第五章安全協(xié)議技術(shù)-消息認(rèn)證概述計(jì)算機(jī)系統(tǒng)與網(wǎng)絡(luò)安全技術(shù)消息（Message），也叫報(bào)文，是對(duì)用戶有意義的符號(hào)串。認(rèn)證（Authentication）：也叫鑒別，是對(duì)消息是否滿足特定屬性所進(jìn)行的驗(yàn)證真實(shí)性：消息確實(shí)來(lái)自于其真正的發(fā)送者，而非假冒。完整性：消息的內(nèi)容沒(méi)有被篡改。消息認(rèn)證（MessageAuthentication）：也叫報(bào)文認(rèn)證、報(bào)文鑒別、消息鑒別是一個(gè)證實(shí)收到的消息來(lái)自可信的源點(diǎn)且未被篡改的過(guò)程。它也可以驗(yàn)證消息的順序和及時(shí)性。什么是消息認(rèn)證？消息認(rèn)證概述安全協(xié)議技術(shù)消息認(rèn)證系統(tǒng)是一個(gè)三元組（K,T,V)：密鑰源K認(rèn)證編碼算法T認(rèn)證驗(yàn)證算法V信宿信源認(rèn)證編碼算法認(rèn)證驗(yàn)證算法信道攻擊者安全信道密鑰源TVK消息認(rèn)證系統(tǒng)的組成消息認(rèn)證概述安全協(xié)議技術(shù)認(rèn)證編碼算法和認(rèn)證驗(yàn)證算法可抽象為認(rèn)證函數(shù)認(rèn)證函數(shù)產(chǎn)生一個(gè)鑒別標(biāo)識(shí)（AuthenticationIdentification）給出合理的認(rèn)證協(xié)議(AuthenticationProtocol)接收者完成消息的認(rèn)證（Authentication）消息認(rèn)證系統(tǒng)的組成消息認(rèn)證概述安全協(xié)議技術(shù)認(rèn)證的函數(shù)分為三類：消息加密函數(shù)(Messageencryption)用完整信息的密文作為對(duì)信息的認(rèn)證。消息認(rèn)證碼（MAC：MessageAuthenticationCode)是對(duì)信源消息的一個(gè)編碼函數(shù)。哈希函數(shù)

(HashFunction)是一個(gè)公開(kāi)的函數(shù)，它將任意長(zhǎng)的信息映射成一個(gè)固定長(zhǎng)度的信息。認(rèn)證函數(shù)的分類消息認(rèn)證概述安全協(xié)議技術(shù)MEKEK(M)DMKBobAlice對(duì)稱加密：提供保密性與認(rèn)證，但不具有簽名性質(zhì)加密函數(shù)-對(duì)稱加密K是Alice和Bob共享的密鑰消息認(rèn)證概述安全協(xié)議技術(shù)MEKaEKa(M)DMK’aBobAlice加密函數(shù)-非對(duì)稱加密非對(duì)稱加密：當(dāng)用對(duì)方的公鑰加密是提供保密性，不具有認(rèn)證和簽名性質(zhì)。Ka和K’a分別是Alice的公鑰和私鑰消息認(rèn)證概述安全協(xié)議技術(shù)MDK’bEK’b(M)EMKbBobAlice非對(duì)稱加密：當(dāng)用自己的私鑰加密是提供認(rèn)證和簽名功能，不具有保密性。加密函數(shù)-非對(duì)稱加密Ka和K’a分別是Alice的公鑰和私鑰消息認(rèn)證概述安全協(xié)議技術(shù)MDKaEKa(Dk’b(M))DK’aEK’bDk’b(M)Dk’b(M)EKbMBobAlice加密函數(shù)-非對(duì)稱加密非對(duì)稱加密：當(dāng)同時(shí)用對(duì)方的公鑰和自己的私鑰加密是，既提供認(rèn)證和簽名功能，也提供保密性功能。Ka和K’a分別是Alice的公鑰和私鑰Kb和K’b分別是Bob的公鑰和私鑰消息認(rèn)證概述安全協(xié)議技術(shù)是先簽名還是先加密？？MEK’bEK’b(Eka(M))EKbDKaEa(M)Eka(M)DK’aMBobAlice加密函數(shù)-非對(duì)稱加密消息認(rèn)證概述安全協(xié)議技術(shù)消息認(rèn)證碼：使用一個(gè)密鑰生成一個(gè)固定大小的短數(shù)據(jù)塊，并將該數(shù)據(jù)塊加載到消息后面，稱MAC（或密碼校驗(yàn)和）MAC＝Ck（M）MAC函數(shù)類似于加密函數(shù)，但不需要可逆性。因此在數(shù)學(xué)上比加密算法被攻擊的弱點(diǎn)要少消息認(rèn)證碼消息認(rèn)證概述安全協(xié)議技術(shù)MAC的基本用法：消息認(rèn)證BoBAliceM||KCK(M)CKCM比較消息認(rèn)證概述安全協(xié)議技術(shù)加密函數(shù)MAC的基本用法：與明文有關(guān)的認(rèn)證M||K1CK(M)CK2CM比較EK2MDK1MBobAlice消息認(rèn)證概述安全協(xié)議技術(shù)加密函數(shù)MAC的基本用法：與密文有關(guān)的認(rèn)證M||K1CK1(Ek2(M))CCM比較EK2K1MMDK2BobAliceEk2(M)消息認(rèn)證概述安全協(xié)議技術(shù)加密函數(shù)HashFunction哈希函數(shù)、摘要函數(shù)輸入：任意長(zhǎng)度的消息報(bào)文M輸出：一個(gè)固定長(zhǎng)度的散列碼值H(M)是報(bào)文中所有比特的函數(shù)值單向函數(shù)Hash函數(shù)需滿足以下條件：輸入x可以為任意長(zhǎng)度，輸出為固定長(zhǎng)度正向計(jì)算容易，反向計(jì)算困難抗沖突性(無(wú)沖突性）哈希函數(shù)消息認(rèn)證概述安全協(xié)議技術(shù)根據(jù)是否使用密鑰帶秘密密鑰的Hash函數(shù):消息的散列值由只有通信雙方知道的秘密密鑰K來(lái)控制。此時(shí)，散列值稱作MAC。不帶秘密密鑰的Hash函數(shù)：消息的散列值的產(chǎn)生無(wú)需使用密鑰。此時(shí)，散列值稱作MDC。哈希函數(shù)消息認(rèn)證概述安全協(xié)議技術(shù)MD5和SHA-1哈希函數(shù)的比較比較項(xiàng)MD5SHA-1MD長(zhǎng)度128位160位抗窮舉攻擊能力給定消息的摘要：2128產(chǎn)生兩個(gè)具有相同摘要的消息:264給定消息的摘要：2160產(chǎn)生兩個(gè)具有相同摘要的消息:280抗密碼分析能力對(duì)已知的密碼分析能力弱未知速度64步，緩沖區(qū)128位，快80步，緩沖區(qū)160位，較MD5慢很多簡(jiǎn)單性簡(jiǎn)單，軟件易實(shí)現(xiàn)簡(jiǎn)單，軟件易實(shí)現(xiàn)低位結(jié)構(gòu)于高位結(jié)構(gòu)低位結(jié)構(gòu)高位結(jié)構(gòu)消息認(rèn)證概述安全協(xié)議技術(shù)哈希函數(shù)的基本用法（a）：用對(duì)稱密鑰加密消息和消息摘要M||H(M)HKHM比較EKMDMBobAliceEK(M|H(M))哈希函數(shù)如何用于消息認(rèn)證？消息認(rèn)證概述安全協(xié)議技術(shù)哈希函數(shù)的基本用法（b）：用對(duì)密鑰加密消息摘要M||KEK(H(M))HHM比較EDBobAliceK哈希函數(shù)如何用于消息認(rèn)證？消息認(rèn)證概述安全協(xié)議技術(shù)M||K’bDK’b(H(M))HHM比較DEBobAliceKb哈希函數(shù)的基本用法（c）：用自己的私鑰對(duì)消息摘要簽名哈希函數(shù)如何用于消息認(rèn)證？消息認(rèn)證概述安全協(xié)議技術(shù)哈希函數(shù)的基本用法（d）：用自己的私鑰對(duì)消息摘要簽名，然后用對(duì)稱密鑰加密消息和簽名后的消息摘要M||KDK’b(H(M))HHM比較EDBobAliceKMMDK’bEKbEk(M|DK’b(H(M))哈希函數(shù)如何用于消息認(rèn)證？消息認(rèn)證概述安全協(xié)議技術(shù)哈希函數(shù)的基本用法（e）：用帶密鑰的哈希函數(shù)生成消息摘要M||H(M||S)||HM比較BobAliceSS||H哈希函數(shù)如何用于消息認(rèn)證？消息認(rèn)證概述安全協(xié)議技術(shù)哈希函數(shù)的