密码学原理与应用.PPTVIP

消息认证 在网络环境中，传统的攻击类型有： 认证内容 认证消息（数据）的内容 认证消息（数据）的来源 认证消息（数据）的时效性 消息认证分类 使用认证函数产生某种认证符，分为三类： 消息加密：将整个消息的密文作为认证符。 消息认证码（MAC）：消息和密钥的函数，它产生定长的值，以该值作为认证符。 杂凑函数（Hash）：又称散列函数，将任意长的消息映射为定长的散列值的函数，以该散列值作为认证符。 消息认证——消息加密 对称加密 非对称加密 消息认证——消息认证码 消息认证码Message Authentication Code(MAC) 利用密钥生成一个固定长度的短数据块，并将该数据附加在消息之后。 M—消息 C —MAC函数 K —共享的密钥 MAC —消息认证码 MAC＝C(K,M) 消息和MAC一起发送给接收方，接收方对收到的消息用相同的密钥进行相同的运算得到新的MAC，若新MAC与收到的MAC一致，则可确保： （1）消息未被修改 （2）消息来自真正的发送方 （3）若消息中含有序列号，则可相信消息顺序是正确的。 消息认证——散列函数 单向散列函数(Hash) 又称为杂凑函数，是消息认证码的一种变形。 Hash与MAC的相同之处： 输入是可变大小的消息M，输出是固定大小的散列码。 Hash与MAC的不同之处： 散列码并不使用密钥，它仅是输入消息的函数。 散列码，也称为消息摘要(Message Digest)或者散列值，是消息的一个指纹。 消息认证——散列函数 散列码的应用 用对称密码对消息及附在其后的散列码加密（冗余保护，提供认证与保密） 用对称密码仅对散列加密，对那些不要求保密性的应用，这种方法处理代价小（提供认证） 用发送方的私钥仅对散列加密（原理同上） 先用发送方的私钥对散列码加密，再用对称密码对消息和上述加密结果进行加密（常用的技术，提供保密与认证） 通信双方共享公共的秘密值S（类似于密钥），A将M和S的联合体计算散列值，并将其附在M后（提供认证） 消息认证——散列函数 散列函数的要求 给定一个消息，计算其散列值应该非常容易。 对给定的消息，散列值总是一致的。 给定一个散列值，找出创建该散列值的原消息是非常困难的。 任意给定两个消息，如果计算其消息摘要，两者的消息摘要必须不同。 如果两个消息产生相同的散列值，则称为冲突(Collision)。 如果散列值的长度为n，则两个消息产生同样的散列值的概率为1/2n，n较大时，如为128位时，小概率事件难以发生。 消息认证——散列函数 散列函数的雪崩效应 两个原消息之间非常小的变化，得到的消息摘要应该有很大的变化。 消息认证——散列函数 散列函数的性质 散列函数可应用于任意大小的数据块； 散列函数产生定长的输出； 对任意给定的x，计算H（x）比较容易，用硬件和软件均可实现； 对任意散列函数，找出满足 H（x）＝h 的x在计算上是不可行的，有些文献中称之为单向性； 对任意给定的分组x，找到满足y不等于x，且H（y）＝ H（x）的y在计算上是不可行的，称之为抗弱冲突性； 找出任何满足H（x）＝H（y）的偶对（x，y）在计算上是不可行的，称之为抗强冲突性。 消息认证——MD5 1990年MIT的 Ron Rivest 提出MD4。 1992年 Ron Rivest 完成MD5 (RFC 1321)。 其发展历程为MD、MD2、MD3、MD4、MD5。 现行美国标准SHA-1以MD5的前身MD4为基础。 输入：任意长度的报文。 输入分组长度：512位。 输出：128 位的消息摘要。 消息认证——MD5 MD5不是足够安全的 Dobbertin在1996年找到了两个不同的512位块,它们在MD5计算下产生相同的hash，但对一般性的一个512位分组，并不能总是找到一个产生同样hash的另一个分组； 2004年，山东大学王小云教授针对一个X，计算MD5(X)，能够通过更改X的某些位，得到一个Y，使得MD5(X)=MD5(Y)。 ——Rivest说，我们不得不做更多的重新思考了。 三、密码学典型应用 1. 加密设备的部署 2. 密钥管理与密钥分配 3. 数字证书与PKI 加密设备的部署 链路加密 很多的加密设备 较高的安全性 在每个交换节点都需要解密数据包 端到端加密 源主机加密和接收端解密 静载荷加密 包头为明文 密码分析概念与原理——密码分析 穷举搜索密钥需要的平均时间 穷举方法尝试所有可能的密钥直到把密文翻译成可解的明文。平均而言，一般需要尝试所有可能密钥的一半才能成功。 下面的表格给出了不同密钥长度所需的时间 二、密码编码学基本原理 1. 对称密码概念与典型算法：Feistel结构、DES等 2. 公钥密码概念与典型算法：RSA等 3.