收藏
下载资源

崔永泉第二讲鉴别协议2010ppt培训课件

上传人:aa****6 文档编号:57216768 上传时间:2018-10-20 格式:PPT 页数:131 大小:1.32MB
返回 下载 相关 举报
崔永泉第二讲鉴别协议2010ppt培训课件_第1页
第1页 / 共131页
崔永泉第二讲鉴别协议2010ppt培训课件_第2页
第2页 / 共131页
崔永泉第二讲鉴别协议2010ppt培训课件_第3页
第3页 / 共131页
崔永泉第二讲鉴别协议2010ppt培训课件_第4页
第4页 / 共131页
崔永泉第二讲鉴别协议2010ppt培训课件_第5页
第5页 / 共131页
点击查看更多>>
资源描述

《崔永泉第二讲鉴别协议2010ppt培训课件》由会员分享,可在线阅读,更多相关《崔永泉第二讲鉴别协议2010ppt培训课件(131页珍藏版)》请在金锄头文库上搜索。

1、1,第2讲 数字鉴别协议与机制,华中科技大学计算机学院 信息安全研究室,2,1 鉴别的目的 2 鉴别的结构 3 鉴别的模型 4 消息原发鉴别 5 鉴别和密钥交换协议 6 零知识证明协议,第2讲 数字鉴别协议与机制,3,1 鉴别的目的 2 鉴别的结构 3 鉴别的模型 4 消息原发鉴别 5 鉴别和密钥交换协议 6 零知识证明协议,第2讲 数字鉴别协议与机制,4,1 鉴别的目的:信息安全的需求,* 保密性( Confidentiality) * 完整性 (Integrity) 数据完整性,未被未授权篡改或者损坏 系统完整性,系统未被非授权操纵,按既定的功能运行 * 可用性 (Availability

2、) * 鉴别 (Authenticity) 实体身份的鉴别,适用于用户、进程、系统、信息等 * 不可否认性 ( Non-repudiation) 防止源点或终点的抵赖,5,泄露:把消息内容发布给任何人或没有合法密钥的进程 流量分析:发现通信双方之间信息流的结构模式,可以用来确定连接的频率、持续时间长度;还可以发现报文数量和长度等 伪装:从一个假冒信息源向网络中插入消息 内容篡改:消息内容被插入、删除、变换、修改 顺序修改:插入、删除或重组消息序列 时间修改:消息延迟或重放 否认:接受者否认收到消息;发送者否认发送过消息,1 鉴别的目的:网络通信的攻击威胁,6,1 鉴别的目的,信源识别:验证信息

3、的发送者是真正的,而不是冒充的 验证信息的完整性,在传送或存储过程中未被篡改,重放或延迟等,7,1 鉴别的目的 2 鉴别的结构 3 鉴别的模型 4 消息原发鉴别 5 鉴别和密钥交换协议 6 零知识证明协议,第2讲 数字鉴别协议与机制,8,2 鉴别的结构,任何消息认证或数字签名机制可以看到两个层次: 底层必须有某种函数产生一个认证标识:一个用于认证一个报文的值 高层认证协议以底层函数为原语,使接收者完成报文的鉴别,9,1 鉴别的目的 2 鉴别的结构 3 鉴别的模型 4 消息原发鉴别 5 鉴别和密钥交换协议 6 零知识证明协议,第2讲 数字鉴别协议与机制,10,3 鉴别的模型,11,3 鉴别的模型

4、:鉴别系统的组成,鉴别编码器和鉴别译码器可抽象为鉴别函数 一个安全的鉴别系统,需满足 (1)指定的接收者能够检验和证实消息的合法性、真实性和完整性 (2)消息的发送者和接收者不能抵赖 (3)除了合法的消息发送者,其它人不能伪造合法的消息,12,3 鉴别的模型:鉴别函数分类,消息加密:整个消息的密文作为认证标识 消息鉴别码(MAC):公开函数+密钥产生一个固定长度的值作为认证标识 散列函数:一个公开函数将任意长度的消息映射到一个固定长度的哈希值,作为认证标识,13,1 鉴别的目的 2 鉴别的结构 3 鉴别的模型 4 消息原发鉴别 5 鉴别和密钥交换协议 6 零知识证明协议,第2讲 数字鉴别协议与

5、机制,14,4.1消息加密 4.2消息鉴别码MAC 4.3 散列函数 4.4 MAC产生算法和安全性分析 4.5 HASH算法和安全性分析 4.6 消息原发鉴别的分析,4 消息原发鉴别,15,4 消息原发鉴别,4.1消息加密:整个消息的密文作为认证标识,16,4.1对称加密保密和鉴别,A,B,17,4.1对称加密保密和鉴别,18,4.1 明文M的自动确定,M定义为有意义的明文序列,便于自动识别 强制定义明文的某种结构,这种结构是易于识别但又不能复制且无需借助加密的 可以在加密前对每个报文附加检错码,即所谓的帧检验序列号或检验和FCS 内部差错控制和外部差错控制,19,4.1 差错控制,20,4

6、.1 公钥加密保密性,A,B,21,4.1 公钥加密鉴别和签名,A,B,22,4.1公钥加密保密、鉴别和签名,A,B,23,4.1消息加密 4.2消息鉴别码MAC 4.3 散列函数 4.4 MAC产生算法和安全性分析 4.5 HASH算法和安全性分析 4.6 消息原发鉴别的分析,4 消息原发鉴别,24,4 消息原发鉴别,4.2消息鉴别码MAC: 公开函数+密钥产生一个固定长度的值作为认证标识,25,4.2 消息鉴别码,使用一个密钥生成一个固定大小的小数据块,并加入到消息中,称MAC, 或密码校验和(cryptographic checksum)1、接收者可以确信消息M未被改变2、接收者可以确信

7、消息来自所声称的发送者3、如果消息中包含顺序码(如HDLC,X.25,TCP),则接收者可以保证消息的正常顺序 MAC函数类似于加密函数,但不需要可逆性。因此在数学上比加密算法被攻击的弱点要少,26,4.2消息鉴别,A,B,27,4.2消息鉴别与保密,鉴别与明文连接,A,B,28,4.2消息鉴别与保密,鉴别与密文连接,A,B,29,4.2 消息鉴别 VS 常规加密,保密性与真实性是两个不同的概念 根本上,信息加密提供的是保密性而非真实性 加密代价大(公钥算法代价更大) 鉴别函数与保密函数的分离能提供功能上的灵活性 某些信息只需要真实性,不需要保密性 广播的信息难以使用加密(信息量大) 网络管理

8、信息等只需要真实性 政府/权威部门的公告,30,4.1消息加密 4.2消息鉴别码MAC 4.3 散列函数 4.4 MAC产生算法和安全性分析 4.5 HASH算法和安全性分析 4.6 消息原发鉴别的分析,4 消息原发鉴别,31,4 消息原发鉴别,4.3散列函数:一个公开函数将任意长度的消息映射到一个固定长度的哈希值,作为认证标识,32,4.3 散列函数,H(M): 输入为任意长度的消息M; 输出为一个固定长度的散列值,称为消息摘要(MessageDigest) H(M)是消息M的所有位的函数并提供错误检测能力:消息中的任何一位或多位的变化都将导致该散列值的变化 H(M)又称为:哈希函数、数字指

9、纹(Digital finger print)、压缩(Compression)函数、数据鉴别码(Dataauthentication code)等,33,4.3散列函数基本用法(1),34,4.3散列函数基本用法(2),35,4.3散列函数基本用法(3),36,4.3散列函数基本用法(4),37,4.3散列函数基本用法(5),38,4.3散列函数基本用法(6),39,4.1消息加密 4.2消息鉴别码MAC 4.3 散列函数 4.4 MAC产生算法和安全性分析 4.5 HASH算法和安全性分析 4.6 消息原发鉴别的分析,4 消息原发鉴别,40,4 消息原发鉴别,4.4消息鉴别码MAC的产生算法

10、与安全性分析,41,M,K,MAC,函数域:任意长度的报文 值域:所有可能的MAC和所有可能的密钥 MAC一般为多对一函数,4.4 MAC产生,42,函数域:任意长度的报文 值域:所有可能的MAC和所有可能的密钥 假设假设攻击者使用强行攻击,且已经获得报文的明文和相应的MAC,即,4.4 对MAC的强行攻击,43,假设假设攻击者已经获得报文的明文和相应的MAC,即 假设,4.4 对MAC的强行攻击,44,4.4 对MAC的强行攻击,45,4.4 对MAC的强行攻击,如果 kn,则第一轮就可以产生一个唯一对应。仍然可以有多于一个key产生这一配对,这时攻击者只需对一个新的(message, MA

11、C)进行相同的测试 由此可见,强力攻击企图发现authentication key不小于甚至大于对同样长度的解密key的攻击,46,4.4对MAC的其它攻击,设M = (X1 | X2 | | Xm) 是一个由64位Xi数据块连接而成定义(M) = X1X2.XmCK(M) = EK(M)其中 为异或操作;E为 ECB工作模式的DES算法 则 Key length = 56 bit MAC length = 64 bit 强力攻击需要至少256次加密来决定K,47,4.4对MAC的其它攻击,设 M = ( Y1 | Y2 | | Ym-1 | Ym)其中 Y1, Y2, , Ym-1是替换 X

12、1, X2,Xm-1的任意值,而 Ym = Y1Y2 , , Ym-1 (M) 则 CK(M) = EK(M)= EKY1Y2 , , Ym-1 Ym = EKY1Y2 , , Ym-1 (Y1Y2 , , Ym-1 (M) = EK(M) 这时消息M 和 MAC= CK(M) = EK(M)是一对可被接收者认证的消息 用此方法,任何长度为64(m-1)位的消息可以被插入任意的欺骗性信息,48,4.4 MAC应具备的性质,如果一个攻击者得到M和CK(M),则攻击者构造一个消息M使得CK(M)=CK(M)应具有计算复杂性意义下的不可行性 CK(M)应均匀分布,即:随机选择消息M和M, CK(M)

13、= CK(M)的概率是2-n,其中n是MAC的位数 令M为M的某些变换,即:M=f(M),(例如:f可以涉及M中一个或多个给定位的反转),在这种情况下,PrCK(M)= CK(M) = 2-n,49,4.4基于DES的报文鉴别码,50,4.4基于DES的报文鉴别码,算法来源 FIPS publication (FIPS PUB 113) ANSI standard (X9.17)使用CBC(Cipher Block Chaining)方式,初始向量为IV=0,51,4.4基于DES的报文鉴别码,算法来源 FIPS publication (FIPS PUB 113) ANSI standard

14、 (X9.17)使用CBC(Cipher Block Chaining)方式,初始向量为IV=0,52,4.4基于DES的报文鉴别码,将数据按64位分组,D1, D2, , DN,必要时最后一个数据块用0向右填充 运用DES算法E,密钥K 数据认证码(DAC)的计算如下:O1 = EK(D1)O2 = EK(D2O1)O3 = EK(D3O2)ON = EK(DNON-1),53,4.4 FIPS PUB 113,54,4.1消息加密 4.2消息鉴别码MAC 4.3 散列函数 4.4 MAC产生算法和安全性分析 4.5 HASH算法和安全性分析 4.6 消息原发鉴别的分析,4 消息原发鉴别,5

15、5,4 消息原发鉴别,4.5由HASH函数产生-消息鉴别码MAC,56,散列函数的定义,散列函数:M:变长报文 H(M):定长的散列值 主要用于为文件、报文或其它分组数据产生指纹,57,4.5 散列函数的要求,H能用于任意大小的分组 H能产生定长的输出 对任何给定的x,H(x)要相对易于计算,使得硬件和软件实现成为实际可能 对任何给定的码h,寻找x使得H(x)=h在计算上是不可行的,即单向性 对任何给定的分组x,寻找不等于x的y,使得H(x)=H(y)在计算上是不可行的,即弱抗冲突性 寻找对任何的(x,y)对使得H(x)=H(y)在计算上是不可行的,即强抗冲突性,58,4.5 Hash vs

16、MAC,MAC需要对全部数据进行加 MAC速度慢 Hash是一种直接产生鉴别码的方法,59,4.5 Hash函数通用结构,由Ron Rivest于1990年提出MD4 几乎被所有hash函数使用 具体做法: 把原始消息M分成一些固定长度的块Yi 最后一块padding并使其包含消息M长度 设定初始值CV0 压缩函数f, CVi=f(CVi-1,Yi-1) 最后一个CVi为hash值,60,61,4.5 MD5算法,62,4.5 MD5描述,Merkle于1989年提出hash function模型 Ron Rivest于1990年提出MD4 1992年, Ron Rivest 完成MD5 (RFC 1321) 在最近数年之前,MD5是最主要的hash算法 现行美国标准SHA-1以MD5的前身MD4为基础,

展开阅读全文
相关资源
相关搜索

当前位置:首页 > 办公文档 > PPT模板库 > PPT素材/模板

电脑版 |金锄头文库版权所有
经营许可证:蜀ICP备13022795号 | 川公网安备 51140202000112号