推荐03 - 消息鉴别1.pptVIP

基于哈希函数的鉴别 基于哈希函数的鉴别 哈希函数 一种单向函数 输入：任意长度的消息M 输出：固定长度的消息摘要 是一个固定长度的哈希值H(M) 哈希值是消息中所有比特的函数值 消息中任意内容的变化将导致哈希值的变化 具有完整性检测功能 可用于数字签名 哈希函数=特殊的MAC，哈希函数不使用密钥，它仅仅是输入消息的函数。 哈希函数消息鉴别(a) 基本的哈希函数消息鉴别 对称加密：发端和收端共享加密密钥k 哈希值提供了消息鉴别需要的结构和冗余 提供保密和鉴别双重功能：消息和H(M)被加密保护 M M Ek[M‖H(M)] H(M) H() D() 比较 密钥K E() 密钥K M H(M) H() 发送方 接收方 哈希函数消息鉴别(b) 仅对哈希值进行加密的鉴别方案 用于不需对消息加密的场合 基于对称密钥机制 提供鉴别：H(M)被加密保护 M M Ek[H(M)] H() D() 比较 哈希 密钥K E() 密钥K H() M Ek[H(M)] 哈希函数消息鉴别(c) 仅对哈希值进行加密的鉴别方案 用于不需对消息加密的场合 基于公开密钥机制 提供鉴别和数字签名：发送方用自己的私钥加密H(M) M M EkRa[H(M)] H() D() 比较 密钥KUa E() 密钥KRa H() M EkRa[H(M)] 发送方A 接收方B 哈希函数消息鉴别(d) 提供保密：对称密钥算法、密钥k进行外层加密 提供鉴别和数字签名：A用私钥对消息明文的哈希值进行加密 M M EkRa[H(M)] H() D() 比较 密钥KUa E() 密钥KRa H() M EkRa[H(M)] 发送方A 接收方B E D 密钥K 密钥K 哈希函数消息鉴别(e) 采用秘密数值的哈希鉴别 通信双方共享一个秘密数值s 计算哈希值时，s附加到消息M上一起计算得到H(M|s) 传输过程中，数据不加密，但不传送s 提供鉴别：只有发送方和接收方共享秘密S 适用于加密算法不可用的场合 M M H(M|s) H() 比较 哈希 H() M H(M|s) M s s M s s 方法e的优点 不含加密处理 – 加密软件很慢 – 加密硬件的开销很大 – 加密硬件是对大长度数据进行优化的 – 加密算法可能受专利保护 – 加密算法可能受出口的限制. 哈希函数消息鉴别(f) 提供鉴别：只有发送方和接收方才共享S 提供保密：只有发送方和接收方才共享k M M H(M|s) H() 比较 哈希 H() M H(M|s) M s s M s s E K 密文 D K 发送方 接收方 哈希函数的安全性需求 哈希函数的输入可以是任意长度消息 哈希函数的输出是定长度的数值 哈希函数的计算要简单 单向性 给定哈希值h，寻找消息M使得H(M) = h，计算上不可行 弱抗冲突性 给定消息M，寻找消息M’，使得H(M’) = H(M)，计算上不可行 强抗冲突性 寻找两个消息M和N，使得H(N) = H(M) ，计算上不可行 几种安全的哈希函数： MD5, SHA-1, HMAC * 某些信息只需要真实性,不需要保密性 – 广播的信息难以使用加密(信息量大) – 网络管理信息等只需要真实性 – 政府/权威部门的公告 网络安全 消息鉴别 回顾与总结 ? 对称密码算法 – 运算速度快、密钥短、多种用途（随机数产生、 Hash函数）、历史悠久 – 密钥管理困难（分发、更换） ? 非对称密码算法 – 只需保管私钥、可以相当长的时间保持不变、需 要的数目较小 – 运算速度慢、密钥尺寸大、历史短 安全的信息交换应满足的性质 ? 保密性（ Confidentiality） ? 完整性（Integrity） – 数据完整性，未被未授权篡改或者损坏 – 系统完整性，系统未被非授权操纵，按既定的功能运行 ? 可用性（Availability） ? 鉴别（Authenticity） – 实体身份的鉴别，适用于用户、进程、系统、信息等 ? 不可否认性（ Non-repudiation） – 防止源点或终点的抵赖 消息鉴别的概念 消息鉴别（Message Authentication） 消息认证、报文认证、报文鉴别 鉴别：消息接收者对消息进行的验证，是一个证实收到的消息来自可信的源点且未被篡改的过程 真实性：消息确实来自于真正的发送者，而非假冒 完整性：消息内容没有被篡改、重放或延迟 消息鉴别的必要性 网络通信的安全威胁 泄漏 消息内容被泄漏给非授权用户 伪造 假冒源点的身份向网络中插入消息 消息篡改 内容篡改：插入、删除、修改等 序号篡改：在依赖序号的协议如TCP中，对消息序号进行篡改，包括插入、删除、重排等 时间篡改：对消息进行延迟或重放 行为抵抗 发送方否认发送某个消息，或接收方否认接收某个消息 消息鉴别的作用 保