第二章 密码学基础ppt课件.ppt
2022/12/24,网络安全Network Security,2022/12/24,访问控制,身份认证,数字签名,消息认证,第2章 密码学基础,密码算法,密钥管理,2022/12/24,访问控制,身份认证,数字签名,消息认证,第2章 密码学基础,密码算法,密钥管理,2022/12/24,密码算法分类,密码算法,基于密钥保密性,基于算法保密性,对称密码算法,非对称密码算法,分组密码算法,流密码算法,明文处理方法,密码算法,对称密码学: DESAES非对称密码学:RSAECC,5,数据加密的概念,数据加密技术的概念,数据加密(Encryption)是指将明文信息(Plaintext)采取数学方法进行函数转换成密文(Ciphertext),只有特定接受方才能将其解密(Decryption)还原成明文的过程。,明文(Plaintext) : 加密前的原始信息;密文(Ciphertext) :明文被加密后的信息;密钥(Key): 控制加密算法和解密算法得以实现的关键信息,分为加密密钥和解密密钥;加密(Encryption):将明文通过数学算法转换成密文的过程;解密(Decryption):将密文还原成明文的过程。,6,数据加密的概念,数据加密模型,7,数据加密的概念,数据加密技术的应用,数据保密;身份验证;保持数据完整性;确认事件的发生。,传统密码学,1. 置换密码(permutation cipher),又称换位密码(transposition cipher):将明文字母互相换位,明文的字母不变,但顺序被打乱了。例如:线路加密法 明文以固定的宽度水平写出,密文按垂直方向读出。明文:COMPUTER SYSTEMS ECURITYCOMPUTERSYSTEMSECURITY密文:CTSETOETCYMREUPSMRUYSI,2、代替法 :代替密码就是明文中每一个字符被替换成密文中的另外一个字符,代替后的各字母保持原来位置。对密文进行逆替换就可恢复出明文。 凯撒密码就是单表代替密码,它的每一个明文字符都由其右边第3个(模26)字符代替(A由D代替,B由E代替,W由Z代替,X由A代替,Y由B代替,Z由C代替)。,若明文m=Casear cipher is a shift substitution 则密文C=E(m)=FDVHDU FLSHU LV D VKLIW VXEVWLWXWLRQ,CAESAR密码的加法变换 c (P + k) mod 26其中P是明文对应的数据,c是与明文对应的密文数据,k是加密用的参数,叫密钥。例如:明文:data security 对应数据序列:4,1,20,1,19,5,3,21,18,9,20,25,当k=5时,密文序列是多少?得密文序列:9,6,25,6,24,10,8,0,23,14,25,4密文:ifyxjhzwnyd缺点:容易破解密码,可以使用统计攻击,练习:明文P:I am a network manager 密钥k=4,13,密码的分类,密码体制从原理上分为:1)传统密码体制 :对称密码体制(单钥体制)2)现代密码体制:非对称密码体制(公钥密码体制、双钥体制)按照对明文的处理方式分为:分组密码算法和序列密码算法(流密码)。分组密码算法:把明文分成等长的组分别加密,例DES序列密码算法:是一个比特一个比特地处理,用已知的密钥随机序列与明文按位异或,例RC4,14,数据加密技术原理,对称密钥加密(保密密钥法),加密算法,解密算法,密钥,网络信道,明文,明文,密文,两者相等,DES算法概述,为了建立适用于计算机系统的商用密码,美国商业部的国家标准局NBS于1973年5月和1974年8月两次发布通告,向社会征求密码算法。 在征得的算法中,由IBM公司提出的算法lucifer中选。 于1976年11月被美国政府采用,DES随后被美国国家标准局和美国国家标准协会(American National Standard Institute,ANSI) 承认。 1977年1月以数据加密标准DES(Data Encryption Standard)的名称正式向社会公布。,DES算法概述,M.Matsui 提出的线性分析方法,利用243个已知明文,成功地破译了16圈DES算法,到目前为止,这是最有效的破译方法。从1997年开始,RSA公司发起了一个称作“向DES挑战”的竞技赛。在首届挑战赛上,罗克维瑟用了96天时间破解了用DES加密的一段信息。1999年12月22日,RSA公司发起“第三届DES挑战赛(DES Challenge III)”。2000年1月19日,由电子边疆基金会组织研制的25万美元的DES解密机以22.5小时的战绩,成功地破解了DES加密算法。DES已逐渐完成了它的历史使命。,明文64 bit码,初始变换,轮乘积变换,逆初始变换,密文bit码,输出,算法,数据加密标准DESDES是一种明文分组为64比特,有效密钥56比特,输出密文64比特的,具有16轮迭代的分组对称密码算法,DES由初始置换,16轮迭代,初始逆置换组成。,2022/12/24,DES,1DES的基本运算 初始置换IP和初始逆置换IP-1,2.一轮DES代换算法说明,DES结构f 函数为: f(R, K)=P(S(KE(R),如图3-6所示:,(1) E-扩展运算E-扩展运算是扩位运算,将32比特扩展为48比特,用方阵形式可以容易地看出其扩位其中粗方框中的为原始输入数据。,(2) S-盒运算S-盒运算由8个S-盒函数构成,其中,每一个S-盒函数都是6比特的输入,4比特的输出。 的值就是对应表si中(h1h6)2行和(h2h3h4h5)2列上的值。,2022/12/24,S1:14,4,13,1,2,15,11,8,3,10,6,12,5,9,0,7,0,15,7,4,14,2,13,1,10,6,12,11,9,5,3,8,4,1,14,8,13,6,2,11,15,12,9,7,3,10,5,0,15,12,8,2,4,9,1,7,5,11,3,14,10,0,6,13,S8:13,2,8,4,6,15,11,1,10,9,3,14,5,0,12,7,1,15,13,8,10,3,7,4,12,5,6,11,0,14,9,2,7,11,4,1,9,12,14,2,0,6,10,13,15,3,5,8,2,1,14,7,4,10,8,13,15,12,9,0,3,5,6,11,2022/12/24,在DES算法中,S盒变换是将每个s盒的6位输入变换为4位输出,假设s盒2的6位输入为111010,写出其输出。S215 1 8 14 6 11 3 4 9 7 2 13 12 0 5 103 13 4 7 15 2 8 14 12 0 1 10 6 9 11 50 14 7 11 10 4 13 1 5 8 12 6 9 3 2 1513 8 10 1 3 15 4 2 11 6 7 12 0 5 14 9假设输入A=a1a2a3a4a5a6则a2a3a4a5=k,a1a6=h,在s盒的h行k列找到一个数B,B在015之间,则用二进制表示B=b1b2b3b4,就是s1的输出;根据以上算法,B在S盒的2行13列,顺着表找到数字9,用二进制表示为1001,即输出为1001,2022/12/24,(3)P-置换P-置换是对8个S-盒的输出进行变换,可以扩散单个P-盒的效果,如表3-5所示。,3子密钥生成器,密钥(64bit),PC-1,K1,C0,置换选择1(去奇偶校验、置换56bit),D0,LS1,LS1,C1,D1,LS2,LS2,C2,D2,PC-2,置换选择2,28bit,28bit,56bit,K2,PC-2,56bit,LS16,LS16,C16,D16,K16,PC-2,56bit,48bit,48bit,48bit,64比特的密钥K,经过PC-1后,生成56比特的串。其下标如表所示:,2022/12/24,该比特串分为长度相等的比特串C0和D0。然后C0和D0分别循环左移1位,得到C1和D1。C1和D1合并起来生成C1D1。C1D1经过PC-2变换后即生成48比特的K1。K1的下标列表为:,2022/12/24,C1、D1分别循环左移LS2位,再合并,经过PC-2,生成子密钥K2依次类推直至生成子密钥K16。注意:Lsi (I =1,2,.16)的数值是不同的。具体见下表:,2022/12/24,DES算法的解密过程是一样的,区别仅仅在于第一次迭代时用子密钥K(15),第二次K(14)、.,最后一次用K(0),算法本身并没有任何变化。,DES的安全性分析 ( 1 ) S-盒的设计准则S盒的设计准则还没有完全公开,人们仍然不知道S盒的构造中是否使用了进一步的设计准则。 ( 2 ) 56位有效密钥太短 这是最致命的缺陷。 ( 3 ) 弱密钥和半弱密钥 ( 4 ) 代数结构存在互补对称性,对称加密的优点: 算法效率高,尤其是硬件实现的情况 很强的保密性对称加密的缺点: 密钥管理麻烦: 有N个用户,n(n-1)/2个密钥量。 假设n=1000,则需要49995000个密钥。,三重DES为了增强DES算法的安全性,人们提出了许多DES的改进方案。其中,称为三重DES的多重加密算法是DES的一个重要的改进算法。,38,数据加密技术原理,非对称密钥加密(公开密钥加密),加密算法,解密算法,公开密钥,网络信道,明文,明文,密文,私有密钥,公钥,私钥,公钥,私钥,不可相互推导,不相等,Q:公钥加密和数字签名的区别,RSA密码是由Rivest, Shamir和Adleman三位学者于1977年联合提出的双密钥(公钥)密码系统,RSA是由他们的名字的首字母命名。是迄今理论上最为成熟完善的一种公钥密码体制。 RSA密码基于计算复杂性原理获得加密强度,但其缺点是系统的安全取决于所用的两个大素数,如果能找出一种快速方法分解这两个大素数,系统很容易被攻破。,RSA密码体制,RSA的算法描述(1)密钥的生成 1. 选择两个大素数 p,q,(p,q为互异素数,需要保密), 2. 计算n = pq, (n) = (p1)(q1) 3. 选择整数 e 使 (n),e) =1, 1e (n) 4. 计算d,使d = e1mod (n), 得到:公钥 为e,n; 私钥为d(2)加密(用e,n): 明文:M n, 密文C = Me(mod n).(3) 解密(用d,n): 密文C, 明文M = Cd(mod n),验证:C d mod n=(M e ) d mod n =M ed mod n M mod n (由Euler定理推论),举例,取两个质数p=11,q=13试计算它的公钥和私钥,和q的乘积为n=pq=143,算出另一个数f=(p-1)(q-1)=120;再选取一个与f=120互质的数,例如e=7则公开密钥=(n,e)=(143,7)。 对于这个e值,可以算出其逆:d=103。因为ed=7103=721,满足ed mod f =1;即721 mod 120=1成立。则秘密密钥=(n,d)=(143,103)。,设张小姐需要发送机密信息(明文)m=85给李先生,她已经从公开媒体得到了李先生的公开密钥(n,e)=(143,7),于是她算出加密值: c= me mod n=85*7 mod 143=123并发送给李先生。 李先生在收到密文c=123后,利用只有他自己知道的秘密密钥计算:m= cd mod n =123*103 mod 143=85,所以,李先生可以得到张小姐发给他的真正的信息m=85,实现了解密。,练习:,1.设P=3,Q=5,请问:(1)公钥和私钥分别是多少?(2)如果要加密的信息为M=7,则密文为多少?2.如果加密信息为“its all weak to me”,应该如何做?,2022/12/24,RSA: 例2,Bob选择 p=885320693, q=238855417, 则可以计算 n=p*q=211463707796206571, 设加密系数为 e=9007,将n和e发送给Alice。假设Alice传递的信息是cat。 令a=01 c=03 t=20,则cat=030120=30120。 Alice计算:c me 301209007 113535859035722866(mod n) 她将c传给Bob。,2022/12/24,RSA: 例2(续),Bob已知p和q的值,他用扩展欧几里德算法计算d: de 1(mod(p-1)(q-1), 得到 d=116402471153538991 然后Bob计算: cd 113535859035722866116402471153538991 30120(mod n) 由此他可以得到最初的信息。,非对称加密的优点: 适应网络的开放性要求密钥管理简单对称加密的缺点: 算法较复杂,加密数据速率较低。,数据加密技术原理,混合加密系统,对称密钥加密算法,对称密钥解密算法,对称密钥,网络信道,明文,明文,密文,混合加密系统既能够安全地交换对称密钥,又能够克服非对称加密算法效率低的缺陷!,非对称密钥加密算法,非对称密钥解密算法,对称密钥,公开密钥,私有密钥,混合加密系统是对称密钥加密技术和非对称密钥加密技术的结合,48,数据加密技术原理,哈希(Hash)算法,信息,哈希算法(hash algorithm),也叫信息标记算法(message-digest algorithm),可以提供数据完整性方面的判断依据。,哈希算法,结果相同,则数据未被篡改,比较,结果不同,则数据已被篡改,信息标记(digest),哈希算法,哈希算法具备三个特性: 不可能以信息标记为依据推导出输入信息的内容。 不可能人为控制某个消息与某个标记的对应关系(必须用Hash算法得到)。 要想找到具有同样标记的信息在计算方面是行不通的。,2022/12/24,ECC,ECC: Elliptic Curve Cryptography 1985年,N.Koblitz及V.S.Miller分别提出了椭圆曲线密码体制(ECC)。 已经开发出的椭圆曲线标准的文档有:IEEE P1363 P1363a、ANSI X9.62 X9.63、 ISO/IEC14888等 。 近年来,ECC已走向工程实现和实际应用阶段。目前,德国、日本、法国、美国、加拿大等许多西方国家的密码学研究小组和公司已经实现了椭圆曲线密码体制。,2022/12/24,ECC(续),为什么要提出ECC?RSA 主要问题之一:为了保证必要的安全强度,其密钥必须很长ECC的优势:在同等安全强度下,ECC所需密钥比RSA短,2022/12/24,ECC(续),椭圆曲线指的是由韦尔斯特拉斯(Weierstrass)方程所确定的平面曲线 。其中,系数 (i =1,2,6)定义在基域K上(K可以是有理数域、实数域、复数域,还可以是有限域,椭圆曲线密码体制中用到的椭圆曲线都定义在有限域上)。椭圆曲线并非椭圆,2022/12/24,ECC(续),群:对于非空集合G,其上的一个二元运算(.)满足:封闭性、结合率、单位元和可逆性环:对于R上的两个二元运算(+,x)满足:关于是一个交换群(群的条件交换率)对于乘法x满足:封闭性结合率分配率域:对于F上的两个运算(+,x)满足F是一个整环:交换环乘法逆元无零因子乘法逆元存在,2022/12/24,ECC(续),2022/12/24,ECC(续),椭圆曲线加法运算规则:O是加法的单位元,OO;对于椭圆曲线上的任一点P,有POP点P的负元是与P具有现同x坐标和相反y坐标的点,即若P(x,y),则-P(x,-y);P(P)=O若P(x1,y),Q(x2,z),则PQR。其中R是直线PQ与椭圆曲线的第三个交点。若P和Q的 x坐标相同,则为无穷远点O若Q(x,y),则QQ2QS,其中S为椭圆曲线在Q点的切线与椭圆曲线的另一交点。,2022/12/24,ECC(续),有限域上椭圆曲线y2x3+ax+b mod pp是奇素数,且4a3+27b20 mod p (构成Abel群的条件,证明过程略)y2+xyx3+ax2+b mod 2m(Galois 域的椭圆曲线),2022/12/24,ECC(续),有限域上椭圆曲线y2x3+ax+b mod p,(3)加法公式: P=(xp,yp), Q=(xQ,yQ)若xP=xQ且yP=-yQ则P+Q=O否则 P+Q=(xR,yR) xR=2-xP-xQ yR=(xP-xR)-yP其中 =(yQ-yP)/(xQ-xP), 如果PQ =(3xP2+a)/(2yP), 如果P=Q,(1)P+O=P,(2)P=(x,y)P(x,y)=O其中(x,-y)是P的负元P,(4)重复相加:nP=P+P,按照上述定义构成了一个椭圆曲线上的Abel群,2022/12/24,ECC(续),示例:有限域上椭圆曲线y2x3+ax+b mod p条件:a=1, b=1,x=9,y=7,p=23y2 =72 mod 23=3x3+ax+b=(93 +9+1) mod 23=3y2x3+ax+b mod p,2022/12/24,ECC示例,示例:有限域上椭圆曲线y2x3+ax+b mod p条件:a=1, b=1,x=9,y=7,p=23问题:求满足上述方程的所有整数对(x,y)以及无穷远点O组成的集合Ep(a,b) E23(1,1)?,2022/12/24,ECC示例(续),E23(1,1),2022/12/24,ECC示例(续),E23(1,1),1)P(0,1),P+O(0,1),2)P(13,7) -P=(13,-7)=(13,16),3)P(3,10),Q(9,7) P+Q=(17,20),4)P(3,10) 2P=(7,12),2022/12/24,ECC示例(续),PQ计算过程:,x3=2-x1-x2y3=(x1-x3)-y1其中 =(y2-y1)/(x2-x1), 如果PQ =(3x12+a)/2y1, 如果P=Q,2022/12/24,ECC(续),有限域上椭圆曲线y2+xyx3+ax2+b mod 2m(Galois 域的椭圆曲线),(3)加法公式: P=(xP,yP), Q=(xQ,yQ),且P-Q, P Q则 P+Q=(xR,yR) xR=2+ +xP+xQ+a yR=(xP+xR)+xR +yP其中 =(yQ+yP)/(xQ+xP),(1)P+O=P,(2)P=(x,y) P(x,-y)=O其中(x,-y)是P的负元P,(4) 若P=(xP,yP), 则R2P=(xr,yr)其中:xR=2+ +a yR=xP2+( +1)xR=xp+yp/xP,按照上述定义构成了一个椭圆曲线上的Abel群,2022/12/24,ECC(续),椭圆曲线上的离散对数“难题”对于方程Q=kP,其中P,Q属于Ep(a,b)。对于给定的k和P,计算Q比较容易,而对于给定的P和Q,计算k比较困难例如:,方程y2=(x3+9x+17) mod 23所定义的群E23(9,17)。求:P(16,5)和Q(4,5)的离散对数k?,穷举计算:P(16,5),2P(20,20), 3P=(14,14),4P(19,20),5P13,10);6P(7,3),7P(8,7),8P(12,17),9P(4,5)因此k9,2022/12/24,ECC加密/解密实现,Alice-BobStep 1:Bob选择Ep(a,b)的元素G,使得G的阶n是一个大素数,秘密选择整数k.计算P=kG,公开(p,a,b,G,P),保密k。其中KbkG为Bob公钥,Kbk为Bob私钥Step 2:将消息m编码为x-y形式的点PmStep 3:Alice随机选择一个正整数r,对Pm产生密文CmrG,PmrKbStep 4:Bob解密Cm-Kb(rG)=Pm+rKb-krG=Pm+r(kG)-rkG=Pm,2022/12/24,ECC加密/解密实现(续),Alice-Bob(示例)Step 1:Bob选择E88331(3,45),G(4,11), Bob私钥KbK=3, Bob公布公钥Kb(413,1808) Step 2: Pm=(5,1734) Step 3:Alice随机选择一个正整数r=8,对Pm产生密文:CmrG,PmrKb=(5415,6321),(6626,3576)Step 4:Bob解密Kb(rG)=3(5415,6321)=(673,146)Cm -Kb(rG)=(6626,3576)-(673,146)=(5,1734),2022/12/24,序列密码,按位处理消息一般具有一个伪随机密钥流发生器对明文按位进行异或运算 (XOR)以随机的密钥流来破坏消息的统计特征Ci = Mi XOR StreamKeyi,2022/12/24,序列密码(续),同步流密码原理,密钥流生成器,密钥流生成器,加密变换,解密变换,安全信道,公开信道,种子密钥k,种子密钥k,密钥流Ki,密钥流Ki,明文m,密文c,密文c,明文m,2022/12/24,序列密码(续),自同步流密码原理,密钥流生成器,密钥流生成器,加密变换,解密变换,安全信道,公开信道,种子密钥k,种子密钥k,密钥流Ki,密钥流Ki,明文m,密文c,密文c,明文m,2022/12/24,序列密码:RC4,RC: “RC” is Rons Code or Rivest Cipher1987年Ron Rivest 为RSA公司所设计的流密码算法可变密钥长度的、面向字节操作的流密码:82048位可变1994年算法才公开在SSL/TLS和IEEE 802.11无线网络中有广泛应用:WEP协议,2022/12/24,序列密码:RC4(续),用从1到256个字节的可变长度密钥初始化矢量S:0.255 ,S0,S1,S255S 形成了算法的内部状态密钥流字节K由S中255个元素按照一定方式选出一个元素来生成每生成一个K,S中的元素就被重新置换一次,RC4初始化,2022/12/24,序列密码:RC4(续),初始化S初始条件:密钥种子 Key ,密钥初始化向量S初始化S:S中元素被置为按升序从0到255:S0=0,S1=1,S255=255建立一个临时矢量K如果密钥种子Key的长度为256字节,则将Key赋值给K;否则将K的值赋给K的前N个元素(N为密钥长度),循环重复用Key的值赋给K剩下的元素,直到K的所有元素都被赋值然后用K产生S的初始置换从S0到S255,对每个Si,根据由Ki确定的方案,将Si置换为S中的另外一个字节由于对S的操作仅是交换(即置换),因此S仍然包含所有值为0到255的元素,密钥生成,2022/12/24,序列密码:RC4(续),Input :Key , N=len(key)Output: S /*密钥流初始值*/*Array “key” contains N bytes of key*/*Array “S” always has a permutation of 0,1,255*/for i = 0 to 255Si = iKi = keyi (mod N)next ij = 0for i = 0 to 255j = (j + Si + Ki) mod 256swap(Si, Sj)next i,2022/12/24,序列密码:RC4(续),密钥流KeyStramByte的生成是从S0到S255,对每个Si,根据当前S的值,将Si与S中另外一个字节置换当S255完成置换后,操作继续重复加密:将KeyStreamByte值与下一个明文字节异或解密:将KeyStreamByte值与下一个密文字节异或,加密与解密,2022/12/24,序列密码:RC4(续),Input :M, S Output: Cij0for each message byte Mi i = (i + 1) mod 256 j = (j + Si) mod 256 swap(Si, Sj) t = (Si + Sj) mod 256 KeyStreamByte = St Ci = Mi XOR KeyStreamByteNextC=C1|C2|Cn,2022/12/24,序列密码:RC4(续),对已知的密码分析很安全有很多攻击分析,但不是很实际结果非线性绝对不能重复使用密钥在无线保密协议( WEP)中使用,但是有潜在的安全问题,RC4安全性,2022/12/24,访问控制,身份认证,数字签名,消息认证,第2章 密码学基础,密码学算法,密钥管理,2022/12/24,Message Authentication,Message Authentication:报文鉴别(消息认证,消息鉴别)Message:消息、报文。Authentication: 鉴别、认证。认证:消息的接收者对消息进行的验证真实性:消息确实来自于其真正的发送者,而非假冒;完整性:消息的内容没有被篡改。是一个证实收到的消息来自可信的源点且未被篡改的过程。它也可以验证消息的顺序和及时性,2022/12/24,消息认证概念,三元组(K,T,V)密钥生成算法K标签算法T验证算法V,2022/12/24,认证函数,鉴别编码器和鉴别译码器可抽象为认证函数认证函数产生一个鉴别标识(Authentication Identification)给出合理的认证协议(Authentication Protocol)接收者完成消息的鉴别(Authentication),2022/12/24,认证函数分类,认证的函数分为三类:消息加密函数(Message encryption)用完整信息的密文作为对信息的认证。消息认证码MAC (Message Authentication Code)是对信源消息的一个编码函数。散列函数 (Hash Function)是一个公开的函数,它将任意长的信息映射成一个固定长度的信息。,2022/12/24,认证函数:加密函数,M,E,K,EK(M),D,M,K,提供保密提供认证不提供签名,Bob,Alice,对称加密:保密性与认证,2022/12/24,认证函数:加密函数(续),公钥加密:保密性,M,E,Ka,EKa(M),D,M,Ka,提供保密不提供认证,Bob,Alice,2022/12/24,认证函数:加密函数(续),公钥加密:认证与签名,M,D,Kb,EKb(M),E,M,Kb,提供认证,Bob,Alice,2022/12/24,认证函数:加密函数(续),公钥加密:保密、认证与签名,M,D,Ka,EKa(Dkb(M),D,Ka,提供认证提供保密性,E,Kb,Dkb(M),Dkb(M),E,Kb,M,Bob,Alice,2022/12/24,认证函数:加密函数(续),公钥加密:保密、认证与签名?,M,E,Kb,EKb(Eka(M),E,Kb,提供认证提供保密性,D,Ka,Ea(M),Eka(M),D,Ka,M,Bob,Alice,2022/12/24,认证函数:消息认证码,消息认证码:使用一个密钥生成一个固定大小的短数据块,并将该数据块加载到消息后面,称MAC(或密码校验和)MACCk(M)MAC函数类似于加密函数,但不需要可逆性。因此在数学上比加密算法被攻击的弱点要少,2022/12/24,认证函数:消息认证码(续),MAC的基本用法:消息认证,Alice,Bob,M,|,K,CK(M),C,K,C,M,比较,提供认证,2022/12/24,认证函数:消息认证码(续),MAC的基本用法:与明文有关的认证,M,|,K1,CK(M),C,K2,C,M,比较,E,K2,M,D,K1,M,Alice,Bob,提供认证提供保密,2022/12/24,认证函数:消息认证码(续),MAC的基本用法:与密文有关的认证,M,|,K1,CK1(Ek2(M),C,C,M,比较,E,K2,K1,提供认证提供保密,M,M,D,K2,Bob,Alice,Ek2(M),2022/12/24,认证函数:Hash函数,Hash Function哈希函数、摘要函数输入:任意长度的消息报文 M输出:一个固定长度的散列码值 H(M)是报文中所有比特的函数值单向函数,2022/12/24,认证函数:Hash函数(续),根据是否使用密钥带秘密密钥的Hash函数:消息的散列值由只有通信双方知道的秘密密钥K来控制。此时,散列值称作MAC。不带秘密密钥的Hash函数:消息的散列值的产生无需使用密钥。此时,散列值称作MDC。Hash函数需满足以下条件:输入x可以为任意长度,输出为固定长度正向计算容易,反向计算困难抗冲突性(无冲突性),2022/12/24,认证函数:Hash函数(续),哈希函数的基本用法(a),M,|,H(M),H,K,H,M,比较,E,K,M,D,M,Bob,Alice,提供认证提供保密,EK(M|H(M),2022/12/24,认证函数:Hash函数(续),哈希函数的基本用法(b),M,|,K,EK(H(M),H,H,M,比较,E,D,Bob,Alice,提供认证,K,2022/12/24,认证函数:Hash函数(续),哈希函数的基本用法(c),M,|,Kb,DKb(H(M),H,H,M,比较,D,E,Bob,Alice,提供认证,Kb,2022/12/24,认证函数:Hash函数(续),哈希函数的基本用法(d),M,|,K,DKb(H(M),H,H,M,比较,E,D,Bob,Alice,提供认证提供保密,K,M,M,D,Kb,E,Kb,Ek(M|DKb(H(M),2022/12/24,认证函数:Hash函数(续),哈希函数的基本用法(e),M,|,H(M|S),|,H,M,比较,Bob,Alice,提供认证,S,S,|,H,2022/12/24,认证函数:Hash函数(续),哈希函数的基本用法(f),M,|,H(M|S),|,K,H,M,比较,E,K,M,D,M,Bob,Alice,提供认证提供保密,EK(M|H(M|S),S,S,|,H,2022/12/24,访问控制,身份认证,数字签名,消息认证,第2章 密码学基础,密码学算法,密钥管理,2022/12/24,数字签名,数字签名:Digital Signature传统签名的基本特点签名是可信的:能与被签的文件在物理上不可分割签名是不可抵赖的:签名者不能否认自己的签名签名不能被伪造:除了合法者外,其他任何人不能伪造其签名签名是不可复制的:对一个消息的签名不能通过复制的方式变为另外一个消息的签名签名是不可改变的:经签名的消息不能被篡改容易被验证数字签名是传统签名的数字化能与所签文件“绑定”签名者不能否认自己的签名容易被自动验证签名不能被伪造,2022/12/24,数字签名(续),五元组(P,A,K,S,V)P是所有消息组成的有限集A是所有可能的签名组成的有限集K是所有可能的密钥组成的有限集S签名算法D验证算法,2022/12/24,数字签名(续),可分为两类:直接数字签名方案(direct digital signature);基于仲裁的数字签名方案(arbitrated digital signature)。,2022/12/24,直接数字签名,M,M,S,H(M),Ek(H),M,Dk(H),H,H,H,比较,Hash签名,2022/12/24,仲裁数字签名,Alice (A),Bob (B),Trent (T),Alice (A),Bob (B),Trent (T),Alice (A),Bob (B),Trent (T),对称密码明文传送,对称密码密文传送,公钥密码密文传送,2022/12/24,数字签名体制,普通数字签名体制 RSA EIGamal DSS/DSA不可否认的数字签名算法群签名算法盲签名算法,DSS签名算法我们在后续课程中讲述,2022/12/24,数字签名体制(续),盲签名算法,Alice (A),Bob (B),t=mkemod n,td=(mke)dmod n,2022/12/24,访问控制,身份认证,数字签名,消息认证,第2章 密码学基础,密码学算法,密钥管理,2022/12/24,身份认证,身份认证的定义:声称者向验证者出示自己的身份的证明过程证实客户的真实身份与其所声称的身份是否相符的过程身份认证又叫身份鉴别、实体认证、身份识别认证目的: 使别的成员(验证者)获得对声称者所声称的事实的信任。身份认证是获得系统服务所必须的第一道关卡。,2022/12/24,身份认证(续),身份认证可以分为本地和远程两类。本地:实体在本地环境的初始化鉴别(就是说,作为实体个人,和设备物理接触,不和网络中的其他设备通信)。远程:连接远程设备、实体和环境的实体鉴别。实体鉴别可以是单向的也可以是双向的。 单向认证是指通信双方中只有一方向另一方进行鉴别。 双向认证是指通信双方相互进行鉴别。,2022/12/24,身份认证(续),身份认证系统的组成:认证服务器认证系统用户端软件认证设备认证协议,2022/12/24,身份认证协议,常见的协议PAPCHAPKerberosX.509,2022/12/24,身份认证依据,主要依据包括三个方面:Something the user know (所知)密码、口令等Something the user possesses (拥有)身份证、护照、密钥盘等Something the user is (or How he behaves)指纹、笔迹、声音、虹膜、DNA等,2022/12/24,身份认证机制,认证机制非密码的鉴别机制基于密码算法的鉴别采用对称密码算法的机制采用公开密码算法的机制采用密码校验函数的机制零知识证明协议,2022/12/24,非密码身份认证,非密码的鉴别机制口令机制一次性口令机制基于地址的认证机制基于生物特征的认证机制个人令牌认证机制,2022/12/24,口令机制:明文,ID OK?,用户输入ID,拒绝,查找与该ID对应的PW,相同?,接受,拒绝,N,N,Y,Y,用户输入PW,明文形式存放的口令表,PW,PW,ID,明文口令表,2022/12/24,口令机制:Hash保存,ID OK?,用户输入ID,拒绝,查找与该ID对应的H(PW),相同?,接受,拒绝,N,N,Y,Y,用户输入PW,Hash值形式存放的口令表,用预定的Hash函数计算,H(PW),H(PW),ID,基于单向hash函数的口令表,2022/12/24,口令机制:加盐机制,ID OK?,用户输入ID,拒绝,查找与该ID对应的H(PW),相同?,接受,拒绝,N,N,Y,Y,用户输入PW,“加盐”Hash值形式存放的口令表,用预定的Hash函数计算,H(PW+R),H(PW+R),ID,R,加盐Hash口令表,2022/12/24,一次性口令认证机制,客户端,S/KEY服务器,口令计算器,1. 用户登录,2. 登录请求,3. S/KEY质询,4. 输入私钥,5. 私钥与质询输入计算器,6. 产生本次口令,7. 传送口令,请依据上述过程描述,设计该一次性口令协议,2022/12/24,基于地址的认证机制,基于地址的机制假定声称者的可鉴别性是以呼叫的源地址为基础的。在大多数的数据网络中,呼叫地址的辨别都是可行的。在不能可靠地辨别地址时,可以用一个呼叫回应设备来获得呼叫的源地址。 一个验证者对每一个主体都保持一份合法呼叫地址的文件。 这种机制最大的困难是在一个临时的环境里维持一个连续的主机和网络地址的联系。地址的转换频繁、呼叫转发或重定向引起了一些主要问题。 基于地址的机制自身不能被作为鉴别机制,但可作为其它机制的有用补充。,2022/12/24,基于生物特征的认证机制,生物特征识别技术主要有: 1)指纹识别; 2)声音识别; 3)手迹识别; 4)视网膜扫描; 5)手形。,2022/12/24,个人令牌认证机制,物理特性用于支持认证“某人拥有某东西” ,但通常要与一个口令或PIN结合使用。这种器件应具有存储功能,通常有键盘、显示器等界面部件,更复杂的能支持一次性口令,甚至可嵌入处理器和自己的网络通信设备(如智能卡)。这种器件通常还利用其它密码鉴别方法。,2022/12