网络信息安全消息认证培训资料课件

网络信息安全

消息认证计算机学院信息安全教研室张伟网络信息安全

消息认证计算机学院信息安全教研室消息认证在网络通信中，攻击方法泄密：透露消息给没有密钥的实体传输分析：分析通信模式，连接频率、时间，消息的数量和大小伪装：欺诈消息，伪装发送或应答内容修改：顺序修改：计时修改：消息重放或者延迟发送方否认：接收方否认：消息认证在网络通信中，攻击方法消息认证消息认证(报文鉴别)对收到的消息进行验证，证明确实是来自声称的发送方，并且没有被修改过。如果在消息中加入时间及顺序信息，则可以完成对时间和顺序的认证数字签名是一种认证手段，其中的一些方法可以用来抗发送方的否认攻击。消息认证消息认证(报文鉴别)消息认证的三种方式Messageencryption：用整个消息的密文作为认证标识接收方必须能够识别错误MAC：一个公开函数，加上一个密钥产生一个固定长度的值作为认证标识Hashfunction：一个公开函数将任意长度的消息映射到一个固定长度的散列值，作为认证标识消息认证的三种方式Messageencryption：用整MessageAuthenticationCode使用一个双方共享的秘密密钥生成一个固定大小的小数据块，并加入到消息中，称MAC，或密码校验和(cryptographicchecksum)用户A和用户B，共享密钥K，对于消息M，MAC=CK(M)如果接收方计算的MAC与收到的MAC匹配，则接收者可以确信消息M未被改变接收者可以确信消息来自所声称的发送者如果消息中含有序列号，则可以保证正确的消息顺序MAC函数类似于加密函数，但不需要可逆性。因此在数学上比加密算法被攻击的弱点要少MessageAuthenticationCode使用一MAC应用方式（1）

消息认证MC||CKKCompareMCk(M)缺点MAC应用方式（1）

消息认证MC||CKKCompareMMAC应用方式（2）

消息认证和保密性：明文相关MC||K1CK1CompareEEk2【M||Ck1(M)】K2DK2MCk1(M)MAC应用方式（2）

消息认证和保密性：明文相关MC||K1MAC应用方式（3）

消息认证和保密性：密文相关MC||K1CK1CompareECk1(Ek2(M))K2DK2MCk1(M)Ek2(M)MAC应用方式（3）

消息认证和保密性：密文相关MC||K1关于MAC算法MAC不等于数字签名因为通讯双方共享同一个密钥MAC有固定的长度MAC结构的重要性，例如，密钥足够长+加密算法足够好安全M=(X1,X2,…,Xt)对M产生校验和M=X1X2…XtMAC=EK(M)攻击者选择M=(Y1,Y2,…,Yt-1,Yt),使得Yt满足: Yt

=Y1Y2…Yt-1M于是M=MEK(M)=EK(M)

CK(M)=CK(M)所以，尽管攻击者不知道K，仍然可以伪造消息M关于MAC算法MAC不等于数字签名MAC算法的要求条件：攻击者知道MAC函数但不知道密钥K要求：已知M和CK(M)，要想构造M使得CK(M)=CK(M)在计算上不可行

(计算上无碰撞)CK(M)均匀分布：随机选择M和M,

Pr[CK(M)=CK(M)]=2-|MAC|f是M的一个变换(例如对某些位取反),那么,Pr[CK(M)=CK(f(M))]=2-|MAC|MAC算法的要求条件：MACbasedonDESANSI标准(X9.17)即为CBC模式结构，初始向量为0该方法适用于其他加密算法算法：M=(X1,X2,…,Xt)M1=EK(X1)Mj+1=EK(Xj+1Mj),1j<tMAC=MtMACbasedonDESANSI标准(X9.17)算HashFunctionMAC需要对全部数据进行加密MAC速度慢Hash是一种直接产生认证码的方法没有密钥消息中任何一位的改变会导致Hash码的改变Hash函数:h=H(x),要求:散列算法是公开的不同的报文不能产生相同的散列码H(x)能够快速计算对于任意报文无法预知它的散列码无法根据散列码倒推报文可作用于任何尺寸数据且均产生定长输出HashFunctionMAC需要对全部数据进行加密HashFunctionHash函数:h=H(x),单向性:给定h，找到x使h=H(x)在计算上不可行抗弱碰撞性：WeakCollisionResistence(WCR):

给定x，找到yx使H(x)=H(y)在计算上不可行抗强碰撞性：StrongCollisionResistence(SCR):找到任意的yx使H(x)=H(y)在计算上不可行HashFunctionHash函数:h=H(x),Hash函数的基本用途（a）MH||HCompareEEk2[M||H(M)]KDKMH(M)Hash函数的基本用途（a）MH||HCompareEEk2Hash函数的基本用途（b）MH||HCompareMEEk(H(M))KDK不要求保密，处理代价小Hash函数的基本用途（b）MH||HCompareMEEkHash函数的基本用途（c）MH||HCompareMEEkRa(H(M))KRa私钥DKUa数字签名机制Hash函数的基本用途（c）MH||HCompareMEEkHash函数的基本用途（d）MH||HCompareEEk[M||EkRa(H(M))]KDKMEkRa(H(M))EKRa私钥DKRa常用，保密并且数字签名Hash函数的基本用途（d）MH||HCompareEEk[Hash函数的基本用途（e）MH||HCompareH(M||S)||SM||S不使用加密函数，但是s为双方共享秘密值，不传送Hash函数的基本用途（e）MH||HCompareH(MHash函数的基本用途（f）MH||||SHCompareH(M||S)M||SEEk[M||H(M||S)]KDK**Hash函数的基本用途（f）MH||||SHCompareHHash问题Hash值冲突会有什么问题？Hash的用途会这样的冲突吗？能定制这样的冲突吗？Hash问题Hash值冲突会有什么问题？生日攻击理论基础理论基础若k1.182m/22m/2,则k个在[1,2m]的随机数中有两个数相等的概率不低于0.5若k0.83n1/2,两个在[1,n]的k个随机数集合有交集的概率不小于0.5因此，当Hash算法选用N位的Hash值时，两组消息（选择k＝2N/2）中有一对消息产生相同Hash值的概率超过0.5264--263--232生日攻击理论基础理论基础生日攻击例子ThisLetterisIamwritingtointroduceyoutotoyouMr.--AlfredP.--Barton,......Letter2与Letter1中的信含义不同。各自组合出2k封信件，

然后在两个组中找到两封hash值相同的信！Letter1：Letter2：......对策：Hash值足够长，64-〉128-〉160-〉256生日攻击例子ThisLetteristointroduhash函数通用模型由Merkle于1989年提出几乎被所有hash算法采用具体做法:把原始消息M分成一些固定长度的块Yi最后一块padding并使其包含消息M的长度设定初始值CV0压缩函数f,CVi=f(CVi-1,Yi-1)最后一个CVi为hash值hash函数通用模型由Merkle于1989年提出hash函数模型图bY0nIV=CV0fbY1nfbYL-1nCVL-1fCV1nnIV=initialvalue初始值CV=chainingvalue链接值Yi=ithinputblock(第i个输入数据块)f=compressionalgorithm(压缩算法）n=lengthofhashcode(散列码的长度)b=lengthofinputblock(输入块的长度)CVLhash函数模型图bY0nIV=fbY1nfbYL-1nCVMD5算法作者：RonRivest算法输入：任意长度的消息输出：128位消息摘要处理：以512位输入数据块为单位采纳位标准：RFC1321MD5算法作者：RonRivestMD5:示意图MD5:示意图MD5步骤第一步：padding补长到512的倍数最后64位为消息长度的低64位一定要补长(64+1~64+512)，内容为100…0第二步把结果分割为512位的块：Y0,Y1,…YL-1第三步初始化MDbuffer，128位常量(4个字)，进入循环迭代，共L次每次：一个输入128位，另一个输入512位，结果输出128位，用于下一轮输入第四步最后一步的输出即为散列结果128位MD5步骤第一步：paddingMD5的每一步运算示意图MD5的每一步运算示意图每一轮中16步的每一步运算结构ABCDABCD+++CLSs+gX[k]T[i]Functiongg(b,c,d)1F(b,c,d)(bc)(bd)2G(b,c,d)(bd)(cd)3H(b,c,d)bcd4I(b,c,d)c(bd)每一轮中16步的每一步运算结构ABCDABCD+++CLSs关于MD5MD5使用little-endian生日攻击模式+64位可计算

128位hash值太短MD5不是足够安全的Dobbertin在1996年找到了两个不同的512-bit块,它们在MD5计算下产生相同的hash至今还没有真正找到两个不同的消息,它们的MD5的hash相等关于MD5MD5使用little-endianSecureHashAlgorithm简介1992年NIST制定了SHA(128位)1993年SHA成为标准1994年修改产生SHA-1(160位)1995年SHA-1成为新的标准SHA-1要求输入消息长度<264SHA-1的摘要长度为160位基础是MD4SecureHashAlgorithm简介1992年NISHA-1算法结构与MD5类似第一步：pading与MD5相同，补齐到512的倍数第二步分块第三步初始化MDbuffer，160位常量(5个字)进入循环，160输入+512输入-〉160输出第四步最后的输出为SHA-1的结果SHA-1算法结构与MD5类似压缩函数压缩函数每一轮中20步的每一步运算结构常量从消息

块导出每一轮中20步的每一步运算结构常量从消息

块导出SHA-1算法结论SHA-1使用big-endian抵抗生日攻击:160位hash值没有发现两个不同的512-bit块,它们在SHA-1计算下产生相同的“hash”速度慢于MD5安全性优于MD5SHA-1算法结论SHA-1使用big-endianRIPEMD-160简介欧洲RIPE项目的结果RIPEMD为128位更新后成为RIPEMD-160基础是MD5算法输入：任意长度的消息输出：长度为160位的消息摘要处理：以512位数据块为单位RIPEMD-160简介欧洲RIPE项目的结果RIPEMD-160的压缩函数RIPEMD-160的压缩函数HMAC简介MAC可用块加密算法产生MAC算法速度慢加密算法出口受限制hash函数可用来构造MACHMAC为其中之一HMAC简介MAC可用块加密算法产生HMAC示意图HMAC示意图HMAC的定义与特征对密钥K左边补0以产生一个hash块K+K+每个字节与ipad(00110110)作XOR以产生Si对(Si||M)进行hashK+每个字节与opad(01011010)作XOR以产生S0HMAC=f[IV,S0||f(IV,Si||M)]HMAC特征:可直接使用各种hash算法可使用将来的更加安全和更加快速的hash算法保持原始hash算法的性能密钥的使用简单与hash函数有同等的安全性HMAC的定义与特征对密钥K左边补0以产生一个hash块K+1、不是井里没有水，而是你挖的不够深。不是成功来得慢，而是你努力的不够多。

2、孤单一人的时间使自己变得优秀，给来的人一个惊喜，也给自己一个好的交代。

3、命运给你一个比别人低的起点是想告诉你，让你用你的一生去奋斗出一个绝地反击的故事，所以有什么理由不努力!

4、心中没有过分的贪求，自然苦就少。口里不说多余的话，自然祸就少。腹内的食物能减少，自然病就少。思绪中没有过分欲，自然忧就少。大悲是无泪的，同样大悟无言。缘来尽量要惜，缘尽就放。人生本来就空，对人家笑笑，对自己笑笑，笑着看天下，看日出日落，花谢花开，岂不自在，哪里来的尘埃!

5、心情就像衣服，脏了就拿去洗洗，晒晒，阳光自然就会蔓延开来。阳光那么好，何必自寻烦恼，过好每一个当下，一万个美丽的未来抵不过一个温暖的现在。

6、无论你正遭遇着什么，你都要从落魄中站起来重振旗鼓，要继续保持热忱，要继续保持微笑，就像从未受伤过一样。

7、生命的美丽，永远展现在她的进取之中;就像大树的美丽，是展现在它负势向上高耸入云的蓬勃生机中;像雄鹰的美丽，是展现在它搏风击雨如苍天之魂的翱翔中;像江河的美丽，是展现在它波涛汹涌一泻千里的奔流中。

8、有些事，不可避免地发生，阴晴圆缺皆有规律，我们只能坦然地接受;有些事，只要你愿意努力，矢志不渝地付出，就能慢慢改变它的轨迹。

9、与其埋怨世界，不如改变自己。管好自己的心，做好自己的事，比什么都强。人生无完美，曲折亦风景。别把失去看得过重，放弃是另一种拥有;不要经常艳羡他人，人做到了，心悟到了，相信属于你的风景就在下一个拐弯处。

10、有些事想开了，你就会明白，在世上，你就是你，你痛痛你自己，你累累你自己，就算有人同情你，那又怎样，最后收拾残局的还是要靠你自己。

11、人生的某些障碍，你是逃不掉的。与其费尽周折绕过去，不如勇敢地攀登，或许这会铸就你人生的高点。

12、有些压力总是得自己扛过去，说出来就成了充满负能量的抱怨。寻求安慰也无济于事，还徒增了别人的烦恼。

13、认识到我们的所见所闻都是假象，认识到此生都是虚幻，我们才能真正认识到佛法的真相。钱多了会压死你，你承受得了吗?带，带不走，放，放不下。时时刻刻发悲心，饶益众生为他人。

14、梦想总是跑在我的前面。努力追寻它们，为了那一瞬间的同步，这就是动人的生命奇迹。

15、懒惰不会让你一下子跌倒，但会在不知不觉中减少你的收获;勤奋也不会让你一夜成功，但会在不知不觉中积累你的成果。人生需要挑战，更需要坚持和勤奋!

16、人生在世：可以缺钱，但不能缺德;可以失言，但不能失信;可以倒下，但不能跪下;可以求名，但不能盗名;可以低落，但不能堕落;可以放松，但不能放纵;可以虚荣，但不能虚伪;可以平凡，但不能平庸;可以浪漫，但不能浪荡;可以生气，但不能生事。

17、人生没有笔直路，当你感到迷茫、失落时，找几部这种充满正能量的电影，坐下来静静欣赏，去发现生命中真正重要的东西。

18、在人生的舞台上，当有人愿意在台下陪你度过无数个没有未来的夜时，你就更想展现精彩绝伦的自己。但愿每个被努力支撑的灵魂能吸引更多的人同行。1、不是井里没有水，而是你挖的不够深。不是成功来得慢，而是你网络信息安全

消息认证计算机学院信息安全教研室张伟网络信息安全

消息认证计算机学院信息安全教研室消息认证在网络通信中，攻击方法泄密：透露消息给没有密钥的实体传输分析：分析通信模式，连接频率、时间，消息的数量和大小伪装：欺诈消息，伪装发送或应答内容修改：顺序修改：计时修改：消息重放或者延迟发送方否认：接收方否认：消息认证在网络通信中，攻击方法消息认证消息认证(报文鉴别)对收到的消息进行验证，证明确实是来自声称的发送方，并且没有被修改过。如果在消息中加入时间及顺序信息，则可以完成对时间和顺序的认证数字签名是一种认证手段，其中的一些方法可以用来抗发送方的否认攻击。消息认证消息认证(报文鉴别)消息认证的三种方式Messageencryption：用整个消息的密文作为认证标识接收方必须能够识别错误MAC：一个公开函数，加上一个密钥产生一个固定长度的值作为认证标识Hashfunction：一个公开函数将任意长度的消息映射到一个固定长度的散列值，作为认证标识消息认证的三种方式Messageencryption：用整MessageAuthenticationCode使用一个双方共享的秘密密钥生成一个固定大小的小数据块，并加入到消息中，称MAC，或密码校验和(cryptographicchecksum)用户A和用户B，共享密钥K，对于消息M，MAC=CK(M)如果接收方计算的MAC与收到的MAC匹配，则接收者可以确信消息M未被改变接收者可以确信消息来自所声称的发送者如果消息中含有序列号，则可以保证正确的消息顺序MAC函数类似于加密函数，但不需要可逆性。因此在数学上比加密算法被攻击的弱点要少MessageAuthenticationCode使用一MAC应用方式（1）

消息认证MC||CKKCompareMCk(M)缺点MAC应用方式（1）

消息认证MC||CKKCompareMMAC应用方式（2）

消息认证和保密性：明文相关MC||K1CK1CompareEEk2【M||Ck1(M)】K2DK2MCk1(M)MAC应用方式（2）

消息认证和保密性：明文相关MC||K1MAC应用方式（3）

消息认证和保密性：密文相关MC||K1CK1CompareECk1(Ek2(M))K2DK2MCk1(M)Ek2(M)MAC应用方式（3）

消息认证和保密性：密文相关MC||K1关于MAC算法MAC不等于数字签名因为通讯双方共享同一个密钥MAC有固定的长度MAC结构的重要性，例如，密钥足够长+加密算法足够好安全M=(X1,X2,…,Xt)对M产生校验和M=X1X2…XtMAC=EK(M)攻击者选择M=(Y1,Y2,…,Yt-1,Yt),使得Yt满足: Yt

=Y1Y2…Yt-1M于是M=MEK(M)=EK(M)

CK(M)=CK(M)所以，尽管攻击者不知道K，仍然可以伪造消息M关于MAC算法MAC不等于数字签名MAC算法的要求条件：攻击者知道MAC函数但不知道密钥K要求：已知M和CK(M)，要想构造M使得CK(M)=CK(M)在计算上不可行

(计算上无碰撞)CK(M)均匀分布：随机选择M和M,

Pr[CK(M)=CK(M)]=2-|MAC|f是M的一个变换(例如对某些位取反),那么,Pr[CK(M)=CK(f(M))]=2-|MAC|MAC算法的要求条件：MACbasedonDESANSI标准(X9.17)即为CBC模式结构，初始向量为0该方法适用于其他加密算法算法：M=(X1,X2,…,Xt)M1=EK(X1)Mj+1=EK(Xj+1Mj),1j<tMAC=MtMACbasedonDESANSI标准(X9.17)算HashFunctionMAC需要对全部数据进行加密MAC速度慢Hash是一种直接产生认证码的方法没有密钥消息中任何一位的改变会导致Hash码的改变Hash函数:h=H(x),要求:散列算法是公开的不同的报文不能产生相同的散列码H(x)能够快速计算对于任意报文无法预知它的散列码无法根据散列码倒推报文可作用于任何尺寸数据且均产生定长输出HashFunctionMAC需要对全部数据进行加密HashFunctionHash函数:h=H(x),单向性:给定h，找到x使h=H(x)在计算上不可行抗弱碰撞性：WeakCollisionResistence(WCR):

给定x，找到yx使H(x)=H(y)在计算上不可行抗强碰撞性：StrongCollisionResistence(SCR):找到任意的yx使H(x)=H(y)在计算上不可行HashFunctionHash函数:h=H(x),Hash函数的基本用途（a）MH||HCompareEEk2[M||H(M)]KDKMH(M)Hash函数的基本用途（a）MH||HCompareEEk2Hash函数的基本用途（b）MH||HCompareMEEk(H(M))KDK不要求保密，处理代价小Hash函数的基本用途（b）MH||HCompareMEEkHash函数的基本用途（c）MH||HCompareMEEkRa(H(M))KRa私钥DKUa数字签名机制Hash函数的基本用途（c）MH||HCompareMEEkHash函数的基本用途（d）MH||HCompareEEk[M||EkRa(H(M))]KDKMEkRa(H(M))EKRa私钥DKRa常用，保密并且数字签名Hash函数的基本用途（d）MH||HCompareEEk[Hash函数的基本用途（e）MH||HCompareH(M||S)||SM||S不使用加密函数，但是s为双方共享秘密值，不传送Hash函数的基本用途（e）MH||HCompareH(MHash函数的基本用途（f）MH||||SHCompareH(M||S)M||SEEk[M||H(M||S)]KDK**Hash函数的基本用途（f）MH||||SHCompareHHash问题Hash值冲突会有什么问题？Hash的用途会这样的冲突吗？能定制这样的冲突吗？Hash问题Hash值冲突会有什么问题？生日攻击理论基础理论基础若k1.182m/22m/2,则k个在[1,2m]的随机数中有两个数相等的概率不低于0.5若k0.83n1/2,两个在[1,n]的k个随机数集合有交集的概率不小于0.5因此，当Hash算法选用N位的Hash值时，两组消息（选择k＝2N/2）中有一对消息产生相同Hash值的概率超过0.5264--263--232生日攻击理论基础理论基础生日攻击例子ThisLetterisIamwritingtointroduceyoutotoyouMr.--AlfredP.--Barton,......Letter2与Letter1中的信含义不同。各自组合出2k封信件，

然后在两个组中找到两封hash值相同的信！Letter1：Letter2：......对策：Hash值足够长，64-〉128-〉160-〉256生日攻击例子ThisLetteristointroduhash函数通用模型由Merkle于1989年提出几乎被所有hash算法采用具体做法:把原始消息M分成一些固定长度的块Yi最后一块padding并使其包含消息M的长度设定初始值CV0压缩函数f,CVi=f(CVi-1,Yi-1)最后一个CVi为hash值hash函数通用模型由Merkle于1989年提出hash函数模型图bY0nIV=CV0fbY1nfbYL-1nCVL-1fCV1nnIV=initialvalue初始值CV=chainingvalue链接值Yi=ithinputblock(第i个输入数据块)f=compressionalgorithm(压缩算法）n=lengthofhashcode(散列码的长度)b=lengthofinputblock(输入块的长度)CVLhash函数模型图bY0nIV=fbY1nfbYL-1nCVMD5算法作者：RonRivest算法输入：任意长度的消息输出：128位消息摘要处理：以512位输入数据块为单位采纳位标准：RFC1321MD5算法作者：RonRivestMD5:示意图MD5:示意图MD5步骤第一步：padding补长到512的倍数最后64位为消息长度的低64位一定要补长(64+1~64+512)，内容为100…0第二步把结果分割为512位的块：Y0,Y1,…YL-1第三步初始化MDbuffer，128位常量(4个字)，进入循环迭代，共L次每次：一个输入128位，另一个输入512位，结果输出128位，用于下一轮输入第四步最后一步的输出即为散列结果128位MD5步骤第一步：paddingMD5的每一步运算示意图MD5的每一步运算示意图每一轮中16步的每一步运算结构ABCDABCD+++CLSs+gX[k]T[i]Functiongg(b,c,d)1F(b,c,d)(bc)(bd)2G(b,c,d)(bd)(cd)3H(b,c,d)bcd4I(b,c,d)c(bd)每一轮中16步的每一步运算结构ABCDABCD+++CLSs关于MD5MD5使用little-endian生日攻击模式+64位可计算

128位hash值太短MD5不是足够安全的Dobbertin在1996年找到了两个不同的512-bit块,它们在MD5计算下产生相同的hash至今还没有真正找到两个不同的消息,它们的MD5的hash相等关于MD5MD5使用little-endianSecureHashAlgorithm简介1992年NIST制定了SHA(128位)1993年SHA成为标准1994年修改产生SHA-1(160位)1995年SHA-1成为新的标准SHA-1要求输入消息长度<264SHA-1的摘要长度为160位基础是MD4SecureHashAlgorithm简介1992年NISHA-1算法结构与MD5类似第一步：pading与MD5相同，补齐到512的倍数第二步分块第三步初始化MDbuffer，160位常量(5个字)进入循环，160输入+512输入-〉160输出第四步最后的输出为SHA-1的结果SHA-1算法结构与MD5类似压缩函数压缩函数每一轮中20步的每一步运算结构常量从消息

块导出每一轮中20步的每一步运算结构常量从消息

块导出SHA-1算法结论SHA-1使用big-endian抵抗生日攻击:160位hash值没有发现两个不同的512-bit块,它们在SHA-1计算下产生相同的“hash”速度慢于MD5安全性优于MD5SHA-1算法结论SHA-1使用big-endianRIPEMD-160简介欧洲RIPE项目的结果RIPEMD为128位更新后成为RIPEMD-160基础是MD5算法输入：任意长度的消息输出：长度为160位的消息摘要处理：以512位数据块为单位RIPEMD-160简介欧洲RIPE项目的结果RIPEMD-160的压缩函数RIPEMD-160的压缩函数HMAC简介MAC可用块加密算法产生MAC算法速度慢加密算法出口受限制hash函数可用来构造MACHMAC为其中之一HMAC简介MAC可用块加密算法产生HMAC示意图HMAC示意图HMAC的定义与特征对密钥K左边补0以产生一个hash块K+K+每个字节与ipad(00110110)作XOR以产生Si对(Si||M)进行hashK+每个字节与opad(01011010)作XOR以产生S0HMAC=f[IV,S0||f(IV,Si||M)]HMAC特征:可直接使用各种hash算法可使用将来的更加