密码学基础3.ppt

密码学基础（3） 胡建斌 北京大学网络与信息安全研究室 E-mail: hjbin@ /~hjbin 消息鉴别与散列函数 Message Authentication and Has Functions 网络通信的攻击威胁 泄露：把消息内容发布给任何人或没有合法密钥的进程 流量分析：发现通信双方之间信息流的结构模式，可以用来确定连接的频率、持续时间长度；还可以发现报文数量和长度等 伪装：从一个假冒信息源向网络中插入消息 内容篡改：消息内容被插入、删除、变换、修改 顺序修改：插入、删除或重组消息序列 时间修改：消息延迟或重放 否认：接受者否认收到消息；发送者否认发送过消息 鉴别和认证 鉴别：authentication 真伪性 (1) A process used to verify the integrity of transmitted data, especially a message 用来验证发送的数据,特别是一个信息的完整性的过程 (2) The act of establishing the identity of users when they start to use the system 在用户开始使用系统时对其身份进行的确认 认证：Certification 资格审查 In computer security, the technical evaluation made as part of and in support of the accreditation process, that established the extent to which a particular computer system or network design and implementation meet prespecified security requirements 计算安全学用语,指为了鉴定一个计算机系统或网络的设计和它提供的手段在多大程度上能满足预定的安全要求而进行的技术评估 鉴别的结构 任何消息认证或数字签名机制可以看到两个层次： 底层必须有某种函数产生一个认证标识：一个用于认证一个报文的值 高层认证协议以底层函数为原语，使接收者完成报文的鉴别 鉴别的目的 信源识别：验证信息的发送者是真正的，而不是冒充的 验证信息的完整性，在传送或存储过程中未被篡改，重放或延迟等 鉴别模型 鉴别系统的组成 鉴别编码器和鉴别译码器可抽象为鉴别函数 一个安全的鉴别系统，需满足 （1）指定的接收者能够检验和证实消息的合法性、真实性和完整性 （2）消息的发送者和接收者不能抵赖 （3）除了合法的消息发送者，其它人不能伪造合法的消息 鉴别函数分类 消息加密：整个消息的密文作为认证标识 消息鉴别码(MAC)：公开函数+密钥产生一个固定长度的值作为认证标识 散列函数：一个公开函数将任意长度的消息映射到一个固定长度的哈希值，作为认证标识 鉴别函数分类 消息加密：整个消息的密文作为认证标识 消息鉴别码(MAC)：公开函数+密钥产生一个固定长度的值作为认证标识 散列函数：一个公开函数将任意长度的消息映射到一个固定长度的哈希值，作为认证标识 消息加密 明文M的自动确定 M定义为有意义的明文序列，便于自动识别 强制定义明文的某种结构，这种结构是易于识别但又不能复制且无需借助加密的 可以在加密前对每个报文附加检错码，即所谓的帧检验序列号或检验和FCS 内部差错控制和外部差错控制 差错控制 消息鉴别码MAC 消息鉴别码 使用一个密钥生成一个固定大小的小数据块，并加入到消息中，称MAC， 或密码校验和（cryptographic checksum） 1、接收者可以确信消息M未被改变 2、接收者可以确信消息来自所声称的发送者 3、如果消息中包含顺序码（如HDLC,X.25,TCP），则接收者可以保证消息的正常顺序 MAC函数类似于加密函数，但不需要可逆性。因此在数学上比加密算法被攻击的弱点要少 消息鉴别 消息鉴别与保密，鉴别与明文连接 消息鉴别与保密，鉴别与密文连接 消息鉴别 VS 常规加密 保密性与真实性是两个不同的概念 根本上,信息加密提供的是保密性而非真实性 加密代价大(公钥算法代价更大) 鉴别函数与保密函数的分离能提供功能上的灵活性 某些信息只需要真实性,不需要保密性 – 广播的信息难以使用加密(信息量大) – 网络管理信息等只需要真实性 – 政府/权威部门的公告 散列函数Hash Function 散列函数 H(M): 输入为任意长度的消息M; 输出为一个固定长度的散列值，称为消息摘要(Me