密码学与信息安全技术-第3章-信息认证与身份识别课件

第3章信息认证与身份识别3.1杂凑函数与消息的完整性3.2数字签名与信息的不可否认性3.3数字签名的相关理论3.4身份识别协议3.5认证的实现第3章信息认证与身份识别3.1杂凑函数与消息的完整性13.1杂凑函数与消息的完整性3.1杂凑函数与消息的完整性2密码学与信息安全技术-第3章-信息认证与身份识别课件3密码学与信息安全技术-第3章-信息认证与身份识别课件4这个结构是目前大多数杂凑函数，如MD5、SHA-1、等采用的结构。该结构的杂凑函数将输入报文分为L个固定长度为b比特的分组，最后一个分组可能不足b比特，需要进行填充。该杂凑算法涉及到重复使用一个压缩函数f，f有两个输入（一个是前一步的n比特输出，称为链接变量，另一个是b比特的分组）并产生一个n比特的输出。算法开始时，链接变量有一初始值，最终的链接变量值就是杂凑值。这个结构是目前大多数杂凑函数，如MD5、SHA-1、等采用的53.1.2MD53.1.2MD56密码学与信息安全技术-第3章-信息认证与身份识别课件7密码学与信息安全技术-第3章-信息认证与身份识别课件8密码学与信息安全技术-第3章-信息认证与身份识别课件9密码学与信息安全技术-第3章-信息认证与身份识别课件10密码学与信息安全技术-第3章-信息认证与身份识别课件113.1.4对Hash函数的攻击3.1.4对Hash函数的攻击12密码学与信息安全技术-第3章-信息认证与身份识别课件13密码学与信息安全技术-第3章-信息认证与身份识别课件14密码学与信息安全技术-第3章-信息认证与身份识别课件153.1.5Hash函数的应用杂凑函数产生的杂凑值是所有报文比特的函数值，可以表征报文的内部结构，是报文的“指纹”。杂凑函数能够用于消息的完整性判断上。其应用方法也有多种，常用的几种方式如下图所示。3.1.5Hash函数的应用杂凑函数产生的杂凑值是所有报文16密码学与信息安全技术-第3章-信息认证与身份识别课件173.2数字签名与信息的不可否认性实现数据保密的最基本方法是数据加密，但是要确保电子交易的不可否认性、身份的确认性和订单的不可修改性，仅仅依靠数据加密是解决不了的。在传统事务处理中，通常采用亲自手写签名来保证文件的可靠性及法律效应。如果通过网络进行交易，就需要设计一种能够代替交易参予者亲笔签字的方案，使签字的文件从一方通过网络，安全地传送到另一方，这就是本章要讨论的数字签名技术。3.2数字签名与信息的不可否认性实现数据保密的最基本方法是18数字签名（DigitalSignature），是对手写签名（HandwritingSignature）的电子模拟。数字签名的相关主体也是签名方（即发送方）和验证方（即接收方），且类似于手写签名，数字签名也应满足以下条件：（1）可证实性：验证方能够方便而准确地确认、证实签名方的签名；（2）签名方不可否认性：签名一旦发放，签名方就不能否认该签名是他签署的。数字签名（DigitalSignature），是对手写签名19签名与加密有所不同。加密的目的是保护信息不被非授权用户存取，签名的目的是使消息的接收者确信信息的发送者是谁、信息是否被他人篡改。另外，消息加解密可能是一次性的，所以要求它在解密之前是安全的即可；而一个签名的消息（比如文件、合同等）很可能在签署了许多年之后才验证其有效性，而且还可能需要进行多次验证，因此签名的安全性和防伪造性的要求更高。签名与加密有所不同。加密的目的是保护信息不被非授权用户存取，20密码学与信息安全技术-第3章-信息认证与身份识别课件21密码学与信息安全技术-第3章-信息认证与身份识别课件22密码学与信息安全技术-第3章-信息认证与身份识别课件23密码学与信息安全技术-第3章-信息认证与身份识别课件24密码学与信息安全技术-第3章-信息认证与身份识别课件253.2.2RSA签名体制3.2.2RSA签名体制26密码学与信息安全技术-第3章-信息认证与身份识别课件273.2.3ElGamal签名体制EIGAMAL签名方案像EIGAMAL加密体制一样是非确定型的，这意味着对于任意给定的消息，可产生多个有效的签名，验证算法必须能接受合法的有效签名中的任何一个，EIGAMAL签名方案如下：3.2.3ElGamal签名体制EIGAMAL签名方案像28密码学与信息安全技术-第3章-信息认证与身份识别课件293.2.4DSS签名标准3.2.4DSS签名标准30密码学与信息安全技术-第3章-信息认证与身份识别课件31密码学与信息安全技术-第3章-信息认证与身份识别课件323.3数字签名的相关理论不同应用背景中需要不同的数字签名方案。目前，在数字签名理论方面，人们已经针对不同的应用背景，提出了多种数字签名形式，如：盲签名、群签名、有序多重签名、广播多重签名、门限签名、代理签名和可认证加密签名等。3.3数字签名的相关理论不同应用背景中需要不同的数字签名方案333.3.1盲签名一般地，假设通信的双方为A、B。A希望B对某个文件签名，但是，又不希望B知道该文件的内容。这样的签名方式称为盲签名。盲签名的基本思想是：请求签名者把明文m作盲变换b(m),b(m)隐藏了m的内容；然后把b(m)给签字者（仲裁者），其对b(m)签名后得到s[b(m)],然后请求签名者把s[b(m)]通过逆向的盲变换取得签名s(m)。3.3.1盲签名一般地，假设通信的双方为A、B。A希望B对34密码学与信息安全技术-第3章-信息认证与身份识别课件35密码学与信息安全技术-第3章-信息认证与身份识别课件36密码学与信息安全技术-第3章-信息认证与身份识别课件373.3.2代理签名假设有通信的双方A、B，A为原始签名者，B是代理签名者，A将部分签名权限交给B，B在该权限范围内，代理A实施签名，这就是代理签名。3.3.2代理签名假设有通信的双方A、B，A为原始签名者，38密码学与信息安全技术-第3章-信息认证与身份识别课件39密码学与信息安全技术-第3章-信息认证与身份识别课件40密码学与信息安全技术-第3章-信息认证与身份识别课件41密码学与信息安全技术-第3章-信息认证与身份识别课件42密码学与信息安全技术-第3章-信息认证与身份识别课件433.4身份识别协议身份识别是指定用户向系统出示自己身份的证明过程，通常是获得系统服务所必需的第一道关卡。身份识别技术能使识别者识别到自己的真正身份，确保识别者的合法权益。3.4身份识别协议身份识别是指定用户向系统出示自己身份的证44对称加密算法实现身份识别一个基于对称加密算法的双向身份识别协议是Needham-Schroeder协议。协议中出现了三方，KDC、用户A、B。协议的目的是实现用户A、B之间的身份识别。当然，该协议也实现了密钥分配。协议的流程图示如下。对称加密算法实现身份识别一个基于对称加密算法的双向身份识别协45密码学与信息安全技术-第3章-信息认证与身份识别课件46密码学与信息安全技术-第3章-信息认证与身份识别课件47密码学与信息安全技术-第3章-信息认证与身份识别课件48密码学与信息安全技术-第3章-信息认证与身份识别课件49非对称加密算法实现身份识别非对称加密算法实现身份识别503.5认证的实现一般地，一个身份认证系统由三方组成：一方是出示证件的人，称为示证者，又称为申请者，他提出某种要求；第二方为验证者，他验证示证者出示的证件的正确性与合法性，并决定是否满足其要求；第三方是攻击者，他可以窃听和伪装示证者，骗取验证者的信任。在必要时，认证系统也会有第四方，即可信赖者参与调解纠纷。称此类技术为身份识别（认证）技术。3.5认证的实现一般地，一个身份认证系统由三方组成：一方是51身份认证的途径可以大致分为四类：（１）所知。利用个人所知道或所掌握的知识，如密码、口令等；（２）所有。利用个人所拥有的东西，如：身份证、护照、钥匙等。以上两种方法各有所长。一个是虚拟的，一个是物理的。口令不易丢失，钥匙容易丢失。在没有丢失的时候，口令比钥匙安全。一旦发生丢失时，丢失口令不易察觉，丢失钥匙易被察觉。（３）个人特征。即基于生物统计学的身份认证，它是指利用人的个人特征区分人的身份，这些个人特征对于每个人来说都是独特的，在一定时期内不容易改变。包括：指纹、笔迹、声音、眼睛虹膜、脸型、DNA等。（４）根据所信任的第三方提供的信息。身份认证的途径可以大致分为四类：52一般来说，一个身份认证系统应该满足如下要求：（１）验证者正确识别合法示证者的概率极大化。（２）不可传递性，验证者不可能重用示证者提供给他的信息来伪装示证者，以实现成功地骗取他人的验证，从而得到信任。(3)攻击者伪装示证者骗取验证者成功的概率要小到可以忽略的程度，特别是能够抵抗已知密文攻击，即能够抵抗攻击者在截获到示证者和验证者多次通信内容后，伪装示证者骗取验证者的信任。（4）计算有效性。即实现身份认证所需的计算量要尽可能小。（5）通信的有效性。即实现身份认证所需通信次数和数据量要尽可能小。一般来说，一个身份认证系统应该满足如下要求：533.5.1kerberosKerberos是一项鉴别服务。Kerberos要解决的问题是：假定在一个公开的分布式环境中，工作站上的用户希望访问分布在网络中服务器上的服务。而我们希望服务器能限制授权用户的访问，并能对服务请求进行鉴别。3.5.1kerberosKerberos是一项鉴别服务54Kerberos不是建立一个精细的鉴别协议，而是提供一个集中的鉴别服务器，功能是实现服务器与用户的相互鉴别。Kerberos认证技术经历了几个版本（目前为version5），无论从技术上还是实例上都比较成熟，为认证技术的研究和分析提供了良好的范例。而其中的两个版本很常用。第4版还在广泛使用。第5版弥补了第4版中的某些不足，并已作为Internet标准草案发布（RFC1510）。Kerberos不是建立一个精细的鉴别协议，而是提供一个集中55密码学与信息安全技术-第3章-信息认证与身份识别课件56一个简单的鉴别对话一个简单的鉴别对话57密码学与信息安全技术-第3章-信息认证与身份识别课件58密码学与信息安全技术-第3章-信息认证与身份识别课件59密码学与信息安全技术-第3章-信息认证与身份识别课件60密码学与信息安全技术-第3章-信息认证与身份识别课件61密码学与信息安全技术-第3章-信息认证与身份识别课件62虽然前面的方案与第一个相比增加了安全性，但仍然存在两个问题：1、票据许可票据的生存期问题。如果这个生存期太短，那么用户将总被要求输入口令。如果生存期太长，那么对手就有更多重放的机会。对手可以窃听网络，获得票据许可票据的复制，然后等待合法用户的退出登录。这样对手便可伪造合法用户的网络地址，并向TGS发送步骤（3）中的报文。这将使对手可以没有限制的访问合法用户相应的服务。同样，如果对手截获服务许可票据，并在过期前使用它，对手便可访问相应的服务。因此，我们得出一个安全需求，网络服务必须能够证明使用票据的人就是申请票据的人。虽然前面的方案与第一个相比增加了安全性，但仍然存在两个问题：632、我们提出另一个安全需求：服务器必须向用户证明他们自己的身份。没有这样的鉴别，对手可能会阴谋破坏系统配置，使发送服务器的报文被转送到另一个位置。假的服务器在那里充当真正的服务器，并接受来自用户的任何信息，拒绝向用户提供真正的服务。下面我们详细地介绍Kerberos-V4协议。下图描述了Kerberos-V4协议的实际过程。2、我们提出另一个安全需求：服务器必须向用户证明他们自己的身64密码学与信息安全技术-第3章-信息认证与身份识别课件65该协议中各个阶段的通信目的如下：（1）C向AS请求票据许可票据（2）AS返回C票据+会话密钥（3）C向TGS请求服务许可票据（4）TGS返回C票据+会话密钥（5）C向V请求服务（6）V向C提供服务器鉴别符该协议中各个阶段的通信目的如下：66密码学与信息安全技术-第3章-信息认证与身份识别课件67密码学与信息安全技术-第3章-信息认证与身份识别课件68密码学与信息安全技术-第3章-信息认证与身份识别课件69Kerberos提供了一种支持不同领域间鉴别的机制。对两个支持领域间鉴别的领域来说，还需要下面的一个需求：每个互操作领域中的Kerberos服务器要与另一个领域中的Kerberos服务器共享一个密钥。两个Kerberos服务器都必须相互注册。Kerberos提供了一种支持不同领域间鉴别的机制。对两个支70密码学与信息安全技术-第3章-信息认证与身份识别课件71密码学与信息安全技术-第3章-信息认证与身份识别课件723.5.2公钥基础设施(PKI)PKI是“PublicKeyInfrastructure”的缩写，意为“公钥基础设施”。简单地说，PKI技术就是利用公钥理论和技术建立的提供信息安全服务的基础设施。从广义上讲，所有提供公钥加密和数字签名服务的系统，都可叫做PKI系统。PKI的主要目的是通过自动管理密钥和证书，可以为用户建立起一个安全的网络运行环境，用户可以在多种应用环境下方便的使用加密和数字签名技术。PKI可以作为支持认证、完整性、机密性和不可否认性的技术基础，从技术上解决网上身份认证、信息完整性和抗抵赖等安全问题，为网络应用提供可靠的安全保障。3.5.2公钥基础设施(PKI)PKI是“PublicK73PKI是基于公钥算法和技术，为网上通信提供安全服务的基础设施。是创建、颁发、管理、注销公钥证书所涉及到的所有软件、硬件的集合体。其核心元素是数字证书，核心执行者是CA认证机构。PKI是基于公钥算法和技术，为网上通信提供安全服务的基础设施74PKI的组成完整的PKI包括认证政策的制定（包括遵循的技术标准、各CA之间的上下级或同级关系、安全策略、安全程度、服务对象、管理原则和框架等）、认证规则、运作制度的制定、所涉及的各方法律关系内容以及技术的实现。一个典型、完整、有效的PKI应用系统至少应具有以下部分：端实体、认证中心（CA）、注册中心(RA,registrationtuthority)、证书撤消列表（CRL,certificaterevocationlists）发布点、证书存取库。其之间的关系如下图所示。PKI的组成75密码学与信息安全技术-第3章-信息认证与身份识别课件76数字证书及身份认证数字证书如同我们日常生活中使用的身份证，它是持有者在网络上证明自己身份的凭证。在一个电子商务系统中，所有参与活动的实体都必须用证书来表明自己的身份。证书是一个经证书授权中心数字签名的包含公开密钥拥有者信息以及公开密钥的文件。证书一方面可以用来向系统中的其它实体证明自己的身份，另一方面由于每份证书都携带着证书持有者的公钥，所以证书也可以向接收者证实某人或某个机构对公开密钥的拥有，同时也起着公钥分发的作用。数字证书及身份认证77X.509是基于公钥密码体制和数字签名的服务。它可以提供公钥证书库类型的服务，每个证书包含该用户的公钥并由一个可信的认证结构用私钥签名。公钥证书的产生过程可以由下图所示。X.509是基于公钥密码体制和数字签名的服务。它可以提供公钥78密码学与信息安全技术-第3章-信息认证与身份识别课件79密码学与信息安全技术-第3章-信息认证与身份识别课件80在PKI体系中，CA是有层次结构的。n级PKI体系中，在信任体系的最高层是根认证中心(RootCA)，一般它只有一个，并且自己给自己签发证书。RootCA的下级是二级认证中心(SecondCA)，它可以有多个，其证书由根认证中心签发。二级认证中心的下级是三级认证中心(ThirdCA)，它负责为四级认证中心(FourthCA)，而它本身的证书则由二级认证中心签发。直到n级认证中心(nthCA)，它负责为最终用户签发证书，而它本身的证书则由n-1级认证中心签发。当然，各级CA中心可签发用户的证书。从证书的层次上看，由下到上构成了一条证书链。注意，这里的每一级CA，都存在与之对应的RA。在PKI体系中，CA是有层次结构的。n级PKI体系中，在信任81假设在一个2级PKI应用系统中，用户A的证书由二级认证中心C签发，而用户B的证书由二级认证中心D签发。如果用户A不信任通信对方用户B，它就需要校验用户B的数字证书。这时它就需要首先获取为用户B签发证书的二级认证中心D的证书，并利用其公开密钥校验用户B的证书上的数字签名。如果用户A对用户B的二级认证中心D的身份也不信任，它还要继续获取为二级认证中心D签发证书的根认证中心的证书，并利用其公开密钥校验二级认证中心D的证书的数字签名。根认证中心的证书是自签名的，可以自行验证。按照这样的一条证书链，可以实现用户A对用户B的认证。假设在一个2级PKI应用系统中，用户A的证书由二级认证中心823.5.3生物认证所谓生物认证技术就是通过计算机与光学、声学、生物传感器和生物统计学等高科技手段密切结合，利用人体固有的生理特性(如指纹、脸像、虹膜等)和行为特性(如笔迹、声音、步态等)来进行个人身份的鉴定。其核心在于如何获取这些生物特征，并将之转换为数字信息存储于计算机中，利用可靠的匹配算法来完成验证与识别个人身份的过程。3.5.3生物认证所谓生物认证技术就是通过计算机与光学、声83不管采取何种生物特征，生物认证系统从结构和处理流程上看，都是大体相似的。生物认证系统的结构和流程包括如下几个部分。数据获取：包括传感器/读入装置、编码装置。其作用是捕捉认证目标的生物特征数据，并把它转化成数码。传输渠道：这是指各个基本功能组件之间的通信路径。信号处理：这部分负责处理未加工过的生物特征原始数据并为模式匹配做准备。处理的步骤包括分割数据、隔离并提取有关特征、生成生物特征样本。分割是指将相关的生物特征数据从背景信息中分割出来。比如，分割一段语音样本，去掉讲话之前和之后的无意义的噪音信号。特征提取和分离以后，可以产生一个质量得分，用以反映特征提取的成功程度，也就是输入信号的质