第4章+数字签名与身份认证.ppt

第4章 数字签名与身份认证,4.1 数字签名技术 4.2 身份认证技术,联合国国际贸易法委员会电子商务示范法第7条： 数字签名：系指在数据电文中，以电子形式所含、所附或在逻辑上与数据电文有联系的数据以及与数据电文有关的任何方法，它可以用于与数据电文有关的签字持有人的身份确认和表明此人认可数据电文所含信息。,数字签名的定义,数字签名的功能,数字签名提供了一种鉴别方法，以解决银行、电子贸易中的如下问题： 身份认证 保密 完整性 不可抵赖,数字签名的组成,对M的签名可简记为： s= Sig（M）或 Sigk（M）或 Sigk（M，k）,一个签名体制可由量（M，A，K，S ， V）表示： M是明文空间 A是签名空间 K是密钥空间 S是签名函数 V验证函数,数字签名的使用原理,对整个消息签名 对消息摘要签名 使用公开密钥密码算法时，数字签名是加密的逆过程。,基本约定： 1）Alice是发送方，要发送的消息为P，其公开密钥为EA，秘密密钥为DA； 2）Bob是接收方，其公开密钥为EB，秘密密钥为DB； 3）公开密钥密码算法满足：DA(EA(P)=P 和 EA(DA(P)=P 即 使用公开密钥对明文进行加密，形成的密文可用秘密密钥解密； 使用秘密密钥对明文进行加密，形成的密文可用公开密钥解密；,对整个消息签名,基本过程,单向散列函数 单向散列函数作用于一任意长度的消息M，返回一固定长度的散列值h： h=H(M) 其中， h的长度为m。 单向散列函数具有如下特性： 1）给定M，很容易计算h。 2）给定h，根据H(M)=h，计算M很难。 3）给定M，要找到另一消息M并满足H(M)=H(M)很难。 一些单向散列函数算法：MD4,MD5,SHA等,对消息摘要签名,取任意长度的消息做自变量，利用散列函数产生规定长度的消息摘要，然后对消息摘要进行签名。,1）MD4算法 MD表示消息摘要（Message Digest） MD4由RSA算法发明者之一的Ron Rivest设计。对输入消息，算法产生128位散列值。 2) MD5算法 由Rivest在MD4算法基础上改进。产生128位散列值。 3)安全哈希算法（SHA，Secure hash algorithm）也被称为安全哈希标准（SHS，Secure hash standard）,由美国政府提出。安全哈希算法为任意长度的字符串生成160位的哈希值。,一些单向散列函数算法：,消息摘要由单向散列函数对一个消息作用而生成。 消息摘要有固定的长度。 不同的消息其摘要不同，相同的消息其摘要相同，因此摘要成为消息的“指纹”。,消息摘要,基本过程：,数字信封：,（1）发送方用哈希函数从原文得到摘要，然后用自己的私钥对摘要进行签名，并把签名后的摘要附加在要发送的原文后面 （2）发送方选择一个秘密密钥对文件加密，并把加密文件传给接收方 （3）发送方用接收方的公开密钥对秘密密钥进行加密，并把加密后的密钥传给接收方 （4）接收方使用自己的私有密钥对加密后的秘密密钥进行解密，得到秘密密钥的明文 （5）接收方用私密密钥对加密后的文件解密，得到原文和加密的数字摘要 （6）接收方用发送方的公开密钥对数字签名进行解密，得到数字摘要明文 （7）接收方用得到的明文和哈希函数重新计算数字摘要，并与解密后的数字摘要进行对比。,数字签名体制,常规数字签名体制 （1）RSA签名 （2）DSS签名 （3）ECDSA签名 特殊数字签名体制 （4）不可否认签名 （5）失败-终止签名 （6）盲签名 （7）批量签名 （8）群签名 （9）代理签名 （10）多重签名,RSA签名原理,美国数字签名标准（DSS）,1991年8月30日美国国家标准局NIST提出了数字签名标准(DSS，Digital Signature Standard )； DSS标准采用的算法是DSA（Digital Signature Algorithm ）； DSA算法是ElGamal算法的改进，该算法只能用于数字签名而不能用于加密。 DSA的安全性是基于离散对数问题的。,DSS数字签名体制,椭圆曲线数字签名算法（ECDSA） 利用离散对数 椭圆曲线数字签名具有与RSA数字签名和DSA数字签名基本上相同的功能，但实施起来更有效，因为椭圆曲线数字签名在生成签名和进行验证时比RSA和DSA快,数字签名体制,常规数字签名体制 （1）RSA签名 （2）DSS签名 （3）ECDSA签名 特殊数字签名体制 （4）不可否认签名 （5）失败-终止签名 （6）盲签名 （7）批量签名 （8）群签名 （9）代理签名 （10）多重签名,特殊数字签名体制,不可否认签名 不可否认签名是在没有签名者自己的合作下不可能验证签名的签名 目的是为了防止 复制或散步所签字的文件的可能性，用在电子出版领域的知识产权保护 若确实是签字者的数字签名，而其又拒绝合作时采用的处理：可在法庭等第三方的监督下，启用否认协议(Disavowal Protocol)，以证明签名真假。,失败-终止签名,即使攻击者分析出密钥，也难以伪造签名者的签名，用以防范有强大计算资源的攻击者 基本原理：每个公钥对应多个私钥，而签名者仅持有并知道其中一个； 所以强大的攻击者恢复出来私有密钥刚好是签名者持有的私有密钥的出现概率是非常小的。,盲签名,盲签名（blind signature）是一种允许一个人让另一个人签署文档，而第一个人不向签名者泄露任何关于文档内容的技术。,盲签名的过程： （1）Alice将文件M乘一个随机数得M，这个随机数通常称为盲因子，Alice将盲消息M送给Bob； （2）Bob在M上签名后，将其签名Sig（M）送回Alice； （3）Alice通过除去盲因子，可从Bob关于M的签名Sig（M）中得到Bob关于原始文件M的签名Sig（M）。,批量签名,批量签名（batch signature）是指能够用一次签名动作，完成对若干个不同的消息的签名；并且以后可以对每一条消息独立的进行认证。,优点： 提高了对批量文件签名的效率 应用： 1990年提出Batch RSA方案，之后，还有学者提出基于DSA的批量签名算法等。,群签名（Group signature）,只有团体内的成员能对消息签名 签名的接收者能够证实消息是该团体的有效签名 签名的接收者不能决定是该团体内哪一个成员签的名，即匿名性 在出现争议时，可以由团体的成员或第三方识别出签字者，即追踪性,代理签名,代理签名（Proxy signature）是指定某人来代替自己签署，也称为委托签名。 代理签名的目的是当某签名人因公务或身体健康等原因不能行使签名权力时，将签名权委派给其他人替自己行使签名权。,多重签名,多重签名是面对团体而使用的，即一个文件需要多个人进行签署。,假设A和B都需要对文件进行签名： 一是A和B各对文件副本签名 二是先由A对文件签名，B再对A的签名结果进行签名,获得数字时间戳的过程,Hash,算法,原文,摘要,1,加时间,数字,时间戳,Internet,用,DTS,机构的私钥加密,发送方,DTS,机构,Hash,算法,加了时间后,的新摘要,摘要,1,摘,要,1,+,时间,数字,时间戳,数字时间戳（digital time-stamp）用于证明消息的收发时间。因此需要一个可信任的第三方时间戳权威TSA（time stamp authority），来提供可信赖的且不可抵赖的时间戳服务。,数字证书应用(加密与签名）,中国数字认证网（www.ca365.com）数字证书的申请操作 1下载并安装根证书 2填写申请单，获得个人证书,利用申请的数字证书在windows live mail中发送数字签名信件,利用他人的数字证书在windows live mail中发送加密信件,查看数字签名邮件,4.2 身份认证技术,4.2.1 身份认证的概念 4.2.2 身份认证的主要方法 4.2.3 身份认证的协议,身份认证概念,身份认证（身份识别）：证实客户的真实身份与其所声称的身份是否相符的过程。它是通信和数据系统正确识别通信用户或终端的个人身份的重要途径。,身份认证的依据,（1）根据用户知道什么来判断，Something the user know （所知） 口令、密码等 （2）根据用户拥有什么来判断，Something the user possesses （拥有） 身份证、护照、门钥匙、磁卡钥匙等 （3）根据用户是什么来判断， Something the user is (or How he behaves) （特征） 指纹、声音、视网膜、签名、DNA等,身份认证的主要方法,（1）基于口令的身份认证 （2）基于智能卡的身份认证 （3）基于生物特征的身份认证 签名识别法 指纹识别技术 语音识别系统 视网膜图像识别系统 还有其他一些不常见的方法：唇印、脚印、头盖骨的轮廓、人体骨骼对物理刺激的反应,基于口令的身份认证,口令识别是应用最为广泛的身份认证技术。,口令选择原则：易记、难猜、抗分析能力强。,口令识别的脆弱点： 网络窃听 重放攻击 字典攻击 暴力攻击 窥探 社交工程 垃圾搜索,安全口令的建议,口令长度至少要有8位 口令应包括大小写字母、数字，或者控制符等 不要太常见，如：e8B3Z6vO 不要将口令写在电脑上或纸条上 要养成定期更换口令的习惯 尽量不要在电脑上保存口令,一次性口令,一次性口令（OTP，One Time Password）： 一次性的主要思路是：在登录过程中加入不确定因素，使每次登录过程中传送的口令都不相同，以提高登录过程安全性。,一次性口令的安全原理 使用一次性口令序列 n次 第一个口令使用单向函数n次 p(1)=f(f(f(f(s) 第二个口令使用单向函数n-1次 p(2)=f(f(f(s) 依次类推,一次性口令系统实例,1991年，贝尔通信研究中心（Bellcore）首次研制出了基于一次性口令思想的身份认证系统S/KEY。 FreeBSD操作系统下的一次性口令系统OPIE(One-time Passwords In Everything),动态口令牌,基于智能卡的身份认证,智能卡是一种便携式设备，包括一个CPU、输入输出端口和一个存储器。 将智能卡集成到用户的登录终端或工作站上，那么智能卡可以执行验证。,USB KEY,基于生物特征的身份认证,常用的用于身份识别的技术：签名识别法，指纹识别法，语音识别法等等。 不常见的方法：使用头盖骨的轮廓（机器骨相学）、唇印、脚印、甚至利用人体骨骼对物理刺激的反应进行身份识别。 强调：身份识别的方法必须能被系统所接受。 系统误差：一个实用系统必须允许测量误差的存在。 错误警告或第一类错误 错误接受或第二类错误,基于生物特征的身份认证,签名识别法不是能识别出被鉴别的签名是什么字，而是要能识别出签名的人。,签名识别的方法： 根据最后的签名进行识别 根据签名的书写过程进行识别,签名识别法,记录签名书写过程的技术,最早使用这种技术的设备是电动绘图仪,NPL（国家物理实验室）开发的CHIT的书写器,指纹识别技术,指纹识别基于每个人指纹的唯一性和稳定性。,指纹识别技术发展基础： 现代电子集成制造技术 快速可靠的匹配算法,光学全反射技术：利用光的全反射原理 晶体传感器技术：硅电容传感器 超声波扫描技术：利用超声波扫描反射原理,目前指纹取像主要有三种技术：,语音识别技术,语音识别的要求： 创造一个良好的环境 规定用户朗读的单词,语音识别的过程,首先对用户的语音进行采样； 系统提取语音特征，得到参考样本； 通过比较参考样本和语音结果，判别真伪。 应用：德克萨斯仪器公司研制的语音识别系统。P92,语音识别技术的弱点,要求受测者多次重复语音，分析过程较长； 语音受人的身体状况和精神状态的影响。,视网膜识别技术,Eyedentify公司研制的视网膜识别系统,视网膜识别利用的是人眼视网膜血管分布，即视网膜血管组织是因人而异的。,视网膜识别的过程,对初次引入系统的用户的视网膜图像进行取样，并存储； 用测试所得到的图像与存储的信息进行比较，从而进行身份识别。,典型应用：伊利诺斯州的监狱，犯人进出监狱或出庭时必须经过视网膜扫描,身份识别系统的选择,NBS出版了一本Guidelines on Evaluation of Techniques for Automated Personal Identification，是评估和选择身份识别系统的有用向导，其中列出了12点以供参考： 对假冒的识别力；伪造赝品的简易度； 对欺骗的敏感性；获得识别的时间； 用户的方便性；性能价格比； 设备提供的接口；调整用的时间和潜力； 支持识别过程所需计算机系统的处理； 可靠性和可维护性；保护设备的代价； 配电与后勤支持的代价。 总体可以分为三组：系统安全设备的能力、用户的可接受性和系统代价。,4.2.3 身份认证协议,一次一密机制 X.509认证协议 Kerberos认证协议 零知识身份识别,至少应该满足以下两个条件： 识别者A能向验证者B证明他的确是A 在识别者A向验证者B证明他的身份后，验证者B不能获得A的任何有用信息，B不能模仿A向第三方证明他是A,