1、第11章 認(rèn)證理論與技術(shù)(1),認(rèn)證、認(rèn)證碼、Hash函數(shù),11.1認(rèn)證與認(rèn)證系統(tǒng),認(rèn)證(Authentication)是防止主動攻 擊的重要技術(shù),對開發(fā)系統(tǒng)安全性有重 要作用. 認(rèn)證的主要目的 實(shí)體認(rèn)證(發(fā)送者非冒充) 消息認(rèn)證(驗(yàn)證信息的完整性),11.1認(rèn)證與認(rèn)證系統(tǒng)(Cont.),網(wǎng)絡(luò)環(huán)境中的攻擊(認(rèn)證的需求) 1.泄漏 2.通信量分析 3.偽裝(假報(bào)文) 4.內(nèi)容篡改(插入,刪除,調(diào)換和修改) 5.序號篡改(報(bào)文序號的修改) 6.計(jì)時(shí)篡改(報(bào)文延遲或回放) 7.抵賴(否認(rèn)收或發(fā)某報(bào)文) 1,2加密, 36報(bào)文認(rèn)證, 7數(shù)字簽名(36),保密和認(rèn)證同時(shí)是信息系統(tǒng)安全的兩個(gè)方面，但它 們

2、是兩個(gè)不同屬性的問題，認(rèn)證不能自動提供保密性， 而保密性也不能自然提供認(rèn)證功能。一個(gè)純認(rèn)證系統(tǒng)的 模型如下圖所示：,竄擾者,信宿,信源,認(rèn)證編碼器,認(rèn)證譯碼器,信道,安全信道,密鑰源,11.1認(rèn)證與認(rèn)證系統(tǒng),三類產(chǎn)生認(rèn)證碼的函數(shù) 報(bào)文加密 以整個(gè)報(bào)文的密文為認(rèn)證碼; 報(bào)文認(rèn)證碼(MAC) 是報(bào)文和密鑰的公共函數(shù)，產(chǎn)生一個(gè)定長 值作為認(rèn)證碼; Hash函數(shù) 一個(gè)將任意長度的報(bào)文映射為定長的Hash值 的公共函數(shù),以Hash值作為認(rèn)證碼;,11.2報(bào)文加密提供認(rèn)證,常規(guī)加密 問題:如果報(bào)文是任意比特的組合,接收方 沒有自動的方法確定報(bào)文的合法性. 解決方案:強(qiáng)調(diào)明文的某種結(jié)構(gòu),這種結(jié)構(gòu) 是易于識別

3、但不能復(fù)制且無需加密的.,對稱加密與認(rèn)證的關(guān)系,A-B: E(K, M) 提供保密(僅A和B共享密鑰K) 提供一定程度的認(rèn)證 僅來自A 傳輸中不會被更改 需要某種結(jié)構(gòu)或冗余 不提供簽名 接收者可以偽造報(bào)文 發(fā)送者可以否認(rèn)報(bào)文,下圖的通信雙方，用戶A為發(fā)信方，用戶 B為接收方。用戶B接收到信息后，通過解密來 判決信息是否來自A，信息是否是完整的，有無 竄擾。,常規(guī)加密：具有機(jī)密性，可認(rèn)證,11.2報(bào)文加密提供認(rèn)證(Cont.),公開密鑰加密 發(fā)送方用自己的私鑰加密報(bào)文,接收方用發(fā) 送方的公鑰解密(與對稱密鑰加密原理相 同,需要某種特定報(bào)文結(jié)構(gòu)).該方案不提供 加密. 發(fā)送方先用自己的密鑰加密以提

4、供認(rèn)證,然 后使用接收方公鑰加密提供保密性.缺點(diǎn)是 效率不高.,公開密鑰加密與認(rèn)證的關(guān)系,A-B: E(KUb,M) 提供保密(僅B能解密) 不提供認(rèn)證 A-B: E(KRa,M) 提供認(rèn)證和簽名(僅有A可加密,需要某種結(jié)構(gòu)和冗余,任何一方均能驗(yàn)證簽名) A-B: E(KUb,E(KRa, M) 可提供保密 可提供認(rèn)證和簽名,KUb(B方的公鑰),(1) 公鑰加密：具有機(jī)密性,(2) 公鑰加密：認(rèn)證和簽名,(3) 公鑰加密：機(jī)密性，可認(rèn)證和簽名,11.3 報(bào)文認(rèn)證碼(MAC),認(rèn)證碼(MAC,也稱密碼檢驗(yàn)和) 對選定報(bào)文,使用一個(gè)密鑰,產(chǎn)生一個(gè)短小的定長數(shù)據(jù)分組,稱認(rèn)證碼,并將它附加在報(bào)文中,

5、提供認(rèn)證功能. (MAC = Ck(M) ,其中M是可變長的報(bào)文, K是共享密鑰,Ck(M)是定長的認(rèn)證碼.) 應(yīng)用認(rèn)證碼,如果只有收發(fā)方知道密鑰,同時(shí)收到的MAC與計(jì)算得出的MAC匹配: 確認(rèn)報(bào)文未被更改; 確信報(bào)文來自所謂的發(fā)送者; 如果報(bào)文包含序號,可確信該序號的正確性;,11.3 報(bào)文認(rèn)證碼(Cont.),報(bào)文認(rèn)證碼的基本用法1 A-B: M | Ck(M) 提供認(rèn)證, 因僅A和B共享K;,C,M,M,Ck(M),K,C,K,比較,源點(diǎn),終點(diǎn),11.3 報(bào)文認(rèn)證碼(Cont.),報(bào)文認(rèn)證碼的基本用法2 A-B: Ek2 (M | Ck1(M) ) 提供認(rèn)證, 因僅A和B共享K1; 提供

6、保密,因僅A和B共享K2;,C,M,Ek2 (M | Ck1(M) ),K1,C,K1,比較,源點(diǎn),終點(diǎn),E,K2,D,K2,Ck1(M),11.3 報(bào)文認(rèn)證碼(Cont.),報(bào)文認(rèn)證碼的基本用法3 A-B: Ek2 (M) | Ck1(Ek2 (M) ) 提供認(rèn)證, 因僅A和B共享K1; 提供保密,因僅A和B共享K2;,C,M,Ck1(Ek2 (M) ),K1,C,K2,比較,源點(diǎn),終點(diǎn),E,K2,D,K1,Ek2 (M),M,11.3 報(bào)文認(rèn)證碼(Cont.),為什么使用報(bào)文認(rèn)證(而不是用常規(guī)加密) 適用于報(bào)文廣播(并不需要每個(gè)點(diǎn)都有密鑰); 報(bào)文加密解密的工作量比較大; 某些應(yīng)用不關(guān)心報(bào)

7、文的保密而只關(guān)心報(bào)文的真實(shí)性; 認(rèn)證函數(shù)與保密函數(shù)的分離能提供結(jié)構(gòu)上的靈活性(認(rèn)證與保密可在網(wǎng)絡(luò)協(xié)議的不同層次進(jìn)行). 認(rèn)證碼可延長報(bào)文的保護(hù)期限,同時(shí)能處理報(bào)文內(nèi)容(使用加密,當(dāng)報(bào)文解密后,保護(hù)就失效了).,11.3 報(bào)文認(rèn)證碼(Cont.),注意 認(rèn)證函數(shù)類似加密函數(shù),但它是不可逆的,這個(gè)性質(zhì)使其比加密函數(shù)更難破解; 認(rèn)證函數(shù)并不提供數(shù)字簽名; 認(rèn)證碼的信息論* G.J. Simmons發(fā)展的認(rèn)證系統(tǒng)的信息理論,類似保密系統(tǒng)的信息理論,也是將信息論用于研究認(rèn)證系統(tǒng)的理論安全性和實(shí)際安全性問題,指出認(rèn)證系統(tǒng)的性能極限以及設(shè)計(jì)認(rèn)證碼必須遵循的原則,是研究認(rèn)證問題的理論基礎(chǔ).,11.3 報(bào)文認(rèn)證

8、碼(Cont.),MAC函數(shù)應(yīng)有如下性質(zhì)(攻擊者沒有K): 有M和Ck(M),試圖生成M, 使得Ck(M)= Ck(M), 這在計(jì)算上不可行; Ck(M)應(yīng)能均勻分布;對于隨機(jī)選取的報(bào)文M和M, Ck(M)= Ck(M)的概率為2-n其中n 為 MAC的比特長度;(抗選擇明文攻擊) 報(bào)文M為M的某種已知代換,即M=f(M),則Ck(M)= Ck(M)的概率為2-n.,11.3 報(bào)文認(rèn)證碼(Cont.),基于DES的報(bào)文認(rèn)證碼 描述如下: 被認(rèn)證報(bào)文分成連續(xù)的64bit分組:D1,D2, Dn(必要時(shí)用0填充).使用DES算法E,密鑰 K,數(shù)據(jù)認(rèn)證碼計(jì)算如下(16= M =64): C1 = E

9、k(D1) C2 = Ek(D2C1) Cn = Ek(Dn Cn-1),11.4 Hash函數(shù)(散列,哈希函數(shù)),Hash函數(shù) Hash函數(shù)是將任意長度的報(bào)文映射成一個(gè)較短的定長輸出報(bào)文的函數(shù). 如下形式: h = H(M), M是變長的報(bào)文,h是定長的Hash值. Hash函數(shù)的目的是為文件、報(bào)文或其它的分組數(shù)據(jù)產(chǎn)生“數(shù)字指紋”.,11.4 Hash函數(shù)(Cont.),使用Hash碼提供報(bào)文認(rèn)證的方式 (a) A-B: Ek(M | H(M) ) 提供保密(僅A和B共享K) 提供認(rèn)證(加密保護(hù) H(M) ) (b) A-B: M | Ek( H(M) ) 提供認(rèn)證(加密保護(hù) H(M) )

10、(c) A- B: M | EKRa( H(M) ) 提供認(rèn)證和數(shù)字簽名(加密保護(hù) H(M) ,且僅A能生成EKRa( H(M) ),11.4Hash函數(shù)(Cont.),使用Hash碼提供報(bào)文認(rèn)證的方式(續(xù).) (d) A-B: Ek(M | EKRa( H(M) ) ) 提供認(rèn)證和數(shù)字簽名 提供保密(僅A和B共享K) (e)A-B: M | H(M | S) 提供認(rèn)證(S是通信雙方共享的一個(gè)秘密值, 僅A和B共享S) (f)A-B: Ek(M | H(M | S ) 提供認(rèn)證和數(shù)字簽名(僅A和B共享S) 提供保密(僅A和B共享K),11.4 Hash函數(shù)(Cont.),為什么要避免加密的方法

11、?(見方法(e) ) 加密軟件慢; 加密硬件開銷不可忽略; 加密硬件是針對大長度數(shù)據(jù)進(jìn)行優(yōu)化的(換而言之,對小數(shù)據(jù)分組加密開銷大); 加密算法可能受專利保護(hù); 加密算法易遭美國政府的出口限制;,11.4 Hash函數(shù)(Cont.),Hash函數(shù)的需求 H能用于任何大小的數(shù)據(jù)分組; H產(chǎn)生定長輸出; 對任意給定的x, H(x)要相對易于計(jì)算,使得軟硬件實(shí)現(xiàn)都實(shí)際可行; 對任意給定的碼h, 尋求x使得H(x)=h在計(jì)算上是不可行的(單向性); 任意給定分組x, 尋求不等于x的y, 使得H(y)= H(x)在計(jì)算上不可行(弱抗攻擊性); 尋求對任何的(x,y)對使得H(x)=H(y)在計(jì)算上不可行(

12、強(qiáng)抗攻擊性);,11.4 Hash函數(shù)(Cont.),簡單的Hash函數(shù) 每個(gè)分組按比特異或: Ci = bi1bi2 . bim 其中, Ci是第i個(gè)比特的Hash碼,1in; m是輸入的n比特分組數(shù); bij是第j分組的第i比特; (簡單的奇偶校驗(yàn)) 針對應(yīng)用中的可預(yù)測數(shù)據(jù)格式,提出如下 改進(jìn)方案:,11.4 Hash函數(shù)(Cont.),簡單的Hash函數(shù)的改進(jìn)方案 先將n比特的Hash值設(shè)置為0; 按如下方式依次處理數(shù)據(jù)分組: 將當(dāng)前的Hash值循環(huán)左移一位. 將數(shù)據(jù)分組與Hash值異或形成新的Hash值. 這將起到輸入數(shù)據(jù)完全隨機(jī)化的效果,并且 將輸入中的數(shù)據(jù)格式掩蓋掉.,11.4 H

13、ash函數(shù)(Cont.),生日攻擊(基于生日悖論) 在k個(gè)人中,找一個(gè)與某人生日相同的人的 概率超過0.5時(shí),只需k183; 而在此人群中, 至少有兩個(gè)人生日相同的概率超過0.5, 只需k23.,第12章 Hash算法,MD5和MD4 安全Hash算法SHA RIPEMD-160 HMAC,b,Y0,n,IV= CV0,f,b,Y1,n,f,b,YL-1,n,CVL-1,f,CV1,n,n,IV = 初始值 CV = 鏈接值 Yi = 第i 個(gè)輸入數(shù)據(jù)塊 f = 壓縮算法 n = Hash碼的長度 b = 輸入塊的長度,安全Hash算法的一般結(jié)構(gòu),CVL,CV0=IV= initial n-b

14、it value CVi=f(CVi-1, Yi-1) (1 i L) H(M) = CVL,MD5 算法,輸入：任意長度的消息 輸出：128位消息摘要 處理：以512位輸入數(shù)據(jù)塊為單位,MD5 (RFC 1321) was developed by Ron Rivest (“R” of the RSA )at MIT in 90s.,報(bào)文,K bits,L512 bits=N 32bits,1000,Y0,512 bits,Y1,512 bits,Yq,512 bits,YL-1,512 bits,HMD5,IV,128,HMD5,CV1,128,HMD5,CVq,128,HMD5,CVL-

15、1,128,512,512,512,512,128-bit 摘要,MD5產(chǎn)生報(bào)文摘要的過程,MD5算法描述,步驟1：添加填充位(一個(gè)1 和若干個(gè)0)。在消息的最后添加適當(dāng)?shù)奶畛湮皇沟脭?shù)據(jù)位的長度滿足length 448 mod 512。 步驟2：添加長度。原始消息長度（二進(jìn)制位的個(gè)數(shù)），用64位表示。如果長度超過264位，則僅取最低64位，即mod 264。 到此為止，我們已經(jīng)得到一個(gè)512位的整倍數(shù)長度的新的消息?？梢?表示為L個(gè)512位的數(shù)據(jù)塊：Y0,Y1,YL-1。其長度為L512bits。令N=L16,則長度 為N個(gè)32位的字。令M0N-1表示以字為單位的消息表示。,MD5算法描述(C

16、ont.),步驟3：初始化MD緩沖區(qū)。一個(gè)128位MD緩沖區(qū)用以保存中間和最終Hash函數(shù)的結(jié)果。它可以表示為4個(gè)32位的寄存器(A,B,C,D)。 寄存器初始化為以下的16進(jìn)制值。 A = 67452301 B = EFCDAB89 C = 98BADCFE D = 10325476,MD5算法描述(Cont.),上述值的存儲方式為：,Word A: 01 23 45 67 Word B: 89 AB CD EF Word C: FE DC BA 98 Word D: 76 54 32 10,MD5算法描述(Cont.),步驟4：處理消息塊（512位 = 16個(gè)32位字）。壓縮函數(shù)是本算法的

17、核心(HMD5)。它包括4輪處理。四輪處理具有相似的結(jié)構(gòu),但每次使用不同的基本邏輯函數(shù)，記為F,G,H,I。每一輪以當(dāng)前的512位數(shù)據(jù)塊(Yq)和128位緩沖值A(chǔ)BCD作為輸入，并修改緩沖值的內(nèi)容。每次使用64元素表T164中的四分之一.,T表，由sin 函數(shù)構(gòu)造而成。T的第i個(gè)元素表示為Ti，其值等于 232abs(sin(i),其中i是弧度。由于abs(sin(i)是一個(gè)0到1之間的數(shù)，T的每一個(gè)元素是一個(gè)可以表示成32位的整數(shù)。T表提供了隨機(jī)化的32位模板，消除了在輸入數(shù)據(jù)中的任何規(guī)律性的特征。,T1 = D76AA478 T2 = E8C7B756 T3 = 242070DB T4 =

18、 C1BDCEEE T16 = 49b40821,T49 = F4292244 T50 = 432AFF97 T51 = AB9423A7 T52 = FC93A039 T64 = EB86D391,步驟5：輸出結(jié)果。所有L個(gè)512位數(shù)據(jù)塊處理完畢后，最后的結(jié)果就是128位消息摘要。 CV0 = IV CVq+1 = SUM32(CVq,RFIYq,RFHYq,RFGYq,RFFYq,CVq) MD = CVL 其中：IV = ABCD的初始值（見步驟3） Yq = 消息的第q個(gè)512位數(shù)據(jù)塊 L = 消息中數(shù)據(jù)塊數(shù)； CVq = 鏈接變量，用于第q個(gè)數(shù)據(jù)塊的處理 RFx = 使用基本邏輯函數(shù)

19、x的一輪功能函數(shù)。 MD = 最終消息摘要結(jié)果 SUM32=分別按32位字計(jì)算的模232加法結(jié)果。,MD5算法描述(Cont.),F,T116,Xi 16 steps,G,T1732,X2i 16 steps,H,T3348,X3i 16 steps,I,T4964,X4i 16 steps,+,+,+,+,A,B,C,D,A,B,C,D,A,B,C,D,A,B,C,D,CVq,128,32,Yq,512,CVq+1,128,單個(gè) 512-bit 分組的 MD5 處理過程,+ is mod 232,MD5 壓縮函數(shù),每一輪包含對緩沖區(qū)ABCD的16步操作所組成的一個(gè)序列。 ab + ( a +

20、 g(b,c,d) + Xk +Ti)s) 其中， a,b,c,d = 緩沖區(qū)的四個(gè)字，以一個(gè)給定的次序排列; g = 基本邏輯函數(shù)F,G,H,I之一； s = 對32位字循環(huán)左移s位 Xk = Mq16 + k = 在第q個(gè)512位數(shù)據(jù)塊中的第k個(gè)32位字 Ti = 表T中的第i個(gè)32位字； + = 模 232的加；,邏輯函數(shù)的真值表,b c d F G H I 0 0 0 0 0 0 1 0 0 1 1 0 1 0 0 1 0 0 1 1 0 0 1 1 1 0 0 1 1 0 0 0 0 1 1 1 0 1 0 1 0 1 1 1 0 1 1 0 0 1 1 1 1 1 1 0,A,B,

21、C,D,A,B,C,D,+,+,+,CLSs,+,g,Xk,Ti,Function g g(b,c,d) 1 F(b,c,d) (bc)(bd) 2 G(b,c,d) (bd)(cd) 3 H(b,c,d) bcd 4 I(b,c,d) c(bd),2i = (1+5i) mod 16 3i = (5+3i) mod 16 4i = 7i mod 16,基本MD5操作(單步),MD4 (1990年10月作為RFC1320發(fā)表) by Ron Rivest at MIT,MD4的設(shè)計(jì)目標(biāo) 安全性： 速度：32位體系結(jié)構(gòu)下計(jì)算速度快. 簡明與緊湊：易于編程. 有利的小數(shù)在前的結(jié)構(gòu)(Intel 80

22、 xxx, Pentium ) MD4與MD5的區(qū)別 MD4用3輪,每輪16 步,MD5用4輪,每輪16步. MD4中第一輪沒有常量加；MD5中64步每一步用了一個(gè)不同的常量 Ti； MD5用了四個(gè)基本邏輯函數(shù)，每輪一個(gè)；MD4用了三個(gè). MD5每輪加上前一步的結(jié)果；MD4沒有.,SHA-1 算法邏輯,輸入：最大長度為264位的消息； 輸出：160位消息摘要； 處理：輸入以512位數(shù)據(jù)塊為單位處理；,SHA由美國國家標(biāo)準(zhǔn)技術(shù)研究所NIST開發(fā)，作為聯(lián)邦信息處理標(biāo)準(zhǔn) 于1993年發(fā)表（FIPS PUB 180），1995年修訂，作為SHA-1(FIPS PUB 180-1)，SHA-1基于MD4

23、設(shè)計(jì)。,SHA-1 算法描述,步驟1：添加填充位(一個(gè)1 和若干個(gè)0)。在消息的最后添加適當(dāng)?shù)奶畛湮皇沟脭?shù)據(jù)位的長度滿足length 448 mod 512。 步驟2：添加長度。一個(gè)64位塊，表示原始消息長度，64位無符號整數(shù)。 步驟3：初始化MD緩沖區(qū)。一個(gè)160位MD緩沖區(qū)用以保存中間和最終Hash函數(shù)的結(jié)果。它可以表示為5個(gè)32位的寄存器(A,B,C,D,E)。,初始化為： A = 67452301 B = EFCDAB89 C = 98BADCFE D = 10325476 E = C3D2E1F0 前四個(gè)與MD5相同，但存儲為大數(shù)在前的形式. 步驟4：以512位數(shù)據(jù)塊為單位處理消息。

24、四輪，每輪20步。四個(gè)基本邏輯函數(shù)：f1,f2,f3,f4 步驟5：輸出。全部L個(gè)512位數(shù)據(jù)塊處理完畢后，輸出160位消息摘要。,CV0 = IV CVq+1 = SUM32(CVq, ABCDEq) MD = CVL 其中：IV = ABCDE的初始值； ABCDEq對第q輪消息數(shù)據(jù)塊處理最后一輪所得的結(jié)果； L = 數(shù)據(jù)塊的個(gè)數(shù) SUM32 = 對每一個(gè)輸入對的字求加模232 MD = 最后的消息摘要值。,A,B,C,D,A,B,C,D,+,+,+,+,ft,E,E,S5,Wt,Kt,S30,基本SHA操作(單步),SHA-1 壓縮函數(shù) A,B,C,D,E (E + f(t,B,C,D)

25、+S5(A) +Wt + Kt),A,S30(B),C,D 其中， A,B,C,D,E = 緩沖區(qū)的5個(gè)字； t = 步數(shù)，0= t = 79； f(t,B,C,D) = 步t的基本邏輯函數(shù)； Sk = 循環(huán)左移k位給定的32位字； Wt = 一個(gè)從當(dāng)前512數(shù)據(jù)塊導(dǎo)出的32位字； Kt = 一個(gè)用于加法的常量，四個(gè)不同的值，如前所述 + = 加模232。,f1,K,W019 20 steps,f2,K,W2039 20 steps,f3,K,W4059 20 steps,f4,K,W6079 20 steps,+,+,+,+,A,B,C,E,A,E,A,E,A,E,CVq,160,32,Yq

26、,512,CVq+1,160,SHA-1 Processing of a single 512-bit block,+ is mod 232,D,B,C,D,B,C,D,B,C,D,+,StepFunction NameFunction Value (0 t 19)f1 = f(t,B,C,D)(BC)(BD) (20 t 39)f2 = f(t,B,C,D) BC D (40 t 59)f3 = f(t,B,C,D) (BC)(BD) (CD) (60 t 79)f4 = f(t,B,C,D) BC D,Wt = S1(Wt-16 Wt-14 Wt-3 ),Yq,512bits,W0,W1,W15,W16,S1,XOR,W0 W2 W8 W13,Wt,S1,XOR,Wt-16 Wt-14 Wt-8 Wt-3,W79,S1,XOR,W63 W65 W71 W76,RIPEMD-160,輸入：任意長度的消息 輸出：長度為160位的消息摘要 處理：以512位數(shù)據(jù)塊為單位,歐洲RAC