第五讲 云安全关键技术（2）要点课件.ppt

《第五讲 云安全关键技术（2）要点课件.ppt》由会员分享，可在线阅读，更多相关《第五讲 云安全关键技术（2）要点课件.ppt（80页珍藏版）》请在三一办公上搜索。

1、第四讲 云安全关键技术（2）,Hash函数与数字摘要,数字摘要,数字签名的实施问题长度问题（签名比原文长）速度问题完整性问题,数字摘要和Hash函数,Hash函数,Hash函数适用任意信息长度产生的摘要是定长的易于计算通过摘要得到原信息计算上不可行无冲突,弱无冲突与强无冲突,弱无冲突（weakly collision-free）给定消息x，如果寻找一个xx，使得h(x)=h(x)在计算上不可行，相应的hash函数h(x)是弱无冲突的。强无冲突（strongly collision-free）寻找一对消息xx，使得h(x)=h(x)在计算上不可行，相应的hash函数h(x)是强无冲突的。ONE-

2、WAY称Hash函数是ONE-WAY FUNCTION: 给定摘要z，如果寻找一个消息x使h(x)=z计算上不可行。,12/4/2022,7,简单Hash函数举例,ci散列码的第i位，i1,nmn位输入分组的个数bij第i 个分组的第j位,MD算法 RSA的发明者之一，R . Rivest 教授提出了消息摘要的MD算法（散列算法）。之后又出现了一系列的改进版本：MD2，MD4, MD5，其摘要的长度均为128位；SHS算法 近几年，又出现了另一个散列算法：SHS（安全Hash标准），其代表性的产品为SHA1，其摘要长度为160位，安全强度比MD5的更高。,几种散列算法,生日悖论,生日悖论：随机

3、选取23人作为一组，则至少两人同生日的概率是1/2.结论就是用更多比特位的 hash,Hash攻击,40位的数字摘要足够安全建议采用128位以上的数字摘要DSS采用160位的数字摘要,时戳,签名的时效时戳的算法：z=h(x) z=h(z|pub)y=sigk(z)pub的选取TTS ( Trusted Timestamping Service ),消息认证,在网络通信中, 有一些针对消息内容的攻击方法, 如:伪造消息窜改消息内容改变消息顺序消息重放或者延迟 消息认证：对收到的消息进行验证，证明确实是来自声称的发送方（身份认证），并且没有被修改过。,怎样实现消息认证？ 通过“认证标识”（或称认证

4、符）。即：首先产生一个认证标识，将这个认证标识加到消息中，同消息一起发给接收方。 怎样产生“认证标识”？,消息加密（Message encryption）方式 用整个消息的密文作为 “认证标识”。Hash函数（Hash function）方式 一个公开函数，它将任意长度的消息映射到一个固定长度的散列值，作为“认证标识”（消息摘要）。消息认证码（MAC）方式 一个公开函数加上一个密钥，产生一个固定长度的值，作为“认证标识”。,产生“认证标识”的常用方法,消息验证消息加密方式,DES效率,12/4/2022,16,消息加密方式,消息验证Hash函数方式,无密钥,12/4/2022,18,12/4/

5、2022,19,12/4/2022,20,消息认证码 (MAC),一种认证技术利用密钥来生成一个固定长度的短数据块（MAC），并将该数据块附加在消息之后。MAC的值依赖于消息和密钥 MAC = Ck(M)MAC函数于加密类似，但MAC算法不要求可逆性，而加密算法必须是可逆的。接收方进行同样的MAC码计算并验证是否与发送过来的MAC码相同,12/4/2022,21,MAC 特性,MAC码是一个密码校验和MAC = CK(M)消息M的长度是可变的密钥K是要保密的，且收发双方共享。产生固定长度的认证码MAC算法是一个多对一的函数多个消息对应同一MAC值但是找到同一MAC值所对应的多个消息应该是困难的

6、。,12/4/2022,22,身份认证,认证( authentication )：证明一个对象的身份的过程。比如某个人说她是Alice，认证系统的任务就是作出她是否就是Alice的结论授权( authorization )：决定把什么特权附加给该身份,1 口令认证2 物理认证 生物认证4 密码认证,口令认证的工作过程,下图是基于口令的认证系统的组成与工作原理，这个系统用起来非常方便，但存在明显的安全问题。,口令认证存在的问题,(1) 攻击者可以在Alice登录时实施侦听以获取口令。 (2) 攻击者可以读取计算机中所存储的口令信息。 (3) 攻击者可以进行口令猜测。 (4) 如果试图强制用户选择

7、无法猜测的口令，那么系统可能变得不便于使用，用户可能不得不写下口令。,物理认证,通过“你所拥有的东西”进行认证介绍信、证明、学生证、第一代身份证等。信用卡、智能卡,生物认证,基于“你是谁”的认证不能用于对网络的其他实体(主机、机构等)的认证。指纹识别、虹膜扫描认证、掌纹识别认证、语音识别认证、手工签名认证,单向口令认证,协议1：,密码学认证方法,单向口令认证的改进(协议2),协议1的另一种变形,协议3,协议2修改成协议4,协议4,这要求Alice和Bob有同步时钟，Alice加密当前时间，Bob解密时间并验证时间在一定的时差之内。,前面几个协议都是使用共享密钥方案KAB，共同的缺点是，如果攻击

8、者能够获得KAB ，那么就能够冒充Alice。公钥认证,协议5/6的问题,协议5可以诱骗Alice对某些消息进行签名；协议6可以诱骗Alice对某些消息解密。避免这些问题的可行的方法有两种：一是不要将相同的密钥用于两种不同的目的；二是确定用于认证的消息应当有固定的格式。,双向认证,两个方向上的独立认证，（协议7）,(协议8),对协议8的反射攻击,协议8的改进,有两种方法可以避免反射攻击，(1)在认证Alice和Bob时使用不同的密钥；(2) 要求挑战者和响应者使用的随机数有不同的格式。,协议8的改进,用公钥实现双向认证(协议9),协议9的问题,协议9存在两个问题: (1) 如何让Alice知道

9、Bob的公钥（密钥的分配）(2) 在Alice只知道口令的情况下，如何让Alice知道她自己的私钥？（密钥的产生）,密钥管理与公钥基础设施,秘密密钥分配方法,共享的秘密密钥，为防止攻击者得到密钥，必须时常更新密钥。因此，密码系统的强度也依赖于密钥分配技术两个用户A和B获得共享密钥的方法有以下4种： 密钥由A选取并通过物理手段发送给B 密钥由第三方选取并通过物理手段发送给A和B 如果A、B事先已有一密钥，则其中一方选取新密钥后，用已有的密钥加密新密钥并发送给另一方 如果A和B与第三方C分别有一保密信道，则C为A、B选取密钥后，分别在两个保密信道上发送给A、B,第1和第2种方法称为人工发送在通信网

10、中，当n很大时，密钥分配的代价非常大，密钥的人工发送是不可行的,对于第3种方法攻击者一旦获得一个密钥就可获取以后所有的密钥；而且用这种方法对所有用户分配初始密钥时，代价仍然很大。,第4种方法比较常用密钥分配中心(KDC)。每一用户必须和KDC有一个共享密钥，称为主密钥。会话密钥：用于一对用户之间的保密通信。通信完成后，会话密钥即被销毁。,密钥分配的一个实例,如图：假定两个用户A、B分别与密钥分配中心KDC (key distribution center)有一个共享的主密钥KA和KB，A希望与B建立一个共享的一次性会话密钥，可通过以下几步来完成： A向KDC发出会话密钥请求,表示请求的消息由两

11、个数据项组成: 第1项Request是A和B的身份,第2项是这次业务的惟一识别符N1，称N1为一次性随机数，可以是时戳、计数器或随机数,每次的N1都应不同，且为防止假冒，应使敌手对N1难以猜测。因此用随机数作为这个识别符最为合适。,防重放，防篡改,公钥体制的密钥管理,一是公钥密码体制所用的公开密钥的分配二是如何用公钥体制来分配单钥密码体制所需的密钥,用公钥体制来分配单钥密码体制所需的密钥,简单的秘密钥分配：,中间人攻击如果敌手E已接入A、B双方的通信信道，就可通过以下不被察觉的方式截获双方的通信： 与上面的步骤相同 E截获A的发送后，建立自己的一对密钥PKE,SKE，并将PKEIDA发送给B。

12、 B产生会话密钥KS后，将EPKEKS发送出去。 E截获B发送的消息后，由DPKEEPKE KS解读KS。 E再将EPKAKS发往A。现在A和B知道KS，但并未意识到KS已被E截获。A、B在用KS通信时，E就可以实施监听,具有保密性和真实性的密钥分配,假设双发已安全交换了各自的公钥:,注意：这个方案其实是有漏洞的，即第4条消息容易被重放，假设敌手知道上次通话时协商的会话密钥Ks，以及A对Ks的签名和加密，则通过简单的重放即可实现对B的欺骗，解决的方法是将第3和第4条消息合并发送,混合方式的密钥分配,保留私钥配发中心( KDC )每用户与KDC共享一个主密钥用主密钥分配会话密钥公钥用于分配主密钥

13、在大范围分散用户的情况下尤其有用,公钥本身的分配,公钥分配方法：公开发布公开可访问目录公钥授权公钥证书,公钥的公开发布,用户分发自己的公钥给接收者或广播给通信各方例如：把PGP的公钥放到消息的最后，发布到新闻组或邮件列表中缺点：伪造任何人都可以产生一个冒充真实发信者的公钥来进行欺骗直到伪造被发现，欺骗已经形成。,公开可访问的目录,通过使用一个公共的公钥目录可以获得更大程度的安全性目录应该是可信的，特点如下： 包含 姓名，公钥 目录项 通信方只能安全的注册到目录中 通信方可在任何时刻进行密钥更替 目录定期发布或更新 目录可被电子化地访问缺点：仍存在被篡改伪造的风险,公钥授权,通过更加严格地控制目

14、录中的公钥分配，使公钥分配更加安全。具有目录特性每一通信方必须知道目录管理员的公钥用户和目录管理员进行交互以安全地获得所希望的公钥当需要密钥时，确实需要能够实时访问目录。公钥目录管理员称为系统的瓶颈。,公钥授权,公钥证书,用证书进行密钥交换，可以避免对公钥目录的实时授权访问证书包含标识和公钥等信息 通常还包含有效期，使用权限等其它信息含有可信公钥或证书授权方CA(certificate authority)的签名知道公钥或证书授权方的公钥的所有人员都可以进行验证例如：X.509标准,公钥证书,密钥管理的内容,主要内容：密钥的产生、分配和维护。其中维护涉及密钥的存储、更新、备份、恢复、销毁等方面

15、。,Public Key Infrastructure公钥基础设施，是一种运用公钥的概念与技术来实施并提供安全服务的具有普遍适用性的网络安全基础设施。PKI的功能：信息的真实性信息的完整性信息的机密性信息的不可抵赖性,PKI,数字证书,数字证书:Digital Certificates实际上是一个计算机文件，如同护照一样。,证书机构,如同护照的签发必须由政府部门一样数字证书的签发必须有一个权威或第三方信任的组织来做。这就是证书机构证书机构通常是一些著名的组织，如邮局、财务机构、软件公司等。世界上最著名的证书机构是VeriSign与Entrust。,X.509数字证书字段描述V1,X.509数字

16、证书字段描述V2,证书的生成,关系人图,最终用户,最终用户,最终用户,最终用户,证书机构CA,注册机构RA,证书机构任务很多，如签发新证书，维护旧证书、吊销无效证书等。于是将这些工作交给第三方注册机构（RA）来办理。,注册机构（RA）是用户与证书机构之间的中间实体，帮助证书机构完成日常工作。,证书层次,根CA,二级CA(A1),二级CA(A2),二级CA(A3),三级CA（B1）,三级CA（B2）,三级CA（B10）,三级CA（B11）,Alice,Bob,CA的交叉证书,美国的根CA,二级CA(A1),二级CA(A3),三级CA（B1）,三级CA（B2）,三级CA（B10）,三级CA（B11

17、）,Alice,Bob,中国的根CA,Alice认证Bob证书的顺序：BobB11A3Bob的根CAAlice的根CA,PKI-信息传输中的典型案例,PKI-数字证书,数字证书是PKI体系中最基本的元素，PKI系统所有的安全操作都是通过数字证书来实现。数字证书采用公钥体制，即利用一对互相匹配的密钥进行加密、解密。,PKI-完整的公钥加密与签名案例,PKI-数字签名方法图例,用户George签名与传输文件,原始文档,私有密钥,数字签名,George,Mary,George的密钥,PKI-数字签名方法图例,用户Mary的验证过程,George,Mary,公开密钥,数字签名,原始文档,George的密钥,谢谢！,