物聯(lián)網(wǎng)安全課件第5章

《物聯(lián)網(wǎng)安全：原理與技術(shù)》

第五章：物聯(lián)網(wǎng)安全基礎(chǔ)—數(shù)據(jù)完整性檢驗(yàn)

目錄一二三四本章概述哈希函數(shù)與偽隨機(jī)函數(shù)消息認(rèn)證碼數(shù)字簽名本章概述無(wú)論是對(duì)稱密碼方案或是非對(duì)稱密碼方案，都是保護(hù)傳輸、存儲(chǔ)數(shù)據(jù)的機(jī)密性，即可以保護(hù)通訊的內(nèi)容不被敵手獲知。然而在現(xiàn)實(shí)中，僅僅保護(hù)數(shù)據(jù)的機(jī)密性是不夠的。對(duì)于接收者來(lái)說(shuō)，如何驗(yàn)證所接收到的數(shù)據(jù)是指定的發(fā)送方發(fā)送的呢？在實(shí)際應(yīng)用中，敵手可能會(huì)對(duì)傳輸中的加密信息進(jìn)行篡改，令接收方得到錯(cuò)誤的加密信息。因此如何讓接收者驗(yàn)證接收到的消息確實(shí)是指定的發(fā)送方產(chǎn)生的，在實(shí)際的應(yīng)用中與安全通訊同樣重要。目錄一二三四本章概述哈希函數(shù)與偽隨機(jī)函數(shù)消息認(rèn)證碼數(shù)字簽名哈希函數(shù)哈希函數(shù)（Hashfunction）也稱為散列函數(shù)，是一種將任意長(zhǎng)度的字符串壓縮成為固定的短的字符串的函數(shù)，有時(shí)這個(gè)短的字符串也稱為消息的“摘要”。哈希函數(shù)廣泛使用在數(shù)據(jù)結(jié)構(gòu)中用以構(gòu)造哈希表（Hashtable）等。哈希函數(shù)的一個(gè)重要性質(zhì)就是抗碰撞性。在哈希表中，我們盡可能希望兩個(gè)不同的值落在同一個(gè)位置的概率盡可能小，即盡量避免碰撞的發(fā)生。密碼學(xué)中的哈希函數(shù)則希望碰撞發(fā)生的概率是可忽略的，即需要更強(qiáng)的抗碰撞性要求。哈希函數(shù)

哈希函數(shù)的安全性

哈希函數(shù)的安全性哈希函數(shù)的通用攻擊方法是生日攻擊。哈希函數(shù)的安全強(qiáng)度與輸出的長(zhǎng)度密切相關(guān)。常見(jiàn)的安全哈希函數(shù)有MD家族（MD4、MD5）與SHA家族（SHA-1、SHA-2、SHA-3）等。MD4、MD5以及SHA-1已經(jīng)被認(rèn)為是不安全的哈希函數(shù)，且無(wú)法保證抗碰撞性?，F(xiàn)代的攻擊方法可以在數(shù)分鐘之內(nèi)找到MD4、MD5中有效的碰撞。基于目前的研究來(lái)說(shuō)，SHA-2（SHA-256、SHA-384、SHA-512）、SHA-3等哈希函數(shù)普遍認(rèn)為是安全的，而MD家族及SHA-1等哈希函數(shù)認(rèn)為是不安全的哈希函數(shù)。偽隨機(jī)函數(shù)偽隨機(jī)函數(shù)（Pseudorandomfunction）是一種產(chǎn)生隨機(jī)字符串的函數(shù)。偽隨機(jī)函數(shù)可以接受任意長(zhǎng)度的輸入，并且輸出一個(gè)隨機(jī)的字符串。一個(gè)安全的偽隨機(jī)函數(shù)，其輸出應(yīng)當(dāng)與真正的隨機(jī)字符串是不可區(qū)分的。偽隨機(jī)函數(shù)與哈希函數(shù)類似，都是確定性的算法。對(duì)于確定性的算法，討論其偽隨機(jī)性是沒(méi)有什么意義的，實(shí)際上偽隨機(jī)函數(shù)輸出的偽隨機(jī)性其實(shí)是針對(duì)于函數(shù)輸出的分布。偽隨機(jī)函數(shù)

基于偽隨機(jī)函數(shù)的對(duì)稱加密方案

目錄一二三四本章概述哈希函數(shù)與偽隨機(jī)函數(shù)消息認(rèn)證碼數(shù)字簽名消息認(rèn)證碼加密并不能保證數(shù)據(jù)的完整性。利用加密方案，可以使得通信雙方在公開(kāi)信道上進(jìn)行消息的傳輸，并且不用擔(dān)心通訊內(nèi)容被監(jiān)聽(tīng)者獲取。然而這并不能保證惡意的敵手對(duì)通訊的內(nèi)容進(jìn)行篡改（敵手不需要知道通訊的內(nèi)容是什么就可以篡改通訊內(nèi)容）。例如，在使用公鑰加密的通訊系統(tǒng)中，敵手可以簡(jiǎn)單地?cái)r截發(fā)送方發(fā)送的密文，并替換為自己想要接收者收到的內(nèi)容，從而使通訊雙方遭受到巨大的損失。即使使用對(duì)稱加密方案，敵手仍然可以通過(guò)翻轉(zhuǎn)密文中的某些比特，使得解密的結(jié)果完全不同。因此，加密無(wú)法保證數(shù)據(jù)的完整性，并且所有的加密方案單獨(dú)使用都無(wú)法保證數(shù)據(jù)的完整性。數(shù)據(jù)完整性加密并不能保證數(shù)據(jù)的完整性。利用加密方案，可以使得通信雙方在公開(kāi)信道上進(jìn)行消息的傳輸，并且不用擔(dān)心通訊內(nèi)容被監(jiān)聽(tīng)者獲取。然而這并不能保證惡意的敵手對(duì)通訊的內(nèi)容進(jìn)行篡改（敵手不需要知道通訊的內(nèi)容是什么就可以篡改通訊內(nèi)容）。例如，在使用公鑰加密的通訊系統(tǒng)中，敵手可以簡(jiǎn)單地?cái)r截發(fā)送方發(fā)送的密文，并替換為自己想要接收者收到的內(nèi)容，從而使通訊雙方遭受到巨大的損失。即使使用對(duì)稱加密方案，敵手仍然可以通過(guò)翻轉(zhuǎn)密文中的某些比特，使得解密的結(jié)果完全不同。因此，加密無(wú)法保證數(shù)據(jù)的完整性，并且所有的加密方案單獨(dú)使用都無(wú)法保證數(shù)據(jù)的完整性。數(shù)據(jù)完整性

消息認(rèn)證碼的安全性

重放攻擊當(dāng)敵手獲取到消息和相應(yīng)的標(biāo)簽之后，可以重新將這組消息和標(biāo)簽發(fā)送給接收方。在重放過(guò)程中，敵手沒(méi)有對(duì)消息或標(biāo)簽進(jìn)行任何的修改，因此這組消息和標(biāo)簽可以合法地通過(guò)Verify算法的檢驗(yàn)。對(duì)于沒(méi)有合理設(shè)計(jì)的系統(tǒng)來(lái)說(shuō)，重放攻擊是一種有效且直接的攻擊方式，往往會(huì)對(duì)系統(tǒng)造成極大的影響。消息認(rèn)證碼無(wú)法抵抗重放攻擊。這是因?yàn)橄⒄J(rèn)證碼只對(duì)消息本身進(jìn)行認(rèn)證，而不考慮其狀態(tài)。抵抗重放攻擊的方法一般有兩種，分別是在消息中加入序列號(hào)或時(shí)間戳。CBC-MAC方案

CBC-MAC方案

CBC-MAC方案

CBC-MAC對(duì)變長(zhǎng)的消息的擴(kuò)展將CBC-MAC擴(kuò)展到變長(zhǎng)消息場(chǎng)景下的方法主要有三種：Input-lengthkeyseparation，Length-prepending和Encryptlastblock。在這三種方法中，Length-prepending和Encryptlastblock方法被討論和使用的場(chǎng)景最多。Length-prependingCBC-MAC方案標(biāo)簽生成過(guò)程EncryptlastblockCBC-MAC

不安全的基于哈希函數(shù)MAC方案

HMAC方案

目錄一二三四本章概述