湖南大学杨秋伟计算机系副主任,散列函数-湖南大学.PPT

散列函数-湖南大学

Page: 散列函数与认证 杨秋伟 湖南大学 计算机与通信学院 散列函数与认证组成 认证 HASH函数的基本概念 MD5 SHA-1 散列函数与认证：认证概述 保密服务与认证服务的区别 保密的目的是防止对手破译系统中的机密信息； 认证(Authentication)是防止主动攻击的重要技术，如伪装、窜扰等，包括对消息的内容、顺序、和时间的窜改以及重发等。 认证的分类 实体认证：验证信息的发送者是真的，而不是冒充的，包括信源、信宿等的认证和识别； 消息认证：验证信息的完整性，验证数据在传送或存储过程中未被窜改、重放或延迟等。 认证：认证系统模型 认证系统模型 发送者通过一个公开信道将消息送给接收者； 接收者不仅想收到消息本身，而且还要验证消息是否来自合法的发送者以及消息是否经过窜改。 认证：认证系统的组成和基本设计标准 认证系统的组成 认证编码器 认证译码器 认证系统的基本设计标准 特定的接收者能够检验和证实消息的合法性、真实性和完整性； 消息的发送者和接收者不能抵赖； 除了合法的消息发送者，其它人不能伪造合法的消息。 认证：认证函数 认证系统的工作原理 发送方利用底层的认证函数产生一个用来认证的认证标识； 消息接收方利用上层的认证协议基于认证标识验证真实性。 认证函数的分类 加密函数：用整个消息的密文作为消息认证的认证标识； 消息认证码(MAC)：指消息被一密钥控制的公开函数作用后产生的、用作认证符的、固定长度的数值，也称为密码校验和； 散列函数：一个不需要密钥的公开函数，将任意长度的输入消息映射成一个固定长度的输出值，并以此值作为认证标识别。 认证：基于消息加密的认证 采用对称加密体制实现加密和认证 基于密钥的保密性，在提供数据加密的同时可以实现认证； 对称加密体制实现认证的不足 额外的差错检验：确保消息的完整性——帧校验序列。 不提供数字签名：接收方可以伪造，发送方可以否认。 认证：基于消息加密的认证 采用非对称加密体制实现认证 基于私钥的保密性，提供数字签名的同时，可以实现认证； 对称加密体制实现认证的不足 额外的差错检验：确保消息的完整性——帧校验序列 认证：基于消息加密的认证 采用非对称加密体制实现加密、认证和签名 在发送者用自己的私钥签名以后，用接收者的公钥进行加密。 非对称加密体制实现加密、认证和签名的不足 一次完整的通信需要执行公钥算法的加密、解密操作各两次。 认证：消息认证码 消息认证码 指消息被一密钥控制的公开函数作用后产生的、用作认证符的、固定长度的数值，也称为密码校验和。 设A欲发送给B的消息是m，操作过程如下 A首先计算MAC = Ck(m)，其中Ck(.)是密钥控制的公开函数，然后向B发送m || MAC； B收到后做与A相同的计算，求得一新MAC，并与收到的MAC做比较。 认证：基于消息认证码的认证 消息认证码(Message Authentication Code，简称MAC)工作原理 通信双方共享一个密钥k； 发送者使用密钥k和明文m一起产生一个短小的定长数据分组 MAC = Ck(m) 接收者执行步骤二，将结果与收到的MAC进行比对。如果二者相等，则可判断 接收者确信报文未被更改过； 接收者确信报文来自声称的发送者。 反之，则认证不通过(身份无效或者消息无效)。 认证：基于消息认证码的认证 MAC实现认证的不足 不提供数字签名(认证编码密钥和认证译码密钥相同) 不提供消息机密性(MAC函数无需可逆) 改进版本 在产生MAC之前或者之后实现加密机制，以提供消息机密性 与明文相关 Ek2(m || Ck1(m)) 与密文相关 Ek2(m) || Ck1(Ek2(m)) 认证：基于散列函数的认证 散列函数H：是一种公开的单向密码体制函数，将任意长的消息映射为较短的、固定长度的值H(m) ，又被称为HASH函数、哈希函数) 单向性：将明文映射到密文，并且映射是不可逆的； 固定长度性：可以将任意长度的输入映射为固定长度的输出。 散列值 将任意长度的消息或者数据块单向地映射成固定长度的输出结果，此输出结果被称为散列值(又被称为杂凑码、数字指纹、消息摘要) 散列函数在数据完整性验认证、数字签名等领域有广泛应用。 HASH函数：设计目标 函数的输入可以是任意长； 函数的输出是固定长； 已知x，求H(x)较为容易，可以用硬件或软件实现； 已知h，求使得H(x) = h的x在计算上是不可行的； 已知x，找出y(y≠x)使得H(x) = H(y)在计算上是不可行的； 找出任意两个不同的输入x,y，使得H(x) = H(y)在计算上是不可行的； HASH函数：设计目标的内涵 前三条是HASH函数用于消息认证的基本要求 第四条单向性用于带秘密值的认证技术 假设待发送消息为m，c = H(s||