網(wǎng)絡(luò)安全11消息認(rèn)證碼課件

單純的加解密算法無(wú)法保證抵抗下述攻擊偽裝內(nèi)容修改順序修改計(jì)時(shí)修改發(fā)送方否認(rèn)接收方否認(rèn)消息認(rèn)證碼數(shù)字簽名不屬于機(jī)密性范疇,屬于數(shù)據(jù)完整性范疇Chapter12消息認(rèn)證碼《計(jì)算機(jī)與網(wǎng)絡(luò)安全》消息認(rèn)證需求消息認(rèn)證函數(shù)消息認(rèn)證碼基于Hash函數(shù)的MAC基于分組密碼的MAC：DAA和CMAC2023/9/173西安電子科技大學(xué)計(jì)算機(jī)學(xué)院§12.1

對(duì)認(rèn)證的需求2023/9/174西安電子科技大學(xué)計(jì)算機(jī)學(xué)院可能的攻擊：1.泄密：將消息透漏給未授權(quán)方2.傳輸分析：分析通信雙方的通信模式3.偽裝：欺詐源向網(wǎng)絡(luò)中插入一條消息4.內(nèi)容修改：對(duì)消息內(nèi)容的修改5.順序修改：對(duì)通信雙方消息順序的修改6.計(jì)時(shí)修改：對(duì)消息的延時(shí)和重播7.發(fā)送方否認(rèn)：對(duì)消息否認(rèn)8.接收方否認(rèn)：對(duì)消息否認(rèn)消息認(rèn)證：驗(yàn)證所收到的消息確實(shí)是來(lái)自真實(shí)的發(fā)送方且未被修改的消息，它也可驗(yàn)證消息的順序和及時(shí)性。數(shù)字簽名：是一種認(rèn)證技術(shù)，其中的一些方法可用來(lái)抗發(fā)送方否認(rèn)攻擊。（接收者可驗(yàn)證但不能偽造）消息認(rèn)證數(shù)字簽名2023/9/175西安電子科技大學(xué)計(jì)算機(jī)學(xué)院消息認(rèn)證函數(shù)是實(shí)現(xiàn)消息認(rèn)證的基礎(chǔ)其工作原理和通信領(lǐng)域常見(jiàn)的差錯(cuò)控制編碼函數(shù)類(lèi)似，

都是通過(guò)對(duì)原始報(bào)文進(jìn)行某種運(yùn)算，產(chǎn)生一個(gè)定長(zhǎng)的輸

出，這個(gè)輸出是原始報(bào)文的“冗余信息”，即消息認(rèn)證碼，有時(shí)也被稱(chēng)為密碼校驗(yàn)和。2023/9/176西安電子科技大學(xué)計(jì)算機(jī)學(xué)院常用的消息認(rèn)證函數(shù)包括如下兩類(lèi)：①利用加密函數(shù)作為消息認(rèn)證函數(shù)：這種方法把原始報(bào)文加密后產(chǎn)生的密文作為它的消息認(rèn)證碼；②專(zhuān)用的消息認(rèn)證函數(shù)：以原始報(bào)文和密鑰作為輸入，產(chǎn)生定長(zhǎng)的輸出，這個(gè)輸出就是原始報(bào)文的消息認(rèn)證碼?？梢岳眠\(yùn)行于CBC模式下的常規(guī)加密算法或帶密鑰的Hash函數(shù)（HMAC）來(lái)構(gòu)造消息認(rèn)證函數(shù)。2023/9/177西安電子科技大學(xué)計(jì)算機(jī)學(xué)院§12.2

認(rèn)證函數(shù)2023/9/178西安電子科技大學(xué)計(jì)算機(jī)學(xué)院兩層：產(chǎn)生認(rèn)證符＋驗(yàn)證產(chǎn)生認(rèn)證符的函數(shù)類(lèi)型：消息加密：消息的密文作為認(rèn)證符。消息認(rèn)證碼：消息和密鑰的公開(kāi)函數(shù)，產(chǎn)生定長(zhǎng)的值作為認(rèn)證符。MAC:message

authentication

codeHash函數(shù)：將任意長(zhǎng)消息映射為定長(zhǎng)的hash值作為認(rèn)證符。12.2.1

消息加密2023/9/179西安電子科技大學(xué)計(jì)算機(jī)學(xué)院消息加密也能提供一種認(rèn)證的方法對(duì)稱(chēng)密碼，既可以提供認(rèn)證又可以提供保密性，但不是絕對(duì)的。只有消息具有適當(dāng)?shù)慕Y(jié)構(gòu)、冗余或含有校驗(yàn)和，接收方才可能對(duì)消息的任何變化進(jìn)行檢測(cè)。否則，認(rèn)證難以完成。嚴(yán)格意義上說(shuō)，單獨(dú)使用加密技術(shù)無(wú)法實(shí)現(xiàn)消息認(rèn)證。（不推薦）2023/9/1710西安電子科技大學(xué)計(jì)算機(jī)學(xué)院2023/9/1711西安電子科技大學(xué)計(jì)算機(jī)學(xué)院消息加密2023/9/1712西安電子科技大學(xué)計(jì)算機(jī)學(xué)院公鑰體制中:加密不能提供對(duì)發(fā)送方的認(rèn)證（公鑰是公開(kāi)的）發(fā)送方可用自己的私鑰進(jìn)行簽名接收方可用發(fā)送方的公鑰進(jìn)行驗(yàn)證保密性和可認(rèn)證性2023/9/1713西安電子科技大學(xué)計(jì)算機(jī)學(xué)院2023/9/1714西安電子科技大學(xué)計(jì)算機(jī)學(xué)院2023/9/1715西安電子科技大學(xué)計(jì)算機(jī)學(xué)院12.2.2

消息認(rèn)證碼

(MAC)2023/9/1716西安電子科技大學(xué)計(jì)算機(jī)學(xué)院一種認(rèn)證技術(shù)利用密鑰來(lái)生成一個(gè)固定長(zhǎng)度的短數(shù)據(jù)塊（MAC），并將該數(shù)據(jù)塊附加在消息之后。MAC的值依賴(lài)于消息和密鑰MAC

=Ck(M)=C(M,K)MAC函數(shù)于加密類(lèi)似，但MAC算法不要求可逆性，而加密算法必須是可逆的。接收方進(jìn)行同樣的MAC碼計(jì)算并驗(yàn)證是否與發(fā)送過(guò)來(lái)的MAC碼相同MAC

特性2023/9/1717西安電子科技大學(xué)計(jì)算機(jī)學(xué)院MAC碼是一個(gè)密碼校驗(yàn)和

MAC=CK(M)=C(K,M)消息M的長(zhǎng)度是可變的密鑰K是要保密的，且收發(fā)雙方共享。產(chǎn)生固定長(zhǎng)度的認(rèn)證碼MAC算法是一個(gè)多對(duì)一的函數(shù)多個(gè)消息對(duì)應(yīng)同一MAC值但是找到同一MAC值所對(duì)應(yīng)的多個(gè)消息應(yīng)該是困難的。Message

Authentication

Code2023/9/1718西安電子科技大學(xué)計(jì)算機(jī)學(xué)院若相同，則有：接收方可以相信消息未被修改。接收方可以相信消息來(lái)自真正的發(fā)送方。接收方可以確信消息中含有的序列號(hào)是正確的。為什么需要使用MAC?有些情況只需要認(rèn)證（如廣播）文檔的持續(xù)保護(hù)（例如解密后的保護(hù)）……由于收發(fā)雙方共享密鑰，所以MAC不能提供數(shù)字簽名2023/9/1719西安電子科技大學(xué)計(jì)算機(jī)學(xué)院對(duì)MACs的要求：抗多種攻擊（例如窮舉密鑰攻擊）且滿(mǎn)足:2023/9/1720西安電子科技大學(xué)計(jì)算機(jī)學(xué)院1.已知一條消息和MAC,構(gòu)造出另一條具有同樣MAC的消息是不可行的MACs應(yīng)該是均勻分布的MAC應(yīng)該依賴(lài)于消息的所有比特位2.3.2023/9/1721西安電子科技大學(xué)計(jì)算機(jī)學(xué)院2023/9/1722西安電子科技大學(xué)計(jì)算機(jī)學(xué)院§12.3

HMAC2023/9/1723西安電子科技大學(xué)計(jì)算機(jī)學(xué)院密碼hash函數(shù)作為MAC：不用分組密碼，而用hash函數(shù)來(lái)產(chǎn)生MAC因?yàn)閔ash函數(shù)一般都較快沒(méi)有出口限制，（分組密碼有出口限制）hash函數(shù)不依賴(lài)于密鑰，所以不能直接用于MAC建議:KeyedHash

=

Hash(

Key

|

Message

)利用帶密鑰的Hash函數(shù)實(shí)現(xiàn)消息認(rèn)證2023/9/1724西安電子科技大學(xué)計(jì)算機(jī)學(xué)院當(dāng)前獲得廣泛應(yīng)用的構(gòu)造帶密鑰的Hash函數(shù)的方案是HMAC（keyed-hashing

for

message

authentication

code），它是Bellare等人于1996年提出，并于1997年作為RFC2104

標(biāo)準(zhǔn)發(fā)表， 并被很多因特網(wǎng)協(xié)議（如SSL）所使用。HMAC算法利用已有的Hash函數(shù)，使用不同的Hash函數(shù)，就可以得到不同的HMAC，例如選用MD5時(shí)的HMAC記為HMAC-MD5，選用SHA-1時(shí)的HMAC記為HMAC-SHA1。2023/9/1725西安電子科技大學(xué)計(jì)算機(jī)學(xué)院IPSECHMAC的設(shè)計(jì)目標(biāo)是：2023/9/1726西安電子科技大學(xué)計(jì)算機(jī)學(xué)院①可不經(jīng)修改而使用現(xiàn)有的Hash函數(shù)，特別是那些易于軟件實(shí)現(xiàn)的、源代碼可方便獲取且免費(fèi)使用的Hash函數(shù)；②其中嵌入的Hash函數(shù)可易于替換為更快或更安全的Hash函數(shù)；③保持嵌入的Hash函數(shù)的最初性能，不因用于HMAC而使其性能降低；④以簡(jiǎn)單方式使用和處理密鑰；⑤在對(duì)嵌入的Hash函數(shù)合理假設(shè)的基礎(chǔ)上，易于分析HMAC用于鑒別時(shí)的密碼強(qiáng)度。HMAC

概覽⊕⊕2023/9/1727西安電子科技大學(xué)計(jì)算機(jī)學(xué)院2023/9/17

西安電子科技大學(xué)計(jì)算機(jī)學(xué)院

28⊕⊕HMAC2023/9/1729西安電子科技大學(xué)計(jì)算機(jī)學(xué)院作為RFC2104HMACK

=

Hash[(K+

XORopad)||Hash[(K+

XOR

ipad)||M)]]其中K+為在K左邊填充0

后所得的b位長(zhǎng)的結(jié)果（

b為每一消息分組的位數(shù)）opad,

ipad

都是指定的填充常量多執(zhí)行了3次hash壓縮函數(shù)算法可用于MD5,SHA-1,RIPEMD-160中的任何一個(gè)HMAC算法的具體執(zhí)行步驟如下：2023/9/1730西安電子科技大學(xué)計(jì)算機(jī)學(xué)院①在密鑰K的右邊填充一些0，使其成為長(zhǎng)度為b比特的比特串，記為K+；i+②

計(jì)算

S

=

K

⊕

ipad

，其中

ipad

（

inner pad

）是

HMAC

算法中個(gè)長(zhǎng)度為b比特的比特模式串，它等于將00110110（16進(jìn)制的36）重復(fù)b/8次后得到的比特串；③把HMAC

的輸入報(bào)文x

=x1

ix

2

…

x

L

附加在

S

的右端，得到

Sx2…xL，將該比特串作為Hash函數(shù)h的輸入，得到l比特的輸出h

(Si||x)；o+④

計(jì)算

S

=

K

⊕

opad

，其中

opad

（

outter pad

）是

HMAC

算法另一個(gè)長(zhǎng)度為b比特的比特模式串，它等于將01011100（16進(jìn)制的5C）重復(fù)b/8次后得到的比特串；⑤將第3步得到的h(Si

||x)填充到b比特后附加在So

的右端，并以該比作為Hash函數(shù)h的輸入，得到l比特的輸出；⑥

將第

5

步的輸出作為

HMAC

算法的最終輸出結(jié)果，即為消息

x

認(rèn)證碼HMACk(x)。

建立在嵌入Hash

函數(shù)基礎(chǔ)上的所有MAC

，其安全性在某種程度上都依賴(lài)于該Hash函數(shù)的強(qiáng)度。對(duì)于HMAC，可以給出HMAC的強(qiáng)度與所嵌入Hash函數(shù)強(qiáng)度之間的關(guān)系。Bellare等人（1996年）已經(jīng)證明，如果攻擊者已知若干（時(shí)間、消息-MAC）對(duì)，則成功攻擊HMAC的概率等價(jià)于對(duì)所嵌入Hash函數(shù)的下列攻擊之一：①即使對(duì)于攻擊者而言，IV是隨機(jī)的、秘密的和未知的，攻擊者也能計(jì)算Hash函數(shù)的壓縮函數(shù)的輸出。②即使IV是隨機(jī)的和秘密的，攻擊者也能找到Hash函數(shù)的碰撞。2023/9/1731西安電子科技大學(xué)計(jì)算機(jī)學(xué)院HMAC

的安全性2023/9/1732西安電子科技大學(xué)計(jì)算機(jī)學(xué)院HMAC的安全性依賴(lài)于hash算法的安全性攻擊HMAC需要下列之一:對(duì)密鑰進(jìn)行窮舉攻擊生日攻擊從速度與安全制約，選擇恰當(dāng)?shù)膆ash函數(shù)12.6

基于分組密碼的MAC2023/9/1733西安電子科技大學(xué)計(jì)算機(jī)學(xué)院DAA：數(shù)據(jù)認(rèn)證算法CMAC：基于密碼的消息認(rèn)證碼用對(duì)稱(chēng)密碼產(chǎn)生MACs2023/9/1734西安電子科技大學(xué)計(jì)算機(jī)學(xué)院采用分組密碼的鏈接工作模式，并把最后分組作為MACDataAuthenticationAlgorithm(DAA)是一個(gè)廣泛使用的數(shù)據(jù)認(rèn)證算法，基于DES-CBC

（

FIPSPUB113,ANSI

X9.17）IV=0且最后一個(gè)分組用0填充其后以補(bǔ)足64位分組用DES的密文分組鏈接模式CBC解密消息把最后一個(gè)分組作為MAC發(fā)送或者取最后分組的左邊M

bits

(16≤M≤64)但是對(duì)于安全性來(lái)說(shuō)，最終的MAC還是太小了Data

Authentication

Algorithm基于DES實(shí)現(xiàn)的數(shù)據(jù)認(rèn)證算法2023/9/1735西安電子科技大學(xué)計(jì)算機(jī)學(xué)院①置IV=0，并把報(bào)文的最后一個(gè)分組用0填充成64比特；?采用DES的CBC模式加密報(bào)文；③拋棄加密的中間結(jié)果，只將最后一組密文（或最后一組密文的左邊M

(16≤M≤64)比特）作為原始報(bào)文的MAC。2023/9/1736西安電子科技大學(xué)計(jì)算機(jī)學(xué)院12.6.2

CMAC適用于AES和3DES的CMAC為n個(gè)消分組，k位加密密鑰和n位的常數(shù)K1T為消息認(rèn)證碼，也稱(chēng)為tag；Tlen是T的位長(zhǎng)度；MSBs(X)是位串的X最左邊的s位。2023/9/1737西安電子科技大學(xué)計(jì)算機(jī)學(xué)院12.7

認(rèn)證加密在通信中同時(shí)提供保密性和認(rèn)證性的加密