9保障与安全.hash.ppt

Hash（散列）函数 通信系统典型攻击 1)窃听 2)业务流分析 3)消息篡改 内容修改：消息内容被插入、删除、修改。 顺序修改：插入、删除或重组消息序列。 时间修改：消息延迟或重放。 4)冒充：从一个假冒信息源向网络中插入消息 5)抵赖：接受者否认收到消息；发送者否认发送过消息。 信息安全的需求 保密性（ Confidentiality） 完整性 （Integrity） 数据完整性，未被未授权篡改或者损坏 系统完整性，系统未被非授权操纵，按既定的功能运行 可用性 （Availability） 鉴别 （Authenticity） 实体身份的鉴别，适用于用户、进程、系统、信息等 不可否认性 （ Non-repudiation） 防止源点或终点的抵赖 ?? 信息认证 前面所介绍的对称密码和公钥密码体制都是围绕着信息的保密性即防止第三方获取明文消息而展开。 但信息的完整性和抗否认性也是信息安全的重要内容，保证信息的完整性和抗否认性主要通过信息认证和数字签名来实现。 公钥密码体制的一种最重要的应用是数字签名。 数字签名通常需要与散列函数结合起来使用。先简要介绍信息认证，然后介绍散列函数，最后介绍数字签名。 定义 消息鉴别（Message Authentication)： 是一个证实收到的消息来自可信的源点且未被篡改的过程。 散列函数（ Hash Functions)： 一个散列函数以一个变长的报文作为输入，并产生一个定长的散列码，有时也称报文摘要，作为输出。 数字签名（Digital Signature） 是一种防止源点或终点抵赖的鉴别技术。 消息认证 在网络通信中，有一些针对消息内容的攻击方法 伪造消息 窜改消息内容 改变消息顺序 消息重放或者延迟 消息认证：对收到的消息进行验证，证明确实是来自声称的发送方，并且没有被修改过。 如果在消息中加入时间及顺序信息，则可以完成对时间和顺序的认证。 消息认证的三种方式 Message encryption：用整个消息的密文作为认证标识。 接收方必须能够识别错误。 MAC：一个公开函数，加上一个密钥产生一个固定长度的值作为认证标识。 Hash function：一个公开函数将任意长度的消息映射到一个固定长度的散列值，作为认证标识。 消息认证码MAC Message Authentication Code 使用一个双方共享的秘密密钥生成一个固定大小的小数据块，并加入到消息中，称MAC，或密码校验和(cryptographic checksum) 用户A和用户B，共享密钥K，对于消息M， MAC=CK(M) 如果接收方计算的MAC与收到的MAC匹配，则 接收者可以确信消息M未被改变； 接收者可以确信消息来自所声称的发送者； 如果消息中含有序列号，则可以保证正确的消息顺序。 MAC函数类似于加密函数，但不需要可逆性。因此在数学上比加密算法被攻击的弱点要少 消息认证码的使用 消息认证码的使用（续） MAC的安全要求 MAC中使用了密钥，这点和对称密钥加密一样，如果密钥泄漏了或者被攻击了，则MAC的安全性则无法保证。 在基于算法的加密函数中，攻击者可以尝试所有可能的密钥以进行穷举攻击，一般对k位的密钥，穷举攻击需要2(k-1)步。 MAC函数的特性与实现 MAC函数为多对一映射 包含所有可能的MAC和所有可能的密钥 n-bit MAC： 有2n个可能的MAC； k-bit 密钥： 有2k个可能的密钥； N个可能的消息：有 N2n 攻击者如何用强力攻击方法攻击MAC？ 对MAC的攻击 平均来说， 2k/2n= 2(k-n)个key将产生匹配的MAC，所以，攻击者需要循环多次攻击，以确定K: ?第一轮 ·给定M1, MAC1＝CK(M1) ·对所有2k个密钥判断MACi＝CKi(M1) ·匹配数?2(k-n) 。 第二轮 ·给定M2, MAC2＝CK(M2) ·对循环1中找到的2(k-n)个密钥判断MACi＝CKi (M2) ·匹配数?2(k-2n) 。 MAC函数应具有的性质 为了防止以上可能的攻击，MAC函数应具有以下性质： 若攻击者知道M和Ck(M)，则他构造满足 Ck(M’)= Ck(M)的消息M’在计算上是不可行的。 Ck(M)应是均匀分布的，即对任何随机选择的消息M和M’, Ck(M)=Ck(M’)的概率是2-n,其中n是MAC的位数。 设M’是M 的某个已知的变换，即M’=f(M)，则Ck(M)= Ck(M’)的概率为2-n。 散列函数Hash Functi