第五章 消息认证与散列函数

《信息安全》习题参考答案第1章1.1主动攻击和被动攻击是区别是什么？答：被动攻击时系统的操作和状态不会改变，因此被动攻击主要威胁信息的保密性。

主动攻击则意在篡改或者伪造信息、也可以是改变系统的状态和操作，因此主动攻击主要威胁信息的完整性、可用性和真实性。

1.2列出一些主动攻击和被动攻击的例子。

答：常见的主动攻击：重放、拒绝服务、篡改、伪装等等。

常见的被动攻击：消息内容的泄漏、流量分析等等。

1.3列出并简单定义安全机制的种类。

答：安全机制是阻止安全攻击及恢复系统的机制，常见的安全机制包括：加密机制：加密是提供数据保护最常用的方法，加密能够提供数据的保密性，并能对其他安全机制起作用或对它们进行补充。

数字签名机制：数字签名主要用来解决通信双方发生否认、伪造、篡改和冒充等问题。

访问控制机制：访问控制机制是按照事先制立的规则确定主体对客体的访问是否合法，防止未经授权的用户非法访问系统资源。

数据完整性机制：用于保证数据单元完整性的各种机制。

认证交换机制：以交换信息的方式来确认对方身份的机制。

流疑填充机制：指在数拯流中填充一些额外数据，用于防止流量分析的机制。

路由控制机制：发送信息者可以选择特殊安全的线路发送信息。

公证机制：在两个或多个实体间进行通信时，数据的完整性、来源、时间和目的地等内容都由公证机制来保证。

1.4安全服务模型主要由几个部分组成，它们之间存在什么关系。

答：安全服务是加强数拯处理系统和信息传输的安全性的一种服务，是指信息系统为英应用提供的某些功能或者辅助业务。

安全服务模型主要由三个部分组成：支撑服务，预防服务和恢复相关的服务。

支撑服务是英他服务的基础，预防服务能够阻止安全漏洞的发生，检测与恢复服务主要是关于安全漏洞的检测，以及采取行动恢复或者降低这些安全漏洞产生的影响。

1.5说明安全目标、安全要求、安全服务以及安全机制之间的关系。

答：全部安全需求的实现才能达到安全目标，安全需求和安全服务是多对多的关系，不同的安全服务的联合能够实现不同的安全需求，一个安全服务可能是多个安全需求的组成要素。

第七讲散列函数与消息认证码马春光machunguang@计算机科学与技术学院哈尔滨工程大学1 /•网络安全威胁：–被动攻击（Passive Attack）：敌手通过侦听和截获等手段获取数据；–主动攻击（Active Attack）：敌手通过伪造、重放、篡改、乱序等手段改变数据；图1 无线网络中的四种通信安全威胁（a）监听；（b）篡改；（c）伪造；（d）阻断2 /•消息认证（Message Authentication）的目的：–验证消息的完整性，确认数据在传送和存储过程中未受到主动攻击。

•消息认证的方式：–消息加密函数：加密整个消息，以消息的密文文件作为认证，可使用对称密码或公钥密码体制进行加密；–散列函数（Hash）：将任意长度的消息变换为定长的消息摘要，并加以认证；–消息认证码（MAC）：依赖公开的函数（密钥控制下）对消息处理，生成定长的认证标识，并加以认证；3 /提纲•1 散列函数–1.1 散列函数的定义–1.2 散列函数的通用结构–1.3 MD5•2 消息认证码–2.1 MAC函数–2.2 MAC的安全性–2.3 CBC-MAC•作业4 /提纲•1 散列函数–1.1 散列函数的定义–1.2 散列函数的通用结构–1.3 MD5• 2 消息认证码•作业5 /散列函数的定义•散列函数H 是一个公开的函数，它将任意长度的消息M变换为固定长度的散列码h 。

•h＝H (M)–M：变长消息，H(M)：定长的散列值•散列函数是一种算法，算法的输出内容称为散列码或者消息摘要。

•消息摘要要唯一地对应原始消息，如果原始消息改变并且再次通过散列函数，它将生成不同的消息摘要，因此散列函数能用来检测消息地完整性，保证消息从建立开始到收到为止没有被改变和破坏。

•运行相同算法的接受者应该收到系统的消息摘要，否则保温是不可信的。

•散列函数又称为：哈希（Hash ）函数、数字指纹（Digital fingerprint)、压缩（Compression)函数、数据认证码（DataAuthentication Code）等6 /散列函数的要求•H 能用于任意大小的分组;•H 能产生定长的输出;•对任何给定的x，H(x)要相对易于计算，使得硬件和软件实现成为实际可能;•对任何给定的码h ，寻找x 使得H(x)＝h 在计算上是不可行的，即单向性（one-way）;•对任意给定的分组x，寻找不等于x 的y，使得H(x)＝H(y)在计算上是不可行的，即弱抗冲突性(Weak Collision-free);•寻找对任意的(x, y) 对使得H(x)＝H (y) 在计算上是不可行的，即强抗冲突性(Strong Collision-free);7 /提纲•1 散列函数–1.1 散列函数的定义–1.2 散列函数的通用结构–1.3 MD5• 2 消息认证码•作业8 /2.2 Hash函数的通用结构•由Ron Rivest于1990年提出MD4•几乎被所有Hash函数使用•具体做法:–把原始消息M分成一些固定长度的块Y i–最后一块padding 并使其包含消息M长度–设定初始值CV0–压缩函数f, CV i＝f(CV i-1, Y i-1)–最后一个CV i为Hash值9 //提纲•1 散列函数–1.1 散列函数的定义–1.2 散列函数的通用结构–1.3 MD5• 2 消息认证码•作业11 /MD5 描述•1989年,Merkle提出Hash function模型•1990年,Ron Rivest提出MD4•1992年, Ron Rivest完成MD5 (RFC 1321) –/rfcs/rfc1321.html•在最近数年之前，MD5是最主要的Hash算法•现行美国标准SHA-1以MD5的前身MD4为基础•MD5（Message Digest）–输入：任意长度的消息–输入分组长度：512 bit–输出：128 bit 消息12 /(4)(3)13 /14/MD5 描述－（1）•消息填充•对消息进行填充，使其比特数与448模512同余，即填充长度为512的整数倍减去64,留出64比特在（2）中使用：•填充方法：填充比特串的最高位为1，其余各位均为0。

网络与信息安全第七讲消息鉴别与散列函数陈钟教授北京大学信息科学技术学院软件研究所--信息安全研究室chen@2008-2009年度北京大学研究生课程2009/03/30 NISC-07 ©CZ@PKU回顾与总结•对称密码算法–运算速度快、密钥短、多种用途（随机数产生、Hash函数）、历史悠久–密钥管理困难（分发、更换）•非对称密码算法–只需保管私钥、可以相当长的时间保持不变、需要的数目较小–运算速度慢、密钥尺寸大、历史短信息安全的需求•保密性（Confidentiality）•完整性（Integrity）–数据完整性，未被未授权篡改或者损坏–系统完整性，系统未被非授权操纵，按既定的功能运行•可用性（Availability）•鉴别（Authenticity）–实体身份的鉴别，适用于用户、进程、系统、信息等•不可否认性（Non-repudiation）–防止源点或终点的抵赖•……讨论议题•消息鉴别（Message Authentication)•散列函数（Hash Functions)定义•消息鉴别（Message Authentication)：是一个证实收到的消息来自可信的源点且未被篡改的过程。

•散列函数（Hash Functions)：一个散列函数以一个变长的报文作为输入，并产生一个定长的散列码，有时也称报文摘要，作为输出。

•数字签名（Digital Signature）是一种防止源点或终点抵赖的鉴别技术。

通信系统典型攻击1)窃听2)业务流分析3)消息篡改内容修改：消息内容被插入、删除、修改。

顺序修改：插入、删除或重组消息序列。

时间修改：消息延迟或重放。

4)冒充：从一个假冒信息源向网络中插入消息5)抵赖：接受者否认收到消息；发送者否认发送过消息。

两个概念•鉴别(Authentication):真伪性•认证(Certification)资格审查消息鉴别•鉴别的目的•鉴别模型•鉴别函数鉴别的目的•鉴别的主要目的有二：第一，验证信息的发送者是真正的，而不是冒充的，此为信源识别；第二，验证信息的完整性，在传送或存储过程中未被篡改，重放或延迟等。

⽹络安全-安全散列函数，信息摘要SHA-1，MD5原理-----------------------------------------------欢迎查看⽹络安全连载博客--------------------------------------------------------------------------------------------------------------------------------------------------------本⽂绝⼤部分内容来⾃《⽹络安全基础——应⽤与标准》第五版——清华⼤学出版社。

当中蓝⾊部门是⾃⼰加⼊安全散列函数单向散列函数或者安全散列函数之所以重要，不仅在于消息认证(消息摘要。

数据指纹)。

还有数字签名（加强版的消息认证）和验证数据的完整性。

常见的单向散列函数有MD5和SHA散列函数的要求散列函数的⽬的是⽂件、消息或者其它数据块产⽣“指纹”。

为满⾜在消息认证中的应⽤，散列函数H必须具有下列性质：（1）H可适⽤于随意长度的数据块。

（2）H能够⽣成固定长度的输出。

（2）对于随意给定的x，计算H(x)相对easy，⽽且能够⽤软/硬件实现。

（4）对于随意给定的h，找到满⾜H(x)=h的x在计算上不可⾏。

满⾜这⼀特性的散列函数称之为：具备抗原像攻击性。

（5）对于随意给定的数据块x，找到满⾜H(y)=H(x)的y ≠ x在计算上是不可⾏；满⾜这⼀特性的散列函数称之为：抗弱碰撞性。

（6）找到满⾜H(x) = H(y)的随意⼀对(x,y)在计算上是不可⾏的。

满⾜这⼀特性的散列函数称之为：抗碰撞性。

前三个性质是使⽤散列函数进⾏消息认证的实际可⾏要求。

第四个属性，抗原像攻击，防⽌攻击者能够回复秘密值。

抗弱碰撞性保证了对于给定的消息。

不可能找到具有同样散列值的可替换消息。

满⾜上⾯前5个性质的散列函数称之为弱散列函数。

假设还满⾜第6个性质则称之为强散列函数。

散列函数、消息摘要与数字签名⼀，散列函数（Hash function）散列函数：任何⼀种能将任意⼤⼩数据映射为固定⼤⼩数据的函数，都能被称为散列函数。

散列函数的返回值称为散列值、散列码，摘要或者简单散列。

也就是说散列函数能将任意长度的输⼊变换成固定长度的输出，该输出就是散列值。

散列值空间通常远⼩于输⼊的空间。

散列函数的⼀些特性：消息的长度不受限制确定性：对于相同的输⼊（根据同⼀函数），它必须始终⽣成相同的散列值，如果两个散列值是不相同的，那么这两个散列值的原始输⼊也是不相同的，但是对于不同的输⼊可能会散列成相同的输出（哈希碰撞），所以不可能从散列值来确定唯⼀的输⼊值。

均匀性：良好的散列函数应该输⼊尽可能均匀的映射到输出范围上。

单向性：在加密应⽤程序中，通常期望散列函数实际上是不可逆的。

⼆，散列函数的应⽤1. 散列表散列函数通常与散列表（hash table）结合使⽤，使⽤散列表能够快速的按照关键字查找数据记录。

具体地，散列函数会先将关键字映射到地址集合中的某⼀个位置，然后通过这个地址来查找数据记录（也就是将关键字通过散列函数转换的地址来查找表中的数据）2. 加密散列函数由于散列函数的多样性，它们经常是专门为某⼀应⽤⽽设计的，⽐如为加密和验证信息完整性⽽设计的散列函数（⼜被称为单向散列函数、杂凑函数或者消息摘要函数），这种散列函数是⼀个“单向”操作：对于给定的散列值，没有实⽤的⽅法可以计算出⼀个原始输⼊，也就是说很难伪造，⽐如 MD5 这种散列函数，被⼴泛⽤作检测⽂件的完整性。

2.1 验证消息的完整性安全hash的⼀个重要应⽤就是验证消息的完整性：发送者将原⽂与摘要⼀起发送给接受者，然后接收者⽤同⼀个hash函数对收到的原⽂产⽣⼀个摘要，与发送者的摘要信息对⽐，如果相同，则说明收到的信息是完整的。

验证流程如下：在上述流程中，信息收发双发在通信前已经商定了具体的散列算法，并且该算法是公开的，如果消息在传递过程中被篡改，则该消息不能与已获得的数字指纹相匹配。

第5章 Hash 函数与消息认证习题及参考答案1. 指出强抗碰撞H ash 函数与弱抗碰撞H ash 函数之间的区别。

答：弱抗碰撞H ash 函数是任给一个消息x,寻找另一个不同的消息x ，使得他们的H ash 函数值相等是不可行；强抗碰撞Hash 函数是同时寻找两个不同的消息使得他们的Hash 函数值相等是计算上不看行的，可以看出强抗碰撞Hash 函数一定是弱抗碰撞的。

2. 考虑Gibson Hash 函数h 。

设p 、q 是两个素数，N =p ⨯q ，g 是(Z N )*的生成元。

N 作为公钥，p 与q 作为签名者的私钥。

对任意消息m ，其摘要定义为：h (m )= g m mod N 。

(1) 令N =4897，g =2231。

分别计算消息m =132748，m '=75676的摘要。

(2) 证明：如果得到了两个碰撞的消息，那么就可以求出N 的分解。

(3) 证明：如果得到了N 的分解，那么就可以找到碰撞的消息。

解：(1)由h (m )= g m mod N 。

所以h (132748)=2231132748mod4897=2611 h(75676)=2611(2)证明：若h (m)= h (m ')则有g m mod N= g m ' mod N假设 N 的分解为 N=p*q 所以代入 然后根据中国剩余定理可以解得 p ，q 。

3. 设p 是一个素数，g 1、g 2是(Z p )*的两个生成元，使得离散对数p g g mod log21的计算是困难的。

对任意消息m =(m 1, m 2)，定义H ash 函数h 的摘要为：p g g m m h m m mod ),(212121⨯=。

(1) 设p =65867，g 1=11638，g 2=22770。

分别计算消息m =(33123, 11789)，m '=(55781, 9871)的摘要。

(2) 证明：求解H ash 函数h 的碰撞等价于计算离散对数p g g mod log21。

消息认证和散列(Hash)函数1 散列函数1.1散列函数的概念1.2 简单散列函数的构造1.3 作为消息认证的散列函数应具有的特性2 基于散列函数的消息认证方式2.1 对称密钥加密方式2.2 公开密钥与对称密钥结合的加密方式2.3公共秘密值方式在网络通信环境中，可能存在下述攻击:1.泄密:将消息透露给没有合法密钥的任何人或程序。

2.传输分析:分析通信双方的通信模式。

在面向连接的应用中，确定连接的频率和持续时间;在面向业务或无连接的环境中，确定双方的消息数量和长度。

3.伪装:欺诈源向网络中插入一条消息，如攻击者产生一条消息并声称这条消息是来自某合法实体，或者非消息接受方发送的关于收到或未收到消息的欺诈应答。

4.内容修改:对消息内容的修改，包括插入、删除、转换和修改。

5.顺序修改:对通信双方消息顺序的修改，包括插入、删除和重新排序。

6.计时修改:对消息的延时和重放。

7.发送方否认:发送方否认发送过某消息。

8.接收方否认:接收方否认接收到某消息。

其中，对付前两种攻击的方法属于消息保密性范畴;对付第3种至第6种攻击的方法一般称为消息认证;对如第7种攻击的方法属于数字签名;对付第8种攻击需要使用数字签名和为抗此种攻击而涉及的协议。

这样归纳起来，消息认证就是验证所收到的消息确实来自真正的发送方且未被修改的消息，它也可验证消息的顺序和及时性。

任何消息认证在功能上基本可看做有两层。

下层中一定有某种产生认证符的函数，认证符是一个用来认证消息的值;上层协议中将该函数作为原语使接收方可以验证消息的真实性。

产生认证符的函数类型通常可以分为以下三类:1.消息加密:整个消息的密文作为认证符。

2.Hash函数:它是将任意长的消息映射为定长的hash值得公开函数，以该hash 值作为认证符。

3.消息认证码(MAC):它是消息和密钥的公开函数，它产生定长的值，以该值作为认证符。

实际上消息认证码也属于Hash函数的范畴，它是带密钥的Hash函数。