当前位置:文档之家 › 第5章消息认证

第5章消息认证

  • 格式:ppt
  • 大小:1.54 MB
  • 文档页数:92

下载文档原格式

  / 92

合集下载

第五章 消息认证与身份认证

第五章 消息认证与身份认证

用户输入口令 以解密得到服 务申请凭证和 与TGS的会话密

Client
AS 用户信息
TGS
Kerberos服务器
鉴定用户身份, 如有效生成服 务许可凭证和
client与 server的会话
6
3
2009-10-26
单向散列函数的特点
单向散列函数 H(M)作用于一个任意长度的数据M, 它返回一个固定长度的散列h,其中h的长度为m,h 称为数据M的摘要。单向散列函数有以下特点:
Ø 给定M,很容易计算h; Ø 给定h,无法推算出M;
除了单向性的特点外,消息摘要还要求散列函数具有 “防碰撞性”的特点: Ø 给定M,很难找到另一个数据N,满足H(M)=H(N)。
12
6
2009-10-26
SHA安全散列算法
1992年NIST制定了SHA(128位) 1993年SHA成为标准(FIPS PUB 180) 1994年修改产生SHA-1(160位) 1995年SHA-1成为新的标准,作为SHA-1(FIPS PUB 1801/RFC 3174),为兼容AES的安全性,NIST发布FIPS PUB 180-2,标准化SHA-256, SHA-384和SHA-512 输入:消息长度<264 输出:160bit消息摘要 处理:以512bit输入数据块为单位 基础是MD4
信保密性、完整性
§ 认证服务(Authenticator service) § 票据发放服务(Ticket Granting Service) § 票据(Ticket)
• 是一种临时的证书,用tgs 或 应用服务器的密钥 加密
• TGS 票据 • 服务票据
§ 加密:
16
2009-10-26

消息认证的检验内容

消息认证的检验内容

消息认证的检验内容
消息认证是一种通过加密和验证技术来确保数据安全的方法。

在这种方法中,发送方使用密钥将消息编码,接收方使用相同的密钥进行解码和验证。

下面将详细介绍消息认证的检验内容。

1. 消息的完整性
消息的完整性是指消息在传输过程中没有被篡改。

发送方应该在发送消息时使用消息认证码来保证消息的完整性。

在接收方接收消息时,应该验证消息的完整性。

如果消息已被篡改,接收方将无法验证消息的完整性。

2. 消息的来源
消息的来源是指消息发送者的身份。

在消息认证中,发送方应该使用数字签名来验证其身份。

数字签名是通过将发送方的私钥与消息进行加密得到的。

在接收方接收消息时,应该使用发送方的公钥来验证消息的来源。

如果接收方无法验证消息的来源,它将无法确定消息是否来自所期望的发送方。

3. 消息的不可否认性
4. 密钥的保密性
消息认证中使用的密钥应该是保密的。

如果密钥泄露,攻击者可以使用该密钥来篡改消息,欺骗接收方。

因此,发送方和接收方应该采取措施来确保密钥的保密性。

5. 密钥的更新
为了保持消息认证的安全性,发送方和接收方需要定期更新密钥。

密钥更新应该在一定的时间间隔内进行,并且使用安全的方式来实现。

总之,消息认证是确保数据安全的重要方法,发送方和接收方应该采取相应的措施来确保消息的完整性,来源和不可否认性。

同时,密钥的保密性和更新也应得到重视。

信息安全概论第五章消息认证与数字签名

信息安全概论第五章消息认证与数字签名
6
5.1.1 信息加密认证
信息加密函数分两种,一种是常规的对称密钥加密函数, 另一种是公开密钥的双密钥加密函数。下图的通信双方 是,用户A为发信方,用户B为接收方。用户B接收到信 息后,通过解密来判决信息是否来自A, 信息是否是完 整的,有无窜扰。
1.对称密码体制加密: 对称加密:具有机密性,可认证,不提供签名
通常b>n
24
5.2.3
MD5算法
Ron Rivest于1990年提出了一个称为MD4的散列函数。 他的设计没有基于任何假设和密码体制,不久,他的 一些缺点也被提出。为了增强安全性和克服MD4的缺 陷, Rivest于1991年对MD4作了六点改进,并将改进 后的算法称为MD5. MD5算法:将明文按512比特进行分组,即MD5中的 b=512bit,经填充后信息长度为512的倍数(包括64 比特的消息长度)。 填充:首位为1,其余补0至满足要求,即填充后的比 特数为512的整数倍减去64,或使得填充后的数据长 度与448模512同余。
18
通过以下方式使用散列函数常提供消息认证
(1)使用对称加密算法对附加消息摘要的报文进行加密 A B: EK(M||H(M)) 提供保密、认证 (2)使用对称加密方法对消息摘要加密 A B: M||EK(H(M)) 提供认证 (3)使用发方的私钥对消息摘要进行加密 A B: M||EKRa(H(M)) 提供数字签名、认证 (4)在(3)的基础上,使用对称加密方法进行加密 A B: EK(M||EKa(H(M)) ) 提供数字签名、认证和保密 (5)假定双方共享一个秘密值S,与消息M串接,计算散 列值 A B: M||(H(M||S)) 提供认证 (6)假定双方共享一个秘密值S,使用散列函数,对称加 密方法 A B: EK(M||H(M||S)) 提供数字签名、认证和保密19

第5章消息认证087-资料

第5章消息认证087-资料

A
M
E
D
KUb
KRb
EKUb(M)
I. 普通加密
B
M
由于大家都知道B的公钥,所以这种方式不提 供认证,只提供加密。
2019/8/10
12
1 消息加密---在公钥加密体制下
A
M
E
D
KRa
KUa
EKRa (M)
II. 认证和签名
B
M
由于只有A有用于产生EKRa (M)的密钥,所以此方法 提供认证。
2019/8/10
27
3 Hash函数(杂凑函数、散列函数)
Hash的特点:
与消息认证码一样,hash函数的输入是可变的消息M,输 出是固定大小的hash码H(M) ,或称消息摘要(Message Digest) 、hash值。
与消息认证码不同的是, hash码的产生过程中并不使用 密钥。
14
2 消息认证码(MAC)
Message Authenticaion Code 消息认证码是消息和密钥的公开函数,它产
生定长的值,以该值作为认证符。 利用密钥和消息生成一个固定长度的短数据
块,并将其附加在消息之后。 通信双方共享密钥K
2019/8/10
15
2 消息认证码用于认证
认证用以确保报文发送者和接收者的真实性以及 报文的完整性,阻止对手的主动攻击,如冒充、 篡改、重播等。
认证往往是应用系统中安全保护的第一道防 线,极为重要。
2019/8/Байду номын сангаас0
3
基本思想
通过验证称谓者(人或事)的一个或多个参数的 真实性和有效性,来达到验证称谓者是否名 副其实的目的。

网络安全基础第三版课后完整答案

网络安全基础第三版课后完整答案

网络安全基础第三版课后完整答案加油计算机网络安全第一章:1、什么是OSI安全体系结构?安全攻击安全机制安全服务2、被动和主动安全威胁之间有什么不同?被动攻击的本质是窃听或监视数据传输;主动攻击包含数据流的改写和错误数据流的添加3列出并简要定义被动和主动安全攻击的分类?被动攻击:小树内容泄漏和流量分析;主动攻击:假冒,重放,改写消息,拒绝服务4、列出并简要定义安全服务的分类?认证,访问控制,数据机密性,数据完成性,不可抵赖性5、列出并简要定义安全机制的分类?加密,数字签名,访问控制,数据完整性,可信功能,安全标签,事件检测,安全审计跟踪,认证交换,流量填充,路由控制,公证,安全恢复。

第二章:1、对称密码的基本因素是什么?明文,加密算法,秘密密钥,密文,解密算法2、加密算法使用的两个基本功能是什么?替换和转换3、两个人通过对称密码通信需要多少个密钥?1个4、分组密码和流密码的区别是什么?流密码是一个比特一个比特的加密,分组密码是若干比特(定长)同时加密。

比如des是64比特的明文一次性加密成密文。

密码分析方面有很多不同。

比如流密码中,比特流的很多统计特性影响到算法的安全性。

密码实现方面有很多不同。

比如流密码通常是在特定硬件设备上实现。

分组密码既可以在硬件实现,也方便在计算机上软件实现。

5、攻击密码的两个通用方法是什么?密钥搜索和夯举方法6、什么是三重加密?在这种方式里,使用三个不同的密钥对数据块进行三次加密,三重DES 的强度大约和112-bit的密钥强度相当。

三重DES有四种模型。

(a)使用三个不同密钥,顺序进行三次加密变换(b)使用三个不同密钥,依次进行加密-解密-加密变换(c)其中密钥K1=K3,顺序进行三次加密变换(d)其中密钥K1=K3,依次进行加密-解密-加密变换7、为什么3DES的中间部分是解密而不是加密?3DES加密过程中的第二步使用的解密没有密码方面的意义。

它的唯一好处是让3DES的使用者能够解密原来单重DES使用者加密的数据8、链路层加密和端到端加密的区别是什么?对于链路层加密,每条易受攻击的通信链路都在其两端装备加密设备。

《消息认证》PPT课件

《消息认证》PPT课件

➢ MAC = EK(M)
➢ 攻击者选择M=(Y1,Y2,…,Yt-1,Yt),使得Yt满足:
Yt = Y1Y2…Yt-1M
➢ 于是M=MEK(M)=EK(M) CK(M)=CK(M)
➢ 所以,尽管攻击者不知精道选KPP,T 仍然可以伪造消息M
9
MAC算法的要求
▪ 条件:
➢ 攻击者知道MAC函数但不知道密钥K
精选PPT
23
hash函数模型图
Y0
Y1
b
b
IV= n
CV0
fn
CV1
n f
YL-1
b
n
nf
CVL
CVL-1
IV = initial value 初始值 CV = chaining value 链接值 Yi = ith input block (第i 个输入数据块) f = compression algorithm (压缩算法) n = length of hash code (散列码的长度) b = length of input block(输入块的长度)
30
Secure Hash Algorithm简介
▪ 1992年NIST制定了SHA(128位) ▪ 1993年SHA成为标准 ▪ 1994年修改产生SHA-1(160位) ▪ 1995年SHA-1成为新的标准 ▪ SHA-1要求输入消息长度<264 ▪ SHA-1的摘要长度为160位 ▪ 基础是MD4
M
||
M
HE
KRa私钥
EkRa(H(M))
H
D
Compare
KUa
数字签名机制
精选PPT
16
Hash函数的基本用途(d)

信息安全 第5章消息认证

信息安全 第5章消息认证


所以许多不同的密钥(约2k-n个),计算出来的MAC都 等于MAC1。这些密钥中哪一个是正确的密钥不得而 知。这时需要新的M-MAC对来测试这2k-n个密钥, 于是有如下的重复攻击:
重复攻击

Step 1:
给定M1和MAC1 = C k1 (M1) 对所有2k个密钥,判断MACi = C ki (M1) 匹配数约为: 2k-n
没有消息认证的通信系统是极为危险的
消息M
用户A 用户B
篡改、伪造、重放、冒充
恶意者C
消息认证(Message Authentication)
消息认证用于抗击主动攻击
验证接收消息的真实性和完整性 真实性
的确是由所声称的实体发过来的
完整性
未被篡改、插入和删除
验证消息的顺序性和时间性(未重排、重放

MD5 hash算法 MD5 Hash Algorithm
MD4是MD5杂凑算法的前身, 由Ron Rivest于1990年10月作为RFC 提出,1992年4月公布的MD4的改进 (RFC 1320,1321)称为MD5。
M E K EK(M) D K M
由于攻击者不知道密钥K,他也就不知道如何改变密文中的 信息位才能在明文中产生预期的改变。 接收方可以根据解密后的明文是否具有合理的语法结构来进 行消息认证。 但有时发送的明文本身并名优明显的语法结构或特征,例如 二进制文件,因此很难确定解密后的消息就是明文本身。
提供消息认证和保密性:
K2
A
M
E C
K1
||
C K1
C K 1 [ E K 2 ( M )]
D 比较 K2
B
A和B共享K1和K2 K1:用于生成MAC K2:用于加密

第5章 数字签名与认证技术

第5章 数字签名与认证技术
第5章 数字签名与认证技术
本章主要内容
5.1 数字签名
5.2 安全散列函数 5.3 认证技术
5.1 数字签名
5.1.1 数字签名概念
5.1.2 数字签名的实现过程 5.1.3 EIGamal数字签名算法
5.1.4 Schnorr数字签名算法
5.1.5 数字签名标准DSS
5.1.5 数字签名标准DSS
⑶ DSA与RSA在签名时的速度相同,但验证签名时 的速度DSA要慢10到40倍;
⑷ 密钥长度只有512位,由于DSA的安全性取决于
计算离散对数的难度,因此有很多密码学家对此 表示担心。NIST于1994年5月19日正式颁布了该标 准,并将密钥长度的规定改在512位至1024位之间 可变。
5.1.5 数字签名标准DSS
人们对DSS提出了很多意见,主要包括:
⑴ DSA不能用于加密和密钥分配; ⑵ DSA是由美国国家安全局NSA研制的,因为有人对
NSA不信任,怀疑其中可能存在陷门,特别是NIST一开 始声称DSA是他们自己设计的,后来表示得到了NSA的 帮助,最后承认该算法的确是由NSA设计的;DSA算法 未经过公开选择阶段,未公开足够长的时间以便人们 分析其完全强度和弱点;
5.1.1 数字签名概念
数字签名是网络中进行安全交易的基础,数字签名不
仅可以保证信息的完整性和信息源的可靠性,而且可 以防止通信双方的欺骗和抵赖行为。虽然报文认证能 够保证通信双方免受任何第三方的攻击,然而却不能 保护通信双方中的一方防止另一方的欺骗和伪造。
5.1.1 数字签名概念
例如,当用户A和用户B进行通信时,若未使用数字签
5.1.4 Schnorr数字签名算法
Schnorr数字签名算法的目标是将生成签名所需的报文

第5章-身份认证-电子课件

第5章-身份认证-电子课件

2020/6/16
5
图5.1 身份认证的过程
2020/6/16
6
5.1.1身份认证技术的基本概念
3. 认证技术的类型 认证技术是用户身份鉴别确认的重要手段,也是网络系 统安全中的一项重要内容。从鉴别对象上可以分为两种:消 息认证和用户身份认证。
消息认证:用于保证信息的完整性和不可否认性。通常 用来检测主机收到的信息是否完整,以及检测信息在传递过 程中是否被修改或伪造。
2020/6/16
8
5.1.2基于信息秘密的身份认证
基于信息秘密的身份认证是根据双方共同所知道的秘密 信息来证明用户的身份(what you know),并通过对秘密 信息进行鉴别来验证身份。例如,基于口令、密钥、IP地址 、MAC地址等身份因素的身份认证。主要包括:
1.网络身份证 网络身份证即虚拟身份电子标识VIEID(Virtual identity electronic identification)技术。就是在网络上可以证明一 个人身份及存在的虚拟证件。VIEID是网络身份证的工具或 服务协议,也是未来互联网络基础设施的基本构成之一。
身份认证:鉴别用户身份。包括识别和验证两部分内容 。其中,识别是鉴别访问者的身份,验证是对访问者身份的 合法性进行确认。
2020/6/16
7
5.1.1身份认证技术的基本概念
4.常见的身份认证技术 在现实世界中,对用户的身份认证基本方法可以分为三种:
(1)基于信息秘密的身份认证:就是根据你所知道的信息 来证明你的身份(what you know你知道什么);
2020/6/16
18
5.1.4基于生物特征的身份认证
认证系统测量的生物特征是指唯一的可以测量或可自动 识别和验证的生理特征或行为方式。使用传感器或者扫描仪 来读取生物的特征信息,将读取的信息和用户在数据库中的 特征信息比对,如果一致则通过认证。

信息安全考试重点

信息安全考试重点

第1章信息安全概述1.被动攻击:攻击者在未被授权的情况下,非法获取信息或数据文件,但不对数据信息作任何修改。

被动攻击手段:搭线监听、无线截获、其他截获、流量分析阻止被动攻击:加密对付被动攻击的重点是预防,不是检测被动攻击使得机密信息被泄露,破坏了信息的机密性2.主动攻击:包括对数据流进行篡改或伪造主动攻击四种类型:伪装、重放、消息篡改、拒绝服务伪装、重放、消息篡改,破坏了信息的完整性,拒绝服务,破坏了信息系统的可用性3.信息安全的目标:机密性:Confidentiality,指保证信息不被非授权访问。

完整性:Integrity,指信息在生成、传输、存储和使用过程中不应被第三方篡改。

可用性:Availability,指授权用户可以根据需要随时访问所需信息。

其它信息安全性质:可靠性,不可抵赖性,可审查性,可控性4.信息安全基础研究的主要内容:密码学研究和网络信息安全基础理论研究密码理论是信息安全的基础,信息安全的机密性,完整性和抗否认性都依赖密码算法密码学的主要研究内容是:加密算法(保护信息机密性)消息认证算法(保护信息的完整性)数字签名算法(保护信息的抗否认性)密钥管理5.网络攻击方式:①泄密:将消息透露给未被授权的任何人或程序②传输分析:分析通信双方的通信模式③伪装:欺诈源向网络中插入一条消息④内容修改:对消息内容进行插入、删除、转换或修改⑤顺序修改:对通信双方的消息顺序进行插入、删除或重新排序⑥计时修改:对消息的延时和重放⑦发送方否认:发送方否认发过来某消息⑧接收方否认:接收方否认接收到某消息6.安全理论的主要内容:身份认证、授权和访问控制、安全审计和安全协议7.安全技术:防火墙技术、漏洞扫描和分析、入侵检测、防病毒等8.平台安全:物理安全、网络安全、系统安全、数据安全、用户安全和边界安全物理安全是指保障信息网络物理设备不受物理损害,或是损坏时能及时修复或替换,通常是针对设备的自然损害、人为破坏或灾害损害而提出的网络安全的目标是防止针对网络平台的实现和访问模式的安全威胁9.信息安全管理研究:①安全策略研究,主要内容包括安全风险评估、安全代价评估、安全机制的制定以及安全措施的实施和管理等安全策略是安全系统设计、实施、管理和评估的依据②安全标准研究,主要内容包括安全等级划分、安全技术操作标准、安全体系结构标准、安全产品测评标准和安全工程实施标准等③安全测评研究,主要内容有测评模型、测评方法、测评工具、测评规程等第2章密码学基础1.研究各种加密方案的学科称为密码编码学,加密方案则被称为密码体制或者密码,研究破译密码的学科称为密码分析学数据安全基于密钥而不是算法的保密,也就是说,对于一个密码体制,其算法是可以公开的,但具体对于某次加密过程中所使用的密钥则是保密的2.根据密钥的使用方式分类:对称密码体制(秘密钥密码体制)和非对称密码体制(公钥密码体制)对称密码体制分为两类:序列密码或流密码,分组密码3.攻击密码体制一般有两种方法:密码分析和穷举攻击穷举攻击是指攻击者对一条密文尝试所有可能的密钥,直到把它转化成为可读的有意义明文如果无论有多少可以使用的密文,都不足以唯一地确定在该体制下地密文所对应的明文,则此加密体制是无条件安全的5.加密算法应该至少满足下面的两个条件之一:①破译密码的代价超出密文信息的价值②破译密码的时间超出密文信息的有效期满足上述两个条件之一的密码体制被称为在计算上是安全的第3章对称密码体制1.雪崩效应:明文或密钥的微小改变将对密文产生很大的影响2.弱密钥:DES算法在每次迭代时都有一个子密钥供加密用,如果一个外部密钥所产生的所有子密钥都是一样的,则这个密钥就称为弱密钥。

第5章身份认证

第5章身份认证

控制器的认证,容易导致瓶颈。
NTLM-Protocol Domain: Wonderland Username: Alice Password: 2Uh7& Alice f68ba0537 User Alice 51ff1d83 Server Challenge: f68ba0537 Alice, f68ba0537, 51ff1d83 OK Domain Controller (DC) E(f68ba0537, KeyA)=51ff1d83 Comparison with 51ff1d83-ok? User Alice: KeyA
作生物特征测定。生物特征测定方法的优点是不需要
像口令和密码那样有记忆负担,而且相同的特征可以 在任何地方使用,缺点是生物特征认证系统价格较为
昂贵。图5-3给出了一些“所是”型身份认证的例子。
Fingerprint
Iris/Retina Scanning
Voice
Face
图5-3 “所是”型身份认证
H(2Uh7&)=KeyA E(f68ba0537, KeyA)=51ff1d83 H: Hash function E(x, k): Encryption of x with key k
• Windows NT LAN Manager is a proprietary Microsoft scheme. • Typical example of a Challenge-Response protocol.
(1) 示证者所知道的秘密(What you know,所知)。
如口令、密码、身份证号码、个人识别码(PIN)、出生 日期等,如图5-1所示。 (2) 示证者所拥有的信物(What you have,所有), 如证章、信用卡、ID卡、证书、密钥盘等,如图5-2所 示。

举例说明消息认证的三种方法

举例说明消息认证的三种方法

举例说明消息认证的三种方法消息认证是确保消息的完整性、真实性和不可否认性的重要手段。

下面就来举例说明消息认证的三种方法。

第一种方法是基于密码的消息认证码。

它的步骤呢,就是发送方和接收方共享一个密钥,发送方利用这个密钥和要发送的消息计算出一个认证码,然后将消息和认证码一起发送给接收方。

接收方收到后,用同样的密钥和收到的消息计算出认证码,与接收到的认证码进行比较。

这其中要注意密钥的安全性,可不能轻易泄露呀!在这个过程中,只要密钥不被破解,那安全性可是相当高的呀,稳定性也很不错呢。

这种方法适用于很多场景,比如网络通信中对数据的认证。

想想看,要是没有它,那网络上的信息还不知道会乱成啥样呢!比如说在网上银行转账时,利用这种方法就能保证交易信息的准确无误,不会被篡改。

第二种方法是数字签名。

这就好像是给消息盖上一个独一无二的印章!发送方用自己的私钥对消息进行处理,得到数字签名,接收方用发送方的公钥来验证签名的真实性。

这里面的关键就是保护好私钥哦!这过程的安全性那是杠杠的,稳定性也没得说。

它的应用场景也很多呀,比如电子合同的签署,这多靠谱呀!就好像你签了一份重要合同,别人想假冒可没那么容易。

第三种方法是哈希函数。

发送方对消息计算哈希值,然后把消息和哈希值一起发送,接收方收到后重新计算哈希值进行比较。

这个简单又好用呢!注意哈希函数的选择要合适哦。

它的安全性和稳定性也不错呢。

常用于文件完整性的验证,你想想,下载一个大文件,用它来验证一下是不是完整的,多放心呀!就拿我们平时用的手机支付来说吧,这里面肯定用到了消息认证的方法呀,不然我们怎么能放心地付钱呢?正是因为有了这些可靠的消息认证方法,我们的信息安全和交易安全才有了保障呀!所以说呀,消息认证真的是太重要啦!消息认证就是我们信息世界的守护神呀,保护着我们的信息不被侵犯,让我们能安心地在信息的海洋里遨游!。

信息安全技术05章

信息安全技术05章

信息安全技术05章第五章认证技术现代密码的两个最重要的分⽀就是加密和认证。

加密的⽬的是防⽌敌⽅获得机密信息。

认证则是为了防⽌敌⽅的主动攻击,包括验证信息真伪及防⽌信息在通信过程中被篡改、删除、插⼊、伪造、延迟及重放等。

认证主要包括三个⽅⾯:消息认证、⾝份验证和数字签名。

上⼀章介绍了数字签名技术,本章将对认证技术的另外两个⽅⾯进⾏介绍。

5.1 消息认证⽹络安全所⾯临的基本攻击类型,包括:被动攻击(获取消息的内容、进⾏业务流分析)主动攻击(假冒、重放、消息的篡改、业务拒绝)。

抗击被动攻击的⽅法是加密,抗击主动攻击的⽅法则是消息认证。

消息认证是⼀个过程,⽤以验证接收消息的真实性(的确是由它所声称的实体发来的)和完整性(未被篡改、插⼊、删除),同时还⽤于验证消息的顺序性和时间性(未重排、重放、延迟)。

除此之外,在考虑⽹络安全时还需考虑业务的不可否认性,即防⽌通信双⽅中的其⼀⽅对所传输消息的否认。

实现消息的不可否认性可通过数字签字,数字签字也是⼀种认证技术,也可⽤于抗击主动攻击。

5.1.1 消息认证的模式5.1.2 认证函数消息认证机制和数字签字机制都有⼀产⽣认证符的基本功能,这⼀基本功能⼜作为认证协议的⼀个组成成分。

认证符是⽤于认证消息的数值,它的产⽣⽅汉⼜分为消息加密、消息认证码MAC(Message Authentication Code)、杂凑函数(Hash Function)三⼤类,下⾯分别介绍。

1.消息加密(Message Encryption Function):消息加密产⽣认证符是指将消息加密后的密⽂作为认证符,其⽤法⼜根据单钥加密还是公钥加密有所不同。

1)单钥加密图5.1表⽰消息M的发送⽅A根据单钥加密算法以与接收⽅B 共享的密钥K对消息加密后发往B。

第三⽅不知密钥K就不能恢复消息的明⽂,因此系统提供了保密性。

图5.1单钥消息加密:保密性和认证性该系统还向B保证所收到的消息的确来⾃A,因为只有A知道密钥K。

信息安全实际原理及具体应用第5章消息认证

信息安全实际原理及具体应用第5章消息认证
• 因此,认证函数比加密函数更不易被攻破,因为即 便攻破也无法验证其正确性。关键就在于加密函数 是一对一的,而认证函数是多对一的。
消息认证码的基本用途
• 只提供消息认证,不提供保密性。(见前) • 提供消息认证和保密性:
A
B
MKC||KE KDCM KC 比较 1
2 2 EK2[M || CK1 (M )]
– 与消息认证码不同的是, hash码的产生过程中并不使用 密钥。
– Hash码是所有消息的函数,改变消息的任何一位或多位, 都会导致hash码的改变。
– Hash算法通常是公开的。 – 又称为:哈希函数、数字指纹(Digital finger print)、压
缩(Compression)函数、紧缩(Contraction )函数、 数据鉴别码DAC(Data authentication code)、篡改 检验码MDC(Manipulation detection code)
• 平均来讲,若k=x*n,则需x次循环才能找到正确的密钥。 • 所以,用穷举法攻破MAC比攻破加密算法要困难得多。
对MAC的攻击—攻击算法
• 考虑下面的算法:
消息M=(X1‖X2‖…‖Xm)是由64比特长的分组Xi(i=1,…,m)链接而成 MAC算法是:
(M ) X1 X2 Xm
CK (M ) EK (M )
消息认证码用于认证
MMCKA比C 较
• A和B共享密钥K • A计算MAC=Ck(M),
• M和MAC一起发送
到B
• B对收到的M,计算 MAC,比较两个 MAC是否相同。
如果两个MAC相等,则:
1. 接收方可以相信消息未被修改,因为如果攻击者改变了消 息,由于不知道k,无法生成正确的MAC。

信息安全概论课后答案解析

信息安全概论课后答案解析

_四45五3六57十4十一34十二47没做“信息安全理论与技术”习题及答案教材:《信息安全概论》段云所,魏仕民,唐礼勇,陈钟,高等教育出版社第一章概述(习题一,p11)1.信息安全的目标是什么?答:信息安全的目标是保护信息的机密性、完整性、抗否认性和可用性;也有观点认为是机密性、完整性和可用性,即CIA(Confidentiality,Integrity,Availability)。

机密性(Confidentiality)是指保证信息不被非授权访问;即使非授权用户得到信息也无法知晓信息内容,因而不能使用完整性(Integrity)是指维护信息的一致性,即信息在生成、传输、存储和使用过程中不应发生人为或非人为的非授权簒改。

抗否认性(Non-repudiation)是指能保障用户无法在事后否认曾经对信息进行的生成、签发、接收等行为,是针对通信各方信息真实同一性的安全要求。

可用性(Availability)是指保障信息资源随时可提供服务的特性。

即授权用户根据需要可以随时访问所需信息。

2.简述信息安全的学科体系。

解:信息安全是一门交叉学科,涉及多方面的理论和应用知识。

除了数学、通信、计算机等自然科学外,还涉及法律、心理学等社会科学。

信息安全研究大致可以分为基础理论研究、应用技术研究、安全管理研究等。

信息安全研究包括密码研究、安全理论研究;应用技术研究包括安全实现技术、安全平台技术研究;安全管理研究包括安全标准、安全策略、安全测评等。

3. 信息安全的理论、技术和应用是什么关系?如何体现?答:信息安全理论为信息安全技术和应用提供理论依据。

信息安全技术是信息安全理论的体现,并为信息安全应用提供技术依据。

信息安全应用是信息安全理论和技术的具体实践。

它们之间的关系通过安全平台和安全管理来体现。

安全理论的研究成果为建设安全平台提供理论依据。

安全技术的研究成果直接为平台安全防护和检测提供技术依据。

平台安全不仅涉及物理安全、网络安全、系统安全、数据安全和边界安全,还包括用户行为的安全,安全管理包括安全标准、安全策略、安全测评等。

网络信息安全消息认证培训资料PPT课件( 42页)

网络信息安全消息认证培训资料PPT课件( 42页)

SHA-1算法
结构与MD5类似 第一步:pading
与MD5相同,补齐到512的倍数
第二步
分块
第三步
初始化MD buffer,160位常量(5个字) 进入循环,160输入+512输入-〉160输出
第四步
最后的输出为SHA-1的结果
压缩函数
每一轮中20步的每一步运算结构
MD5 算法
作者:Ron Rivest 算法
输入:任意长度的消息 输出:128位消息摘要 处理:以512位输入数据块为单位 采纳位标准:RFC1321
MD5: 示意图
MD5步骤
第一步:padding
补长到512的倍数 最后64位为消息长度的低64位 一定要补长(64+1~64+512),内容为100…0
CK(M)均匀分布:随机选择M和M, Pr[CK(M) = CK(M)]=2-|MAC|
f是M的一个变换(例如对某些位取反),那么, Pr[CK(M)= CK(f(M))]=2-|MAC|
MAC based on DES
ANSI标准(X9.17)
算法:
即为CBC模式结构,初始向 量为0
把原始消息M分成一些固定长度的块Yi 最后一块padding并使其包含消息M的长度 设定初始值CV0 压缩函数f, CVi=f(CVi-1,Yi-1) 最后一个CVi为hash值
hash函数模型图
Y0
Y1
b
b
IV= n
CV0
fn
CV1
n f
YL-1
b
n
nf
CVL
CVL-1
IV = initial value 初始值 CV = chaining value 链接值 Yi = ith input block (第i 个输入数据块) f = compression algorithm (压缩算法) n = length of hash code (散列码的长度) b = length of input block(输入块的长度)

信息安全概论复习材料

信息安全概论复习材料

第一章:1、机密性:是指保证信息不被非授权访问;即使非授权用户得到信息也无法知晓信息内容,因而不能使用。

通常通过访问控制阻止非授权用户获得机密信息,通过加密交换阻止非授权用户获知信息内容。

2、完整性:完整性是指维护信息的一致性,即信息在生成、传输、存储和使用过程中不应发生认为或非人为的非授权篡改。

一般通过访问控制阻止篡改行为,同时通过信息摘要算法来检测信息是否被篡改。

3、抗否认性:抗否认性是指能保障用户无法在事后否认曾今对信息进行的生成、签发、接受等行为,是针对通信各方信息真实同一性的平安要求。

一般通过数字签名来提供抗否认效劳。

4、可用性:可用性是指保障信息资源随时可提供效劳的特性,即授权用户根据需要可以随时访问所需信息。

可用性是信息资源效劳功能和性能可靠性的度量,设计物理、网络、系统、数据、应用和用户等多方面的因素,是对信息网络总体可靠性的要求。

可靠性的要求。

5、身份认证:是指验证用户身份与其所声称的身份是否一致的过程。

最常见的身份认证是口令认证。

6、授权和访问控制的区别:授权侧重于强调用户拥有什么样的访问权限,这种权限是系统预先设定的,并不关心用户是否发出访问请求;而访问控制是对用户访问行为进行控制,它将用户的访问行为控制在授权允许的范围之内,因此,也可以说,访问控制是在用户发起访问请求是才起作用的。

7、物理平安:物理平安是指保障信息网络物理设备不受物理损坏,或是损坏时能及时修复和替换。

8、经典信息平安:通常采用一些简单的替代和置换来保护信息。

9、现代密码理论的标志性成果是DES算法和RSA算法。

第二章:1、密码学:研究如何实现秘密通信的科学,包括两个分支,即密码编码学和密码分析学。

2、加密和加密算法:对需要保密的信息进行编码的过程称为加密,编码的规那么称为加密算法。

3、密码系统从原理上分为两大类,即单密钥系统和双密钥系统。

单密钥系统又称为对称密码系统或秘密密钥密码系统,单密钥系统的加密密钥和解密密钥相同,或者实质上等同。

信息安全 第5章消息认证

信息安全 第5章消息认证

内部错误控制
M M F
E
K
E K [ M || F ( M )]
D
K
M FCS
F
比较
FCS
根据明文M和公开的函数F产生FCS,即错误检测码, 或帧校验序列,校验和。 把M和FCS合在一起加密,并传输。 接收端把密文解密,得到M。 根据得到的M,按照F计算FCS,并与接收到的FCS 比较是否相等。

Step 2:
给定M2和MAC2 = C k2 (M1) 对所有2k个密钥,判断MACi = C ki (M2) 匹配数约为: 2k-2n

平均来讲,若k=x*n,则需x次循环才能找到正确的密钥。 所以,用穷举法攻破MAC比攻破加密算法要困难得多。
对MAC的攻击—攻击算法

考虑下面的算法:
f
n IV=CV0 CV1
n
f
n
n CVL-1
f
CVL n
无碰撞压缩函 数f是设计的 关键
迭代型hash函数
这种结构的hash函数已被证明是合理的,如果采用 其他结构,不一定安全。 设计新的hash函数只是改进这种结构,或者增加 hash码长。 算法的核心技术是设计无碰撞的压缩函数f,而敌手 对算法的攻击重点是f 的内部结构,由于f 和分组密 码一样是由若干轮处理过程组成,所以对f 的攻击 需通过对各轮之间的位模式的分析来进行,分析过 程常常需要先找出f 的碰撞。由于f 是压缩函数,其 碰撞是不可避免的,因此在设计f 时就应保证找出 其碰撞在计算上是不可行的。

消息认证码的基本用途
只提供消息认证,不提供保密性。(见前)
提供消息认证和保密性:
A
M C K1
  1. 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
  2. 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
  3. 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
生定长的值,以该值作为认证符。 ❖ 利用密钥和消息生成一个固定长度的短数据
块,并将其附加在消息之后。 ❖ 通信双方共享密钥K
❖ A MAC, also known as a cryptographic checksum(密码校验和) , is generated by a function C of the form:MAC = C(K, M)
❖ Where:
M is a variable-length message
K is a secret key shared only by sender and receiver
MAC is the fixed-length authenticator.
❖ The MAC is appended to the message at the source at a time when the message is assumed or known to be correct.
K
❖ 接收方可以根据解密后的明文是否具有合理的语法 结构来进行消息认证。
❖ 但有时发送的明文本身并名优明显的语法结构或特 征,例如二进制文件,因此很难确定解密后的消息 就是明文本身。
内部错误控制
M
E
M
F FCS K
D
M
K
FCS
F 比较
EK [M || F (M )]
❖ 根据明文M和公开的函数F产生FCS,即错误检测码, 或帧校验序列,校验和。
消息加密认证---在公钥加密体制下
A
M
E
E
D
D
KUb
KRa
KUa
KUa
EKUb (M)
EKRa(EKUb (M)) EKRa (M)
B
M
III. 加密认证和签名
❖ 提供认证和加密。
❖ 一次通信中要执行四次复杂的公钥算法。
把加密与认证分开
❖ There are a number of applications in which the same message is broadcast to a number of destinations.
MAC是否相同。
如果两个MAC相等,则:
1. 接收方可以相信消息未被修改,因为如果攻击者改变了消 息,由于不知道k,无法生成正确的MAC。
2. 接收方可以相信消息的确来自确定的发送方。因为其他人 不能生成和原始消息相应的MAC。
MAC函数与加密函数的区别
❖ MAC函数与加密函数类似,都需要明文、密钥和 算法的参与。
K2
AM
E
||
C
D
C
B
比较 K2
K1
K1
CK1 [EK2 (M )]
A和B共享K1和K2 K1:用于生成MAC K2:用于加密
与密文有关的认证
5.3.2 消息认证码的安全性
❖攻击密钥 ❖攻击算法
对MAC的攻击—攻击密钥
❖ 已知消息M1和MAC算法C,以及MAC1 = C k1 (M1) , 现要破解k1。密钥为k个bit,MAC为n个bit。
❖ 当k>n: 可能的密钥个数为2k。可能的MAC个数为2n个。
所以许多不同的密钥(约2k-n个),计算出来的MAC都 等于MAC1。这些密钥中哪一个是正确的密钥不得而 知。这时需要新的M-MAC对来测试这2k-n个密钥, 于是有如下的重复攻击:
重复攻击
❖ Step 1:
给定M1和MAC1 = C k1 (M1)
第5章 消息认证
主要内容
❖ 消息认证基本概念 ❖ 消息加密认证 ❖ 消息认证码 ❖ hash函数
5.1 消息认证基本概念
❖ 认证(Authentication):即鉴别、确认,它是 证实某事是否名副其实,或是否有效的一个 过程。
❖ 认证与加密的区别:
加密用以确保数据的保密性,阻止对手的被动攻 击,如截取、窃听。
消息认证码的基本用途
❖ 只提供消息认证,不提供保密性。(见前) ❖ 提供消息认证和保密性:
AM
|| C K1
E
D
M
K2
K2
EK2 [M || CK1 (M )] CK(M)
C
B
比较
K1
A和B共享K1和K2 K1:用于生成MAC K2:用于加密
与明文有关的认证
消息认证码的基本用途
❖ 提供消息认证和保密性:
❖ Separation of authentication and confidentiality functions affords architectural flexibility.
5.3 消息认证码(MAC)
❖ Message Authenticaion Code ❖ 消息认证码是消息和密钥的公开函数,它产
= Δ(M)
所以:CK(M)=CK(M’) 通过了验证,攻击得逞。
MAC函数应具有的性质
❖ 若攻击者已知M和CK(M),则他构造满足:
CK(M)=CK(M’)的消息M’在计算上不可行 ❖ CK(M)应是均匀分布的,即对于随机消息M和M’,
CK(M)=CK(M’)的概率是2-n,n是MAC的位数 ❖ 若M’是M的某个变换,即M’=f(M),那么
❖ The receiver authenticates that message by recomputing the MAC.
消息认证码用于认证
M C K
K
❖ A和B共享密钥K
C
MAC ❖ A计算MAC=Ck(M),
比较
❖ M和MAC一起发送 到B
MAC
❖ B对收到的M,计算 MAC,比较两个
5.2 消息加密认证
❖ 对称密码实现消息加密认证 ❖ 公钥密码实现消息加密认证
消息加密认证---在对称加密体制下
M E
K
M EK(M)
M
D M
K
❖ 由于攻击者不知道密钥K,他也就不知道如何 改变密文中的信息位才能在明文中产生预期 的改变。
消息加密认证---在对称加密体制下
E M
K
EK(M)
D M
消息M 不定长
h=H(M)
H() 散列值h,一般为
128或160位
❖ 假定两次输入同样的数据,那么散列函数应该能够 生成相同的散列值。输入数据中的一位发生了变化, 会导致生成的散列值完全不一样。
❖ The receiver has a heavy load and cannot afford the time to decrypt all incoming messages.
❖ For some applications, it may not be of concern to keep messages secret, but it is important to authenticate messages.
消息认证的基本概念
❖ 消息认证:验证所收到的消息和该消息被发送时是 否相同,即是否被修改过。
❖ 认证符(authenticator):一个用来认证消息的值。由 消息的发送方产生认证符,并传递给接收方。
❖ 认证函数:产生认证符的函数,认证函数实际上代 表了一种产生认证符的方法。
消息加密(Message encryption ) 消息认证码(Message authentication code ,MAC) Hash函数(Hash function )
认证用以确保报文发送者和接受者的真实性以及 报文的完整性,阻止பைடு நூலகம்手的主动攻击,如冒充、 篡改、重播等。
❖ 认证往往是应用系统中安全保护的第一道防 线,极为重要。
基本思想
❖ 通过验证称谓者(人或事)的一个或多个参数的 真实性和有效性,来达到验证称谓者是否名 副其实的目的。
❖ 常用的参数有:口令、标识符、密钥、信物、 智能卡、指纹、视网纹等。
O1 EK (D1) O2 EK (D2 O1) O3 EK (D3 O2 )
ON EK (DN ON 1)
DAC M-bits (16 to 64 bits)
数据认证算法似乎 可以满足前面提出 的要求。
5.4 Hash函数(杂凑函数、散列函数)
❖ Hash的特点:
与消息认证码一样,hash函数的输入是可变的消息M, 输出是固定大小的hash码H(M) ,或称消息摘要 (Message Digest) 、hash值。
❖ 利用人的生理特征参数进行认证的安全性高, 但技术要求也高,至今尚未普及。目前广泛 应用的还是基于密码的认证技术。
没有消息认证的通信系统是极为危险的
消息M
用户A
用户B 篡改、伪造、重放、冒充
恶意者C
消息认证(Message Authentication)
❖ 消息认证用于抗击主动攻击 ❖ 验证接收消息的完整性 ❖ 完整性
❖ 但攻击者可以改变M的内容,却使MAC正确。 方法如下:
❖ 用Y1替换X1 , Y2替换X2 ,…, Ym替换Xm ,其中 Y1 ,Y2 , … ,Ym 是攻击者编造的假消息。且
Ym = Y1 Y2 … Ym-1 Δ(M), ❖ 当接收者收到这个消息: M’=(Y1‖Y2‖…‖Ym)
则Δ(M’)= Y1 Y2 … Ym
❖ 但MAC算法不要求可逆性,而加密算法必须是可 逆的。
❖ 例如:使用100比特的消息和10比特的MAC,那 么总共有2100个不同的消息,但仅有210个不同的 MAC。也就是说,平均每290个消息使用的MAC是 相同的。
❖ 因此,认证函数比加密函数更不易被攻破,因为即 便攻破也无法验证其正确性。关键就在于加密函数 是一对一的,而认证函数是多对一的。
未被篡改、插入和删除
❖ 验证消息的顺序性和时间性(未重排、重放 和延迟)