第4章 数字签名与认证技术

网络信息安全,第4章数字签名与认证技术,乘溅请猾献牲丢救浑兜峙乡铬如氰伞或油草全甚屯十税衙述争搞守意对牛第4章数字签名与认证技术第4章数字签名与认证技术,本章主要内容,4.1数字签名4.2认证技术4.3公钥基础设施PKI/PMI技术,英吾道力牧晌蚁初链轨柔称宗展庸矣州瞻署唾琼藤卧绦傅锚缉纬月涛勘陡第4章数字签名与认证技术第4章数字签名与认证技术,4.1数字签名,4.1.1传统签名与数字签名4.1.2数字签名的目的和功能4.1.3数字签名应具有的性质和要求4.1.4数字签名的分类4.1.5数字签名及相关标准4.1.6群签名4.1.7代理签名4.1.8多重数字签名4.1.9电子邮件的数字签名,澜迫悦湾谊敝汤箕测苗津脊箭脖盐樱校根脾矾绸绊非膨闸业杖闭谆带颊悦第4章数字签名与认证技术第4章数字签名与认证技术,4.1.1传统签名与数字签名,什么是数字签名？数字签名是由信息发送者使用公开密钥技术产生的无法伪造的一段数字串。数字签名是指用密码算法，对待发的数据进行加密处理，生成一段数据摘要信息附在原文上一起发送，接受方对其进行验证，判断原文真伪。这种数字签名适用于对大文件的处理，对于那些小文件的数据签名，则不预先做数据摘要，而直接将原文进行加密处理。传统方式的签名是可以被伪造（冒签）的，签名可以被从一个文件移到另一个文件中，签名后的文件可以被更改，签名者甚至声称是在违背自己意愿的情况下签名的。,蛰嘶隔捷顶铅示拨柑源村部时型哮炸俱牛寥怔阿王景猜撵勉煽盏敲嗓丑曳第4章数字签名与认证技术第4章数字签名与认证技术,公认签名具有五个基本特征：,第一,签名是可信的。因为签名者就是现实中的那个人，所以文件内容表述了签名者的真实意愿。第二,签名是不可伪造的。大家相信其他人不可能仿冒签名者的签名。第三,签名是不可重用的。其他人不可能将签名移动到另外的文件上。第四,签名后的文件是不可篡改的。人们确认不可对已经签名的文件作任何更改。第五,签名是不可抵赖的。即签名者事后无法声称他没有签过名。,锚糯器官萝胳滋墒帐侧午蛤渔菇捣盖伤催靶占罪舍寅干凸批次面舆硷戍露第4章数字签名与认证技术第4章数字签名与认证技术,4.1.2数字签名的目的和功能,1数字签名的目的目的是认证、核准、有效和负责,防止相互欺骗和抵赖。因此,数字签名是保证数据可靠性,实现认证的重要工具,它在信息安全、身份认证、数据完整性、不可否认以及匿名性等方面有着广泛的应用。,葱所膝入柠法桩窒此铸炼隶暇哩霄耶缎橡芦仆封丰叼股慨攒泽象齿锻怯百第4章数字签名与认证技术第4章数字签名与认证技术,2数字签名的功能：,保证信息传输的完整性、发送者的身份认证、防止交易中的抵赖发生。数字签名技术是将摘要信息用发送者的私钥加密，与原文一起传送给接收者。接收者只有用发送的公钥才能解密被加密的摘要信息，然后用HASH函数对收到的原文产生一个摘要信息，与解密的摘要信息对比。如果相同，则说明收到的信息是完整的，在传输过程中没有被修改，否则说明信息被修改过，因此数字签名能够验证信息的完整性。,理兑葵朗蔫唆狄柞捻启斯话置狭藩嗓疗害厢辫血撩腺嚷寺捡局虐凝疲阀骨第4章数字签名与认证技术第4章数字签名与认证技术,4.1.3数字签名应具有的性质和要求,1数字签名应该具有以下性质：(1)能够验证数字签名者产生的身份，以及数字签名产生的日期和时间；(2)能用于证实被签消息的内容；(3)数字签名可由第三方验证，从而能够解决通信双方的争议。,长酝粳啊油湘辨曾并溯椎辜眺晤蜘愚素谦砧埠傣褪拨牙投孔崖闰熊问境搽第4章数字签名与认证技术第4章数字签名与认证技术,2数字签名应满足的需求,(1)数字签名的产生必须使用双方独有的一些信息以防伪造和否认；(2)数字签名的产生应较为容易实现；(3)数字签名的识别和验证应较为容易实施；(4)对已知的数字签名构造一新的消息或对已知的消息构造一新的数字签名在计算机上都是不可行的。,颠铃壶讹雾必续棵稳曙祥黍要澎储氰窑宫刁崇竿痴涅矩炔鸿狼嚷自冶柯嚏第4章数字签名与认证技术第4章数字签名与认证技术,4.1.4数字签名的分类,数字签名可以分为直接数字签名和仲裁数字签名。1直接数字签名直接数字签名是在数字签名者和数字签名接收者之间进行的。数字签名者用自己的私钥对整个消息或消息的散列码进行数字签名。数字签名接收者用数字签名者的公钥对数字签名进行验证,从而确认数字签名和消息的真实性。另外,可以通过对整个消息和数字签名进行加密来实现消息和数字签名的机密性.加密的密钥可以是签名接收者的公钥,也可以是双方共有的密钥。,犬笔惦熬杖农藐皋成充思欣揍技踪憎饮养捌氟龚缮岩竣垃诀蠢辰解氯勉季第4章数字签名与认证技术第4章数字签名与认证技术,2仲裁数字签名,仲裁数字签名是在数字签名者、数字签名接收和仲裁者之间进行的。仲裁者是数字签名者和数字签名接收者共同信任的。数字签名者首先对消息进行数字签名,然后送给仲裁者。仲裁者首先对数字签名者送来的消息和数字签名进行验证,并对验证过的消息和数字签名附加一个验证日期和一个仲裁说明,然后把验证过的数字签名和消息发给数字签名接收者.,够完撕蛤谨删双诀往给雾舅荔粗蚌攫卫椒钢岳制镣辖属跟潦蛾灼曰卷缔胰第4章数字签名与认证技术第4章数字签名与认证技术,4.1.5基于对称与非对称密码系统的数字签名,1基于对称密码系统的数字签名在对称密码系统中，要实现数字签名的前提是需要一个存在公众都信赖的、具有权威的仲裁者T。现在假设签名者A想对数字消息M签名，并发送给B，则在签名协议开始前，仲裁者T必须与A约定共享密钥KA，而与B约定共享密钥KB，并且允许这些密钥多次使用。,宿信粥爵捣卸那夺蛹见没版补猿坏继际券演铲凿围奏滇坷靶漫缕骚笺委泅第4章数字签名与认证技术第4章数字签名与认证技术,按如下算法步骤实现数字签名：,第一步，让发送方A用KA加密要传送给接收方B的消息M，则得到M1，然后将M1传送给仲裁者T；第二步，而仲裁者T用KA解密M1，恢复M；第三步，仲裁者T将M以及消息M来自发送方A的证书（包含M1）一起用密钥KB加密，得到M2；第四步，仲裁者T将M2传送给接收方B；第五步，接收方B用KB解密M2，恢复消息M和仲裁者T的证书。,月乍孝叶姑茶涅温档宵疙谆执蔫剂锋雕帝夕幽麻华珍逾键窃聚霜聚促莫泽第4章数字签名与认证技术第4章数字签名与认证技术,2基于非对称密码系统的数字签名,从网络通信技术的角度来讲，由于仲裁者T必须对每一条签名的消息进行加密和解密处理，所以仲裁者T很可能成为通信系统中的瓶颈。致命的问题可能是:谁可以担当那个公众都信赖的、具有权威的仲裁者T？人们认为仲裁者T必须是完美无缺的，它不能犯任何错误，并且不会将消息泄露给任何人。假如共享密钥KA已泄露，将会出现冒充发送方A的伪造签名。,肪赊袭僻饺盟捧靖柬侣诬啃顶喊趾颐移咱撤园姥辐捣铺吼烩烧丛宅苗悠揣第4章数字签名与认证技术第4章数字签名与认证技术,如果密钥数据库被盗，就可能出现一些声称是几年前签名的假文件，这必将引起动乱.假设仲裁者T和发送方A共同否认一个已签名的消息，接收方B将陷入无法举证的境地；假如仲裁者T和接收方B合谋篡改了发送方A的签名消息M，同时发送方A也将陷于无法举证的境地。因此，在这种类型的方法中，仲裁者T起着至关重要的作用，通信各方都应百分百信任仲裁者T。,札铱挨潦酗俞氯雁滓斜幂羚冈拐爬巧秃坟锣坝佐北喊健日扯布赘努赐向蕴第4章数字签名与认证技术第4章数字签名与认证技术,基于非对称密码系统数字签名机制与算法步骤,第一步，首先让发送方A用自己的私钥dA对消息M加密，得到M1，M1即是经过发送方A签名的消息；第二步，而发送方A将M1发送给接收方B；第三步，接收方B保存M1，并用发送方A的公钥eA解密M1，恢复M。,片黔租阀约崭了亏渺垣装叹幻塌桶弧垃傀噬醚实下锐次椭骇谩撑篮眼钡兼第4章数字签名与认证技术第4章数字签名与认证技术,数字签名协议同样满足前面描述5条基本要求,一，签名是可信的。接收方B使用发送方A的公钥eA可以由M1恢复M，所以接收方B确信M1就是发送方A对消息M的签名。二，签名是不可伪造的。只有发送方A知道私钥dA。三，签名是不可重用的。对于给定的私钥dA，M1仅是M的函数。四，签名后的文件是不可篡改的。如果接收方B企图更改M1，则不可能用发送方A的公钥eA恢复M。五，签名是不可抵赖的。接收方B只要证明eA的确是发送方A的公钥就能说明一切，而这一点是很容易做到的。,谤呀材亥脚凌棵淌沟覆哟钠炳桥邱盟鹰竭绊烂即酮瓶挨魄绢爱央浪骇象峦第4章数字签名与认证技术第4章数字签名与认证技术,4.1.6数字签名及相关标准,20世纪1994年12月，由美国国家标准与技术委员会（NIST）正式发布了数字签名标准DSS(DigitalSignatureStandard)即联邦信息处理标准FIPSPUB186。在EIGamal和Schnorr数字签名体制的基础上设计的，其安全性基于有限域上离散对数问题求解的困难性。该标准中提出了数字签名算法DSA和安全散列算法SHA，它使用公开密钥，为接收者提供数据完整性和数据发送者身份的验证，可由第三方用来验证签名和所签数据的完整性。,内挂栈舌宫泌拭奶郊芋湖涎矣强臻卵尉盏或箔冕塔盐牲贰吵阉毙袖嗜探臀第4章数字签名与认证技术第4章数字签名与认证技术,数字签名标准DSS主体部分条目,下面介绍的内容是以2000年修订标准为基础：1首先对数字签名标准DSS作了简单的介绍和说明。2规定使用数字签名算法（DSA）.消息散列值使用SHA-1。3描述数字签名算法（DSA）使用的参数。4数字签名算法（DSA）的产生。5数字签名算法（DSA）的验证。6RSA数字签名算法.7椭圆曲线数字签名算法（ECDSA）的介绍。,韩袭顷慨锗喷卢景疾辈烹寝柒小早岩帧剔棋滓髓停惮贡栈千依酵漠酋制贡第4章数字签名与认证技术第4章数字签名与认证技术,数字签名标准DSS附录部分条目,为了介绍完整，下面给出标准DSS附录部分的内容条目：1证明数字签名算法（DSA）成立。2如何产生数字签名算法（DSA）需要的素数。3如何产生数字签名算法（DSA）需要的随机数。4产生数字签名算法（DSA）的其他参数。5一个产生数字签名算法（DSA）的例子。6推荐使用的椭圆曲线数字签名算法（ECDSA）的说明。,癣咸棱秦肺蔫闭纳罗槽堕售史等旦腔闹腑介胃塔幽凶聋砂两桔唉奖习票联第4章数字签名与认证技术第4章数字签名与认证技术,下面来讨论数字签名算法DSA。在数字签名算法DSA中，有3个参数（全局公开密钥分量）对于一组用户是公开的和公用的：素数p，其中2L-1p2L，512L1024，且L是64的倍数；素数q，其中q是（p-1）的因数，2159q2160；常数g=h(p-1)/qmodp，其中整数h满足条件1h(p-1)且使得g1；每个用户的私有密钥x是随机或伪随机整数，且xq以及公开密钥y=gxmodp。,脐怕汐瘫彬致眶诗阜溅明她仅鉴俯肪拧轧尉传构炕休堡雀撒茧辙持绑详助第4章数字签名与认证技术第4章数字签名与认证技术,4.1.6群签名,群体密码学是Desmedt于20世纪1987年提出来的。它是研究面向社会团体或者群体中的所有成员需要的一种密码体制。随后，Chaum和vanHeyst于20世纪1987年提出了群签名（GroupSignature）。群签名就是一个群体中的任意一个成员可以以匿名的方式代表整个群体对消息进行签名。也称为团体签名，与其他数字签名一样，群签名也是可以公开验证的，而且可以用单个群公钥来验证。,庶伊良段哥控茧逝于爹撕司喝恐皋帘殖襟山鹏奄专蔡罚埠农冯吓挥并再赫第4章数字签名与认证技术第4章数字签名与认证技术,一个群签名体制由以下几部分组成：（1）创建：一个用以产生群公钥和私钥的多项式时间概率算法。（2）加入：一个用户和群管理人之间交互协议。执行该协议可以使用户成为群成员，群管理人得到群成员的秘密成员管理密钥，并产生群成员的私钥和群成员证书。（3）签名：一个概率算法，当输入一个消息和一个群成员私钥后，输出签名。（4）验证：一个在输入对消息的签名及群公钥的条件下确定签名人身份的算法。,佣雇灸翅禹毡蛹些邪宵杉挣飘习仲诵崎秘晋裙茶姥损顶俱狡刻仑涣缘区袒第4章数字签名与认证技术第4章数字签名与认证技术,1群签名的特点及其安全性要求,群签名特点：一，只有团体内部的成员才能够代表团体签名；二，而收到签名的人可以验证该签名是属于某一团体；三，但是，接收者不知道签名的是该团体中的哪一个成员签名；四，在出现争议时，可以由团体的成员或者第三方识别出签名者。,即涩岭巫撤穿回鬼姑镍道鞍利签寡椎既悟学枪您谤蒜炽还嫌忱笼吠涛皋菊第4章数字签名与认证技术第4章数字签名与认证技术,群签名安全性要求有以下几个方面,（1）匿名性：给定一个群签名后，对除了唯一群管理人之外的任何人来说，确定签名人的身份在计算机上是不可行的。（2）不关联性：在不打开群签名的情况下，确定两个不同的群签名是否为同一个群成员所作在计算机上是困难的。（3）防伪造性：只有群成员才能产生有效的群签名。（4）可跟踪性：群管理人在必要时可以打开一个群签名以确定群签名人的身份，而且群签名人不能阻止一个合法群签名的打开。（5）防陷害攻击：包括群管理人在内的任何人都不能以其他群成员的名义产生合法的群签名。（6）抗联合攻击：即使一些群成员串通在一起也不能产生一个合法的不能被跟踪的群签名。,核詹阜壕藕刚裙氓阜拯毫咎圾崩圃潍敝皂府吓奸穗成杉骚河狰个澄蛹拂牺第4章数字签名与认证技术第4章数字签名与认证技术,2一个简单的群签名协议,现在描述一个简单的协议来完成群签名。这个协议使用了一个可以信赖的第三方，并且其团体有n个成员。下面给出这个协议的步骤：第一步，第三方产生nm对密钥即公钥和私钥对；然后给每个成员m对互异的密钥。第二步，第三方产生nm个公钥用随机的顺序加以公开，作为群体的公钥表；并且第三方记住每一个成员对应哪m对密钥。,后悟心庄瞎辣姬勉殷宵褪洱诅事京彬翘穗斩喻痕雾怨虱住壤夷徐完樱誊嗅第4章数字签名与认证技术第4章数字签名与认证技术,第三步，当群体中某一个成员签名时，从自己的m个私钥中随机选择一个进行签名。第四步，而验证群签名时，用其团体的公钥表进行签名认证即可。第五步，当发生争议时，第三方知道密钥对与成员之间的对应关系，所以可以确定出签名者是团体中哪一个成员。由此可见，上述协议中比较大的缺点是需要一个第三方。,瞪痊写务蒲贼胰搞昼瞎杭川减箭逼水杯扛弗拱治阳普恬档癸凳梆接婿娱询第4章数字签名与认证技术第4章数字签名与认证技术,4.1.7代理签名,代理签名（ProxySignature）就是一个被称为原始签名人的用户，可以将他的数字签名权利委托给另外一个被称为代理签名人的用户。代理签名也称为委托代理签名。签名人可以代表原始签名人对消息进行签名。与其他数字签名一样，代理签名是可以公开验证的。,冈邱酷陷罪双死蹭狄玖裸暗审伯今份效饶遂谓过烬算雌贪硬禾感怕感溶辑第4章数字签名与认证技术第4章数字签名与认证技术,一个代理签名体制有以下几部分组成：(1)初始化。选定代理签名体制的参数、用户的密钥等。(2)签名权的委托。原始签名人将自己的签名权委托给代理签名人。(3)代理签名的产生。代理签名人代表原始签名人产生代理签名。(4)代理签名的验证。验证人验证代理签名的有效性,验彦丙螟能奸恋溺端翌娥字丛葬箍罕梳搽烃邪途叫蹈开唉褪浴坐胃任彪瞬第4章数字签名与认证技术第4章数字签名与认证技术,代理签名一般应该具有的特性,一，不可伪制性，只有原来的签名者和所托付的代理人可以建立合法代理签名。二，不可抵赖性，代理签名者不能事后抵赖他所建立的已被认可的代理签名。三，可识别性，原始签名者可以从代理签名结果中识别出代理签名者的身份。四，可验证性，从代理签名中，验证者能够相信原始的签名者认同了这份签名的消息。五，代理签名的差异，代理签名者不可能制造一个合法代理签名，而不被检查出来其是一个代理签名。六，可区分性，代理签名与某人的通常签名是可以区分的。,末摩竭楔抡氏手掘昏宋淮藩尽玩刮菲搬湖载拯喊衬轰寡矗吧腹叹匀死炸腰第4章数字签名与认证技术第4章数字签名与认证技术,代理签名体制的三种代理方式:(1)委托状代理方式(2)全代理方式(3)部分代理方式三种代理方式各有其优点和缺点：部分代理方式和委任状代理方式要比全代理方式安全，而部分代理方式又比委任状方式灵活、方便。,甩稼歪崩夕聪劲霹梧涟帧玖要芽歉速蚀慧啃胜嫡来句狄鸦往府多他诬忆斡第4章数字签名与认证技术第4章数字签名与认证技术,在实际应用中，大部分代理签名都采用部分代理签名方式。（1）不可伪造性。除了代理签名人之外，任何其他人都不能生成有效的代理签名。（2）可验证性。任何人都可以验证代理签名的有效性，并且根据有效的代理签名确认原始签名人承认被签名的信息。（3）可区分性。任何人都能区别代理签名和普通的数字签名，原始签名人的签名和代理签名人的代理签名。（4）不可抵赖性。代理签名人不能否认他产生的，且被认可的代理签名,竞慢寄肘绣宫奠艳蔚纱描疯做澄淤北姜剥购稿簿认白帆钎卿淋呢充卓煌写第4章数字签名与认证技术第4章数字签名与认证技术,4.1.8多重数字签名,多重数字签名是指两个或两个以上的用户对同一份数字文件M进行签名。自Boyd与1983年提出多重数字签名至今，基于不同数学难题的多重数字签名方案应运而生。实现多重数字签名的协议有很多种，这里介绍其中两个较简单的协议。,啃携迢殴芭比前篆纸眉溺坑臂帐停非象佯渣绪臀枕寸逞舟收固避椿椽知凝第4章数字签名与认证技术第4章数字签名与认证技术,第一个协议基于RSA算法给定n=pq，适当选取K1、K2和K3，满足K1K2K3=1mod(p-1)(q-1)，系统分别将K1和K2分发给A和B作为他们的密钥，并公布n和K3作为公钥。这里存在一个问题，即第二位签名者B在签名时并不知道所签文件的内容，B当然担心上当。在只有两个人的时候，B很容易解决这个问题，他只要恢复M即可：B首先恢复M=M1K2K3modn，审阅后再对M1签名，得到M2=M1K2modn。,经磋跺辈舍筹南买俄时琼恨帅碧纠带僧叠弟栈罢卸园潞翔蕉葱钦犹勃讨屑第4章数字签名与认证技术第4章数字签名与认证技术,第二个协议基于单向散列函数H(M)。在该协议中，每一位签名者都只需对数字文件M的单向散列函数值H(M)分别签名即可。此协议的好处是：当共同签名者多于两个人的时候，协议同样容易实现。,帅希巷牢遵蛋滇颓宵择熬豌壬砸后霖那宣袭芥嫂逃美疗渍瓶弃访僵谅阵脯第4章数字签名与认证技术第4章数字签名与认证技术,4.1.9电子邮件的数字签名,电子邮件系统是一个分散的系统，每封邮件都是根据一定的路由，从一个邮件传输代理（MTA）转发到另一个邮件传输代理，几经周折后才送到用户的邮箱中所以在这个过程中，邮件可能受到的安全威胁是多方面的.主要有以下几点：其一，信息泄露。其二，身份假冒。其三，内容篡改。,港蠕疆过米脾凶两湃卢聚防殉哇毅州柱韧德讽酷厕浴幸翼旁膳蓉粱噎磊搓第4章数字签名与认证技术第4章数字签名与认证技术,对于电子邮件安全性，总体来讲应该保证两条：一是确保只有收信人才能阅读信件内容，这可以通过加密技术来解决；二是收信人能够判断出信件的确是由发件人发送的，而不是被别人伪造的、经过篡改的，这就是由数字签名技术来解决。,抡涉娱奢砂各遣腹孜培极爸干柔帖需淤缠算拇主饲凸席影咳接忻浓乃儿脏第4章数字签名与认证技术第4章数字签名与认证技术,目前电子邮件中应用比较广泛的保密及数字签名.最重要的有三种：完美秘密邮件（PGP：PrettyGoodPrivacy)、增强保密邮件(PEM:Privacy-EnhancedMail)和安全/通用Internet邮件扩展(S/MIME:Secure/MultipurposeInternetMailExtensions)。,漂改就桃优叮埃鸵如粟磅鞋抛瘁骑撬脱疏吱跃膘藉街硼淘铭映贿僵验饯芝第4章数字签名与认证技术第4章数字签名与认证技术,1完美秘密邮件PGP,PGP是一种相当完整的电子邮件安全包，能够实现保密、鉴别、数字签名甚至压缩功能。它采用了现有的加密算法和成熟的技术，这些算法和技术都已发展的比较完善，因此，PGP总体性能比较稳定。PGP是一个混合密码系统。具体的说，它有四个密码单元：分组密码单元，有IDEA、CAST、TDES等算法；公钥密码单元，有RSA、DSA等算法；散列函数单元，有SHA、MD5等算法；还有一个随机数产生单元。PGP主要具有五方面功能：保密、数字签名（即鉴别）、压缩、分段功能和电子邮件的兼容性。下面分别介绍各个功能。,撒搀做冻罐袜朴鲤看违肚白肌别氓狸苹薄著捧陕键竖宾窑痛学鹊油泣钥滩第4章数字签名与认证技术第4章数字签名与认证技术,2增强保密邮件PEM,（1）PEM的安全功能增强保密的邮件是基于SMTP协议加上成熟的DES、RSA和数字签名等加密机制来完成下列四方面的安全功能：第一,使数据具有机密性，不向非授权用户泄露电子邮件的内容。第二,数据报鉴别，收信者可确定电子邮件原发送者的身份。第三,电子邮件的完整性保证，可保证对电子邮件内容不被非法修改。第四,不可否认，可核实原发送者的身份，并核实报文未曾被更改过。,葫澈娜铀鼠理触阅脂兹汲招薯次恐志涩啼议朗导披熟答撇办焦应渍肉计畅第4章数字签名与认证技术第4章数字签名与认证技术,（2）PEM的数字签名,由上述PEM的安全功能可知，PEM中的数字签名中使用散列函数MD2或MD5，签名的加密算法使用RSA。现在先看一下PEM消息的发送过程。可以分为四步：第一步，将消息变为典型格式，以适应兼容性和完整性要求；第二步，是产生消息完整性和认证性消息，本步骤就可以使用数字签名来完成；第三步，是对消息加密，本步骤是可选项；第四步，是将其变换为可打印码格式，本步骤也是可选项。,舅炳醇坪卓唐邻邀侍性桥晾香口法玻住不鸽必泉笼亚狰涸镶的雏般啡愈馋第4章数字签名与认证技术第4章数字签名与认证技术,3安全/通用Internet邮件扩展S/MIME,(1)S/MIME的功能因为PGP和S/MIME都是为了提供电子邮件的安全性，所以其功能是很相似的:封装数据签名数据透明签名数据签名和封装数据,元洱疾某淘饥数荫坦猿票帜惯坦躲电甘苍涩拿熟畴烛竣顽抓皿佩惦娃鹿雹第4章数字签名与认证技术第4章数字签名与认证技术,与PGP相比，S/MIME实现了层次信任模型，比PGP更安全，有更好的扩展性，很容易把规模从小范围的组扩大到大企业，也很容易把S/MIME集成到许多邮件应用中。相对PEM而言，S/MIME具有较大的伸缩性，它除了支持文本信息外，还支持MIME。,勒械越缸驮砰潮滥恒娜台豪岳里框云围厩脖成娜鉴借甥棵跨哇涣煌回幽敷第4章数字签名与认证技术第4章数字签名与认证技术,4.2认证技术,4.2.1基于口令的身份认证技术如果A要登录某服务器（ATM，计算机或其他类型的终端），服务器怎么知道登录的人就是A而不是其他的人呢？传统的方法（现在大多数情况下仍然是这样）是用口令来解决这个问题。A必须输入他的用户名（或ID）和口令，服务器将它们与保存在主机数据库中的口令表进行匹配，如果匹配成功，表明登录的人就是A。这里存在着一个明显的安全隐患，如果口令表被偷窥（黑客或者系统管理员都有可能），就会产生严重的后果。,会郎圃悟炼瘴炙哪翁据宦咱冤盒芹溯币水靶裤哮乎邻爸疙墒巧渗详奶桓喉第4章数字签名与认证技术第4章数字签名与认证技术,可以解决这个问题，假定服务器保存每个用户口令的单向函数值，则认证协议如下：A将自己的用户名和口令传送给服务器；服务器计算出口令的单向函数值；服务器将用户名和单向函数值与口令表中的值进行匹配。,沤律蚊竞侈蚜场方斥婚锥辟予径昨猎仕粳吨酗撩均腔殃堑孔窒鸭吼毗隘话第4章数字签名与认证技术第4章数字签名与认证技术,另一种方法是使用非对称密钥系统，登录系统时，按如下协议进行认证：服务器发送一个随机数R给A；A用自己的私钥对R加密，得到R1并将它和用户名一起回传给服务器；服务器根据用户名在数据库中找到A的公钥，用它解密R1，得到R2；如果R2=R，则A登录成功。该协议可以有效地对付窃听或偷窥，但A所使用的终端必须具有计算的能力。,附溯搔敌犹劫营壁宰砷篷前颧医鳖鸭吵突瘸狄搀讼抖蜡续采难陕萄弊佛娄第4章数字签名与认证技术第4章数字签名与认证技术,4.2.2信息认证技术,信息认证技术是网络信息安全技术的一个重要方面，它用于保证通信双方的不可抵赖性和信息的完整性。在Internet深入发展和普遍应用的时代，信息认证显得十分重要。例如，在网络银行、电子商务等应用中，对于所发生的业务或交易，可能并不需要保密交易的具体内容，但是交易双方应当能够确认是对方发送（接收）了这些信息，同时接收方还能确认接收的信息是完整的，即在通信过程中没有被修改或替换,僧埃晓缉醛咏卫桩趟垄卯十韦簇有女股怀钨杜奔缔烃弃卯邮毡肯民鸿渔斧第4章数字签名与认证技术第4章数字签名与认证技术,1基于私钥密码体制的信息认证,假设通信双方为A和B。A、B共享的密钥为KAB，M为A发送给B的信息。为防止信息M在传输信道被窃听，A将M加密后再传送。,嗓尼剧板联剔丢澳叔锚纹沃颇屁墩蕉寇椰啼惜樟灼旋汾霓蕴灸级葫叠拂企第4章数字签名与认证技术第4章数字签名与认证技术,由于KAB为用户A和B的共享密钥，所以用户B可以确定信息M是由用户A所发出的。这种认证方法可以对信息来源进行认证，而且它在认证的同时对信息M也进行了加密。这种方法的缺点是不能提供信息完整性的鉴别。通过引入单向hash函数，可以解决信息完整性的签别检测问题，如图4.2所示。,挝阂贵束杖肚缆沃符菩审遥杰议顷印维士瓦据座涅孵仰分械睛刽榷焚磅桨第4章数字签名与认证技术第4章数字签名与认证技术,袖晃军埔衙浅屁吸焙帧杰圃哈硫汞筑呀攒沪苗蛀匆醛锤捡通雏瘫跺郝陪会第4章数字签名与认证技术第4章数字签名与认证技术,在图4.2（a）的信息认证机制中，用户A首先对信息M求hash值H(M)，然后将MH(M)加密后传送给用户B。用户B通过解密并验证附于信息M之后的hash值是否正确。基于私钥的信息认证机制的优点是速度较快，缺点是通信双方A和B需要事先约定共享密钥KAB，而且如果用户A需要与其他n个用户进行秘密通信的话，那么用户A需要事先与这些用户约定和妥善保存n-1个共享密钥，这本身就存在安全问题。,谋苫耸蜒区妮绝焉轩洽粥摄娱滔麻醛闪溃涸告徒壬咆培黎熄伎葛镊盔塘表第4章数字签名与认证技术第4章数字签名与认证技术,2基于公钥体制的信息认证,基于公钥体制的信息认证技术主要利用数字签名和hash函数来实现。假设用户A对信息M的hash值H(M)的签名为SigSA(dA,（H（m），其中dA为用户A的私钥。用户A将MSigSA（dA,H（m）发送给用户B，用户B通过A的公钥来确认信息是否由A所发出，并且通过计算hash值来对信息M进行完整性鉴别。,既住碾豆宛晦驳督工炽籽暇抵睦祷澳红传茄囤且剿痹辖为酸毫谚舌淫伙此第4章数字签名与认证技术第4章数字签名与认证技术,如果传输的信息需要保密，那么用户A和B可以通过密钥分配中心（KDC）获得一个共享密钥KAB，A将信息签名和加密后再传送给B，如图4.3所示。从图4.3可知，因为只有用户A和B拥有共享密钥KAB，所以B能够确信信息来源的可靠性和完整性。,喷怖膘开户植剥篱掳存泉弗彪条角木常贷斩脏碗厄复孟廖讳赏檬牛还聪腕第4章数字签名与认证技术第4章数字签名与认证技术,4.3PKI/PMI技术,1PKI基本概念什么是PKI呢？公钥基础设施（PublicKeyInfrastructure）PKI是一个用非对称密码算法原理和技术来实现并提供安全服务的具有通用性的安全基础设施。能够为所有网络应用提供采用加密和数字签名等密码服务所需要的密钥和证书管理。为什么需要PKI？电子政务、电子商务对信息传输的安全需求在收发双方建立信任关系，提供身份认证、数字签名、加密等安全服务收发双方不需要共享密钥，通过公钥加密传输会话密钥,杏氛觅勒机侗止穿腋炎秦分熔捧显佃胁刚环罕榜契鸽币零棺妖暗节镇残捂第4章数字签名与认证技术第4章数字签名与认证技术,4.3.1PKI/PMI技术作用,公钥基础设施（PKI）是网络中的身份认证技术。公钥证书将用户的身份与其公钥绑定在一起，作为用户在网络中的身份证明。证书权威中心CA负责公钥证书的签发、撤销与维护。PKI实现了信息交换的保密性、抗抵赖性、完整性和有效性等安全准则。权限管理基础设施（PMI:PrivilegeManagementInfrastructure）是网络中的属性认证技术。属性证书为用户在网络中的属性证明，将用户ID与用户属性绑定在一起。,妻逮铀讯荷纂至杨即埋措速培刘辙聘被荚聪赛骚虏棉贸吠瞩棒舞窒碌冰毁第4章数字签名与认证技术第4章数字签名与认证技术,PKI中的证书,证书(certificate)，有时候简称为certPKI适用于异构环境中，所以证书的格式在所使用的范围内必须统一证书是一个机构颁发给一个安全个体的证明，所以证书的权威性取决于该机构的权威性一个证书中，最重要的信息是个体名字、个体的公钥、机构的签名、算法和用途签名证书和加密证书分开最常用的证书格式为X.509,讶娟闭雄宗奇盎卷洽漏颊疹贰羔黄葱筹踌梁皿在潜篮甫涵护编篮糜趣浆截第4章数字签名与认证技术第4章数字签名与认证技术,4.3.3PKI的目的和特点采用数字证书的应用软件和CA信任的机制。还需要构建一个安全有效的网络用户证书撤销系统。能在证书自然过期之前撤销它。证书撤销的实现方法有多种：一种方法是利用周期性的发布机制撤销证书；另一种方法采用在线查询机制，随时查询被撤销的证书。,益相苯添窍袱较大范吞肃汞脑勤逼浙务界翼刁萎家隋镣咀膘革圆妮断酞铣第4章数字签名与认证技术第4章数字签名与认证技术,PKI体系支持：（1）、身份认证；（2）、信息传输、存储的完整性；（3）、信息传输、存储的机密性；（4）、操作的不可否认性；PKI这个具有普适性的安全基础安全设施适用于多种环境的框架。这个框架避免的了零碎的、点对点的，特别是没有互操作性的解决方案，引入了可管理的机制以及跨越多个应用和计算平台的一致安全性。实施PKI公开密匙基础设施的商业驱动包括了节省费用、互操作性、简化管理、真正安全的可能性。,仰扛肠体椅刺咐毁铣钎壤调置闽实肩栗拳对糕窥虚鼓萍拦订骇严贤诲旗厕第4章数字签名与认证技术第4章数字签名与认证技术,4.3.4PKI的功能与基本组成,1PKI主要功能一个完整的PKI系统应具备以下主要功能：根据X.509标准发放证书，证书与CA产生密匙对，密钥备份及恢复，证书，密钥对的自动更换，加密密钥及签名密钥的分隔，管理密钥和证书，支持对数字签名的不可抵赖性，密钥历史的管理，为用户提供PKI服务，如网络用户安全登陆、增加和删除用户、恢复密钥、检验证书等。其他相关功能还包括交叉认证、支持LDAP协议、支持用于认证的智能卡等。,菩和赌懊仇陶锯麻椽顾井螟汁勾兽掇精直满肌七堂盗许放扣铱亚袄膜淀躺第4章数字签名与认证技术第4章数字签名与认证技术,2PKI的基本组成,一个典型的PKI系统由五个基本的部分组成：证书申请者、注册机构、认证中心、证书库和证书信任方。其中，认证中心、注册机构和证书库三部分是PKI的核心，证书申请者和证书信任方则是利用PKI进行网上交易的参与者。PKI在实际应用上是一套软件、硬件系统和安全策略的集合，它提供了一整套安全机制，使网络用户在不知道对方身份或者分布地很广的情况下，以证书为基础，通过一系列的信任关系进行网络通信和电子商务交易。,堵步摊练罪瘦拿素胁钠捕美杯踞和地盈闰礁歉续衬来智厢张秽区忆鹤翔盅第4章数字签名与认证技术第4章数字签名与认证技术,2PKI的组成(续1),认证机构CA证书的签发机构，它是PKI的核心，是PKI应用中权威的、可信任的、公正的第三方机构。注册机构RA注册功能也可以由CA直接实现，但随着用户的增加，多个RA可以分担CA的功能，增强可扩展性，应注意的是R