網(wǎng)絡(luò)安全-11-消息認(rèn)證碼教材

1、n單純的加解密算法無(wú)法保證抵抗下述攻擊q偽裝q內(nèi)容修改q順序修改q計(jì)時(shí)修改q發(fā)送方否認(rèn)q接收方否認(rèn)消息認(rèn)證碼數(shù)字簽名不屬于機(jī)密性范疇,屬于數(shù)據(jù)完整性范疇Chapter 12 消息認(rèn)證碼消息認(rèn)證碼n消息認(rèn)證需求n消息認(rèn)證函數(shù)n消息認(rèn)證碼n基于Hash函數(shù)的MACn基于分組密碼的MAC：DAA和CMAC2022-5-27西安電子科技大學(xué)計(jì)算機(jī)學(xué)院32022-5-27西安電子科技大學(xué)計(jì)算機(jī)學(xué)院4n可能的攻擊：可能的攻擊：q1. 泄密：將消息透漏給未授權(quán)方泄密：將消息透漏給未授權(quán)方q2. 傳輸分析：分析通信雙方的通信模式傳輸分析：分析通信雙方的通信模式q3. 偽裝：欺詐源向網(wǎng)絡(luò)中插入一條消息偽裝：欺詐

2、源向網(wǎng)絡(luò)中插入一條消息q4. 內(nèi)容修改：對(duì)消息內(nèi)容的修改內(nèi)容修改：對(duì)消息內(nèi)容的修改q5. 順序修改：對(duì)通信雙方消息順序的修順序修改：對(duì)通信雙方消息順序的修改改q6. 計(jì)時(shí)修改：對(duì)消息的延時(shí)和重播計(jì)時(shí)修改：對(duì)消息的延時(shí)和重播q7. 發(fā)送方否認(rèn)：對(duì)消息否認(rèn)發(fā)送方否認(rèn)：對(duì)消息否認(rèn)q8. 接收方否認(rèn)：對(duì)消息否認(rèn)接收方否認(rèn)：對(duì)消息否認(rèn)2022-5-27西安電子科技大學(xué)計(jì)算機(jī)學(xué)院5n消息認(rèn)證：驗(yàn)證所收到的消息消息認(rèn)證：驗(yàn)證所收到的消息確實(shí)確實(shí)是來(lái)自真是來(lái)自真實(shí)的發(fā)送方且未被修改的消息，它也可驗(yàn)證實(shí)的發(fā)送方且未被修改的消息，它也可驗(yàn)證消息的順序和及時(shí)性。消息的順序和及時(shí)性。n數(shù)字簽名：是一種數(shù)字簽名：是一種

3、認(rèn)證技術(shù)認(rèn)證技術(shù)，其中的一些方，其中的一些方法可用來(lái)抗發(fā)送方否認(rèn)攻擊。（接收者可驗(yàn)法可用來(lái)抗發(fā)送方否認(rèn)攻擊。（接收者可驗(yàn)證但不能偽造）證但不能偽造）消息認(rèn)證 數(shù)字簽名n消息認(rèn)證函數(shù)是實(shí)現(xiàn)消息認(rèn)證的基礎(chǔ)消息認(rèn)證函數(shù)是實(shí)現(xiàn)消息認(rèn)證的基礎(chǔ)n其工作原理和通信領(lǐng)域常見(jiàn)的差錯(cuò)控制編碼函數(shù)類(lèi)似，其工作原理和通信領(lǐng)域常見(jiàn)的差錯(cuò)控制編碼函數(shù)類(lèi)似，都是通過(guò)對(duì)原始報(bào)文進(jìn)行某種運(yùn)算，產(chǎn)生一個(gè)定長(zhǎng)的輸都是通過(guò)對(duì)原始報(bào)文進(jìn)行某種運(yùn)算，產(chǎn)生一個(gè)定長(zhǎng)的輸出，這個(gè)輸出是原始報(bào)文的出，這個(gè)輸出是原始報(bào)文的“冗余信息冗余信息”，即消息認(rèn)證，即消息認(rèn)證碼，有時(shí)也被稱(chēng)為密碼校驗(yàn)和。碼，有時(shí)也被稱(chēng)為密碼校驗(yàn)和。2022-5-27西安電子

4、科技大學(xué)計(jì)算機(jī)學(xué)院6常用的消息認(rèn)證函數(shù)包括如下兩類(lèi)：常用的消息認(rèn)證函數(shù)包括如下兩類(lèi)： 利用加密函數(shù)作為消息認(rèn)證函數(shù)：這種方法把原利用加密函數(shù)作為消息認(rèn)證函數(shù)：這種方法把原始報(bào)文加密后產(chǎn)生的密文作為它的消息認(rèn)證碼；始報(bào)文加密后產(chǎn)生的密文作為它的消息認(rèn)證碼； 專(zhuān)用的消息認(rèn)證函數(shù)：以原始報(bào)文和密鑰作為輸專(zhuān)用的消息認(rèn)證函數(shù)：以原始報(bào)文和密鑰作為輸入，產(chǎn)生定長(zhǎng)的輸出，這個(gè)輸出就是原始報(bào)文的消入，產(chǎn)生定長(zhǎng)的輸出，這個(gè)輸出就是原始報(bào)文的消息認(rèn)證碼?？梢岳眠\(yùn)行于息認(rèn)證碼?？梢岳眠\(yùn)行于CBC模式下的常規(guī)加密模式下的常規(guī)加密算法或帶密鑰的算法或帶密鑰的Hash函數(shù)（函數(shù)（HMAC）來(lái)構(gòu)造消息）來(lái)構(gòu)造消息認(rèn)證函

5、數(shù)。認(rèn)證函數(shù)。2022-5-27西安電子科技大學(xué)計(jì)算機(jī)學(xué)院72022-5-27西安電子科技大學(xué)計(jì)算機(jī)學(xué)院812.2 認(rèn)證函數(shù)認(rèn)證函數(shù)n兩層：產(chǎn)生認(rèn)證符兩層：產(chǎn)生認(rèn)證符 驗(yàn)證驗(yàn)證n產(chǎn)生認(rèn)證符的函數(shù)類(lèi)型：產(chǎn)生認(rèn)證符的函數(shù)類(lèi)型：q消息加密：消息的密文作為認(rèn)證符。消息加密：消息的密文作為認(rèn)證符。q消息認(rèn)證碼：消息和密鑰的公開(kāi)函數(shù)，產(chǎn)生定長(zhǎng)消息認(rèn)證碼：消息和密鑰的公開(kāi)函數(shù)，產(chǎn)生定長(zhǎng)的值作為認(rèn)證符。的值作為認(rèn)證符。 MAC: message authentication code qHash函數(shù)：將任意長(zhǎng)消息映射為定長(zhǎng)的函數(shù)：將任意長(zhǎng)消息映射為定長(zhǎng)的hash值值作為認(rèn)證符。作為認(rèn)證符。2022-5-27西

6、安電子科技大學(xué)計(jì)算機(jī)學(xué)院912.2.1 消息加密消息加密n消息加密也能提供一種認(rèn)證的方法消息加密也能提供一種認(rèn)證的方法n對(duì)稱(chēng)密碼，既可以提供認(rèn)證又可以提供保對(duì)稱(chēng)密碼，既可以提供認(rèn)證又可以提供保密性，但不是絕對(duì)的。密性，但不是絕對(duì)的。q只有消息具有適當(dāng)?shù)慕Y(jié)構(gòu)、冗余或含有校驗(yàn)和，只有消息具有適當(dāng)?shù)慕Y(jié)構(gòu)、冗余或含有校驗(yàn)和，接收方才可能對(duì)消息的任何變化進(jìn)行檢測(cè)。接收方才可能對(duì)消息的任何變化進(jìn)行檢測(cè)。q否則，認(rèn)證難以完成。否則，認(rèn)證難以完成。嚴(yán)格意義上說(shuō)，單獨(dú)使用加密技術(shù)無(wú)法實(shí)現(xiàn)消息嚴(yán)格意義上說(shuō)，單獨(dú)使用加密技術(shù)無(wú)法實(shí)現(xiàn)消息認(rèn)證。（不推薦）認(rèn)證。（不推薦）2022-5-27西安電子科技大學(xué)計(jì)算機(jī)學(xué)院10

7、2022-5-27西安電子科技大學(xué)計(jì)算機(jī)學(xué)院112022-5-27西安電子科技大學(xué)計(jì)算機(jī)學(xué)院12消息加密消息加密n公鑰體制中公鑰體制中:q加密不能提供對(duì)發(fā)送方的認(rèn)證（公鑰是公開(kāi)的）加密不能提供對(duì)發(fā)送方的認(rèn)證（公鑰是公開(kāi)的）q發(fā)送方可用自己的私鑰進(jìn)行簽名發(fā)送方可用自己的私鑰進(jìn)行簽名q接收方可用發(fā)送方的公鑰進(jìn)行驗(yàn)證接收方可用發(fā)送方的公鑰進(jìn)行驗(yàn)證q保密性和可認(rèn)證性保密性和可認(rèn)證性 2022-5-27西安電子科技大學(xué)計(jì)算機(jī)學(xué)院132022-5-27西安電子科技大學(xué)計(jì)算機(jī)學(xué)院142022-5-27西安電子科技大學(xué)計(jì)算機(jī)學(xué)院152022-5-27西安電子科技大學(xué)計(jì)算機(jī)學(xué)院1612.2.2 消息認(rèn)證碼消息認(rèn)

8、證碼 (MAC)n一種認(rèn)證技術(shù)一種認(rèn)證技術(shù)n利用密鑰來(lái)生成一個(gè)固定長(zhǎng)度的短數(shù)據(jù)塊（利用密鑰來(lái)生成一個(gè)固定長(zhǎng)度的短數(shù)據(jù)塊（MAC），），并將該數(shù)據(jù)塊附加在消息之后。并將該數(shù)據(jù)塊附加在消息之后。nMAC的值依賴(lài)于消息和密鑰的值依賴(lài)于消息和密鑰 MAC = Ck(M)=C(M,K)qMAC函數(shù)于加密類(lèi)似，但函數(shù)于加密類(lèi)似，但MAC算法算法不要求不要求可逆可逆性，而加密算法必須是可逆的。性，而加密算法必須是可逆的。n接收方進(jìn)行同樣的接收方進(jìn)行同樣的MAC碼計(jì)算并驗(yàn)證是否與發(fā)送過(guò)碼計(jì)算并驗(yàn)證是否與發(fā)送過(guò)來(lái)的來(lái)的MAC碼相同碼相同2022-5-27西安電子科技大學(xué)計(jì)算機(jī)學(xué)院17MAC 特性特性nMAC碼是

9、一個(gè)密碼校驗(yàn)和碼是一個(gè)密碼校驗(yàn)和MAC = CK(M)=C(K, M)q消息消息M的長(zhǎng)度是可變的的長(zhǎng)度是可變的q密鑰密鑰K是要保密的，且收發(fā)雙方共享。是要保密的，且收發(fā)雙方共享。q產(chǎn)生固定長(zhǎng)度的認(rèn)證碼產(chǎn)生固定長(zhǎng)度的認(rèn)證碼nMAC算法是一個(gè)多對(duì)一的函數(shù)算法是一個(gè)多對(duì)一的函數(shù)q多個(gè)消息對(duì)應(yīng)同一多個(gè)消息對(duì)應(yīng)同一MAC值值q但是找到同一但是找到同一MAC值所對(duì)應(yīng)的多個(gè)消息應(yīng)該是值所對(duì)應(yīng)的多個(gè)消息應(yīng)該是困難困難的。的。2022-5-27西安電子科技大學(xué)計(jì)算機(jī)學(xué)院18Message Authentication Code2022-5-27西安電子科技大學(xué)計(jì)算機(jī)學(xué)院19n若相同，則有：若相同，則有：q接收方

10、可以相信消息未被修改。接收方可以相信消息未被修改。q接收方可以相信消息來(lái)自真正的發(fā)送方。接收方可以相信消息來(lái)自真正的發(fā)送方。q接收方可以確信消息中含有的序列號(hào)是正確接收方可以確信消息中含有的序列號(hào)是正確的。的。n為什么需要使用為什么需要使用MAC?q有些情況只需要認(rèn)證（如廣播）有些情況只需要認(rèn)證（如廣播）q文檔的持續(xù)保護(hù)（例如解密后的保護(hù)）文檔的持續(xù)保護(hù)（例如解密后的保護(hù)）qn由于收發(fā)雙方共享密鑰，所以由于收發(fā)雙方共享密鑰，所以MAC不能不能提供數(shù)字簽名提供數(shù)字簽名2022-5-27西安電子科技大學(xué)計(jì)算機(jī)學(xué)院20n對(duì)對(duì)MACs的要求：的要求：q抗多種攻擊（例如窮舉密鑰攻擊）抗多種攻擊（例如窮舉

11、密鑰攻擊）q且滿足且滿足:1.已知一條消息和已知一條消息和MAC, 構(gòu)造出另一條具有同樣構(gòu)造出另一條具有同樣MAC的消息是不可行的的消息是不可行的2.MACs應(yīng)該是均勻分布的應(yīng)該是均勻分布的3.MAC應(yīng)該依賴(lài)于消息的所有比特位應(yīng)該依賴(lài)于消息的所有比特位2022-5-27西安電子科技大學(xué)計(jì)算機(jī)學(xué)院212022-5-27西安電子科技大學(xué)計(jì)算機(jī)學(xué)院222022-5-27西安電子科技大學(xué)計(jì)算機(jī)學(xué)院2312.3 HMACn密碼密碼hash函數(shù)作為函數(shù)作為MAC：q不用分組密碼，而用不用分組密碼，而用hash函數(shù)來(lái)產(chǎn)生函數(shù)來(lái)產(chǎn)生MACn因?yàn)橐驗(yàn)閔ash函數(shù)一般都較快函數(shù)一般都較快n沒(méi)有出口限制，（分組密碼

12、有出口限制）沒(méi)有出口限制，（分組密碼有出口限制）qhash函數(shù)不依賴(lài)于密鑰，所以不能直接用于函數(shù)不依賴(lài)于密鑰，所以不能直接用于MACq建議建議:KeyedHash = Hash( Key | Message ) 2022-5-27西安電子科技大學(xué)計(jì)算機(jī)學(xué)院24利用帶密鑰的利用帶密鑰的HashHash函數(shù)實(shí)現(xiàn)消息認(rèn)證函數(shù)實(shí)現(xiàn)消息認(rèn)證2022-5-27西安電子科技大學(xué)計(jì)算機(jī)學(xué)院25當(dāng)前獲得廣泛應(yīng)用的構(gòu)造帶密鑰的當(dāng)前獲得廣泛應(yīng)用的構(gòu)造帶密鑰的Hash函數(shù)的方案是函數(shù)的方案是HMAC（keyed-hashing for message authentication code），它是），它是Bellar

13、e等人于等人于1996年提出，并于年提出，并于1997年作年作為為RFC2104標(biāo)準(zhǔn)發(fā)表，標(biāo)準(zhǔn)發(fā)表， 并被很多因特網(wǎng)協(xié)議（如并被很多因特網(wǎng)協(xié)議（如IPSEC、SSL）所使用。）所使用。HMAC算法利用已有的算法利用已有的Hash函數(shù)，使用函數(shù)，使用不同的不同的Hash函數(shù)，就可以得到不同的函數(shù)，就可以得到不同的HMAC，例如選用，例如選用MD5時(shí)的時(shí)的HMAC記為記為HMAC-MD5，選用，選用SHA-1時(shí)的時(shí)的HMAC記為記為HMAC-SHA1。HMAC的設(shè)計(jì)目標(biāo)是：的設(shè)計(jì)目標(biāo)是：2022-5-27西安電子科技大學(xué)計(jì)算機(jī)學(xué)院26 可不經(jīng)修改而使用現(xiàn)有的可不經(jīng)修改而使用現(xiàn)有的Hash函數(shù)，特別

14、是那些易函數(shù)，特別是那些易于軟件實(shí)現(xiàn)的、源代碼可方便獲取且免費(fèi)使用的于軟件實(shí)現(xiàn)的、源代碼可方便獲取且免費(fèi)使用的Hash函數(shù)；函數(shù)； 其中嵌入的其中嵌入的Hash函數(shù)可易于替換為更快或更安全的函數(shù)可易于替換為更快或更安全的Hash函數(shù)；函數(shù)； 保持嵌入的保持嵌入的Hash函數(shù)的最初性能，不因用于函數(shù)的最初性能，不因用于HMAC而使其性能降低；而使其性能降低； 以簡(jiǎn)單方式使用和處理密鑰；以簡(jiǎn)單方式使用和處理密鑰； 在對(duì)嵌入的在對(duì)嵌入的Hash函數(shù)合理假設(shè)的基礎(chǔ)上，易于分析函數(shù)合理假設(shè)的基礎(chǔ)上，易于分析HMAC用于鑒別時(shí)的密碼強(qiáng)度。用于鑒別時(shí)的密碼強(qiáng)度。2022-5-27西安電子科技大學(xué)計(jì)算機(jī)學(xué)院2

15、7HMAC 概覽概覽 2022-5-27西安電子科技大學(xué)計(jì)算機(jī)學(xué)院28 2022-5-27西安電子科技大學(xué)計(jì)算機(jī)學(xué)院29HMACn作為作為RFC2104 nHMACK = Hash(K+ XOR opad)| Hash(K+ XOR ipad)|M)n其中其中 K+ 為在為在K左邊填充左邊填充0后所得的后所得的b位長(zhǎng)的結(jié)果（位長(zhǎng)的結(jié)果（b為每為每一消息分組的位數(shù)）一消息分組的位數(shù)）nopad, ipad 都是指定的填充常量都是指定的填充常量n多執(zhí)行了多執(zhí)行了3次次hash壓縮函數(shù)壓縮函數(shù)n算法可用于算法可用于MD5, SHA-1, RIPEMD-160中的任何一個(gè)中的任何一個(gè)2022-5-27

16、西安電子科技大學(xué)計(jì)算機(jī)學(xué)院30HMAC算法的具體執(zhí)行步驟如下：算法的具體執(zhí)行步驟如下： 在密鑰在密鑰K的右邊填充一些的右邊填充一些0，使其成為長(zhǎng)度為，使其成為長(zhǎng)度為b比特的比特串，記為比特的比特串，記為K+； 計(jì)算計(jì)算Si=K+ ipad，其中，其中ipad（inner pad）是）是HMAC算法中規(guī)定的一算法中規(guī)定的一個(gè)長(zhǎng)度為個(gè)長(zhǎng)度為b比特的比特模式串，它等于將比特的比特模式串，它等于將00110110（16進(jìn)制的進(jìn)制的36）重復(fù)）重復(fù)b/8次后得到的比特串；次后得到的比特串； 把把HMAC的輸入報(bào)文的輸入報(bào)文x=x1 x2xL附加在附加在Si的右端，得到的右端，得到Si|x =Si|x1

17、x2xL，將該比特串作為，將該比特串作為Hash函數(shù)函數(shù)h的輸入，得到的輸入，得到l比特的輸出比特的輸出h (Si|x)； 計(jì)算計(jì)算So=K+ opad，其中，其中opad（outter pad）是）是HMAC算法中規(guī)定的算法中規(guī)定的另一個(gè)長(zhǎng)度為另一個(gè)長(zhǎng)度為b比特的比特模式串，它等于將比特的比特模式串，它等于將01011100（16進(jìn)制的進(jìn)制的5C）重復(fù)重復(fù)b/8次后得到的比特串；次后得到的比特串； 將第將第3步得到的步得到的h(Si|x)填充到填充到b比特后附加在比特后附加在So的右端，并以該比特串的右端，并以該比特串作為作為Hash函數(shù)函數(shù)h的輸入，得到的輸入，得到l比特的輸出；比特的輸出

18、； 將第將第5步的輸出作為步的輸出作為HMAC算法的最終輸出結(jié)果，即為消息算法的最終輸出結(jié)果，即為消息x的消息的消息認(rèn)證碼認(rèn)證碼HMACk(x)。 2022-5-27西安電子科技大學(xué)計(jì)算機(jī)學(xué)院31 建立在嵌入建立在嵌入Hash函數(shù)基礎(chǔ)上的所有函數(shù)基礎(chǔ)上的所有MAC，其安全性在某種程，其安全性在某種程度上都依賴(lài)于該度上都依賴(lài)于該Hash函數(shù)的強(qiáng)度。對(duì)于函數(shù)的強(qiáng)度。對(duì)于HMAC，可以給出，可以給出HMAC的強(qiáng)度與所嵌入的強(qiáng)度與所嵌入Hash函數(shù)強(qiáng)度之間的關(guān)系。函數(shù)強(qiáng)度之間的關(guān)系。Bellare等人等人（1996年）已經(jīng)證明，如果攻擊者已知若干（時(shí)間、消息年）已經(jīng)證明，如果攻擊者已知若干（時(shí)間、消息

19、-MAC）對(duì)，則成功攻擊對(duì)，則成功攻擊HMAC的概率等價(jià)于對(duì)所嵌入的概率等價(jià)于對(duì)所嵌入Hash函數(shù)的下列函數(shù)的下列攻擊之一：攻擊之一： 即使對(duì)于攻擊者而言，即使對(duì)于攻擊者而言，IV是隨機(jī)的、秘密的和未知的，攻擊是隨機(jī)的、秘密的和未知的，攻擊者也能計(jì)算者也能計(jì)算Hash函數(shù)的壓縮函數(shù)的輸出。函數(shù)的壓縮函數(shù)的輸出。 即使即使IV是隨機(jī)的和秘密的，攻擊者也能找到是隨機(jī)的和秘密的，攻擊者也能找到Hash函數(shù)的碰函數(shù)的碰撞。撞。2022-5-27西安電子科技大學(xué)計(jì)算機(jī)學(xué)院32HMAC 的安全性的安全性nHMAC的安全性依賴(lài)于的安全性依賴(lài)于hash算法的安全性算法的安全性 n攻擊攻擊HMAC需要下列之一需

20、要下列之一:q對(duì)密鑰進(jìn)行窮舉攻擊對(duì)密鑰進(jìn)行窮舉攻擊q生日攻擊生日攻擊n從速度與安全制約，選擇恰當(dāng)?shù)膹乃俣扰c安全制約，選擇恰當(dāng)?shù)膆ash函數(shù)函數(shù)2022-5-27西安電子科技大學(xué)計(jì)算機(jī)學(xué)院3312.6 基于分組密碼的基于分組密碼的MACp DAA：數(shù)據(jù)認(rèn)證算法：數(shù)據(jù)認(rèn)證算法p CMAC：基于密碼的消息認(rèn)證碼：基于密碼的消息認(rèn)證碼2022-5-27西安電子科技大學(xué)計(jì)算機(jī)學(xué)院34用對(duì)稱(chēng)密碼產(chǎn)生用對(duì)稱(chēng)密碼產(chǎn)生MACsn采用分組密碼的鏈接工作模式，并把最后分組采用分組密碼的鏈接工作模式，并把最后分組作為作為MACnData Authentication Algorithm (DAA) 是一個(gè)廣是一個(gè)廣泛

21、使用的數(shù)據(jù)認(rèn)證算法，基于泛使用的數(shù)據(jù)認(rèn)證算法，基于DES-CBC（FIPS PUB113,ANSI X9.17）qIV=0且最后一個(gè)分組用且最后一個(gè)分組用0填充其后以補(bǔ)足填充其后以補(bǔ)足64位分組位分組q用用DES的密文分組鏈接模式的密文分組鏈接模式CBC解密消息解密消息q把最后一個(gè)分組作為把最后一個(gè)分組作為MAC發(fā)送發(fā)送n或者取最后分組的左邊或者取最后分組的左邊M bits (16M64) n但是對(duì)于安全性來(lái)說(shuō)，最終的但是對(duì)于安全性來(lái)說(shuō)，最終的MAC還是太小了還是太小了2022-5-27西安電子科技大學(xué)計(jì)算機(jī)學(xué)院35Data Authentication Algorithm基于基于DES實(shí)現(xiàn)的數(shù)據(jù)認(rèn)證算法實(shí)現(xiàn)的數(shù)據(jù)認(rèn)證算法 2022-5-27西安電子科技大學(xué)計(jì)算機(jī)學(xué)院36 置置IV = 0，并把報(bào)文的最后一個(gè)分組用，并把報(bào)文的最后一個(gè)分組用0填充成填充成64比特；比特； 采用采用DES的的CBC模式加密報(bào)文；模式加密報(bào)文； 拋棄加密的中間結(jié)果，只將最后一