安徽工程大学 信息安全原理及应用 第7讲 数字签名与身份认证.ppt

《安徽工程大学 信息安全原理及应用 第7讲 数字签名与身份认证.ppt》由会员上传分享，免费在线阅读，更多相关内容在PPT专区-天天文库。

1、第7讲数字签名与身份认证网络与信息安全Ⅰ1主要内容数字签名1认证协议2数字签名标准3身份认证技术4认证服务57.1数字签名数字签名（DigitalSignature）是公开密钥体系加密技术发展的一个重要的成果。消息认证可以保护消息交换双方不受第三方的攻击。但是不能处理通信双方自身发生的互相攻击。不可否认性的应用需求网络通信中，希望有效防止通信双方的欺骗和抵赖行为。Y伪造一个不同的消息，但声称是从X收到的；X可以否认发过该消息，Y无法证明X确实发了该消息；数字签名技术为此提供了一种解决方案。它的作用相

2、当于手写签名。《纽约客》杂志一张颇为著名的漫画数字签名的特征必须能够验证签名者、签名日期和时间；必须能够认证被签的消息内容；签名应能够由第三方仲裁，以解决争执。数字签名的满足条件数字签名必须是与消息相关的二进制位串；签名必须使用发送方某些独有的信息，以防伪造和否认；产生数字签名比较容易；识别和验证数字签名比较容易；伪造数字签名在计算上是不可行的；保存数字签名的拷贝是可行的。数字签名体制一个数字签名体制应由以下部分组成：一个明文消息空间M：某字母表中串的集合；一个签名空间S：可能的签名集合；一个签名密钥

3、空间K：用于生成签名的可能密钥集合；一个认证密钥空间K’：用于验证签名的可能密钥集合；一个有效的密钥生成算法；一个有效的签名算法s←Signsk(m)；一个有效的验证算法Verifypk(m,s)={True,False}。案例描述从网上下载可执行的软件后，用户如何相信它是无害的呢？大公司的软件可以信赖。可是如果黑客用自己的软件冒充大公司的软件，或者篡改大公司的软件，企图危害用户时怎么办？数字签名案例——软件防纂改案例解决方案这个问题利用数字签名可以解决。软件发行者生成软件后，用私钥对软件签名，再把软

4、件本身、签名结果、公钥证书制作成一个包发行。这样用户可以从公钥证书知道发行者的真实身份，经验证签名可以确定软件发行后有没有被篡改。数字签名案例——软件防纂改数字签名的解决方案可分为两大类：直接数字签名方案；基于仲裁的数字签名方案。直接数字签名实现比较简单，在技术上仅涉及到通信的源点X和终点Y双方。终点Y需要了解源点X的公开密钥Kux。发送方A可以使用其私有密钥KRx对整个消息进行加密来生成数字签名。更好的方法是使用KRx对消息的散列码进行加密来形成数字签名。直接数字签名的安全性方案的安全性依赖于发送方

5、X私有密钥的安全性。发送方可以声称自己的私有密钥丢失或被盗用，而否认其发送过某个报文。改进：每个签名报文中包含一个时间戳。问题：X的私有密钥确实在时间T被窃取；攻击者窃取X的密钥后，则可能发送带有X的签名报文，附上一个等于T的时间戳，接受者无法判别。基于仲裁的数字签名通过引入仲裁来解决直接签名方案中的问题。仲裁者必须是一个所有通信方都能充分信任的仲裁机构。基本工作方式（假定用户X和Y之间进行通信）：每个从X发往Y的签名消息首先被送给仲裁者A；A检验该报文及其签名的出处和内容，然后对报文注明日期，并附加

6、上一个“仲裁证实”的标记发给Y。基于仲裁的数字签名--对称密钥加密方式(1)发送方X和仲裁A共享一个密钥Kax。A和Y共享密钥Kay。数字签名由X的标识符IDx和消息的散列码H(M)构成，用密钥Kax进行加密。过程：(1)X→A：M‖EKax(IDx‖H(M))。(2)A→Y：EKay(IDx‖M‖EKax(IDx‖H(M))‖T)。(3)Y存储报文M及签名。当发生争端时解决方式Y→A：EKay(IDx‖M‖EKax(IDx‖H(M)))。仲裁A可用Kay恢复出IDx、M及签名，然后再用Kax对签名解

7、密并验证其散列码。基于仲裁的数字签名--对称密钥加密方式(1)基于仲裁的数字签名--对称密钥加密方式(1)特点：Y不能直接验证X的签名。双方都需要高度相信AY相信A已对消息认证，X不能否认其签名；X信任A没有暴露Kxa，无人可伪造签名；双方都信任A处理争议是公正。问题：报文M明文传送给A，有可能被窃听。基于仲裁的数字签名--对称密钥加密方式(2)明文加密的方案（仲裁方不能阅读消息）假定X和Y共享密钥Kxy。X用Kxa对其标识、用Kxy加密后的消息的hash值产生签名，然后将其标识、用Kxy加密后的消息

8、和签名发送给A。(1)X→A：IDx‖EKxy(M)‖EKax(IDx‖H(EKxy(M)))。(2)A→Y：EKay(IDx‖EKxy(M)‖EKax(IDx‖H(EKxy(M))‖T)。基于仲裁的数字签名--对称密钥加密方式(2)特征：X与Y之间共享密钥Kxy。签名的构成：IDx和消息密文的散列码用Kxa加密。签名的验证：A解密签名，用散列码验证消息。A只能验证消息的密文，而不能读取其内容。A将来自X的所有信息加上时间戳并用Kay加密后发送给Y。问题