收藏
下载资源

消息鉴别与数字签名ppt课件

上传人:bin****86 文档编号:55327338 上传时间:2018-09-27 格式:PPT 页数:43 大小:406.50KB
返回 下载 相关 举报
消息鉴别与数字签名ppt课件_第1页
第1页 / 共43页
消息鉴别与数字签名ppt课件_第2页
第2页 / 共43页
消息鉴别与数字签名ppt课件_第3页
第3页 / 共43页
消息鉴别与数字签名ppt课件_第4页
第4页 / 共43页
消息鉴别与数字签名ppt课件_第5页
第5页 / 共43页
点击查看更多>>
资源描述

《消息鉴别与数字签名ppt课件》由会员分享,可在线阅读,更多相关《消息鉴别与数字签名ppt课件(43页珍藏版)》请在金锄头文库上搜索。

1、第3章 消息鉴别与数字签名,经典密码学-现代公开的计算机环境 保密有效系统地保障电子数据的机密性、完整性和真实性 公开的计算机网络环境中,传输中的数据可能遭受到威胁(5种): 泄密 通信业务量分析 伪造: 攻击者假冒发方身份,向网络插入一条消息;或假冒接收方发送一个消息确认。 篡改:内容篡改 序号篡改 时间篡改 行为抵赖,保密,消息鉴别,数字签名,第3章 消息鉴别与数字签名,3.1 消息鉴别 3.1.1 消息鉴别的概念 3.1.2 基于MAC的鉴别 3.1.3 基于散列函数的鉴别 3.1.4 散列函数 3.2 数字签名,3.1. 消息鉴别,完整性是安全的基本要求之一。篡改消息是对通信系统的主动

2、攻击常见形式。 被篡改的消息是不完整的;信道的偶发干扰和故障也破坏消息完整性。 接收者能检查所收到的消息是否完整; 进一步接收者能识别所收到的信息是否源于所声称的主体。即消息来源的真实性 保障消息完整性和真实性的手段:消息鉴别技术,3.1.1 消息鉴别的概念,消息鉴别 概念:是一个对收到的消息进行验证的过程,验证的内容包括: 真实性:消息发送者是真正的,而非假冒 完整性:消息在存储和传输过程中没有被篡改过。 消息鉴别系统功能上的层次结构 低层 产生鉴别符 高层:调用鉴别函数,验证,3.1.1 消息鉴别的概念,根据鉴别符的生成方式,鉴别函数分(3类): 基于消息加密方式 以整个消息的密文作为鉴别

3、符 基于消息鉴别码(MAC)3.1.2 发送方利用公开函数+密钥产生一个固定长度的值作为鉴别标识,并与消息一同发送 基于散列函数 3.1.3 采用hash函数将任意长度的消息映射为一个定长的散列值,以此散列值为鉴别码。MAC方式的一种特例 最近几年消息鉴别符的热点转向 Hash函数导出MAC的方法,3.1.2 -1 消息鉴别码原理,M,K,源A,宿B,M,C,|,C(K,M),K,比较,图3-2 MAC鉴别原理图,C,通信双方AB共享密钥K,AB, 则A计算MAC,其中: M明文 C-MAC函数 K-共享的密钥 MAC-消息鉴别码 MAC=C(K ,M),3.1.2 -1 消息鉴别码原理,消息

4、和MAC一起发给接收方。接收方对收到的消息利用相同的密钥K计算,得出新的MAC。如果接收到的MAC与计算得出的MAC相等: 接收者可以确信消息M在传送途中未被篡改 接收者可以确信消息来自所声称的发送者 如果消息中含有序列号(如TCP序列号),接收方可以相信接收顺序是正确的。因为攻击者无法成功修改序列号并保持MAC与消息一致。 图3-2 仅仅提供鉴别,而不能提供保密性。因为消息是明文传输的。如果要加密?,3.1.2 -1 消息鉴别码原理,MAC与加密函数类似, 但不需要可逆,更不易攻破。 使用分离的消息鉴别码的情形(3): 加解密算法,尤其公钥算法代价大。广播信息经济可靠方式,明文传送,一个接收

5、者验证。 一些应用不关心保密,而关心消息鉴别 将鉴别函数和加密函数结构上分离,可使层次结构更加灵活。应用层鉴别消息,传输层提供保密。,3.1.2 -2基于DES的消息鉴别码,基于DES的消息鉴别码 基于分组密码,并按密文块链接模式操作 CBC。 数据鉴别算法 CBCMAC 密文分组链接消息鉴别码 数据鉴别算法图 图3-3 p57 O0 = IV O1 = Ek(D1 O0) O2 = Ek(D2 O1) 。 ON = Ek(DN ON-1),3.1.3 基于散列函数的鉴别,散列函数(Hash)是消息鉴别码(MAC)的一种变形。散列函数与消息鉴别码相同点: 输入都是可变大小M; 输出都是固定大小

6、散列码 H(M) 散列函数与消息鉴别码不同点: 散列码不使用密钥,它仅是输入消息的函数。 需要安全地存放和传输消息摘要,防止被篡改。,3.1.3 基于散列函数的鉴别,散列码用于消息鉴别的两种方法:图 1)加密消息及散列码 AB A 计算,加密:E(K,M|H(M)B 解密,计算,比较2)仅加密散列码 (共享密钥) AB: A 计算,加密: M| E(K,H(M)B 计算,解密,比较,3.1.3-散列码用于消息鉴别的两种方法:,(a)加密消息及散列码,(b)只加密散列码,3.1.3 基于散列函数的鉴别,HMAC 散列函数+MAC(K,M) IP安全 和SSL协议使用HMAC RF2104给出的H

7、MAC设计目标(5)HMAC总体结构图 图3-5 p59HMAC(K,M)=H (K+ opad)|H (K+ ipad)|M,不必修改而直接使用现有的散列函数。散列函数-黑盒 如果找到更快更安全的散列函数,应能很容易替代原来嵌入的散列函数。 应保持散列函数的原有性能,不能过分降低其性能。 对密钥的使用和处理应比较简单 如果已知嵌入的散列函数的强度,则完全可以知道认证机制抗密码分析的强度。,3.1.4 散列函数,散列函数 是一种将输入任意长度消息映射到固定长度消息摘要的函数。h=H(M),没有K 散列函数安全性 SHA-1算法 MD5算法,3.1.4 -1 散列函数安全性,攻击: 攻击者得到h

8、(M),试图伪造M ,使h(M)= h(M) 散列函数必须满足的安全特征(3): 单向性 对于任意给定的散列码h,寻找x使得H(x)=h在计算上不可行。 强对抗碰撞性(3) 输入 输出 h(M)容易计算+(4):寻找任何的(M1,M2)使得H(M1)=h(M2) 在计算上不可行。 弱对抗碰撞性 (4减弱):对于任意给定的分组M,寻找不等于M的M,使得H(M)=h(M)在计算上不可行。弱对抗碰撞的散列函数随着使用次数增加,安全性降低。,3.1.4 -2 SHA-1算法,SHA是美 国家标准和技术协会(NIST)1993提出, 1995年发布SHA-1。输入512比特单位分组,输出160比特消息摘

9、要。 步骤: 附加填充位 填充后结果长度(模512)=448 附加长度 64位:表示原始消息长度 初始化散列缓冲区 两个缓冲区(2* 5*32位),第一个缓冲区ABCDE初始化值.第二个缓冲区H0 H1 H2 H3 H4 计算消息摘要(每一个阶段一个分组),每组80轮 输出。第N阶段输出,步骤2得到的消息块M1,M2,Mn. 每块80轮运算,每轮输入ABCDE,更新. 每一轮使用: 附加常数Kt 给出, 0=t=79; 函数ft消息M扩充(16*32比特) (80*32比特)Wj=Mj (0= j=15) Wj= (W j-3 Wj-8 W j-14 W j-16)1 (16= j=79) H

10、0,H1,H2,H3,H4 A,B,C,D,ETEMP= (A5 )+ ft (B,C,D) + E +Wj+Kt, E=D D=C C=B30, B= A A=TEMP最后:A,B,C,D,E H0+A,H1+B,H2+C,H3+D,H4+E,计算消息摘要,ft非线性函数,明文相关的内容,3.1.4 -3 MD5*,MD5: 1991 麻省理工学院 Ronald L.Rivest MD4改进,速度慢,安全性高。 输入512分组(16*32)输出128位(4*32) 步骤 消息填充 结果长度模512 =448 添加长度 初始化缓冲区 (4*32) a b c dAA BB CC DD 定义辅助

11、函数 4个非线性函数 4轮计算,3.1.4 MD5 *,定义辅助函数 4个非线性函数 F(X,Y,Z), G(X,Y,Z), H(), I() 4种操作:FF(a,b,c,d,Mj,s,ti)=a b+ ( a+ F(b,c,d)+ Mi+ti)s 4轮计算 (4*16) 第一轮 FF(a,b,c,d,Mj,s,ti) 16次 第二轮 GG(a,b,c,d,Mj,s,ti) 16次 第三轮 HH(a,b,c,d,Mj,s,ti) 16次 第四轮 II(a,b,c,d,Mj,s,ti) 16次ti = 4294967296*abs(sin(i)整数部分 最后 a,b,c,d=a+AA,b+BB,

12、c+CC,d+DD,3.2 数字签名,手写签名与数字签名 手写签名作用:鉴别、核准、负责等作用,表示签名者对文件的认同,产生某种承诺或法律上的效应。 数字签名是手写签名数字化形式,公钥密码学发展中最重要的概念之一,一项重要的计算机网络安全技术 美国,中国电子签名法,可靠的数字签名与手写签名或印章具有同等法律效率。,3.2数字签名,3.2.1 数字签名简介 3.2.2 基于公钥密码的数字签名原理 3.2.3 数字签名算法(难),3.2.1 数字签名简介,数字签名必要性 数字签名的概念及特征,3.2.1 -1数字签名的必要性,消息鉴别 能通过验证消息完整性和真实性,保护通信不受外部第三方的攻击,但

13、不能防止通信双方内部的相互攻击,如: B伪造一个消息,并声称是从A收到的。因A B共享密钥,A无法证明自己没有发送。 A可以否认发送过某个消息,B无法证明A发送过。 电子商务方面法律应防范:例:(1)进行电子资金转账时,接收方增加转账资金,并声称这是来自发送方的转账金额。(2)委托方发送电子邮件要求经纪人进行股票交易,交易赔钱,委托方伪称从没有发过这样的消息。 应用环境:通信(电子交易)双方彼此不能完全信任的情况下. 数字签名,手写签名。,消息鉴别 概念:是一个对收到的消息进行验证的过程,验证的内容包括: 真实性:消息发送者是真正的,而非假冒 完整性:消息在存储和传输过程中没有被篡改过。,3.

14、2.1 -2数字签名的概念及其特征,数字签名概念(DS)ISO7498-2: 附加在数据单元上的一些数据,或是对数据单元所作的密码变换,这种数据和变换允许数据单元接收者用以确认数据单元来源和数据单元完整性,并保护数据,防止被人(包括接收者)进行伪造. 消息鉴别概念 一个数字签名体制是一个五元组 (M,A,K,S,V) M:消息空间; A:签名空间 K密钥空间; S:签名算法集合,V:验证算法集合 。满足对任意k,有一签名算法Sigk 一验证算法 Verk ,对任意mM, aA, Verk(m,a)=1 a=Sigk(m)(m,a)是一个消息签名对。,3.2.1 -2数字签名的概念及其特征,数字

15、签名特征(4) (提出需求) 可验证性 不可伪造性 不可否认性:发送方发送签名消息,无法抵赖发送行为;接收方在收到消息后,也无法否认接收行文 数据完整性:发送方能够对消息的完整性进行校验,具有消息鉴别的作用,3.2.1 -2数字签名的概念及其特征,根据特征数字签名应满足下列条件 实现机制-6 签名必须是与信息相关的二进制位串。 签名必须使用发送者某些独有信息,以防伪造与抵赖; 产生数字签名比较容易; 识别和验证签名比较容易; 伪造该数字签名在计算是不可行的:无论从给定的数字签名伪造消息,还是从给定消息伪造一个数字签名; 保存一个数字签名副本是可行的。,3.2.1 -2数字签名的概念及其特征,基

16、于公钥体制可以获得数字签名: 签名算法使用签名人的私钥,私有保密。 验证算法使用签名人的公钥,可以被任何人验证,3.2.2 基于公钥密码的数字签名原理,假定接收方已知发送方的公开密钥,发送方A用自己的私钥kRa对整个消息或消息的哈希值进行加密生成数字签名。接收方用发送方的公钥对签名进行验证,从而确认签名消息的准确性。 原理图考虑效率,采用第二种方法。对消息散列值加密,3.2.2 基于公钥密码的数字签名原理,图 3-6 基于公钥密码的数字签名原理,3.2.2 基于公钥密码的数字签名原理,图3-7 签名和保密,签名和保密时,先签名再外层加密在发生争执时的好处 ?,3.2.2 基于公钥密码的数字签名原理,签名的有效性依赖于发送方私钥的安全性。 每条签名的消息包含时间戳。泄密后向管理中心报告的时间,

展开阅读全文
相关资源
正为您匹配相似的精品文档
相关搜索

最新文档


当前位置:首页 > 办公文档 > PPT模板库 > 其它

电脑版 |金锄头文库版权所有
经营许可证:蜀ICP备13022795号 | 川公网安备 51140202000112号