信息安全概论张雪锋第3章信息认证技术上课用课件.ppt

第三章 信息认证技术 第三章 信息认证技术 3.1 Hash函数和消息完整性 3.2 数字签名技术 3.3 身份识别技术 3.4 认证的具体实现 3.5 公钥基础设施 认证的目的 认证的目的有两个方面： 一是验证信息的发送者是合法的，而不是冒充的，即实体认证，包括信源、信宿的认证和识别； 二是验证消息的完整性，验证数据在传输和存储过程中是否被篡改、重放或延迟等。 3.1 Hash函数和消息完整性 本节提示： 3.1.1基本概念 3.1.2常见的Hash函数 3.1.3消息认证码 基本概念 Hash函数也称为杂凑函数或散列函数， 输入为一可变长度x， 返回一固定长度串，该串被称为输入x的Hash值（消息摘要） 还有形象的说法是数字指纹。 因为Hash函数是多对一的函数，所以一定将某些不同的输入变化成相同的输出。 要求给定一个Hash值，求其逆难，计算Hash值容易也称Hash函数为单向Hash函数。 Hash函数一般满足以下几个基本需求： （1）输入x为任意长度； （2）输出数据长度固定； （3）容易计算，给定任何x，容易计算出x的Hash值H(x)； （4）单向函数：即给出一个Hash值，很难反向计算出原始输入； （5）唯一性：即难以找到两个不同的输入会得到相同的Hash输出值（在计算上是不可行的）。 ?Hash函数的其他性质 Hash值的长度由算法的类型决定，与输入的消息大小无关，一般为128或者160位。常用的单向Hash算法有MDS、SHA-l等。 Hash函数的一个主要功能就是为了实现数据完整性的安全需要。 ?Hash函数可以按照其是否有密钥控制分为两类： 一类有密钥控制，为密码Hash函数；用于消息认证码MAC 一类无密钥控制，为一般Hash函数。 关于Hash函数的安全性设计的理论主要有两点： 一个是函数的单向性， 二是函数影射的随机性。 攻击Hash函数的典型方法 生日攻击的基本观点来自于生日问题：在一个教室里最少有多少学生时，可使得在这个教室里至少有两个学生的生日在同一天的概率不小于50%？这个问题的答案是23。 这种攻击不涉及Hash算法的结构，可用于攻击任何Hash算法。目前为止，能抗击生日攻击的Hash值至少要达到128bit。 中途相遇攻击这是一种选择明文/密文的攻击，主要是针对迭代和级连的分组密码体制设计的Hash算法。 攻击Hash函数的典型方法 除生日攻击法、中间相遇攻击外，对一些类型的Hash函数还有一些特殊的攻击方法，例如，修正分组攻击和差分分析法等。 山东大学王小云教授等于2004年8月在美国加州召开的国际密码大会(Crypto’2004)上所做的Hash函数研究报告中指出，她们已成功破译了MD4、MD5、HAVAL-128、RIPEMD-128等Hash算法。 2006年，王小云宣布了攻破SHA-1的消息。她的研究成果表明了从理论上讲电子签名可以伪造，必须及时添加限制条件，或者重新选用更为安全的密码标准，以保证电子商务的安全。 消息认证码 消息认证具有两层含义： 一是检验消息的来源是真实的，即对消息的发送者的身份进行认证； 二是检验消息是完整的，即验证消息在传送或存储过程中未被篡改、删除或插入等。 当需要进行消息认证时，仅有消息作为输入是不够的，需要加入密钥k，这就是消息认证的原理。能否认证，关键在于信息发送者或信息提供者是否拥有密钥k。 消息认证码（MAC，Messages Authentication Codes），是与密钥相关的的单向Hash函数，也称为消息鉴别码或是消息校验和。 MAC与单向Hash函数一样，但是还包括一个密钥。 MAC=CK(M)。 消息认证码 消息认证码(Message Authentication Code，MAC)通常表示为MAC=CK(M) M是可变长的消息，K是收发双方共享的密钥，函数值CK(M)是定长的认证码，也称为密码校验和。 MAC就是带密钥的消息摘要函数，其实就是一种带密钥的数字指纹，它与不带密钥的数字指纹是有本质区别的。 将单向Hash函数变成MAC的一个简单的办法是用对称算法加密Hash值。相反将MAC变成单向Hash函数则只需将密钥公开。 消息认证码的实现 3.2 数字签名技术 数字签名在信息安全，包括身份认证、数据完整性、不可否认性以及匿名性等方面有重要应用，特别是在大型网络安全通信中的密钥分配、认证及电子商务系统中具有重要作用。数字签名是实现认证的重要工具。 提供数据来源的真实性、数据内容的完整性、签名者的不可否认性以及匿名性等信息安全相关的服务和保障。 用于网络通信的安全以及各种用途的电子交易系统（如电子商务、电子政务、电子出版、网络学习、远程医疗等）