身份认证与数字签名

《身份认证与数字签名》由会员分享，可在线阅读，更多相关《身份认证与数字签名（73页珍藏版）》请在装配图网上搜索。

1、1第第4 4讲讲 身份认证与数字签名身份认证与数字签名王庆先王庆先电子科技大学计算机学院电子科技大学计算机学院2一、身份认证概述一、身份认证概述 n为了保护网络资源及落实安全政策。需要提供为了保护网络资源及落实安全政策。需要提供可追究责任的机制，这里涉及到三个概念：认可追究责任的机制，这里涉及到三个概念：认证、授权及审计。证、授权及审计。n用户对资源的访问过程用户对资源的访问过程 访问控制访问控制用用户户身身份份认认证证资源资源授权数据库授权数据库审计数据库审计数据库3一、身份认证概述（续）一、身份认证概述（续）n认证与以下环境有关：某一成员（声称者）提认证与以下环境有关：某一成员（声称者）提

2、交一个主体的身份并声称他是那个主体，认证交一个主体的身份并声称他是那个主体，认证能使别的成员（验证者）获得对声称者所声称能使别的成员（验证者）获得对声称者所声称的事实的信任。的事实的信任。n身份认证的作用身份认证的作用n对抗假冒攻击对抗假冒攻击n确保身份，明确责任确保身份，明确责任 4身份认证概述身份认证概述n对身份认证过程中攻击：对身份认证过程中攻击：n数据流窃听数据流窃听(Sniffer)(Sniffer)：由于认证信息要通过网络传：由于认证信息要通过网络传递，并且很多认证系统的口令是未经加密的明文，递，并且很多认证系统的口令是未经加密的明文，攻击者通过窃听网络数据，就很容易分辨出某种特攻

3、击者通过窃听网络数据，就很容易分辨出某种特定系统的认证数据，并提取出用户名和口令。定系统的认证数据，并提取出用户名和口令。n拷贝拷贝/重传：非法用户截获信息，然后再传送给接收重传：非法用户截获信息，然后再传送给接收者。者。n修改或伪造：非法用户截获信息，替换或修改信息修改或伪造：非法用户截获信息，替换或修改信息后再传送给接收者，或者非法用户冒充合法用户发后再传送给接收者，或者非法用户冒充合法用户发送信息。送信息。5二、认证方法的主要原理二、认证方法的主要原理n主体了解的秘密，如口令、密钥；主体了解的秘密，如口令、密钥；n主体携带的物品，如智能卡；主体携带的物品，如智能卡；n只有该主体具有的独一

4、无二的特征或能力，只有该主体具有的独一无二的特征或能力，如指纹、声音、视网膜血管分布图或签字等。如指纹、声音、视网膜血管分布图或签字等。n特定场所（也可能是特定时间）提供证据特定场所（也可能是特定时间）提供证据 n验证者认可某一已经通过认证的可信方验证者认可某一已经通过认证的可信方61 1、基于口令的认证、基于口令的认证 n对口令的攻击对口令的攻击 n窃听窃听 监听监听Login:UserA Login:UserA Password:12345Password:1234571 1、基于口令的认证（续）、基于口令的认证（续）n对口令的攻击对口令的攻击 n截取截取/重放重放 拷贝认证信息拷贝认证信

5、息然后重放然后重放认证信息（加密的口令）认证信息（加密的口令）81 1、基于口令的认证（续）、基于口令的认证（续）n对口令的攻击对口令的攻击 n字典攻击字典攻击：根据调查结果可知，大部份的人为：根据调查结果可知，大部份的人为了方便记忆选用的密码都与自己周遭的事物有了方便记忆选用的密码都与自己周遭的事物有关，例如：身份证字号、生日、车牌号码、在关，例如：身份证字号、生日、车牌号码、在办公桌上可以马上看到的标记或事物、其他有办公桌上可以马上看到的标记或事物、其他有意义的单词或数字，某些攻击者会使用字典中意义的单词或数字，某些攻击者会使用字典中的单词来尝试用户的密码。的单词来尝试用户的密码。n穷举攻

6、击穷举攻击(Brute Force)(Brute Force)：也称蛮力破解。这：也称蛮力破解。这是一种特殊的字典攻击，它使用字符串的全集是一种特殊的字典攻击，它使用字符串的全集作为字典。作为字典。91 1、基于口令的认证（续）、基于口令的认证（续）n对口令的攻击对口令的攻击 n窥探：攻击者利用与被攻击系统接近的机会，安窥探：攻击者利用与被攻击系统接近的机会，安装监视器或亲自窥探合法用户输入口令的过程，装监视器或亲自窥探合法用户输入口令的过程，以得到口令。以得到口令。n社交工程：比如冒充是处长或局长骗取管理员信社交工程：比如冒充是处长或局长骗取管理员信任得到口令等等。冒充合法用户发送邮件或打电

7、任得到口令等等。冒充合法用户发送邮件或打电话给管理人员，以骗取用户口令等。话给管理人员，以骗取用户口令等。n垃圾搜索：攻击者通过搜索被攻击者的废弃物，垃圾搜索：攻击者通过搜索被攻击者的废弃物，得到与攻击系统有关的信息，如用户将口令写在得到与攻击系统有关的信息，如用户将口令写在纸上又随便丢弃。纸上又随便丢弃。101 1、基于口令的认证（续）、基于口令的认证（续）n安全口令（对抗字典攻击和穷举攻击）安全口令（对抗字典攻击和穷举攻击）n（1 1）位数）位数66位。位。n（2 2）大小写字母混合。如果用一个大写字）大小写字母混合。如果用一个大写字母，既不要放在开头，也不要放在结尾。母，既不要放在开头，

8、也不要放在结尾。n（3 3）可以把数字无序的加在字母中。）可以把数字无序的加在字母中。n（4 4）系统用户一定用）系统用户一定用8 8位口令，而且包位口令，而且包括括!?:?:等特殊符号。等特殊符号。111 1、基于口令的认证（续）、基于口令的认证（续）n不安全口令（字典攻击和穷举攻击）不安全口令（字典攻击和穷举攻击）n（1 1）使用用户名（帐号）作为口令。）使用用户名（帐号）作为口令。n（2 2）用用户名（帐号）的变换形式作为口令。）用用户名（帐号）的变换形式作为口令。n（3 3）使用自己或者亲友的生日作为口令。）使用自己或者亲友的生日作为口令。n（4 4）使用常用的英文单词作为口令。）使用

9、常用的英文单词作为口令。1 1、基于口令的认证（续）、基于口令的认证（续）n为判断系统是否易受攻击，首先需要了解系统上都有哪为判断系统是否易受攻击，首先需要了解系统上都有哪些帐号。应进行以下操作：些帐号。应进行以下操作：n（1 1）审计系统上的帐号，建立一个使用者列表，同）审计系统上的帐号，建立一个使用者列表，同时检查路由，连接时检查路由，连接InternetInternet的打印机、复印机和打印的打印机、复印机和打印机控制器等系统的口令。机控制器等系统的口令。n（2 2）制定管理制度，规范增加帐号的操作，及时移）制定管理制度，规范增加帐号的操作，及时移走不再使用的帐号。走不再使用的帐号。n（

10、3 3）经常检查确认有没有增加新的帐号，不使用的）经常检查确认有没有增加新的帐号，不使用的帐号是否已被删除。帐号是否已被删除。n（4 4）对所有的帐号运行口令破解工具，以寻找弱口）对所有的帐号运行口令破解工具，以寻找弱口令或没有口令的帐号。令或没有口令的帐号。n（5 5）当雇员或承包人离开公司时，或当帐号不再需）当雇员或承包人离开公司时，或当帐号不再需要时，应有严格的制度保证删除这些帐号。要时，应有严格的制度保证删除这些帐号。131 1、基于口令的认证（续）、基于口令的认证（续）n为了增强基于口令认证的安全，可以采用以下改为了增强基于口令认证的安全，可以采用以下改进方案。进方案。n（1 1）认

11、证过程有一定的时延，增大穷举尝试的难度。）认证过程有一定的时延，增大穷举尝试的难度。n（2 2）不可预测的口令。修改口令登记程序以便促使）不可预测的口令。修改口令登记程序以便促使用户使用更加生僻的口令。这样就进一步削弱了字典用户使用更加生僻的口令。这样就进一步削弱了字典攻击。攻击。n（3 3）对无效用户名的回答应该与对有效用户名的回）对无效用户名的回答应该与对有效用户名的回答相同。答相同。141 1、基于口令的认证（续）、基于口令的认证（续）n基于单向函数的口令认证基于单向函数的口令认证nf f是单向函数，是单向函数，p p是口令，是口令，idid是身份是身份nAliceAlice提供提供p|

12、idp|id n计算机计算计算机计算f(p)f(p)n计算机与存储的值计算机与存储的值f(p)|idf(p)|id 作比较作比较n由于计算机不再存储口令表，所以敌手侵入计算机由于计算机不再存储口令表，所以敌手侵入计算机偷取口令的威胁就减少了偷取口令的威胁就减少了 f(p1)f(p1)id1id1f(p2)f(p2)id2id2f(p3)f(p3)id3id3151 1、基于口令的认证（续）、基于口令的认证（续）n如果敌手获得了存储口令的单向函数值的文件，如果敌手获得了存储口令的单向函数值的文件，采用字典攻击是有效的。敌手计算猜测的口令采用字典攻击是有效的。敌手计算猜测的口令的单向函数值，然后搜

13、索文件，观察是否有匹的单向函数值，然后搜索文件，观察是否有匹配的。配的。n猜口令猜口令p1,p2,p1,p2,pn,pn。计算。计算f(p1),f(p2),f(p1),f(p2),f(pn)f(pn)。搜索文件。搜索文件。161 1、基于口令的认证（续）、基于口令的认证（续）n掺杂口令掺杂口令(加盐加盐)nSaltSalt是一随机字符串，它与口令连接在一起，再用是一随机字符串，它与口令连接在一起，再用单向函数对其运算。然后将单向函数对其运算。然后将SaltSalt值和单向函数运算值和单向函数运算的结果存入主机中。的结果存入主机中。n计算机存储的是计算机存储的是f(p,Salt)|Salt|id

14、f(p,Salt)|Salt|idnSaltSalt只防止对整个口令文件采用的字典攻击，不能只防止对整个口令文件采用的字典攻击，不能防止对单个口令的字典攻击。防止对单个口令的字典攻击。f(p1,Salt1)f(p1,Salt1)Salt1Salt1id1id1f(p2,Salt2)f(p2,Salt2)Salt2Salt2id2id2171 1、基于口令的认证（续）、基于口令的认证（续）nSKEY SKEY nAliceAlice输入随机数输入随机数R R，计算机计算，计算机计算x x1 1=f=f（R R）、）、x x2 2=f=f（x x1 1）、）、x xn+1n+1=f=f（x xn

15、n）。）。AliceAlice保管保管x x1 1 ，x x2 2 ，x x3 3 ，。，。，x xn n这些数的列这些数的列表，计算机在登录数据库中表，计算机在登录数据库中AliceAlice的名字后面存储的名字后面存储x xn+1n+1的值。的值。n当当AliceAlice第一次登录时，输入名字和第一次登录时，输入名字和x xn n，计算机计算，计算机计算f f（x xn n），并），并把它和把它和x xn+1n+1比较，如果匹配，就证明比较，如果匹配，就证明AliceAlice身份是真的。然后，计身份是真的。然后，计算机用算机用x xn n代替代替x xn+1n+1。AliceAlice

16、将从自己的列表中取消将从自己的列表中取消x xn n。nAliceAlice每次登录时，都输入她的列表中未取消的最后的数每次登录时，都输入她的列表中未取消的最后的数x xI I，计，计算机计算算机计算f f（x xI I），并和存储在它的数据库中的），并和存储在它的数据库中的x xI+1I+1比较。当比较。当AliceAlice用完了列表上面的数后，需要重新初始化。用完了列表上面的数后，需要重新初始化。x x1 1=f(R)=f(R)x x2 2=f=f(x x1 1)x xn+1n+1=f(x=f(xn n)计算机存储xn+1181 1、基于口令的认证（续）、基于口令的认证（续）n设计基于口

17、令的协议应满足的要求设计基于口令的协议应满足的要求n口令不能过长口令不能过长n离线字典攻击无效离线字典攻击无效n在线字典攻击无效在线字典攻击无效n记号记号n共享的秘密共享的秘密ZABn导出的会话密钥导出的会话密钥KAB191 1、基于口令的认证（续）、基于口令的认证（续）n基于基于DH的的EKE 共享的信息:口令 .安全参数 L.ABAARprArtgZ Z1,2.,2 BBBRprABArBLBRrZttgnZ Z,AA t1,2.,2 ArABBLARZtn ,ABBBKtn,ABABKnn BVerify n AVerify nABAKn20基于口令的认证基于口令的认证 n改进的改进的E

18、KE H H2 2()=)=g g AI:Password .BI:ABAARprArtgZ Z1,2.,2 BBBRprABArBLBRrZttgnZ Z1(),AHA t1,2.,2 ArABBLARZtn1(),ABBHBKtn,ABABKnn BVerify n AVerify nABAKn12(),()HH()ABABKSigK2()H用验证签名21 是 相应的签名公钥。和Original Diffie-Hellman-based EKE Protocol的比较：1、用口令的镜像加密；2、多了最后一个消息。因为，如果没有这个消息，敌手只要知道了口令的 镜像就可以冒充A和B进行通信，而

19、不用知道口令本身。所以最后一条消息正是为了避免这一漏洞。存在的攻击 敌手如果知道了历史会话密钥，可以通过最后一条消息猜测口令。解决方案是签名消息不用会话密钥，而为和ZAB相关的另一个值。几点说明：几点说明：2()H22服务器保存hpw=H(id,pw),例1.C S:id,rc hpw,H(rc)例2.A选择RSA公开密钥(e,n)和随机数rA，发送(e|n|rA)hpw)给B 抵抗离线字典攻击需要精心设计协议 抵抗离线字典攻击23在线口令猜测失败会被发现并且服务器会将在线口令猜测失败会被发现并且服务器会将其记入日志。一般可使用帐号加锁、延迟响其记入日志。一般可使用帐号加锁、延迟响应或者应或者

20、CAPTCHACAPTCHA来抵抗在线字典攻击来抵抗在线字典攻击。抵抗在线字典攻击抵抗在线字典攻击24CAPTCHAn抵抗在线字典攻击抵抗在线字典攻击n防止恶意注册防止恶意注册25基于对称密码的认证基于对称密码的认证 nISO/IEC9798-2协议（同时建立会话密钥）协议（同时建立会话密钥）n1路单向认证路单向认证(时间戳时间戳)n2路双向认证路双向认证(时间戳时间戳)AB:TA,BKABA AB B:T TA A,B B K KABABB BA A:T TB B,A A K KABAB26基于对称密码的认证基于对称密码的认证 nISO/IEC9798-2协议（同时建立会话密钥）协议（同时建

21、立会话密钥）n2路单向认证路单向认证(一次性随机数一次性随机数)n2路双向认证路双向认证(一次性随机数一次性随机数)1.1.B B A A:N NB B2.2.A AB B:N NB B,B B K KABAB1.1.B B A A:N NB B2.2.A AB B:N NA A,N NB B,B B K KABAB3.3.B BA A:N NB B,N NA A K KABAB27基于对称密码的认证基于对称密码的认证 记号记号 A,B 期望建立会话密钥的两个用户期望建立会话密钥的两个用户 S 可信服务器可信服务器 KAS,KBS:A与与S,B与与S初始时共享的长期密钥初始时共享的长期密钥 K

22、AB:会话密钥会话密钥28基于对称密码的认证基于对称密码的认证 nNeedham-Schroeder Needham-Schroeder 协议（同时建立会话密钥）协议（同时建立会话密钥）1.A 1.A S:A,B,N S:A,B,NA A2.S 2.S A:A:N NA A,B,K,B,KABAB,K KABAB,A A K KBSBS K KASAS3.A 3.A B:B:K KABAB,A,A K KBSBS4.B 4.B A:A:N NB B K KABAB5.A 5.A B:B:N NB B-1-1 K KABABABS1234529基于对称密码的认证基于对称密码的认证 nDennin

23、g-Sacco攻击攻击:在在Needham-Schroeder 协议协议消息消息3中使用破解的会话密钥中使用破解的会话密钥KAB,假冒假冒A.3.A 3.A B:B:K KABAB,A,A K KBSBS4.B 4.B A:A:N NB B K KABAB5.A 5.A B:B:N NB B-1-1 K KABABABS1234530基于对称密码的认证基于对称密码的认证 nDenning-Sacco协议协议1.A 1.A S:A,B S:A,B2.S 2.S A:A:B,KB,KABAB,T,TS S,A,A,K KABAB,T,TS S K KBSBS K KASAS3.A 3.A B:B:

24、A,A,K KABAB,T,TS S K KBSBSABS123保证会话密钥的新鲜性保证会话密钥的新鲜性,会话密钥与时间戳绑定会话密钥与时间戳绑定31基于公钥密码的认证基于公钥密码的认证 n记号记号 E EX X(M M)用用X X 的公钥加密的公钥加密M MSigSigX X(M M)X X 对对 M M 做的签名做的签名 N NX X X X 产生的随机产生的随机 noncenonce T TX X X X 选择的时间戳选择的时间戳 M M K K 用对称密钥用对称密钥K K 对消息对消息 M M 加密加密32基于公钥密码的认证基于公钥密码的认证 nISO/IEC 9798-3 单向认证单

25、向认证nISO/IEC 9798-3 单向认证单向认证1.AB:TA,B,SigA(TA,B)1.BA:NB2.AB:NA,NB,SigA(NA,NB,B)33基于公钥密码的认证基于公钥密码的认证 nISO/IEC 9798-3 双向认证双向认证nISO/IEC 9798-3 双向认证双向认证1.AB:TA,B,SigA(TA,B)2.BA:TB,A,SigB(TB,A)1.BA:NB2.AB:NA,NB,B,SigA(NA,NB,B)3.BA:NB,NA,A,SigB(NB,NA,A)34基于公钥密码的认证基于公钥密码的认证 nNeedham-Schroeder public key pro

26、tocolnLowe给出了攻击给出了攻击nAC(A)Bn可以在第二条消息中增加可以在第二条消息中增加B B的标识阻止这种攻击的标识阻止这种攻击 1.AB:EB(NA,A)2.BA:EA(NA,NB)3.AB:EB(NB)1.AC:EC(NA,A)1.CAB:EB(NA,A)2.B CA:EA(NA,NB)2.C A:EA(NA,NB)3.AC:EC(NB)3.CAB:EB(NB)35基于公钥密码的认证基于公钥密码的认证 nX.509单向认证单向认证nX.509双向认证双向认证1.AB:TA,NA,B,EB(KAB),SigA(TA,NA,B,EB(KAB)1.AB:TA,NA,B,EB(KAB

27、),SigA(TA,NA,B,EB(KAB)2.B A:TB,NB,A,NA,EA(KBA),SigB(TB,NB,A,NA,EA(KBA)36基于公钥密码的认证基于公钥密码的认证 nX.509 three-pass authentication1.AB:TA,NA,B,EB(KAB),SigA(TA,NA,B,EB(KAB)2.B A:TB,NB,A,NA,EA(KBA),SigB(TB,NB,A,NA,EA(KBA)3.AB:NB,B,SigA(NB,B)37基于公钥密码的认证基于公钥密码的认证 n站对站站对站(Station-to-Station)协议协议 A BrARZq ,tA=gr

28、A tA rBRZq,tB=grBZAB=tBrA tB,SigB(tB,tA)KAB ZAB=tArB解密验证签名 SigA(tA,tB)KAB 解密验证签名 站间协议具有前向保密性（站间协议具有前向保密性（Forward secretForward secret）。前）。前向保密性是指长期密钥被攻破后，利用长期密钥建向保密性是指长期密钥被攻破后，利用长期密钥建立的会话密钥仍具有保密性。立的会话密钥仍具有保密性。38基于公钥密码的认证基于公钥密码的认证 n不使用加密的站对站协议不使用加密的站对站协议 A BrARZq ,tA=grA tA rBRZq,tB=grBZAB=tBrA tB,Si

29、gB(tB,tA)ZAB=tArB验证签名 SigA(tA,tB)验证签名 AC(B)B tA tAtB,SigB(tB,tA)tB,SigB(tB,tA)SigA(tA,tB)SigC(tA,tB)A A以为与以为与B B通信，通信，实际上与实际上与C C39基于公钥密码的认证基于公钥密码的认证 n改进的站对站协议改进的站对站协议 A BrARZq ,tA=grA tA rBRZq,tB=grB验证签名 tB,SigB(tB,tA,A)ZAB=tArBZAB=tBrA SigA(tA,tB,B)验证签名 40零知识身份认证零知识身份认证 n零知识证明（零知识证明（zero-knowledge

30、 proof）的思想是：证明）的思想是：证明者者Peggy拥有某些知识（如某些长期没有解决的难问拥有某些知识（如某些长期没有解决的难问题的解决方法），零知识证明就是在不将该知识的内题的解决方法），零知识证明就是在不将该知识的内容泄露给验证者容泄露给验证者Victor的前提下，的前提下，Peggy向向Victor证明证明自己拥有该知识。例如：自己拥有该知识。例如：nPeggyPeggy：“我可以对密文为我可以对密文为C C的消息进行解密。的消息进行解密。”nVictorVictor：“我不相信。请证明。我不相信。请证明。”nPeggyPeggy（糟糕的回答）：（糟糕的回答）：“密钥是密钥是K K

31、，您可以看到消，您可以看到消息解密成了息解密成了M M。”nVictor：“哈哈！现在我也知道了密钥和消息。哈哈！现在我也知道了密钥和消息。”41零知识身份认证零知识身份认证n一个更好的对话是：一个更好的对话是：nPeggyPeggy：“我可以对加密为我可以对加密为C C的消息进行解密。的消息进行解密。”nVictorVictor：“我不相信。请证明。我不相信。请证明。”nPeggyPeggy（好的回答）：（好的回答）：“让我们使用一个零知识协议，让我们使用一个零知识协议，我将以任意高的概率证明我的知识（但是不会将关我将以任意高的概率证明我的知识（但是不会将关于消息的任何情况泄露给您）。于消息

32、的任何情况泄露给您）。”nVictorVictor：“好好”。nPeggy Peggy 和和 Victor Victor 通过该协议通过该协议42零知识身份认证零知识身份认证n可以使用洞穴例子来可以使用洞穴例子来解释零知识，解释零知识，C C和和D D之之间存在一个密门，并间存在一个密门，并且只有知道咒语的人且只有知道咒语的人才能打开。才能打开。PeggyPeggy知道知道咒语并想对咒语并想对VictorVictor证证明，但证明过程中不明，但证明过程中不想泄露咒语。想泄露咒语。DCAB43零知识身份认证零知识身份认证n零知识证明的例子。零知识证明的例子。n图是否同构是图是否同构是NPNP完全

33、问题，对于一个非常完全问题，对于一个非常大的图，判断两个图是否同构是非常困难大的图，判断两个图是否同构是非常困难的。的。n对于图对于图G G1 1和和G G2 2，如果存在一个一一对应的，如果存在一个一一对应的函数函数F F：F F的定义域是的定义域是G G1 1的顶点集。的顶点集。F F的值的值域是域是G G2 2的顶点集。当且仅当的顶点集。当且仅当g1,g2g1,g2是是G G1 1中中的一条边，的一条边，F(g1),F(g2)F(g1),F(g2)才是才是G G2 2中的一中的一条边，称条边，称G G1 1和和G G2 2同构的。同构的。零知识身份认证零知识身份认证n假设假设PeggyP

34、eggy知道图知道图G G1 1和和G G2 2之间同构，之间同构，PeggyPeggy使用下面的协使用下面的协议将使议将使VictorVictor相信相信G G1 1和和G G2 2同构：同构：n（1 1）PeggyPeggy随机置换随机置换G G1 1产生另一个图产生另一个图H H，并且，并且H H和和G G1 1同同构。因为构。因为PeggyPeggy知道知道G G1 1和和H H同构，也就知道了同构，也就知道了H H和和G G2 2同同构。构。n（2 2）PeggyPeggy把把H H送给送给VictorVictor。n（3 3）对如下两个问题）对如下两个问题VictorVictor选

35、择其中的一个，要求选择其中的一个，要求PeggyPeggy证明。但是，证明。但是，VictorVictor不要求两者都证明。不要求两者都证明。n 证明证明G G1 1和和H H同构，或者同构，或者n 证明证明G G2 2和和H H同构。同构。n（4 4）PeggyPeggy按按VictorVictor的要求证明。的要求证明。n（5 5）PeggyPeggy和和VictorVictor重复步骤（重复步骤（1 1）至（）至（4 4）n n次。次。45nMessage Authentication：报文鉴别：报文鉴别（消息认证，消息鉴别）（消息认证，消息鉴别）nMessage：消息、报文。：消息、报

36、文。nAuthentication：鉴别、认证。鉴别、认证。n认证：消息的接收者对消息进行的验证认证：消息的接收者对消息进行的验证n真实性：消息确实来自于其真正的发送者，而非假冒；真实性：消息确实来自于其真正的发送者，而非假冒；n完整性：消息的内容没有被篡改。完整性：消息的内容没有被篡改。n是一个证实收到的消息来自可信的源点是一个证实收到的消息来自可信的源点且未被且未被篡改篡改的过程。它也可以验证消息的过程。它也可以验证消息的的顺序顺序和和及时性及时性二、消息认证二、消息认证46n三元组（三元组（K,T,V)n密钥生成算法密钥生成算法Kn标签算法标签算法Tn验证算法验证算法V攻击者攻击者信宿信

37、宿信源信源认证编码器认证编码器认证译码器认证译码器信道信道安全信道安全信道密钥源密钥源TVK概念概念47认证函数认证函数n鉴别编码器和鉴别译码器可抽象为鉴别编码器和鉴别译码器可抽象为认证认证函数函数n认证函数认证函数n产生一个产生一个鉴别标识（鉴别标识（Authentication Identification）n给出合理的给出合理的认证协议认证协议(Authentication Protocol)n接收者完成消息的接收者完成消息的鉴别（鉴别（Authentication）48认证函数分类认证函数分类n认证的函数分为三类：认证的函数分为三类：n消息加密函数消息加密函数(Message encr

38、yption)n用完整信息的密文作为对信息的认证。用完整信息的密文作为对信息的认证。n消息认证码消息认证码MAC(Message Authentication Code)n是对信源消息的一个编码函数。是对信源消息的一个编码函数。n散列函数散列函数(Hash Function)n是一个公开的函数，它将任意长的信息映射成一是一个公开的函数，它将任意长的信息映射成一个固定长度的信息个固定长度的信息。49MEKEK(M)DMK提供保密提供保密提供认证提供认证不提供签名不提供签名BobAlice对称加密：保密性与认证对称加密：保密性与认证认证函数：加密函数认证函数：加密函数认证函数：加密函数认证函数：加

39、密函数公钥加密：保密性公钥加密：保密性MEKaEKa(M)DMKa提供保密提供保密不提供认证不提供认证BobAlice认证函数：加密函数认证函数：加密函数公钥加密：认证与签名公钥加密：认证与签名MDKbEKb(M)EMKb提供认证提供认证BobAlice公钥加密：保密、认证与签名公钥加密：保密、认证与签名MDKaEKa(Dkb(M)DKa提供认证提供认证提供保密性提供保密性EKbDkb(M)Dkb(M)EKbMBobAlice认证函数：加密函数认证函数：加密函数认证函数：加密函数认证函数：加密函数公钥加密：保密、认证与签名公钥加密：保密、认证与签名?MEKbEKb(Eka(M)EKb提供认证提

40、供认证提供保密性提供保密性DKaEa(M)Eka(M)DKaMBobAlice54认证函数：消息认证码认证函数：消息认证码n消息认证码：消息认证码：n使用一个密钥生成一个使用一个密钥生成一个固定大小的短数据块，并将该数据固定大小的短数据块，并将该数据块加载到消息后面，块加载到消息后面，称称MAC（或密码校验和）（或密码校验和）MACCk（M）nMAC函数类似于加密函数，函数类似于加密函数，但不需要可逆性但不需要可逆性。因此在数学。因此在数学上比加密算法被攻击的弱点要少上比加密算法被攻击的弱点要少55认证函数：消息认证码认证函数：消息认证码MAC的基本用法：消息认证的基本用法：消息认证Alice

41、BobM|KCK(M)CKCM比较比较提供认证提供认证认证函数：消息认证码认证函数：消息认证码MAC的基本用法：与明文有关的认证的基本用法：与明文有关的认证M|K1CK(M)CK2CM比较比较EK2MDK1MAliceBob提供认证提供认证提供保密提供保密认证函数：消息认证码认证函数：消息认证码MAC的基本用法：与密文有关的认证的基本用法：与密文有关的认证M|K1CK1(Ek2(M)CCM比较比较EK2K1提供认证提供认证提供保密提供保密MMDK2BobAliceEk2(M)认证函数：认证函数：Hash函数函数nHash Functionn哈希函数、摘要函数哈希函数、摘要函数n输入：任意长度的

42、消息报文输入：任意长度的消息报文 Mn输出：一个固定长度的散列码值输出：一个固定长度的散列码值 H(M)n是报文中所有比特的函数值是报文中所有比特的函数值n单向函数单向函数n根据是否使用密钥根据是否使用密钥n带秘密密钥的带秘密密钥的Hash函数函数:消息的散列值由只有通信双方知道的秘消息的散列值由只有通信双方知道的秘密密钥密密钥K来控制。此时，散列值称作来控制。此时，散列值称作MAC。n不带秘密密钥的不带秘密密钥的Hash函数：消息的散列值的产生无需使用密钥。函数：消息的散列值的产生无需使用密钥。此时，散列值称作此时，散列值称作MDC。nHash函数需满足以下条件：函数需满足以下条件：n输入输

43、入x可以为任意长度，输出为固定长度可以为任意长度，输出为固定长度n正向计算容易，反向计算困难正向计算容易，反向计算困难n抗冲突性抗冲突性(无冲突性）无冲突性）哈希函数的基本用法（哈希函数的基本用法（a）M|H(M)HKHM比较比较EKMDMBobAlice提供认证提供认证提供保密提供保密EK(M|H(M)哈希函数的基本用法（哈希函数的基本用法（b）M|KEK(H(M)HHM比较比较EDBobAlice提供认证提供认证K哈希函数的基本用法（哈希函数的基本用法（c）M|KbDKb(H(M)HHM比较比较DEBobAlice提供提供认证认证Kb哈希函数的基本用法哈希函数的基本用法(d)M|KDKb(

44、H(M)HHM比较比较EDBobAlice提供认证提供认证提供保密提供保密KMMDKbEKbEk(M|DKb(H(M)哈希函数的基本用法（哈希函数的基本用法（e）M|H(M|S)|HM比较比较BobAlice提供认证提供认证SS|H哈希函数的基本用法（哈希函数的基本用法（f）M|H(M|S)|KHM比较比较EKMDMBobAlice提供认证提供认证提供保密提供保密EK(M|H(M|S)SS|H数字签名数字签名n数字签名：数字签名：Digital Signaturen传统签名的基本特点传统签名的基本特点n签名是可信的：能与被签的文件在物理上不可分割签名是可信的：能与被签的文件在物理上不可分割n签

45、名是不可抵赖的：签名者不能否认自己的签名签名是不可抵赖的：签名者不能否认自己的签名n签名不能被伪造：除了合法者外，其他任何人不能伪造其签名签名不能被伪造：除了合法者外，其他任何人不能伪造其签名n签名是不可复制的：对一个消息的签名不能通过复制的方式变为另外签名是不可复制的：对一个消息的签名不能通过复制的方式变为另外一个消息的签名一个消息的签名n签名是不可改变的：经签名的消息不能被篡改签名是不可改变的：经签名的消息不能被篡改n容易被验证容易被验证n数字签名是传统签名的数字签名是传统签名的数字化数字化n能与所签文件能与所签文件“绑定绑定”n签名者不能否认自己的签名签名者不能否认自己的签名n容易被自动

46、验证容易被自动验证n签名不能被伪造签名不能被伪造数字签名数字签名n五元组五元组(P,A,K,S,V)nP是所有消息组成的有限集是所有消息组成的有限集nA是所有可能的签名组成的有限集是所有可能的签名组成的有限集nK是所有可能的密钥组成的有限集是所有可能的密钥组成的有限集nS签名算法签名算法nD验证算法验证算法:0,1:(),(,)1,(,)0kkkkkSPAVPAySx V x yV x y否则数字签名数字签名n可分为两类：可分为两类：n直接数字签名方案（直接数字签名方案（direct digital signature）；n基于仲裁的数字签名方案（基于仲裁的数字签名方案（arbitrated

47、digital signature）。直接数字签名直接数字签名Sa（M）Eb(Sa(M)M，Sa(H(M)Eb(M，Sa(H(M)MMSH（M）Ek（H）MDk（H）HHH比较比较Alice(A)Bob(B)直接签名直接签名Alice(A)Bob(B)加密签名加密签名Alice(A)Bob(B)Hash签名签名Alice(A)Bob(B)加密签名加密签名HashHash签名签名仲裁数字签名仲裁数字签名Alice(A)Bob(B)Trent(T)M,EM,Eatat(ID(IDa a,H,H（M)M)Ebt(IDa,M,Eat(Ida,H(M),T)Alice(A)Bob(B)Trent(T)E

48、ab(M),Eat(IDa,Eab(H(M)Ebt(IDa,Eab(M),Eat(Ida,Eab(H(M),T)Alice(A)Bob(B)Trent(T)Ida，Sa(Ida，Eb（Sa（M）St（IDa，Eb（Sa（M），），T）对称密码明文传送对称密码明文传送对称密码密文传送对称密码密文传送公钥密码密文传送公钥密码密文传送n普通数字签名体制普通数字签名体制n RSA n EIGamal n DSS/DSAn不可否认的数字签名算法不可否认的数字签名算法n群签名算法群签名算法n盲签名算法盲签名算法数字签名体制数字签名体制DSS签名算法我们在后续课程中讲述签名算法我们在后续课程中讲述数字签名体

49、制数字签名体制n盲签名算法盲签名算法Alice(A)Bob(B)t=mkemod ntd=(mke)dmod n72WhivpHSt9A8DreF7p%qkj!Ppqp!C$E656QFed8Fbu(pc1y7Ah&7rnBE1yCRN-cZI1Mb1!l#cUjik(YBHJf*p5LPVAt7bbNoMkRLF7Wl8#9zBW*z2cxB$d)XbtY#%rOmG-$S-d+YamT*f3Y1-c-Zdu(fH!*Hw52&oY0wPt8sZ3F1()JDf6)jv#+f)LPCEe!0+ji5vXX33uRGDea*cufcpd7zUtTlsy+nCj&5ldmjI)#&TMMdLy5

50、#kPH63lu1K$pHfPItzmjUjbGL6vmj%WETHY%gfk#6hL!A9nXSq6nz2oHzoRkC6-6bHYl5(p#6F*T*B$ATpCXU05&uo55Q-RF4W9beL-!IhpBo8j2Y5j!UEWsypwkBlcT#a-U-xgosC#C&-ZRfZhAZP)Z+(cX$WxGJaUE8ZhZ1caXJzeC56rP&hhCVeF7CQkQQIILEIlqc1elH&Fx#O-H4MjTSP1o4chGW9&HSEOPCTJ(lUFkdq71URSdVu#yVJ3ZzKip(6xsQvC-UHF5*a%L13f)*Y3Q3OmM6tiHKBoSuVnq

51、)+*MB#%Cml28GT3lGiQXC1YxNk9-jkqaBgnRM1S1)qtqL1r1CR(grl0j80TiCz0-5#6f3aSS4lOha#HEnZZtOdv#kM3Jty*(9*FJmFjTio3$9YT(Zd3VvSsW7oGoo588D98m8MKRnISqjK5zSN)pQ5Sg*f!tr6N!-a5G8Shc-o0vKek0tT&L0*WfklP3#YmzSHSKAjbm!EYhLR19!1z4I*FlRM3sxNK!hm&pon9%y1*b2)a8FiO2Z7s9JT(MMyb#RyT-G0Dg+kiZOFL7yt*lpu#79PWGE41(JgTZgzoUw6Bz

52、pj9S)aldPyDXk5E7rc7Ch4!56guhj+ogJ*(YcnpO+0#V-62TDA4hDZylrCxiURUfZg*A$Nu6bc54Jb7RI0RSxD#e#fGs8c#q)QwtwPGx0myBEk-Wa6KZ&5PpMsw%bl3ia0UcsS!uLWETPr6-mPMLfwFwd#x8wXg#3o1Gg4(*aC-)&fTy8g3ge9oBeoTGnBOYVDR$F5GXfot6z#$+&vI47sOt(RkQLT7dxnf-Wqh0e$(VXybed$U8z)TUvamqQX3L!PRBLQl-n*rh8FeFk$0e3nt7VBCkolQfoNZs$)a3inZv

53、J2fQfd2d46LfcBB#b(ZuhFyrOYfa+oTYndJ6-QP1fH#z$zSBXj4Hj)Vi&8lCgKSa7tN6G#+vpj8im&%!1Fpf#GC%xXMu#!y-CzKEg8t2PhxJRHXIr)#f(74KXTncORI2(K77rV8!VrJJ!%o(Swrx(WoBFK$qNSHSYJaYAaxAuv*p25Vihy0Vs#U9dI)6MMdio(+qxWi#vo5SwT$2Rh7BqFbSbt0$pD!VhUvEAVVaLiuUwqrVW7(qw*)bbrN(dgc*RiqZsqk1vMavvVJTlILC10#TKGZ)ZhfraJGZzvYy%Lnk

54、WRZ+1&pTlwNZf-j6%fUU&0EIx&GIylDE#7Ak#9hdP0AZKz5)$7O3O8aJdhjzDP!4KR7pg!xssz+-(UHV#twgV&C6d39&KcQ!h5Gbeo56*g*3-b+%mZdUe2ZiJoPdd7ruLzpLWh7Z4ngohBSCv2*N$9-2KxoO(BWikkN&s&P0rvQZ6EvbaW!HtZCxGPlQ0H62xY+p86Ih$jSKJgy%-pRh4Hb$Kz)Mt)ynB0%k)qukcbWr!ul)!Laf$XEaPqW!7MshK(UwZ2LCk5OVB3$mmYQc(4qzZGTX(50DT7)DKCvE*p1h

55、9%*Uf&dM(hf-JiG9$W5&zay8qAC)la1N2jOCoanR-+LCP3yna*%J*QZYbYxs$pKT%L03%8cXVbTRKIV%eiqeBN7aFdXSSh*6oXyh9hj*#ONEJ!wBJypLak9fq4FvEDvD)&xPWO17bwoFQ3lJnZLPd0ve!tbj9mM0%zPJLkV*mx1&#MTGBz3gHTlTT!NNRr-+W#FpJWmE)(pG5hzh*zOQcGEOEQUcFo!J+rgAAU(&j-AfYuCRXJGpZ)hcTv#Wvdx8i-I-1mNph$QlKBee-Tq80sxiycP#d#qd#gL3luWHfvtQ

56、01MiQS!WOHFerm-qbQ8Jn(jylPBwJPYe1ZG*2V1XcckXWldhSm#c!x8Z*-NAP7ps(4GR2sxOE2-Qaoa$#wU2EP%J-R*TIhp&lxp+sLGKAs*JN-RS2C%sQ1#yZMpQ5P8xJ+*wS3DDOSRmNXd7D1ETRBuKizBkN9wKDPMdN*hmR7xzY&bCQAxcfbXl6LrP3Wum#CPYmE04aM5R9JLL1dDDG7ziZld7JpKW2QojBOm*p-Yrxom*N-#MpcS!7H&HttvWTP*GCC5xTKcNKU0ztQo8lg&U*4*S5xEh5NZxYeqREzth

57、C%CeCRkGqg7)soFoffM#em5(77&9fqIcU#qX2qvZgJ32Fuw9nz#FTX(rz$Nzp8HJsz0&r(C0*NtjRhgsf7rKdrKS9x9c)#XZ3IKEJYqO*2Q+fAzmO70y!x8bjN)Oou!79alt4I9rSM&KEhlcL3SdU*5#z!HhsJCNL4wtCsGMhY9L+QvVsjXBQ$uOc2YdYLe#6dHgJ8ueFG#A*qiHPo-7m*M)YQveHTGGfjC!tzAY)MSgW21LiME9vfoI2HA8Ks3aE(Kaz4B6GR67-aZAuFBGGkj3he96I4px-Kb*DOUkD1ye

58、i81YK1-cF6kZSv!Sz2acnIk4$iCNy1MeWHHfn#zuPzxKDPAK&Vtdv(C2krIy&6$RtdV4y36QDnsDdS!ix6RCb3Hi5-Do()BgLs18j44#4f%Qi5T%7$MMG)hXaHXXueS!4RnfDQcGtrx!lzHscSRTg%nwXOZ#rEV7bN+ll0eh2mgZ%-MjcdOD7zV9&JAaT7AI(sSD2+Nsv3-U9HAZU!I2LKD5)LDR(NYWZ-XuFKgknzY1tjVc9Q0U9IugQn42U&i726!3j+j1qy3S0WN2tgAIM)$d1i9OEc2Ztr7cjSaZdFrd

59、Fm0qWSKZLzR-TPsrjJ37ou$nmvirrYoxUH8NQL$ZAYecch-TseNvxxwHq$S+R33fbOef8fwEpP1CK(crSS8awRsY)N9BLK6iLt#+cV7toZJLEc2uWE&30gRuS0RmmNby%1gMTTdLaOkgg!Sp8dT7LfXC2DIr%JFjl!SlHwmrMa(H3h#EDCkO%jvL&XF#9AEHEtRsuhfEYMYekzgynreqypJhF5aeM-BQ2XDHts-EFvErlQpJ9vaW272LsTC&BGY8F*0p*kZ9IJ5%-9Cv)oTWUNFuM6Ns#S!0$FCusaHKGRYC

60、9#UsGMKUCTCK+0Ly!R-vmfjNuPdP%uHzHGip$2E(!gchtegPo$3lAIUpcAQwc&azgCdC!DaU+PizpWR%SGJhKJLQye!KrOek8EeFjFzoDBNwh0%BwiCZV)%hCpl(!M&e6nyi7vLh-DDFmC+7awY$lbIrzQPrm2MhFpgt0+iLecpSB9rvzs6)5cgP)0HM02DDbY)TiuA1t0dm)lrl8MWS8$OvePk6I%M(&f)1bzIM767CnO1+UjMJ+JD$jVNYNui*Rl$u6aJC(S7-PFV$Hn+-MU!C8uMQbEz$96bVsqbbN+WR

61、ph)ansvPLMcGoYANvTiyx0326+PXF&8ZNs%LLSJGqZSah)c5elaaw8H93ZXLerK&5QnhHNrzaA$+c7AzfIXNlApvIVU(zgr+q#88PZzTK7w+wNvL8v)-kL+jwUN4aWmj*(Z5L#vRgnxy3qy)ADfpMHEAfInDBwT!jmkUsOjO!0BZuN+UyAjeQfkBzV1Q+E!sAXiYaQfgd*YC!Ye&puXMS28v55$eBq%wqIC0NATs5p2(y$YJkvl+1bOYDwKyLjhb3zQI(!qJIer(kgz6mS1KAw+)&nHRDHeqSFA7cLSj*rkI

62、Wln8DL8!&UHQTXGrJRog+h-71aGTzmYJk4(gnLJNfLu*HYqOfy4EEK8bpb-g8SO)KjevyHeii3qtx&zemSpv3UPZ%inh99zcDpu!D)4Vf3P)gis5WiccacqFzRd17R$jg*QpuqGeH+KE!8hT8)!x+$WJEAb*TF$csqI4K75sQ1t&yac3EmGLRkV7Pd98P$lmr&p5B7iq!eS(g-JKpgTozW!e!4bHLknaDV9*JNw!+%k0jgGHOy8nB+J8CFC1fyRGK0JQ67)cVYFqVf3P)ge6tJigsex%9OvDIEgyXEl%e314

63、vi*c&#-jJCXb%dPNCV$HhJHRWFuQwZ)zIRdU8Tn6+ikAodzLsh-dvlrg+U3dJU5&Ozygo7C#BC0$PfDm5RFm4hiZw-sB8fP5Lc0bZsvCEdES8Ra(U)8xJqV(#6N9(tklp8Wfm*AVvU#6K7pa#DyS4*SZUGGo)%!%vSnbqqOq0+ST&#d9dk1NtgR&lhcALvqgG2aAOm%6uz!d)Wm3GB4G-K0)%(I0njiRtO3B&(9C#TmV#oYq9+wlE0AX0A6T+I!LQRiSBrKd$tr4SzN3W5U&j*&06Ja44DhDDLEZusFsnuvL

64、8$NaaTKIzjMY6J*ErrA!W$TLLeW(mx0(%R#PNfOFhaNkpmGGRxkch5hoDZz#2$SlOpTpt(bmar$8i$KW(ddyyId5sUVW-aby3QzNLh5O%uVSt2sIuY83bGeW!4JUNw9vag$Mj2QDc2oxl*cfWS+P)IDO0bYXo%ADHdpRVF(uF)eG*PmcOnxB&6wsqT2!LnxLy)8$O)p*V)TCSWKLBHqL%9ckJLil2tIxr#f$qzKqxai#Un7tyQkyLM+K!Q-bEU7hxf1cqiv!f4%c&yuQ&ma12(8&LAd0FsH1CD%xbi8xMad%

65、8rj49XERV9dp5SWLQvduC(7sfra7XGG5xiVdBPnM-!oli2wI4ku)I$1Tmjv+CodqcffY7e+Dzqdmv2Gd)u*tYU1fWp#KV94Ac0i0t!$-7buh53(BQlu3XN53n)pO4DW0um5aDH8JT6cYyHI)3l8*bg&*!mW+s#gHtsy#oFSc#pisw+hOj4+(iVU&*3Y73i04xqsPHn5flPfez0TzO-)Wdp2(b*gUI-QRBT#$5)L*Q(L$QBpYKlAKQZ73Pkj7c&T8s1t-ao(vdIchjKWdbdL+J-wxvV)opt(r8FdpA4x5nLye

66、i30D63Y!HtQ)D$uDOjOtVlnlJR3-*pKfA%#U5cy22EfDbICw-Nc+R0qsNWq%3osT4YOe)CAx+L4UrxHsrdrCg4H4oc)a7l7-mD5oQNJ)8ADKhRE9Zb+jP&w$XYAuakt6*zratPYLNn098srzaSRCCbYxu51W2lbe1cj!FC$uBH8w3mKAjrdazYRVGOOcPHe+tYQzCkbEBTgy6LS)#vs%sk-%zadaUNvHTCxpot+zn&Or0eCI0kwIbx)6gIbt)skfQ)uAJgP(wWHuZ1J$g2SL!(w(2eeZGYw*NhfcU7N)ngsfi7b)emOLvN-$yFk3k3JAg7%78pfjXzL3HPY6Q9#+YHP#XdD1*8-A1GWh-oQ$eg(S6rt(kAYKo8tFnOx3HbKZR)%vS5ztE5cT3O8RFrQd%aKIYah*39P(wVyIO!ZtGR5kLw6ney$GJ!rM(AHUA&BI*9dribgE$OJHQRiN-tXdF3p8U!Ek#lAgFpvyVA#iCziVo7(pwtOm