u8,u8国际,u8国际官方网站,u8国际网站,u8国际网址,u8国际链接,u8体育,u8体育官网,u8体育网址,u8注册,u8体育网址,u8官方网站,u8体育APP,u8体育登录,u8体育入口

　　消息认证是用来验证消息完整性的一种机制或服务。消息 认证确保收到的数据确实和发送时的一样（即没有修改、 插入、删除或重放），且发送方声称的身份是真实有效的。 当哈希函数用于提供消息认证功能时，Hash函数值通常 称为消息摘要。

　　• 散列算法也叫散列函数、Hash函数、哈希函数、 杂凑函数，在现代密码学中扮演着重要角色。

　　• 散列函数是一公开函数，通常记为H，用于将 任意长的消息M映射为较短的、固定长度的一 个值作为认证符，记为H(M)，经常称函数值 H(M)为散列值、哈希值、杂凑值、杂凑码或消 息摘要、数组指纹等等。

　　• 监控过程 监控主机对监控网站进行轮回扫描，对扫描的文件进行如下操作： （1）计算文件的哈希值，并与备份的文件哈希值进行比较，如果相同， 转（4）步。 （2）如果不同，上载备份文件替换网站现有文件，转（4）步。 （3）如果备份文件不存在，则删除网站上这个文件，转（4）步。 （4）监控程序扫描下一文件。

　　③ 用公钥加密算法和发送方的秘密钥仅加密杂凑码。 和②一样，这种方式提供认证性，又由于只有发送 方能产生加密的杂凑码，因此这种方式还对发送方 发送的消息提供了数字签字，事实上这种方式就是 数字签字。

　　④ 消息的杂凑值用公钥加密算法和发送方的秘密钥加 密后与消息链接，再对链接后的结果用单钥加密算法 加密，这种方式提供了保密性和数字签字。

　　• 描绘“物联网”时代的图景：当司机出现操作失 误时汽车会自动报警；公文包会提醒主人忘带了 什么东西；衣服会“告诉”洗衣机对颜色和水温 的要求，等等。

　　① 消息与杂凑码链接后用单钥加密算法加密。由于所用密钥 仅为收发双方A、B共享，因此可保证消息的确来自A并且未 被篡改。同时还由于消息和杂凑码都被加密，这种方式还提 供了保密性，见图6.3(a)。

　　• 物联网（The Internet of things）的定义是：通过 射频识别（RFID）、红外感应器、全球定位系统、 激光扫描器等信息传感设备，按约定的协议，把 任何物品与互联网连接起来，进行信息交换和通 讯，以实现智能化识别、定位、跟踪、监控和管 理的一种网络。

　　这是因为在k个人中考虑的是任意两个人 的生日是否相同，在23个人中可能的情况数 为C223=253。

　　在1到n之间均匀分布的整数型随机变量，若 该变量的k个取值中至少有两个取值相同的 概率大于0.5，则k至少多大？

　　当k=23时，P(365,23)=0.5073，即上述 问题只需23人，人数如此之少。若k取100， 则P(365,1ຫໍສະໝຸດ Baidu0)=0.9999997，即获得如此大的 概率。之所以称这一问题是悖论是因为当人 数k给定时，得到的至少有两个人的生日相 同的概率比想象的要大得多。

　　若使上述概率等于0.5，则k=n/2。特别 地，如果H的输出为m比特长，即可能的输 出个数n=2m，则k=2m-1。

　　生日悖论是考虑这样一个问题：在k个人 中至少有两个人的生日相同的概率大于0.5时， k至少多大？

　　但由于敌手不知道用于加密杂凑值的密钥，他就不可能既 伪造一个消息M，又伪造这个消息的杂凑值加密后的密文 EK[H(M)]。

　　然而，如果第5个条件不成立，敌手在截获明文消息及其 加密的杂凑值后，就可按以下方式伪造消息：首先求出截 获的消息的杂凑值，然后产生一个具有相同杂凑值的伪造 消息，最后再将伪造的消息和截获的加密的杂凑值发往通 信的接收方。

　　假设函数H的输入消息或数据块长度是b位， 输出的长度为n位，且bn，则平均每个 Hash值对应2b/n个原像。

　　H(x)是一个特定的输出，如果对H随机取k个 输入，则至少有一个输入y使得H(y)=H(x)的 概率为0.5时，k有多大？

　　生日攻击是基于下述结论：设散列函数 H有2m个可能的输出（即输出长m比特）， 如果H的k个随机输入中至少有两个产生相同 输出的概率大于0.5，则 k 2m 2m。2

　　常见的Unix系统口令以及 多数论坛/社区系统口令都 是经MD5处理后保存其摘

　　在进行数字签名过程中使用用户的私钥加密消息的Hash 值，其它任何知道该用户公钥的人都能够通过数字签名来 验证消息的完整性。在这种情况下，攻击者要想篡改消息， 则需要知道用户的私钥。

　　将每个文件的Hash值H(F)存储在安全系统 中，随后就能够通过重新计算H(F)来判断 文件是否被修改过。

　　假如散列函数不具有单向性，则攻击者截获M和C=H(S‖M)后， 求C的逆S‖M，就可求出秘密值S。第5个条件使得敌手无法在 已知某个消息时，找到与该消息具有相同杂凑值的另一消息。

　　这一性质用于杂凑值被加密情况时(见图3(b)和图3(c))防止敌手 的伪造，由于在这种情况下，敌手可读取传送的明文消息M， 因此能产生该消息的杂凑值H(M)。

　　⑤ 使用这种方式时要求通信双方共享一个秘密值S， A计算消息M和秘密值S链接在一起的杂凑值，并将此 杂凑值附加到M后发往B。因B也有S，所以可重新计 算杂凑值以对消息进行认证。由于秘密值S本身未被发 送，敌手无法对截获的消息加以篡改，也无法产生假 消息。这种方式仅提供认证。

　　② 用单钥加密算法仅对杂凑码加密。这种方式用于 不要求保密性的情况下，可减少处理负担。将 EK[H(M)]看作一个函数，函数的输入为消息M和密 钥K，输出为固定长度。

　　即第1个数据项可从365个中任取一个， 第2个数据项可在剩余的364个中任取一个， 依次类推，最后一个数据项可从365-k1个

　　值中任取一个。如果去掉任意两个都不相同 这一限制条件，可得k个数据项中所有取值 方式数为365k。所以可得

　　散列函数的目的是为需认证的数据产生一个“指纹”。为了能 够实现对数据的认证，散列函数应满足以下条件：

　　第Ⅱ类生日攻击可按以下方式进行： ① 设用户将用图3(c)所示的方式发送消息， 即A用自己的秘密钥对消息的杂凑值加密， 加密结果作为对消息的签字，连同明文消息 一起发往接收者。

　　② 敌手对A发送的消息M产生出2m/2个变形的 消息，每个变形的消息本质上的含义与原消 息相同，同时敌手还准备一个假冒的消息M′， 并对假冒的消息产生出2m/2个变形的消息。

　　• 为了回答这一问题，首先定义下述概率：设有k个 整数项，每一项都在1到n之间等可能地取值，则k个 整数项中至少有两个取值相同的概率为P(n, k)。

　　• 因而生日悖论就是求使得P(365,k)≥0.5的最小k， 为此首先考虑k个数据项中任意两个取值都不同的概 率，记为Q(365, k)。如果k365，则不可能使得任 意两个数据都不相同，因此假定k≤365。k个数据项 中任意两个都不相同的所有取值方式数为

　　因为H有n个可能的输出，所以输入y产 生的输出H(y)等于特定输出H(x)的概率是1/n， 反过来说H(y)≠H(x)的概率是1-1/n。y取k个 随机值而函数的k个输出中没有一个等于H(x)， 其概率等于每个输出都不等于H(x)的概率之 积，为[1-1/n]k，所以y取k个随机值得到函数 的k个输出中至少有一个等于H(x)的概率为1[1-1/n]k。

　　⑥ 这种方式是在⑤中消息与杂凑值链接以后再增加单 钥加密运算，从而又可提供保密性。

　　由于加密运算的速度较慢，代价较高，而且很多加密算法 还受到专利保护，因此在不要求保密性的情况下，方式② 和⑤将比其他方式更具优势。

　　“网站卫士”是一个网络安全软件产品。它的主要功能是 通过网络扫描网站的网页，监测网页是否被修改，当发现 网页被修改后，系统能够自动报警和恢复。

　　• 初始化过程 （1）对监视网站的文件备份到监控主机上。 （2）对每个备份的文件生成一个结构：文件位置、文件的哈希值。

　　以上6个条件中，前3个是散列函数能用于消息认证的基本要求。 第4个条件（即单向性）则对使用秘密值的认证技术(见图1(e)) 极为重要。

　　④ 已知h，求使得H(x)=h的x在计算上是不可行的，这一性质称 为函数的单向性，称H(x)为单向散列函数。

　　⑤ 已知x，找出y(y≠x)使得H(y)=H(x)在计算上是不可行的。如 果单向散列函数满足这一性质，则称其为弱单向散列函数。

　　⑥ 找出任意两个不同的输入x、y，使得H(y)=H(x)在计算上是不 可行的。

　　• 碰撞：因为H是多对一映射，所以对于任意 给定的Hash值h，对应有多个原像。如果满 足x≠y且H(x)=H(y)，则称出现碰撞。

　　• 杂凑码是消息中所有比特的函数，因此提供了 一种错误检测能力，即改变消息中任何一个比 特或几个比特都会使杂凑码发生改变。

　　• 从密码角度看，散列函数也可以看作是一 种单向密码体制，即它从一个明文到密文 是不可逆映射，只有加密过程，不能解密。 散列值是消息中所有比特的函数值，因此 提供了一种错误检测能力，即改变消息中 任何一个比特或几个比特都会使散列值发 生改变。