第五讲-云安全关键技术2要点课件

第四讲云安全关键技术（2）Hash函数与数字摘要数字摘要数字签名的实施问题长度问题（签名比原文长）速度问题完整性问题数字摘要和Hash函数消息x任意长度数字摘要z=h(x)160位签名y=sigK(z)320位Hash函数Hash函数适用任意信息长度产生的摘要是定长的易于计算通过摘要得到原信息计算上不可行无冲突弱无冲突与强无冲突弱无冲突（weaklycollision-free）给定消息x，如果寻找一个x’≠x，使得h(x’)=h(x)在计算上不可行，相应的hash函数h(x)是弱无冲突的。强无冲突（stronglycollision-free）寻找一对消息x’≠x，使得h(x’)=h(x)在计算上不可行，相应的hash函数h(x)是强无冲突的。ONE-WAY称Hash函数是ONE-WAYFUNCTION:给定摘要z，如果寻找一个消息x使h(x)=z计算上不可行。6/9/20237简单Hash函数举例ci——散列码的第i位，i∈[1,n]m——n位输入分组的个数bij——第i个分组的第j位MD算法RSA的发明者之一，R.Rivest教授提出了消息摘要的MD算法（散列算法）。之后又出现了一系列的改进版本：MD2，MD4,MD5，其摘要的长度均为128位；SHS算法近几年，又出现了另一个散列算法：SHS（安全Hash标准），其代表性的产品为SHA－1，其摘要长度为160位，安全强度比MD5的更高。几种散列算法生日悖论生日悖论：随机选取23人作为一组，则至少两人同生日的概率是1/2.结论就是用更多比特位的

hashHash攻击40位的数字摘要足够安全建议采用128位以上的数字摘要DSS采用160位的数字摘要时戳签名的时效时戳的算法：z=h(x)

z’=h(z|pub) y=sigk(z’)pub的选取TTS(TrustedTimestampingService)消息认证在网络通信中,有一些针对消息内容的攻击方法,如:伪造消息窜改消息内容改变消息顺序消息重放或者延迟消息认证：对收到的消息进行验证，证明确实是来自声称的发送方（身份认证），并且没有被修改过。

怎样实现消息认证？通过“认证标识”（或称认证符）。即：首先产生一个认证标识，将这个认证标识加到消息中，同消息一起发给接收方。怎样产生“认证标识”？消息加密（Messageencryption）方式用整个消息的密文作为“认证标识”。Hash函数（Hashfunction）方式一个公开函数，它将任意长度的消息映射到一个固定长度的散列值，作为“认证标识”（消息摘要）。消息认证码（MAC）方式一个公开函数加上一个密钥，产生一个固定长度的值，作为“认证标识”。产生“认证标识”的常用方法消息验证——消息加密方式

DES效率6/9/202316消息加密方式消息验证——Hash函数方式

无密钥6/9/2023186/9/2023196/9/202320消息认证码(MAC)一种认证技术利用密钥来生成一个固定长度的短数据块（MAC），并将该数据块附加在消息之后。MAC的值依赖于消息和密钥MAC=Ck(M)MAC函数于加密类似，但MAC算法不要求可逆性，而加密算法必须是可逆的。接收方进行同样的MAC码计算并验证是否与发送过来的MAC码相同6/9/202321MAC特性MAC码是一个密码校验和

MAC=CK(M)消息M的长度是可变的密钥K是要保密的，且收发双方共享。产生固定长度的认证码MAC算法是一个多对一的函数多个消息对应同一MAC值但是找到同一MAC值所对应的多个消息应该是困难的。6/9/202322身份认证认证(authentication)：证明一个对象的身份的过程。比如某个人说她是Alice，认证系统的任务就是作出她是否就是Alice的结论授权(authorization)：决定把什么特权附加给该身份

1口令认证2物理认证生物认证4密码认证口令认证的工作过程下图是基于口令的认证系统的组成与工作原理，这个系统用起来非常方便，但存在明显的安全问题。口令认证存在的问题(1)攻击者可以在Alice登录时实施侦听以获取口令。(2)攻击者可以读取计算机中所存储的口令信息。(3)攻击者可以进行口令猜测。(4)如果试图强制用户选择无法猜测的口令，那么系统可能变得不便于使用，用户可能不得不写下口令。物理认证通过“你所拥有的东西”进行认证介绍信、证明、学生证、第一代身份证等。信用卡、智能卡生物认证基于“你是谁”的认证不能用于对网络的其他实体(主机、机构等)的认证。指纹识别、虹膜扫描认证、掌纹识别认证、语音识别认证、手工签名认证单向口令认证协议1：密码学认证方法单向口令认证的改进(协议2)协议1的另一种变形协议3协议2修改成协议4协议4这要求Alice和Bob有同步时钟，Alice加密当前时间，Bob解密时间并验证时间在一定的时差之内。前面几个协议都是使用共享密钥方案KAB，共同的缺点是，如果攻击者能够获得KAB，那么就能够冒充Alice。公钥认证协议5/6的问题协议5可以诱骗Alice对某些消息进行签名；协议6可以诱骗Alice对某些消息解密。避免这些问题的可行的方法有两种：一是不要将相同的密钥用于两种不同的目的；二是确定用于认证的消息应当有固定的格式。双向认证两个方向上的独立认证，（协议7）(协议8)对协议8的反射攻击协议8的改进有两种方法可以避免反射攻击，(1)在认证Alice和Bob时使用不同的密钥；(2)要求挑战者和响应者使用的随机数有不同的格式。协议8的改进用公钥实现双向认证(协议9)协议9的问题协议9存在两个问题:(1)如何让Alice知道Bob的公钥（密钥的分配）(2)在Alice只知道口令的情况下，如何让Alice知道她自己的私钥？（密钥的产生）密钥管理与公钥基础设施秘密密钥分配方法

共享的秘密密钥，为防止攻击者得到密钥，必须时常更新密钥。因此，密码系统的强度也依赖于密钥分配技术两个用户A和B获得共享密钥的方法有以下4种：①密钥由A选取并通过物理手段发送给B②密钥由第三方选取并通过物理手段发送给A和B③如果A、B事先已有一密钥，则其中一方选取新密钥后，用已有的密钥加密新密钥并发送给另一方④如果A和B与第三方C分别有一保密信道，则C为A、B选取密钥后，分别在两个保密信道上发送给A、B第1和第2种方法称为人工发送在通信网中，当n很大时，密钥分配的代价非常大，密钥的人工发送是不可行的对于第3种方法攻击者一旦获得一个密钥就可获取以后所有的密钥；而且用这种方法对所有用户分配初始密钥时，代价仍然很大。第4种方法比较常用密钥分配中心(KDC)。每一用户必须和KDC有一个共享密钥，称为主密钥。会话密钥：用于一对用户之间的保密通信。通信完成后，会话密钥即被销毁。密钥分配的一个实例如图：假定两个用户A、B分别与密钥分配中心KDC(keydistributioncenter)有一个共享的主密钥KA和KB，A希望与B建立一个共享的一次性会话密钥，可通过以下几步来完成：①A向KDC发出会话密钥请求表示请求的消息由两个数据项组成:第1项Request是A和B的身份第2项是这次业务的惟一识别符N1，称N1为一次性随机数，可以是时戳、计数器或随机数每次的N1都应不同，且为防止假冒，应使敌手对N1难以猜测。因此用随机数作为这个识别符最为合适。防重放，防篡改公钥体制的密钥管理一是公钥密码体制所用的公开密钥的分配二是如何用公钥体制来分配单钥密码体制所需的密钥用公钥体制来分配单钥密码体制所需的密钥

简单的秘密钥分配：中间人攻击如果敌手E已接入A、B双方的通信信道，就可通过以下不被察觉的方式截获双方的通信：①与上面的步骤①相同②E截获A的发送后，建立自己的一对密钥{PKE,SKE}，并将PKE‖IDA发送给B。③B产生会话密钥KS后，将EPKE[KS]发送出去。④E截获B发送的消息后，由DPKE[EPKE[KS]]解读KS。⑤E再将EPKA[KS]发往A。现在A和B知道KS，但并未意识到KS已被E截获。A、B在用KS通信时，E就可以实施监听具有保密性和真实性的密钥分配假设双发已安全交换了各自的公钥:注意：这个方案其实是有漏洞的，即第4条消息容易被重放，假设敌手知道上次通话时协商的会话密钥Ks，以及A对Ks的签名和加密，则通过简单的重放即可实现对B的欺骗，解决的方法是将第3和第4条消息合并发送混合方式的密钥分配保留私钥配发中心(KDC)每用户与KDC共享一个主密钥用主密钥分配会话密钥公钥用于分配主密钥在大范围分散用户的情况下尤其有用公钥本身的分配公钥分配方法：公开发布公开可访问目录公钥授权公钥证书公钥的公开发布用户分发自己的公钥给接收者或广播给通信各方例如：把PGP的公钥放到消息的最后，发布到新闻组或邮件列表中缺点：伪造任何人都可以产生一个冒充真实发信者的公钥来进行欺骗直到伪造被发现，欺骗已经形成。公开可访问的目录通过使用一个公共的公钥目录可以获得更大程度的安全性目录应该是可信的，特点如下：包含{姓名，公钥}目录项通信方只能安全的注册到目录中通信方可在任何时刻进行密钥更替目录定期发布或更新目录可被电子化地访问缺点：仍存在被篡改伪造的风险公钥授权通过更加严格地控制目录中的公钥分配，使公钥分配更加安全。具有目录特性每一通信方必须知道目录管理员的公钥用户和目录管理员进行交互以安全地获得所希望的公钥当需要密钥时，确实需要能够实时访问目录。公钥目录管理员称为系统的瓶颈。公钥授权公钥证书用证书进行密钥交换，可以避免对公钥目录的实时授权访问证书包含标识和公钥等信息

通常还包含有效期，使用权限等其它信息含有可信公钥或证书授权方CA(certificateauthority)的签名知道公钥或证书授权方的公钥的所有人员都可以进行验证例如：X.509标准公钥证书密钥管理的内容

主要内容：密钥的产生、分配和维护。其中维护涉及密钥的存储、更新、备份、恢复、销毁等方面。

PublicKeyInfrastructure公钥基础设施，是一种运用公钥的概念与技术来实施并提供安全服务的具有普遍适用性的网络安全基础设施。PKI的功能：信息的真实性信息的完整性信息的机密性信息的不可抵赖性PKI数字证书数字证书:DigitalCertificates实际上是一个计算机文件，如同护照一样。护照项目数字证书项目姓名（FullName)主体名（Subjectname)护照号（Passportnumber）序号（Serialnumber)起始日期（Validfrom)相同终止日期（Validto)相同签发者（Issuedby)签发者名（Issuername)照片与签名（Photographandsignature)公钥（Publickey)证书机构如同护照的签发必须由政府部门一样数字证书的签发必须有一个权威或第三方信任的组织来做。这就是证书机构证书机构通常是一些著名的组织，如邮局、财务机构、软件公司等。世界上最著名的证书机构是VeriSign与Entrust。X.509数字证书字段描述V1字段描述版本（Verison)标识本数字证书使用的X.509的版本。证书序号（CertificateSerialNumber)包含CA产生的唯一整数值签名算法标识符（SignatureAlgorithmIdentifier)标识CA签名数字证书时使用的算法签发者名（IssuerName)CA区别名（DN）有效期（之前/之后）(Validity(NotBefore/NotAfter)包含两个日期（含日期和时间），精度为秒或毫秒主体名（SubjectName)证书所指实体（用户或组织）的区别名（DN），除非V3扩展中定义了替换名，否则这个字段必须有值主体公钥信息（SubjectPublicKeyInformation)主体的公钥和与密钥有关的算法，必须有X.509数字证书字段描述V2字段描述签发者唯一标识符（IssuerUniqueIdentifier)在两个或多个CA使用相同签发者名字时标识CA主体唯一标识符（SubjectUniqueIdentifier)在两个或多个主体使用相同签发者名时标识CA证书的生成关系人图最终用户