第6章身份认证与数字签名.ppt

第6章身份认证与数字签名,主要内容,身份认证数字签名,6.1身份认证,身份认证是验证主体的真实身份与其所声称的身份是否符合的过程。认证的结果只有两个：符合和不符合。适用于用户、进程、系统、信息等。,身份认证的例子,邮件登录Client与Server之间的鉴别Telnet远程登录Ftp服务登录到某台电脑上,身份认证系统的组成,出示证件的人，称作示证者P(Prover)，又称声称者(Claimant)。验证者V（Verifier),检验声称者提出的证件的正确性和合法性，决定是否满足要求。第三方是可信赖者TP（Trustedthirdparty)，参与调解纠纷。在许多应用场合下没有第三方。,6.1.1身份认证的物理基础,Somethingtheuserknow(例如口令)在互连网和计算机领域中最常用的认证方法是口令认证简单，但不安全。口令有可能被窃取、丢失、复制。设计依据安全水平、系统通过率、用户可接受性、成本等,口令一般并不是以明文的形式存在和使用，而是采用一些加强的处理之后才使用的。对口令加密：对口令的加密算法必须是单向的，即只能加密，不能解密。在验证用户的口令时，验证方用单向函数加密，并与存储的密文相比较，若相等，则确认用户的身份有效，否则确认用户身份无效。一次性口令：使用一次性口令作为身份认证方法，使得中途截获口令变得毫无意义。由于要产生大量的一次性口令，所以必须采用专用的设备来产生口令。,身份认证的物理基础,Somethingtheuserpossesses(例如证件)认证系统相对复杂,用户所拥有的,磁卡或智能卡丢失，那么捡到卡的人就可以假冒真正的用户。需要一种磁卡和智能卡上不具有的身份信息，这种身份信息通常采用个人识别号PIN。持卡人必须自己妥善保存并严格保密。在验证过程中，验证者不但要验证持卡人的卡是真实的卡，同时还要通过PIN来验证持卡人的确是他本人。,身份认证的物理基础,Somethingtheuseris(例如指纹识别)更复杂,而且有时会牵涉到本人意愿,6.1.2身份认证方式,单向认证（One-wayAuthentication）双向认证（Two-wayAuthentication）信任的第三方认证（TrustedThird-partyAuthentication）,单向认证,通信的一方认证另一方的身份,用对称密码体制来实现单向认证,某函数变换f双方共享的密钥KS随机数RA,用非对称密码体制来实现单向认证,随机数RAB的私钥KSB,双向认证,双方都要提供用户名和密码给对方，才能通过认证。,用对称密码体制来实现双向认证,A产生一个随机数RA双方共享的密钥KSB产生一个随机数RB,用非对称密码体制来实现双向认证,A产生一个随机数RAB产生一个随机数RBB的私钥KSBA的私钥KSA,信任的第三方认证,当两端欲进行连线时，彼此必须先通过信任第三方的认证，然后才能互相交换密钥，而后进行通信,一种第三方认证机制,SKAU：管理员的私钥PKB：B的公钥PKA：A的公钥,N1：A的临时交互号N2：B产生的新临时交互号,6.1.3kerberos协议,概述,Kerberos是一种计算机网络认证协议，它允许某实体在非安全网络环境下通信，向另一个实体以一种安全的方式证明自己的身份。它也指由麻省理工实现此协议，并发布的一套免费软件。它的设计主要针对客户-服务器模型，并提供了一系列交互认证-用户和服务器都能验证对方的身份。Kerberos协议可以保护网络实体免受窃听和重复攻击。Kerberos协议基于对称密码学，并需要一个值得信赖的第三方。,InGreekmythology,amanyheadeddog,commonlythree,perhapswithaserpentstail,theguardianoftheentranceofHades.-DictionaryofSubjectsandSymbolsinArt,byJamesHall,Harper计算d满足de1mody(n).e,n为公开密钥，d,n为秘密密钥。签名过程S=Mdmodn验证过程M=Semodn实际应用中加密是对H(M)进行的。,RSA签名方案,数字签名标准,DigitalSignatureStandard(DSS),概况,由NIST1991年公布1993年公布修改版美国联邦信息处理标准FIPSPUB186签名长度320bit只能用于数字签名，不能用于加密,DSS的基本方式,M,|,H,SKA,M,s,H,PKG,比较,Ver,PKG,K,随机数,r,PKA,Sig,RSA签名,DSS签名,全局公开钥,数字签名算法DSA,算法描述:(a)全局公钥(p,q,g)p：是2L-11。(b)用户私钥x：x为在0xq内的随机数。(c)用户公钥y：=gxmodp。(d)用户每个消息用的秘密随机数k：在0kq内的随机数,数字签名算法DSA,(e)签名过程：对消息MM=Zp*，其签名为S=Sigk(M,k)=(r,s)，SS=ZqZq,r(gkmodp)modqsk-1(h(M)xr)modq(f)验证过程：计算w=s-1modq;u1=H(M)wmodq;u2=rwmodq;v=(gu1yu2)modpmodq。Ver(M,r,s)=真v=r,不可否认签名,在得不到签名者配合的情况下其他人不能正确进行签名验证，从而可以防止非法复制和扩散签名者所签署的文件。可用于保护知识产权,p,q是两个素数，和公开a是签名者的私钥，公钥是=amodp签名：,任选e1和e2，计算,b=a-1modq,d=cbmodp,d？=,a:签名者的密钥p，q公开,签名者,验证者,1.,2.,3.计算b=a-1modq,p,4.d=cbmodp,5.计算d=(Me1e2)modp,6.比较两个d,盲签名,Chaum在1983年提出。需要某人对文件签名，但又不想签名者知道文件内容，称为盲签名。适应于电子选举、数字货币协议中,基于RSA的盲