第五章-數(shù)據(jù)保護(hù)技術(shù)-《網(wǎng)絡(luò)與信息安全》課件

《第五章-數(shù)據(jù)保護(hù)技術(shù)-《網(wǎng)絡(luò)與信息安全》課件》由會(huì)員分享，可在線閱讀，更多相關(guān)《第五章-數(shù)據(jù)保護(hù)技術(shù)-《網(wǎng)絡(luò)與信息安全》課件（83頁(yè)珍藏版）》請(qǐng)?jiān)谘b配圖網(wǎng)上搜索。

1、計(jì)算機(jī)科學(xué)與技術(shù)學(xué)院計(jì)算機(jī)科學(xué)與技術(shù)學(xué)院網(wǎng)絡(luò)與信息安全網(wǎng)絡(luò)與信息安全主講：楊哲主講：楊哲2024/7/141網(wǎng)絡(luò)與信息安全第五章第五章 數(shù)據(jù)保護(hù)技術(shù)數(shù)據(jù)保護(hù)技術(shù)v主要內(nèi)容主要內(nèi)容1 消息鑒別技術(shù)2 數(shù)字簽名3 身份認(rèn)證2024/7/142網(wǎng)絡(luò)與信息安全I(xiàn)dentification和和AuthenticationvIdentification is the process by which the identity of a user is established,and authentication is the process by which a service confirms the

2、claim of a user to use a specific identity by the use of credentials(usually a password or a certificate).2024/7/145網(wǎng)絡(luò)與信息安全I(xiàn)dentification和和Authenticationv區(qū)別區(qū)別 Identification 所要回答的問(wèn)題是他是誰(shuí)?,既查找與目標(biāo)樣本匹配的樣本記錄是否存在于數(shù)據(jù)庫(kù)中Authentication 所要回答的問(wèn)題是此人是否是他聲稱的那個(gè)人?.通常在生物采樣之外還需要多重因素(Multiple Factor,如口令,智能卡)以輔助認(rèn)證身份.202

3、4/7/146網(wǎng)絡(luò)與信息安全I(xiàn)dentification和和Authenticationv翻譯翻譯標(biāo)識(shí)和鑒別在其他語(yǔ)境下authentication可以翻譯成認(rèn)證例如RADIUS的3A中以及雙因素認(rèn)證等等。但作為基本安全機(jī)制，I&A還是翻譯成標(biāo)識(shí)和鑒別比較妥當(dāng)。2024/7/147網(wǎng)絡(luò)與信息安全1 消息鑒別技術(shù)消息鑒別技術(shù)v針對(duì)消息的攻擊針對(duì)消息的攻擊泄露流量分析偽造消息篡改消息改變消息順序時(shí)間修改否認(rèn)2024/7/148網(wǎng)絡(luò)與信息安全1 消息鑒別技術(shù)消息鑒別技術(shù)v消息鑒別的目的消息鑒別的目的對(duì)收到的消息進(jìn)行驗(yàn)證，證明確實(shí)是來(lái)自聲稱的發(fā)送方而不是冒充的，此為信源識(shí)別驗(yàn)證消息的完整性，在傳送或存

4、儲(chǔ)過(guò)程中未被篡改、重放或延遲等如在消息中加入時(shí)間及順序信息，則可以完成對(duì)時(shí)間和順序的認(rèn)證2024/7/149網(wǎng)絡(luò)與信息安全1 消息鑒別技術(shù)消息鑒別技術(shù)v消息鑒別的方式消息鑒別的方式消息加密（Message Encryption）將明文加密后的密文作為認(rèn)證標(biāo)識(shí)消息鑒別碼（Message Authentication Code，MAC）用一個(gè)密鑰控制的公開(kāi)函數(shù)作用后，產(chǎn)生固定長(zhǎng)度的數(shù)值作為認(rèn)證標(biāo)識(shí)，即密碼校驗(yàn)和（Checksum）散列函數(shù)（Hash Function）定義一個(gè)函數(shù)，將任意長(zhǎng)度的消息映射為定長(zhǎng)的Hash值，該值即為認(rèn)證標(biāo)識(shí)2024/7/1410網(wǎng)絡(luò)與信息安全1 消息鑒別技術(shù)消息鑒別技

5、術(shù)v消息加密消息加密對(duì)稱密碼體制加密鑒別公鑰密碼體制加密鑒別2024/7/1411網(wǎng)絡(luò)與信息安全1 消息鑒別技術(shù)消息鑒別技術(shù)v對(duì)稱密碼體制加密鑒別對(duì)稱密碼體制加密鑒別A與B共享密鑰KA：EK(P)CBB：DK(C)P，查看P是否有意義如何自動(dòng)確定收到的密文可解密為有意義的明文？一種解決辦法是強(qiáng)制明文有某種結(jié)構(gòu)易于識(shí)別、不能復(fù)制、不求助于加密如：加密前對(duì)消息附加檢錯(cuò)碼幀檢驗(yàn)序列FCS內(nèi)部、外部差錯(cuò)控制2024/7/1412網(wǎng)絡(luò)與信息安全1 消息鑒別技術(shù)消息鑒別技術(shù)v公鑰密碼體制加密鑒別公鑰密碼體制加密鑒別保密通信公鑰KU加密，私鑰KR解密不提供鑒別數(shù)字簽名私鑰KR加密，公鑰KU解密提供鑒別和簽名

6、僅A有私鑰KR可以進(jìn)行加密傳輸中沒(méi)有被更改需要某種結(jié)構(gòu)或冗余任何一方均可以使用公鑰KU驗(yàn)證簽名2024/7/1413網(wǎng)絡(luò)與信息安全1 消息鑒別技術(shù)消息鑒別技術(shù)v消息鑒別碼（消息鑒別碼（MAC）密碼校驗(yàn)和（Cryptographic Checksum）將任意長(zhǎng)的消息M，在共享密鑰K的控制下，映射到一個(gè)簡(jiǎn)短的定長(zhǎng)數(shù)據(jù)分組，并將它附加在消息M后，稱為MAC，MACCK(M)接收方通過(guò)重新計(jì)算MAC進(jìn)行消息鑒別2024/7/1414網(wǎng)絡(luò)與信息安全1 消息鑒別技術(shù)消息鑒別技術(shù)v消息鑒別碼消息鑒別碼如果Received MACComputed MAC，則接收者可以確信消息M未被改變接收者可以確信消息來(lái)自其

7、他共享密鑰的發(fā)送者如果消息中含有序列號(hào)（如HDLC，X.25，TCP），則可以保證正確的消息順序CMKAMCKCompareB2024/7/1415網(wǎng)絡(luò)與信息安全1 消息鑒別技術(shù)消息鑒別技術(shù)v消息鑒別碼消息鑒別碼MAC只能鑒別，不提供保密和數(shù)字簽名因?yàn)橥ㄐ烹p方共享同一個(gè)密鑰MAC函數(shù)C與加密函數(shù)類似但不需要可逆性。因此在數(shù)學(xué)上比加密算法被攻擊的弱點(diǎn)要少，更不易破解MAC函數(shù)C有固定的長(zhǎng)度2024/7/1416網(wǎng)絡(luò)與信息安全v消息鑒別碼消息鑒別碼MAC實(shí)現(xiàn)消息鑒別保密通信明文的MAC與明文連接再加密提供消息鑒別：A、B共享密鑰K1提供保密通信：A、B共享密鑰K21 消息鑒別技術(shù)消息鑒別技術(shù)CMK

8、1AMCK1CompareBEK2DK22024/7/1417網(wǎng)絡(luò)與信息安全v消息鑒別碼消息鑒別碼MAC實(shí)現(xiàn)消息鑒別保密通信密文的MAC與密文連接提供消息鑒別：A、B共享密鑰K1提供保密通信：A、B共享密鑰K2v思考題：其他方式1 消息鑒別技術(shù)消息鑒別技術(shù)CMK1AMCK1CompareBEK2DK22024/7/1418網(wǎng)絡(luò)與信息安全1 消息鑒別技術(shù)消息鑒別技術(shù)v消息鑒別消息鑒別vs.加密加密保密性與真實(shí)性是兩個(gè)不同的概念信息加密提供的是保密性而非真實(shí)性加密代價(jià)大（公鑰算法代價(jià)更大）認(rèn)證與保密的分離能提供結(jié)構(gòu)上的靈活性某些信息只需要真實(shí)性，不需要保密性廣播的信息難以使用加密（信息量大）網(wǎng)絡(luò)管

9、理信息等只需要真實(shí)性政府/權(quán)威部門(mén)的公告2024/7/1419網(wǎng)絡(luò)與信息安全1 消息鑒別技術(shù)消息鑒別技術(shù)v散列函數(shù)散列函數(shù)為文件、消息或其他的分組數(shù)據(jù)產(chǎn)生“指紋”v定義定義對(duì)不定長(zhǎng)的輸入M產(chǎn)生定長(zhǎng)輸出h的一種特殊函數(shù)HhH(M)h：又稱消息摘要（Message Digest）注意：散列值h在發(fā)送方被附加在消息上，接收方重新計(jì)算該消息的h值確認(rèn)消息是否被篡改由于H函數(shù)公開(kāi)，傳送過(guò)程中需要對(duì)h值進(jìn)行加密保護(hù)2024/7/1420網(wǎng)絡(luò)與信息安全1 消息鑒別技術(shù)消息鑒別技術(shù)v性質(zhì)性質(zhì)適用性H對(duì)于任何大小的數(shù)據(jù)分組，都能產(chǎn)生定長(zhǎng)的輸出可計(jì)算性對(duì)于任何給定的x，H(x)要相對(duì)易于計(jì)算單向性對(duì)任何給定的h，

10、尋找x使得H(x)h在計(jì)算上不可行弱無(wú)碰撞指對(duì)給定消息xX，在計(jì)算上幾乎找不到異于x的xX，使得H(x)H(x)強(qiáng)無(wú)碰撞在計(jì)算上幾乎不可能找到相異的x和x，使得H(x)H(x)2024/7/1421網(wǎng)絡(luò)與信息安全1 消息鑒別技術(shù)消息鑒別技術(shù)v散列函數(shù)（散列函數(shù)（Hash）vs.MACMAC需要對(duì)全部數(shù)據(jù)進(jìn)行加密MAC速度慢Hash函數(shù)是一種直接產(chǎn)生鑒別碼的方法2024/7/1422網(wǎng)絡(luò)與信息安全v散列函數(shù)實(shí)現(xiàn)消息鑒別（由散列函數(shù)實(shí)現(xiàn)消息鑒別（由h使用方式?jīng)Q定）使用方式?jīng)Q定）方式一AB：EK MH(M)提供消息鑒別：加密保護(hù)H(M)提供保密通信：Alice和Bob共享密鑰K1 消息鑒別技術(shù)消息鑒

11、別技術(shù)HMAMHCompareBEKDKM2024/7/1423網(wǎng)絡(luò)與信息安全1 消息鑒別技術(shù)消息鑒別技術(shù)v散列函數(shù)實(shí)現(xiàn)消息鑒別散列函數(shù)實(shí)現(xiàn)消息鑒別方式二AB：MEK H(M)提供消息鑒別：加密保護(hù)H(M)如果將H函數(shù)和EK函數(shù)合并，即為MAC函數(shù)HMAMHCompareBEKDK2024/7/1424網(wǎng)絡(luò)與信息安全1 消息鑒別技術(shù)消息鑒別技術(shù)v散列函數(shù)實(shí)現(xiàn)消息鑒別散列函數(shù)實(shí)現(xiàn)消息鑒別方式三AB：MEKRa H(M)提供消息鑒別：加密保護(hù)H(M)提供數(shù)字簽名：只有Alice才能生成EKRa H(M)HMAMHCompareBEKRaDKUa2024/7/1425網(wǎng)絡(luò)與信息安全1 消息鑒別技術(shù)消

12、息鑒別技術(shù)v散列函數(shù)實(shí)現(xiàn)消息鑒別散列函數(shù)實(shí)現(xiàn)消息鑒別方式四AB：EK MEKRa H(M)提供消息鑒別：加密保護(hù)H(M)提供數(shù)字簽名：只有Alice才能生成EKRa H(M)提供保密通信：Alice和Bob共享密鑰KHMAMHCompareBEKRaDKUaEKDKM2024/7/1426網(wǎng)絡(luò)與信息安全1 消息鑒別技術(shù)消息鑒別技術(shù)v散列函數(shù)實(shí)現(xiàn)消息鑒別散列函數(shù)實(shí)現(xiàn)消息鑒別方式五AB：MH(MS)提供消息鑒別：僅Alice和Bob共享SS：秘密值MAMHCompareBHSSS2024/7/1427網(wǎng)絡(luò)與信息安全1 消息鑒別技術(shù)消息鑒別技術(shù)v散列函數(shù)實(shí)現(xiàn)消息鑒別散列函數(shù)實(shí)現(xiàn)消息鑒別方式六AB：E

13、K MH(MS)提供消息鑒別：僅Alice和Bob共享S提供保密通信：Alice和Bob共享密鑰Kv思考題：其他方式MAMSHCompareBHSSEKDKMS2024/7/1428網(wǎng)絡(luò)與信息安全1 消息鑒別技術(shù)消息鑒別技術(shù)v散列函數(shù)的一般結(jié)構(gòu)散列函數(shù)的一般結(jié)構(gòu)最早由Merkle于1989年提出在Ron Rivest于1990年提出的MD4中采用，幾乎被所有hash函數(shù)使用2024/7/1429網(wǎng)絡(luò)與信息安全1 消息鑒別技術(shù)消息鑒別技術(shù)v散列函數(shù)的一般結(jié)構(gòu)散列函數(shù)的一般結(jié)構(gòu)分塊：把原始消息M分成一些固定長(zhǎng)度的塊Yi填充：最后一塊填充數(shù)據(jù)并使其包含M長(zhǎng)度值鏈接：設(shè)定初始的鏈接變量值VICV0壓縮

14、函數(shù)f，CVif(CVi-1,Yi-1)最后一個(gè)鏈接變量值CVL就是hash值迭代型散列函數(shù)迭代型散列函數(shù)nY0bCV0VIfY1bCV1fYL-1bCV2nnCVLhnnf2024/7/1430網(wǎng)絡(luò)與信息安全1 消息鑒別技術(shù)消息鑒別技術(shù)v散列函數(shù)的一般結(jié)構(gòu)散列函數(shù)的一般結(jié)構(gòu)輸入數(shù)據(jù)除了消息M和附加的填充數(shù)據(jù)外，還附加了消息的長(zhǎng)度值，這將增加攻擊難度要么找出兩個(gè)等長(zhǎng)的消息，且使其加上各自長(zhǎng)度值后的散列值也相等要么找出兩個(gè)不等長(zhǎng)的消息，且使其加上各自長(zhǎng)度值后的散列值也相等Hash函數(shù)設(shè)計(jì)的核心技術(shù)無(wú)碰撞的壓縮函數(shù)f碰撞是難免的，但要求找出碰撞在計(jì)算上是不可行的2024/7/1431網(wǎng)絡(luò)與信息安全

15、1 消息鑒別技術(shù)消息鑒別技術(shù)v交流題交流題碰撞生日問(wèn)題一個(gè)教室中，最少應(yīng)有多少學(xué)生，才使至少有兩人具有相同生日的概率不小于1/2？生日攻擊2024/7/1432網(wǎng)絡(luò)與信息安全1 消息鑒別技術(shù)消息鑒別技術(shù)v安全散列算法（安全散列算法（Secure Hash Algorithm，SHA）Ron Rivest于1990年提出MD41992年,Ron Rivest改進(jìn)MD4，稱為MD5在最近數(shù)年之前，MD5是最主要的hash算法MD5的替代者SHA-1和RIPEMD-1602024/7/1433網(wǎng)絡(luò)與信息安全1 消息鑒別技術(shù)消息鑒別技術(shù)v安全散列算法安全散列算法SHA-11992年NIST制定了SHA

16、（128位）1993年SHA成為標(biāo)準(zhǔn)1994年修改產(chǎn)生SHA-1（160位）1995年SHA-1成為新的標(biāo)準(zhǔn)SHA-1要求輸入消息長(zhǎng)度 264比特SHA-1的摘要長(zhǎng)度為160位基礎(chǔ)是MD42024/7/1434網(wǎng)絡(luò)與信息安全1 消息鑒別技術(shù)消息鑒別技術(shù)v安全散列算法安全散列算法SHA-1第一步：消息填充（Padding）對(duì)消息進(jìn)行填充，使其比特?cái)?shù)與448模512同余，即填充長(zhǎng)度為512的整數(shù)倍減去64|M|448 mod 512如果|M|448 mod 512，則填充消息|M1|M|512填充內(nèi)容：10001-512 bit1000MessageK bitMMessageK bitM12024

17、/7/1435網(wǎng)絡(luò)與信息安全HSHA160CV0=VI512HSHA160CV1512HSHA160CVL-1512MDY0512bitY1512bitYL-1512bitv安全散列算法安全散列算法SHA-1第二步：附加長(zhǎng)度值在M1后附加64比特的原始消息長(zhǎng)度值M2M1LengthMPaddingLengthLength|M|mod 264|M|264，取長(zhǎng)度值的低64位字節(jié)|M2|為512的倍數(shù)，分塊為Y0,Y1,YL-11-512 bit1000MessageK bit1 消息鑒別技術(shù)消息鑒別技術(shù)64 bitLengthM2L512bitN32 bit2024/7/1436網(wǎng)絡(luò)與信息安全1

18、 消息鑒別技術(shù)消息鑒別技術(shù)v安全散列算法安全散列算法SHA-1第三步：初始化MD緩存160bit，用于存放散列函數(shù)的中間及最終結(jié)果可表示為5個(gè)32比特的寄存器（A,B,C,D,E）初始化（十六進(jìn)制值）高位字節(jié)優(yōu)先MD5是低位字節(jié)優(yōu)先v思考題思考題我們的計(jì)算機(jī)或操作系統(tǒng)使用的是哪一種？高位字節(jié)優(yōu)先 十六進(jìn)制值A(chǔ)67 45 23 01(0 x 67 45 23 01)BEF CD AB 89(0 x EF CD AB 89)C98 BA DC FE(0 x 98 BA DC FE)D10 32 54 76(0 x 10 32 54 76)EC3 D2 E1 F0(0 x C3 D2 E1 F0)低

19、位字節(jié)優(yōu)先 十六進(jìn)制值A(chǔ)01 23 45 67(0 x 67 45 23 01)B89 AB CD EF(0 x EF CD AB 89)CFE DC BA 98(0 x 98 BA DC FE)D76 54 32 10(0 x 10 32 54 76)EF0 E1 D2 C3(0 x C3 D2 E1 F0)2024/7/1437網(wǎng)絡(luò)與信息安全1 消息鑒別技術(shù)消息鑒別技術(shù)v安全散列算法安全散列算法SHA-1第四步：壓縮函數(shù)處理512比特分組序列核心4個(gè)循環(huán)模塊循環(huán)結(jié)構(gòu)相似不同的原始邏輯函數(shù)f1，f2，f3，f420個(gè)處理步驟/模塊第4個(gè)循環(huán)的輸出與輸入的鏈接變量CVq以模232相加，產(chǎn)生下一

20、個(gè)鏈接變量CVq1A B C D E+f1,K,W0,1920 stepsf2,K,W20,3920 stepsf3,K,W40,5920 stepsf4,K,W60,7920 stepsA B C D EA B C D EA B C D ECVq32160CVq+1160Yq5122024/7/1438網(wǎng)絡(luò)與信息安全1 消息鑒別技術(shù)消息鑒別技術(shù)v安全散列算法安全散列算法SHA-1第五步：輸出160比特h值處理L個(gè)512比特分組后，hCVL操作總結(jié)CV0VIVI為第三步中初始化MD緩存（ABCDE寄存器）的十六進(jìn)制初值CVqSUM32(CVq,ABCDEq)(1qL)MDhCVL2024/7/

21、1439網(wǎng)絡(luò)與信息安全1 消息鑒別技術(shù)消息鑒別技術(shù)vSHA-1的壓縮函數(shù)的壓縮函數(shù)4個(gè)循環(huán)20步/循環(huán)80步At+1Etf(t,Bt,Ct,Dt)S5(At)WtKtBt+1AtCt+1S30(Bt)Dt+1CtEt+1Dt+ftS5S30WtKtf(t,Bt,Ct,Dt)：基本邏輯函數(shù)；Kt：加法常數(shù)；Wt：分組導(dǎo)出32位字；：模232加法；Sk：循環(huán)左移k位EDCBAEDCBA2024/7/1440網(wǎng)絡(luò)與信息安全1 消息鑒別技術(shù)消息鑒別技術(shù)vSHA-1的壓縮函數(shù)的壓縮函數(shù)f(t,Bt,Ct,Dt)與Kt的取值0t19f1f(t,Bt,Ct,Dt)(BC)(BD)Kt0 x5A8279992

22、0t39f2f(t,Bt,Ct,Dt)BCDKt0 x6ED9EBA140t59f3f(t,Bt,Ct,Dt)(BC)(BD)(CD)Kt0 x8F1BBBCDC60t79f4f(t,Bt,Ct,Dt)BCDKt0 xCA62C1D6A B C D E+f1,K,W0,1920 stepsf2,K,W20,3920 stepsf3,K,W40,5920 stepsf4,K,W60,7920 stepsA B C D EA B C D EA B C D ECVq32160CVq+1160Yq5122024/7/1441網(wǎng)絡(luò)與信息安全1 消息鑒別技術(shù)消息鑒別技術(shù)vSHA-1的壓縮函數(shù)的壓縮函數(shù)Wt

23、的取值從512比特分組導(dǎo)出32比特0t15Wt直接取自分組16t79WtS1(Wt-16Wt-14Wt-8Wt-3)XORS1W0W15W16WtYqW0W2W8W13XORS1Wt-16Wt-14Wt-8Wt-32024/7/1442網(wǎng)絡(luò)與信息安全1 消息鑒別技術(shù)消息鑒別技術(shù)vMD5，SHA-1和和RIPEMD-160對(duì)比對(duì)比都是由MD4導(dǎo)出算法設(shè)計(jì)指標(biāo)MD5SHA-1RIPEMD-160消息摘要長(zhǎng)度128bit160bit160bit分組長(zhǎng)度512bit512bit512bit步數(shù)64（416）80（420）160（516）最大消息長(zhǎng)度264-1bit264-1bit邏輯函數(shù)個(gè)數(shù)445加法

24、常數(shù)個(gè)數(shù)6449數(shù)據(jù)存儲(chǔ)方式低位字節(jié)優(yōu)先高位字節(jié)優(yōu)先低位字節(jié)優(yōu)先性能32.4 Mbps14.4Mbps13.6Mbps2024/7/1443網(wǎng)絡(luò)與信息安全1 消息鑒別技術(shù)消息鑒別技術(shù)vMD5，SHA-1和和RIPEMD-160優(yōu)缺點(diǎn)優(yōu)缺點(diǎn)抗強(qiáng)力攻擊弱碰撞攻擊：都無(wú)懈可擊強(qiáng)碰撞攻擊：SHA-1和RIPEMD-160安全MD5-128位，24小時(shí)找到一個(gè)沖突抗密碼分析能力RIPEMD-160SHA-1MD5計(jì)算速度RIPEMD-160SHA-1MD5存儲(chǔ)方式低位字節(jié)優(yōu)先與高位字節(jié)優(yōu)先無(wú)明顯優(yōu)勢(shì)2024/7/1444網(wǎng)絡(luò)與信息安全第五章第五章 數(shù)據(jù)保護(hù)技術(shù)數(shù)據(jù)保護(hù)技術(shù)v主要內(nèi)容主要內(nèi)容1 消息鑒別技

25、術(shù)2 數(shù)字簽名3 身份認(rèn)證2024/7/1445網(wǎng)絡(luò)與信息安全2 數(shù)字簽名數(shù)字簽名v消息鑒別的局限性消息鑒別的局限性用于保護(hù)通信雙方免受第三方攻擊無(wú)法防止通信雙方的相互攻擊接收方偽造報(bào)文，并聲稱來(lái)自發(fā)送方發(fā)送方否認(rèn)已發(fā)送的報(bào)文，而接收方無(wú)法證明發(fā)送方確實(shí)發(fā)送了該消息v引入數(shù)字簽名，是傳統(tǒng)筆跡簽名的模擬引入數(shù)字簽名，是傳統(tǒng)筆跡簽名的模擬2024/7/1446網(wǎng)絡(luò)與信息安全2 數(shù)字簽名數(shù)字簽名v數(shù)字簽名與傳統(tǒng)簽名數(shù)字簽名與傳統(tǒng)簽名相同點(diǎn)簽名者不能否認(rèn)自己的簽名簽名不能被偽造，且接收者能夠驗(yàn)證簽名簽名真?zhèn)斡袪?zhēng)議時(shí)，能夠得到仲裁不同傳統(tǒng)簽名與被簽文件在物理上不可分；數(shù)字簽名則不是，需要與被簽文件進(jìn)行“

26、綁定”傳統(tǒng)簽名通過(guò)與真實(shí)簽名對(duì)比進(jìn)行驗(yàn)證；數(shù)字簽名用驗(yàn)證算法傳統(tǒng)簽名的復(fù)制品與原件不同；數(shù)字簽名及其復(fù)制品是一樣的2024/7/1447網(wǎng)絡(luò)與信息安全2 數(shù)字簽名數(shù)字簽名v數(shù)字簽名的需求（設(shè)計(jì)要求）數(shù)字簽名的需求（設(shè)計(jì)要求）依賴性簽名必須依賴于被簽信息的比特模式唯一性簽名必須使用某些對(duì)發(fā)送者是唯一的信息，以防止雙方的偽造與否認(rèn)可驗(yàn)性簽名必須在算法上可驗(yàn)證抗偽造偽造該數(shù)字簽名在計(jì)算復(fù)雜性上不可行，既包括對(duì)已知簽名構(gòu)造新的消息，也包括對(duì)給定消息偽造數(shù)字簽名可用性必須相對(duì)容易生成簽名，并且可以備份在存儲(chǔ)器中2024/7/1448網(wǎng)絡(luò)與信息安全2 數(shù)字簽名數(shù)字簽名v數(shù)字簽名分類數(shù)字簽名分類簽名方式直接

27、數(shù)字簽名（Direct Digital Signature）仲裁數(shù)字簽名（Arbitrated Digital Signature）安全性無(wú)條件安全的數(shù)字簽名計(jì)算上安全的數(shù)字簽名可簽名次數(shù)一次性數(shù)字簽名多次性數(shù)字簽名2024/7/1449網(wǎng)絡(luò)與信息安全2 數(shù)字簽名數(shù)字簽名v直接數(shù)字簽名直接數(shù)字簽名僅涉及通信的雙方假定接收方已知發(fā)送方的公開(kāi)密鑰通過(guò)使用發(fā)送方的私有密鑰對(duì)整個(gè)消息或消息的散列碼進(jìn)行加密，來(lái)產(chǎn)生數(shù)字簽名2024/7/1450網(wǎng)絡(luò)與信息安全2 數(shù)字簽名數(shù)字簽名v直接數(shù)字簽名直接數(shù)字簽名AB：EKRa M 提供消息鑒別和數(shù)字簽名只有A才能用KRa對(duì)消息進(jìn)行加密傳輸中沒(méi)有被篡改需要某些格式

28、信息/冗余度任何第三方都可以用KUa驗(yàn)證簽名AB：EKUbEKRa M 提供保密通信（KUb）、消息鑒別和數(shù)字簽名（KRa）2024/7/1451網(wǎng)絡(luò)與信息安全2 數(shù)字簽名數(shù)字簽名v直接數(shù)字簽名直接數(shù)字簽名AB：MEKRa H(M)提供消息鑒別：加密保護(hù)H(M)提供數(shù)字簽名：只有A才能生成EKRa H(M)AB：EK MEKRa H(M)提供保密通信（共享密鑰K）、消息鑒別和數(shù)字簽名（KUa）2024/7/1452網(wǎng)絡(luò)與信息安全2 數(shù)字簽名數(shù)字簽名v直接數(shù)字簽名的缺點(diǎn)直接數(shù)字簽名的缺點(diǎn)有效性依賴于發(fā)送方私有密鑰的安全性發(fā)送方抵賴時(shí)，可能會(huì)聲稱其私有密鑰丟失或被竊通常需要采用與私有密鑰安全性相關(guān)

29、的管理控制手段來(lái)制止或至少是削弱這種情況改進(jìn)的方式要求被簽名的信息包含一個(gè)時(shí)間戳（日期與時(shí)間），并要求將已暴露的密鑰報(bào)告給一個(gè)授權(quán)中心發(fā)送方的私有密鑰確實(shí)在時(shí)間T被竊取，敵方可以偽造其簽名以及早于或等于時(shí)間T的時(shí)間戳2024/7/1453網(wǎng)絡(luò)與信息安全2 數(shù)字簽名數(shù)字簽名v仲裁數(shù)字簽名仲裁數(shù)字簽名引入仲裁者所有從發(fā)送方A到接收方B的簽名消息首先送到仲裁者CC對(duì)消息及其簽名檢查其來(lái)源和內(nèi)容C將消息加上日期與通過(guò)驗(yàn)證的證明一起發(fā)給B仲裁者在這一模式中扮演敏感和關(guān)鍵的角色所有的參與者必須極大地相信仲裁機(jī)制工作正常2024/7/1454網(wǎng)絡(luò)與信息安全2 數(shù)字簽名數(shù)字簽名vRSA數(shù)字簽名體制數(shù)字簽名體制

30、散列函數(shù)得到消息摘要，使簽名依賴于消息RSA私鑰保密性使得簽名唯一消息摘要字節(jié)數(shù)少，產(chǎn)生的簽名相對(duì)簡(jiǎn)單，易于識(shí)別和驗(yàn)證H函數(shù)的單向性、抗沖突性和RSA私鑰的保密性，使得偽造簽名不可行HMAMHCompareBEKRaDKUa2024/7/1455網(wǎng)絡(luò)與信息安全2 數(shù)字簽名數(shù)字簽名vElGamal型數(shù)字簽名體制型數(shù)字簽名體制該方案是特別為簽名的目的而設(shè)計(jì)的與ElGamal密碼體制一樣，也是非確定性的一個(gè)確定的消息可能有許多合法的簽名v數(shù)字簽名標(biāo)準(zhǔn)數(shù)字簽名標(biāo)準(zhǔn)DSS是ElGamal型數(shù)字簽名體制的變形利用了安全散列算法SHA提出了新的數(shù)字簽名技術(shù)數(shù)字簽名算法（DSA）2024/7/1456網(wǎng)絡(luò)與信

31、息安全第五章第五章 數(shù)據(jù)保護(hù)技術(shù)數(shù)據(jù)保護(hù)技術(shù)v主要內(nèi)容主要內(nèi)容1 消息鑒別技術(shù)2 數(shù)字簽名3 身份認(rèn)證2024/7/1457網(wǎng)絡(luò)與信息安全3 身份認(rèn)證身份認(rèn)證v身份認(rèn)證身份認(rèn)證證實(shí)主體的真實(shí)身份與其所聲稱的身份是否相符以密碼理論為基礎(chǔ)是訪問(wèn)控制和審計(jì)的前提2024/7/1458網(wǎng)絡(luò)與信息安全3 身份認(rèn)證身份認(rèn)證v物理基礎(chǔ)物理基礎(chǔ)用戶所知道的密碼、口令等最簡(jiǎn)單、系統(tǒng)開(kāi)銷最小，最不安全用戶所擁有的身份證、護(hù)照、密鑰盤(pán)等泄密可能性較小，認(rèn)證系統(tǒng)相對(duì)復(fù)雜用戶的特征指紋、筆跡、聲音、虹膜、DNA等安全性最高，但涉及更復(fù)雜的算法和實(shí)現(xiàn)技術(shù)2024/7/1459網(wǎng)絡(luò)與信息安全3 身份認(rèn)證身份認(rèn)證v數(shù)學(xué)基礎(chǔ)數(shù)

32、學(xué)基礎(chǔ)示證者P試圖向驗(yàn)證者V證明其知道某信息 基于知識(shí)的證明P說(shuō)出這一信息使得V相信，這樣V也知道了這一信息零知識(shí)證明使用某種有效的數(shù)學(xué)方法，使得V相信他掌握這一信息，卻不泄露任何有用的信息2024/7/1460網(wǎng)絡(luò)與信息安全3 身份認(rèn)證身份認(rèn)證v數(shù)學(xué)基礎(chǔ)數(shù)學(xué)基礎(chǔ)零知識(shí)證明最小泄露證明（Minim um Disclosure Proof）P幾乎不可能欺騙V如果P知道證明，他可以使V以極大的概率相信他知道證明如果P不知道證明，則他使得V相信他知道證明的概率幾乎為零V幾乎不可能知道證明的知識(shí)，特別是他不可能向別人重復(fù)證明過(guò)程零知識(shí)證明（Zero Knowledge Proof）V無(wú)法從P那里得到任

33、何有關(guān)證明的知識(shí)2024/7/1461網(wǎng)絡(luò)與信息安全3 身份認(rèn)證身份認(rèn)證v數(shù)學(xué)基礎(chǔ)數(shù)學(xué)基礎(chǔ)零知識(shí)證明山洞里C、D兩點(diǎn)之間有一扇上鎖的門(mén)，P知道開(kāi)門(mén)的咒語(yǔ)，按照下面的協(xié)議P就可以向V證明他知道咒語(yǔ)，但不需要告訴V咒語(yǔ)的內(nèi)容V站在A點(diǎn)P進(jìn)入山洞，走到C點(diǎn)或D點(diǎn)當(dāng)P消失后，V進(jìn)入到B點(diǎn)V指定P從左邊或者右邊出來(lái)P按照要求出洞 P和V重復(fù)-步驟n次BAC DVP2024/7/1462網(wǎng)絡(luò)與信息安全3 身份認(rèn)證身份認(rèn)證v協(xié)議基礎(chǔ)協(xié)議基礎(chǔ)雙向認(rèn)證協(xié)議最常用的協(xié)議，它使得通信雙方互相認(rèn)證對(duì)方的身份，然后交換會(huì)話密鑰單向認(rèn)證協(xié)議是通信的一方認(rèn)證一方的身份比如服務(wù)器在提供客戶申請(qǐng)的服務(wù)之前，先 要認(rèn)證客戶是否是

34、這項(xiàng)服務(wù)的合法用戶，但是不需要向用 戶證明自己的身份2024/7/1463網(wǎng)絡(luò)與信息安全3 身份認(rèn)證身份認(rèn)證v協(xié)議基礎(chǔ)協(xié)議基礎(chǔ)基于對(duì)稱密鑰的認(rèn)證協(xié)議，往往需要雙方事先已經(jīng)通過(guò)其他方式擁有共同的密鑰基于公鑰的認(rèn)證協(xié)議的雙方一般需要知道對(duì)方的公鑰無(wú)論是基于公鑰的還是基于對(duì)稱密鑰的認(rèn)證協(xié)議，都要經(jīng)常產(chǎn)生對(duì)稱會(huì)話密鑰2024/7/1464網(wǎng)絡(luò)與信息安全3 身份認(rèn)證身份認(rèn)證v基于對(duì)稱密碼的雙向認(rèn)證協(xié)議基于對(duì)稱密碼的雙向認(rèn)證協(xié)議Needham/Schroeder協(xié)議要求有可信的第三方KDC采用Challenge/Response方式使得A、B相互認(rèn)證對(duì)方的身份KDCAB(1)IDA|IDB|N1(2)EK

35、a Ks|IDB|N1|EKb KS|IDA(3)EKb Ks|IDA(4)EKs N2(5)EKs f(N2)密鑰分發(fā)密鑰分發(fā)身份認(rèn)證身份認(rèn)證2024/7/1465網(wǎng)絡(luò)與信息安全3 身份認(rèn)證身份認(rèn)證v基于對(duì)稱密碼的雙向認(rèn)證協(xié)議基于對(duì)稱密碼的雙向認(rèn)證協(xié)議Denning協(xié)議結(jié)合時(shí)間戳進(jìn)行了改進(jìn)|ClockT|t1t2 t1是KDC時(shí)鐘與本地時(shí)鐘（A或B）之間差異的估計(jì)值t2是預(yù)期的網(wǎng)絡(luò)延遲時(shí)間KDCAB(1)IDA|IDB(2)EKa Ks|IDB|T|EKb Ks|IDA|T (3)EKb Ks|IDA|T(4)EKs N1(5)EKs f(N1)2024/7/1466網(wǎng)絡(luò)與信息安全3 身份認(rèn)

36、證身份認(rèn)證v基于對(duì)稱密碼的雙向認(rèn)證協(xié)議基于對(duì)稱密碼的雙向認(rèn)證協(xié)議Denning協(xié)議Denning協(xié)議的安全性比 Needham/Schroeder協(xié)議要強(qiáng)；然而，它必須依靠各時(shí)鐘通過(guò)網(wǎng)絡(luò)進(jìn)行同步如果發(fā)送者的時(shí)鐘比接收者的時(shí)鐘要快，攻擊者就可以從發(fā)送者竊聽(tīng)消息，并在以后當(dāng)時(shí)間戳對(duì)接收者來(lái)說(shuō)成為當(dāng)前時(shí)重放給接收者。這種重放將會(huì)得到意想不到的后果。（稱為抑制重放攻擊）一種克服抑制重放攻擊的方法是強(qiáng)制各方定期檢查自己的時(shí)鐘是否與KDC的時(shí)鐘同步另一種避免同步開(kāi)銷的方法是采用臨時(shí)數(shù)握手協(xié)議2024/7/1467網(wǎng)絡(luò)與信息安全3 身份認(rèn)證身份認(rèn)證v基于公鑰密碼的雙向認(rèn)證協(xié)議基于公鑰密碼的雙向認(rèn)證協(xié)議基于臨

37、時(shí)值握手協(xié)議：WOO92b(1)AKDC：IDA|IDB(2)KDCA：EKRauth IDB|KUb (3)AB：EKUb Na|IDA(4)BKDC：IDB|IDA|EKUauthNa(5)KDCB：EKRauth IDA|KUa|EKUb EKRauth Na|Ks|IDA|IDB(6)BA：EKUa EKRauth Na|Ks|IDA|IDB|Nb(7)AB：EKsNb2024/7/1468網(wǎng)絡(luò)與信息安全3 身份認(rèn)證身份認(rèn)證v單向認(rèn)證協(xié)議單向認(rèn)證協(xié)議不需要雙方同時(shí)在線一方向?qū)Ψ阶C明身份時(shí)，即可發(fā)送數(shù)據(jù)另一方收到數(shù)據(jù)后，首先驗(yàn)證發(fā)送方的身份，如果身份有效，則接受數(shù)據(jù)應(yīng)用如E-Mail20

38、24/7/1469網(wǎng)絡(luò)與信息安全3 身份認(rèn)證身份認(rèn)證v單向認(rèn)證協(xié)議單向認(rèn)證協(xié)議基于第三方的方案(1)AKDC：IDA|IDB|N1(2)KDCA：EKa Ks|IDB|N1|EKb Ks|IDA (3)AB：EKb Ks|IDA|EKsM基于公鑰密碼的方案（簡(jiǎn)單、多樣）AB：EKUbKs|EKsMAB：M|EKRaH(M)AB：EKUb M|EKRaH(M)AB：M|EKRaH(M)|EKRas T|IDA|KUa 2024/7/1470網(wǎng)絡(luò)與信息安全3 身份認(rèn)證身份認(rèn)證vKerberos認(rèn)證協(xié)議認(rèn)證協(xié)議Greek Kerberos：希臘神話中一種三頭狗，還有一個(gè)蛇形尾巴，是地獄之門(mén)的守衛(wèi)Mo

39、dern Kerberos：意指有三個(gè)組成部分的網(wǎng)絡(luò)之門(mén)的保衛(wèi)者?！叭^”包括：鑒別（authentication）簿記（accounting）審計(jì)（audit）2024/7/1471網(wǎng)絡(luò)與信息安全3 身份認(rèn)證身份認(rèn)證vKerberos認(rèn)證協(xié)議認(rèn)證協(xié)議80年代中期，是MIT的Athena工程的產(chǎn)物版本前三個(gè)版本僅用于內(nèi)部第四版得到了廣泛的應(yīng)用第五版于1989年開(kāi)始設(shè)計(jì)1993年確定為RFC 1510 標(biāo)準(zhǔn)Kerberos2024/7/1472網(wǎng)絡(luò)與信息安全3 身份認(rèn)證身份認(rèn)證vKerberos認(rèn)證協(xié)議認(rèn)證協(xié)議阻止非授權(quán)用戶獲得其無(wú)權(quán)訪問(wèn)的服務(wù)或數(shù)據(jù)在一個(gè)開(kāi)放的分布式網(wǎng)絡(luò)環(huán)境中，用戶通過(guò)工作站訪

40、問(wèn)服務(wù)器上提供的服務(wù)服務(wù)器應(yīng)能夠限制非授權(quán)用戶的訪問(wèn)并能夠?qū)Ψ?wù)的請(qǐng)求進(jìn)行認(rèn)證工作站無(wú)法可信地向網(wǎng)絡(luò)服務(wù)證實(shí)用戶的身份，即工作站存在三種威脅工作站上的用戶可能冒充另一個(gè)用戶操作用戶可能改變工作站的網(wǎng)絡(luò)地址，冒充另一臺(tái)工作站用戶可能竊聽(tīng)他人的信息交換，進(jìn)行回放攻擊2024/7/1473網(wǎng)絡(luò)與信息安全3 身份認(rèn)證身份認(rèn)證vKerberos認(rèn)證協(xié)議認(rèn)證協(xié)議Kerberos要解決的問(wèn)題分布式網(wǎng)絡(luò)中提供集中的第三方共享密鑰認(rèn)證 不是為每一個(gè)服務(wù)器構(gòu)造一個(gè)身份認(rèn)證協(xié)議提供一個(gè)中心認(rèn)證服務(wù)器提供用戶到服務(wù)器和服務(wù)器到用戶的認(rèn)證服務(wù)2024/7/1474網(wǎng)絡(luò)與信息安全3 身份認(rèn)證身份認(rèn)證vKerberos認(rèn)證

41、協(xié)議認(rèn)證協(xié)議Kerberos采用對(duì)稱加密算法現(xiàn)用版本：4&5Kerberos需求：安全性可靠性透明性可伸縮性2024/7/1475網(wǎng)絡(luò)與信息安全3 身份認(rèn)證身份認(rèn)證vKerberos認(rèn)證協(xié)議認(rèn)證協(xié)議兩種憑證Ticket（票據(jù)）一個(gè)記錄，客戶可以用它來(lái)向服務(wù)器證明自己的身份，其中包括客戶的標(biāo)識(shí)、會(huì)話密鑰、時(shí)間戳，以及其他一些信息。Ticket 中的大多數(shù)信息都被加密，密鑰為服務(wù)器的密鑰Authenticator（鑒別碼）一個(gè)記錄，用來(lái)證明票據(jù)的發(fā)送方就是票據(jù)的擁有者。其中包含一些最近產(chǎn)生的信息，產(chǎn)生這些信息需要用到客戶和服務(wù)器之間共享的會(huì)話密鑰2024/7/1476網(wǎng)絡(luò)與信息安全3 身份認(rèn)證身份

42、認(rèn)證vKerberos認(rèn)證協(xié)議認(rèn)證協(xié)議兩種認(rèn)證服務(wù)器鑒別服務(wù)器（AS）一個(gè)票據(jù)許可服務(wù)（TGS）多個(gè)協(xié)議使用時(shí)間戳需要時(shí)鐘同步2024/7/1477網(wǎng)絡(luò)與信息安全3 身份認(rèn)證身份認(rèn)證vKerberos認(rèn)證協(xié)議認(rèn)證協(xié)議Version 4IDc|IDtgs|TS1EKcKc,tgs|IDtgs|TS2|Lifetime2|TickettgsTickettgs=EktgsKc,tgs|IDc|ADc|IDtgs|TS2|Lifetime2IDv|Tickettgs|AuthenticatorcAuthenticatorc=EKc,tgsIDc|ADc|TS3EKc,tgsKc,v|IDv|TS4|T

43、icketvTicketv=EKvKc,v|IDc|ADc|IDv|TS4|Lifetime4Ticketv|AuthenticatorcAuthenticatorc=EKc,vIDc|ADc|TS5EKc,vTS5+12024/7/1478網(wǎng)絡(luò)與信息安全3 身份認(rèn)證身份認(rèn)證vKerberos域與多重域與多重Kerberos域域Kerberos域的組成（realm）一個(gè)Kerberos服務(wù)器注冊(cè)在該Kerberos服務(wù)器上的許多客戶與該Kerberos服務(wù)器共享密鑰的應(yīng)用服務(wù)器Kerberos域通常是單一的管理域?qū)τ诙嘀豄erberos域，它們的Kerberos服務(wù)器必須共享密鑰和互相信任每一

44、個(gè)域的Kerberos服務(wù)器與其它域內(nèi)的Kerberos服務(wù)器之間共享一個(gè)保密密鑰兩個(gè)Kerberos服務(wù)器互相注冊(cè)2024/7/1479網(wǎng)絡(luò)與信息安全3 身份認(rèn)證身份認(rèn)證vX.509認(rèn)證協(xié)議認(rèn)證協(xié)議OSI目錄檢索服務(wù)標(biāo)準(zhǔn)X.500首先公布于1988年，該標(biāo)準(zhǔn)中包括了一部分陳述認(rèn)證的標(biāo)準(zhǔn)，即ISO/IEC 9594-8或ITU-T X.509建議。根據(jù)分析的結(jié)果，1993年和1995年分別對(duì)X.509建議作了微小修改2024/7/1480網(wǎng)絡(luò)與信息安全3 身份認(rèn)證身份認(rèn)證vX.509認(rèn)證協(xié)議認(rèn)證協(xié)議單向認(rèn)證雙向認(rèn)證三向認(rèn)證2024/7/1481網(wǎng)絡(luò)與信息安全3 身份認(rèn)證身份認(rèn)證vX.509認(rèn)證協(xié)議認(rèn)證協(xié)議與Kerberos協(xié)議相比，X.509認(rèn)證協(xié)議的優(yōu)點(diǎn)X.509不需要物理上安全的在線服務(wù)器，因?yàn)橐粋€(gè)證書(shū)包含了一個(gè)認(rèn)證授權(quán)機(jī)構(gòu)的簽名公鑰證書(shū)可通過(guò)使用一個(gè)不可信的目錄服務(wù)被離線地分配X.509雙向認(rèn)證擁有Kerberos的缺陷，即依賴于時(shí)間戳，而三向認(rèn)證克服了這一缺陷2024/7/1482網(wǎng)絡(luò)與信息安全第五章第五章 數(shù)據(jù)保護(hù)技術(shù)數(shù)據(jù)保護(hù)技術(shù)v實(shí)驗(yàn)四實(shí)驗(yàn)四Hash算法密碼應(yīng)用v讀書(shū)報(bào)告候選二讀書(shū)報(bào)告候選二身份認(rèn)證2024/7/1483網(wǎng)絡(luò)與信息安全