【正文】 CDEFFEDCBA9876543210”（算法已經(jīng)固定），這樣最后輸出一個(gè) 128位的 Hash結(jié)果。 70 其它散列函數(shù) ? 1．安全散列函數(shù) SHA： SHA是由美國(guó) NIST和 NSA共同設(shè)計(jì) , 是基于 MD4算法但比 MD4安全性高，與 MD5非常相似，對(duì)輸入的小于 264位長(zhǎng)的任意報(bào)文，以 512位的分組進(jìn)行處理，產(chǎn)生一個(gè) 160位長(zhǎng)的報(bào)文摘要。 ? 2． RIPEMD： RIPEMD算法是歐洲 RACE項(xiàng)目中開(kāi)發(fā)完成的，它由 MD4演化而來(lái)，設(shè)計(jì)時(shí)考慮了對(duì) MD4和 MD5算法的現(xiàn)有攻擊方法。 RIPEMD算法對(duì)任意長(zhǎng)度的報(bào)文，以 512位的分組為單位進(jìn)行處理，產(chǎn)生一個(gè)長(zhǎng)度為 160位的報(bào)文摘要。 ? 3． CRC ： CRC的全稱為 Cyclic Redundancy Check，中文名稱為循環(huán)冗余校驗(yàn)。它是一類重要的線性分組碼，編碼和解碼方法簡(jiǎn)單，檢錯(cuò)和糾錯(cuò)能力強(qiáng)，在通信領(lǐng)域廣泛地用于實(shí)現(xiàn)差錯(cuò)控制。 71 消息認(rèn)證 72 73 定義 認(rèn)證技術(shù)包括對(duì)用戶身份的認(rèn)證和對(duì)消息的認(rèn)證。用戶認(rèn)證用于 : 報(bào)文鑒別（ Message Authentication)： 是一個(gè)證實(shí)收到的消息來(lái)自可信的源點(diǎn)且未被篡改的過(guò)程。 .散列函數(shù)（ Hash Functions)： 一個(gè)散列函數(shù)以一個(gè)變長(zhǎng)的報(bào)文作為輸入，并產(chǎn)生一個(gè)定長(zhǎng) 的散列碼，有時(shí)也稱報(bào)文摘要，作為輸出。 .數(shù)字簽名（ Digital Signature） 是一種防止源點(diǎn)或終點(diǎn)抵賴的鑒別技術(shù) 。 74 鑒別的主要目的有二： 第一：驗(yàn)證信息的發(fā)送者是真正的，而不是冒充的，此為信源識(shí)別； 第二：驗(yàn)證信息的完整性，在傳送或存儲(chǔ)過(guò)程中未被篡改，重放或延遲等。 鑒別目的 75 76 ? 鑒別編碼器和鑒別譯碼器可抽象為鑒別函數(shù)。 ? 一個(gè)安全的鑒別系統(tǒng)，需滿足 （ 1）意定的接收者能檢驗(yàn)和證實(shí)消息的合法性、真實(shí)性和完整性 （ 2）消息的發(fā)送者和接收者不能抵賴 （ 3）除了合法的消息發(fā)送者，其它人不能偽造合法的消息 . ? 首先要選好恰當(dāng)?shù)蔫b別函數(shù)，該函數(shù)產(chǎn)生一個(gè)鑒別標(biāo)識(shí)，然后 在此基礎(chǔ)上，給出合理的鑒別協(xié)議 (Authentication Protocol)，使接收者完成消息的鑒別。 鑒別系統(tǒng)的組成 77 可用來(lái)做鑒別的函數(shù)分為三類： (1)消息加密函數(shù) (Message encryption) 用完整信息的密文作為對(duì)信息的鑒別。 (2)消息鑒別碼 MAC(Message Authentication Code) 公開(kāi)函數(shù) +密鑰產(chǎn)生一個(gè)固定長(zhǎng)度的值作為鑒別標(biāo)識(shí) (3)散列函數(shù) (Hash Function) 是一個(gè)公開(kāi)的函數(shù)，它將任意長(zhǎng)的信息映射成一個(gè)固定長(zhǎng)度的信息。 鑒別函數(shù) 78 消息的自身加密可以作為一個(gè)鑒別的度量。通過(guò)驗(yàn)證加密的數(shù)據(jù)能否成功地在兩個(gè)站點(diǎn)間進(jìn)行傳送來(lái)實(shí)現(xiàn)的。 假定 A、 B是兩個(gè)通信站點(diǎn)，密鑰是 K， A是發(fā)方， B是收方。 （ 1） A產(chǎn)生一個(gè)偽隨機(jī)數(shù) RN，并用密鑰 K，為 RN加密，即 C=E(RN,K) 然后發(fā)送給 B。另外， A對(duì) RN施加函數(shù)變換 F，得到f(RN)，其中 f是某公開(kāi)的簡(jiǎn)單函數(shù)。 （ 2） B收到 C后，解密得到 RN=D(C,K) B也對(duì) RN施加函數(shù)變換 f(RN)，并用自己的密鑰 K對(duì)f(RN)加密，即 C’=E(f(RN),k)，然后發(fā)送給 A （ 3） A對(duì)收到的 E(f(RN),k)解密，即 D(C’,k)=D(E(f(RN),k),k)=f(RN)，并將其與自己原先保存的進(jìn)行比較，相等，則可靠，不同，與 B中斷通信。 消息加密 79 使用一個(gè)密鑰生成一個(gè)固定大小的小數(shù)據(jù)塊，并追加到報(bào)文后面，稱 MAC， 或密碼校驗(yàn)和（ cryptographic checksum） . MAC函數(shù)類似于加密函數(shù)，但不需要可逆性。因此在數(shù)學(xué)上比加密算法被攻擊的弱點(diǎn)要少。 發(fā)送方根據(jù)內(nèi)容，按一定的算法產(chǎn)生鑒別碼，并把鑒別碼附加到報(bào)文內(nèi)容的后面。如果報(bào)文內(nèi)容不需要加密，則可把報(bào)文的內(nèi)容及附加的鑒別碼發(fā)給對(duì)方。如果報(bào)文的內(nèi)容需要加密，則把報(bào)文內(nèi)容及附加的鑒別碼一起加密，然后發(fā)給收方。收方收到后，如果加密的則先解密，并將收到的報(bào)文（不包括鑒別碼）按同一算法重新計(jì)算鑒別碼。并與收到的報(bào)文鑒別碼相比較，如一致，則鑒別此報(bào)文是真的。 有不少算法可以生成報(bào)文鑒別碼。例如 DES算法就可以生成。 值得注意的是，生成報(bào)文鑒別碼的過(guò)程與加密的過(guò)程十分相似。區(qū)別是，鑒別計(jì)算不進(jìn)行反向計(jì)算。由于鑒別函數(shù)的這一特點(diǎn)，鑒別是較難被攻破的。 報(bào)文鑒別碼 80 報(bào)文鑒別碼 K 報(bào) 文 報(bào) 文 報(bào) 文 加密算法 發(fā)送 加密算法 比較 MAC MAC K 發(fā)送方 接收方 使用報(bào)文鑒別碼進(jìn)行報(bào)文鑒別 81 數(shù)字簽名 ?因?yàn)?Hash函數(shù)是公開(kāi)的，所以非法用戶完全可以產(chǎn)生自己的消息，計(jì)算出該消息的 Hash值，從而將合法用戶發(fā)送真消息及相應(yīng)的 Hash值全部替換掉，收方也不會(huì)察覺(jué)，消息并非合法發(fā)方發(fā)送或消息被變動(dòng)過(guò)，這就涉及第二個(gè)問(wèn)題。 ?Message authentication用以保護(hù)雙方之間的數(shù)據(jù)交換不被第三方侵犯；但它并不保證雙方自身的相互欺騙。假定 A發(fā)送一個(gè)認(rèn)證的信息給 B，雙方之間的爭(zhēng)議可能有多種形式： B偽造一個(gè)不同的消息，但聲稱是從 A收到的。 A可以否認(rèn)發(fā)過(guò)該消息， B無(wú)法證明 A確實(shí)發(fā)了該消息。 例如： EFT中改大金額；股票交易指令虧損后抵賴。 ?采用數(shù)字簽名的方法解決這個(gè)問(wèn)題，如果發(fā)方在計(jì)算消息的Hash值后，對(duì) Hash值作一次數(shù)字簽名，然后將消息、該消息的Hash值及 Hash值的數(shù)字簽名一并送出，因惡意用戶不知道合法用戶的簽名私鑰，就不可能偽造。 ?信息認(rèn)證服務(wù)采用 Hash函數(shù)和數(shù)字簽名相結(jié)合的方法。 82 數(shù)字簽名 書(shū)信或文件是根據(jù)親筆簽名或印章來(lái)證明其真實(shí)性。但在計(jì)算機(jī)網(wǎng)絡(luò)中傳送的文電又如何蓋章呢？這就是 數(shù)字簽名所要解決的問(wèn)題。 數(shù)字簽名必須保證以下三點(diǎn)： （ 1）接收者能夠核實(shí)發(fā)送者對(duì)報(bào)文的簽名 （ 2）發(fā)送者事后不能抵賴對(duì)報(bào)文的簽名 （ 3）接收者不能偽造對(duì)報(bào)文的簽名 現(xiàn)在已有多種實(shí)現(xiàn)各種數(shù)字簽名的方法。但采用公開(kāi)密鑰算法比采用常規(guī)密鑰算法更容易實(shí)現(xiàn)。下面就介紹這種數(shù)字簽名。 發(fā)送者 A用其秘密解密密鑰 SKA對(duì)報(bào)文 X進(jìn)行運(yùn)算，將結(jié)果DSKA(X)傳送給接收者 B。 B將已知的公開(kāi)的 A的公開(kāi)加密密鑰得出 EPKA(DSKA(X))=X 。因?yàn)槌?A外沒(méi)有別人能具有 A的解密密鑰 SKA，所以除 A外沒(méi)有別人能產(chǎn)生密文 DSKA(X)。這樣，報(bào)文 X就被簽名了。 83 數(shù)字簽名 （ 1）發(fā)送方將要發(fā)送的信息原文用 SHA函數(shù)編碼，產(chǎn)生一段固定長(zhǎng)度的數(shù)字摘要。 （ 2）發(fā)送方用自己的私用密鑰對(duì)摘要進(jìn)行加密，形成了數(shù)字簽名，并附在要發(fā)送的信息原文后面。 （ 3）發(fā)送方產(chǎn)生一個(gè)通信密鑰，并用它對(duì)帶有數(shù)字簽名的信息原文進(jìn)行加密后，傳送到接收方。 （ 4）發(fā)送方用接收方的公開(kāi)密鑰對(duì)自己的通信密鑰進(jìn)行加密后，傳送到接收方。 （ 5）接收方收到發(fā)送方加密后的通信加密后，用自己的私用密鑰對(duì)其進(jìn)行解密，得到發(fā)送方的通信密鑰。 （ 6）接收方用發(fā)送方的通信密鑰對(duì)收到的被加密的簽名原文進(jìn)行解密。得到數(shù)字簽名和信息原文。 （ 7）接收方用發(fā)送方的公共密鑰對(duì)數(shù)字簽名進(jìn)行解密，得到摘要；同時(shí)將收到的原文用 SHA函數(shù)編碼，產(chǎn)生另一個(gè)摘要。 （ 8）接收方將兩個(gè)摘要進(jìn)行比較，如果兩者一致，則說(shuō)明發(fā)送的信息原文在傳送過(guò)程中沒(méi)有被破壞或篡改過(guò)，從而得到準(zhǔn)確明文。 84 RSA數(shù)字簽名 消息 哈希函數(shù) 哈希值 數(shù)字簽名 數(shù)字簽名 哈希值 1 哈希值 2 比較 簽名后的消息 消息 哈希函數(shù) 消息驗(yàn)證 私鑰加密 公鑰加密