【正文】 的哈希函數(shù)。 112 2 13 3 21()()()()KKKN K N NO E DO E D OO E D OO E D O????????Copyright Yuan Email: 南京航空航天大學(xué)網(wǎng)絡(luò)研究室 Hash函數(shù) 13 哈希函數(shù) ? 哈希函數(shù) H是一公開函數(shù)，用于將任意長的消息 M映射為較短的、固定長度的一個值 H(M)， 作為認(rèn)證符，稱函數(shù)值 H(M)為哈希值、雜湊值、雜湊碼或消息摘要。需被認(rèn)證的數(shù)據(jù)（消息、記錄、文件或程序）被分為 64比特長的分組 D1， D2， …， DN，其中最后一個分組不夠 64比特的話，可在其右邊填充一些 0，然后按以下過程計算數(shù)據(jù)認(rèn)證碼（見圖 ）： Copyright Yuan Email: 南京航空航天大學(xué)網(wǎng)絡(luò)研究室 Hash函數(shù) 11 數(shù)據(jù)認(rèn)證算法 圖 數(shù)據(jù)認(rèn)證算法 Copyright Yuan Email: 南京航空航天大學(xué)網(wǎng)絡(luò)研究室 Hash函數(shù) 12 數(shù)據(jù)認(rèn)證算法 ?其中 E為 DES加密算法， K為密鑰。 Copyright Yuan Email: 南京航空航天大學(xué)網(wǎng)絡(luò)研究室 Hash函數(shù) 10 數(shù)據(jù)認(rèn)證算法 ?數(shù)據(jù)認(rèn)證算法是最為廣泛使用的消息認(rèn)證碼中的一個，已作為 FIPS Publication（ FIPS PUB 113）并被 ANSI作為 。 第 2個要求是說敵手如果截獲一個 MAC，則偽造一個相匹配的消息的概率為最小。 ③ 若 M′是 M的某個變換，即 M′=f(M)，例如 f為插入一個或多個比特，那么 Pr[CK(M)=CK(M′)]= 2n。 Copyright Yuan Email: 南京航空航天大學(xué)網(wǎng)絡(luò)研究室 Hash函數(shù) 8 考慮到 MAC所存在的攻擊類型，它應(yīng)滿足以下要求，其中假定敵手知道函數(shù) C，但不知道密鑰 K： ① 如果敵手得到 M和 CK(M)，則構(gòu)造一滿足CK(M′)=CK(M)的新消息 M′在計算上是不可行的。 ? 在圖 (b)中， M與 MAC鏈接后再被整體加密，在圖 (c)中， M先被加密再與 MAC鏈接后發(fā)送。 Copyright Yuan Email: 南京航空航天大學(xué)網(wǎng)絡(luò)研究室 Hash函數(shù) 7 ? 上述過程中，由于消息本身在發(fā)送過程中是明文形式，所以這一過程只提供認(rèn)證性而未提供保密性。)是密鑰控制的公開函數(shù)，然后向 B發(fā)送 M || MAC ； ? 接收方 B收到 M || MAC后，做與 A同樣的計算，求得一個新的 MAC，并與收到的 MAC作比較，如圖 (a)所示： 圖 MAC的基本使用方式 Copyright Yuan Email: 南京航空航天大學(xué)網(wǎng)絡(luò)研究室 Hash函數(shù) 5 Copyright Yuan Email: 南京航空航天大學(xué)網(wǎng)絡(luò)研究室 Hash函數(shù) 6 ? 若僅收發(fā)雙方知道 K，且 B計算得到的 MAC與接收到的 MAC一致，則該系統(tǒng)實現(xiàn)了以下功能： – 接收者可以確信消息 M未被篡改； – 接收者可以確信消息來自所聲稱的發(fā)送者，即發(fā)送方不是冒充的； – 如果消息中含有序列號，則可以保證正確的消息順序。也稱為密碼校驗和。 Copyright Yuan Email: 南京航空航天大學(xué)網(wǎng)絡(luò)研究室 Hash函數(shù) 4 ? 消息認(rèn)證碼 (MAC)是指消息被一 密鑰 控制的 公開函數(shù) 作 用后產(chǎn)生的 固定長度 的數(shù)值。 Copyright Yuan Email: 南京航空航天大學(xué)網(wǎng)絡(luò)研究室 Hash函數(shù) 3 ? 消息認(rèn)證機(jī)制和數(shù)字簽名機(jī)制都需要有產(chǎn)生認(rèn)證符 的基本功能，這一基本功能又作為認(rèn)證協(xié)議的一個部分。 ? 消息認(rèn)證： 是一個過程，用以驗證消息的 真實性 （的確是由它所聲稱的實體發(fā)來的）和 完整性 （消息未被篡改、插入、刪除），同時還用于驗證消息的 順序性和時間性 （消息未被重排、重放、延遲）。 ? 主動攻擊：假冒、重放、消息的篡改、業(yè)務(wù)拒絕。Copyright Yuan Email: 南京航空航天大學(xué)網(wǎng)絡(luò)研究室 Hash函數(shù) 1 第 8章 消息認(rèn)證、哈希函數(shù) Copyright Yuan Email: 南京航空航天大學(xué)網(wǎng)絡(luò)研究室 Hash函數(shù) 2 ? 被動攻擊：獲取消息的內(nèi)容、業(yè)務(wù)流分析。 抗擊被動攻擊的方法： 加密 。 抗擊主動攻擊的方法： 消息認(rèn)證、數(shù)字簽名 等。 ? 數(shù)字簽名： 屬認(rèn)證技術(shù)，實現(xiàn)消息的 不可否認(rèn)性 。 ? 認(rèn)證符是 用于認(rèn)證消息的數(shù)值，它的產(chǎn)生方法分為 消息認(rèn)證碼 (MAC, Message Authentication Code)和 哈希函數(shù) (Hash function)兩大類。該數(shù)值作為 認(rèn)證符 。 ? 用戶 A和用戶 B，共享密鑰 K； ? 發(fā)送方 A對于 消息 M，計算 MAC=CK(M)，其中 CK( ? 注： MAC函數(shù)與加密算法類似，不同之處是MAC不必是可逆的，因此與加密算法相比更不容易被攻破。 ? 為提供保密性可在 MAC函數(shù)以后 (如圖 (b))或以前 (如圖 (c))進(jìn)行一次加密，而且加密密鑰也需被收發(fā)雙方共享。 ? 通常希望直接對明文進(jìn)行認(rèn)證，因此圖 (b)所示的使用方式更為常用。 ② CK(M)在以下意義下是均勻分布的： 隨機(jī)選取兩個消息 M、 M′， Pr[CK(M)=CK(M′)]=2n，其中 n為 MAC的長。 Copyright Yuan Email: 南京航空航天大學(xué)網(wǎng)絡(luò)研究室 Hash函數(shù) 9 第 1個要求是說敵手不需要找出密鑰 K而偽造一個與截獲的 MAC相匹配的新消息在計算上是不可行的。 最后一個要求是說函數(shù) C不應(yīng)在消息的某個部分或某些比特弱于其他部分或其他比特，否則敵手獲得 M和 MAC后就有可能修改 M中弱的部分，從而偽造出一個與原 MAC相匹配的新消息。 ?算法基于 CBC模式的 DES算法，其初始向量取為零向量。 ?數(shù)據(jù)認(rèn)證碼取為 ON或者 ON 的最左 M個比特，其中 16≤M≤64。雜湊碼是消息中所有比特的函數(shù)，因此提供了一種 錯誤檢測 能力，即改變消息中任何一個比特或幾個比特都會使雜湊碼發(fā)生改變。 MAC主要用于保證消息的 完整性 。 Copyright Yuan Email: 南京航空航天大學(xué)網(wǎng)絡(luò)研究室 Hash函數(shù) 14 圖 表示哈希函數(shù)用來提供消息認(rèn)證的基本使用方式，共有以下 6種 ： ① 消息與 哈希值