数据完整性与散列函数.pdf

第3章数据完整性与散列函数 南京大学计算机系黄皓教授 2009年10月12日星期一 参考文献 1. W. Stallings （杨明等译），编码密码学与网络安全- 原理与实践，电子工业出版社。2001年4月。 2. Wenbo Mao(毛文波)，现代密码学理论与实践，电子 工业出版社，2004年7月。 2009年10月19 日星期一 南京大学计算机系讲义 2 内容 1. 数据完整性的基本概念； 2. 散列函数； 3. 密码散列报文鉴别码 2009年10月19 日 南京大学计算机系讲义 3 1. 基本概念 1. 基本概念 数据完整性需求 我们关于开放通信网络的脆弱性做了一个理想的、标准 的假设： 所有的通信都经受一个称为Malice的攻击者，他可以随意地窃 听、截取、重发、修改、伪造或插入消息。 当Malice插入了修改过的或伪造的消息，他将试图欺骗目标接收 者，使其相信该消息来自某个其他合法的主体。 我们需要一种机制，使得消息的接收者可以验证该消息是否是来 自所声称的消息源，且在传输的过程中是否受到未授权方式修 改。数据完整性就是抗击对消息未授权修改的安全服务。 2009年10月19 日 南京大学计算机系讲义 5 1. 基本概念 差错控制与数据完整性 检错码 检测由于通信的缺陷而导致消息发生错误的方法。 通过这种编码加入的冗余度使得消息的接收者可以采用极大似 然检测器来判定接收到的码字应该译为哪条消息。 数据完整性 消息的发送者通过编码为消息增加一些冗余来生成一个“校验 值” ，并将该校验值附在消息之后； 消息的接收者根据与发送者协商好的一系列规则，利用附加的 校验值来检验所接收到的消息的正确性。 使得加入的校验值在整个校验值空间中尽可能地均匀分布，这 就使得攻击者伪造一个有效校验值的概率达到最小。 2009年10月19 日 南京大学计算机系讲义 6 消息摘要 存储问题： 假定M是要存储的消息。 h是一个Hash函数，y=h(M)称为消息M的摘要。 安全地保存h， 我们希望如果消息M改变成了M’，则h(M) ≠h(M’)。 如果这样，我们可以用消息摘要y来验证消息M是否被改变。 通信问题： 假定M是要发送的消息。 消息M的摘要y随着消息一起发送，接收者验证y是否等于h(M)。 问题：hash函数h是公开的，攻击者将M改成M’的同时，也将 消息摘要改成y’= h(M’)。接收者无法发现消息的改变。 带密钥hash：y=h(k, M) 。 攻击者无法计算y’=h(k, M’) ，因为没有密钥k。 2009年10月19 日 南京大学计算机系讲义 7 1. 基本概念 完整性的保护 完整性保护的应用 数据通信 数据存储 完整性保护的机制 对称技术 密码散列函数 密码函数 非对称技术：数字签名 2009年10月19 日 南京大学计算机系讲义 8 1. 基本概念 密码散列函数 由对称密码技术生成的MDC常称