北航-第四章-鉴别技术和访问控制

整理文档很辛苦,赏杯茶钱您下走!

免费阅读已结束,点击下载阅读编辑剩下 ...

阅读已结束,您可以下载文档离线阅读编辑

资源描述

2012计算机网络安全概论1第四章鉴别技术和访问控制2012计算机网络安全概论2鉴别服务鉴别目的:证实信息交换过程的有效性和合法性的一种手段,主要有以下方面:证实收到信息的真实性证实存储数据的真实性证实发送信息的真实性证实信息的时效性证实对方的真实性使接收方的活动可审计与仲裁提供第三方公证的可能性2012计算机网络安全概论3鉴别服务功能防窃听了解后续通信中冒充某一方所需要的信息了解在后续的通信活动中向第三方冒充所需的信息了解进行脱机的口令分析所需的信息防止冒充一方发起信息交换与拦截使对方相信他的冒充身份了解进行脱机的口令分析所需的信息获得以后可用于冒充的信息获得以后向被冒充者冒充另一方所需的信息哄骗另一方为他对某个信息进行签名或解密2012计算机网络安全概论4鉴别服务功能(续)防止窃取一方安全信息对被窃信息方进行冒充对通信双方过去交换的信息进行解密防止在通信信道上进行拦截获得可进行脱机口令分析的信息偷换通信内容让对方察觉冒充一方而不让另一方察觉2012计算机网络安全概论5回顾:信息安全的需求保密性Confidentiality完整性Integrity系统完整性数据完整性真实性authenticity鉴别–消息认证–身份认证:验证真实身份和所声称身份相符的过程可用性Availability……2012计算机网络安全概论6消息认证在网络通信中,有一些针对消息内容的攻击方法伪造消息窜改消息内容改变消息顺序消息重放或者延迟消息认证:对收到的消息进行验证,证明确实是来自声称的发送方,并且没有被修改过。如果在消息中加入时间及顺序信息,则可以完成对时间和顺序的认证2012计算机网络安全概论7消息认证的三种方式Messageencryption:用整个消息的密文作为认证标识接收方必须能够识别错误MAC:一个公开函数,加上一个密钥产生一个固定长度的值作为认证标识Hashfunction:一个公开函数将任意长度的消息映射到一个固定长度的散列值,作为认证标识2012计算机网络安全概论8MessageAuthenticationCode使用一个双方共享的秘密密钥生成一个固定大小的小数据块,并加入到消息中,称MAC,或密码校验和(cryptographicchecksum)用户A和用户B,共享密钥K,对于消息M,MAC=CK(M)如果接收方计算的MAC与收到的MAC匹配,则接收者可以确信消息M未被改变接收者可以确信消息来自所声称的发送者如果消息中含有序列号,则可以保证正确的消息顺序MAC函数类似于加密函数,但不需要可逆性。因此在数学上比加密算法被攻击的弱点要少2012计算机网络安全概论9MAC应用方式MC||CKKCompareMCk(M)2012计算机网络安全概论10关于MAC算法MAC不等于数字签名因为通讯双方共享同一个密钥MAC有固定的长度MAC结构的重要性,例如,密钥足够长+加密算法足够好安全M=(X1,X2,…,Xt)对M产生校验核M=X1X2…XtMAC=EK(M)攻击者选择M=(Y1,Y2,…,Yt-1,Yt),使得Yt满足:Yt=Y1Y2…Yt-1M于是M=MEK(M)=EK(M)CK(M)=CK(M)所以,尽管攻击者不知道K,仍然可以伪造消息M2012计算机网络安全概论11MAC算法的要求条件:攻击者知道MAC函数但不知道密钥K要求:已知M和CK(M),要想构造M使得CK(M)=CK(M)在计算上不可行(计算上无碰撞)CK(M)均匀分布:随机选择M和M,Pr[CK(M)=CK(M)]=2-|MAC|f是M的一个变换(例如对某些位取反),那么,Pr[CK(M)=CK(f(M))]=2-|MAC|2012计算机网络安全概论12MACbasedonDESANSI标准(X9.17)即为CBC模式结构,初始向量为0该方法适用于其他加密算法算法:M=(X1,X2,…,Xt)M1=EK(X1)Mj+1=EK(Xj+1Mj),1jtMAC=Mt2012计算机网络安全概论13消息摘要和函数在通信过程中,信息的完整性是信息安全保证的重要指标。所谓信息完整性是指信息在存储和传输过程中不被非法篡改、破坏、增删,能真实无误地到达目的地的特性。消息摘要是保证信息完整性的基本技术之一,函数则是消息摘要技术的核心内容。Hash函数的概念和基本原理两个典型的Hash算法:MD5算法和SHA-1算法消息摘要的生成和验证过程2012计算机网络安全概论14Hash函数的概念和原理Hash函数是把可变长输入数据转换成固定长度输出数据的一种函数这个定长的输出数据称为输入数据的消息摘要,也称为散列值、哈希值或数字指纹函数具有单向的性质,所谓单向性,是指从输入数据很容易计算其Hash值,但通过Hash值想找到其对应的输入数据是很困难的要找到一个输入数据使其Hash值等于一个特定的值也是很困难的一个好的Hash函数也是无碰撞的:即很难产生两个输入数据,使它们的Hash值相同2012计算机网络安全概论15单向性:已知哈希函数的输出,要求它的输入是困难的,即已知c=hash(m),求m是困难的快速性:已知m,计算hash(m)是容易的抗碰撞性:已知hash(m1)=c1,构造m2使hash(m2)=c1是困难的雪崩性:c=hash(m),c的每一比特都与m的每一比特有关,并有高度敏感性。即每改变m的一个比特,都将对c产生明显影响接受的输入数据没有长度限制:对输入任何长度的数据能够生成该输入消息固定长度的输出。Hash函数的特性2012计算机网络安全概论16„„++++3M3M1M2MnM1M2MnMhMM将输入数据分成若干等长的分组,对每个分组按位进行异或(XOR)运算结果便为其消息摘要一个最简单的Hash函数图中Mh即为消息M的消息摘要值2012计算机网络安全概论17攻击者的目标通常是找到两个不同消息映射为同一值。对函数有二种基本攻击方法:穷举攻击法(ExhaustiveAttack)生日攻击(BirthdayAttack)Hash函数的安全性2012计算机网络安全概论18使用公开密钥加密方法和发送方的私有密钥对Hash值进行加密既能提供认证,又能提供数字签名因为只有发送方能够生成加密的Hash认证码数字签名技术的典型实现方式MM||H(M)hashE)]([MHESR)(MH比较Dhash接受者R发送者SSRKSUKM’hash2012计算机网络安全概论19给定H=h(M),其中H为初值,攻击者在所有可能的M中寻求有利于攻击者的M’,使h(M’)=h(M),由于限定了目标h(M)来寻找h(M’),这种攻击法又称为目标攻击。穷举攻击法2012计算机网络安全概论20生日攻击依赖于消息摘要的长度,即Hash值的长度。生日悖论:在一个教室中,找一个与某人生日相同的概率不小于0.5时,所需学生为183人。但要一个教室中至少有两个学生的生日在同一天的概率不小于0.5的学生人数仅为23人。这是因为对于第一种情况,与某个已知生日的人同日生的概率为1/365。若教室中有t人,则至少找到一人与此人同日生的概率为p=1-(364/365)t-1。易于解出,当t≥183时可使p0.5。对于第二种情况,第一个人在特定日出生的概率为1/365,而第二人不在该日生的概率为(1-1/365),类似地第三人与前两位不同日生的概率为(1-3/365),以此类推,t个人都不同时生日概率为(1-1/365)(1-2/365)…(1-(t-1)/365),因此,至少有两人于同日生的概率为p-(1-1/365)(1-2/365)…(1-(t-1)/365),解之当,t≥23时,p0.5。对于n比特Hash值的生日攻击,由上式可计算出,当进行2n/2次的选择明文攻击下成功的概率将超过0.63.2012计算机网络安全概论21针对生日攻击的安全条件消息摘要必须足够地长一个40比特长的消息摘要是很不安全的,因为仅仅用220(大约一百万)次随机Hash可至少以1/2的概率找到一个碰撞。通常建议消息摘要的长度至少应选取为128比特,此时生日攻击需要约264次Hash。统计结果表明,如hash(m)的长度为128位(bit)时,则任意两个分别为M1,M2的输入报文具有完全相同的h(m)的概率接近于零安全Hash标准的输出长度选为160比特2012计算机网络安全概论22hash函数通用模型由Merkle于1989年提出几乎被所有hash算法采用具体做法:把原始消息M分成一些固定长度的块Yi最后一块padding并使其包含消息M的长度设定初始值CV0压缩函数f,CVi=f(CVi-1,Yi-1)最后一个CVi为hash值2012计算机网络安全概论23hash函数模型图bY0nIV=CV0fbY1nfbYL-1nCVL-1fCV1nnIV=initialvalue初始值CV=chainingvalue链接值Yi=ithinputblock(第i个输入数据块)f=compressionalgorithm(压缩算法)n=lengthofhashcode(散列码的长度)b=lengthofinputblock(输入块的长度)CVL2012计算机网络安全概论24MD5算法简介MD5的全称是Message-DigestAlgorithm5在90年代初由MIT的计算机科学实验室和RSADataSecurityInc发明,经MD2、MD3和MD4发展而来MD5将任意长度的输入消息变换成一个128bit的大整数,并且它是一个不可逆的变换算法。MD5的典型应用是对一段信息(Message)产生信息摘要(Message-Digest),以防止被篡改。MD5还广泛用于加密和解密技术上。比如在UNIX系统中用户的密码就是以MD5(或其它类似的算法)经加密后存储在文件系统中。2012计算机网络安全概论25MD5算法处理过程MD5以512位分组来处理输入的信息,每一分组又被划分为16个32位子分组,每一个分组要经过4轮循环处理,处理前以A、B、C、D这4个缓冲区中的值作为输入参数,处理后输出四个32位值,A、B、C、D分别加上这4个32位值后再作为下一个分组处理所用的输入参数。所有分组经过了4轮主循环的处理后,输出四个32位最终值,将这四个32位值级联后即生成了一个128位摘要值ABCDABCD512位分组4轮循环512位分组4轮循环512位分组4轮循环„„消息M消息M填充信息2012计算机网络安全概论26信息填充在MD5算法中,首先需要对信息进行填充,使其字节长度对512求余的结果等于448在信息的后面填充一个1和若干个0附加一个64位的二进制数据,此数据表示填充前信息的长度要散列的数据M1000„M的长度512n+448比特64比特2012计算机网络安全概论27循环处理填充后的消息被划分成若干个512位的分组,每一分组又被划分为16个32位子分组。这些分组作为算法的输入信息进行处理。初始化链接变量(ChainingVariable)MD5中有A、B、C、D四个缓冲区(32位的寄存器)中,最开始存放四个被称作链接变量的32位的整数参数,这些参数将用于下一步的摘要算法中。这四个缓冲区分别被初始化为以下的值:A=0x01234567B=0x89abcdefC=0xfedcba98D=0x76543210当设置好这四个链接变量后,将它们复制到另外四个变量中:A到a,B到b,C到c,D到d。abcd组成128位寄存器,用于保存中间结果和最终结果2012计算机网络安全概论28循环处理消息的每一个分组均经过四轮循环处理,处理前将缓冲区A、B、C、D的内容作为输入参数,处理后的结果再加入到A、B、C、D中去。消息分组ABCDABC

1 / 136
下载文档,编辑使用

©2015-2020 m.777doc.com 三七文档.

备案号:鲁ICP备2024069028号-1 客服联系 QQ:2149211541

×
保存成功