篡改的过程， 点且未被篡改的过程，它也可证实序列编号和及时 性。
12
附加报文鉴别结构
• 终点B 终点B –接收密文 X； 接收密文 –用密钥K解密得到明文Y=DK(X)，其中Y被视为附加 用密钥K 用密钥 解密得到明文Y=D (X)，其中Y 校验码的消息， [M′‖C′]； 校验码的消息，即 Y= [M′‖C′]； –利用校验函数F 计算明文Y中消息部分的校验码 利用校验函数F 利用校验函数 计算明文Y F(M′)。若校验码相匹配， F(M′)=C′， F(M′)。若校验码相匹配，即F(M′)=C′，则可 确认报文是可信的，M′就是原始消息 就是原始消息M 确认报文是可信的，M′就是原始消息M，并且可 以确认该报文就是来自A 以确认该报文就是来自A的，因为任何随机的比特 序列是不可能具有这种期望的数学关系的。 序列是不可能具有这种期望的数学关系的。
8
基于报文加密方式的鉴别—常规对程加密 基于报文加密方式的鉴别 常规对程加密
加密的同时提供保密和鉴别。 对称密钥加密方式 ：加密的同时提供保密和鉴别。
密钥仅被A 密钥仅被A和B共享,A是唯一拥有密钥K和生成密文的一方。如 共享,A是唯一拥有密钥K和生成密文的一方。 ,A是唯一拥有密钥 果密文被恢复， 就可以知道M中的内容没有被篡改， 果密文被恢复，B就可以知道M中的内容没有被篡改，因为不 知道密钥K将无法改变密文X从而使明文Y产生变化。 知道密Байду номын сангаасK将无法改变密文X从而使明文Y产生变化。
消息M对于B 消息M对于B来说 未知的,B ,B如何判 未知的,B如何判 断密文M 断密文M的合法性
9
对称密钥加密鉴别实现方式
• 问题：B如何判断收到的密文X的合法性？ 问题： 如何判断收到的密文X的合法性？ • 如果消息M是具有某种语法特征的文本，或者M本身 如果消息M是具有某种语法特征的文本，或者M 可通过分析Y的语法或结构特征。 具有一定的结构 ：B可通过分析Y的语法或结构特征。 • 如果消息M是完全随机的二进制比特序列： B无法判 如果消息M是完全随机的二进制比特序列： 断是否正确恢复密文。 断是否正确恢复密文。 • 解决办法：强制明文使其具有某种结构。 解决办法：强制明文使其具有某种结构。 –这种结构易于识别、不能被复制，同明文相关， 这种结构易于识别、不能被复制，同明文相关， 这种结构易于识别 并且不依赖于加密。 并且不依赖于加密。 • 最简单的办法：对报文M进行加密以前，在报文上附 最简单的办法：对报文M进行加密以前， 加一个检错码(检错码形式可以多种多样， 加一个检错码(检错码形式可以多种多样，如使用贞 检验序列号或贞校验和) 检验序列号或贞校验和)。
4
纯报文鉴别系统模型
5
报文鉴别系统模型说明
(1)在这个系统中的发送者通过一个公开的无干扰信道 (1)在这个系统中的发送者通过一个公开的无干扰信道 在这个系统中的发送者通过一个 将消息送给接收者，接收者不仅要收到消息本身， 将消息送给接收者，接收者不仅要收到消息本身， 而且还要验证消息是否来自合法的发送者及消息是 否经过篡改。 否经过篡改。 (2)系统中的密码分析者不仅要截收和破译信道中传送 (2)系统中的密码分析者不仅要截收和破译信道中传送 的密报，而且可伪造密文送给接收者进行欺诈（ 的密报，而且可伪造密文送给接收者进行欺诈（将 其称为系统的窜扰者-----------tamper) 其称为系统的窜扰者------tamper) 。 (3)实际鉴别系统可能还要防止收方 实际鉴别系统可能还要防止收方、 (3)实际鉴别系统可能还要防止收方、发方之间的相互 欺诈。 欺诈。 (4)上述标出的鉴别编码器和鉴别译码器可抽象为鉴别 (4)上述标出的鉴别编码器和鉴别译码器可抽象为鉴别 函数。一个安全的鉴别系统， 函数。一个安全的鉴别系统，首先要选好恰当的鉴 别函数，然后在此基础上， 别函数，然后在此基础上，给出合理的鉴别协议 Protocol)。 (Authentication Protocol)。 6
采用报文鉴别码的鉴别方式
17
报文鉴别码的功能
• 如果B端通过比较发现MAC匹配，则可确信报文M没有 如果B端通过比较发现MAC匹配，则可确信报文M MAC匹配 完整性） 被篡改过 （完整性） –若攻击者更改报文内容而末更改MAC，则接收者 若攻击者更改报文内容而末更改MAC 若攻击者更改报文内容而末更改MAC， 计算出的MAC将不同于接收到的MAC MAC将不同于接收到的MAC； 计算出的MAC将不同于接收到的MAC； –由于攻击者不知道密钥K，故他不可能计算出一 由于攻击者不知道密钥K 由于攻击者不知道密钥 个与更改后报文相对应MAC MAC值 个与更改后报文相对应MAC值。 • 接收者B也能够确信报文M是来自发送者A的 （真实 接收者B也能够确信报文M是来自发送者A 性） –只有A了解密钥K，也只有A能够计算出报文M所对 只有A 只有 了解密钥K 也只有A能够计算出报文M 应的正确的MAC MAC值 应的正确的MAC值。
10
基于报文加密方式的鉴别—附加报文鉴别结构 基于报文加密方式的鉴别 附加报文鉴别结构
F(M)消息的任何 F(M)消息的任何 附加类型结构， 附加类型结构， TCP头部 如TCP头部
检验码被作为作为内部差错控 制，在加密之前附加到明文
11
附加报文鉴别结构
• 源点A 源点A –对消息明文M首先利用校验函数F 计算出消息的 对消息明文M 对消息明文 首先利用校验函数F C=F(M)； 校验码 C=F(M)； –校验码 C=F(M)被附加到原始消息明文上，生成 被附加到原始消息明文上， 校验码 C=F(M)被附加到原始消息明文上 [M‖C]； 新的明文 [M‖C]； –利用密钥K对明文 [M‖C]进行加密，得到密文 利用密钥K [M‖C]进行加密 进行加密， 利用密钥 [M‖C]； X=EK [M‖C]； –将密文X发送给接收端 B 将密文X 将密文
信息工程学院
景旭
jingxu1818@163.com
第8章 报文鉴别技术
1
报文鉴别的概念
报文鉴别（ Authentication） 报文鉴别（Message Authentication） Message：消息、报文。 Message：消息、报文。 Authentication： 鉴别、认证。 Authentication： 鉴别、认证。 鉴别：消息的接收者对消息进行的验证。 鉴别：消息的接收者对消息进行的验证。 鉴别的主要目的： 鉴别的主要目的： 真实性：验证报文的发送者是真正的, 真实性：验证报文的发送者是真正的,而不是冒 充的，此为信源识别 信源识别； 充的，此为信源识别； 完整性：在传送或存储过程中未被篡改， 完整性：在传送或存储过程中未被篡改，重放或 延迟等
3
鉴别与保密的关系
是构成信息系统安全的两个方面， 是构成信息系统安全的两个方面，但属于两个不同属 性上的问题：用密码保护传送的报文，使其不被破 性上的问题：用密码保护传送的报文，使其不被破 是防止对手对系统进行主动攻击，如伪造， 译；是防止对手对系统进行主动攻击，如伪造，篡 改报文等。 改报文等。 鉴别或认证（authentication） 鉴别或认证（authentication）则是防止主动攻击的 重要技术， 重要技术，它对于开放的网络中的各种信息系统的 安全性有重要作用。 安全性有重要作用。 鉴别的主要目的： 鉴别的主要目的： 验证报文的发送者是真正的,而不是冒充的，此为信源 验证报文的发送者是真正的,而不是冒充的，此为信源 识别； 识别； 验证报文的完整性 在传送或存储过程中未被篡改， 完整性， 验证报文的完整性，在传送或存储过程中未被篡改， 重放或延迟等。 重放或延迟等。
13
TCP Header
14
基于报文加密方式的鉴别—公开密钥加密方式 基于报文加密方式的鉴别 公开密钥加密方式
A是唯一拥有 Kra的人 的人, Kra的人,用Kua 解密, 解密,鉴别消息 来源为A 来源为A； 附加特定结构 提高鉴别能力, 提高鉴别能力, 一般包含用户A 一般包含用户A 签名
15
7
鉴别函数的分类
• 基于报文加密方式的鉴别： 以整个报文的密文作为 基于报文加密方式的鉴别： 鉴别符。 鉴别符。 • 报文鉴别码（MAC）方式。 报文鉴别码（MAC）方式。 • 散列函数方式： 采用一个公共散列函数，将任意长 散列函数方式： 采用一个公共散列函数， 度的报文映射为一个定长的散列值， 度的报文映射为一个定长的散列值，并以散列值作 为鉴别符。 为鉴别符。
报文鉴别码MAC 报文鉴别码
• 报文鉴别码或消息鉴别码（message 报文鉴别码或消息鉴别码（ code,MAC）： ）：核心是一个类似于加 authentication code,MAC）：核心是一个类似于加 密的算法C ()。 密的算法CK()。 • CK() 在密钥的作用下，以报文内容作为输入，其输 在密钥的作用下，以报文内容作为输入， 出值是一个较短的定长数据分组，也就是MAC MAC， 出值是一个较短的定长数据分组，也就是MAC，即： MAC ＝ CK（M） • MAC被附加在报文中传输，用于消息的合法性鉴别。 MAC被附加在报文中传输 用于消息的合法性鉴别。 被附加在报文中传输， • 鉴别过程：假定通信双方共享一个密钥K。当源点A 鉴别过程：假定通信双方共享一个密钥K 当源点A 向终点B发送消息M 首先计算出该消息报文M 向终点B发送消息M时，首先计算出该消息报文M的 MAC值 ）。MAC MAC被附加到原始报文发 MAC值： MAC ＝ CK（M）。MAC被附加到原始报文发 送到接收者B 使用相同的密钥K对收到的报文M 送到接收者B。B使用相同的密钥K对收到的报文M执 行相同的计算并计算出新的MAC 并与收到的MAC MAC， MAC进 行相同的计算并计算出新的MAC，并与收到的MAC进 行比较。 行比较。 16