第五講-云安全關(guān)鍵技術(shù)2要點(diǎn)課件

第四講云安全關(guān)鍵技術(shù)（2）Hash函數(shù)與數(shù)字摘要數(shù)字摘要數(shù)字簽名的實(shí)施問題長度問題（簽名比原文長）速度問題完整性問題數(shù)字摘要和Hash函數(shù)消息x任意長度數(shù)字摘要z=h(x)160位簽名y=sigK(z)320位Hash函數(shù)Hash函數(shù)適用任意信息長度產(chǎn)生的摘要是定長的易于計算通過摘要得到原信息計算上不可行無沖突弱無沖突與強(qiáng)無沖突弱無沖突（weaklycollision-free）給定消息x，如果尋找一個x’≠x，使得h(x’)=h(x)在計算上不可行，相應(yīng)的hash函數(shù)h(x)是弱無沖突的。強(qiáng)無沖突（stronglycollision-free）尋找一對消息x’≠x，使得h(x’)=h(x)在計算上不可行，相應(yīng)的hash函數(shù)h(x)是強(qiáng)無沖突的。ONE-WAY稱Hash函數(shù)是ONE-WAYFUNCTION:給定摘要z，如果尋找一個消息x使h(x)=z計算上不可行。6/9/20237簡單Hash函數(shù)舉例ci——散列碼的第i位，i∈[1,n]m——n位輸入分組的個數(shù)bij——第i個分組的第j位MD算法RSA的發(fā)明者之一，R.Rivest教授提出了消息摘要的MD算法（散列算法）。之后又出現(xiàn)了一系列的改進(jìn)版本：MD2，MD4,MD5，其摘要的長度均為128位；SHS算法近幾年，又出現(xiàn)了另一個散列算法：SHS（安全Hash標(biāo)準(zhǔn)），其代表性的產(chǎn)品為SHA－1，其摘要長度為160位，安全強(qiáng)度比MD5的更高。幾種散列算法生日悖論生日悖論：隨機(jī)選取23人作為一組，則至少兩人同生日的概率是1/2.結(jié)論就是用更多比特位的

hashHash攻擊40位的數(shù)字摘要足夠安全建議采用128位以上的數(shù)字摘要DSS采用160位的數(shù)字摘要時戳簽名的時效時戳的算法：z=h(x)

z’=h(z|pub) y=sigk(z’)pub的選取TTS(TrustedTimestampingService)消息認(rèn)證在網(wǎng)絡(luò)通信中,有一些針對消息內(nèi)容的攻擊方法,如:偽造消息竄改消息內(nèi)容改變消息順序消息重放或者延遲消息認(rèn)證：對收到的消息進(jìn)行驗(yàn)證，證明確實(shí)是來自聲稱的發(fā)送方（身份認(rèn)證），并且沒有被修改過。

怎樣實(shí)現(xiàn)消息認(rèn)證？通過“認(rèn)證標(biāo)識”（或稱認(rèn)證符）。即：首先產(chǎn)生一個認(rèn)證標(biāo)識，將這個認(rèn)證標(biāo)識加到消息中，同消息一起發(fā)給接收方。怎樣產(chǎn)生“認(rèn)證標(biāo)識”？消息加密（Messageencryption）方式用整個消息的密文作為“認(rèn)證標(biāo)識”。Hash函數(shù)（Hashfunction）方式一個公開函數(shù)，它將任意長度的消息映射到一個固定長度的散列值，作為“認(rèn)證標(biāo)識”（消息摘要）。消息認(rèn)證碼（MAC）方式一個公開函數(shù)加上一個密鑰，產(chǎn)生一個固定長度的值，作為“認(rèn)證標(biāo)識”。產(chǎn)生“認(rèn)證標(biāo)識”的常用方法消息驗(yàn)證——消息加密方式

DES效率6/9/202316消息加密方式消息驗(yàn)證——Hash函數(shù)方式

無密鑰6/9/2023186/9/2023196/9/202320消息認(rèn)證碼(MAC)一種認(rèn)證技術(shù)利用密鑰來生成一個固定長度的短數(shù)據(jù)塊（MAC），并將該數(shù)據(jù)塊附加在消息之后。MAC的值依賴于消息和密鑰MAC=Ck(M)MAC函數(shù)于加密類似，但MAC算法不要求可逆性，而加密算法必須是可逆的。接收方進(jìn)行同樣的MAC碼計算并驗(yàn)證是否與發(fā)送過來的MAC碼相同6/9/202321MAC特性MAC碼是一個密碼校驗(yàn)和

MAC=CK(M)消息M的長度是可變的密鑰K是要保密的，且收發(fā)雙方共享。產(chǎn)生固定長度的認(rèn)證碼MAC算法是一個多對一的函數(shù)多個消息對應(yīng)同一MAC值但是找到同一MAC值所對應(yīng)的多個消息應(yīng)該是困難的。6/9/202322身份認(rèn)證認(rèn)證(authentication)：證明一個對象的身份的過程。比如某個人說她是Alice，認(rèn)證系統(tǒng)的任務(wù)就是作出她是否就是Alice的結(jié)論授權(quán)(authorization)：決定把什么特權(quán)附加給該身份

1口令認(rèn)證2物理認(rèn)證生物認(rèn)證4密碼認(rèn)證口令認(rèn)證的工作過程下圖是基于口令的認(rèn)證系統(tǒng)的組成與工作原理，這個系統(tǒng)用起來非常方便，但存在明顯的安全問題?？诹钫J(rèn)證存在的問題(1)攻擊者可以在Alice登錄時實(shí)施偵聽以獲取口令。(2)攻擊者可以讀取計算機(jī)中所存儲的口令信息。(3)攻擊者可以進(jìn)行口令猜測。(4)如果試圖強(qiáng)制用戶選擇無法猜測的口令，那么系統(tǒng)可能變得不便于使用，用戶可能不得不寫下口令。物理認(rèn)證通過“你所擁有的東西”進(jìn)行認(rèn)證介紹信、證明、學(xué)生證、第一代身份證等。信用卡、智能卡生物認(rèn)證基于“你是誰”的認(rèn)證不能用于對網(wǎng)絡(luò)的其他實(shí)體(主機(jī)、機(jī)構(gòu)等)的認(rèn)證。指紋識別、虹膜掃描認(rèn)證、掌紋識別認(rèn)證、語音識別認(rèn)證、手工簽名認(rèn)證單向口令認(rèn)證協(xié)議1：密碼學(xué)認(rèn)證方法單向口令認(rèn)證的改進(jìn)(協(xié)議2)協(xié)議1的另一種變形協(xié)議3協(xié)議2修改成協(xié)議4協(xié)議4這要求Alice和Bob有同步時鐘，Alice加密當(dāng)前時間，Bob解密時間并驗(yàn)證時間在一定的時差之內(nèi)。前面幾個協(xié)議都是使用共享密鑰方案KAB，共同的缺點(diǎn)是，如果攻擊者能夠獲得KAB，那么就能夠冒充Alice。公鑰認(rèn)證協(xié)議5/6的問題協(xié)議5可以誘騙Alice對某些消息進(jìn)行簽名；協(xié)議6可以誘騙Alice對某些消息解密。避免這些問題的可行的方法有兩種：一是不要將相同的密鑰用于兩種不同的目的；二是確定用于認(rèn)證的消息應(yīng)當(dāng)有固定的格式。雙向認(rèn)證兩個方向上的獨(dú)立認(rèn)證，（協(xié)議7）(協(xié)議8)對協(xié)議8的反射攻擊協(xié)議8的改進(jìn)有兩種方法可以避免反射攻擊，(1)在認(rèn)證Alice和Bob時使用不同的密鑰；(2)要求挑戰(zhàn)者和響應(yīng)者使用的隨機(jī)數(shù)有不同的格式。協(xié)議8的改進(jìn)用公鑰實(shí)現(xiàn)雙向認(rèn)證(協(xié)議9)協(xié)議9的問題協(xié)議9存在兩個問題:(1)如何讓Alice知道Bob的公鑰（密鑰的分配）(2)在Alice只知道口令的情況下，如何讓Alice知道她自己的私鑰？（密鑰的產(chǎn)生）密鑰管理與公鑰基礎(chǔ)設(shè)施秘密密鑰分配方法

共享的秘密密鑰，為防止攻擊者得到密鑰，必須時常更新密鑰。因此，密碼系統(tǒng)的強(qiáng)度也依賴于密鑰分配技術(shù)兩個用戶A和B獲得共享密鑰的方法有以下4種：①密鑰由A選取并通過物理手段發(fā)送給B②密鑰由第三方選取并通過物理手段發(fā)送給A和B③如果A、B事先已有一密鑰，則其中一方選取新密鑰后，用已有的密鑰加密新密鑰并發(fā)送給另一方④如果A和B與第三方C分別有一保密信道，則C為A、B選取密鑰后，分別在兩個保密信道上發(fā)送給A、B第1和第2種方法稱為人工發(fā)送在通信網(wǎng)中，當(dāng)n很大時，密鑰分配的代價非常大，密鑰的人工發(fā)送是不可行的對于第3種方法攻擊者一旦獲得一個密鑰就可獲取以后所有的密鑰；而且用這種方法對所有用戶分配初始密鑰時，代價仍然很大。第4種方法比較常用密鑰分配中心(KDC)。每一用戶必須和KDC有一個共享密鑰，稱為主密鑰。會話密鑰：用于一對用戶之間的保密通信。通信完成后，會話密鑰即被銷毀。密鑰分配的一個實(shí)例如圖：假定兩個用戶A、B分別與密鑰分配中心KDC(keydistributioncenter)有一個共享的主密鑰KA和KB，A希望與B建立一個共享的一次性會話密鑰，可通過以下幾步來完成：①A向KDC發(fā)出會話密鑰請求表示請求的消息由兩個數(shù)據(jù)項組成:第1項Request是A和B的身份第2項是這次業(yè)務(wù)的惟一識別符N1，稱N1為一次性隨機(jī)數(shù)，可以是時戳、計數(shù)器或隨機(jī)數(shù)每次的N1都應(yīng)不同，且為防止假冒，應(yīng)使敵手對N1難以猜測。因此用隨機(jī)數(shù)作為這個識別符最為合適。防重放，防篡改公鑰體制的密鑰管理一是公鑰密碼體制所用的公開密鑰的分配二是如何用公鑰體制來分配單鑰密碼體制所需的密鑰用公鑰體制來分配單鑰密碼體制所需的密鑰

簡單的秘密鑰分配：中間人攻擊如果敵手E已接入A、B雙方的通信信道，就可通過以下不被察覺的方式截獲雙方的通信：①與上面的步驟①相同②E截獲A的發(fā)送后，建立自己的一對密鑰{PKE,SKE}，并將PKE‖IDA發(fā)送給B。③B產(chǎn)生會話密鑰KS后，將EPKE[KS]發(fā)送出去。④E截獲B發(fā)送的消息后，由DPKE[EPKE[KS]]解讀KS。⑤E再將EPKA[KS]發(fā)往A。現(xiàn)在A和B知道KS，但并未意識到KS已被E截獲。A、B在用KS通信時，E就可以實(shí)施監(jiān)聽具有保密性和真實(shí)性的密鑰分配假設(shè)雙發(fā)已安全交換了各自的公鑰:注意：這個方案其實(shí)是有漏洞的，即第4條消息容易被重放，假設(shè)敵手知道上次通話時協(xié)商的會話密鑰Ks，以及A對Ks的簽名和加密，則通過簡單的重放即可實(shí)現(xiàn)對B的欺騙，解決的方法是將第3和第4條消息合并發(fā)送混合方式的密鑰分配保留私鑰配發(fā)中心(KDC)每用戶與KDC共享一個主密鑰用主密鑰分配會話密鑰公鑰用于分配主密鑰在大范圍分散用戶的情況下尤其有用公鑰本身的分配公鑰分配方法：公開發(fā)布公開可訪問目錄公鑰授權(quán)公鑰證書公鑰的公開發(fā)布用戶分發(fā)自己的公鑰給接收者或廣播給通信各方例如：把PGP的公鑰放到消息的最后，發(fā)布到新聞組或郵件列表中缺點(diǎn)：偽造任何人都可以產(chǎn)生一個冒充真實(shí)發(fā)信者的公鑰來進(jìn)行欺騙直到偽造被發(fā)現(xiàn)，欺騙已經(jīng)形成。公開可訪問的目錄通過使用一個公共的公鑰目錄可以獲得更大程度的安全性目錄應(yīng)該是可信的，特點(diǎn)如下：包含{姓名，公鑰}目錄項通信方只能安全的注冊到目錄中通信方可在任何時刻進(jìn)行密鑰更替目錄定期發(fā)布或更新目錄可被電子化地訪問缺點(diǎn)：仍存在被篡改偽造的風(fēng)險公鑰授權(quán)通過更加嚴(yán)格地控制目錄中的公鑰分配，使公鑰分配更加安全。具有目錄特性每一通信方必須知道目錄管理員的公鑰用戶和目錄管理員進(jìn)行交互以安全地獲得所希望的公鑰當(dāng)需要密鑰時，確實(shí)需要能夠?qū)崟r訪問目錄。公鑰目錄管理員稱為系統(tǒng)的瓶頸。公鑰授權(quán)公鑰證書用證書進(jìn)行密鑰交換，可以避免對公鑰目錄的實(shí)時授權(quán)訪問證書包含標(biāo)識和公鑰等信息

通常還包含有效期，使用權(quán)限等其它信息含有可信公鑰或證書授權(quán)方CA(certificateauthority)的簽名知道公鑰或證書授權(quán)方的公鑰的所有人員都可以進(jìn)行驗(yàn)證例如：X.509標(biāo)準(zhǔn)公鑰證書密鑰管理的內(nèi)容

主要內(nèi)容：密鑰的產(chǎn)生、分配和維護(hù)。其中維護(hù)涉及密鑰的存儲、更新、備份、恢復(fù)、銷毀等方面。

PublicKeyInfrastructure公鑰基礎(chǔ)設(shè)施，是一種運(yùn)用公鑰的概念與技術(shù)來實(shí)施并提供安全服務(wù)的具有普遍適用性的網(wǎng)絡(luò)安全基礎(chǔ)設(shè)施。PKI的功能：信息的真實(shí)性信息的完整性信息的機(jī)密性信息的不可抵賴性PKI數(shù)字證書數(shù)字證書:DigitalCertificates實(shí)際上是一個計算機(jī)文件，如同護(hù)照一樣。護(hù)照項目數(shù)字證書項目姓名（FullName)主體名（Subjectname)護(hù)照號（Passportnumber）序號（Serialnumber)起始日期（Validfrom)相同終止日期（Validto)相同簽發(fā)者（Issuedby)簽發(fā)者名（Issuername)照片與簽名（Photographandsignature)公鑰（Publickey)證書機(jī)構(gòu)如同護(hù)照的簽發(fā)必須由政府部門一樣數(shù)字證書的簽發(fā)必須有一個權(quán)威或第三方信任的組織來做。這就是證書機(jī)構(gòu)證書機(jī)構(gòu)通常是一些著名的組織，如郵局、財務(wù)機(jī)構(gòu)、軟件公司等。世界上最著名的證書機(jī)構(gòu)是VeriSign與Entrust。X.509數(shù)字證書字段描述V1字段描述版本（Verison)標(biāo)識本數(shù)字證書使用的X.509的版本。證書序號（CertificateSerialNumber)包含CA產(chǎn)生的唯一整數(shù)值簽名算法標(biāo)識符（SignatureAlgorithmIdentifier)標(biāo)識CA簽名數(shù)字證書時使用的算法簽發(fā)者名（IssuerName)CA區(qū)別名（DN）有效期（之前/之后）(Validity(NotBefore/NotAfter)包含兩個日期（含日期和時間），精度為秒或毫秒主體名（SubjectName)證書所指實(shí)體（用戶或組織）的區(qū)別名（DN），除非V3擴(kuò)展中定義了替換名，否則這個字段必須有值主體公鑰信息（SubjectPublicKeyInformation)主體的公鑰和與密鑰有關(guān)的算法，必須有X.509數(shù)字證書字段描述V2字段描述簽發(fā)者唯一標(biāo)識符（IssuerUniqueIdentifier)在兩個或多個CA使用相同簽發(fā)者名字時標(biāo)識CA主體唯一標(biāo)識符（SubjectUniqueIdentifier)在兩個或多個主體使用相同簽發(fā)者名時標(biāo)識CA證書的生成關(guān)系人圖最終用戶