信息安全教學(xué)課件-04身份認(rèn)證-

第4講身份認(rèn)證與數(shù)字簽名王慶先電子科技大學(xué)計(jì)算機(jī)學(xué)院1一、身份認(rèn)證概述

為了保護(hù)網(wǎng)絡(luò)資源及落實(shí)安全政策。需要提供可追究責(zé)任的機(jī)制，這里涉及到三個(gè)概念：認(rèn)證、授權(quán)及審計(jì)。用戶(hù)對(duì)資源的訪(fǎng)問(wèn)過(guò)程

訪(fǎng)問(wèn)控制用戶(hù)身份認(rèn)證資源授權(quán)數(shù)據(jù)庫(kù)審計(jì)數(shù)據(jù)庫(kù)2一、身份認(rèn)證概述（續(xù)）認(rèn)證與以下環(huán)境有關(guān)：某一成員（聲稱(chēng)者）提交一個(gè)主體的身份并聲稱(chēng)他是那個(gè)主體，認(rèn)證能使別的成員（驗(yàn)證者）獲得對(duì)聲稱(chēng)者所聲稱(chēng)的事實(shí)的信任。身份認(rèn)證的作用對(duì)抗假冒攻擊確保身份，明確責(zé)任

3身份認(rèn)證概述對(duì)身份認(rèn)證過(guò)程中攻擊：數(shù)據(jù)流竊聽(tīng)(Sniffer)：由于認(rèn)證信息要通過(guò)網(wǎng)絡(luò)傳遞，并且很多認(rèn)證系統(tǒng)的口令是未經(jīng)加密的明文，攻擊者通過(guò)竊聽(tīng)網(wǎng)絡(luò)數(shù)據(jù)，就很容易分辨出某種特定系統(tǒng)的認(rèn)證數(shù)據(jù)，并提取出用戶(hù)名和口令?？截?重傳：非法用戶(hù)截獲信息，然后再傳送給接收者。修改或偽造：非法用戶(hù)截獲信息，替換或修改信息后再傳送給接收者，或者非法用戶(hù)冒充合法用戶(hù)發(fā)送信息。4二、認(rèn)證方法的主要原理主體了解的秘密，如口令、密鑰；主體攜帶的物品，如智能卡；只有該主體具有的獨(dú)一無(wú)二的特征或能力，如指紋、聲音、視網(wǎng)膜血管分布圖或簽字等。特定場(chǎng)所（也可能是特定時(shí)間）提供證據(jù)

驗(yàn)證者認(rèn)可某一已經(jīng)通過(guò)認(rèn)證的可信方51、基于口令的認(rèn)證

對(duì)口令的攻擊竊聽(tīng)監(jiān)聽(tīng)Login:UserAPassword:1234561、基于口令的認(rèn)證（續(xù)）

對(duì)口令的攻擊截取/重放

拷貝認(rèn)證信息然后重放認(rèn)證信息（加密的口令）71、基于口令的認(rèn)證（續(xù)）

對(duì)口令的攻擊字典攻擊：根據(jù)調(diào)查結(jié)果可知，大部份的人為了方便記憶選用的密碼都與自己周遭的事物有關(guān)，例如：身份證字號(hào)、生日、車(chē)牌號(hào)碼、在辦公桌上可以馬上看到的標(biāo)記或事物、其他有意義的單詞或數(shù)字，某些攻擊者會(huì)使用字典中的單詞來(lái)嘗試用戶(hù)的密碼。窮舉攻擊(BruteForce)：也稱(chēng)蠻力破解。這是一種特殊的字典攻擊，它使用字符串的全集作為字典。

81、基于口令的認(rèn)證（續(xù)）對(duì)口令的攻擊窺探：攻擊者利用與被攻擊系統(tǒng)接近的機(jī)會(huì)，安裝監(jiān)視器或親自窺探合法用戶(hù)輸入口令的過(guò)程，以得到口令。社交工程：比如冒充是處長(zhǎng)或局長(zhǎng)騙取管理員信任得到口令等等。冒充合法用戶(hù)發(fā)送郵件或打電話(huà)給管理人員，以騙取用戶(hù)口令等。垃圾搜索：攻擊者通過(guò)搜索被攻擊者的廢棄物，得到與攻擊系統(tǒng)有關(guān)的信息，如用戶(hù)將口令寫(xiě)在紙上又隨便丟棄。

91、基于口令的認(rèn)證（續(xù)）安全口令（對(duì)抗字典攻擊和窮舉攻擊）（1）位數(shù)>6位。（2）大小寫(xiě)字母混合。如果用一個(gè)大寫(xiě)字母，既不要放在開(kāi)頭，也不要放在結(jié)尾。（3）可以把數(shù)字無(wú)序的加在字母中。（4）系統(tǒng)用戶(hù)一定用8位口令，而且包括～!?！纾＆＊<>?:"{}等特殊符號(hào)。

101、基于口令的認(rèn)證（續(xù)）不安全口令（字典攻擊和窮舉攻擊）（1）使用用戶(hù)名（帳號(hào)）作為口令。（2）用用戶(hù)名（帳號(hào)）的變換形式作為口令。

（3）使用自己或者親友的生日作為口令。

（4）使用常用的英文單詞作為口令。

111、基于口令的認(rèn)證（續(xù)）為判斷系統(tǒng)是否易受攻擊，首先需要了解系統(tǒng)上都有哪些帳號(hào)。應(yīng)進(jìn)行以下操作：（1）審計(jì)系統(tǒng)上的帳號(hào)，建立一個(gè)使用者列表，同時(shí)檢查路由，連接Internet的打印機(jī)、復(fù)印機(jī)和打印機(jī)控制器等系統(tǒng)的口令。（2）制定管理制度，規(guī)范增加帳號(hào)的操作，及時(shí)移走不再使用的帳號(hào)。（3）經(jīng)常檢查確認(rèn)有沒(méi)有增加新的帳號(hào)，不使用的帳號(hào)是否已被刪除。（4）對(duì)所有的帳號(hào)運(yùn)行口令破解工具，以尋找弱口令或沒(méi)有口令的帳號(hào)。（5）當(dāng)雇員或承包人離開(kāi)公司時(shí)，或當(dāng)帳號(hào)不再需要時(shí)，應(yīng)有嚴(yán)格的制度保證刪除這些帳號(hào)。121、基于口令的認(rèn)證（續(xù)）為了增強(qiáng)基于口令認(rèn)證的安全，可以采用以下改進(jìn)方案。（1）認(rèn)證過(guò)程有一定的時(shí)延，增大窮舉嘗試的難度。（2）不可預(yù)測(cè)的口令。修改口令登記程序以便促使用戶(hù)使用更加生僻的口令。這樣就進(jìn)一步削弱了字典攻擊。（3）對(duì)無(wú)效用戶(hù)名的回答應(yīng)該與對(duì)有效用戶(hù)名的回答相同。131、基于口令的認(rèn)證（續(xù)）基于單向函數(shù)的口令認(rèn)證f是單向函數(shù)，p是口令，id是身份Alice提供p||id

計(jì)算機(jī)計(jì)算f(p)計(jì)算機(jī)與存儲(chǔ)的值f(p)||id

作比較由于計(jì)算機(jī)不再存儲(chǔ)口令表，所以敵手侵入計(jì)算機(jī)偷取口令的威脅就減少了

f(p1)id1f(p2)id2f(p3)id3141、基于口令的認(rèn)證（續(xù)）如果敵手獲得了存儲(chǔ)口令的單向函數(shù)值的文件，采用字典攻擊是有效的。敵手計(jì)算猜測(cè)的口令的單向函數(shù)值，然后搜索文件，觀察是否有匹配的。猜口令p1,p2,…,pn。計(jì)算f(p1),f(p2),…,f(pn)。搜索文件。151、基于口令的認(rèn)證（續(xù)）摻雜口令(加鹽)Salt是一隨機(jī)字符串，它與口令連接在一起，再用單向函數(shù)對(duì)其運(yùn)算。然后將Salt值和單向函數(shù)運(yùn)算的結(jié)果存入主機(jī)中。計(jì)算機(jī)存儲(chǔ)的是f(p,Salt)||Salt||idSalt只防止對(duì)整個(gè)口令文件采用的字典攻擊，不能防止對(duì)單個(gè)口令的字典攻擊。f(p1,Salt1)Salt1id1f(p2,Salt2)Salt2id2f(p3,Salt3)Salt3id3161、基于口令的認(rèn)證（續(xù)）SKEYAlice輸入隨機(jī)數(shù)R，計(jì)算機(jī)計(jì)算x1=f（R）、x2=f（x1）、…、xn+1=f（xn）。Alice保管x1

，x2

，x3

，。。。，xn這些數(shù)的列表，計(jì)算機(jī)在登錄數(shù)據(jù)庫(kù)中Alice的名字后面存儲(chǔ)xn+1的值。當(dāng)Alice第一次登錄時(shí)，輸入名字和xn，計(jì)算機(jī)計(jì)算f（xn），并把它和xn+1比較，如果匹配，就證明Alice身份是真的。然后，計(jì)算機(jī)用xn代替xn+1。Alice將從自己的列表中取消xn。Alice每次登錄時(shí)，都輸入她的列表中未取消的最后的數(shù)xI，計(jì)算機(jī)計(jì)算f（xI），并和存儲(chǔ)在它的數(shù)據(jù)庫(kù)中的xI+1比較。當(dāng)Alice用完了列表上面的數(shù)后，需要重新初始化。x1=f(R)x2=f(x1)…xn+1=f(xn)計(jì)算機(jī)存儲(chǔ)xn+1171、基于口令的認(rèn)證（續(xù)）設(shè)計(jì)基于口令的協(xié)議應(yīng)滿(mǎn)足的要求口令不能過(guò)長(zhǎng)離線(xiàn)字典攻擊無(wú)效在線(xiàn)字典攻擊無(wú)效記號(hào)共享的秘密ZAB導(dǎo)出的會(huì)話(huà)密鑰KAB181、基于口令的認(rèn)證（續(xù)）基于DH的EKE

共享的信息:口令.安全參數(shù)L.AB19基于口令的認(rèn)證

改進(jìn)的EKE

H2()=gAI:Password.BI:AB20

是相應(yīng)的簽名公鑰。和OriginalDiffie-Hellman-basedEKEProtocol的比較：

1、用口令的鏡像加密；

2、多了最后一個(gè)消息。因?yàn)?，如果沒(méi)有這個(gè)消息，敵手只要知道了口令的鏡像就可以冒充A和B進(jìn)行通信，而不用知道口令本身。所以最后一條消息正是為了避免這一漏洞。存在的攻擊敵手如果知道了歷史會(huì)話(huà)密鑰，可以通過(guò)最后一條消息猜測(cè)口令。解決方案是簽名消息不用會(huì)話(huà)密鑰，而為和ZAB相關(guān)的另一個(gè)值。幾點(diǎn)說(shuō)明：21服務(wù)器保存hpw=H(id,pw),例1.C

S:id,rc

hpw,H(rc)例2.A選擇RSA公開(kāi)密鑰(e,n)和隨機(jī)數(shù)rA，發(fā)送((e||n||rA)⊕hpw)給B

抵抗離線(xiàn)字典攻擊需要精心設(shè)計(jì)協(xié)議抵抗離線(xiàn)字典攻擊22在線(xiàn)口令猜測(cè)失敗會(huì)被發(fā)現(xiàn)并且服務(wù)器會(huì)將其記入日志。一般可使用帳號(hào)加鎖、延遲響應(yīng)或者CAPTCHA來(lái)抵抗在線(xiàn)字典攻擊。抵抗在線(xiàn)字典攻擊23CAPTCHA抵抗在線(xiàn)字典攻擊防止惡意注冊(cè)24基于對(duì)稱(chēng)密碼的認(rèn)證ISO/IEC9798-2協(xié)議（同時(shí)建立會(huì)話(huà)密鑰）1路單向認(rèn)證(時(shí)間戳)2路雙向認(rèn)證(時(shí)間戳)AB:{TA,B}KABAB:{TA,B}KABBA:{TB,A}KAB25基于對(duì)稱(chēng)密碼的認(rèn)證ISO/IEC9798-2協(xié)議（同時(shí)建立會(huì)話(huà)密鑰）2路單向認(rèn)證(一次性隨機(jī)數(shù))2路雙向認(rèn)證(一次性隨機(jī)數(shù))1.B

A:NB2.AB:{NB,B}KAB1.B

A:NB2.AB:{NA,NB,B}KAB3.BA:{NB,NA}KAB26基于對(duì)稱(chēng)密碼的認(rèn)證記號(hào)A,B

期望建立會(huì)話(huà)密鑰的兩個(gè)用戶(hù)S

可信服務(wù)器KAS,KBS:A與S,B與S初始時(shí)共享的長(zhǎng)期密鑰KAB:

會(huì)話(huà)密鑰27基于對(duì)稱(chēng)密碼的認(rèn)證Needham-Schroeder協(xié)議（同時(shí)建立會(huì)話(huà)密鑰）1.AS:A,B,NA2.SA:{NA,B,KAB,{KAB,A}KBS}KAS3.AB:{KAB,A}KBS4.BA:{NB}KAB5.AB:{NB-1}KABABS1234528基于對(duì)稱(chēng)密碼的認(rèn)證Denning-Sacco攻擊:在Needham-Schroeder協(xié)議消息3中使用破解的會(huì)話(huà)密鑰KAB,假冒A.

3.AB:{KAB,A}KBS4.BA:{NB}KAB5.AB:{NB-1}KABABS1234529基于對(duì)稱(chēng)密碼的認(rèn)證Denning-Sacco協(xié)議1.AS:A,B2.SA:{B,KAB,TS,{A,

KAB,TS}KBS}KAS3.AB:{A,

KAB,TS}KBSABS123保證會(huì)話(huà)密鑰的新鮮性,會(huì)話(huà)密鑰與時(shí)間戳綁定30基于公鑰密碼的認(rèn)證記號(hào)

EX(M)用X的公鑰加密MSigX(M)X對(duì)M做的簽名NX

X

產(chǎn)生的隨機(jī)nonceTX

X

選擇的時(shí)間戳{M}K用對(duì)稱(chēng)密鑰K對(duì)消息M加密31基于公鑰密碼的認(rèn)證ISO/IEC9798-3單向認(rèn)證ISO/IEC9798-3單向認(rèn)證1.AB:TA,B,SigA(TA,B)1.BA:NB2.AB:NA,NB,SigA(NA,NB,B)32基于公鑰密碼的認(rèn)證ISO/IEC9798-3雙向認(rèn)證ISO/IEC9798-3雙向認(rèn)證1.AB:TA,B,SigA(TA,B)2.BA:TB,A,SigB(TB,A)1.BA:NB2.AB:NA,NB,B,SigA(NA,NB,B)3.BA:NB,NA,A,SigB(NB,NA,A)33基于公鑰密碼的認(rèn)證Needham-SchroederpublickeyprotocolLowe給出了攻擊AC(A)

B可以在第二條消息中增加B的標(biāo)識(shí)阻止這種攻擊

AB:EB(NA,A)BA:EA(NA,NB)AB:EB(NB)1.AC:EC(NA,A)1'.CAB:EB(NA,A)2'.BCA:EA(NA,NB)

2.CA:EA(NA,NB)

3.AC:EC(NB)3'.CAB:

EB(NB)34基于公鑰密碼的認(rèn)證X.509單向認(rèn)證X.509雙向認(rèn)證1.AB:TA,NA,B,EB(KAB),SigA(TA,NA,B,EB(KAB))AB:TA,NA,B,EB(KAB),SigA

(TA,NA,B,EB(KAB))BA:TB,NB,A,NA,EA(KBA),SigB(TB,NB,A,NA,EA(KBA))35基于公鑰密碼的認(rèn)證X.509three-passauthenticationAB:TA,NA,B,EB(KAB),SigA

(TA,NA,B,EB(KAB))BA:TB,NB,A,NA,EA(KBA),SigB(TB,NB,A,NA,EA(KBA))AB:NB,B,SigA(NB,B)36基于公鑰密碼的認(rèn)證站對(duì)站(Station-to-Station)協(xié)議

ABrARZq,

tA=grA

tArBRZq

,tB=grBZAB=tBrAtB,{SigB(tB,tA)}KABZAB=tArB解密→驗(yàn)證簽名{SigA(tA,tB)}KAB解密→驗(yàn)證簽名

站間協(xié)議具有前向保密性（Forwardsecret）。前向保密性是指長(zhǎng)期密鑰被攻破后，利用長(zhǎng)期密鑰建立的會(huì)話(huà)密鑰仍具有保密性。37基于公鑰密碼的認(rèn)證不使用加密的站對(duì)站協(xié)議

ABrARZq,

tA=grA

tArBRZq

,tB=grBZAB=tBrAtB,SigB(tB,tA)ZAB=tArB驗(yàn)證簽名SigA(tA,tB) 驗(yàn)證簽名

AC(B)B

tA

tAtB,SigB(tB,tA)tB,SigB(tB,tA)SigA(tA,tB)SigC(tA,tB)A以為與B通信，實(shí)際上與C38基于公鑰密碼的認(rèn)證改進(jìn)的站對(duì)站協(xié)議

ABrARZq,

tA=grA

tArBRZq

,tB=grB驗(yàn)證簽名tB,SigB(tB,tA,A)ZAB=tArBZAB=tBrASigA(tA,tB,B)驗(yàn)證簽名

39零知識(shí)身份認(rèn)證零知識(shí)證明（zero-knowledgeproof）的思想是：證明者Peggy擁有某些知識(shí)（如某些長(zhǎng)期沒(méi)有解決的難問(wèn)題的解決方法），零知識(shí)證明就是在不將該知識(shí)的內(nèi)容泄露給驗(yàn)證者Victor的前提下，Peggy向Victor證明自己擁有該知識(shí)。例如：

Peggy：“我可以對(duì)密文為C的消息進(jìn)行解密。”Victor：“我不相信。請(qǐng)證明?！盤(pán)eggy（糟糕的回答）：“密鑰是K，您可以看到消息解密成了M?！盫ictor：“哈哈！現(xiàn)在我也知道了密鑰和消息?！?/p>

40零知識(shí)身份認(rèn)證一個(gè)更好的對(duì)話(huà)是：Peggy：“我可以對(duì)加密為C的消息進(jìn)行解密?！盫ictor：“我不相信。請(qǐng)證明?！盤(pán)eggy（好的回答）：“讓我們使用一個(gè)零知識(shí)協(xié)議，我將以任意高的概率證明我的知識(shí)（但是不會(huì)將關(guān)于消息的任何情況泄露給您）?！盫ictor：“好”。Peggy和Victor通過(guò)該協(xié)議……41零知識(shí)身份認(rèn)證可以使用洞穴例子來(lái)解釋零知識(shí)，C和D之間存在一個(gè)密門(mén)，并且只有知道咒語(yǔ)的人才能打開(kāi)。Peggy知道咒語(yǔ)并想對(duì)Victor證明，但證明過(guò)程中不想泄露咒語(yǔ)。

DCAB42零知識(shí)身份認(rèn)證零知識(shí)證明的例子。圖是否同構(gòu)是NP完全問(wèn)題，對(duì)于一個(gè)非常大的圖，判斷兩個(gè)圖是否同構(gòu)是非常困難的。對(duì)于圖G1和G2，如果存在一個(gè)一一對(duì)應(yīng)的函數(shù)F：F的定義域是G1的頂點(diǎn)集。F的值域是G2的頂點(diǎn)集。當(dāng)且僅當(dāng)[g1,g2]是G1中的一條邊，[F(g1),F(g2)]才是G2中的一條邊，稱(chēng)G1和G2同構(gòu)的。43零知識(shí)身份認(rèn)證假設(shè)Peggy知道圖G1和G2之間同構(gòu)，Peggy使用下面的協(xié)議將使Victor相信G1和G2同構(gòu)：（1）Peggy隨機(jī)置換G1產(chǎn)生另一個(gè)圖H，并且H和G1同構(gòu)。因?yàn)镻eggy知道G1和H同構(gòu)，也就知道了H和G2同構(gòu)。（2）Peggy把H送給Victor。（3）對(duì)如下兩個(gè)問(wèn)題Victor選擇其中的一個(gè)，要求Peggy證明。但是，Victor不要求兩者都證明。

①證明G1和H同構(gòu)，或者

②證明G2和H同構(gòu)。（4）Peggy按Victor的要求證明。（5）Peggy和Victor重復(fù)步驟（1）至（4）n次。44MessageAuthentication：報(bào)文鑒別（消息認(rèn)證，消息鑒別）Message：消息、報(bào)文。Authentication：鑒別、認(rèn)證。認(rèn)證：消息的接收者對(duì)消息進(jìn)行的驗(yàn)證真實(shí)性：消息確實(shí)來(lái)自于其真正的發(fā)送者，而非假冒；完整性：消息的內(nèi)容沒(méi)有被篡改。是一個(gè)證實(shí)收到的消息來(lái)自可信的源點(diǎn)且未被篡改的過(guò)程。它也可以驗(yàn)證消息的順序和及時(shí)性二、消息認(rèn)證45三元組（K,T,V)密鑰生成算法K標(biāo)簽算法T驗(yàn)證算法V攻擊者信宿信源認(rèn)證編碼器認(rèn)證譯碼器信道安全信道密鑰源TVK概念46認(rèn)證函數(shù)鑒別編碼器和鑒別譯碼器可抽象為認(rèn)證函數(shù)認(rèn)證函數(shù)產(chǎn)生一個(gè)鑒別標(biāo)識(shí)（AuthenticationIdentification）給出合理的認(rèn)證協(xié)議(AuthenticationProtocol)接收者完成消息的鑒別（Authentication）47認(rèn)證函數(shù)分類(lèi)認(rèn)證的函數(shù)分為三類(lèi)：消息加密函數(shù)(Messageencryption)用完整信息的密文作為對(duì)信息的認(rèn)證。消息認(rèn)證碼MAC(MessageAuthenticationCode)是對(duì)信源消息的一個(gè)編碼函數(shù)。散列函數(shù)(HashFunction)是一個(gè)公開(kāi)的函數(shù)，它將任意長(zhǎng)的信息映射成一個(gè)固定長(zhǎng)度的信息。48MEKEK(M)DMK提供保密提供認(rèn)證不提供簽名BobAlice對(duì)稱(chēng)加密：保密性與認(rèn)證認(rèn)證函數(shù)：加密函數(shù)49認(rèn)證函數(shù)：加密函數(shù)公鑰加密：保密性MEKaEKa(M)DMK’a提供保密不提供認(rèn)證BobAlice50認(rèn)證函數(shù)：加密函數(shù)公鑰加密：認(rèn)證與簽名MDK’bEK’b(M)EMKb提供認(rèn)證BobAlice51公鑰加密：保密、認(rèn)證與簽名MDKaEKa(Dk’b(M))DK’a提供認(rèn)證提供保密性EK’bDk’b(M)Dk’b(M)EKbMBobAlice認(rèn)證函數(shù)：加密函數(shù)52認(rèn)證函數(shù)：加密函數(shù)公鑰加密：保密、認(rèn)證與簽名??MEK’bEK’b(Eka(M))EKb提供認(rèn)證提供保密性DKaEa(M)Eka(M)DK’aMBobAlice53認(rèn)證函數(shù)：消息認(rèn)證碼消息認(rèn)證碼：使用一個(gè)密鑰生成一個(gè)固定大小的短數(shù)據(jù)塊，并將該數(shù)據(jù)塊加載到消息后面，稱(chēng)MAC（或密碼校驗(yàn)和） MAC＝Ck（M）MAC函數(shù)類(lèi)似于加密函數(shù)，但不需要可逆性。因此在數(shù)學(xué)上比加密算法被攻擊的弱點(diǎn)要少54認(rèn)證函數(shù)：消息認(rèn)證碼MAC的基本用法：消息認(rèn)證AliceBobM||KCK(M)CKCM比較提供認(rèn)證55認(rèn)證函數(shù)：消息認(rèn)證碼MAC的基本用法：與明文有關(guān)的認(rèn)證M||K1CK(M)CK2CM比較EK2MDK1MAliceBob提供認(rèn)證提供保密56認(rèn)證函數(shù)：消息認(rèn)證碼MAC的基本用法：與密文有關(guān)的認(rèn)證M||K1CK1(Ek2(M))CCM比較EK2K1提供認(rèn)證提供保密MMDK2BobAliceEk2(M)57認(rèn)證函數(shù)：Hash函數(shù)HashFunction哈希函數(shù)、摘要函數(shù)輸入：任意長(zhǎng)度的消息報(bào)文M輸出：一個(gè)固定長(zhǎng)度的散列碼值H(M)是報(bào)文中所有比特的函數(shù)值單向函數(shù)根據(jù)是否使用密鑰帶秘密密鑰的Hash函數(shù):消息的散列值由只有通信雙方知道的秘密密鑰K來(lái)控制。此時(shí)，散列值稱(chēng)作MAC。不帶秘密密鑰的Hash函數(shù)：消息的散列值的產(chǎn)生無(wú)需使用密鑰。此時(shí)，散列值稱(chēng)作MDC。Hash函數(shù)需滿(mǎn)足以下條件：輸入x可以為任意長(zhǎng)度，輸出為固定長(zhǎng)度正向計(jì)算容易，反向計(jì)算困難抗沖突性(無(wú)沖突性）58哈希函數(shù)的基本用法（a）M||H(M)HKHM比較EKMDMBobAlice提供認(rèn)證提供保密EK(M|H(M))59哈希函數(shù)的基本用法（b）M||KEK(H(M))HHM比較EDBobAlice提供認(rèn)證K60哈希函數(shù)的基本用法（c）M||K’bDK’b(H(M))HHM比較DEBobAlice提供認(rèn)證Kb61哈希函數(shù)的基本用法(d)M||KDK’b(H(M))HHM比較EDBobAlice提供認(rèn)證提供保密KMMDK’bEKbEk(M|DK’b(H(M))62哈希函數(shù)的基本用法（e）M||H(M||S)||HM比較BobAlice提供認(rèn)證