网络信息安全内容整理.pptx

上传人：夺命阿水

文档编号：379579

上传时间：2023-05-05

格式：PPTX

页数：89

大小：1.60MB

《网络信息安全内容整理.pptx》由会员分享，可在线阅读，更多相关《网络信息安全内容整理.pptx（89页珍藏版）》请在课桌文档上搜索。

1、2023/5/5,1,网络信息安全Chapter 1 Introduction,2023/5/5,2/41,1.3 安全攻击,对任何机构的信息资源进行破坏的行为即安全攻击信息安全就是要检测和防范这种攻击行为通常threat和attack指的是同样的事情安全攻击的行为范围很广通常有两大类安全攻击被动攻击：对传输进行窃听和监测，通信和信息不受影响，用户感觉不到攻击存在，攻击通常是窃听或流量分析，判断通信性质主动攻击：攻击者破坏通信过程，拦截、修改、伪造、丢弃信息、拒绝服务或假冒合法用户,2023/5/5,3/41,Passive Attack-release of contents 被动攻击之消息

2、内容的泄漏,2023/5/5,4/41,Passive Attacktraffic analysis被动攻击之流量分析,2023/5/5,5/41,Active AttackMasquerade主动攻击之伪装,2023/5/5,6/41,Active AttackReplay主动攻击之重放,2023/5/5,7/41,Active AttackModification of messages 主动攻击之消息修改,2023/5/5,8/41,Active AttackDenial of Service主动攻击之拒绝服务,2023/5/5,9/72,网络信息安全Chapter 2 Classica

3、l Encryption Techniques,2023/5/5,10/72,理论安全，或无条件安全Theoretical Secure(or Perfect Secure)攻击者无论截获多少密文，都无法得到足够的信息来唯一地决定明文。Shannon用理论证明：欲达理论安全，加密密钥长度必须大于等于明文长度，密钥只用一次，用完即丢，即一次一密，One-time Pad，不实用。实际安全，或计算上安全Practical Secure(or Computationally Secure)如果攻击者拥有无限资源，任何密码系统都是可以被破译的；但是，在有限的资源范围内，攻击者都不能通过系统的分析方法来

4、破解系统，则称这个系统是计算上安全的或破译这个系统是计算上不可行(Computationally Infeasible)。,理论安全和实际安全,2023/5/5,11/72,对称密码体制(Symmetric System,One-key System,Secret-key System)加密密钥和解密密钥相同，或者一个密钥可以从另一个导出，能加密就能解密，加密能力和解密能力是结合在一起的，开放性差。非对称密码体制(Asymmetric System,Two-key System,Public-key System)加密密钥和解密密钥不相同，从一个密钥导出另一个密钥是计算上不可行的，加密能力和解

5、密能力是分开的，开放性好。,对称密码体制和非对称密码体制,2023/5/5,12/72,序列密码如果密文不仅与最初给定的算法和密钥有关，同时也与明文位置有关(是所处位置的函数)，则称为序列密码体制。加密以明文比特为单位，以伪随机序列与明文序列模2加后，作为密文序列。分组密码如果经过加密所得到的密文仅与给定的密码算法和密钥有关，与被处理的明文数据在整个明文中的位置无关，则称为分组密码体制。通常以大于等于64位的数据块为单位，加密得相同长度的密文。,序列密码体制和分组密码体制,2023/5/5,13/72,确定型密码体制和概率密码体制确定型：当明文和密钥确定后，密文也就唯一地确定了。概率型：当明文

6、和密钥确定后，密文通过客观随机因素从一个密文集合中产生，密文形式不确定，称为概率型密码体制。单向函数型密码体制和双向变换型密码体制单向函数型密码体制适用于不需要解密的场合，容易将明文加密成密文，如哈希函数；双向变换型密码体制可以进行可逆的加密、解密变换。,其他加密体制,2023/5/5,14/72,现代密码学的基本原则设计加密系统时，总是假定密码算法是可以公开的，需要保密的是密钥。一个密码系统的安全性不在算法的保密，而在于密钥，即Kerckhoff原则。对加密系统的要求系统应该是实际上安全的(practical secure)，截获密文或已知明文密文对时，要决定密钥或任意明文在计算上是不可行

7、的。加密解密算法适用于密钥空间中的所有元素。系统易于实现，使用方便。系统的安全性不依赖于对加密体制或加密算法的保密，而依赖于密钥。系统的使用不应使通信网络的效率过分降低。,现代密码学基本原则,2023/5/5,15/72,传统密码的简化模型,2023/5/5,16/72,传统密码体制的模型,Y=Ek(X)X=Dk(Y),2023/5/5,17/36,网络信息安全Chapter 3Block Cipher and Data Encryption Standard,2023/5/5,Cryptography and Network Security-2,18/36,第3章分组密码和数据加密标准,

8、分组密码是一种加密解密算法，将输入明文分组当做一个整体处理，输出一个等长的密文分组。许多分组密码都采用Feistel结构，这样的结构由许多相同的轮函数组成。每一轮里，对输入数据的一半进行代换，接着用一个置换来交换数据的两个部分，扩展初始的密钥使得每一轮使用不同的子密钥。DES是应用最为广泛的分组密码，它扩展了经典的Feistel结构。DES的分组和密钥分别是64位和56位的。差分分析和线性分析是两种重要的密码分析方法。DES对这两种攻击有一定的免疫性。,2023/5/5,Cryptography and Network Security-2,19/36,乘积密码的设计思想,Claude Sha

9、nnon and Substitution-Permutation Ciphers 1949年，Claude Shannon 引进了substitution-permutation(S-P)networks的思想，即现代的乘积加密器，形成了现代分组加密的基础。S-P Networks 是基于替代和置换这两个基本操作的。提供了对明文信息处理所做的confusion和diffusion。Shannon认为，为了对付基于统计分析的密码破译，必须对明文作confusion(混淆)和diffusion(扩散)处理，以减少密文的统计特性，为统计分析制造障碍。diffusion 明文统计结构扩散消失到大批密

10、文统计特性中，使明文和密文之间统计关系尽量复杂；confusion 混淆，使密文和加密密钥之间的关系尽量复杂。,2023/5/5,Cryptography and Network Security-2,20/36,2023/5/5,21/51,网络信息安全Chapter 4 Finite Fields,2023/5/5,现代密码学理论与实践04,22/51,4.1群,环和域Groups,Rings,and Fields,群G,记作G,定义一个二元运算的集合，G中每一个序偶(a,b)通过运算生成G中元素(ab)，满足下列公理：(A1)封闭性Closure:如果a和b都属于G,则ab也属于G.(A

11、2)结合律Associative:对于G中任意元素a,b,c，都有a(bc)=(ab)c成立(A3)单位元Identity element:G中存在一个元素e，对于G中任意元素a，都有ae=ea=a成立(A4)逆元Inverse element:对于G中任意元素a,G中都存在一个元素a，使得aa=aa=e成立,2023/5/5,现代密码学理论与实践04,23/51,交换群和循环群,交换群Abelian Group：还满足以下条件的群称为交换群(又称阿贝尔群)(A5)交换律Commutative：对于G中任意的元素a,b，都有ab=ba成立当群中的运算符是加法时，其单位元是0；a的逆元是-a,并

12、且减法用以下的规则定义：a b=a+(-b)循环群Cyclic Group如果群中的每一个元素都是一个固定的元素a(a G)的幂ak(k为整数)，则称群G为循环群。元素a生成了群G，或者说a是群G的生成元。,2023/5/5,现代密码学理论与实践04,24/51,环(Rings),环R,由R,+,x表示,是具有加法和乘法两个二元运算的元素的集合，对于环中的所有a,b,c,都服从以下公理：(A1-A5),单位元是0，a的逆是-a.(M1),乘法封闭性,如果a和b属于R,则ab也属于R(M2),乘法结合律,对于R中任意a,b,c有a(bc)=(ab)c.(M3),乘法分配律,a(b+c)=ab+a

13、c or(a+b)c=ac+bc(M4),乘法交换律,ab=ba，交换环(M5),乘法单位元,R中存在元素1使得所有a有 a1=1a.(M6),无零因子,如果R中有a,b且ab=0,则 a=0 or b=0.满足M4的是交换环；满足M5和M6的交换环是整环,2023/5/5,现代密码学理论与实践04,25/51,域(Fields),域F,可以记为F,+,x,是有加法和乘法的两个二元运算的元素的集合，对于F中的任意元素a,b,c,满足以下公理：(A1-M6),F是一个整环(M7),乘法逆元,对于F中的任意元素a(除0以外),F中都存在一个元素a-1,使得aa-1=(a-1)a=1.域就是一个集合

14、，在其上进行加减乘除而不脱离该集合,除法按以下规则定义:a/b=a(b-1).有理数集合,实数集合和复数集合都是域；整数集合不是域，因为除了1和-1有乘法逆元，其他元素都无乘法逆元,2023/5/5,现代密码学理论与实践04,26/51,(a1 op a2)mod n=(a1 mod n)op(a2 mod n)mod n 反身性：a=a mod n 对称性：若a=b mod n，则b=a mod n 传递性:若a=b mod n 且b=c mod n，则a=c mod n 如果 a=b mod n且 c=d mod n，则 a+c=(b+d)mod n a-c=(b-d)mod n ac=(

15、bd)mod n(a+b)mod n=(a mod n+b mod n)mod n(a-b)mod n=(a mod n-b mod n)mod n(ab)mod n=(a mod n b mod n)mod n,模算术运算,2023/5/5,现代密码学理论与实践04,27/51,(a+b)mod n=(a mod n+b mod n)mod n 证明：定义(a mod n)=ra,(b mod n)=rb于是存在整数j,k使得a=ra+jn,b=rb+kn.那么(a+b)mod n=(ra+jn+rb+kn)mod n=(ra+rb+(k+j)n)mod n=(ra+rb)modn=(a m

16、od n)+(b mod n)mod n,模算术运算,2023/5/5,现代密码学理论与实践-06,28/58,网络信息安全Chapter 6 More on Symmetric Ciphers,2023/5/5,现代密码学理论与实践-06,29/57,6.1.1 双重DES,多次加密的最简单形式是进行两次加密，每次使用不同的密钥C=EK2(EK1(P)P=DK1(DK2(C)这种方法的密钥长度是56x2=112位虽然双重DES对应的映射与单DES对应的映射不同，但是有中途相遇攻击“meet-in-the-middle”只要连续使用密码两次，这种攻击总是有效因为X=EK1(P)=DK2(C)用

17、所有可能的密钥加密明文P并把结果存储起来然后用所有可能的密钥解密密文C，寻找匹配的X值因此复杂度只有O(256),2023/5/5,现代密码学理论与实践-06,30/57,双重DES和三重DES,双重DES(Double DES)给定明文P和加密密钥K1和K2,加密：C=EK2EK1P解密：P=DK1DK2C密钥长度为56x2=112位存在中途相遇攻击问题,2023/5/5,现代密码学理论与实践-06,31/57,6.2 分组密码的工作模式,2023/5/5,现代密码学理论与实践-08,32,网络信息安全Chapter 8 Introduction to Number Theory,2023/

18、5/5,现代密码学理论与实践-08,33/68,8.2 费马定理和欧拉定理,定理8.1 费马定理 Fermats Theorem若p是素数,a是正整数且不能被p整除,则ap-1 mod p=1证明：因为a mod p,2a mod p,.,(p-1)a mod p是1,2,.,(p-1)的置换形,所以,(a2a.(p-1)a)(12.(p-1)(mod p)(p-1)!mod p.但是,a2a.(p-1)a=(p-1)!ap-1,因此(p-1)!ap-1(p-1)!mod p,两边去掉(p-1)!,即得ap-1mod p=1.例如：a=7,p=19,ap-1mod p=718 mod 19=?

19、72=4911 mod 19 74=1217 mod 19 78=4911 mod 19 716=1217 mod 19 ap-1=718=716x727x111 mod 19,2023/5/5,现代密码学理论与实践-08,34/68,8.2 费马定理和欧拉定理,用a乘以集合中所有元素并对p取模，则得到集合X=a mod p,2a mod p,(p-1)a mod p。因为p不能整除a，所以X的元素都不等于0，而且各元素互不相等。假设ja ka(mod p),其中1jkp-1,因为a和p互素，所以两边可以把a消去，则推出j k(mod p)，而这是不可能的。因此X的p-1个元素都是正整数且互不

20、相等。所以说X和1,2,p-1构成相同，只是元素顺序不同。,35,（1）计算610 mod 11若p是素数,a是正整数且不能被p整除,则ap-1 mod p=1解法：我们可得610 mod 11=1。这是p=11 时，可以使用费马小定理的第一个版本直接计算得到。,费马小定理（范例）,36,（2）计算312 mod 11apa mod p,p是素数解法：此处指数（12）和模数（11）是不同的。,费马小定理（范例）,2023/5/5,现代密码学理论与实践-08,37/68,欧拉函数(n)的证明,定理8.2 p和q是素数,n=p*q,(n)=(p)(q)=(p-1)(q-1)显然，对于素数p，(p)

21、=p-1证明：考虑余数集合0,1,(pq-1)中不与n互素的余数集合是p,2p,(q-1)p,q,2q,(p-1)q和0,所以(n)=pq-(q-1)+(p-1)+1=pq-(p+q)+1=(p-1)(q-1)=(p)(q),38,欧拉定理,对任意互质的a和n有：,39,（1）若 n 是素数，根据和费马小定理，則上式成立；若p是素数,a是正整数且不能被p整除,则ap-1 mod p=1（2）所有小于 n，且与 n 互质的正整数的集合,欧拉定理（证明）,40,欧拉定理（证明）,即每一个元素都有gcd(xi,n)=1。用a与R中的每个元素模n相乘：S是R的一个排列，因为(1)a与n互素，且xi与

22、n互素，所以axi必与n互素，这样S中所有元素均小于n且与n互素。(2)S中没有重复元素，所以集合S是集合R的一个置换。,41,欧拉定理（证明）,2023/5/5,现代密码学理论与实践-08,42/68,8.4 Chinese Remainder Theorem,中国余数定理CRT说明某一范围内的整数可通过它对两两互素的整数取模所得的余数来重构Z10(0,1,9)中的10个整数可通过它们对2和5(10的素因子)取模所得的两个余数来重构.假设数x的余数r2=0 且r5=3,即x mod 2=0,x mod 5=3,则x是Z10中的偶数且被5除余3,唯一解x=8.一种CRT的表示形式令M=mi,其

23、中mi两两互素,1=i,j=k,ij,gcd(mi,mj)=1将Zm中的任一整数对应一个k元组,该k元组的元素均在Zmi中,对应关系为A(a1,a2,ak),其中AZm,对1=i=k,aiZmi,且ai=A mod mi,2023/5/5,现代密码学理论与实践-08,43/68,8.4 Chinese Remainder Theorem,断言一对任何A，0AM，有唯一的k元组(a1,a2,ak)与之对应，其中0aimi，并且对任何这样的k元组(a1,a2,ak)，ZM中有唯一的A与之对应。,2023/5/5,现代密码学理论与实践-08,44/68,8.4 Chinese Remainder T

24、heorem,由A到(a1,a2,ak)的转换显然是唯一确定的。即只需取ai=A mod mi。对给定的(a1,a2,ak)，可如下计算A。,2023/5/5,现代密码学理论与实践-08,45/68,孙子定理(孙子算经,3-5世纪),今有物不知其数,三三数之剩二,五五数之剩三,七七数之剩二,问物几何。x mod 3=2n=3*5*7=105x mod 5=3d1=3,d2=5,d3=7x mod 7=2x1=2,x2=3,x3=2,2023/5/5,现代密码学理论与实践-08,46/68,孙子定理(孙子算经,3-5世纪),今有物不知其数,三三数之剩二,五五数之剩三,七七数之剩二,问物几何。x

25、mod 3=2n=3*5*7=105x mod 5=3d1=3,d2=5,d3=7x mod 7=2x1=2,x2=3,x3=2(1)求yi，()yi mod di=1()y1 mod 3=1()y2 mod 5=1()y3 mod 7=1得：35 y1 mod 3=1y1=221 y2 mod 5=1y2=115 y3 mod 7=1y3=1(2)x=(352221131512)mod 105=23,2023/5/5,现代密码学理论与实践-09,47/32,网络信息安全 Chapter 9 Public-key Cryptography and RSA,2023/5/5,现代密码学理论与实践

26、-09,48/32,公开密钥加密过程,2023/5/5,现代密码学理论与实践-09,49/32,公开密钥认证过程,2023/5/5,现代密码学理论与实践-09,50/32,算法流程随机选择两个秘密大素数p和q；计算公开模数n=p*q；计算秘密的欧拉指数函数(n)=(p-1)(q-1)；选择一个与(n)互素的数，作为e或d；用Euclid算法计算模(n)的乘法逆元素，即根据 ed mod(n)=1,求d或e；加密：C=Me mod n解密：M=Cd mod n=(Me mod n)d mod n=M这里，(n)为欧拉函数,即集合(1,2,.,n-1)中与n互素的数的个数。,RSA密码体制基本原理

27、,2023/5/5,现代密码学理论与实践-09,51/32,2023/5/5,现代密码学理论与实践-09,52/32,2023/5/5,现代密码学理论与实践-09,53/32,一个例子,p=17,q=11,e=7,M=88求公钥KU和私钥KR分别为多少？加密计算后所得到的C为多少？并验证解密运算后，是否能恢复出明文M。,2023/5/5,现代密码学理论与实践-09,54/32,一个例子,p=17,q=11,n=pq=17x11=187,(n)=(p-1)(q-1)=16x10=160选择e=7,gcd(7,160)=1,23x7=161,所以d=23公钥KU=7,187,私钥KR=23,187

28、,M=88加密计算C=887 mod 187887 mod 187=(884mod187)x882mod187)x881mod187)mod187881mod187=88882mod187=7744mod187=77884mod187=59969536mod187=132887mod187=(88x77x132)mod187=894432mod187=11解密计算M=1123 mod 187=88,2023/5/5,现代密码学理论与实践-09,55/32,RSA密码体制基本原理,RSA算法满足公开密钥加密的要求,必须符合下列条件：有可能找到e,d,n的值,使得对所有Mn有 Med mod n=

29、M对于所有Mn的值,要计算Me和Cd是相对容易的在给定e和n时,计算d是不可行的几个关系(n)=(pq)=(p)(q)=(p-1)(q-1),p,q are primeed mod(n)=1,ed=k(n)+1,即ed1 mod(n),de-1 mod(n),2023/5/5,现代密码学理论与实践-10,56/59,网络信息安全 Chapter 10 Key Management;Other Public Key Cryptosystem,2023/5/5,现代密码学理论与实践-10,57/60,公开密码的主要作用之一就是解决密钥分配问题，公钥密码实际上可以用于以下两个不同的方面公钥的分配公钥

30、密码用于传统密码体制的密钥分配几种公钥分配方法公开发布、公开可访问的目录公钥授权、公钥证书公钥的公开发布用户将他的公钥发送给另一通信方，或者广播给通信各方，比如在电子邮件后附上PGP密钥，或者发布到邮件列表上最大问题在于任何人都可以伪造这种公钥的发布,10.1.1 密钥管理之公钥的分配,2023/5/5,现代密码学理论与实践-10,58/60,自由的公钥发布,2023/5/5,现代密码学理论与实践-10,59/60,维护一个动态可访问的公钥目录可以获得更大程度的安全性一个可信实体或组织负责这个公开目录的维护和分配目录包含name,public-key等项每一通信方通过目录管理员以安全的方式注册

31、一个公钥通信方在任何时刻可以用新的密钥替代当前的密钥目录定期更新目录可通过电子方式访问一旦攻击者获得目录管理员私钥，则可传递伪造的公钥，可以假冒任何通信方以窃取消息，或者修改已有的记录,公开可访问的目录,2023/5/5,现代密码学理论与实践-10,60/60,公开可访问的目录,2023/5/5,现代密码学理论与实践-10,61/60,A发送带有时间戳的消息给公钥管理员,请求B的当前公钥管理员给A发送用其私钥KRauth加密的消息,A用管理员的公钥解密，可以确信该消息来自管理员：B的公钥KUb，用来加密；原始请求，A可以验证其请求未被修改；原始时间戳,A可以确定收到的不是来自管理员的旧消息。A

32、保存B的公钥,并用它对包含A的标识IDA和Nonce1的消息加密,然后发送给BB以同样方式从管理员处得到A的公钥B用KUa对A的N1和B的N2加密,发送给AA用B的公钥对N2加密并发送给B,使B相信其通信伙伴是A,公钥授权,2023/5/5,现代密码学理论与实践-10,62/60,公钥分配方案,2023/5/5,现代密码学理论与实践-10,63/60,有了公钥证书使得不通过实时访问公钥授权部门而实现公钥交换成为可能公钥证书将一个通信方的身份与他的公开密钥绑定在一起，通常还包括有效期和使用方法等证书的所有内容必须经由可信公钥授权方或者证书授权方签名后方可生效知道公钥授权当局公开密钥的任何人都可以

33、验证一个用户的公开密钥证书的有效性对于申请者A，管理员提供的证书为：CA=EKRauth T,IDA,KUa其他人读取并验证：DKUauthCA=DKUauth EKRauth T,IDA,KUa=(T,IDA,KUa),10.1.2 公钥证书,2023/5/5,现代密码学理论与实践-10,64/60,公钥证书的交换,2023/5/5,现代密码学理论与实践-10,65/60,采用前述方法获得的公开密钥可以用于保密和认证之需公钥密码算法速度较慢，因此更适合作为传统密码中实现秘密密钥分配的一种手段因此，需要产生会话密码来加密已经有一些方法用来协商适当的会话密钥,10.1.3 利用公钥密码分配传统

34、密码体制的密钥,2023/5/5,现代密码学理论与实践-10,66/60,10.2 Diffie-Hellman密钥交换,Diffie和Hellman在1976年首次提出了公钥算法，给出了公钥密码学的定义，该算法通常被称为Diffie-Hellman密钥交换算法Diffie-Hellman密钥交换算法是一种公钥分发机制它不是用来加密消息的所生成的是通信双方共享的会话密钥，必须保密，其值取决于通信双方的私钥和公钥信息Diffie-Hellman密钥交换算法是基于有限域GF中的指数运算的(模一素数或多项式)Diffie-Hellman密钥交换算法的安全性依赖于求解离散对数问题DLP,2023/5/

35、5,现代密码学理论与实践-10,67/60,Diffie-Hellman Key Exchange,通信双方约定一个大素数(或多项式)p,和模p的一个素根各方产生公开密钥选择一个秘密钥(数值)，如xA p，xB p 计算公钥,如yA=xA mod p,yB=xB mod p,并相互交换双方共享的会话密钥KAB可以如下算出 KAB=xA.xB mod p=yAxB mod p(which B can compute)=yBxA mod p(which A can compute)KAB是双方用对称密码通信时共享的密钥如果双方继续通信，可以继续使用这个密钥，除非他们要选择新的密钥攻击者如果想要获

36、得x,则必须解决DLP问题,2023/5/5,现代密码学理论与实践-10,68/60,10.2.2 Diffie-Hellman密钥交换协议,本协议不能抵抗中间人攻击,2023/5/5,现代密码学理论与实践-10,69/60,中间人攻击,假定A和B希望交换密钥，而D是攻击者，攻击过程如下：,2023/5/5,现代密码学理论与实践-10,70/60,假设A和B互相通信，共享大素数p，本原元素，0mp-1加密：A选择k0,p-1,k的作用其实即为xA,A访问公共区域找到B的公开密钥YB=xB mod p,计算：K=(YB)k mod p,即K=xBk mod pc1=k mod pc2=mK mo

37、d p密文即为(c1,c2)解密：B首先恢复K：K=c1xB mod p=kxB mod p然后恢复m：m=c2/K mod p=c2K-1 mod p,基于DLP的概率密码系统ElGamal Cryptosystem,2023/5/5,现代密码学理论与实践-10,71/60,例：P=17,=3,xA=2,xB=5,m=11,m从A发送到B,A选择k=7.求：密文(c1,c2)并解密,ElGamal Cryptosystem,2023/5/5,现代密码学理论与实践-10,72/60,例：P=17,=3,xA=2,xB=5,m=11,m从A发送到B,A选择k=7.求：密文(c1,c2)并解密加密

38、：YA=xA mod P=32 mod 17=9YB=xB mod P=35 mod 17=5K=(YB)k mod P=57 mod 17=10c1=k mod P=37 mod 17=11c2=mK mod P=10 x11 mod 17=8所以，密文C=(c1,c2)=(11,8)解密：K=c1xB mod P=115 mod 17=10c2=mK mod P=10m mod 17=8m=c2/K mod P=c2K-1 mod PK K-1 mod P=1，即10 K-1 mod 17=1，得K-1=12所以，明文m=c2K-1 mod P=8x12 mod 17=11,ElGamal

39、 Cryptosystem,2023/5/5,现代密码学理论与实践-11,73/35,网络信息安全Chapter 11 Message Authentication and Hash Functions,2023/5/5,现代密码学理论与实践-11,74/35,MAC加密所得的消息校验和MAC=CK(M)使用一个秘密密钥K，浓缩一个变长的消息M，产生一个固定长度的认证子MAC是一种多对一的函数定义域由任意长的消息组成，值域由所有可能的MAC和密钥组成。若使用n位长的MAC,则有2n个可能的MAC,有N条可能的消息,N2n.若密钥长度为k,则有2k种可能的密钥。如N为100,n为10,共有210

40、0不同的消息,210种不同的MAC,平均而言同一MAC可由2100/210=290条不同的消息产生。若密钥长度为5，则从消息集合到MAC值的集合有25=32不同映射。可以证明，由于认证函数的数学性质，与加密相比，认证函数更不易被攻破,MAC:消息认证码的特点,2023/5/5,现代密码学理论与实践-11,75/35,2023/5/5,现代密码学理论与实践-11,76/35,11.2.3 散列函数 Hash Function,一个散列函数以变长的报文M作为输入，产生定长的散列码H(M)，作为输出，亦称作报文摘要Message Digest.散列码是报文所有比特的函数值，具有差错检测能力，报文任意

41、一比特的改变都将引起散列码的改变不同的散列码使用方式对附加了散列码的报文进行加密使用常规加密方法仅对散列码加密使用公开密钥方法仅对散列码加密，提供数字签名同时提供保密和签名，可以分别使用常规方法加密报文及使用公开密钥方法加密散列码其他对避免加密的方法重视的原因加密过程很慢，硬件开销大,2023/5/5,现代密码学理论与实践-11,77/35,1.H可以应用于任意大小的数据块2.H产生固定长度的输出3.对任意给定的明文x，计算H(x)容易，可由硬件或软件实现4.对任意给定的散列码h，找到满足H(x)=h的x，在计算上不可行，单向性5.对任何给定的分组x，找到满足yx且H(x)=H(y)的y，在计

42、算上不可行，抗弱碰撞性6.找到任何满足H(x)=H(y)的偶对(x,y)，在计算上不可行，抗强碰撞性,对散列函数的要求 h=H(M),2023/5/5,现代密码学理论与实践-11,78/35,条件1,2,3是所谓单向性问题(One-way)条件4,5是对使用的哈希值的数字签名方法所做的安全保障，否则攻击者可由已知的明文及相关的数字签名任意伪造对其他明文的签名条件6主要用于防范所谓的生日攻击法能满足条件1-5的，称为弱哈希函数(Weak Hash Function)能同时满足条件6的，称为强哈希函数(Strong Hash Function)应用在数字签名上的哈希函数必须是强哈希函数,强哈希函数

43、,2023/5/5,现代密码学理论与实践-11,79/35,2023/5/5,现代密码学理论与实践-11,80/35,2023/5/5,现代密码学理论与实践-13,81/47,网络信息安全Chapter 13 Digital Signature and Authentication Protocols,2023/5/5,现代密码学理论与实践-13,82/47,13.1 数字签名Digital Signature,数字签名的简单定义数字签名是使以数字形式存储的明文信息经过特定密码变换生成密文，作为相应明文的签名，使明文信息的接收者能够验证信息确实来自合法用户，以及确认信息发送者身份。对数字签名的

44、基本要求在收发双方不能完全信任的情况下，需要除认证之外的其他方法来解决假冒和否认的问题，数字签名则是解决办法；签名接收者能容易地验证签字者对消息所做的数字签名，包括日期和时间；任何人，包括签名接收者，都不能伪造签名者的签字；发生争议时，可由第三方解决。,2023/5/5,现代密码学理论与实践-13,83/47,数字签名与消息认证的区别消息认证是使消息接收方验证消息发送者发送的内容有无被修改过，对防止第三者破坏足够，但收发双方有利害冲突时就无法解决纷争，需要更严格的手段，即数字签名。数字签名的基本形式对消息签名的两种方法对消息整体的签字，将被签消息整体经过密码变换得到签字；对消息摘要的签字

45、，附在被签消息之后，或嵌在某一特定位置上作一段签字图样。两类数字签名确定性数字签名，明文与签名一一对应；概率性数字签名，一个明文可以有多个合法签名，每次都不一样。,数字签名的基本形式,2023/5/5,现代密码学理论与实践-13,84/47,假定A和B互相通信,共享大素数p,本原元素 0=m=p-1,gcd(,p)=1,A和B各有自己的秘密xA和xB加密A选择k0,p-1,k的作用即为xA,A访问公共区域找到B的公开密钥YB=xB mod p,计算：K=(YB)k mod p，即K=xBk mod pc1=k mod pc2=mK mod p密文即为(c1,c2)解密B首先恢复K：K=c1xB

46、 mod p=kxB mod p然后恢复m：m=c2/K mod p=c2K-1 mod p,ElGamal的数据加密方法,2023/5/5,现代密码学理论与实践-13,85/47,若A为B签署m，0=m=p-1，A随机选择k0,p-1，gcd(k,p-1)=1计算r=k mod p计算m=YArrs mod p,YA=xA mod p即m=xA rk s mod p则 m=(xAr+ks)mod p-1根据此式求s，则对于m的数字签名即为(r,s)，0 r,sp-1.,ElGamal的数字签名方法,2023/5/5,现代密码学理论与实践-13,86/47,验证：给定m,r,和s，容易计算 m

47、 mod p=YArrs mod p,看其是否一致,k不能重复使用。（p287）例：p=17,=3,xA=2,xB=5,m=11,k=5,求签名及验证。,ElGamal数字签名的验证,2023/5/5,现代密码学理论与实践-13,87/47,验证：给定m,r,和s，容易计算 m mod p=YArrs mod p,看其是否一致,k不能重复使用。例：p=17,=3,xA=2,xB=5,m=11,k=5,求签名及验证。签名：r=k mod p=35 mod 17=5,11=(2x5+5s)mod 16=(10+5s)mod 16 5s mod 16=1,s=13.所以，签名为(5,13)。验证:m

48、 mod p=311 mod 17=102x10 x9 mod 17=7 YArrs mod p=(32)5 x 513 mod 17=7,ElGamal数字签名的验证,2023/5/5,现代密码学理论与实践-14,88/40,网络信息安全Chapter 14 Authentication Applications,2023/5/5,现代密码学理论与实践-14,89/40,IDC,IDtgs,TS1EKCKC,tgs,IDtgs,TS2,Lifetime1,Tickettgs Tickettgs=EKtgsKC,tgs,IDC,ADC,IDtgs,TS2,Lifetime2IDV,Tickettgs,AuthenticatorC(用户身份证明文件)AuthenticatorC=Ekc,tgsIDC,ADC,TS3Ekc,tgsKC,V,IDV,TS4,TicketV TicketV=EkvKC,V,IDC,ADC,IDV,TS4,Lifetime4TicketV,AuthenticatorC AuthenticatorC=Ekc,vIDC,ADC,TS5Ekc,vTS5+1,认证会话交互过程的信息细节,