散列函数和消息认证码.pdfVIP

第七讲散列函数与消息认证码 马春光 machunguang@ 计算机科学与技术学院 哈尔滨工程大学 / 1 • 网络安全威胁： – 被动攻击（Passive Attack ）：敌手通过侦听和截获等手 段获取数据； – 主动攻击（Active Attack ）：敌手通过伪造、重放、篡 改、乱序等手段改变数据； 图1 无线网络中的四种通信安全威胁 （a ）监听；（b ）篡改；（c ）伪造；（d ）阻断 / 2 • 消息认证（Message Authentication ）的目的： – 验证消息的完整性，确认数据在传送和存储过程中未 受到主动攻击。 • 消息认证的方式： – 消息加密函数：加密整个消息，以消息的密文文件作 为认证，可使用对称密码或公钥密码体制进行加密； – 散列函数（Hash ）：将任意长度的消息变换为定长的 消息摘要，并加以认证； – 消息认证码（MAC ）：依赖公开的函数（密钥控制 下）对消息处理，生成定长的认证标识，并加以认 证； / 3 提纲 • 1 散列函数 – 1.1 散列函数的定义 – 1.2 散列函数的通用结构 – 1.3 MD5 • 2 消息认证码 – 2.1 MAC 函数 – 2.2 MAC 的安全性 – 2.3 CBC-MAC • 作业 / 4 提纲 • 1 散列函数 – 1.1 散列函数的定义 – 1.2 散列函数的通用结构 – 1.3 MD5 • 2 消息认证码 • 作业 / 5 散列函数的定义 • 散列函数H 是一个公开的函数，它将任意长度的消息M变换为固定长 度的散列码h 。 • h ＝H (M) – M ：变长消息，H(M)：定长的散列值 • 散列函数是一种算法，算法的输出内容称为散列码或者消息摘要。 • 消息摘要要唯一地对应原始消息，如果原始消息改变并且再次通过散 列函数，它将生成不同的消息摘要，因此散列函数能用来检测消息地 完整性，保证消息从建立开始到收到为止没有被改变和破坏。 • 运行相同算法的接受者应该收到系统的消息摘要，否则保温是不可信 的。 • 散列函数又称为：哈希（Hash ）函数、数字指纹（Digital fingerprint)、压缩（Compression)函数、数据认证码（Data Authentication Code ）等 / 6 散列函数的要求 • H 能用于任意大小的分组; • H 能产生定长的输出; • 对任何给定的x ，H(x)要相对易于计算，使得硬件和软件 实现成为实际可能; • 对任何给定的码h ，寻找x 使得H(x) ＝h 在计算上是不可 行的，即单向性 （one-way ）; • 对任意给定的分组x ，寻找不等于x 的y ，使得H(x) ＝H(y ) 在计算上是不可行的，即弱抗冲突性(Weak Collision-free); • 寻找对任意的(x , y ) 对使得H(x) ＝H (y ) 在计算上是