網絡安全消息鑒別安全的信息交換應滿足的性質機密性（Confidentiality）完整性（Integrity）可用性（Availability）不可否認性（Non-repudiation）……消息鑒別的概念消息鑒別（MessageAuthentication）消息認證、報文認證、報文鑒別鑒別：消息接收者對消息進行的驗證，是一個證實收到的消息來自可信的源點且未被篡改的過程真實性：消息確實來自于真正的發送者，而非假冒完整性：消息內容沒有被篡改、重放或延遲消息鑒別的必要性網絡通信的安全威脅泄漏消息內容被泄漏給非授權用戶偽造假冒源點的身份向網絡中插入消息消息篡改內容篡改：插入、刪除、修改等序號篡改：在依賴序號的協議如TCP中，對消息序號進行篡改，包括插入、刪除、重排等時間篡改：對消息進行延遲或重放消息鑒別的作用保護雙方的數據交換不被其他人侵犯基于雙方共享的秘密但是消息鑒別無法解決雙方之間可能存在的爭議B偽造一個消息，聲稱是A發送的B否認發送過某個消息，而A無法證明B撒謊單純鑒別系統的模型安全信道信道信源鑒別編碼器鑒別密鑰源攻擊者鑒別解碼器信宿需要鑒別密鑰，而且此密鑰一般不同于加密密鑰消息鑒別系統的構成認證算法：底層實現的一項基本功能認證功能要求底層必須實現某種能生成認證標識的算法認證標識（鑒別符）是一個用于消息鑒別的特征值認證標識的生成算法用一個生成函數f來實現，稱為鑒別函數認證協議接收方用該協議來完成消息合法性鑒別的操作認證協議調用底層的認證算法（鑒別函數），來驗證消息的真實性鑒別函數f是決定認證（鑒別）系統特性的主要因素認證協議算法：鑒別函數高層認證協議消息鑒別系統的分類可根據鑒別函數的特性分類根據鑒別符的生成方式，鑒別函數可以分成以下幾類：基于消息加密方式的鑒別以整個消息的密文作為鑒別符基于消息鑒別碼（MAC）的鑒別方式發送方利用公開函數+密鑰產生一個固定長度的值作為鑒別標識，并與消息一同發送基于Hash函數的鑒別方式采用hash函數將任意長度的消息映射為一個定長的散列值，以此散列值為鑒別碼可以認為是MAC方式的一種特例基于消息加密方式的鑒別基于消息加密方式的鑒別以整個消息的密文為鑒別符加密模式對稱密鑰模式公開密鑰模式接收端鑒別的實現基于這樣的假設：接收端能夠正確地對密文解密，就可以確定消息是完整的，而且是來自于真實的發送方，從而實現了對消息的鑒別使用用對對稱稱密密鑰鑰模模式式提供供保保密密提供供鑒鑒別別僅來來自自A傳輸輸中中未未被被更更改改不提提供供簽簽名名MCMEDkk發送送方方A接收收方方B使用用對對稱稱密密鑰鑰模模式式的的問問題題存在在的的問問題題接收收端端怎怎樣樣判判斷斷密密文文的的合合法法性性接收收端端如如何何判判斷斷解解密密的的結結果果是是否否正正確確解密運運算的的本質質是數數學運運算原始消消息對對接收收端是是未知知的接收端端可以以得到到M’=Dk(c)怎么判判斷M=M’’一種方方法是是強制制明文文具有有某種種結構構使用公公鑰加加密體體制1提供保保密不提供供鑒別別和簽簽名MCMEDkUbkRb發送方方A接收方方B使用公公鑰加加密體體制2不提供供保密密提供鑒鑒別與與簽名名僅A有有KRa可以加加密傳輸中中未被被更改改MCMEDkRakUa發送方方A接收方方B使用公公鑰加加密體體制3提供保保密：：KUb提供鑒鑒別和和簽名名:KRaMCMEDkRakUa發送方方A接收方方BC’EkUbCEkRb基于MAC的鑒鑒別基于MAC的鑒鑒別消息鑒鑒別碼碼（MessageAuthenticationCode,MAC））發送方方采用用一種種類似似于加加密的的算法法和一一個密密鑰，，根據據消息息內容容計算算生成成一個個固定大大小的的小數數據塊塊，并加加入到到消息息中，，稱為為MAC。。MAC=fk(m)需要鑒別密密鑰核心是是類似似于加加密算算法的的鑒別碼碼生成成算法法MAC被附附加在在消息息中，，用于于消息息的合合法性性鑒別別功能接收者者可以以確信信消息息M未未被改改變接收者者可以以確信信消息息來自自所聲聲稱的的發送送者消息鑒鑒別碼碼的基基本原原理MMMMACMACf()f()比較密鑰K密鑰K認證結結果信道雙方共共享鑒鑒別密密鑰k發送方方接收方方MAC函數數的特特點MAC函數數類似似于加加密函函數，，需要要密鑰MAC函數數無需可可逆，可以以是單單向函函數使得MAC函數數更不不易被被破解解MAC函數數不能能提供供對消消息的的保密密保密性性通過過對消消息加加密而而獲得得需要兩兩個獨獨立密密鑰兩種方方式：：先計算算MAC再再加密密先加密密再計計算MAC基于MAC的鑒鑒別過過程獨獨立于于加、、解密密過程程可以用用于不不需加加密保保護的的數據據的鑒鑒別MAC方法法不能能提供供數字字簽名名功能能所以無無法防防止對對方的的欺騙騙MAC的基基本應應用1提供消消息鑒鑒別僅A和和B共共享密密鑰K’MMMACf()比較密鑰K’f()發送方方A接收方方BMMACMAC的基基本應應用2MMMACf()D()比較密鑰KE()密鑰K密鑰K’MMACf()密文發送方方接收方方提供保保密只有A和B共享享k提供鑒鑒別只有A和B共享享k’’1、先先計算MAC再加密2、K是加加密密密鑰3、K’是是認證證密鑰鑰MAC的應應用3密文MMACf()f()比較密鑰K’E()密鑰K密鑰K’密文+D()密鑰KM1、先先加密密再計計算MAC2、K是加加密密密鑰3、K’是是認證證密鑰鑰發送方方接收方方提供保保密只有A和B共享享k提供鑒鑒別只有A和B共享享k’’MAC函數數的安安全性性分析析MAC函數數的特特點多對一一映射射對同一一個M，存存在多多個key產生生相同同的MACKey相同同，存存在多多個M產生生相同同的MACn-bitMAC:2n個可能能的MACK-bit密鑰鑰：2k個可能能的密密鑰N個可可能的的消息息：N>>2n一般情情況下下，n<kMAC函數數的安安全性性主要是是對強強行攻攻擊的的抵抗抗能力力方式：：窮舉舉法，，根據據已知知消息息M和和對應應的MAC值，，來推推斷密密鑰k前提：：MAC算算法已已知MF()kMAC對MAC函函數強強行攻攻擊的的方式式已知消消息M1和對應應的MAC1值對所有有可能能的密密鑰ki，計算算消息息M1的MAC，，其中中至少少存在在一個個k，，使得得fk(M1)=MAC1由于密密鑰空空間為為2k大，以以上計計算將將產生生2k個MAC結結果；；而MAC空間間為2n大，且且2n<2k，故存存在多多個k產生生相同同的MAC：一一般是是個2k-n個key對對應一一個MAC為了確確定哪哪一個個是正正確的的key，，分析析者需需要選選擇另另一組組M2和MAC2，對上上面的的個結結果進進行驗驗證，，以縮縮小搜搜索范范圍因此，，可能能需要要多輪輪驗證證：大大約需需要k/n輪計算量量為2k+2k-n+2k-2n+……可見強行行攻擊難難度很大大MAC函函數的安安全性總總結需要大量量的（M，MAC)對對，對MAC的的強行攻攻擊通常常不能離離線進行行MAC算算法抵抗抗強行攻攻擊的有有效級為為（2k,2n）中的最最小值為了足夠夠安全，，MAC函數應應該具有有以下的的性質：：給定一個個或多個個(M,MAC)對對而不知知道密鑰鑰的情況況下，對對于一個個新的消消息，要要計算出出對應的的MAC在計算算上不可可行攻擊者得得到一個個消息M及對應應的MAC，則則構造消消息M’’使得MAC’’=MAC在計算算上是不不可行的的基于哈希希函數的的鑒別基于哈希希函數的的鑒別哈希函數數一種單向向函數輸入：任任意長度度的消息息M輸出：固固定長度度的消息息摘要是一個固固定長度度的哈希希值H(M)哈希值是是消息中中所有比比特的函函數值消息中任任意內容容的變化化將導致致哈希值值的變化化具有完整性檢測功能能可用于數字簽名名哈希函數數消息鑒鑒別(1)基本的哈哈希函數數消息鑒鑒別對稱加密密：發端端和收端端共享加密密鑰鑰k哈希值提提供了消消息鑒別別需要的的結構和和冗余提供保密和鑒別雙重功能能：消息息和H(M)被被加密保保護MMEk[M‖H(M)]H(M)H()D()比較密鑰KE()密鑰KMH(M)H()發送方接收方哈希函數數消息鑒鑒別(2)僅對哈希希值進行行加密的的鑒別方方案用于不需需對消息息加密的的場合基于對稱密鑰鑰機制提供鑒別：H(M)被加加密保護護MMEk[H(M)]H()D()比較哈希密鑰KE()密鑰KH()MEk[H(M)]哈希函數數消息鑒鑒別(3)僅對哈希希值進行行加密的的鑒別方方案用于不需需對消息息加密的的場合基于公開密鑰鑰機制提供鑒別和數字簽名：發送方用自自己的私鑰加加密H(M)MMEkRa[H(M)]H()D()比較密鑰KUaE()密鑰KRaH()MEkRa[H(M)]發送方A接收方B哈希函數消息息鑒別(4)提供保密：對稱密鑰算算法、密鑰k進行外層加密提供鑒別和數字簽簽名：A用私鑰對對消息明文的的哈希值進行行加密MMEkRa[H(M)]H()D()比較密鑰KUaE()密鑰KRaH()MEkRa[H(M)]發送方A接收方BED密鑰K密鑰K哈希函數消息息鑒別(5)采用秘密數值值的哈希鑒別別通信雙方共享享一個秘密數數值s計算哈希值時時，s附加到到消息M上一一起計算得到到H(M|s)傳輸過程中，，數據不加密密，但不傳送送s提供鑒別：只有發送方方和接收方共共享秘密S適用于加密算算法不可用的的場合MMH(M|s)H()比較哈希H()MH(M|s)MssMss哈希函數消息息鑒別(6)提供鑒別：只有發送方方和接收方才才共享S提供保密：只有發送方方和接收方才才共享kMMH(M|s)H()比較哈希H()MH