网络信息安全概论第八密码技术应用.ppt

网络信息安全概论 授课老师 张全海信息安全工程学院 第二章密码编码学 第三节密码学技术应用 上一讲掌握内容 传统的密码体系 对称密码体系 主要存在的问题公开密钥密码体系特点 思想及与传统的密码体系的区别 尤其是 公钥体系基于数学函数 而不是位的操作 公开密钥密码体系的分类和作用公开密钥密码体系基于的三个数学难题及对应算法D H算法 报文鉴别或消息认证 完整性校验 报文鉴别或消息认证 完整性校验 报文鉴别或消息认证 主要目的有二 第一 验证信息的发送者是真正的 而不是冒充的 此为信源识别 第二 验证信息的完整性 在传送或存储过程中未被篡改 重放或延迟等 鉴别 authentication 则是防止主动攻击的重要技术 它对于开放的网络中的各种信息系统的安全性有重要作用 鉴别函数 可用来做鉴别的函数分为三类 加密函数 Messageencryption 用完整信息的密文作为鉴别码 实现对报文的鉴别 报文鉴别函数MAC MessageAuthenticationCode 公开函数 密钥产生一个固定长度的值作为鉴别标识散列函数 HashFunction 采用一个公共散列函数 它将任意长的报文映射成一个固定长度的散列值 并以散列值作为鉴别符 报文鉴别码MAC功能 使用一个密钥生成一个固定大小的数据 并加入到消息中 称MAC或密码校验和 cryptographicchecksum 核心是一个类似于加密的算法CK 在密钥的作用下 以报文内容作为输入 其输出值是一个较短的定长数据分组 也就是MAC 即 MAC CK M MAC被附加在报文中传输 用于消息的合法性鉴别如果接收端通过比较发现MAC匹配 则可确信报文M没有被篡改过 完整性 若攻击者更改报文内容而末更改MAC 则接收者计算出的MAC将不同于接收到的MAC 由于攻击者不知道密钥K 故他不可能计算出一个与更改后报文相对应MAC值 接收者也能够确信报文M是来自发送者的 真实性 只有发送者了解密钥K 也只有发送者能够计算出报文M所对应的正确的MAC值 a 对称加密技术 保密性与鉴别 附加报文鉴别结构 源点A对消息明文M首先利用校验函数F计算出消息的校验码C F M 校验码C F M 被附加到原始消息明文上 生成新的明文 M C 利用密钥K对明文 M C 进行加密 得到密文X EK M C 将密文X发送给接收端B终点B接收密文X 用密钥K解密得到明文Y DK X 其中Y被视为附加校验码的消息 即Y M C 利用校验函数F计算明文Y中消息部分的校验码F M 若校验码相匹配 即F M C 则可确认报文是可信的 M 就是原始消息M 并且可以确认该报文就是来自A的 因为任何随机的比特序列是不可能具有这种期望的数学关系的 b 公钥和私钥加密 保密 鉴别 KUb提供保密性KRa提供鉴别和签名 C 使用秘密值进行鉴别 或消息认证 使用MAC方式使用HASH方式HMAC MAC的基本用法 a 报文鉴别 Providesauthentication onlyAandBshareK MAC CK M 是鉴别生成公式 通信双方A和B共享一个密钥K 报文M和附加的鉴别MAC一起传送到接收方 接收方使用相同的密钥K并执行相同的函数C生成鉴别码 并将收到的鉴别码MAC与计算得到的鉴别码比较 相同表明报文没改变 MAC的基本用法 1 MAC的基本用法 2 报文鉴别与保密 鉴别码与明文连接后加密 Providesauthentication onlyAandBshareK1Providesconfidentiality onlyAandBshareK2 MAC的基本用法 3 报文鉴别与保密 鉴别码与密文连接 Providesauthentication UsingK1Providesconfidentiality UsingK2 散列函数HashFunction 一个公开的函数H M 输入为任意长度的消息M 输出为一个固定长度的散列值 称为消息摘要MessageDigest 这个散列值是消息M的所有位的函数并提供错误检测能力 散列值唯一对应原始报文 消息中的任何一位或多位的变化都将导致该散列值的变化 散列函数对明文认证和数字签名都是非常重要的 函数的散列值是对明文的一种 指纹 或者 摘要 可是视为对明文的签名 Hash与MAC的区别与密钥相关的单向散列函数通常称为MAC 因此MAC需要密钥 MAC计算速度慢 Hash是一种直接产生鉴别码的方法 不需要密钥 对任意长度的报文直接产生定长的鉴别码 消息摘要 MessageDigests 是单向的散列函数 它以变长的信息为输入 把其压缩成一个定长的值输出 若输入的信息被改变了 则输出的定长值 摘要 也会相应改变 消息摘要可以用于产生程序或文档的 指纹 以发现对这些数据的修改 报文摘要要求不同内容的数据形成相同摘要的概率几乎为零 同时根据摘要值无法还原出数据 散列函数HashFunction 几种常用的HASH算法 RSAMD5SHA 1 美国政府的安全Hash标准 RIPEMD 160HMAC MD5简介 Merkle于1989年提出hashfunction模型是一种迭代结构 迭代结构的动力源于Merkle和Damgard所做的结论 如果压缩函数能够抵抗碰撞的话 那么合成的迭代函数也具有这样的性质 因此可以将此结构运用于产生操作任何消息长度的安全hash函数 设计安全hash函数的问题就变为设计碰撞抵抗的压缩函数的问题 该压缩函数能够操作某种固定大小的输入 新的设计只是改进这种结构和增加hash代码的长度 RonRivest于1990年提出MD4 为32位计算机系统 1992年 MD5 RFC1321 developedbyRonRivestatMIT在近年之前 MD5是最主要的hash算法 MD5把数据分成512 bit块 MD5可以输入任意长度的明文 产生128位的摘要 美国国家标准局 NIST 为配合数字签名算法 DSA 在1993年对外公布为SHA 依据MD4方法设计 SHA对任意长度明文的预处理和MD5的过程是一样的 即预处理完后的明文长度是512位的整数倍 SHA的输出是160位 分别存储于5个32位的记录单元中 SHA特点 安全性 SHA所产生的摘要较MD5多了32位 速度 两种方法都是主要考虑以32位处理器为基础的系统结构 但SHA的运算步骤较MD5多了16个步骤 而且SHA记录单元的长度较MD5多了32位 以硬件来实现SHA 其速度大约较MD5慢了25 简易性 两种方法都是相当的简单 在实现上不需要很复杂的程序或是大量的存储空间 然而从总体上来讲 SHA对每一步的操作描述较MD5简单 数据的存储方式 MD5使用little endian方式 SHA使用big endian方式 安全散列函数 SHA 传统上构造MAC最为普遍使用的方法 即基于分组密码的构造方法 研究表明MAC可用分组加密算法产生 可以与任何迭代散列函数捆绑使用 hash函数可用来构造MAC 散列函数并不是为用于MAC而设计的 由于散列函数不使用密钥 因此不能直接用于MAC 将散列函数和密钥结合起来产生鉴别码 称为基于散列函数的报文鉴别码HMACIP安全协议强制实现的MAC 由RFC2104定义的HMAC 全称为Keyed HashMessageAuthenticationCode 用一个秘密密钥来产生和验证MAC HMAC简介 HMAC实现 其中H为嵌入的散列函数 如MD5 SHA M为HMAC的输入消息 包括散列函数所要求的填充位 Yi 0 i L 1 是M的第i个分组 L是M的分组数 b是一个分组中的比特数 n为由嵌入的散列函数所产生的散列值的长度 K为密钥 如果密钥长度大于b 则将密钥输入到散列函数中产生一个n比特长的密钥K 是左边经填充0后的K K 的长度为b比特 ipad为b 8个00110110 opad为b 8个01011010 表达式 HMAC K text H K opad H K ipad text 数字签名 数字签名 报文鉴别 Messageauthentication 用以保护双方之间的数据交换免遭第三方侵犯 但它并不保证双方自身的相互欺骗 假定A发送一个认证的信息给B 双方之间的争议可能有多种形式 B伪造一个不同的消息 但声称是从A收到的 A可以否认发过该消息 B无法证明A确实发了该消息 实际案例 电子商务中电子支票中改大金额 股票交易指令亏损后抵赖 数字签名 DigitalSignature 是针对电子文档的一种签名确认方法 是公开密钥体系加密技术发展的一个重要的成果 对相互欺骗的问题提供了一种解决方案 在电子商务系统中具有重要作用 数字签名功能 数字签名用来保护信息传输过程中信息的完整性和提供信息发送者的身份的确认 数字签名是对现实生活中笔迹签名的功能模拟 必须能够用来证实签名的日期和时间 签名应具有法律效力 必须能被第三方证实用以解决争端 对消息进行签名时 数字签名必须能够对消息的内容进行鉴别 也意味着包含对签名进行鉴别的功能 接收者不能伪造对报文的签名发送者事后不能抵赖对报文的签名 数字签名原理 数字签名 DigitalSignature 用签名者自己的私钥对原始数据的hash计算 所形成的的数据 信息接收者使用信息发送者的公钥对附在原始信息后的数字签名进行解密后获得hash摘要 并通过与自己用收到的原始数据产生的hash摘要对照 便可确信原始信息是否被篡改 同时通过利用发送者的公钥进行解密来验证发送者的私钥 从而实现对发送者身份的确认 保证消息来源的真实性 私钥 和数据传输的完整性 hash值 以方式分直接数字签名directdigitalsignature仲裁数字签名arbitrateddigitalsignature以安全性分无条件安全的数字签名计算上安全的数字签名以可签名次数分一次性的数字签名多次性的数字签名 数字签名的解决方案 直接数字签名 DDS 1 A B M EKRa H M 提供鉴别及数字签名 H M 受到密码算法的保护 用hash算法生成报文鉴别码 随同原始报文一起发送 只有A能够生成EKRa H M 1 A B EK M EKRa H M 提供加密 鉴别和数字签名 仲裁数字签名 引入仲裁者 如CA中心 来解决直接签名方案中的问题 仲裁者 所有通信方都能充分信任的机构 假定X和Y之间进行通信 做法是所有从发送方X到接收方Y的签名消息首先送到仲裁者A A将消息及其签名进行一系列测试 以检查其来源和内容 然后将消息加上日期并与已被仲裁者验证通过的 仲裁证实 标记一起发给Y 仲裁者扮演敏感和关键的角色 所有的参与者必须极大地相信这一仲裁机制工作正常 trustedsystem 数字签名算法 普通数字签名算法 数字签名主要有3种应用广泛的方法 RSA签名 DSS签名和Hash签名RSAEIGamalDSS DSA不可否认的数字签名算法群签名算法盲签名算法 DSS 数字签名标准 DSS 数字签名标准 是方案是特别为签名的目的而设计的 这个方案的改进已被美国NIST 国家标准和技术研究所 采纳作为数字签名标准FIPSPUB186 DSS为EIGamal和Schnorr签名方案的改进 其使用的算法记为DSA DigitalSignatureAlgorithm数字签名算法 DSS提供了一种核查电子传输数据及发送者身份的一种方式 适用于E mail 电子金融信息传输 电子数据交换等需要数据完整性和真实性的应用 DSS基于安全散列算法 SHA DSS的数字签名方案 了解 KUa 密钥管理 密钥管理 现代所有的密码技术都依赖于密钥 密钥的管理本身是保证密钥安全性的关键点 密钥管理方法因所使用的密码体制 对称密码体制和公钥密码体制 而异 处理密钥自产生到最终销毁的整个过程中的有关问题 包括密钥的初始化 密钥的产生 存储 分配 撤销和销毁等内容 密钥管理 keymanagement 在一种安全策略指导下对密钥的产生 存储 分配 删除 归档及应用进行的管理 公钥密码体制的密钥分配要求与对称密码体制的密钥分配要求有着本质的差别 当分配一个公钥时 不需要机密性 然而 公钥的完整性是必需的 密钥生存周期 密钥的生存周期 授权使用该密钥的周期 主要有以下几个阶段 产生分配启用 停用更新 替换撤销销毁密钥管理直接原因 拥有大量的密文有助于密码分析 一个密钥使用得太多了 会给攻击者增大收集密文的机会 假定一个密钥受到危及或用一个特定密钥的加密 解密过程被分析 则限定密钥的使用期限就相当于限制危险的发生 密钥的产生 密钥生产形式现有两种 必须在安全环境中产生密钥以防止对密钥的非授权访问 一种是由中心 或分中心 集中生产 也称有边界生产 另一种是由个人分散生产 也称无边界生产 最好的密钥还是随机密钥 如使用一个秘密的随机初始种子控制的伪随机软件过程产生密钥 基于密码算法的随机数生成器循环加密 DES的输出反馈 OFB 模式 ANSIX9 17密钥生成器 密码反馈 CFB 模式 基本原理如图 输出反馈 OFB 模式 基本原理如图 密钥的使用 密钥装入 主机主密钥 加密密钥 会话密钥 初始密钥等不同性质的密钥装入方式各异密钥登记 将产生的密钥与特定的使用捆绑在一起 例如 用于数字签名的密钥 必须与签名者的身份捆绑在一起 这个捆绑必须通过某一授权机构来完成 密钥更新 加密时需要每天更新密钥或从旧的密钥生成新的密钥密钥备份 使用秘密共享协议或使用智能卡暂存密钥恢复 是指当一个密钥由于某种原因被破坏 并没有被泄露出去时 从它的备份拷贝重新得到该密钥的过程 密钥存储 前两种都需要解决密钥传递技术 以获取对方的公钥 第三种还要解决公用媒体的安全技术 将所有密钥或公钥存储在专用媒体 软盘 芯片等 一次性发放给各用户 用户在本机中就可以获得对方的公钥 用对方的公钥建立密钥环各自分散保存 如PGP 将各用户的公钥存放在公用媒体中密钥撤销 与密钥有关的系统的迁移 或当怀疑一个特定的密钥已受到威胁 密钥的使用目的已经改变 如 提高安全级别 时 就需要撤销原有密钥密钥销毁 清除一个密钥的所有踪迹 一个密钥的值在被停止使用后可能还要持续一段时间 例如 一条记载的加密数据流包含的信息可能仍然需要保密一段时间 为此 使用的任何密钥的秘密性都需要保持到所保护的信息不再需要保密为止 在密钥的使用活动终结后 安全地销毁所有敏感密钥的拷贝 使得攻击者通过观察旧的数据文件 存储的内容或抛弃的设备确定旧密钥值是不可能的 密钥托管 出发点是政府机构希望在需要时可通过密钥托管技术解密一些特定信息 此外用户的密钥若丢失或损坏时也可通过密钥托管技术恢复出自己的密钥 实现手段通常是把加密的数据和数据恢复密钥联系起来 数据恢复密钥不必是直接解密的密钥 但由它可以得到解密密钥 密钥的保护 密钥的分配 解决两个主要问题 引进自动密钥分配机制 减轻负担 提高系统的效率 尽可能减少系统中驻留的密钥量 提高安全性 基于对称密码体制的密钥分配基于公开密码体制的密钥分配公开加密加常规加密的密钥分配 基于公开密钥体制的密钥的分配 公开宣布Publicannouncement公开可以得到的目录Publiclyavailabledirectory公开密钥管理机构Public keyauthority公钥证书Publickeycertificates 基于公开密钥体制的密钥的分配 公钥证书 公钥证书 用户通过公钥证