《工业控制系统信息安全技术与实践》教案 7.2 -数字签名与验证

PAGEPAGE2第次课程教学方案备课时间备课教师教学时间年月日教学地点周次课时数2教学内容（章、节）模块/单元第7章数据加密技术及应用7.2数字签名与验证教学目标和要求掌握散列算法的工作原理；掌握数字签名与验证的工作机制；掌握数据完整性验证的工作机制。教学重点散列算法工作原理；数字签名与验证的工作机制。教学难点散列算法的工作原理。教学方法理论讲解、课堂练习使用媒体资源R纸质材料R多媒体课件R网络资源□其他资源：使用教具、设备、设施等多媒体教学设备作业练习复习所学内容，完成课后作业；完成中国大学慕课MOOC上自主学习的内容和单元测试。课后记（空白不够可添加附页）

教学内容（板书）教学步骤、方法及学生活动第7章数据加密技术及应用7.2数字签名与验证7.2.1散列算法散列算法(也被称为散列函数)提供了这样一种服务：它对不同长度的输入消息，产生固定长度的输出。这个固定长度的输出成为原输入消息的“散列”或“消息摘要”(MessageDigest)。对于一个安全的散列算法，这个消息摘要通常可以直接作为消息的认证标签。所以这个消息摘要又被称为消息的数字指纹。散列函数表示为，所以音译为“哈希”函数。如下所示是通过MD5散列算法分别计算出的字符串以及一份文件的散列值(128bit)。MD5() =C50E7667F83F34D1197EB5405702D69CMD5() =3222C661B778BF214E5A28F06889FF991.散列算法的性质1)压缩性散列函数的压缩性体现在以下两个方面：(1)散列函数的输入长度是任意的。也就是所散列函数可以应用到大小不一的数据上。(2)散列函数的输出长度是固定的。根据目前的计算技术，散列函数的输出长度应至少取128bit。2)单向性散列函数的单向性体现在以下两个方面：(1)对于任意给定的消息，计算输出其散列值QUOTEHash(x)是很容易的。(2)对于任意给定的散列值QUOTEh，要发现一个满足QUOTEHash(x)的QUOTEx，在计算上不可行。3)抗碰撞性散列函数的抗碰撞性体现在以下两个方面：(1)对于任意给定的消息QUOTEx，要发现一个满足QUOTEHash(y)=Hash(x)的消息，而QUOTEy≠x，在计算上是不可行的。(2)要发现满足QUOTEHash(x)=Hash(y)的对，在计算上是不可行的。目前，已研制出适合于各种用途的散列算法。这些算法都是伪随机函数，任何散列值都是等可能的；输出并不以可辨别的方式依赖于输入；任何输入串中单个比特的变化，将会导致输出比特串中大约一半的比特发生变化。教师讲解：重点让学生理解散列算法计算消息的“数字指纹”。教师讲解：这部分是重点。讲解后通过课上练习的方式进行巩固。教学内容（板书）教学步骤、方法及学生活动2.散列函数的构造方式预处理预处理输出变换g任意长度的消息压缩函数f输出h(M)=g(HL)H0=IVHi3.典型散列算法1)MD(MessageDigestAlgorithm)算法MD2算法是Rivest在1989年开发出来的，在处理过程中首先对信息进行补位，使信息的长度是16的倍数，然后以一个16bit的校验和追加到信息的末尾，并根据这个新产生的信息生成128bit的散列值。Rivest在1990年有开发出MD4算法。MD4算法也需要信息的填充，它要求信息在填充后加上448能够被512整除。用64bit表示消息的长度，放在填充比特之后生成128bit的散列值。MD5算法是由Rivest在1991年设计的，在FRC1321中作为标准描述。MD5按512bit数据块为单位来处理输入，产生128bit的消息摘要。2)SHA(SecureHashAlgorithm)算法SHA算法由NIST开发，并在1993年作为联邦信息处理标准公布。在1995年公布了其改进版本SHA-1。SHA与MD5的设计原理类似，同样以512bit数据块为单位来处理输入，但它产生160bit的消息摘要，具有比MD5更强的安全性。在2004年，NIST即宣布他们将逐渐减少使用SHA-1，以SHA-2取而代之。SHA-2包含SHA-224、SHA-256、SHA-384和SHA-512算法。其中SHA-224算法的分组大小是512bit，消息摘要长度位224bit；SHA-256算法的分组大小是512bit，消息摘要长度位256bit；SHA-384算法的分组大小是1024bit，消息摘要长度为384bit；SHA-512算法的分组大小是1024bit，消息摘要长度位512bit。3)SM3算法SM3算法是我国研发的国家商用密码算法。SM3用于替代MD5/SHA-1/SHA-2等国际算法，适用于数字签名和验证、消息认证码的生成与验证以及随机数的生成，可以满足电子认证服务系统等应用需求，于2010年12月17日发布。它是在SHA-256基础上改进实现的一种算法，采用加强式迭带结构，消息分组长度为512bit，输出的摘要值长度为256bit。教师讲解：这部分内容是难点。教师可以通过举例的方式进行讲解。教师讲解：这部分内容属于常识性介绍。教学内容（板书）教学步骤、方法及学生活动7.2.2数字签名与验证技术多次运行DES算法从而达到增加密钥长度的效果。这样的一个方案称为3重DES方案(3DES)。这个方案的加/解密过程如下所示。1.用户A方的过程(1)确定安全散列函数；(2)建立密钥对儿，其中是私钥；是公钥；(3)向用户B发送散列函数和公钥；(4)进行签名操作：计算消息的摘要，计算，得到消息签名对儿。2.用户B方的过程用户B收到用户A发过来的消息签名对儿后，做如下操作：(1)计算；(2)计算；(3)如果，则数字签名验证有效。7.2.3消息完整性验证通过消息认证码MAC(MessageAuthenticationCode)可以对消息进行认证。基于密钥哈希函数的函数的MAC形式如下：MAC=Hash(k||M)其中，Hash()是双方协商好的散列函数；k是发送者和接收者共享的密钥；M是消息；||表示比特串的链接。发送者将消息和认证码MAC发送给接收者。接收者收到后用协商好的散列函数对双方共享的密钥k和消息M进行运算，生成认证码MAC’。如果MAC和MAC’相同，则消息通过认证，否则不能通过认证。课程总结