课件05.ppt
- 文档编号:18772881
- 上传时间:2023-11-06
- 格式:PPT
- 页数:43
- 大小:474KB
课件05.ppt
《课件05.ppt》由会员分享,可在线阅读,更多相关《课件05.ppt(43页珍藏版)》请在冰点文库上搜索。
Donot,foronerepulse,giveupthepurposethatyouresolvedtoeffect.(WilliamShakespeare,Britishdramatist)不要只因一次失败,就放弃你原来决心想达到的目的。
(英国剧作家莎士比亚.W.),第五章消息认证与数字签名,5.1消息认证5.2散列函数5.3数字签名体制5.4数字信封5.5数字证书,对称密码和非对称密码解决的是保密性消息认证和数字签名解决的是信息的完整性、抗否认性保密和认证同时是信息系统安全的两个方面。
但它们是两个不同属性的问题,认证不能自动提供保密性,而保密性也不能自然提供认证功能。
一般来说,产生认证符的方法有三种:
(1)信息加密函数(Messageencryption)用完整信息的密文作为对信息的认证。
(2)信息认证码MAC(MessageAuthenticationCode)是对信源消息的一个编码函数,即消息摘要函数。
(3)散列函数(HashFunction)是一个公开的函数它将任意长的信息映射成一个固定长度的信息。
5.1信息认证,信息加密函数作认证,下图的通信双方是:
用户A为发信方,用户B为接收方。
用户B接收到信息后通过解密来判决信息是否来自A信息,是否是完整的有无窜扰。
注意:
只用私钥加密不能提供保密性,信息认证码(MAC),消息认证是使预定的消息接收者,能够检验收到的消息是否真实的方法。
检验内容应包括:
(1)证实报文的源和宿消息认证使接收者能识别消息的源和意定的信宿
(2)内容的真伪报文内容是否曾受到偶然的或有意的篡改(3)时间性报文的序号和时间栏,消息认证码(MAC)(或称密码校验和)是在密钥的控制下将任意长的消息映射到一个短的定长数据分组,并将它附加在消息后。
设M是变长的消息,K是仅由收发双方共享的密钥,则M的MAC由如下的函数C生成MAC=CK(M)MAC函数与加密函数的主要区别在于:
MAC函数不需要可逆,而加密函数必须是可逆的。
发方:
(M/CK(M)(M/MAC)收方:
MAC=CK(M)认证与加密相结合,问题:
对称密码体制的加密可以提供认证,为什么还要使用独立的消息认证一些应用要求将相同的消息对许多终端进行广播,仅使用一个终端负责消息的认证。
这种方法既经济又实用负责认证的终端有相应的密钥并执行认证操作如果认证不正确,其它终端将收到它发来的告警。
接收方有繁重的任务,无法负担大量的解密任务有一些应用只关心信息的完整性,而不需要保密性认证与保密的分离能够提供结构上的灵活性。
有些应用场合,期望在超过接收时间后,继续延长保护期限同时允许处理消息的内容,如果使用加密解密后保护就失效了,这样消息只能在传输过程中得到完整性保护但在目标系统中却办不到。
5.2散列函数(HashFunction),在信息安全技术中,经常需要验证消息的完整性,散列(Hash)函数提供了这一服务,它对不同长度的输入消息,产生固定长度的输出。
这个固定长度的输出称为原输入消息的“散列”或“消息摘要”(Messagedigest)。
h=H(M)传送过程中对散列值需要另外的加密保护,如果不加保护,很可能使其认证功能失效。
安全的散列函数H必须具有以下属性:
H能够应用到大小不一的数据上。
-不定长的输入H能够生成大小固定的输出。
-定长的输出对干任意给定的x,H(x)的计算相对简单。
对于任意给定的代码h,要发现满足H(x)h的x在计算上是不可行的。
-单向性对于任意给定的块x,要发现满足H(y)H(x)而y=x在计算上是不可行的。
要发现满足H(X)=H(y)的(X,y)对在计算上是不可行的。
散列算法简介,MD2算法MD2算法是Rivest在1989年开发出来的,在处理过程中首先对信息进行补位,使信息的长度是16的倍数,然后以一个16位的校验和追加到信息的末尾,并根据这个新产生的信息生成128位的散列值。
它针对8位的计算机进行过优化,但速度比后来的散列算法要慢。
MD4算法1990年又开发出MD4算法。
MD4算法也需要信息的填充,它要求信息在填充后加上448能够被512整除。
用64比特表示消息的长度,放在填充比特之后生成128位的散列值。
MD5算法MD5(MessagCDigestAlgorithm-5)算法是在1991年设计的,在RFC1321中描述16。
MD5按512位数据块为单位来处理输入,产生128位的消息摘要。
SHA/SHA-1算法SHA(SecureHashAlgorithm)算法由NIST开发,并在1993年作为联邦信息处理标准公布。
在1995年公布了其改进版本SHA-1。
SHA与MD5的设计原理类似,但它产生160位的消息摘要,具有比MD5更强的安全性一直主要被政府部门和私营业主用来处理敏感的信息。
疑问?
华盛顿时报随后发表的报道称,中国解码专家开发的新解码技术,能有效地攻陷SHA1所构筑成的保安系统,进入美国政府重要的部门,如五角大楼及情报机关。
事实是否真是如此呢?
“这是不可能的!
”王小云教授回答时格外严肃,“我们的研究成果显示出MD5、SHA1等一系列之前被认为是牢不可破的密码体制的不安全性,动摇了许多基于这些HASH函数的密码体制的理论根基。
为密码学界提示出这些潜在的危机,是希望能借此呼唤出更安全的函数,使网络信息能更加安全这才是科学研究的根本意义。
”王小云所带领的研究小组的发现没有引起大规模的骚动,但它确实给世界信息安全学界敲响了警钟。
在她结果公布的7天前,美国国家技术标准局的安全技术组负责人发表声明:
“SHA-1没有被攻破,并且没有足够的理由怀疑它会很快被攻破。
”而7天以后,美国不少公司已着手在内部系统中替换SHA1,美国国家标准技术局也表示5年内将不再在新的应用中使用SHA1,并计划在2010年改用更加先进的SHA224、SHA256、SHA384及SHA512的密码系统。
SHA1这一在美国领尽十年风骚的计算机密码,不得不渐渐退出历史舞台。
5.3数字签名体制,美国统一电子交易法规定,“电子签名”泛指“与电子记录相联的或在逻辑上相联的电子声音、符合或程序,而该电子声音、符合或程序是某人为签署电子记录的目的而签订或采用的”;联合国电子商务示范法中规定,电子签名是包含、附加在某一数据电文内,或逻辑上与某一数据电文相联系的电子形式的数据,它能被用来证实与此数据电文有关的签名人的身份,并表明该签名人认可该数据电文所载信息;欧盟的电子签名指令规定,“电子签名”泛指“与其他电子记录相连的或在逻辑上相连并以此作为认证方法的电子形式数据。
”从上述定义来看,凡是能在电子通讯中,起到证明当事人的身份、证明当事人对文件内容的认可的电子技术手段,都可被称为电子签名。
所谓电子签名,是指数据电文中以电子形式所含、所附用于识别签名人身份并表明签名人认可其中内容的数据。
通俗点说,电子签名就是通过密码技术对电子文档的电子形式的签名,并非是书面签名的数字图像化,它类似于手写签名或印章,也可以说它就是电子印章。
方法有:
基于PKI的公钥密码技术的数字签名;以生物特征统计学为基础的识别标识;手印、声音印记或视网膜扫描的识别;一个让收件人能识别发件人身份的密码代号、密码或个人识别码PIN;基于量子力学的计算机等等。
电子签名与数字签名、电子签章与电子印章http:
/www.eschina.info,电子签章依附在电子文件并与其逻辑相关,可用以辨识电子文件签署者身份及表示签署者同意电子文件内容。
电子签章(安全电子签章)必须以符合特定要求安全程序来制作,确保签章的安全。
以有别于一般的电子签章,并赋予法律上视为签名或盖章的效力。
保证文件的完整性,确保文件的真实性、可靠性和不可抵赖性;电子签章应该是电子签名的重要组成部分之一。
电子印章分为电子公章和电子名章,它是将公章或名章通过PKI技术进行加密,以数字认证存储介质方式,在电子文件中应用的电子版的印章。
印章及管理系统须经政府授权方可制作,电子印章有望在许多领域替代传统印章,在网上报税、电子发票、网上结算、企业年检等方面,成为电子签名法实施后,推动电子商务和电子政务发展的有效举措。
基于PKI的电子签名被称作“数字签名”。
数字签名只是电子签名的一种特定形式。
因为电子签名虽然获得了技术中立性,但也带来使用的不便,法律上又对电子签名作了进一步规定,如电子签名法中就规定了“可靠电子签名”和“高级电子签名”。
实际上就是规定了数字签名的功能,这种规定使数字签名获得了更好的应用安全性和可操作性。
目前,具有实际意义的电子签名只有公钥密码理论。
所以,目前国内外普遍使用的、技术成熟的、可实际使用的还是基于PKI的数字签名技术。
作为公钥基础设施PKI可提供多种网上安全服务,如认证、数据保密性、数据完整性和不可否认性,其中都用到了数字签名技术。
PKI的核心执行机构是电子认证服务提供者,即通称为认证机构CA,PKI签名的核心元素是由CA签发的数字证书。
它的作法就是利用证书公钥和与之对应的私钥进行加/解密,并产生对数字电文的签名及验证签名。
数字签名是利用公钥密码技术和其他密码算法生成一系列符号及代码组成电子密码进行签名,来代替书写签名和印章;这种电子式的签名还可进行技术验证,其验证的准确度对手工签名和图章的验证无法比拟的。
这种签名方法可在很大的可信PKI域人群中进行认证,或在多个可信的PKI域中进行交叉认证,它特别适用于互联网和广域网上的安全认证和传输。
电子签名,是现代认证技术的泛称,它是电子商务安全的重要保障手段。
消息认证能保护通信双方不受第三方的攻击,但是无法防止通信双方中的一方对另一方的欺骗,防止双方的抵赖行为常用的方法就是数字签名。
注意:
数字签名与手写签名的异同点?
数字签名至少应满足的三个基本条件?
目前提出的两类数字签名体制或两类数字签名函数直接数字签名仲裁数字签名,直接数字签名DDS,AB:
EKRaM提供了认证与签名只有A具有KRa进行加密;传输中无法被篡改需要某些格式信息/冗余度,任何第三方可以用KUa验证签名
(1)AB:
EKUbEKRa(M)提供了保密(KUb)认证与签名(KRa),直接数字签名DDS,
(2)AB:
M|EKRaH(M)提供认证及数字签名H(M)受到密码算法的保护,只有A能够生成EKRaH(M)
(2)AB:
EKM|EKRaH(M)提供保密性认证和数字签名,直接数字签名的缺点,验证模式依赖于发送方的保密密钥,发送方要抵赖发送某一消息时可能会声称其私有密钥丢失或被窃从而他人伪造了他的签名。
通常需要采用与私有密钥安全性相关的行政管理控制手段来制止或削弱这种情况,但威胁在某种程度上依然存在。
改进的方式例如可以要求被签名的信息包含一个时间戳、日期与时间并要求将已暴露的密钥报告给一个授权中心。
X的某些私有密钥确实在时间T被窃取,敌方可以伪造X的签名及早于或等于时间T的时间戳,数字时间戳,在书面合同中,文件签署的日期和签名一样均是防止文件被伪造和篡改的关键性内容。
数字时间戳(DTS)服务就能提供电子文件发表时间的安全保护。
由专门的机构提供。
时间戳是一个经加密后形成的凭证文档,它包括三个部分:
需加时间戳的文件的摘要、DTS收到文件的日期和时间、DTS的数字签名。
电子商务认证中心,在电子交易中,无论是数字时间戳服务还是数字证书的发放,都不是靠交易双方自己能完成的,而需要有一个具有权威性和公正性的第三方来完成,它就是电子商务授权机构CertificateAuthority,简称CA。
认证中心是电子商务的一个核心环节,是在电子交易中承担网上安全电子交易认证服务,签发数字证书,确认用户身份等工作的具有权威性和公正性的第三方服务机构。
认证中心通常是企业性的服务机构,主要任务是受理数字证书的申请、签发及对数字证书的管理。
仲裁数字签名,引入仲裁者:
通常的做法是所有从发送方X到接收方Y的签名消息,首先送到仲裁者A,A将消息及其签名进行一系列测试,以检查其来源和内容;然后将消息加上日期并与已被仲裁者验证通过的指示一起发给Y。
仲裁者在这一类签名模式中扮演敏感和关键的角色,所有的参与者必须极大地相信这一仲裁机制工作正常trustedsystem。
仲裁数字签名技术,(a)单密钥加密方式仲裁者可以看见消息
(1)XA:
M|EKxaIDx|H(M)
(2)AY:
EKayIDx|M|EKxaIDx|H(M)|TX与A之间共享密钥Kxa;Y与A之间共享密钥KayX准备消息M,计算其散列码H(M),用X的标识符IDx和散列值构成签名,并将消息及签名经Kxa加密后发送给AA解密签名:
用H(M)验证消息M,然后将IDxM签名和时间戳一起经Kay加密后发送给YY解密A发来的信息,并可将M和签名保存起来,注意,在这种模式下Y不能直接验证X的签名,Y认为A的消息已认证,只因为它来自A,因此双方都需要高度相信A:
X必须信任A没有暴露Kxa并且没有生成错误的签名EKxaIDx|H(M)Y必须信任A,仅当散列值正确并且签名确实是X产生的情况下才发送的EKayIDx|M|EKxaIDx|H(M)|T双方都必须信任A处理争议是公正的只要A遵循上述要求则X相信没有人可以伪造其签名,Y相信X不能否认其签名。
上述情况还隐含着A可以看到X给Y的所有信息,因而所有的窃听者也能看到。
(b)单密钥加密方式仲裁者不可以看见消息
(1)XA:
IDx|EKxyM|EKxaIDx|H(EKxyM)
(2)AY:
EKayIDx|EKxyM|EKxaIDx|H(EKxyM)|T在这种情况下X与Y之间共享密钥Kxy;X将标识符IDx,密文EKxyM以及对IDx和密文消息的散列码用Kxa加密后形成签名发送给AA解密签名用散列码验证消息这时A只能验证消息的密文而不能读取其内容;然后A将来自X的所有信息加上时间戳并用Kay加密后发送给Y。
(a)和(b)共同存在一个共性问题:
A和发送方联手可以否认签名的信息A和接收方联手可以伪造发送方的签名,(c)双密钥加密方式仲裁者不可以看见消息
(1)XA:
IDx|EKRxIDx|EKUy(EKRxM)
(2)AY:
EKRaIDx|EKUyEKRxM|TX对消息M双重加密,首先用X的私有密钥KRx,然后用Y的公开密钥KUy形成一个签名的保密的消息;然后将该信息以及X的标识符一起用KRx签名后与IDx一起发送给A。
这种内部双重加密的消息对A以及对除Y以外的其它人都是安全的,A检查X的公开/私有密钥对是否仍然有效,并将包含IDx双重加密的消息和时间戳构成的消息用KRa签名后发送给Y。
本模式比上述两个模式具有以下好处:
1在通信之前各方之间无须共享任何信息从而避免了联手作弊2即使KRx暴露只要KRa未暴露不会有错误标定日期的消息被发送3从X发送给Y的消息的内容对A和任何其他人是保密的,数字签名的其他分类,数字签名包括普通数字签名和特殊数字签名。
普通数字签名算法有RSA、ElGmal、Fiat-Shamir、Guillou-Quisquarter、Schnorr、Ong-Schnorr-Shamir数字签名算法、Des/DSA,椭圆曲线数字签名算法和有限自动机数字签名算法等。
特殊数字签名有盲签名、代理签名、群签名、不可否认签名、公平盲签名、门限签名、具有消息恢复功能的签名等,它与具体应用环境密切相关。
2005年4月1日,我国正式颁布实施中华人民共和国电子签名法。
它的出台为我国电子商务发展提供了基本的法律保障,它解决了电子签名的法律效力这一基本问题,并对电子商务认证机构、电子签名的安全性、签名人的行为规范、电子交易中的纠纷认定等一系列问题做出了明确的规定。
PKICA体系,从国内外高端电子商务贸易看,PKICA体系对数字签名技术的应用最为广泛。
它包括三个架构:
第一,数字签名。
它能保证信息的完整性和不可否认性。
第二,加密。
用户使用公钥对信息加密,同时使用另一私钥实施解密。
第三,CA身份认证。
它可对用户身份的合法性进行校验。
该体系基本可以实现“身份认证、访问控制、数据保密、信息完整性、不可否认性”的五大信息安全准则。
基于RSA的数字签名,签名方:
使用散列函数生成信息的摘录使用自己的密钥对摘录加密形成签名将信息和对应的签名交给验证方验证方:
使用对方的公钥对签名进行解密以同样的方法对信息生成摘录比较通过解密和生成获得的摘录以确认签名的正确,5.4数字信封(DIGITALENVELOPE),单钥体制:
密钥分发困难;高效;数据的加密,对数据进行加密的密钥必须经常更换。
公钥体制:
加解密时间长;灵活;密钥的加密数字信封解决两个难题:
取长补短目的:
利用数据接收者的公钥来封装保护加密数据的密钥。
数字证书,数字证书:
标志通讯各方身份的数据。
是一种安全分发公钥的方式。
数字标识数字凭证“电子身份证”采用密码技术的带CPU的智能卡,安全性好。
在电子商务系统中,所有参与活动的实体都需要用数字证书来表明自己的身份。
(下章专门介绍),第五章密码学的应用,5.5数字指纹,在数字签名中有重要作用的“报文摘要”算法,即生成报文“数字指纹”的方法,倍受关注,构成了现代密码学的重要因素。
为防止传输和存储的消息被有意或无意地篡改,采用哈希函数对消息进行运算生成消息摘要,附在消息之后发出或与信息一起存储。
它在票据防伪中具有重要应用(如税务的金税系统和银行的支付密码器)。
第五章密码学的应用,数字指纹,数字指纹是通过一类特殊的散列函数(HASH函数)生成的,对这类HASH函数的特殊要求是:
1输入报文的长度没有限制;2对输入任何报文,能生成固定长度的摘要(数字指纹);3从报文能方便地算出摘要;4极难从指定的摘要生成一个报文,而由该报文又反推算出该指定的摘要;5两个不同的报文极难生成相同的摘要。
第五章密码学的应用,数字指纹,哈希函数的安全因素:
一致性:
相同的输入产生相同的输出。
随机性:
消息摘要外观是随机的,以防被猜出源消息。
唯一性:
几乎不可能找到两个消息产生相同的消息摘要。
单向性:
即如果给出输出,则很难确定出输入消息。
突变型:
消息微小的变化,摘要值完全不同。
第五章密码学的应用,数字指纹,1发送者传送消息,并作为单向哈希函数的输入。
2消息摘要连消息一齐发送3接受者分离消息和消息摘要,并利用消息生成消息摘要。
4比较两消息摘要,如果相同,则消息在传送期间没被更改。
第五章密码学的应用,若干公钥加密方法,1、AB:
EKUbKs|EKsM保密性,2、AB:
M|EKRaH(M)真实性,3、AB:
EKUbM|EKRaH(M)防止假冒,4、AB:
M|EKRaH(M)|EKRasT|IDA|KUa证书,总结,1.要求掌握以下基本的概念:
数字指纹数字签名数字信封数字证书数字时间戳数字认证中心2.掌握数字签名的几种方式。
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- 课件 05