信息安全概论徐茂智邹维1_信息安全概论第11讲上课用课件.pptVIP

信息安全概论 第11讲 2008年x月y日 第4章 身份识别与消息鉴别 4.2 消息鉴别 4.2.1基于对称加密的鉴别 4.2.2 消息鉴别码Mac 4.2.2 消息鉴别码Mac 4.2.2 消息鉴别码Mac -HMAC算法 -HMAC算法 4.2.3 数字签名机制 4.2.4 无条件安全鉴别码 4.2.4 无条件安全鉴别码 作业 * * 身份识别（identity authentication） 通信和数据系统的安全性常取决于能否正确地验证通信或终端用户的个人身份，如机要重地的进入、自动提款机提款、密钥分发以及各种资源系统的访问等都需要对用户的个人身份进行识别。 消息鉴别（message authentication） 信息来源的可靠性及完整性，需要有效的消息鉴别来保证，如通过网络用户A 将消息M送给用户B， 这里的用户可能是个人、机关团体、处理机等等，用户B 需要进行消息鉴别，确定收到的消息是否来自A，而且还要确定消息的完整性。 如果消息数据是真实完整的数据并且来自所声称的消息源，就称该消息数据是可信的。 消息鉴别：原发方对原始消息数据进行约定的处理，将得到的数据发出，收方能够验证所接收的消息为可信消息。 鉴别的两个重要方面是验证消息的内容没有受到更改以及消息源是可信的，同时还希望验证消息的时效性，不存在人为的延迟或重放，以及通信各方之间消息流的顺序关系。 将介绍四种消息鉴别机制： 对称加密的鉴别、消息鉴别码、数字签名机制、无条件安全鉴别码 假定只有通信双方A和B共享有密钥 , 为A欲发送给B的有意义的合法信息。 A将 用密钥 加密后再发给B，如图4.4所示，在对信息提供必威体育官网网址性的同时也提供完整性的鉴别。 B： A： A： B： 图4.4 基于对称加密的鉴别 使用加密函数加密消息时，其安全性一般取决于密钥的长度。如果加密函数没有其他弱点可以利用的话，攻击者只能使用穷有哪些信誉好的足球投注网站的方法测试所有的密钥。假设密钥长度为k bit，则攻击者平均进行的测试次数为 次。特别地，对于唯密文攻击来说，攻击者只知道密文，需要用所有可能的密钥对密文执行解密，直到得到有意义的明文。 MAC函数类似于加密函数，不同的是MAC函数不需要可逆，而加密函数必须是可逆的。因此， MAC函数比加密函数更容易构造。 计算 计算 ， 计算 比较 与 计算 （a） A： B： 在图a所示的方式中，原发方A先对信息M计算Hash值H(M),然后将M||H(M)加密后发送给B，用户B收到加密信息C’后，先解密，然后计算N1的Hash值，比较 若相同，则该信息是可信的。 计算 ， 计算 、 比较 与 计算 （b） A： B： 图b所示的方式中，唯一的不同是A只加密信息M的Hash值H(M),这样的做法类似于后面要讲的消息鉴别码方式，只保证消息的完整性，不提供必威体育官网网址性。 消息鉴别码（MAC）是在密钥的控制下，将消息映射到一个简短的定长数据分组。将消息鉴别码附加到消息后，提供消息的完整性检测。设M是消息；F为密钥控制的公开函数，F可以接受任意长度的输入，但输出为定长，通常称F为MAC函数；K为通信方之间共享的密钥。则消息M的消息鉴别码为： 消息是完整的没有被篡改。因为只有收发方知道密钥，攻击者篡改消息后，无法得到与篡改后的消息相应的消息鉴别码； 消息出自声称的原发方，不是冒充的。因为只有收发方知道密钥，攻击者无法对自己发送的消息产生相应的消息鉴别码。 发 方 消息M K F MACM 消息M MACM 收 方 消息M MACM K F 比较 图4.6 使用消息鉴别码实现消息鉴别 MAC函数为多对一的映射，当 的长度为n bit时，函数输出有2n种可能，其可能的输入消息个数远远大于2n，假设密钥长度为 k bit，则可能的密钥个数为2k。现假设k n，来看看攻击者已知明文消息M及其MAC，如何利用穷有哪些信誉好的足球投注网站攻击获得密钥。 对应2k个密钥，攻击者可计算与M相应的2k个MAC，由于MAC函数的输出只有2n种可能，且2k 2n， 则平均有2k-n个密钥可以对同一M产生相同的MAC。攻击者此时无法确定哪一个密钥是通信双方使用的。为了确定正确的密钥，攻击者必须得到更多的消息及其由该密钥生成的MAC，然后重复进行上述的穷有哪些信誉好的足球投注网站攻击。利