网络安全消息鉴别

网络安全消息鉴别安全的信息交换应满足的性质机密性（Confidentiality）完整性（Integrity）可用性（Availability）不可否认性（Non-repudiation）……消息鉴别的概念消息鉴别（MessageAuthentication）消息认证、报文认证、报文鉴别鉴别：消息接收者对消息进行的验证，是一个证实收到的消息来自可信的源点且未被篡改的过程真实性：消息确实来自于真正的发送者，而非假冒完整性：消息内容没有被篡改、重放或延迟消息鉴别的必要性网络通信的安全威胁泄漏消息内容被泄漏给非授权用户伪造假冒源点的身份向网络中插入消息消息篡改内容篡改：插入、删除、修改等序号篡改：在依赖序号的协议如TCP中，对消息序号进行篡改，包括插入、删除、重排等时间篡改：对消息进行延迟或重放消息鉴别的作用保护双方的数据交换不被其他人侵犯基于双方共享的秘密但是消息鉴别无法解决双方之间可能存在的争议B伪造一个消息，声称是A发送的B否认发送过某个消息，而A无法证明B撒谎单纯鉴别系统的模型安全信道信道信源鉴别编码器鉴别密钥源攻击者鉴别解码器信宿需要鉴别密钥，而且此密钥一般不同于加密密钥消息鉴别系统的构成认证算法：底层实现的一项基本功能认证功能要求底层必须实现某种能生成认证标识的算法认证标识（鉴别符）是一个用于消息鉴别的特征值认证标识的生成算法用一个生成函数f来实现，称为鉴别函数认证协议接收方用该协议来完成消息合法性鉴别的操作认证协议调用底层的认证算法（鉴别函数），来验证消息的真实性鉴别函数f是决定认证（鉴别）系统特性的主要因素认证协议算法：鉴别函数高层认证协议消息鉴别系统的分类可根据鉴别函数的特性分类根据鉴别符的生成方式，鉴别函数可以分成以下几类：基于消息加密方式的鉴别以整个消息的密文作为鉴别符基于消息鉴别码（MAC）的鉴别方式发送方利用公开函数+密钥产生一个固定长度的值作为鉴别标识，并与消息一同发送基于Hash函数的鉴别方式采用hash函数将任意长度的消息映射为一个定长的散列值，以此散列值为鉴别码可以认为是MAC方式的一种特例基于消息加密方式的鉴别基于消息加密方式的鉴别以整个消息的密文为鉴别符加密模式对称密钥模式公开密钥模式接收端鉴别的实现基于这样的假设：接收端能够正确地对密文解密，就可以确定消息是完整的，而且是来自于真实的发送方，从而实现了对消息的鉴别使用用对对称称密密钥钥模模式式提供供保保密密提供供鉴鉴别别仅来来自自A传输输中中未未被被更更改改不提提供供签签名名MCMEDkk发送送方方A接收收方方B使用用对对称称密密钥钥模模式式的的问问题题存在在的的问问题题接收收端端怎怎样样判判断断密密文文的的合合法法性性接收收端端如如何何判判断断解解密密的的结结果果是是否否正正确确解密运运算的的本质质是数数学运运算原始消消息对对接收收端是是未知知的接收端端可以以得到到M’=Dk(c)怎么判判断M=M’’一种方方法是是强制制明文文具有有某种种结构构使用公公钥加加密体体制1提供保保密不提供供鉴别别和签签名MCMEDkUbkRb发送方方A接收方方B使用公公钥加加密体体制2不提供供保密密提供鉴鉴别与与签名名仅A有有KRa可以加加密传输中中未被被更改改MCMEDkRakUa发送方方A接收方方B使用公公钥加加密体体制3提供保保密：：KUb提供鉴鉴别和和签名名:KRaMCMEDkRakUa发送方方A接收方方BC’EkUbCEkRb基于MAC的鉴鉴别基于MAC的鉴鉴别消息鉴鉴别码码（MessageAuthenticationCode,MAC））发送方方采用用一种种类似似于加加密的的算法法和一一个密密钥，，根据据消息息内容容计算算生成成一个个固定大大小的的小数数据块块，并加加入到到消息息中，，称为为MAC。。MAC=fk(m)需要鉴别密密钥核心是是类似似于加加密算算法的的鉴别码码生成成算法法MAC被附附加在在消息息中，，用于于消息息的合合法性性鉴别别功能接收者者可以以确信信消息息M未未被改改变接收者者可以以确信信消息息来自自所声声称的的发送送者消息鉴鉴别码码的基基本原原理MMMMACMACf()f()比较密钥K密钥K认证结结果信道双方共共享鉴鉴别密密钥k发送方方接收方方MAC函数数的特特点MAC函数数类似似于加加密函函数，，需要要密钥MAC函数数无需可可逆，可以以是单单向函函数使得MAC函数数更不不易被被破解解MAC函数数不能能提供供对消消息的的保密密保密性性通过过对消消息加加密而而获得得需要两两个独独立密密钥两种方方式：：先计算算MAC再再加密密先加密密再计计算MAC基于MAC的鉴鉴别过过程独独立于于加、、解密密过程程可以用用于不不需加加密保保护的的数据据的鉴鉴别MAC方法法不能能提供供数字字签名名功能能所以无无法防防止对对方的的欺骗骗MAC的基基本应应用1提供消消息鉴鉴别仅A和和B共共享密密钥K’MMMACf()比较密钥K’f()发送方方A接收方方BMMACMAC的基基本应应用2MMMACf()D()比较密钥KE()密钥K密钥K’MMACf()密文发送方方接收方方提供保保密只有A和B共享享k提供鉴鉴别只有A和B共享享k’’1、先先计算MAC再加密2、K是加加密密密钥3、K’是是认证证密钥钥MAC的应应用3密文MMACf()f()比较密钥K’E()密钥K密钥K’密文+D()密钥KM1、先先加密密再计计算MAC2、K是加加密密密钥3、K’是是认证证密钥钥发送方方接收方方提供保保密只有A和B共享享k提供鉴鉴别只有A和B共享享k’’MAC函数数的安安全性性分析析MAC函数数的特特点多对一一映射射对同一一个M，存存在多多个key产生生相同同的MACKey相同同，存存在多多个M产生生相同同的MACn-bitMAC:2n个可能能的MACK-bit密钥钥：2k个可能能的密密钥N个可可能的的消息息：N>>2n一般情情况下下，n<kMAC函数数的安安全性性主要是是对强强行攻攻击的的抵抗抗能力力方式：：穷举举法，，根据据已知知消息息M和和对应应的MAC值，，来推推断密密钥k前提：：MAC算算法已已知MF()kMAC对MAC函函数强强行攻攻击的的方式式已知消消息M1和对应应的MAC1值对所有有可能能的密密钥ki，计算算消息息M1的MAC，，其中中至少少存在在一个个k，，使得得fk(M1)=MAC1由于密密钥空空间为为2k大，以以上计计算将将产生生2k个MAC结结果；；而MAC空间间为2n大，且且2n<2k，故存存在多多个k产生生相同同的MAC：一一般是是个2k-n个key对对应一一个MAC为了确确定哪哪一个个是正正确的的key，，分析析者需需要选选择另另一组组M2和MAC2，对上上面的的个结结果进进行验验证，，以缩缩小搜搜索范范围因此，，可能能需要要多轮轮验证证：大大约需需要k/n轮计算量量为2k+2k-n+2k-2n+……可见强行行攻击难难度很大大MAC函函数的安安全性总总结需要大量量的（M，MAC)对对，对MAC的的强行攻攻击通常常不能离离线进行行MAC算算法抵抗抗强行攻攻击的有有效级为为（2k,2n）中的最最小值为了足够够安全，，MAC函数应应该具有有以下的的性质：：给定一个个或多个个(M,MAC)对对而不知知道密钥钥的情况况下，对对于一个个新的消消息，要要计算出出对应的的MAC在计算算上不可可行攻击者得得到一个个消息M及对应应的MAC，则则构造消消息M’’使得MAC’’=MAC在计算算上是不不可行的的基于哈希希函数的的鉴别基于哈希希函数的的鉴别哈希函数数一种单向向函数输入：任任意长度度的消息息M输出：固固定长度度的消息息摘要是一个固固定长度度的哈希希值H(M)哈希值是是消息中中所有比比特的函函数值消息中任任意内容容的变化化将导致致哈希值值的变化化具有完整性检测功能能可用于数字签名名哈希函数数消息鉴鉴别(1)基本的哈哈希函数数消息鉴鉴别对称加密密：发端端和收端端共享加密密钥钥k哈希值提提供了消消息鉴别别需要的的结构和和冗余提供保密和鉴别双重功能能：消息息和H(M)被被加密保保护MMEk[M‖H(M)]H(M)H()D()比较密钥KE()密钥KMH(M)H()发送方接收方哈希函数数消息鉴鉴别(2)仅对哈希希值进行行加密的的鉴别方方案用于不需需对消息息加密的的场合基于对称密钥钥机制提供鉴别：H(M)被加加密保护护MMEk[H(M)]H()D()比较哈希密钥KE()密钥KH()MEk[H(M)]哈希函数数消息鉴鉴别(3)仅对哈希希值进行行加密的的鉴别方方案用于不需需对消息息加密的的场合基于公开密钥钥机制提供鉴别和数字签名：发送方用自自己的私钥加加密H(M)MMEkRa[H(M)]H()D()比较密钥KUaE()密钥KRaH()MEkRa[H(M)]发送方A接收方B哈希函数消息息鉴别(4)提供保密：对称密钥算算法、密钥k进行外层加密提供鉴别和数字签签名：A用私钥对对消息明文的的哈希值进行行加密MMEkRa[H(M)]H()D()比较密钥KUaE()密钥KRaH()MEkRa[H(M)]发送方A接收方BED密钥K密钥K哈希函数消息息鉴别(5)采用秘密数值值的哈希鉴别别通信双方共享享一个秘密数数值s计算哈希值时时，s附加到到消息M上一一起计算得到到H(M|s)传输过程中，，数据不加密密，但不传送送s提供鉴别：只有发送方方和接收方共共享秘密S适用于加密算算法不可用的的场合MMH(M|s)H()比较哈希H()MH(M|s)MssMss哈希函数消息息鉴别(6)提供鉴别：只有发送方方和接收方才才共享S提供保密：只有发送方方和接收方才才共享kMMH(M|s)H()比较哈希H()MH