第05章 数字签名与身份认证

第5章数字签名与身份认证

回顾：消息鉴别的概念报文鉴别MessageAuthentication鉴别：消息的接收者对消息进行的验证。真实性：消息确实来自于其真正的发送者，而非假冒；完整性：消息的内容没有被篡改。鉴别对防止主动攻击、保护开放网络中信息系统的安全性有重要作用Message消息报文Authentication鉴别认证沈阳航空航天大学不可否认性的应用需求网络通信中，希望有效防止通信双方的欺骗和抵赖行为。1简单的报文鉴别技术只能使通信免受来自第三方的攻击,无法防止通信双方之间的互相攻击。2数字签名技术为此提供了一种解决方案。3B伪造一个不同的消息，但声称是从A收到的；AA可以否认发过该消息，B无法证明

A确实发了该消息;B原因：鉴别技术基于秘密共享。C沈阳航空航天大学数字签名数字签名（DigitalSignature）是公开密钥体系加密技术发展的一个重要的成果。数字签名的功能是对现实生活中笔迹签名的功能模拟。

(1)必须能够用来证实签名的作者和签名的时间。

对消息进行签名时，必须能够对消息的内容进行鉴别。签名应具有法律效力，必须能被第三方证实用以解决争端。必须包含对签名进行鉴别的功能。数字签名的设计目标

签名的比特模式是依赖于消息报文的，也就是说，数据签名是以消息报文作为输入计算出来的，签名能够对消息的内容进行鉴别；数据签名对发送者来说必须是惟一的，能够防止伪造和抵赖；产生数字签名的算法必须相对简单易于实现，且能够在存储介质上保存备份；对数字签名的识别、证实和鉴别也必须相对简单，易于实现；伪造数字签名在计算上是不可行的，无论攻击者采用何种方法（利用数字签名伪造报文，或者对报文伪造数字签名）。沈阳航空航天大学数字签名的分类直接数字签名仲裁数字签名无条件安全的数字签名计算上安全的数字签名一次性的数字签名多次性的数字签名分类沈阳航空航天大学直接数字签名实现比较简单，在技术上仅涉及到通信的源点A和终点B双方。1前提条件:(1)采用公开密钥算法(2)接收者B需要了解发送者A的公开密钥KUA2发送方A可以使用其私有密钥KRA对整个消息报文进行加密来生成数字签名。3更好的方法是使用KRA对消息报文的散列码进行加密来形成数字签名。4沈阳航空航天大学直接数字签名(对整个明文加密)A->B:提供认证和签名、无保密性。SourceADestinationBMMEKRaCEKRa(M)DKUa沈阳航空航天大学直接数字签名(整个明文加密)A-B:提供认证和签名、保密性。SourceADestinationBMEKRaCEKUb(EKRa(M))DKUaMC’CEKUbDKRbEKRa(M)EKRa(M)签名保密认证沈阳航空航天大学直接数字签名（对散列码加密）A→B:M||EKRA[H(M)]提供了认证与签名A→B:EK[M||EKRA[H(M)]]

提供了保密（K）、认证与签名（KRa

）沈阳航空航天大学直接数字签名的安全性方案的安全性依赖于发送方A私有密钥的安全性。发送方可以声称自己的私有密钥丢失或被盗用，而否认其发送过某个报文。改进：每个签名报文中包含一个时间戳。问题：A的私有密钥确实在时间T被窃取；攻击者窃取A的密钥后，则可能发送带有A的签名报文，附上一个等于T的时间戳，接收者无法判别。沈阳航空航天大学基于仲裁的数字签名通过引入仲裁来解决直接签名方案中的问题1仲裁者必须是一个所有通信方都能充分信任的仲裁机构。2基本工作方式（假定用户A和B之间进行通信）：3AB每个从A发往B的签名报文首先被送给仲裁者T；T检验该报文及其签名的出处和内容，然后对报文注明日期，并附加上一个“仲裁证实”的标记发给B。沈阳航空航天大学基于仲裁的数字签名实现的方案基于对称密钥的方案基于公开密钥的方案TAB1:消息＋签名2：消息、签名＋仲裁的验证沈阳航空航天大学基于仲裁的数字签名--对称密钥加密方式发送方A和仲裁T共享一个密钥KTA。

数字签名由A的标识符IDA和报文的散列码H(M)构成，用密钥KTA进行加密。过程：(1)A→T：M‖EKTA(IDA‖H(M))。(2)T→B：EKTB(IDA‖M‖EKTA(IDA‖H(M))‖T)。(3)B存储报文M及签名。

争端解决方式（A否认发送了报文M的时候）B→T：EKTB(IDA‖M‖EKTA(IDA‖H(M)))。仲裁T可用KTB恢复出IDA

、M及签名，然后再用KTA对签名解密并验证其散列码。特点：B不能直接验证A的签名。双方都需要高度相信T:(1)B相信T已对消息认证，A

不能否认其签名；(2)A信任

T没有暴露

KTA，无人可伪造EKTA(IDA‖H(M))；(3)双方都信任T处理争议是公正。问题：(1)报文M明文传送，有可能被窃听。(2)若仲裁T不可信，则T可能伪造数字签名。改进－－明文加密的方案A→T：IDA‖EKAB(M)‖EKTA(IDA‖H(EKAB(M)))。T→B：EKTB(IDA‖EKAB(M)‖EKTA(IDA‖H(EKAB(M))‖T)。特征：A与B之间共享密钥KAB

。DS的构成：IDA和消息密文的散列码用KTA

加密。DS的验证：T解密签名，用散列码验证消息。--T只能验证消息的密文，而不能读取其内容。T将来自A的所有信息加上时间戳并用KTB

加密后发送给B。问题：T和发送方A联手可以否认签名的信息。T和接收方B联手可以伪造发送方A的签名。因为签名所使用的密钥是T与用户共享的。沈阳航空航天大学基于仲裁的数字签名—公开密钥加密方式特点：仲裁者看不见消息的内容。过程：A对报文M进行两次加密。经过双重加密后，报文M只有B能够阅读，T不能读取AT：IDA||EKRA[IDA||EKUB[EKRA(M)]]T能进行外层的解密，从而证实报文确实是来自A的因为只有A拥有KRA。验证后T向B发送用KUB

加密的报文，其中包括时间戳TTB：EKRT[IDA||EKUB[EKRA(M)]||T]优点：通信各方之间无须共享任何信息，从而避免了联手作弊；T能进行外层的解密，从而证实报文确实是来自A的；只要KRT

安全，则不会出现伪造T发送的消息；消息的内容是保密的，包括对T在内。沈阳航空航天大学数字签名算法普通数字签名算法RSADSS/DSA不可否认的数字签名算法群签名算法盲签名算法公布于1994年5月19日的联邦记录上，并于1994年12月1日采纳为标准DSS。DSS最早发表于1991年，并于1993年和1996年进行了修改。DSS基于安全散列算法（SHA）并设计了一种新的数字签名技术，即DSA（数字签名算法）。特点

--DSS的签名比验证快得多--DSS不能用于加密或者密钥分配群中各个成员以群的名义匿名地签发消。具备下列三个特性

(1)只有群成员能代表所在的群签名

(2)接收者能验证签名所在的群,但不知道签名者

(3)需要时,可借助于群成员或者可信机构找到签名者应用:投标盲签名要求:

(1)消息内容对签名者不可见

(2)签名被接收者泄漏后,签名者无法追踪签名应用:电子货币,电子选举盲签名过程:

消息→盲变换→签名→接收者→逆盲变换沈阳航空航天大学RSA签名方案网络报文MH()密钥KRa加密E()MEKRa[H(M)]解密D()密钥KUaH()比较MEKRa[H(M)]问题:速度慢信息量大第三方仲裁时必须暴露明文信息沈阳航空航天大学身份认证技术身份认证一个最主要的应用领域数字签名鉴别技术沈阳航空航天大学身份认证系统的需求1身份认证2身份认证系统中的角色：示证者、验证者、仲裁、攻击者3认证的基本思想是通过验证称谓者的一个或多个参数的真实性和有效性，以验证其是否名副其实4身份认证是系统对网络主体进行验证的过程，用户必须证明他是谁(1)对用户身份的证实(2)用以识别合法或非法的用户，阻止非授权用户访问网络资源沈阳航空航天大学认证使用的数字化证件只有该主体了解的秘密，如口令、密钥1主体随身携带的物品，如智能卡和令牌卡2主体具有的独一无二的特征或能力，如指纹、声音或签名3非时变证件和时变证件4非时变证件：非时变参数构成可采用在保密条件下预先产生比特模式并存储作为认证证件证时变证件：随时间变化的参数构成在使用时适时的产生比特模式作为认证证件沈阳航空航天大学身份认证系统的特征验证者正确识别合法客户的概率极大1攻击者伪装示证者骗取验证者信任的成功率极小化2通过重放认证信息进行欺骗和伪装的成功率极小3计算有效性，实现身份认证的算法计算量足够小4通信有效性，实现身份认证所需的通信量足够小5秘密参数能够安全存储6第三方的可信赖性7可证明安全性8沈阳航空航天大学身份认证技术和数字签名的区别两者都是确保数据真实性的安全措施1认证一般是基于收发双方共享的保密数据，以证实被鉴别对象的真实性；而用于验证签名的数据是公开的2认证允许收发双方互相验证其真实性，数字签名则允许第三者验证3对于数字签名来说，发送方不能抵赖、接收方不能伪造，并且可由仲裁进行调解，而认证却不一定具备这些特点4认证技术的实现可能需要使用数字签名技术5沈阳航空航天大学基本的身份认证方法主体特征认证口令机制TitleAB一次性口令D智能卡C口令是约定的代码，假设只有用户和系统知道用户每次使用不同的口令，需要口令发生器设备视网膜扫描、声音验证、指纹识别器访问不但需要口令，也需要使用物理智能卡沈阳航空航天大学身份认证方式Certification两个基本的方式相互认证单向认证沈阳航空航天大学相互认证目的：用于通信各方之间的相互进行身份认证，同时交换会话密钥。需要解决的核心问题：密钥交换的机密性和时效性。机密性防止会话密钥被篡改或和泄露；用户身份信息和会话密钥都必须以密文形式交换；前提：通信各方事先保存一个密钥（共享或公开密钥）。时效性为了防止消息的重放攻击。报文重放（replay）攻击攻击过程：窃听。复制或部分复制一个报文。在以后的某个时间重放

(1)可以拦截原信息，用重放消息取代；

(2)可以在一个合法有效的时间窗内重放一个带时间戳的消息。后果扰乱接收者正常的工作。窃取会话密钥，假扮成一个通信方欺骗其他人。重放攻击问题的解决方式报文序号方式

(1)在认证交换中对消息报文编排序号，消息序号合法时才接受。

(2)问题：通信各方必须保持序号同步。时间戳方式

(1)在报文中附加发送的时间戳；接收时只有报文时间戳与本地时间足够接近时，才认为是一个合法的新报文。

(2)问题：

(a)通信各方的时钟同步比较困难；

(b)时间窗口的大小如何确定。沈阳航空航天大学基于对称密钥加密的相互认证须具备的条件可信的密钥分配中心（KDC）；通信各方都与KDC共享一个主密钥；主密钥Ka

和Kb

是安全。目的：KDC为通信双方A、B产生短期的会话密钥Ks。工作过程：(1) AKDC： IDA||IDB||N1(2) KDCA： EKa[Ks||IDB||N1||EKb

(Ks||IDA)](3)AB： EKb

[Ks||IDA](4) BA： EKs

[N2](5) AB： EKs

[f(N2)]沈阳航空航天大学基于对称密钥加密的相互认证过程1A在会话开始时首先向KDC发送报文，包含A和B的标识和一个与时间相关的现时标识符N1。2A就可安全地从KDC获得一个新的会话密钥Ks。3A将用Kb加密的会话密钥Ks发送给B，这个会话密钥只有B能够通过解密获得。4B向A发送用会话密钥加密的现时值N2，向A证实B已经正确获得了会话密钥Ks。5A使用新建立的会话密钥Ks对f(N2)加密后返回给B。沈阳航空航天大学基于对称密钥加密的相互认证问题：过期的会话密钥

A可冒充T，使用过期密钥，并重放第3步的报文，就可以欺骗B。对称密钥加密相互认证改进：增加时间戳机制：需要通信各方周期性地与KDC通信进行时钟校准。通信时使用现时握手。1，2结合。沈阳航空航天大学基于公开密钥加密的相互认证过程(1) A→AS： IDA‖IDB(2) AS→A： CA‖CB(3) A→B： CA‖CB‖EKUb(EKRa(Ks‖T))其中：A的公钥和私钥分别为KUa

和Kra

；B的公钥和私钥分别为KUb

和KRb

；AS（鉴别中心）的公钥和私钥分别为KUas

和KRas

；CA=EKRas(IDA‖KUa‖T)，A的公开密钥证书；CB=EKRas(IDB‖KUb‖T)，B的公开密钥证书。沈阳航空航天大学基于公开密钥加密的相互鉴别改进（使用现时值N代替时间戳）(1)A→KDC：IDA‖IDB(2)KDC→A：EKRk(IDB‖KUb)(3)A→B：EKUb(Na‖IDA)(4)B→KDC：IDB‖IDA‖EKUk(Na)(5)KDC→B：EKRk(IDA‖KUa)‖EKUb(EKRk(Na‖Ks‖IDB))(6)B→A：EKUa(EKRk

(Na‖Ks‖IDB)‖Nb)(7)A→B：EKs(Nb

)沈阳航空航天大学单向认证One-WayAuthentication。主要用于电子邮件认证等应用。特点：发方和收方无需同时在线。鉴别时收发方不能在线交互。沈阳航空航天大学基于对称密钥加密的单向认证以KDC策略为基础。具体过程：(1)A→KDC：IDA‖IDB‖N1(2)KDC→A：EKa(Ks‖IDB‖N1‖EKb(Ks‖IDA))(3)A→B ：EKb

(Ks‖IDA)‖EKs(M)其中，Ka、Kb分别为A和B与KDC间的共享主密钥，N1为一个现时值。沈阳航空航天大学基于公开密钥加密的单向认证保密性为主：A→B：EKUb(Ks)‖EKs(M)。签名和鉴别：A→B：M‖EKRa

(H(M))。保密和鉴别：A→B：EKUb(M‖EKRa(H(M)))。沈阳航空航天大学分布式环境中的身份认证分布式网络环境由大量的客户工作站和分布在网络中的公共服务器组成；服务器向网络用户提供各种网络应用的服务，是关键；用户需要访问分布在网络不同位置上的服务。服务器的安全服务器需要通过授权来限制用户对资源的访问；授权和访问限制建立在用户身份认证基础上的。网络系统的安全性可采用不同身份认证策略实现：基于客户工作站的用户身份认证；基于客户系统的身份认证；基于服务的用户身份认证。沈阳航空航天大学认证协议Kerberos沈阳航空航天大学身份认证协议——Kerberos是美国麻省理工学院（MIT）开发的一种身份鉴别服务。“Kerberos”的本意是希腊神话中守护地狱之门的守护者。

沈阳航空航天大学试图解决的问题是：在公开的分布式网络环境，用户通过某工作站访问网络服务这些服务是由一些分布于网络中的服务器来提供的服务器能够对用户提出的每一项服务访问请求进行认证仅仅依赖工作站对用户的身份进行认证是不够的用户访问每一种网络服务时，都需要向服务器证实其身份存在的威胁：工作站无法保证其中用户的身份的真实性

非法用户访问一个工作站，并假冒另一个合法用户操作工作站非法用户更改工作站的网络地址，假冒一个合法授权的工作站非法用户窃听报文交换的过程，利用重放攻击获得服务器的访问权目标：在各种情况下，都能防止用户对服务的非授权访问Kerberos沈阳航空航天大学Kerberos认证服务Kerberos认证服务身份认证作为网络中的一种标准的安全服务来提供能够实现服务器与用户之间的相互认证集中式的认证服务在一个网络中，通过集中式的认证服务器(AS-AuthenticationServer)提供认证功能而不需要在每一个应用服务器上提供一套完整的认证机制基于常规（对称）密钥加密算法实现使用DES(KerberosV4)而没有使用公开密钥算法发展Kerberos版本4Kerboros

版本5（RFC1510）沈阳航空航天大学Kerberos的设计目标提供一种可信的第三方的身份认证服务Kerberos认证服务器AS作为第三方，若用户与服务器均信任AS的仲裁，则Kerberos就可实现用户与服务器间的相互鉴别。假定协议不存在漏洞，且AS是安全的，则认证服务就是安全的。安全性能够有效防止攻击者假扮成另一个合法的授权用户。可靠性分布式服务器体系结构，提供相互备份。对用户透明性对用户来说，身份鉴别过程除了需要用户输入一个口令以外，其他操作均须对用户透明不可见。可伸缩能够支持大数量的客户和服务器。沈阳航空航天大学Kerberos的设计思路基本前提客户C，其标识符为IDC服务器V，其标识符为IDV认证服务器AS用户口令（password）PC由用户C和AS共享，AS将PC

保存在数据库中AS与每个服务器V共享一个唯一保密密钥KV对称密钥算法假定该密钥已通过某种方式被安全分发到每一个服务器V网络环境不受保护的网络环境，存在窃听、重放、假冒授权用户的威胁沈阳航空航天大学Kerberos的设计思路简单的认证会话假定客户C需要访问服务器V会话过程CASV(1)CAS:IDC||PC||IDV(2)ASC:Ticket(3)CV:IDC||TicketTicket=EKV[IDC||ADC||IDV]是客户C访问服务V

的凭据ADC

是客户C所在的工作站的网络地址沈阳航空航天大学Kerberos的设计思路（2）问题：用户希望输入口令的次数最少。口令以明文传送会被窃听。解决办法票据重用（ticketreusable）。引入票据许可服务器（TGS-ticket-grantingserver）用于向用户分发服务器的访问票据；认证服务器AS并不直接向客户发放访问应用服务器的票据，而是由TGS服务器来向客户发放。沈阳航空航天大学Kerberos中的票据两种票据服务许可票据（Servicegrantingticket）是客户访问某一服务器v时需要提供的票据；用TicketV

表示;TicketV

定义为EKv[IDC‖ADC‖IDV‖TS2‖LT2]。票据许可票据（Ticketgrantingticket）客户访问TGS服务器需要提供的票据，目的是为了申请某一个应用服务器的“服务许可票据”；票据许可票据由AS发放；用Tickettgs

表示访问TGS服务器的票据；Tickettgs

在用户登录时向AS申请一次，可多次重复使用；Tickettgs

定义为EKtgs[IDC‖ADC‖IDtgs‖TS1‖LT1]。沈阳航空航天大学KerberosV4认证过程示意图Kerberos数据库票据许可服务器TGS认证服务器AS客户工作站应用服务器123请求TickettgsKC,tgs＋Tickettgs请求TicketVKC,V＋TicketV请求服务V服务器鉴别符每个会话服务执行一次第三阶段，客户与应用服务器的交互，用于获得服务：(5)C→V：TicketV‖AUC(6)V→C：EKc,v[TS5+1]其中：

TicketV=EKv[KC,V‖IDC‖ADC‖IDV‖TS4‖LT4]AUC=EKc,v[IDC‖ADC‖TS5]每次服务执行一次第二阶段，票据许可服务器的交互，用于获取服务许可票据：

(3)C→TGS：IDV‖Tickettgs‖AUC(4)TGS→C：EKc,tgs[KC,V‖IDV‖TS4‖TicketV]其中：Tickettgs=EKtgs[KC,tgs‖IDC‖ADC‖IDtgs‖TS2‖LT2]TicketV=EKv[KC,V‖IDC‖ADC‖IDV‖TS4‖LT4]AUC=EKc,tgs[IDC‖ADC‖TS3]每次用户登录一次第一阶段，认证服务器的交互，用于获取票据许可票据：(1)C→AS：IDC‖IDtgs‖TS1(2)AS→C：EKc[KC,tgs‖IDtgs‖TS2‖LT2‖Tickettgs]其中：Tickettgs=