第3章 信息认证技术(1)19266.pptx

第三章 信息认证技术n3.1 3.1 数字签名技术数字签名技术 n3.2 身份识别技术 n3.3 杂凑函数和消息完整性 n3.43.4认证模式与认证方式认证模式与认证方式 n3.5 3.5 认证的具体实现认证的具体实现 n3.6 3.6 认证码认证码 1认证的目的n认证的目的有两个方面：n一是验证信息的发送者是合法的，而不是冒充的，即实体认证，包括信源、信宿的认证和识别；n二是验证消息的完整性，验证数据在传输和存储过程中是否被篡改、重放或延迟等。23.1.1基本概念uHash函数函数也称为杂凑函数或散列函数，其输入为一可变长度x，返回一固定长度串，该串被称为输入x的Hash值（消息摘要），还有形象的说法是数字指纹。u因为Hash函数是多对一的函数，所以一定将某些不同的输入变化成相同的输出。这就要求给定一个Hash值，求其逆是比较难的，但给定的输入计算Hash值必须是很容易的，因此也称Hash函数为单向Hash函数。3基本概念（续）nHash函数一般满足以下几个基本需求：n（1）输入x可以为任意长度；n（2）输出数据长度固定；n（3）容易计算，给定任何x，容易计算出x的Hash值H(x)；n（4）单向函数：即给出一个Hash值，很难反向计算出原始输入；n（5）唯一性：即难以找到两个不同的输入会得到相同的Hash输出值（在计算上是不可行的）。4Hash函数的其他性质uHash值的长度由算法的类型决定，与输入的消息大小无关，一般为128或者160位。常用的单向Hash算法有MDS、SHA-l等。uHash函数的一个主要功能就是为了实现数据完整性的安全需要。uHash函数可以按照其是否有密钥控制分为两类：一类有密钥控制，以表示，为密码Hash函数；另一类无密钥控制，为一般Hash函数。u关于Hash函数的安全性设计的理论主要有两点：一个是函数的单向性，二是函数影射的随机性。5攻击Hash函数的典型方法u生日攻击的基本观点来自于生日问题：在一个教室里最少有多少学生时，可使得在这个教室里至少有两个学生的生日在同一天的概率不小于50%？这个问题的答案是23。这种攻击不涉及Hash算法的结构，可用于攻击任何Hash算法。目前为止，能抗击生日攻击的Hash值至少要达到128bit。u中途相遇攻击这是一种选择明文/密文的攻击，主要是针对迭代和级连的分组密码体制设计的Hash算法。63.1.2常见的单向杂凑函数nMD4算法nMD5算法nSHA算法7MD4算法nMR4是RonRivest设计的单向散列函数，nMD表示消息摘要（MessageDigest），对输入消息，算法产生128-位散列值。nRivest概括了该算法的设计目标：n1.安全性。找到两个具有相同散列值的消息在计算上不可行，不存在比穷举攻击更有效的攻击。8MD4算法n2.直接安全性。MD4的安全性不基于任何假设，如因子分解的难度。n3.速度。MD4适用于告诉软件实现，基于32位操作数的一些简单位操作。n4.简单性和紧凑性。MD4尽可能简单，没有大的数据结构和复杂的程序了。n5.有利的Little-Endian结构。MD4最适合微处理器结构，更大型速度更快的计算机要作必要的转化。92004年召开的国际密码学年会（Crypto2004）上，来自中国山东大学王小云教授的一篇关于破译MD5、HAVAL128、MD4以及RIPEMD128算法的报告引起了轰动，报告中提到的新破译方法几乎标志着世界通信密码标准MD5堡垒的轰然倒塌。一石激起千层浪，此前一直负责公开征集针对MD5的攻击而设立的权威站点http/wwwmd5crkcom/宣布由于MD5破译获得突破性进展，MD5破解项目（MD5CRKProject）即日停止，并开始提供该站点以往技术资料的下载，预计该站点也将在不久的将来完全关闭。面对MD5被破译，有人一声叹息，有人觉得不可思议，更有人忧虑甚至恐慌.那么究竟MD5有什么来头？它被破译是否意味着地球将不再旋转？谁将成为它的继承者？MD-5算法10天下没有不透风的墙，实际上任何一种算法都会有其漏洞，即使是目前大行其道的MD5和SHA-1，当对漏洞的研究发展到其能够被有效利用时，则标志着该算法灭亡的时候到了。所谓天下无不散之筵席，MD5逐渐退出历史舞台后，下一个接任者又会是谁呢？实际上，长期以来，密码界一直在致力于对新加密算法的研究，而且在高度机密的安全领域，所采用的加密算法也绝非MD5，各国政府、各大公司都在研究拥有独立技术的加密算法，其中比较出色的代表有SHA-1、SHA-224等。此次MD5破译报告发表后，美国国家技术与标准局（NIST）表示，鉴于MD5被破译以及SHA-1漏洞被发现，他们将逐渐放弃目前使用的SHA-1，于2010年前逐步推广更安全的SHA-224、SHA-256、SHA-384和SHA-512。这些算法与MD5的128位加密相比，加密位数和安全性能都提高了很多倍。尽管MD5被淘汰已经成为必然，不过鉴于它开源以及免费的特性，而且目前还没有真正有效的快速破解方法，因此它还将继续在历史舞台活跃一段时间。11MD-5算法（1/6）12MD-5算法（2/6）（1）对明文输入按512bit分组，n填充使其成为512bit的整数倍，且最后一组的后64bit用来表按时消息的长在mod下的值Kn填充位数为1512bit，填充数字图样为（1000），得Y0,Y1,YL-1。n其中，YL为512bit，按字记消息长为N=L*6。（2）每轮输出为128bitn可用下述四个32bit字：A，B，C，D表示n其初始存数以十六进制表示为：A=01234567，B=89ABCDEF，C=FEDCBA98，D=76543210。13MD-5算法（3/6）(3)HMD-5的运算n对512bit（16-字）组进行运算，Yq表示q输入的第组512bit数据，在各轮中参加运算。nT1,2,64为64个元素表，分四组参与不同轮的计算。nTi是232*abs(sin e(i)的整数部分，i是弧度。可用32bit二元数表示，T是32bit的随机数源。14MD-5算法（4/6）nMD-5是四轮运算，各轮逻辑函数不同。每轮又要进行16步迭代运算，四轮共需64步完成。15MD-5的基本运算图（5/6）16上图基本运算的简单解释（6/6）na,b,c,d即缓存中的四个字，按特定次序变化；ng是基本逻辑函数中F,G,H,L之一，算法中每一轮用其中之一；nCLSs=32-bit存数循环左移s位；nXk=Mq*16+k就是消息的第-512-bit组的第k个32-bit字；nTi是矩阵中第i个字；n+就是模加法。17SHA算法（1/5）nSHA算法是美国的NIST和NSA设计的一种标准哈希算法SHA(SecurityHashAlgorithm)，用于数字签名的标准算法DSS中。n该算法的输入消息长度小于264bit，最终的输出结果值为160bit。n与MD-4相比较而言，主要是增加了扩展变换，将前一轮的输出加到下一轮的，这样增加了雪崩效应。n由于其160bit的输出，对穷举攻击更有抵抗力。18分组算法构造杂凑函数（2/5）n其他优秀的杂凑算法nGOST杂凑算法，nSNEFRU算法等。n通过对标准分组算法通过级连、迭代也能构造出优秀的杂凑算法。193.1.3认证码n认证码（MAC，MessagesAuthenticationCodes），是与密钥相关的的单向散列函数，也称为消息鉴别码或是消息校验和。nMAC与单向散列函数一样，但是还包括一个密钥。不同的密钥会产生不同的散列函数，这样就能在验证发送者的消息没有经过篡改的同时，验证是由哪一个发送者发送的。20认证码认证码n1974年，Gilbert，MacWilliams，Sloane首次提出了认证码的概念，并用有限几何构造了认证码。80年代，Simmons等人系统地发展了认证码理论。n一个没有仲裁的认证码由三方组成：发送方、接受方和入侵者。n发送方和接受方互相信任，敌手想欺骗他们，敌手知道整个认证系统，但不知道发方和收方所采用的秘密的编码规则。21认证码的验证过程22认证码的验证过程nM是信息发送方要发送的消息，假设K是发送方和接受方共有的密钥，其认证码标记为MACCK(M)，表示信息M在密钥K作用下的Hash函数值，这个函数值是一个固定长度的认证符。n发送方将要发送的消息M和验证码CK(M)一起发送给接受方，收方通过重新计算认证码CK(M)来实现对信息M和发送者的识别。23认证码的算法实现n二次同余操作探测码（QCMDC）的算法实现：QCMDC认证码是一个很好的认证实现，不过目前该算法已经被攻破。24IBC-hash的算法实现 由于上述算法中的每条消息都要用不同的密钥做散列计算，因此，算法的安全性受到密钥对长度的制约。IBC-hash算法在实现上仅用于发送长而不经常用的消息。25信息鉴别算法描述信息鉴别算法是一个ISO标准。263.2 3.2 数字签名技术数字签名技术n数字签名在信息安全，包括身份认证、数据完整性、不可否认性以及匿名性等方面有重要应用，特别是在大型网络安全通信中的密钥分配、认证及电子商务系统中具有重要作用。数字签名是实现认证的重要工具。27什么是数字签名（1/2）1.1.通过单向哈希函数实现的数字签名通过单向哈希函数实现的数字签名n通过一个单向函数对要传送的报文进行处理得到的用以认证报文来源并核实报文是否发生变化的一个字母数字串,该字母数字串被成为该消息的消息鉴别码或消息摘要。28什么是数字签名(2/2)2.2.公钥签名技术公钥签名技术n公钥体制签名的时候用户用自己的私钥对原始数据的哈希摘要进行加密得到数据，然后信息接收者使用信息发送者的公钥对附在原始信息后的数字签名进行解密后获得哈希摘要，并通过与用自己收到的原始数据产生的哈希摘要对照，便可确信原始信息是否被篡改，这样就保证了数据传输的不可否认性。29数字签名的特性（）签签名名是是可可信信的的：任何人都可以方便地验证签名的有效性。签名是不可伪造的签名是不可伪造的：除了合法的签名者之外，任何其他人伪造其签名是困难的。这种困难性指实现时计算上是不可行的。签名是不可复制的签名是不可复制的：对一个消息的签名不能通过复制变为另一个消息的签名。如果一个消息的签名是从别处复制的，则任何人都可以发现消息与签名之间的不一致性，从而可以拒绝签名的消息。30数字签名的特性（2/2）n签签名名的的消消息息是是不不可可改改变变的的：经签名的消息不能被篡改。一旦签名的消息被篡改，则任何人都可以发现消息与签名之间的不一致性。签名是不可抵赖的签名是不可抵赖的：签名者不能否认自己的签名。31数字签名技术的功能n数字签名可以解决否认、伪造、篡改及冒充等问题，具体要求为：n发送者事后不能否认发送的报文签名n接收者能够核实发送者发送的报文签名、接收者不能伪造发送者的报文签名、接收者不能对发送者的报文进行部分篡改n网络中的某一用户不能冒充另一用户作为发送者或接收者。32数字签名分类数字签名分类n以方式分以方式分 direct digital signature直接数字签名直接数字签名 arbitrated digital signature仲裁数字签名仲裁数字签名n以安全性分以安全性分 无条件安全的数字签名无条件安全的数字签名 计算上安全的数字签名计算上安全的数字签名n以可签名次数分以可签名次数分 一次性的数字签名一次性的数字签名 多次性的数字签名多次性的数字签名33数字签名原理消息Hash函数消息摘要发方A相等？收方B加密算法私钥A签名消息加密的消息摘要签名消息Hash函数消息摘要解密算法公钥A签名有效y签名无效n34数字签名的实现方法n用对称加密算法进行数字签名n用非对称加密算法进行数字签名35用对称加密算法进行数字签名（1/2）nHash函数函数n所谓Hash函数，即对于任意长度的信息m,经过哈希函数运算后，压缩成固定长度的数，比如64比特，要求满足：n(1)已知哈希函数的输出，要求它的输入是困难的，即已知c=Hash(m),求m是困难的。n(2)已知m,计算Hash(m)是容易的。n(3)已知C1=Hash(m1),构造m2使Hash（m2)=C1是困难的。n(4)c=Hash(m),c的每一比特都与m的每一比特相关，并有高敏感性。即每改变m的一比特，都将对c产生明显影响。n(5)作为一种数字签名，还要求哈希函数除了信息m自身之外，应该基于发信方的秘密信息对信息m进行确认。36用对称加密算法进行数字签名（Hash签名）（2/2）n该签名不属于强计算密集型算法，应用较广泛n使用这种较快Hash算法,可以降低服务器资源的消耗,减轻中央服务器的负荷nHash的主要局限是接收方必须持有用户密钥的副本以检验签名,因为双方都知道生成签名的密钥，较容易攻破，存在伪造签名的可能37MilliCent MilliCent 是是 DEC 公司（公司（现为康柏公司收康柏公司收购）开）开发的一个的一个电子子现金系金系统。它不。它不发行行标准的通用准的通用电子子现金，而是由采用它的商家自己金，而是由采用它的商家自己生成生成电子子现金，并以折扣价出售金，并以折扣价出售给经纪人。人。顾客可从客可从经纪人人处登登记并并购买大量大量电子子辅币，经纪人可用多种方式与人可用多种方式与顾客客结算，其中最常算，其中最常用的是信用卡。用的是信用卡。顾客在商家网站上找到自己想客在商家网站上找到自己想购买的商品后，首先的商品后，首先将自己从将自己从经纪人人处购买的的电子子辅币转换为商家商家发行的行的专用用电子子现金，金，并存在自己并存在自己计算机上的算机上的电子子钱包里。当采包里。当采购商品商品进行支付行支付时，将，将电子子钱包里的商家包里的商家专用用电子子现金金传输给商家；商家再把自己的商家；商家再把自己的专用用电子子现金金卖给经纪人，从人，从经纪人人处得到支票。得到支票。这种方式中种方式中经纪人的介人的介入，使得整个交易系入，使得整个交易系统更容易使用，消更容易使用，消费者只需要与一个者只需要与一个经纪人打人打交道，而不需要向每个商家交道，而不需要向每个商家购买专用用电子子现金。金。日本最大日本最大长途途电话公司公司 Kokusai Denshin Denwa 的因特网子公司的因特网子公司 KCOM 就是利用就是利用 MilliCent 软件构建自己的件构建自己的 NetCoin 电子子现金系金系统，并通并通过其其 NetCoin Center 来提供来提供电子子现金。金。38n nCyberCashCyberCash电子现金电子现金电子现金电子现金 美美美美国国国国的的的的CyberCashCyberCashInc.Inc.是是是是19941994年年年年8 8月月月月成成成成立立立立的的的的，为为为为网网网网上上上上金金金金融融融融交交交交易易易易提提提提供供供供了了了了一一一一套套套套软软软软件件件件和和和和服服服服务务务务解解解解决决决决方方方方案案案案。19951995年年年年4 4月月月月推推推推出出出出了了了了CyberCashCyberCash支支支支付付付付系系系系统统统统，并并并并且且且且19961996年年年年中中中中期期期期，超超超超过过过过5050万份电子钱包软件在流通中。不仅如此，万份电子钱包软件在流通中。不仅如此，万份电子钱包软件在流通中。不仅如此，万份电子钱包软件在流通中。不仅如此，CyberCashCyberCashCyberCashCyberCash系系系系统统统统与与与与信信信信用用用用卡卡卡卡交交交交易易易易模模模模式式式式相相相相似似似似，只只只只不不不不过过过过在在在在中中中中间增加了一个网络验证机制。其交易模式如图所示。间增加了一个网络验证机制。其交易模式如图所示。间增加了一个网络验证机制。其交易模式如图所示。间增加了一个网络验证机制。其交易模式如图所示。3940用非对称加密算法进行数字签名和验证1 发送方首先用公开的单向函数对报文进行一次变换，得到数字签名，然后利用私有密钥对数字签名进行加密后附在报文之后一同发出。2 接收方用发送方的公开密钥对数字签名进行解密变换，得到一个数字签名的明文。发送方的公钥是由一个可信赖的技术管理机构即验证机构（CA:Certification Authority）发布的。3 接收方将得到的明文通过单向函数进行计算，同样得到一个数字签名，再将两个数字签名进行对比，如果相同，则证明签名有效，否则无效。413.1.2常用的数字签名体制介绍n用非对称加密算法实现的数字签名技术最常用的是DSS和RSA签名,下面分别做简单介绍：n1.RSA签名n2.DSS签名42RSA签名nRSA是最流行的一种加密标准，许多产品的内核中都有RSA的软件和类库。下面详细介绍该签名体制的内容：（1）参数 令 ，和 是大素数，令 选并计算出 使 ，公开 和 ，将 ,和 保密。43（2）签字过程 对消息，定义 为对 签字（3）验证过程 对给定的 可按下式验证：44RSA签名举例（1）若）若Bob选择了选择了p=11和和q13（2）那么，）那么，n=11 13=143,(n)=1012120（3）再选取一个与再选取一个与z=120互质的数互质的数,例如例如e=7（4）找到）找到一个值一个值d=103d=103满足满足ed=1 mod zed=1 mod z（7103=7217103=721除以除以120120余余1 1）（5 5）（）（143,7143,7）为公钥，（）为公钥，（11,1311,13，103103）为私钥。）为私钥。（6）Bob在一个目录中公开公钥：在一个目录中公开公钥：n=143和和e=7（7）现假设）现假设Bob想发送消息想发送消息85给给Alice，他用自己的密钥，他用自己的密钥（d=103）进行签名：）进行签名：85103(mod 143)=6，于是发送消息，于是发送消息85和签名和签名6给给Alice（8）当）当Alice接收到消息接收到消息85和签名和签名6时，用时，用Bob公开的公钥（公开的公钥（e7）进行验证：）进行验证：67（mod 143)=85，跟，跟Bob发送的消息一致，于是发送的消息一致，于是确定该消息是由确定该消息是由Bob所发送，且没有被修改。所发送，且没有被修改。45相同点相同点RSA签名和RSA加密的异同点都使用一对密钥：公钥和私钥都使用一对密钥：公钥和私钥不同点不同点RSA加密加密：用公钥加密，用私钥解密：用公钥加密，用私钥解密RSA签名：用私钥签名，用公钥验证签名：用私钥签名，用公钥验证46（4）安全性分析 显然，由于只有签名者知道d，由RSA体制知道，其他人不能伪造签名，但可易于证实所给任意对，其是否为消息和相应签名构成的合法对。RSA签名过程下图3.1。47DSS签名nDigitalSignatureAlgorithm(DSA)是Schnorr和ElGamal签名算法的变种，被美国NIST作为DSS(DigitalSignatureStandard)数字签名标准。nDSS是由美国国家标准化研究院和国家安全局共同开发的。由于它是由美国政府颁布实施的，主要用于与美国政府做生意的公司，其他公司则较少使用，它只是一个签名系统，而且美国政府不提倡使用任何削弱政府窃听能力的加密软件，认为这才符合美国的国家利益。48算法中应用的参数np:Lbits长的素数。L是64的倍数，范围是从512到1024；nq:p-1的素因子，且即q为160bits长p-1的素因子；ng：,h 满足1h p-1,并且49nx:用户秘密钥，x为0 xq的随机或拟随机正整数；ny:为用户公钥；nk:随机数，且 nH(x):单向Hash函数。DSS中选用SHA(Secure Hash Algorithm)。p,q,g可由一组用户共享，但在实际应用中，使用公共模数可能会带来一定的威胁。50签名过程n对消息,产生随机数k,0kq，计算n签名结果是（M,r,s）51验证过程n计算n若v=r，则认为签名有效。52 其中用到的单项函数H(x)可选择标准算法SHA或MD-5等安全散列算法。DSS签名过程如下图3.253DSS安全性分析（1/2）nDSS算法也是一个“非确定性的”数字签名算法，对于一个报文M，它的签名依赖于随机数r,这样相同的报文就可能会具有不同的签名。n另外，值得注意的是：当模数p选用512比特的素数时，ElGamal签名的长度为1024比特，而DSS算法通过160比特的素数q可将签名的长度降为320比特，这样就大大减少了存储空间和传输带宽。54DSS安全性分析（2/2）nDSA的安全性依赖于计算模数的离散对数的难度，鉴于有限域上计算离散对数问题的进展，一般认为512比特的DSS算法无法提供长期的安全性，而1024 比特的安全性则值得依赖。n另外，关于DSA算法，还有其他一些技术上的批评意见nDSA不能用于加密或密钥分配（但这一点似乎不能成为反对DSA的意见，毕竟DSA是一个数字签名标准而不是公开密钥加密标准）。n在使用相同的模数时，DSA比RSA更慢（两者产生签名的速度相同，但验证签名时DSA比RSA慢10到40倍）。553.1.3盲签名和群签名这一部分介绍两种特殊的签名方法:一、盲签名 二、群签名561.盲签名n一般的数字签名中，总是要先知道了文件内容后才签署，但有时需要对一个文件签字，而且不想让签名者知道文件的内容，称这样的签名为盲签名（BlindSignature）。n利用盲变换可以实现盲签名57盲签名过程图示58盲签名（1）完全盲签名n现在假设B担任仲裁人的角色，A要求B签署一个文件，但并不想让他知道文件的内容，而且B也没必要知道文件的内容，他只需要确保在需要时能进行公正的仲裁。59完全盲签名的具体过程 1)盲变换 A对要进行签名的文件和一个随机数相乘，该随机数称为盲因子。这实际完成了原文件的隐藏。隐藏完的文件被称为盲文件。2)A将该盲文件送给B.3)签名.B对该盲文件签名。4)解盲变换A对签过字的盲文件除以用到的盲因子，就得到B对原文件的签名.60算法说明n只有当签名算法和乘法是可交换的，则上述的协议就可以真正实现，否则就要考虑用其他方法对原文件进行盲变换。n为保证B不能进行欺诈活动，要求盲因子是真正的随机因子，这样B不能对任何人证明对原文件的签名，而只是知道对其签过名，并能验证该签名。这就是一个完全盲签名的过程。61完全盲签名的特点n首先B对文件的签名是合法的，和传统的签名具有相同的属性。nB不能将所签文件与实际文件联系起来，即使他保存所有曾签过的文件，也不能获得所签文件的真实内容。62盲签名（2）盲签名n完全盲签名可以使A令B签任何内容的文件，这对B显然是很危险的.n为了避免恶意的使用，采用“分割选择”技术nB能知道所签为何物，但他因为协议规定的限制条件，无法进行对他有利的欺诈，或者说进行欺诈所需代价超过其获利。63盲签名示例一 n要确定对于进出关口的人是不是毒贩，海关不可能对每个人进行检查。一般用概率方法，例如对入关者抽取1/10进行检查。那么毒贩在大多情况下可逃脱，但有1/10的机会被抓获。而为了有效惩治犯罪，一旦抓获，其罚金将大于其它9次的的获利。所以通过适当地调节检查概率，就可以有效控制贩毒活动。64盲签名示例二（1/4）n反间谍组织的成员身份必须保密，甚至连反间谍机构也不知道他是谁。机构的头要给每个成员一个签名文件，文件上可能会注明：持此签署文件的人将享有充分的外交豁免权，并在其中写入该成员的化名。每个成员有自己的不止一个的化名名单，使反间谍机构不能仅仅提供出签名文件。还要能验证提供签署文件的人是不是真正的合法组织成员。65盲签名示例二（2/4）n特工们不想把他们的化名名单送给所属机构，因为敌方可能已经破坏了该机构的计算机。另一方面，反间谍机构也不会对盲目地对特工送来的文件都进行签名。一个聪明的特工可能会送来这样的文件：“该成员已退休，每年发给100万退休金。签名：总统先生”。那不是就出麻烦了吗。66盲签名示例二（3/4）n现在假定每个成员可有10个化名，他们可以自行选用，别人是不知道的。假定成员并不关心在那个化名下得到了豁免权，并假定机构的计算机为C，看下面的协议能有什么效果：n1）每个成员准备10份文件，各用不同的化名，以得到豁免权；n2）成员以不同的盲因子盲化每个文件；n3）成员将10个文件送给计算机C;n4）C随机选9个并询问成员每个文件的盲因子；67盲签名示例二（4/4）n5)成员将适当的盲因子送给C;n6)C从9个文件中移区盲因子，确信其正确性；n7)C将所签署的10个文件送给成员；n8)成员移去盲因子，并读出他的新的化名Bob。这可能不是他用以欺诈的那个化名。只有1/10的概率恰好是。68盲签名示例说明n通常人们把盲变换看作是信封，盲化文件就是对文件加个信封。而去掉盲因子的过程就是打开信封。n文件在信封中时无人能读它，而在盲文件上签名相当于在复写纸信封上签名，从而得到了对真文件（信封内）的签名。69盲签名（3）盲签名算法 nD.Chaum于1985年提出一个盲签名算法，采用的是RSA算法，令B的公钥为e，私钥为d，模为n。1)A要对消息m进行盲签名，选1km，作 2)B对t签名 3)A计算 的得 n这是B对m按RSA体制签名。702.群签名n群体密码学n群体密码学是研究面向一个团体的所有成员需要的密码体制。n在群体密码中，有一个公用的公钥，群体外面的人可以用它向群体发送加密消息，密文收到后要由群体内部成员的子集共同进行解密。71群签名特点：n群签名（GroupSignature）是面向群体密码学中的一个课题分支，于1991年由Chaum和VanHeyst提出。群签名有以下几个特点：1）只有群体中的成员能代表群体签名；2）接收到签名的人可以用公钥验证群签名，但不可能知道由群体中哪个成员所签；3）发生争议时可由群体中的成员或可信赖机构识别群签名的签名者.n这类签名可用于投标商务活动中。723.2身份识别技术n基本概念n几种常见的身份识别系统n通行字(口令)认证系统n个人特征的身份证明n基于零知识证明的识别技术n智能卡在个人身份证明中的作用733.2.1基本概念n身份识别n定义 指定用户向系统出示自己身份的证明过程，通常是获得系统服务所必需的第一道关卡。n身份识别技术能使识别者识别到自己的真正身份，确保识别者的合法权益。n是社会责任制的体现和社会管理的需要。74常用身份识别技术n一类是基于密码技术的各种电子ID身份识别技术；n基于这种技术的数字证书和密码都存在被人盗窃、拷贝、监听获取的可能性n解决办法：数字证书的载体可以采用特殊的、不易获取或复制的物理载体，如指纹、虹膜等。n另一类是基于生物特征识别的识别技术。75电子ID身份识别技术的常用方式n一种是使用通行字的方式 通行字是使时最广泛的一种身份识别方式，比如中国古代调兵用的虎符和现代通信网的拔入协议等。n另一种是使用持证的方式 持证（token）是一种个人持有物，它的作用类似于钥匙，用于启动电子设备。76通行字技术n通行字一般由数字、字母、特殊字符、控制字符等组成的长为5-8的字符串。n选择规则为:易记，难于被别人猜中或发现，抗分析能力强，还需要考虑它的选择方法、使用期、长度、分配、存储和管理等。77通行字技术识别办法n识别者A先输入他的通行字，然后计算机确认它的正确性。A和计算机都知道这个秘密通行字，A每次登录时，计算机都要求A输入通行字。n要求计算机存储通行字，一旦通行字文件暴露，就可获得通行字。为了克服这种缺陷，人们建议采用单向函数。此时，计算机存储通行字的单项函数值而不是存储通行字。78通行字技术认证过程1.A将他的通行字传送给计算机2.计算机完成通行字的单向函数值的计算3.计算机把单向函数值和机器存储的值比较79持证（token）n一种嵌有磁条的塑料卡，磁条上记录有用于机器识别的个人信息。n这类卡通常和个人识别号(PIN)一起使用n这类卡易于制造，而且磁条上记录的数据也易于转录，因此要设法防止仿制。n为了提高磁卡的安全性，人们建议使用一种被称作“智能卡”的磁卡来代替普通的磁卡，智能卡与普通的磁卡的主要区别在于智能卡带有智能化的微处理器和存储器。80安全的身份识别协议要求n一个安全的身份识别协议至少应满足以下两个条件：1.识别者A能向验证者B证明他的确是A。2.在识别者A向验证者B证明他的身份后，验证者B没有获得任何有用的信息，B不能模仿A向第三方证明他是A。81识别协议n询问-应答n验证者提出问题（通常是随机选择一些随机数，称作口令），由识别者回答，然后验证者验证其真实性。另一类比较重要的识别协议是零知识身份识别协议。n零知识n称为证明者的一方试图使被称为验证者的另一方相信某个论断是正确的，却又不向验证者提供任何有用的信息。823.2.2几种常见的身份识别系统n1.通行字（口令）认证系统n2.个人特征的身份证明n3.基于零知识证明的识别技术n4.智能卡在个人身份证明中的作用831通行字认证系统：（1）基本概念n通行字（口令）是一种根据已知事物验证身份的方法，也是一种最为广泛研究和使用的身份识别方法。n在实际的安全系统中，还要考虑和规定口令的选择方法、使用期限、字符长度、分配和管理以及在计算机系统中的安全保护等。不同安全水平的计算机系统要求也不相同。84示例n在一般非保密的联机系统中，多个用户可共用一个口令，这样的安全性很低了。n可以给每个用户分配不同的口令，以加强这种系统的安全性。但这样的简单口令系统的安全性始终是不高的。n在安全性要求比较高的系统中，可以要求口令岁时间的变化而变化，这样每次接入系统时都是一个新的口令，即实现动态口令。这样可以有效防止重传攻击。n还有通常的口令保存都采取密文的形式，即口令的传输和存储都要加密，以保证其安全性85通常口令的选择原则1、易记2、难以被别人发现和猜中3、抗分析能力强86通常口令的选择原则n为防止口令被猜中以通行短语（Passphrase）代替口令，通过密钥碾压（KeyCrunching）技术，如杂凑函数（后面将详细介绍），可将易于记忆足够长的口令变换为较短的随机性密钥。n口令分发的安全也是口令系统安全的重要环节，通常采用邮寄方式，安全性要求较高时须派可靠的信使传递。为了安全常常限定输入口令的次数以防止猜测的攻击等。87（2）口令的控制措施1/3n（1）系统消息。一般系统在联机和脱机时都显示一些礼貌性用语，而成为识别该系统的线索，因此这些系统应当可以控制这类消息的显示。而口令是一定不能被显示出来的。n（2）限制试探次数。不成功口令的发送一般限制3至6次，超过限定次数，系统将对该用户的身份ID进行锁定，直到重新授权才再开启。n（3）口令的使用设定有效期。一旦某个口令的使用超过有效期将作废，重新设定新口令。88（2）口令的控制措施(2/3)n（4）双口令系统。允许联机是一个口令，允许接触敏感信息还需要另外一个口令。n（5）规定最小长度。限制口令至少为6到8个字节以上，为防止猜测成功概率过高，还可采用掺杂或采用通行短语等加长和随机化。n（6）封锁用户系统。可以对长期未联机用户或口令超过使用期限的用户ID封锁。直到用户重新被授权。89（2）口令的控制措施3/3n（7）根口令的保护。根（root）口令一般是系统管理员访问系统所用口令，由于系统管理员被授予的权力远大于一般用户，因此它自然成为攻击的目标。从而在选择和使用中要倍加保护。要求必须采用16进制字符串、不能通过网络传送、要经常更换等。n（8）系统生成口令。有些系统不允许用户自己选定口令，而由系统生成、分配口令。系统如何生成易于记忆又难以猜中的口令是要解决的一个关键问题。如果口令难以记忆，则用户要写下来，则增加了暴露的危险；另一危险是若口令生成算法被窃，则危及整个系统的安全。90（3）口令的检验-反应法n利用一个程序，让被检测口令与一批易于猜中的口令表中成员逐个进行比较，若不相符则通过。n其中ComNet的反应口令检验程序大约可以裁处近1/2的口令。nRaleigh（罗利）等的Crack，利用网络服务器分析口令。nOPUS是美国Purdue(普渡)大学研制的口令分析选择软件91反应法缺陷 n检验一个口令很费时。n现用的口令有有一定的可猜性，但直到采用反应检验后用户才能更换口令。92（3）口令的检验-支持法 n用户先自行选一个口令，当用户第一次使用时，系统利用一个程序检验其安全性，如果它是易于猜中的，则拒绝并请用户重新选一个新的。n程序通过准则要考虑可猜中性与安全性之间的折衷，算法若太严格，则造成用户所选用口令屡早遭拒绝而招致用户抱怨。另一方面如果很易猜中的口令也能通过，则影响系统的安全性。93（4）口令的安全存储n对于用户的口令多以加密的形式存储，入侵者要得到口令，必须知道加密算法和密钥。算法可能是公开的，但密钥应当只有管理者才能知道。n许多系统可以存储口令的单向杂凑值，入侵者即使得到此杂凑值也难以获得真正的口令。n利用智能卡来保存口令。这种口令本质上是一个随机数生成器，可以用安全服务器以软件方法生成。942.个人特征的身份证明n生物统计学正在成为自动化世界所需要的自动化个人身份认证技术中最简单而安全的方法。n它是利用个人的生理特征来实现。n因人而已、随身携带，不会丢失且难以伪造，极适用于个人身份认证。95身份识别技术主要的几种情况n（1）手写签名识别技术n（2）指纹识别技术n（3）语音识别技术n（4）视网膜图样识别技术n（5）虹膜图样识别技术n（6）脸型识别96（1）手写签名识别技术(1/3)传统的协议和契约等都以手写签名生效。发生争执时则由法庭判决，一般都要经过专家鉴定。由于签名动作和字迹具有强烈的个性而可作为身份验证的可靠依据。97（1）手写签名识别技术(2/3)n机器自动识别手写签名成为模式识别中的重要研究之一。n进行机器识别要做到：n一签名的机器含义，n二手写的字迹风格（对于身份验证尤为重要）n可能的伪造签名有两种情况：n一是不知道真迹，按得到的信息随手签名；n二是已知真迹时模仿签名或影描签名。98（1）手写签名识别技术(3/3)n 自动的签名系统作为接入控制设备的组成部分时，应先让用户书写几个签名进行分析，提取适当参数存档备用。99（2）指纹识别技术n指纹作为身份验证的准确而可靠的手段n指纹相同的概率不到n形状不随时间变化n提取方便n将指纹作为接入控制的手段大大提高了其安全性和可靠性。n缺憾n通常和犯罪联系在一起，人们一般都不愿接受这种方式n机器识别指纹成本很高。100指纹是一种十分精细的拓扑图形。如图所示，一枚指纹不足方寸，上面密布着100120个特征细节，这么多的特征参数组合的数量达到640亿种（高尔顿说），也有一说是一兆的7次幂。并且由于它从胎儿4个月时生成后保持终生不变，因此，用它作为人的唯一标识，是非常可靠的。指纹识别主要涉及4个过程：读取指纹图像、提取指纹特征、保存数据和比对。目前已经开发出计算机指纹识别系统，可以比较精确地进行指纹的自动识别了。101（3）语音识别技术n每个人说话的声音都有自己的特点，人对语音的识别能力是特别强的。n在商业和军事等安全性要求较高的系统中，常常靠人的语音来实现个人身份的验证。n机器识别语音的系统可提高系统安全，并在个人的身份验证方面有广泛的应用。n现在美国、德国等已经开发出了基于语音的识别系统，在用于防止黑客进入语音函件和电话服务系统。102（4）视网膜图样识别技术n人的视网膜血管的图样具有良好的个人特征。n基本方法n用光学和电子仪器将视网膜血管图样纪录下来，一个视网膜血管的图样可压缩为小于35字节的数字信息。n可根据对图样的节点和分支的检测结果进行分类识别。n要求被识别人要合作允许进行视网膜特征的采样。n验证效果相当好，但成本较高，只是在军事或者银行系统中被采用。103（5）虹膜图样识别技术n虹膜是巩膜的延长部分，是眼球角膜和晶体之间的环形薄膜，其图样具有个人特征，可以提供比指纹更为细致的信息。n可以在35到40厘米的距离采样，比采集视网膜图样要方便，易为人所接受。n存储一个虹膜图样需要256个字节，所需的计算时间为100毫秒。n开发出基于虹膜的识别系统可用于安全入口、接入控制、信用卡、POS、A