05、数字签名与认证协议.ppt

网络与信息安全 Information and Network Security （数字签名与认证协议） 数字签名与认证协议 Digital Signature And Authentication Protocols 数字签名 传统签名的基本特点: 能与被签的文件在物理上不可分割 签名者不能否认自己的签名 签名不能被伪造 容易被验证 数字签名是传统签名的数字化,基本要求: 能与所签文件“绑定” 签名者不能否认自己的签名 签名不能被伪造 容易被验证 公钥算法的一个最重要的发展是数字签名。 数字签名 Message authentication用以保护双方之间的数据交换不被第三方侵犯；但它并不保证双方自身的相互欺骗。假定A发送一个认证的信息给B，双方之间的争议可能有多种形式： B伪造一个不同的消息，但声称是从A收到的。 A可以否认发过该消息，B无法证明A确实发了该消息。 例如：改大金额；股票交易指令亏损后抵赖。 数字签名应具有的性质 必须能够验证作者及其签名的日期时间； 必须能够认证签名时刻的内容； 签名必须能够由第三方验证，以解决争议； 数字签名的设计要求 签名必须是依赖于被签名信息的一个位串模板； 签名必须使用某些对发送者是唯一的信息，以防止双方的伪造与否认； 必须相对容易生成该数字签名； 必须相对容易识别和验证该数字签名； 伪造该数字签名在计算复杂性意义上具有不可行性，既包括对一个已有的数字签名构造新的消息，也包括对一个给定消息伪造一个数字签名； 在存储器中保存一个数字签名副本是现实可行的。 两类数字签名函数 直接数字签名 仲裁数字签名 直接数字签名（DDS） 数字签名方案 先对消息M作一个摘要H(M) 然后发送方用自己的私钥对H(M)进行加密，得到签名EKRa(H(M)) 连同消息M一起，发送出去 B收到复合的消息之后，把签名提取出来 B用A的公钥对签名解密得到M’ B计算所收到消息的摘要H’=H(M’) 如果H’=H(M’)，则消息确实是A产生的 问题 公钥的管理，公钥与身份的对应关系 签名的有效性，私钥丢失？ 直接数字签名 直接数字签名的缺点 验证模式依赖于发送方的必威体育官网网址密钥； 发送方要抵赖发送某一消息时，可能会声称其私有密钥丢失或被窃，从而他人伪造了他的签名。 通常需要采用与私有密钥安全性相关的行政管理控制手段来制止或至少是削弱这种情况，但威胁在某种程度上依然存在。 改进的方式例如可以要求被签名的信息包含一个时间戳（日期与时间），并要求将已暴露的密钥报告给一个授权中心。 A的某些私有密钥确实在时间T被窃取，敌方可以伪造A的签名及早于或等于时间T的时间戳。 仲裁数字签名 引入仲裁者。 通常的做法是所有从发送方A到接收方B的签名消息首先送到仲裁者S，S将消息及其签名进行一系列测试，以检查其来源和内容，然后将消息加上日期并与已被仲裁者验证通过的指示一起发给B。 仲裁者在这一类签名模式中扮演敏感和关键的角色。 所有的参与者必须极大地相信这一仲裁机制工作正常。（trusted system） 认证协议 安全层次 回顾：信息安全的需求 必威体育官网网址性Confidentiality 完整性Integrity 系统完整性 数据完整性 可用性Availability 真实性 authenticity 认证 消息认证 身份认证：验证真实身份和所声称身份相符的过程 …… 认证协议 基于对称密码算法的认证方案 是否需要密钥分发中心(KDC)？ 对于协议的攻击手法 认证的对象 消息发送方 消息本身 基于公钥密码算法的认证方案 公钥和身份的绑定 基于对称密码算法的认证 消息认证 MAC码或者HMAC码 前提：存在共享密钥 密钥管理中心 或者用一个密钥交换协议 身份认证 依据 所知：口令、密钥，等 所有：身份证、智能卡，等 物理标识：指纹、笔迹、虹膜、DNA，等 基于口令 证明是否知道口令 口令的强度 双方认证 (mutual authentication)和单向认证 (one-way authentication) 目的：分发密钥、签名有效性，…… 认证方式 两方通讯 一方发起通讯，另一方应答 双向(mutual authentication)和单向认证(one-way authentication) 有第三方介入的认证 第三方为可信任方，KDC 在线和离线 其他情形 多方认证 跨域认证 委托认证模型、信任模型 …… 认证协议：设计一个协议(一) 假设A和B要进行通讯，A和B有一个共享的密钥Kab,如何利用这个密钥进行认证，并且商定一个会话密钥Ks 认证协议：设计一个协议(二) 假设A和B要进行通讯，A和B与KDC各有一个共享密钥Ka和Kb, 如何利用这两个密钥进行认证，并且商定一个会话密钥Ks 认证协议中的常用技术(一) 时间戳 A收