第四章 数字签名与认证技术优秀PPT.ppt

《第四章 数字签名与认证技术优秀PPT.ppt》由会员分享，可在线阅读，更多相关《第四章 数字签名与认证技术优秀PPT.ppt（64页珍藏版）》请在淘文阁 - 分享文档赚钱的网站上搜索。

1、第四章 数字签名与认证技术第一页，本课件共有64页*第四章第四章 数字签名与认证技术数字签名与认证技术 在网络环境下，数字签名与认证技术是信在网络环境下，数字签名与认证技术是信息完整性和不可否认性的重要保障，是公钥密息完整性和不可否认性的重要保障，是公钥密码体制的重要应用。信息的发送方可以对电子码体制的重要应用。信息的发送方可以对电子文档生成数字签名，信息的接收方则在收到文文档生成数字签名，信息的接收方则在收到文档及其数字签名后，可以验证数字签名的真实档及其数字签名后，可以验证数字签名的真实性。身份认证则是基于数字签名技术为网络世性。身份认证则是基于数字签名技术为网络世界中实体的身份提供可验证

2、性。界中实体的身份提供可验证性。第二页，本课件共有64页*本章内容提要本章内容提要:l数字签名的概念与原理数字签名的概念与原理l消息认证与哈希函数消息认证与哈希函数 l数字签名体制数字签名体制 l身份认证技术身份认证技术l认证技术应用案例认证技术应用案例 l认证技术的发展趋势认证技术的发展趋势 第四章第四章 数字签名与认证技术数字签名与认证技术第三页，本课件共有64页*4.1 4.1 数字签名的概念与原理数字签名的概念与原理 数字签名是密码学和信息安全中最重要和最数字签名是密码学和信息安全中最重要和最有用的概念之一。它的诞生使得在网络环境下，有用的概念之一。它的诞生使得在网络环境下，任一实体（

3、组织或者个人）对在网络上传输的电任一实体（组织或者个人）对在网络上传输的电子文件进行签名成为可能。任何得到该签名的实子文件进行签名成为可能。任何得到该签名的实体可以对签名的有效性进行验证。体可以对签名的有效性进行验证。第四页，本课件共有64页*l l 数字签名的概念数字签名的概念数字签名的概念数字签名的概念 l l 数字签名的原理数字签名的原理数字签名的原理数字签名的原理 4.1 4.1 数字签名的概念与原理数字签名的概念与原理第五页，本课件共有64页*l l 数字签名的概念数字签名的概念数字签名的概念数字签名的概念 概念概念 数字签名是以密码学的方法对数据文件作用数字签名是以密码学的方法对数

4、据文件作用产生的一组代表签名者身份与数据完整性的产生的一组代表签名者身份与数据完整性的数据信息，通常附加在数据文件的后面。数数据信息，通常附加在数据文件的后面。数据文件的接收者可以利用签名者的公钥作用据文件的接收者可以利用签名者的公钥作用于数字签名上，以验证数据文件的真实性、于数字签名上，以验证数据文件的真实性、完整性。完整性。第六页，本课件共有64页*l l 数字签名的概念数字签名的概念数字签名的概念数字签名的概念 l l 数字签名的原理数字签名的原理数字签名的原理数字签名的原理 4.1 4.1 数字签名的概念与原理数字签名的概念与原理第七页，本课件共有64页*l l 数字签名的原理数字签名

5、的原理数字签名的原理数字签名的原理 原理原理 数字签名就是用私有密钥进行加密，而认证就数字签名就是用私有密钥进行加密，而认证就是利用公开密钥进行正确的解密。是利用公开密钥进行正确的解密。数字签名的原数字签名的原理理如图所示如图所示 第八页，本课件共有64页*l l 数字签名的原理数字签名的原理数字签名的原理数字签名的原理 一个基于公钥密码学的数字签名方案被定义为一一个基于公钥密码学的数字签名方案被定义为一个个算法三元组算法三元组(GenGen,SigSig,VerVer)，方案中共有两方参与：，方案中共有两方参与：签名者签名者SignerSigner与与验证者验证者VerifierVerifi

6、er。l 密钥生成算法密钥生成算法GenGen l 签名生成算法签名生成算法SigSigl 签名验证算法签名验证算法VerVer 它是一个概率多项式时间算法，由系统它是一个概率多项式时间算法，由系统或者签名者执行，该算法以系统安全参或者签名者执行，该算法以系统安全参数数1 1k k为输入，输出密钥对（为输入，输出密钥对（PkPk,SkSk），），其中其中PkPk称为签名者公开密钥，称为签名者公开密钥，SkSk为签为签名者秘密钥；即名者秘密钥；即GenGen(1(1k k)()(PkPk,Sk Sk)。它是一个概率多项式时间算法，由签它是一个概率多项式时间算法，由签名者执行，该算法以签名秘密密钥

7、名者执行，该算法以签名秘密密钥SkSk，待签名消息待签名消息m m0,10,1k k为输入，输出一个为输入，输出一个串串s s。此时称。此时称s s为签名者以签名秘密密钥为签名者以签名秘密密钥SkSk对消息对消息m m所做的签名，即所做的签名，即SigSig(SkSk,m m)s s。它是一个确定性算法，由验证者执它是一个确定性算法，由验证者执行，该算法以签名公开密钥行，该算法以签名公开密钥PkPk，签名消，签名消息对息对(m m,s s)为输入，输出为输入，输出0 0或或1 1，即，即VerVer(PkPk,m m,s s)0,1)0,1，如果，如果s sSigSig(m m)，则输出则输出

8、1 1说明签名有效；反之输出说明签名有效；反之输出0 0，则说明，则说明签名无效签名无效 第九页，本课件共有64页*l l 哈希函数的性质哈希函数的性质哈希函数的性质哈希函数的性质 l l 哈希函数的结构哈希函数的结构哈希函数的结构哈希函数的结构 4.2 4.2 消息认证与哈希函数消息认证与哈希函数l l 安全哈希函数（安全哈希函数（安全哈希函数（安全哈希函数（SHASHASHASHA）l l 消息认证消息认证消息认证消息认证第十页，本课件共有64页*l l 哈希函数的性质哈希函数的性质哈希函数的性质哈希函数的性质 哈希（哈希（HashHash）函数是一个输入为任意长的二元串，）函数是一个输入

9、为任意长的二元串，输出为固定长度的二元串的函数。一般用输出为固定长度的二元串的函数。一般用H H()()表示表示哈希函数，若输出是长度为哈希函数，若输出是长度为l l的二元串，哈希函数表的二元串，哈希函数表示为：示为：H H():0,1*0,1():0,1*0,1l l定义定义第十一页，本课件共有64页*l l 哈希函数的性质哈希函数的性质哈希函数的性质哈希函数的性质哈希函数哈希函数H H():0,1*0,1():0,1*0,1l l称为具有单向性，是指称为具有单向性，是指1 1）任意给定任意给定M M0,1*0,1*，可以很容易（多项，可以很容易（多项式时间内）地计算出消息摘要式时间内）地计

10、算出消息摘要H H(M M)0,1)0,1l l。2 2）任意给定任意给定H H(M M)0,1)0,1l l，求出，求出M M0,1*0,1*，在计算上困难的，即多项式时间内，在计算上困难的，即多项式时间内不可解。不可解。定义定义第十二页，本课件共有64页*l l 哈希函数的性质哈希函数的性质哈希函数的性质哈希函数的性质 哈希函数哈希函数H H():0,1*0,1():0,1*0,1l l称为具有抗第称为具有抗第二原像性（二原像性（Second Preimage ResistantSecond Preimage Resistant），是指），是指任意给定任意给定M M0,1*0,1*及其信息

11、摘要及其信息摘要H H(M M)，求出，求出MM0,1*0,1*且且M MM M，使得，使得H H(M M)=)=H H(M M)是困难是困难的。的。定义定义第十三页，本课件共有64页*l l 哈希函数的性质哈希函数的性质哈希函数的性质哈希函数的性质 哈希函数哈希函数H H():0,1*0,1():0,1*0,1l l称为具有抗碰撞称为具有抗碰撞性（性（Collision ResistantCollision Resistant），是指求出任意），是指求出任意M M,MM0,1*0,1*，且，且M MM M，使得，使得H H(M M)=)=H H(M M)是困是困难的。难的。由上面的四个定义可

12、以知道，哈希函数应该具由上面的四个定义可以知道，哈希函数应该具有有单向性、抗原像性、抗第二原像性以及抗碰单向性、抗原像性、抗第二原像性以及抗碰撞性撞性。定义定义第十四页，本课件共有64页*l l 哈希函数的性质哈希函数的性质哈希函数的性质哈希函数的性质 l l 哈希函数的结构哈希函数的结构哈希函数的结构哈希函数的结构 4.2 4.2 消息认证与哈希函数消息认证与哈希函数l l 安全哈希函数（安全哈希函数（安全哈希函数（安全哈希函数（SHASHASHASHA）l l 消息认证消息认证消息认证消息认证第十五页，本课件共有64页*l l 哈希函数的结构哈希函数的结构哈希函数的结构哈希函数的结构 由由

13、MerkleMerkle提出的迭代哈希函数一般结构提出的迭代哈希函数一般结构如图所如图所示示，这也是目前大多数哈希函数（，这也是目前大多数哈希函数（MD5MD5、SHA-1SHA-1、RIPEMDRIPEMD）的结构。其中，）的结构。其中，IVIV称为初始向量，称为初始向量，CVCV称为称为链接变量，链接变量，Y Yi i是第是第i i+1+1个输入消息分组，个输入消息分组，f f称为压缩函称为压缩函数，数，L L为输入的分组数，为输入的分组数，l l为哈希函数的输出长度，为哈希函数的输出长度，b b为输入分组长度。为输入分组长度。第十六页，本课件共有64页*l l 哈希函数的性质哈希函数的性

14、质哈希函数的性质哈希函数的性质 l l 哈希函数的结构哈希函数的结构哈希函数的结构哈希函数的结构 4.2 4.2 消息认证与哈希函数消息认证与哈希函数l l 安全哈希函数（安全哈希函数（安全哈希函数（安全哈希函数（SHASHASHASHA）l l 消息认证消息认证消息认证消息认证第十七页，本课件共有64页*l l 安全哈希函数（安全哈希函数（安全哈希函数（安全哈希函数（SHASHA）安全哈希函数（安全哈希函数（SHASHA）由美国国家标准和技术协会（由美国国家标准和技术协会（NISTNIST）提）提出的，于出的，于19931993年作为美国联邦消息处年作为美国联邦消息处理标准（理标准（FIPS

15、 PUB 180FIPS PUB 180）公布。）公布。19951995年年NISTNIST发布了它的修订版发布了它的修订版（FIPS 180-1FIPS 180-1），通常称为），通常称为SHA-1SHA-1 SHA-1SHA-1算法具体的处理步骤算法具体的处理步骤 步骤步骤1 1：附加填充比特附加填充比特步骤步骤2：附加长度值附加长度值步骤步骤3 3：初始化初始化MDMD缓存缓存步骤步骤4 4：以以512512比特（比特（1616个字）分组处理消息个字）分组处理消息 首先对报文进行填充，填充方法是：首先对报文进行填充，填充方法是：先添加一个比特先添加一个比特1 1，然后填充足够多，然后填充

16、足够多的比特的比特0 0，使填充后的报文的长度，使填充后的报文的长度与与448448模模512512同余，即为同余，即为512512的倍数刚好减的倍数刚好减去去6464比特比特 将一个将一个6464比特的填充前的消息的比特的填充前的消息的长度分组附加到报文后面，这个长度分组附加到报文后面，这个6464比特的长度被看作是一个无比特的长度被看作是一个无符号整数符号整数 SHA-1SHA-1算法使用了算法使用了160160比特（比特（5 53232比特）的缓存来存放中间以及最比特）的缓存来存放中间以及最终结果，这终结果，这160160比特被分成比特被分成5 5个个3232比特字比特字H H0 0，H

17、 H1 1，H H2 2，H H3 3，H H4 4（SHA-SHA-1 1算法中每个字算法中每个字3232比特）比特）消息开头循环地处理消息序列分消息开头循环地处理消息序列分组，直至消息的结尾。每一次循组，直至消息的结尾。每一次循环都以当前处理的环都以当前处理的512512比特分组比特分组和和MDMD缓存缓存H H0 0，H H1 1，H H2 2，H H3 3，H H4 4作为作为输入。输入。步骤步骤5 5：输出输出 在最后一个消息分组处理完毕后，在最后一个消息分组处理完毕后，MDMD缓存（缓存（H H0 0，H H1 1，H H2 2，H H3 3，H H4 4）中的值即为算法输出的中的

18、值即为算法输出的160160比比特报文摘要特报文摘要 第十八页，本课件共有64页*l l 安全哈希函数（安全哈希函数（安全哈希函数（安全哈希函数（SHASHA）对于对于步骤步骤4 4的每一次循环又可分为三个阶段的每一次循环又可分为三个阶段阶段阶段1 1：复制中间变量复制中间变量 阶段阶段2 2：执行压缩函数执行压缩函数F F 阶段阶段3 3：更新更新MDMD缓存缓存H H0 0，H H1 1，H H2 2，H H3 3，H H4 4 把把H H0 0，H H1 1，H H2 2，H H3 3，H H4 4分别复制分别复制到中间变量到中间变量A A，B B，C C，D D，E E中，中，阶段阶段

19、2 2的所有操作都将在中间变的所有操作都将在中间变量量A A，B B，C C，D D，E E上进行上进行 SHA-1SHA-1每一个主循环压缩每一个主循环压缩函数函数F F共包括共包括8080个操作，每个操作，每个操作中都使用了一个非线性个操作中都使用了一个非线性函数。函数。在所有在所有8080个操作完成后，算法个操作完成后，算法的下列步骤更新的下列步骤更新MDMD缓存缓存 第十九页，本课件共有64页*l l 安全哈希函数（安全哈希函数（安全哈希函数（安全哈希函数（SHASHA）【例例】SHA-1SHA-1算法举例。算法举例。字符串字符串“abc”abc”的二进制表示为的二进制表示为01100

20、001 01100010 0110001101100001 01100010 01100011，长，长度为度为2424比特，则按照比特，则按照SHA-1SHA-1的填充要求，应填充的填充要求，应填充1 1个个“1”1”和和423423个个“0”0”，最后有两个，最后有两个字为字为“0000000000000018”0000000000000018”，表明原始消息的长度为，表明原始消息的长度为2424比特。这样，这个输入只有比特。这样，这个输入只有一个一个512512比特的分组。五个寄存器取如下的初始值：比特的分组。五个寄存器取如下的初始值：A A=67452301=67452301B B=EF

21、CDAB89=EFCDAB89C C=98BADCFE=98BADCFED D=10325476=10325476E E=C3D2E1F0=C3D2E1F0消息分组的所有字取上述经过填充后的消息分组的所有字取上述经过填充后的512512比特分组，即：比特分组，即：W W0=61626380H0=61626380H（01100001 01100010 01100011 1000000001100001 01100010 01100011 10000000），），W W1=1=W W2=2=W W14=00000000H14=00000000H，W W15=00000018H15=00000018

22、H。在经过在经过8080步循环后，五个寄存器中的值分别如下：步循环后，五个寄存器中的值分别如下：A A=A9993E36=A9993E36B B=4706816A=4706816AC C=BA3E2571=BA3E2571D D=7850C26C=7850C26CE E=9CD0D89D=9CD0D89D五个寄存器的值顺序排列，即得到消息五个寄存器的值顺序排列，即得到消息“abc”abc”的哈希函数值的哈希函数值 第二十页，本课件共有64页*l l 哈希函数的性质哈希函数的性质哈希函数的性质哈希函数的性质 l l 哈希函数的结构哈希函数的结构哈希函数的结构哈希函数的结构 4.2 4.2 消息认

23、证与哈希函数消息认证与哈希函数l l 安全哈希函数（安全哈希函数（安全哈希函数（安全哈希函数（SHASHASHASHA）l l 消息认证消息认证消息认证消息认证第二十一页，本课件共有64页*l l 消息认证消息认证消息认证消息认证 消息认证消息认证 消息认证是使消息的接收者能够检验收到的消息是否是真实的认证方法消息认证是使消息的接收者能够检验收到的消息是否是真实的认证方法 消息认证的目的有两个：其一是消息源的认证，即验证消息的来源是真实的；其二是消息消息认证的目的有两个：其一是消息源的认证，即验证消息的来源是真实的；其二是消息的认证，即验证信息在传送过程中未被篡改。的认证，即验证信息在传送过程

24、中未被篡改。1 1）消息认证码消息认证码MACMAC（Message Authentication CodeMessage Authentication Code）：是以消息和密：是以消息和密钥作为输入的公开函数，可以生成定长的输出。该方法需要在信息的发送方钥作为输入的公开函数，可以生成定长的输出。该方法需要在信息的发送方和接收方之间共享密钥。和接收方之间共享密钥。2 2）哈希函数：哈希函数：是不带密钥的公开函数，它将任意长度的输入消是不带密钥的公开函数，它将任意长度的输入消息映射为固定长度的输出值。哈希函数与数字签名算法相结合，息映射为固定长度的输出值。哈希函数与数字签名算法相结合，提供对于

25、消息的完整性检验。提供对于消息的完整性检验。第二十二页，本课件共有64页*l l 消息认证消息认证消息认证消息认证基于密钥哈希函数的基于密钥哈希函数的MACMAC 基于密钥哈希函数的基于密钥哈希函数的MACMAC的形式如下。的形式如下。MACMAC=H H(k kM M)HMACHMAC=H H(k kM Mk k)使用哈希函数构造的使用哈希函数构造的MACMAC，称为，称为HMACHMAC 第二十三页，本课件共有64页*l l 消息认证消息认证消息认证消息认证基于分组加密算法的基于分组加密算法的MACMAC 令令e ek k(m m)表示表示输输入消息入消息为为m m，密，密钥为钥为k k的

26、分的分组组密密码码加密算法。加密算法。为为了了认证认证消息消息M M，发发送者首先送者首先对对M M进进行分行分组组：M M=m m1 1m m2 2m ml l其中，每一个子消息其中，每一个子消息组组m mi i(i i=1,2,=1,2,l l)的的长长度都等度都等于分于分组组加密算法加密算法输输入的入的长长度。如果最后一个子消息度。如果最后一个子消息组组m ml l长长度小于分度小于分组长组长度，就必度，就必须对须对其填充一些随机其填充一些随机值值。设设C C0 0=IVIV为为随机初始向量。随机初始向量。现现在，在，发发送者用送者用CBCCBC加密：加密：第二十四页，本课件共有64页*

27、l l RSA RSA RSA RSA数字签名体制数字签名体制数字签名体制数字签名体制 l l ELGamal ELGamal ELGamal ELGamal数字签名体制数字签名体制数字签名体制数字签名体制 4.3 4.3 数字签名体制数字签名体制l l 数字签名标准数字签名标准数字签名标准数字签名标准DSSDSSDSSDSS 第二十五页，本课件共有64页*l l RSA RSA数字签名体制数字签名体制数字签名体制数字签名体制算法算法 RSA RSA签名体制。签名体制。密密钥钥建建立立：密密钥钥建建立立过过程程和和RSARSA密密码码系系统统的的密密钥钥建建立立过过程程相相同同。经经过过密密钥

28、钥建建立立过过程程，用用户户AliceAlice的的公公钥钥为为(N N,e e)，其其中中N N=pqpq，p p和和q q是是两两个个长长度度差差不不多多的的大大素素数数，e e是是满满足足gcd(gcd(e e,f f(N N)=1)=1的的整整数数。AliceAlice的私钥为的私钥为d d，满足，满足eded=1mod(=1mod(f f(N N)。签签名名生生成成：为为了了生生成成消消息息的的签签名名，AliceAlice计计算算s s=Sign=Signd d(m m)m md d(mod(mod N N)，即得到消息签名对，即得到消息签名对(m m,s s)。签签名名验验证证：

29、设设BobBob是是验验证证者者，他他知知道道公公钥钥(N N,e e)属属于于AliceAlice。给给定定一一个个消消息息-签签名名对对(m m,s s)，BobBob的的验验证证过过程程为为测测试试m ms se e(mod(mod N N)，如果成立，则如果成立，则VerifyVerify(N N,e e)(m m,s s)=True)=True。第二十六页，本课件共有64页*l l RSA RSA RSA RSA数字签名体制数字签名体制数字签名体制数字签名体制 l l ELGamal ELGamal ELGamal ELGamal数字签名体制数字签名体制数字签名体制数字签名体制 4.

30、3 4.3 数字签名体制数字签名体制l l 数字签名标准数字签名标准数字签名标准数字签名标准DSSDSSDSSDSS 第二十七页，本课件共有64页*l l RSA RSA数字签名体制数字签名体制数字签名体制数字签名体制算法算法1 1参数生成参数生成（1 1）公开参数公开参数设设p p是一个大素数，并确保在是一个大素数，并确保在Z Zp p中求解离散中求解离散对对数在数在计计算上是困算上是困难问题难问题；g g是是Z Zp p中乘法群中乘法群 的一个生成元，或称为本原元素。的一个生成元，或称为本原元素。（2 2）用户私钥参数用户私钥参数选定一个随机的选定一个随机的x，作为用户的私钥。，作为用户的

31、私钥。（3 3）用户公钥参数用户公钥参数计算计算y yg gx x mod mod p p作为用户的公钥。作为用户的公钥。由此设用户由此设用户AliceAlice的公私钥对为的公私钥对为(x xA,A,y yA)A)，y yA A公开，而公开，而x xA A保密。保密。第二十八页，本课件共有64页*l l RSA RSA数字签名体制数字签名体制数字签名体制数字签名体制2 2生成生成签签名名AliceAlice欲生成欲生成对对消息消息m m的的签签名，名，则执则执行如下的行如下的签签名名过过程：程：1 1）随机随机选择选择k k，并要求并要求gcd(gcd(k k,p p-1)=1-1)=1。2

32、 2）计算签名：）计算签名：r rgkgk mod mod p p。3 3）计算签名：）计算签名：s sk k-1(-1(m m-x xA Ar r)mod()mod(p p-1)-1)。得到消息签名对为得到消息签名对为(m m,(,(r r,s s)。3 3验证签验证签名名设设BobBob为验证为验证方，他知道公开参数方，他知道公开参数(g g,p p)以及以及AliceAlice的公的公钥钥y yA A。对对于消息于消息签签名名对对(m m,(,(r r,s s)，BobBob执执行行验证过验证过程。程。1 1）预查预查合法性合法性如果如果11r rp p-1-1，继续继续，否，否则签则签

33、名是不合法的。名是不合法的。2 2）计计算算 :3)3)计算计算 ：4）比较）比较 和和 ：如果：如果 ，表示签名有效；否则签名无效，表示签名有效；否则签名无效：第二十九页，本课件共有64页*l l RSA RSA RSA RSA数字签名体制数字签名体制数字签名体制数字签名体制 l l ELGamal ELGamal ELGamal ELGamal数字签名体制数字签名体制数字签名体制数字签名体制 4.3 4.3 数字签名体制数字签名体制l l 数字签名标准数字签名标准数字签名标准数字签名标准DSSDSSDSSDSS 第三十页，本课件共有64页*l l 数字签名标准数字签名标准数字签名标准数字签

34、名标准DSSDSSDSADSA算法描述算法描述 设设p p、q q、g g作为公开参数，供所有用户共同使用；作为公开参数，供所有用户共同使用；x xA A是签名者的私钥；是签名者的私钥；y yA A是签名者的公钥。对消息是签名者的公钥。对消息M M的签名结果是两个数的签名结果是两个数(s s,r r)。每一次签名都使用了。每一次签名都使用了随机数随机数k k，要求每次签名使用的，要求每次签名使用的k k取值不同。取值不同。（1 1）参数生成参数生成1 1）生成公开参数。）生成公开参数。p p：是一个大的素数，：是一个大的素数，2 2L L-1-1 p p22L L，其中，其中512512L L

35、10241024。q q：是：是(p p-1)-1)的素因子，并且其字长为的素因子，并且其字长为160160比特，即比特，即21592159q q21602160。g g：g gh h(p p-1)/-1)/q q mod mod p p，其中，其中h h是一个整数，是一个整数，11h h(11。以上三个参数以上三个参数p p、q q、g g，是所有用户公用的参数，所以称为公共参数。，是所有用户公用的参数，所以称为公共参数。2）用户参数。选取）用户参数。选取个随机数个随机数x作为用户私钥，要求作为用户私钥，要求0 xq；计算求得；计算求得ygx mod p，y为用户公钥。为用户公钥。第三十一页

36、，本课件共有64页*l l 数字签名标准数字签名标准数字签名标准数字签名标准DSSDSS（2 2）签签名名过过程程签签名的消息空名的消息空间间可以表示可以表示为为 。签名时还需要一个随机数。签名时还需要一个随机数k，可由一个，可由一个随机数生成器生成。随机数生成器生成。l 随机选择随机选择k kZ Zq q，k k1,1,q q l 计算计算r r：r r(g gk k mod mod p p)mod)mod q q l 计算计算s s：s s(k k-1-1(H H(M M)+)+x xA Ar r)mod)mod q q，到此，消息，到此，消息m m的签名结果就是的签名结果就是(r r,s

37、 s)（3 3）认证过程认证过程 l 计算计算w w：w ws s-1 mod-1 mod q ql 计算计算u u1 1：u u1 1H(m)w mod qH(m)w mod q l 计算计算u u2 2：u u2 2r w r w mod mod q q l 计算计算v：l 比较比较r r、v v，如果，如果r r=v v，表示签名有效，否则签名非法，表示签名有效，否则签名非法 第三十二页，本课件共有64页*l l 数字签名标准数字签名标准数字签名标准数字签名标准DSSDSSDSADSA签名算法安全性分析签名算法安全性分析 l 随机数产生器与攻击随机数随机数产生器与攻击随机数l 全局参数（

38、共享模数）的危险全局参数（共享模数）的危险攻击者可以通过随机数产生器攻击者可以通过随机数产生器的某些特征，而恢复出所使用的某些特征，而恢复出所使用的随机数的随机数k k。所以在。所以在DSADSA签名算法签名算法的实现中，设计一个好的随机数产生的实现中，设计一个好的随机数产生器非常重要器非常重要 在在DSSDSS公布之初，人们反对其使用共享模公布之初，人们反对其使用共享模数数p p、q q。确实，如果对共享模数。确实，如果对共享模数p p、q q的分析，可能对破解私钥参数的分析，可能对破解私钥参数x x有利的话，有利的话，将对签名方案的安全性造成威胁将对签名方案的安全性造成威胁 第三十三页，本

39、课件共有64页*l l 身份认证技术概述身份认证技术概述身份认证技术概述身份认证技术概述 l l 单向认证技术单向认证技术单向认证技术单向认证技术4.4 4.4 身份认证技术身份认证技术l l 交叉认证技术交叉认证技术交叉认证技术交叉认证技术 l l 身份认证系统实例身份认证系统实例身份认证系统实例身份认证系统实例-Kerberos-Kerberos-Kerberos-Kerberos系统系统系统系统 l l X.509 X.509 X.509 X.509认证技术认证技术认证技术认证技术 第三十四页，本课件共有64页*l l 身份认证技术概述身份认证技术概述身份认证技术概述身份认证技术概述 认

40、证是一个实体向另一个实体证明某种声称属性的过程。认证是一个实体向另一个实体证明某种声称属性的过程。认证包括认证包括数据源认证（数据源认证（Data Origin AuthenticationData Origin Authentication）和和实体实体身份认证（身份认证（Entity AuthenticationEntity Authentication）。数据源认证数据源认证 数据源认证包含从发送者到接收者的消息数据源认证包含从发送者到接收者的消息传输过程，接收者在接收时会验证消息；接传输过程，接收者在接收时会验证消息；接收方执行消息验证的目的在于确认消息发送收方执行消息验证的目的在于确

41、认消息发送者的身份；确认在原消息离开消息发送者之者的身份；确认在原消息离开消息发送者之后的数据完整性以及确认消息传输的后的数据完整性以及确认消息传输的“活现活现性性”。第三十五页，本课件共有64页*l l 身份认证技术概述身份认证技术概述身份认证技术概述身份认证技术概述身份认证身份认证 l 知道某事知道某事l 拥有某事拥有某事l 固有某事固有某事 这是一个只有要被验证这是一个只有要被验证的原告才知道的秘密。的原告才知道的秘密。例如，密码、例如，密码、PINPIN、密、密钥、私钥等钥、私钥等 这是一些可以提供原告身份证明的这是一些可以提供原告身份证明的材料。例如，密码、驾驶执照、身材料。例如，密

42、码、驾驶执照、身份证、信用卡和智能卡等份证、信用卡和智能卡等 这是原告的本质特征。例如，这是原告的本质特征。例如，传统签名、指纹、声音、面传统签名、指纹、声音、面相、视网膜模式、笔迹等相、视网膜模式、笔迹等 基于密码技术实现身份认证可以采用对称密码技术，也基于密码技术实现身份认证可以采用对称密码技术，也可以采用非对称密码技术可以采用非对称密码技术 第三十六页，本课件共有64页*l l 身份认证技术概述身份认证技术概述身份认证技术概述身份认证技术概述 l l 单向认证技术单向认证技术单向认证技术单向认证技术4.4 4.4 身份认证技术身份认证技术l l 交叉认证技术交叉认证技术交叉认证技术交叉认

43、证技术 l l 身份认证系统实例身份认证系统实例身份认证系统实例身份认证系统实例-Kerberos-Kerberos-Kerberos-Kerberos系统系统系统系统 l l X.509 X.509 X.509 X.509认证技术认证技术认证技术认证技术 第三十七页，本课件共有64页*l l 单向认证技术单向认证技术单向认证技术单向认证技术单向认证单向认证 在协议的两个参与主体中，只对其在协议的两个参与主体中，只对其中的一个主体的身份进行认证。设中的一个主体的身份进行认证。设消息源声称自己是消息源声称自己是AliceAlice，并要求，并要求与与BobBob通信通信 l 用对称密码技术实现单

44、方认证用对称密码技术实现单方认证 设通信方设通信方A A和通信方和通信方B B共享有对称密钥共享有对称密钥K KABAB，通信方，通信方B B要认证通信方要认证通信方A A身份。身份。1）BA：RBText1；其中；其中RB为通信方为通信方B生成的一次性随机数，生成的一次性随机数，Text1为附加文本。为附加文本。2）AB：TokenAB=；其中；其中Text2，Text3等属于可选等属于可选项项 第三十八页，本课件共有64页*l l 单向认证技术单向认证技术单向认证技术单向认证技术l 用非对称密码技术实现单方认证用非对称密码技术实现单方认证 ISO/IEC ISO/IEC标准化版本的标准化版

45、本的“使用公钥的使用公钥的ISOISO两次传输单方认证协议两次传输单方认证协议”1 1）B BA A：R RB BTextText1 1。2 2）A AB B：CertATokenABCertATokenAB。这里TokenAB=RARBBText3sigA(RARBBText2)；协议中的Text1，Text2，Text3均为可选信息，CertA是Alice的公钥证书。在接收到TokenAB之后，B应该验证签名；如果签名通过验证，B应该接收这次运行；否则拒绝这次运行。使用公钥的使用公钥的ISOISO两次传输单方认证示意两次传输单方认证示意如图所示如图所示 第三十九页，本课件共有64页*l l

46、 身份认证技术概述身份认证技术概述身份认证技术概述身份认证技术概述 l l 单向认证技术单向认证技术单向认证技术单向认证技术4.4 4.4 身份认证技术身份认证技术l l 交叉认证技术交叉认证技术交叉认证技术交叉认证技术 l l 身份认证系统实例身份认证系统实例身份认证系统实例身份认证系统实例-Kerberos-Kerberos-Kerberos-Kerberos系统系统系统系统 l l X.509 X.509 X.509 X.509认证技术认证技术认证技术认证技术 第四十页，本课件共有64页*l l 交叉认证技术交叉认证技术交叉认证技术交叉认证技术 设通信方设通信方A A拥有公钥证书拥有公钥

47、证书CertACertA；通信方；通信方B B拥有公钥证书拥有公钥证书CertBCertB。则。则ISO公钥公钥三次传输双方认证协议三次传输双方认证协议：l B BA A：R RB B。l A AB B：CertA,TokenABCertA,TokenABl B BA A：CertB,TokenBACertB,TokenBA 交叉认证交叉认证也称为双方认证（也称为双方认证（Mutual AuthenticationMutual Authentication），即），即两个通信的实体需要互相认证。两个通信的实体需要互相认证。TokenAB=TokenAB=R RA AR RB BBBsigsig

48、A A(R RAAR RBB)BB)TokenBA=TokenBA=R RB BR RA AAAsigsigB B(R RB BR RA AA)A)基于公钥密码技术的双方认证协议过程如图所示基于公钥密码技术的双方认证协议过程如图所示 第四十一页，本课件共有64页*l l 身份认证技术概述身份认证技术概述身份认证技术概述身份认证技术概述 l l 单向认证技术单向认证技术单向认证技术单向认证技术4.4 4.4 身份认证技术身份认证技术l l 交叉认证技术交叉认证技术交叉认证技术交叉认证技术 l l 身份认证系统实例身份认证系统实例身份认证系统实例身份认证系统实例-Kerberos-Kerberos

49、-Kerberos-Kerberos系统系统系统系统 l l X.509 X.509 X.509 X.509认证技术认证技术认证技术认证技术 第四十二页，本课件共有64页*l l身份认证系统实例身份认证系统实例身份认证系统实例身份认证系统实例-Kerberos-Kerberos-Kerberos-Kerberos系统系统系统系统 适合多个服务器环境的认证方案是适合多个服务器环境的认证方案是KerberosKerberos认证认证协议。协议。KerberosKerberos认证系统是美国麻省理工学院为认证系统是美国麻省理工学院为AthenaAthena工程而设计的，为分布式计算环境提供一种对工程

50、而设计的，为分布式计算环境提供一种对用户双方进行验证的认证方法，它是基于对称密钥的身用户双方进行验证的认证方法，它是基于对称密钥的身份认证系统。份认证系统。KerberosKerberos认证的基本思想是使用可信第认证的基本思想是使用可信第三方把某个用户引见给某个服务器，引见方法是在用户三方把某个用户引见给某个服务器，引见方法是在用户和服务器间分发会话密钥建立安全信道。和服务器间分发会话密钥建立安全信道。KerberosKerberos协议协议涉及三种服务器：一个验证服务器（涉及三种服务器：一个验证服务器（ASAS）、一个票）、一个票据许可服务器（据许可服务器（TGSTGS）和一个给其他机构提