[理学]第三章 数字签名与身份认证.pptVIP

* Hash码提供了认证所需的结构或冗余，并且由于该方法是对整个消息和hash码加密，所以也提供了必威体育官网网址性 * 这种方法与MAC有异曲同工之妙。 * 通信双方共享一小段秘密的数据块，发送端先将此秘密数据块追加在报文M的前面，然后输入到散列函数H中，计算出MD，再将MD追加在M的后面，同时去除一开始加上的秘密数据块，接着就发送给接收端。接收端先去除MD，然后在报文M的前面追加上自己拥有的秘密数据块后，输入给散列函数H，计算H(M)。比较H(M)和MD，若一致，则收到的报文M是真的。 * 单向散列函数是建立在压缩函数（Compression Function）的想法之上的：给一个输入n位长消息，得到一个较短的散列值，但是它不要求恢复消息本身。 * 绑定：在数据流上附加一串数据 * 绑定：在数据流上附加一串数据 * * * * 2006年7月《国内外密码理论与技术研究现状及发展趋势》 * 身份认证是通信双方在实质性数据传输之前进行审查和证实对方身份的操作。身份认证可以在用户登录时进行，也可以贯穿于数据传输的过程中。 * 所谓零知识证明，指的是示证者在证明自己身份时不泄露任何信息，验证者得不到示证者的任何私有信息，但又能有效证明对方身份的一种方法。看起来有点别扭，我给2个例子，也许好明白一些。 　　1）A要向B证明自己拥有某个房间的钥匙，假设该房间只能用钥匙打开锁，而其他任何方法都打不开。这时有2个方法：（一）A把钥匙出示给B，B用这把钥匙打开该房间的锁，从而证明A拥有该房间的正确的钥匙。（二）B确定该房间内有某一物体，A用自己拥有的钥匙打开该房间的门，然后把物体拿出来出示给B，从而证明自己确实拥有该房间的钥匙。后面这个方法属于零知识证明。好处在于在整个证明的过程中，B始终不能看到钥匙的样子，从而避免了钥匙的泄露。 　　2）A拥有B的公钥，A没有见过B，而B见过A的照片，偶然一天2人见面了，B认出了A，但A不能确定面前的人是否是B，这时B要向A证明自己是B，也有2个方法。（一）B把自己的私钥给A，A用这个私钥对某个数据加密，然后用B的公钥解密，如果正确，则证明对方确实是B。（二）A给出一个随机值，B用自己的私钥对其加密，然后把加密后的数据交给A，A用B的公钥解密，如果能够得到原来的随机值，则证明对方是B。后面的方法属于零知识证明。 　　3）有一个缺口环形的长廊，出口和入口距离非常近（在目距之内），但走廊中间某处有一道只能用钥匙打开的门，A要向B证明自己拥有该门的钥匙。采用零知识证明，则B看着A从入口进入走廊，然后又从出口走出走廊，这时B没有得到任何关于这个钥匙的信息，但是完全可以证明A拥有钥匙。 * 在希腊神话中，Kerberos是地狱入口的守卫者，长着许多头，通常是三个头，带有毒蛇似的尾巴。只有死去的灵魂才能被Kerberos放行，进入地狱。 * Kerbeos阐述了这样一个问题：假设有一个开放的分布环境，工作站用户想通过网络对分布在网络中的各种服务提出请求，那么，希望服务器能够只对授权用户提供服务，并能鉴别服务请求的种类。但在这种环境下，一个工作站无法准确判定它的终端用户和请求的服务是否合法。特别是存在以下三种威胁： 用户可能通过某种途径进入工作站并假装成其他用户操作工作站。 用户可以通过变更工作站的网络地址，从该机上发送伪装的请求。 用户可以监听信息交换并使用重播攻击，以获得服务或破坏正常操作。 在上述任何一种情况下，一个非授权用户均可能获得未授权的服务或数据。针对上述情况，Kerberos通过提供一个集中的认证服务器来负责用户对服务器的认证和服务器对用户的认证，而不是位每个服务器提供详细的认证协议。 * * * * 1. 用户登录工作站并请求主机服务（要输入口令） 2. 认证服务器AS验证用户的访问权限，创建授权票据和会话密钥，使用从用户密码得到的密钥加密消息。 3. 工作站提示用户输入密码并使用密码解密输入消息，然后发送票据以及包含用户名、网络地址和TGS时间的认证码。 4. TGS解密票据和鉴别码，验证请求，然后为被请求的服务器生成票据 5. 工作站发送服务授权票据和认证码给服务器 6. 服务器验证票据，认证通过后授权服务访问。如果需要相互认证，则服务器返回认证码。 * 优点 （1）Kerberos系统对用户的口令进行加密后作为用户的私钥，从而避免了用户的口令在网络上显示传输，使得窃听者难以在网络上取得相应的口令信息。 （2）用户在使用过程中仅在登录时要求输入口令，与平常的操作完全一样，Kerberos的存在对于和法用户来说是透明的。 （3）Kerberos为每个服务器提供认证，Kerberos可以较方便地实现用户数的动态改变。 缺点 （1）假设只有合法用