網(wǎng)絡(luò)信息安全消息認(rèn)證的培訓(xùn)資料_第1頁
網(wǎng)絡(luò)信息安全消息認(rèn)證的培訓(xùn)資料_第2頁
網(wǎng)絡(luò)信息安全消息認(rèn)證的培訓(xùn)資料_第3頁
網(wǎng)絡(luò)信息安全消息認(rèn)證的培訓(xùn)資料_第4頁
網(wǎng)絡(luò)信息安全消息認(rèn)證的培訓(xùn)資料_第5頁
已閱讀5頁,還剩35頁未讀, 繼續(xù)免費(fèi)閱讀

下載本文檔

版權(quán)說明:本文檔由用戶提供并上傳,收益歸屬內(nèi)容提供方,若內(nèi)容存在侵權(quán),請進(jìn)行舉報或認(rèn)領(lǐng)

文檔簡介

1、網(wǎng)絡(luò)信息安全消息認(rèn)證的培訓(xùn)資料網(wǎng)絡(luò)信息平安消息認(rèn)證消息認(rèn)證在網(wǎng)絡(luò)通信中,攻擊方法泄密:透露消息給沒有密鑰的實(shí)體傳輸分析:分析通信模式,連接頻率、時間,消息的數(shù)量和大小偽裝:欺詐消息,偽裝發(fā)送或應(yīng)答內(nèi)容修改:順序修改:計時修改:消息重放或者延遲發(fā)送方否認(rèn):接收方否認(rèn):消息認(rèn)證消息認(rèn)證 (報文鑒別)對收到的消息進(jìn)行驗(yàn)證,證明確實(shí)是來自聲稱的發(fā)送方,并且沒有被修改正。如果在消息中參加時間及順序信息,那么可以完成對時間和順序的認(rèn)證數(shù)字簽名是一種認(rèn)證手段,其中的一些方法可以用來抗發(fā)送方的否認(rèn)攻擊。消息認(rèn)證的三種方式Message encryption:用整個消息的密文作為認(rèn)證標(biāo)識接收方必須能夠識別錯誤M

2、AC:一個公開函數(shù),加上一個密鑰產(chǎn)生一個固定長度的值作為認(rèn)證標(biāo)識Hash function:一個公開函數(shù)將任意長度的消息映射到一個固定長度的散列值,作為認(rèn)證標(biāo)識Message Authentication Code使用一個雙方共享的秘密密鑰生成一個固定大小的小數(shù)據(jù)塊,并參加到消息中,稱MAC,或密碼校驗(yàn)和(cryptographic checksum)用戶A和用戶B,共享密鑰K,對于消息M, MAC=CK(M)如果接收方計算的MAC與收到的MAC匹配,那么接收者可以確信消息M未被改變接收者可以確信消息來自所聲稱的發(fā)送者如果消息中含有序列號,那么可以保證正確的消息順序MAC函數(shù)類似于加密函數(shù),但

3、不需要可逆性。因此在數(shù)學(xué)上比加密算法被攻擊的弱點(diǎn)要少M(fèi)AC應(yīng)用方式1消息認(rèn)證MC|CKKCompareMCk(M)缺點(diǎn)MAC應(yīng)用方式2消息認(rèn)證和保密性:明文相關(guān)MC|K1CK1CompareEEk2【M|Ck1(M)】K2DK2MCk1(M)MAC應(yīng)用方式3消息認(rèn)證和保密性:密文相關(guān)MC|K1CK1CompareECk1(Ek2(M)K2DK2MCk1(M)Ek2(M)關(guān)于MAC算法MAC不等于數(shù)字簽名因?yàn)橥ㄓ嶋p方共享同一個密鑰MAC有固定的長度MAC結(jié)構(gòu)的重要性,例如,密鑰足夠長+加密算法足夠好平安M=(X1,X2,Xt)對M產(chǎn)生校驗(yàn)和M=X1X2XtMAC = EK(M)攻擊者選擇M=(Y

4、1,Y2,Yt-1,Yt),使得Yt滿足: Yt = Y1Y2Yt-1M于是M=MEK(M)=EK(M) CK(M)=CK(M)所以,盡管攻擊者不知道K,仍然可以偽造消息MMAC算法的要求條件:攻擊者知道MAC函數(shù)但不知道密鑰K要求:M和CK(M),要想構(gòu)造M使得CK(M)=CK(M)在計算上不可行(計算上無碰撞)CK(M)均勻分布:隨機(jī)選擇M和M, PrCK(M) = CK(M)=2-|MAC|f是M的一個變換(例如對某些位取反),那么, PrCK(M)= CK(f(M)=2-|MAC|MAC based on DESANSI標(biāo)準(zhǔn)(X9.17)即為CBC模式結(jié)構(gòu),初始向量為0該方法適用于其他

5、加密算法算法:M=(X1,X2,Xt)M1=EK(X1)Mj+1=EK(Xj+1Mj), 1jtMAC= MtHash FunctionMAC需要對全部數(shù)據(jù)進(jìn)行加密MAC速度慢Hash是一種直接產(chǎn)生認(rèn)證碼的方法沒有密鑰消息中任何一位的改變會導(dǎo)致Hash碼的改變Hash函數(shù): h=H(x), 要求:散列算法是公開的不同的報文不能產(chǎn)生相同的散列碼H(x)能夠快速計算對于任意報文無法預(yù)知它的散列碼無法根據(jù)散列碼倒推報文可作用于任何尺寸數(shù)據(jù)且均產(chǎn)生定長輸出Hash FunctionHash函數(shù): h=H(x),單向性: 給定h,找到x使h=H(x)在計算上不可行抗弱碰撞性: Weak Collisio

6、n Resistence(WCR):給定x,找到y(tǒng)x使H(x)=H(y)在計算上不可行抗強(qiáng)碰撞性: Strong Collision Resistence(SCR): 找到任意的yx使H(x)=H(y)在計算上不可行Hash函數(shù)的根本用途aMH|HCompareEEk2 M | H(M) KDKMH(M)Hash函數(shù)的根本用途bMH|HCompareMEEk(H(M)KDK不要求保密,處理代價小Hash函數(shù)的根本用途cMH|HCompareMEEkRa(H(M)KRa私鑰DKUa數(shù)字簽名機(jī)制Hash函數(shù)的根本用途dMH|HCompareEEk M | EkRa(H(M) KDKMEkRa(H(

7、M)EKRa 私鑰DKRa常用,保密并且數(shù)字簽名Hash函數(shù)的根本用途eMH|HCompareH(M | S )|SM|S不使用加密函數(shù),但是s為雙方共享秘密值,不傳送Hash函數(shù)的根本用途fMH|SHCompareH(M | S )M|SEEk M | H(M | S) KDK*Hash問題Hash值沖突會有什么問題?Hash的用途會這樣的沖突嗎?能定制這樣的沖突嗎?生日攻擊理論根底理論根底假設(shè)k1.182m/22m/2, 那么k個在1,2m的隨機(jī)數(shù)中有兩個數(shù)相等的概率不低于0.5假設(shè)k0.83n1/2,兩個在1,n的k個隨機(jī)數(shù)集合有交集的概率不小于0.5因此,當(dāng)Hash算法選用N位的Has

8、h值時,兩組消息選擇k2N/2中有一對消息產(chǎn)生相同Hash值的概率超過0.5264 - 263 - 232生日攻擊例子This Letter isI am writingto introduceyou toto youMr.-AlfredP.-Barton,. . . . . .Letter2與Letter1中的信含義不同。各自組合出2k封信件,然后在兩個組中找到兩封hash值相同的信!Letter1:Letter2:. . . . . .對策:Hash值足夠長,64-128-160-256hash函數(shù)通用模型由Merkle于1989年提出幾乎被所有hash算法采用具體做法:把原始消息M分成一

9、些固定長度的塊Yi最后一塊padding并使其包含消息M的長度設(shè)定初始值CV0壓縮函數(shù)f, CVi=f(CVi-1,Yi-1)最后一個CVi為hash值hash函數(shù)模型圖bY0nIV=CV0fbY1nfbYL-1nCVL-1fCV1nnIV = initial value 初始值CV = chaining value 鏈接值Yi = ith input block (第i 個輸入數(shù)據(jù)塊)f = compression algorithm (壓縮算法n = length of hash code (散列碼的長度)b = length of input block(輸入塊的長度)CVLMD5 算法

10、 Ron Rivest算法輸入:任意長度的消息輸出:128位消息摘要處理:以512位輸入數(shù)據(jù)塊為單位采納位標(biāo)準(zhǔn):RFC1321MD5: 示意圖MD5步驟第一步:padding補(bǔ)長到512的倍數(shù)最后64位為消息長度的低64位一定要補(bǔ)長(64+164+512),內(nèi)容為1000第二步把結(jié)果分割為512位的塊:Y0,Y1,YL-1第三步初始化MD buffer,128位常量(4個字),進(jìn)入循環(huán)迭代,共L次每次:一個輸入128位,另一個輸入512位,結(jié)果輸出128位,用于下一輪輸入第四步最后一步的輸出即為散列結(jié)果128位MD5的每一步運(yùn)算示意圖每一輪中16步的每一步運(yùn)算結(jié)構(gòu)ABCDABCD+CLSs+g

11、XkTiFunction g g(b,c,d)1 F(b,c,d) (bc)(bd)2 G(b,c,d) (bd)(cd)3 H(b,c,d) bcd4 I(b,c,d) c(bd)關(guān)于MD5MD5使用little-endian生日攻擊模式+64位可計算 128位hash值太短MD5不是足夠平安的Dobbertin在1996年找到了兩個不同的512-bit塊,它們在MD5計算下產(chǎn)生相同的hash至今還沒有真正找到兩個不同的消息,它們的MD5的hash相等Secure Hash Algorithm簡介1992年NIST制定了SHA(128位)1993年SHA成為標(biāo)準(zhǔn)1994年修改產(chǎn)生SHA-1(160位)1995年SHA-1成為新的標(biāo)準(zhǔn)SHA-1要求輸入消息長度264SHA-1的摘要長度為160位根底是MD4SHA-1算法結(jié)構(gòu)與MD5類似第一步:pading與MD5相同,補(bǔ)齊到512的倍數(shù)第二步分塊第三步初始化MD buffer,160位常量(5個字)進(jìn)入循環(huán),160輸入+512輸入-160輸出第四步最后的輸出為SHA-1的結(jié)果壓縮函數(shù)每一輪中20步的每一步運(yùn)算結(jié)構(gòu)常量從消息塊導(dǎo)出SHA-1算法結(jié)論SHA-1使用big-endian抵抗生日攻擊: 160位hash值沒有發(fā)現(xiàn)兩個不同的512-bit塊,它們在SHA-1計算下產(chǎn)生相同的“hash速度慢于

溫馨提示

  • 1. 本站所有資源如無特殊說明,都需要本地電腦安裝OFFICE2007和PDF閱讀器。圖紙軟件為CAD,CAXA,PROE,UG,SolidWorks等.壓縮文件請下載最新的WinRAR軟件解壓。
  • 2. 本站的文檔不包含任何第三方提供的附件圖紙等,如果需要附件,請聯(lián)系上傳者。文件的所有權(quán)益歸上傳用戶所有。
  • 3. 本站RAR壓縮包中若帶圖紙,網(wǎng)頁內(nèi)容里面會有圖紙預(yù)覽,若沒有圖紙預(yù)覽就沒有圖紙。
  • 4. 未經(jīng)權(quán)益所有人同意不得將文件中的內(nèi)容挪作商業(yè)或盈利用途。
  • 5. 人人文庫網(wǎng)僅提供信息存儲空間,僅對用戶上傳內(nèi)容的表現(xiàn)方式做保護(hù)處理,對用戶上傳分享的文檔內(nèi)容本身不做任何修改或編輯,并不能對任何下載內(nèi)容負(fù)責(zé)。
  • 6. 下載文件中如有侵權(quán)或不適當(dāng)內(nèi)容,請與我們聯(lián)系,我們立即糾正。
  • 7. 本站不保證下載資源的準(zhǔn)確性、安全性和完整性, 同時也不承擔(dān)用戶因使用這些下載資源對自己和他人造成任何形式的傷害或損失。

評論

0/150

提交評論