用于差错控制的报文检验是根据冗余位检查报文是否受到信道干扰的影响，与之类似的报文摘要方案是计算密码检查和，即固定长度的认证码，附加在消息后面发送，根据认证码检查报文是否被篡改。设M是可变长的报文，K是发送者和接收者共享的密钥，令MD=CK (M),这就是算出的报文摘要(Message Digest)，如图6-10所示。由于报文摘要是原报文唯一的压缩表示，代表了原来报文的特征，所以也叫做数字指纹(Digital Fingerprint).

散列(Hash)算法将任意长度的二进制串映射为固定长度的二进制串，这个长度较小的二进制串称为散列值。散列值是一段数据唯一的、紧凑的表示形式。如果对一段明文只更改中

的一个字母，随后的散列变换都将产生不同的散列值。要找到散列值相同的两个不同的输入在计算上是不可能的，所以数据的散列值可以检验数据的完整性。

通常的实现方案是对任意长的明文M进行单向散列变换，计算固定长度的位串，作为报文摘要。对Hash函数h=H (M)的要求如下。

(1)可用于任意大小的数据块。

(2)能产生固定大小的输出。

(3)蜘硬件容易实现。

(4)对于任意m，找出x，满足H(x)=m，是不可计算的。

(5)对于任意x，找出y≠x，使得H (x)= H(y)，是不可计算的。

(6)找出(x,y)，使得H (x) =H(y)，是不可计算的。

前三项要求显而易见是实际应用和实现的需要。第4项要求就是所谓的单向性，这个条件使得攻击者不能由偷听到的m得到原来的x。第5项要求是为了防止伪造攻击，使得攻击者不能用自己制造的假消息y冒充原来的消息x。第6项要求是为了对付生日攻击的.

报文摘要可以用于加速数字签名算法。在图6-8中，BB发给B的报文中报文P实际上出现了两次，一次是明文，一次是密文。这显然增加了传送的数据量。如果改成图6-11的报文，Knn (A, t, P)减少为MD (P)，则传送过程可以大大加快。

6.5.1报文摘要算法

使用最广的报文摘要算法是MD5，这是Ronald L. Rivest设计的一系列Hash函数中的第5个。其基本思想就是用足够复杂的方法把报文位充分“弄乱”，使得每一个输出位都受到每一个输入位的影响。具体的操作分成下列步骤。

(1)分组和填充。把明文报文按512位分组，最后要填充一定长度的”1000..二”，使得

报文长度=448 (mod 512)

(2)附加。最后加上64位的报文长度字段，整个明文恰好为512的整数倍。

(3)初始化。置4个32位长的缓冲区ABCD分别为:

A=01234567   B=89ABCDEF       C=FEDCBA98   D=76543210

(4)处理。用4个不同的基本逻辑函数((F, G, H, I )进行4轮处理，每一轮以ABCD和当前512位的块为输入，处理后送入ABCD (128位)，产生128位的报文摘要。如图6-12

所示。

关于MD5的安全性可以解释如下。由于算法的单向性，因此要找出具有相同Hush值的两个不同报文是不可计算的。如果采用野蛮攻击，寻找具有给定Hush值的报文的计算复杂性为2128，若每秒试验10亿个报文，需要1.07 X 1022年。采用生日攻击法，寻找有相同Hush值的两个报文的计算复杂性为2`4，用同样的计算机，需要585年。从实用性考虑，MD5用32位软件可高速实现，所以有广泛应用。

6.5.2安全散列算法

安全散列算法(The Secure Hash Algorithm, SHA)由美国国家标准和技术协会于1993年提出，并被定义为安全散列标准(Secure Hash Standard, SHS)0 SHA-1是1994年修订的版本，纠正了SHA一个未公布的缺陷。这种算法接收的输入报文小于2“位，产生160位的报文摘要。

该算法设计的目标是使得找出一个能够匹配给定的散列值的文本实际是不可能计算的。也就是说，如果对文档A已经计算出了散列值H (A)，那么很难找到一个文档B，使其散列值H (B)=H (A)，尤其困难的是无法找到满足上述条件的，而且又是指定内容的文档B o SHA算法的缺点是速度比MD5慢，但是SHA的报文摘要更长，更有利于对抗野蛮攻击。

6.5.3散列式报文认证码

散列式报文认证码(Hashed Message Authentication Code, HMAC)是利用对称密钥生成报文认证码的散列算法，可以提供数据完整性数据源身份认证。为了说明HMAC的原理，假设H是一种散列函数(例如MD5或SHA-1), H把任意长度的文本作为输入，产生长度为L位的输出(对于MD5, L=128;对于SHA-1, L=160)，并且假设K是由发送方和接收方共享的报文认证密钥，长度不大于64字节，如果小于64字节，后面加0，补够64字节。假定有下面两个64字节的串ipad(输入串)和opad(输出串)。

ipad O X 36，重复64次;

opal=0 X 5C，重复64次。

函数HMAC把K和Text作为输入，产生

HMACK (Text) =H (K . opad, H (Ks ipad, Text))

做为输出，即

(1)在K后附加0，生成64字节的串。

(2)对第(1)步产生的串与ipad按位异或。

(3)把Text附加在第(2)步产生的结果后面。

(4)对第(3)步产生的结果应用函数Ho

(5)对第(1)步产生的串与opad按位异或。

(6)把第((4)步产生的结果附加在第(5)步结果的后面。

(7)对第(6)步产生的结果引用函数H，并输出计算结果。

HMAC的密钥长度至少为L位，更长的密钥并不能增强函数的安全性。HMAC允许把最后的输出截短到80位，这样更简单有效，但不损失安全强度。认证一个数据流(Text)的总费用接近于对该数据流进行散列的费用，对很长的数据流更是如此。

HMAC使用现有的散列函数H而不用修改H的代码，这样可以使用己有的H代码库，而且可以随时用一个散列函数代替另一个散列函数。HMAC-MD5己经被IETF指定为Internet安全协议IPsec的验证机制，提供数据源认证和数据完整性保护。

HMAC的一个典型应用是用在“提问/响应(Challenge/Response )”式身份认证中，认证流程如下。

(1)先由客户端向服务器发出一个认证请求。

(2)服务器接到此请求后生成一个随机数并通过网络传输给客户端(此为提问)。

(3)客户端将收到的随机数提供给ePass(数字证书的存储介质)，由ePass使用该随机数与存储的密钥进行HMAC-MD5运算，并得到一个结果作为证据传给服务器(此为响应)。

(4)与此同时，服务器也使用该随机数与存储在服务器数据库中的该客户密钥进行HMAC-MD5运算，如果服务器的运算结果与客户端传回的响应结果相同，则认为客户端是一个合法用户。

Tags：男孩子学什么技术好,没学历学什么技术好,以后学什么技术好,高中毕业没考上大学,没考上大学怎么办呢,长江大学工程技术学