密码学与消息鉴别和数字签名有关的问题也许是网络安全中最易引起混淆的领域，攻击和抗攻击对策的发展呈螺旋式。值得庆幸的是，不像那些古老的天文学家，今天的密码协议的设计者是在完全合理的模型上来进行研究的。第九讲消息鉴别在应用环境中，用户通过网络传输大量的报文（或称消息），出于安全性考虑，必须对消息或报文的有效性和合法性进行鉴别或认证。因为网络中的攻击者很可能通过对正在传输的消息或报文进行攻击（伪造、篡改、删除等），来达到入侵系统的目的。复习：网络通信环境中可能的攻击针对保密性的攻击信息和网络安全中另一个重要领域是消息鉴别以及相关的数字签名技术。 消息鉴别技术用于防范信息伪造和篡改。 数字签名机制提供了一种抗否认性。 消息（报文）鉴别提供了一种证实收到的报文来自可信的源点且未被篡改的过程，它也可证实序列编号和及时性。消息鉴别系统报文 M鉴别函数分类本讲主要内容基于对称密钥加密方式的报文鉴别由于消息M的内容对于终点B来说是未知的，例如： 二进制形式的电话录音 B如何用自动化的方法来判断收到的密文的合法性？强制明文具有某种结构，这种结构易于识别，不能被复制，并且是不依赖于加密的。例如： 可以在加密前对每个消息附加一个错误检测码（校验和），如下图所示。附加报文鉴别结构讨论2、基于公钥加密方式的报文鉴别为了提供鉴别功能，源点A可以使用其私有密钥KRa报文文进行加密，而终点B使用A的公开密钥KUa进行解密。 注意：上述方案不提供保密性。只要拥有A的公开密钥，任何人都能对该密文进行解密。复习：保密性+签名存在的问题本讲主要内容采用报文鉴别码MAC的鉴别方式使用消息鉴别码1、基本的MAC报文鉴别计算MAC的密钥K只有A和B共享。 攻击者若要更改报文必须同时更改MAC 但由于攻击者不知道密钥K，故他不可能计算出一个与更改后的报文相对应的MAC值。 若接收者B计算出相同的MAC，便能确信： 报文未被修改； 报文M是来自发送者A的； 如果报文含有序号，顺序也是正确的。一种计算MAC的方法算法说明2、保密的MAC消息鉴别——MAC与明文有关3、保密的MAC消息鉴别——MAC与密文有关消息鉴别码的安全性分析MAC的构造特性对MAC进行攻击的重点安全的MAC函数的特性讨论MAC函数与加密函数的比较本讲主要内容单向散列(hash)函数散列码与消息的关系散列码的基本用途散列函数的基本用途-1散列函数的基本用途-2散列函数的基本用途-3散列函数的基本用途-4散列函数的基本用途-5散列函数的基本用途-6散列函数的安全性分析散列函数的性质散列函数的性质散列函数的性质散列函数安全性结论散列码的构造构造散列函数时采用的一般性原则一类不太安全的散列函数一类用加密技术构造的散列函数生日攻击生日悖论推论生日攻击举例-1Alice比较两种不同版本的文件的散列值集合，找到散列值相同的一组。根据生日悖论，成功的可能性大于0.5。 Alice挑选出这一组，将其中的X传给Bob。 Bob在对他有利的那份合同版本签名。 在以后的某个时候，Alice用Bob未签名的合同代替他签过名的合同。现在他能使公证人员确信Bob签署过另一份合同。生日攻击举例-2利用上面的算法产生报文M的散列码CM； 任意生成一个伪造报文Q，报文形式为Q1,Q2,…,QN-2，报文Q比原报文M少两个分组； 对报文Q，计算HiQ=EQi(HQi-1)，i=1,2,…,N-2，得到CQ=HQi-2 生成2m/2个随机分组，对每个分组X，计算EX(CQ)； 另外生成2m/2个随机分组，对每个分组Y，计算DY(CM)，其中D()是与E()对应的解密函数； 根据生日悖论，有较高的概率找到X和Y，使EX(CQ)=DY(CM)； 在报文Q后面加上分组X和Y，构成报文Q1,Q2,…,QN-2,X,Y；这个报文的散列码等于CM，就可以与原报文的加密签名一起发送，欺骗接受者。安全散列算法的一般结构迭代结构常用的散列算法