物联网安全课件第5章.pptxVIP

《物联网安全：原理与技术》第五章：物联网安全基础—数据完整性检验 目 录一二三四本章概述哈希函数与伪随机函数消息认证码数字签名 本章概述无论是对称密码方案或是非对称密码方案，都是保护传输、存储数据的机密性，即可以保护通讯的内容不被敌手获知。然而在现实中，仅仅保护数据的机密性是不够的。对于接收者来说，如何验证所接收到的数据是指定的发送方发送的呢？在实际应用中，敌手可能会对传输中的加密信息进行篡改，令接收方得到错误的加密信息。因此如何让接收者验证接收到的消息确实是指定的发送方产生的，在实际的应用中与安全通讯同样重要。 目 录一二三四本章概述哈希函数与伪随机函数消息认证码数字签名 哈希函数哈希函数（Hash function）也称为散列函数，是一种将任意长度的字符串压缩成为固定的短的字符串的函数，有时这个短的字符串也称为消息的“摘要”。哈希函数广泛使用在数据结构中用以构造哈希表（Hash table）等。哈希函数的一个重要性质就是抗碰撞性。在哈希表中，我们尽可能希望两个不同的值落在同一个位置的概率尽可能小，即尽量避免碰撞的发生。密码学中的哈希函数则希望碰撞发生的概率是可忽略的，即需要更强的抗碰撞性要求。 哈希函数? 哈希函数的安全性? 哈希函数的安全性哈希函数的通用攻击方法是生日攻击。哈希函数的安全强度与输出的长度密切相关。常见的安全哈希函数有MD家族（MD4、MD5）与SHA家族（SHA-1、SHA-2、SHA-3）等。MD4、MD5以及SHA-1已经被认为是不安全的哈希函数，且无法保证抗碰撞性。现代的攻击方法可以在数分钟之内找到MD4、MD5中有效的碰撞。基于目前的研究来说，SHA-2（SHA-256、SHA-384、SHA-512）、SHA-3等哈希函数普遍认为是安全的，而MD家族及SHA-1等哈希函数认为是不安全的哈希函数。 伪随机函数伪随机函数（Pseudorandom function）是一种产生随机字符串的函数。伪随机函数可以接受任意长度的输入，并且输出一个随机的字符串。一个安全的伪随机函数，其输出应当与真正的随机字符串是不可区分的。伪随机函数与哈希函数类似，都是确定性的算法。对于确定性的算法，讨论其伪随机性是没有什么意义的，实际上伪随机函数输出的伪随机性其实是针对于函数输出的分布。 伪随机函数? 基于伪随机函数的对称加密方案? 目 录一二三四本章概述哈希函数与伪随机函数消息认证码数字签名 消息认证码加密并不能保证数据的完整性。利用加密方案，可以使得通信双方在公开信道上进行消息的传输，并且不用担心通讯内容被监听者获取。然而这并不能保证恶意的敌手对通讯的内容进行篡改（敌手不需要知道通讯的内容是什么就可以篡改通讯内容）。例如，在使用公钥加密的通讯系统中，敌手可以简单地拦截发送方发送的密文，并替换为自己想要接收者收到的内容，从而使通讯双方遭受到巨大的损失。即使使用对称加密方案，敌手仍然可以通过翻转密文中的某些比特，使得解密的结果完全不同。因此，加密无法保证数据的完整性，并且所有的加密方案单独使用都无法保证数据的完整性。 数据完整性加密并不能保证数据的完整性。利用加密方案，可以使得通信双方在公开信道上进行消息的传输，并且不用担心通讯内容被监听者获取。然而这并不能保证恶意的敌手对通讯的内容进行篡改（敌手不需要知道通讯的内容是什么就可以篡改通讯内容）。例如，在使用公钥加密的通讯系统中，敌手可以简单地拦截发送方发送的密文，并替换为自己想要接收者收到的内容，从而使通讯双方遭受到巨大的损失。即使使用对称加密方案，敌手仍然可以通过翻转密文中的某些比特，使得解密的结果完全不同。因此，加密无法保证数据的完整性，并且所有的加密方案单独使用都无法保证数据的完整性。 数据完整性? 消息认证码的安全性? 重放攻击当敌手获取到消息和相应的标签之后，可以重新将这组消息和标签发送给接收方。在重放过程中，敌手没有对消息或标签进行任何的修改，因此这组消息和标签可以合法地通过Verify算法的检验。对于没有合理设计的系统来说，重放攻击是一种有效且直接的攻击方式，往往会对系统造成极大的影响。消息认证码无法抵抗重放攻击。这是因为消息认证码只对消息本身进行认证，而不考虑其状态。抵抗重放攻击的方法一般有两种，分别是在消息中加入序列号或时间戳。 CBC-MAC方案? CBC-MAC方案? CBC-MAC方案? CBC-MAC对变长的消息的扩展将CBC-MAC扩展到变长消息场景下的方法主要有三种：Input-length key separation，Length-prepending和Encrypt last block。在这三种方法中，Length-prepending和Encrypt last block方法被讨论和使用的场景最多。Length-prepen