物联网信息安全 课件 第2章 5信息认证技术(3)－散列函数与报文鉴别.ppt

第四章散列函数与报文鉴别4.1鉴别概念4.2鉴别函数4.3散列函数★4.4MD5报文摘要算法★4.5安全散列算法SHA★4.6报文鉴别码★4.1鉴别概念报文鉴别(MessageAuthentication)是防御网络主动攻击的重要技术。在需要通过网络进行信息交换时，会遇到以下攻击：①泄露：报文内容被透露给没有拥有合法密钥的任何人或相关过程。②通信量分析：发现通信双方的通信方式。在面向连接的应用中，连接的频率和连接持续时间。在面向连接或无连接的环境中，通信双方的报文数量和长度。③伪装：以假的源点身份将报文插入网络中。包括由敌方伪造一条报文却声称它来自已授权的某个实体。另外，还包括由假的报文接收者对收到报文发回假确认，或者不予接受。④内容篡改：篡改报文的内容，包括插入、删除、调换及修改。⑤序号篡改：对通信双方报文序号的任何修改，包括插入、删除和重排序。⑥计时篡改：报文延迟或回放。对面向连接应用，一个完整的会话或报文序列可以是在之前某些有效会话的回放，或者序列中的单个报文能被延迟或回放。对无连接应用，单个报文能被延迟或回放。⑦抵赖：终点否认收到某报文或源点否认发过某报文。报文鉴别：是证实收到的报文来自可信的源点且未被篡改的过程。(3、4、5、6)数字签名：是一种防止源点或终点抵赖的鉴别技术。(3、4、5、6、7)4.2鉴别函数4.2.1报文加密4.2.2报文鉴别码4.2.3散列函数4.2.1报文加密(1)常规加密考虑直接使用常规加密方法。通信的双方A和B共享密钥K，A使用密钥K对发往B的报文M进行加密。如果没有其它人知道密钥K，就能提供保密性。B也能确信收到的报文来自A。因为除B外，A是惟一拥有密钥K的，并可以构建用K解密的密文。并且，不知道密钥K的敌方不会知道如何改变密文来产生明文中期望的变化。所以，如果M恢复，B知道M中的内容末被任何人改动。结论：常规加密提供保密性和鉴别。问题：如何知道已经正确解密。即在通信的终点没有自动的方法来确定收到的报文是否是合法报文的密文。(2)公开密钥加密具有保密性的公开密钥加密：不提供鉴别，因为任何人都可以使用KUb加密一个报文发给B。具有鉴别和签名的公开密钥加密：不提供保密性，因为任何人都可以使用A的公开密钥解密并阅读报文。和常规加密一样，存在报文合法性问题。具有机密性和鉴别及签名的公开密钥加密：加密/解密次数太多。仍存在报文合法性问题。解决上述问题的一种方法：强制明文具有某种结构，这种结构易于识别、不能伪造。如：计算机网络中采用的FCS(帧校验序列)。4.2.2报文鉴别码原理：发送方使用一个密钥和特定算法对明文产生一个短小的定长数据分组，即MAC(报文鉴别码)，并将它附加在报文中。在接收方，使用相同的密钥和算法对明文计算MAC，如果新的MAC与报文中的MAC匹配，那么：接收者确信报文未被更改过。接收者确信报文来自所期望的发送方。如果报文包含一个序号，那么接收者确信该序号的正确性。MAC函数：MAC=CK(M)，MAC函数类似于加密过程，一个主要区别是MAC函数无需可逆。由于鉴别函数的这个特性，使得它比加密函数更不易破解。报文鉴别码的基本用法：(1)MAC直接与明文连接后传输(鉴别；不加密)。(2)MAC与明文连接后一起加密再传输。(鉴别；加密)(3)先加密，后生成鉴别码，将MAC与密文连接传输。(鉴别；加密)4.2.3散列函数散列函数与报文摘要散列函数(hashfunction)类似报文鉴别码，一个散列函数以一个变长的报文作为输入，产生一个定长的散列码H(M)作为输出，H(M)通常又称为报文摘要MD(MessageDigest)。散列码(或MD)是报文所有比特的函数值，并具有差错检测能力，即报文中任一比特或若干比特发生改变都将导致(新计算的)散列码的改变。MD与MAC的区别：生成函数不同；是否需要密钥(不需要密钥)散列函数的使用方式使用常规加密方法对附加散列码的报文进行加密。(鉴别；加密)使用常规加密方法仅对散列码进行加密。(鉴别；不加密)(3)使用公开密钥加密方法及发方的私有密钥仅对散列码进行加密。(鉴别；不加密)(4)在(3)的基础上增加保密功能。(鉴别；加密)(5)使用散列码、公共秘密值的明文方案。(鉴别；不加密)(6)使用散列码、公共秘密值的保密方案。(鉴别；加密)4.3散列函数散列函数可以用于报文的完整性鉴别，与加密技术配合使用可以对报文的起源进行鉴别。此外还可以用于存储文件的完整性检验。散列函数将任意长度的报文当作自变