第4章數(shù)據(jù)認(rèn)證

1、1第第 4 章章數(shù)據(jù)認(rèn)證數(shù)據(jù)認(rèn)證2為什么需要數(shù)據(jù)認(rèn)證為什么需要數(shù)據(jù)認(rèn)證? l數(shù)據(jù)認(rèn)證的目的數(shù)據(jù)認(rèn)證的目的是向數(shù)據(jù)的使用者證明兩件事：驗(yàn)證數(shù)據(jù)的來源；確認(rèn)數(shù)據(jù)沒有被篡改或偽造。l數(shù)據(jù)認(rèn)證是維護(hù)數(shù)據(jù)完整性和不可否認(rèn)性的重要機(jī)制。l數(shù)據(jù)認(rèn)證的方法數(shù)據(jù)認(rèn)證的方法主要依靠：n常規(guī)加密算法公鑰密碼體系3一個(gè)使用預(yù)共享密碼的簡(jiǎn)單認(rèn)證方案一個(gè)使用預(yù)共享密碼的簡(jiǎn)單認(rèn)證方案l假設(shè)甲乙兩人擁有共同密鑰k，則有一個(gè)簡(jiǎn)單的數(shù)據(jù)認(rèn)證方案，甲可以用(M,C)向乙證明M確實(shí)出自甲：甲發(fā)送消息M 和密文C = Ek(M) 給乙；乙接收到消息后，用密鑰 K 解密密文C 得到 M； 如果M = M ，那么乙確認(rèn)消息M 來自于甲。l

2、當(dāng)明文M很短時(shí)，此認(rèn)證方法簡(jiǎn)單實(shí)用；l當(dāng)明文M較長(zhǎng)時(shí)，將產(chǎn)生不必要的計(jì)算量和通信流量；其實(shí)，用作數(shù)據(jù)認(rèn)證的密文無需很長(zhǎng)，對(duì)于很長(zhǎng)的明文，認(rèn)證時(shí)只需將代表此明文的短字符串進(jìn)行加密即可。4數(shù)字指紋和信息認(rèn)證碼數(shù)字指紋和信息認(rèn)證碼l數(shù)字指紋數(shù)字指紋不使用密鑰而產(chǎn)生的一個(gè)長(zhǎng)數(shù)據(jù)的短的表示短的表示，稱為數(shù)字摘要數(shù)字摘要或數(shù)數(shù)字指紋。字指紋。數(shù)字指紋可使用密碼散列函數(shù)（又稱單向散列函數(shù)單向散列函數(shù)）得到。l消息認(rèn)證碼消息認(rèn)證碼使用密鑰而產(chǎn)生的數(shù)據(jù)的短的表示，稱為消息認(rèn)證碼消息認(rèn)證碼 （MAC，message authentication code ） 或標(biāo)簽。標(biāo)簽。MAC可以通過加密的校驗(yàn)和算法得到。 帶

3、密鑰的散列消息認(rèn)證碼是密碼散列函數(shù)和密碼校驗(yàn)和算法的組合，簡(jiǎn)記為HMAC （Keyed-hash message authentication code ）5第第4章章 內(nèi)容概要內(nèi)容概要l4.1 密碼散列函數(shù)l4.2 密碼校驗(yàn)和l4.3 HMACl4.4 密碼本偏移操作模式l4.5 生日攻擊l4.6 數(shù)字簽名標(biāo)準(zhǔn)l4.7 雙簽名與電子交易l4.8 盲簽名與電子現(xiàn)金散列函數(shù)散列函數(shù)l密碼密碼散列算法散列算法也稱為單向散列函數(shù)、雜湊函數(shù)、哈希算法、HASH算法或消息摘要算法。l它通過一個(gè)單向數(shù)學(xué)函數(shù)，將任意長(zhǎng)度的一塊數(shù)據(jù)轉(zhuǎn)換為一個(gè)定長(zhǎng)不可逆轉(zhuǎn)的數(shù)據(jù)，這段數(shù)據(jù)通常叫做消息摘要消息摘要。l典型的散列函

4、數(shù)：MD5 （Message-Digest Algorithm 5） ，SHA-1等。l主要用在只需加密不需解密的場(chǎng)合，如驗(yàn)證數(shù)據(jù)的完整性、數(shù)字簽名和身份認(rèn)證等。信息摘要信息摘要例例1l1、假設(shè)數(shù)字4000用1000除得4，那么4可以作為4000的數(shù)字摘要。改變4000或1000都無法得到4。l2、只給出數(shù)字4而不給出更多信息，則無法追溯原來的公式4*1000=4000信息摘要信息摘要例例2l信息摘要比原信息要小得多l(xiāng)實(shí)際的信息摘要在128位以上。原數(shù)為原數(shù)為7391743運(yùn)算運(yùn)算結(jié)果結(jié)果7乘乘321丟棄第一位丟棄第一位11乘乘999乘乘199乘乘763丟棄第一位丟棄第一位33乘乘412丟棄第

5、一位丟棄第一位22乘乘36信息摘要為信息摘要為6摘要算法（摘要算法（Hash）HashingalgorithmD4 21 F5 3D 22 9A CC B7 3C AA E2 DC 12 1A A1 CBData特性l不可逆l對(duì)任何長(zhǎng)度的信息進(jìn)行哈希后，結(jié)果都是一個(gè)固定長(zhǎng)度的數(shù)據(jù)摘要，摘要的長(zhǎng)度通常為128 bits或160 bitsl原始信息中一個(gè)字節(jié)的改變會(huì)導(dǎo)致摘要后的結(jié)果發(fā)生變化摘要算法摘要算法 數(shù)據(jù)的完整性數(shù)據(jù)的完整性11l不是每一個(gè)散列函數(shù)都適合用于生成數(shù)字指紋l例如：M = M1 M2 Mk其中 Mi 是一個(gè) 16-bit 的二進(jìn)制串 定義下面的散列函數(shù)H：H(M) = M1 M2

6、 Mkl對(duì)于上面的散列函數(shù)，很容易舉出一些例子，使得不同的明文消息具有相同的雜湊值S1: “He likes you but I hate you” 和S2: “He hates you but I like you”把上面消息的英文字符用8-bit ASCII碼進(jìn)行編碼，并去掉單詞之間的空格，則得到 H(S1) = H(S2)散列函數(shù)的設(shè)計(jì)要求散列函數(shù)的設(shè)計(jì)要求l一個(gè)好的單向散列函數(shù)必須具有以下特性特性：?jiǎn)蜗蛐詥蜗蛐詌對(duì)任意給定明文計(jì)算其數(shù)字指紋容易，但從數(shù)字指紋得到明文卻很難。l給定M和H，求hH(M)容易，但反過來給定h和H，找到M使h=H(M)卻很難。計(jì)算的唯一性計(jì)算的唯一性l找到兩個(gè)

7、不同的消息具有相同的數(shù)字指紋是困難的。l弱弱抗抗碰撞碰撞性性：給定M，要尋找另一信息 M，滿足 H(M)H(M)在計(jì)算上不可行。l強(qiáng)強(qiáng)抗抗碰撞碰撞性性：要尋找不同的信息M 和M，滿足 H(M) H(M)在計(jì)算上不可行。l滿足這兩個(gè)性質(zhì)的散列函數(shù)稱為密碼學(xué)散列函數(shù)密碼學(xué)散列函數(shù)。13密碼散列函數(shù)的探索密碼散列函數(shù)的探索l尋求密碼散列函數(shù)是否存在單向的、計(jì)算唯一的散列函數(shù)，至今尚無定論。幾個(gè)曾經(jīng)被認(rèn)為是安全的密碼散列函數(shù)，如MD4 、MD5 等，已被證明不能滿足強(qiáng)抗碰撞性。散列函數(shù)SHA-1，已經(jīng)被證明其安全性低于預(yù)期。SHA-512密碼散列函數(shù)和Whirlpool漩渦散列函數(shù)常被用作密碼散列函數(shù)

8、來使用。安全散列函數(shù)安全散列函數(shù)(SHA)lSHA（Secure Hash Algorithm）安全散列算法，是為配合數(shù)字簽名算法（DSA），由美國(guó)國(guó)家安全局 (NSA) 設(shè)計(jì)，美國(guó)國(guó)家標(biāo)準(zhǔn)與技術(shù)研究院(NIST) 發(fā)布的密碼散列函數(shù)。lSHA家族成員：SHA （常稱SHA-0) 、SHA-1 、SHA-224 、SHA-256 、SHA-384 、SHA-512。lSHA家族第一個(gè)成員SHA發(fā)布于1993年。l1995年，SHA的后繼者SHA-1發(fā)布。l2002年，SHA-256，SHA-384，SHA-512以官方標(biāo)準(zhǔn)發(fā)布，統(tǒng)稱為SHA-2。l2004年，NIST宣布他們將逐漸減少使用SH

9、A-1，改以SHA-2取而代之。 SHA家族成員家族成員lSHA-0與MD5類似，但消息摘要長(zhǎng)度為160位。SHA比MD5更安全，但比MD5要慢一些。它在發(fā)布之后很快就被NSA撤回，并且由1995年發(fā)布的修訂版本（通常稱為SHA-1）取代。 lSHA-1SHA-1在許多安全協(xié)議中廣為使用，包括TLS和SSL、PGP、SSH、S/MIME和IPsec，曾被視為是MD5的后繼者。 SHA-0和SHA-1可將一個(gè)最大264比特的信息，轉(zhuǎn)換成一串160位的信息摘要，其設(shè)計(jì)原理類似于散列算法MD4和MD5。SHA-0和SHA-1的弱點(diǎn)相繼被攻破，SHA-1的安全性被密碼學(xué)家嚴(yán)重質(zhì)疑。lSHA-2至今尚未

10、出現(xiàn)對(duì)SHA-2有效的攻擊； 但它的算法跟SHA-1基本上仍然相似；有些人開始發(fā)展其他替代的散列算法。 算法算法輸出散列值長(zhǎng)輸出散列值長(zhǎng)度（度（bits）中繼散中繼散列值長(zhǎng)列值長(zhǎng)度（度（bits）數(shù)據(jù)區(qū)數(shù)據(jù)區(qū)塊長(zhǎng)度塊長(zhǎng)度（bits）最大輸最大輸入信息入信息長(zhǎng)度（長(zhǎng)度（bits）一個(gè)一個(gè)Word長(zhǎng)長(zhǎng)度（度（bits）循循環(huán)環(huán)次次數(shù)數(shù)使用到的運(yùn)算符使用到的運(yùn)算符碰撞攻擊碰撞攻擊SHA-0160160512264 13280+,and,or,xor,rotl是SHA-1160160512264 13280+,and,or,xor,rotl存在263的攻擊SHA-256/224256/22425651

11、2264 13264+,and,or,xor,shr,rotr尚未出現(xiàn)SHA-512/384512/38451210242128 16480+,and,or,xor,shr,rotr尚未出現(xiàn)SHA家族成員特點(diǎn)家族成員特點(diǎn)17散列函數(shù)的基本結(jié)構(gòu)散列函數(shù)的基本結(jié)構(gòu)lSHA-1、SHA-2 系列散列函數(shù)具有相同的基本結(jié)構(gòu)l這種結(jié)構(gòu)的核心是壓縮函數(shù) F不同的散列函數(shù)使用不同的壓縮函數(shù)反復(fù)調(diào)用不帶密鑰的壓縮函數(shù)的CBC模式18SHA-512 初始化過程初始化過程 (I)l SHA-512 使用512-bit 初始化向量IV l 設(shè) r1, r2, r3, r4, r5, r6, r7 , r8是8個(gè)64

12、-bit 寄存器q開始時(shí)，這8個(gè)寄存器被設(shè)為8個(gè)素?cái)?shù)的平方根的小數(shù)部分: 2, 3, 5, 7, 11, 13, 17, 19, 注意注意：8個(gè)64位寄存器的值有三種狀態(tài)：F函數(shù)的輸入值Hi-1F函數(shù)的輸出值。該輸出值與Hi-1作一個(gè)運(yùn)算可得到Hi初始散列值H0，即8個(gè)平方根的小數(shù)部分。19SHA-512 初始化過程初始化過程 (II)l設(shè) = 2128 1， = 512lM 是二進(jìn)制消息，其中|M| = L l設(shè)L 是128-bit 二進(jìn)制串, 標(biāo)記為 b128(L)l將消息 M 進(jìn)行填充，得到新的二進(jìn)制字符串M : M = M | 10l | b128(L), l 0 其中|M| (記為L(zhǎng)

13、) 是1024的倍數(shù)，則有 L = L + (1 + l) + 128 = L + l + 129lL 可以表示為 l于是，我們得到 :l因此，, L 是1024的倍數(shù). 設(shè) L = 1024N，則可以記作一系列1024-bit 的消息塊: M = M1M2MN 20SHA-512 壓縮函數(shù)壓縮函數(shù)(I)l 兩個(gè)輸入:一個(gè)1024-bit明文消息塊 Mi 一個(gè)512-bit 二進(jìn)制串 Hi-1, 其中 1 i N ，Hi-1 是r1r2r3r4r5r6r7r8的當(dāng)前值 Wn: 循環(huán)右移n 位 W .將這個(gè)問題推廣，研究散列函數(shù)的抗沖撞性。計(jì)算機(jī)網(wǎng)絡(luò)安全的理論與實(shí)踐（第2版）. 【美】王杰, 高

14、等教育出版社, 2011年.40強(qiáng)抗碰撞性的復(fù)雜性上界強(qiáng)抗碰撞性的復(fù)雜性上界l強(qiáng)抗碰撞性的復(fù)雜性上界l設(shè) H 是一個(gè)輸出長(zhǎng)度為l的密碼散列函數(shù)，則 H 至多有n = 2l 個(gè)不同的輸出值l問題: 2l 是抗強(qiáng)無碰撞性的復(fù)雜性上界嗎?l答案是否定的，我們可以用生日攻擊將復(fù)雜性降低為 2l/2 ，成功概率在50%以上l生日悖論生日悖論:一個(gè)籃子里裝了n個(gè)不同顏色的球，均勻地、獨(dú)立隨機(jī)地從籃子里取 k (kn) 個(gè)球（一次取一個(gè)，記錄顏色后放回），如果 則一個(gè)球被取了兩次的概率不小于1/2.lSHA-1的復(fù)雜性上界: 2160/2 = 280 ; SHA-512: 2512/2 = 2256計(jì)算機(jī)網(wǎng)

15、絡(luò)安全的理論與實(shí)踐（第2版）. 【美】王杰, 高等教育出版社, 2011年.41集合相交攻擊集合相交攻擊l獨(dú)立隨機(jī)地從1,2,n中選取兩個(gè)各包含k個(gè)整數(shù)的集合，其中k SF,SD| )H(F=)H(D因此l Malice 首先準(zhǔn)備一個(gè)文檔集合S1 ，其包含2l/2 個(gè)不同的文檔，這些文檔均與文檔D具有相同的意思. 這些文檔可以用下面方法得到：替換一個(gè)單詞或句子重新整理、調(diào)整句子的描述使用不同的標(biāo)點(diǎn)符號(hào)重新組織文檔的結(jié)構(gòu)改變語(yǔ)氣，比如把被動(dòng)語(yǔ)句改為主動(dòng)語(yǔ)句l Malice準(zhǔn)備另一個(gè)文檔集合S2 ，其包含2l/2個(gè)不同的文檔，這些文檔均與文檔F具有相同的意思, 并計(jì)算如何找到文檔如何找到文檔F?4

16、4第第4章章 內(nèi)容概要內(nèi)容概要l4.1 密碼散列函數(shù)l4.2 密碼校驗(yàn)和l4.3 HMACl4.4 密碼本偏移操作模式l4.5 生日攻擊l4.6 數(shù)字簽名標(biāo)準(zhǔn)l4.7 雙簽名與電子交易l4.8 盲簽名與電子現(xiàn)金45 為什么要使用數(shù)字簽名？為什么要使用數(shù)字簽名？l數(shù)據(jù)認(rèn)證碼或散列消息認(rèn)證碼？數(shù)據(jù)認(rèn)證碼或散列消息認(rèn)證碼？基于雙方的共享密鑰可保護(hù)雙方之間的數(shù)據(jù)不被第三方侵犯但不能通信雙方的相互欺騙，如：lB偽造一個(gè)數(shù)據(jù)，并聲稱是從A收到的；lA可以否認(rèn)發(fā)過某消息，B無法證明。46 數(shù)字簽名數(shù)字簽名l數(shù)字簽名數(shù)字簽名（Digital Signature）又稱）又稱公鑰數(shù)字簽名公鑰數(shù)字簽名或或電子電子簽

17、章簽章，是以電子形式存儲(chǔ)于信息中或以附件或邏輯上與之，是以電子形式存儲(chǔ)于信息中或以附件或邏輯上與之有聯(lián)系的數(shù)據(jù)，用于有聯(lián)系的數(shù)據(jù)，用于辨識(shí)數(shù)據(jù)簽署人的身份辨識(shí)數(shù)據(jù)簽署人的身份，并表明簽署，并表明簽署人人對(duì)數(shù)據(jù)中所包信息的認(rèn)可對(duì)數(shù)據(jù)中所包信息的認(rèn)可。l在網(wǎng)絡(luò)環(huán)境中，數(shù)字簽名完全可以代替現(xiàn)實(shí)中的“親筆簽字”。整個(gè)數(shù)字簽名的基本原理采用的是雙加密方式，先將原文件用對(duì)稱密鑰加密后傳輸，并將其密鑰用接收方公鑰加密發(fā)給對(duì)方。l數(shù)字簽名是公鑰加密技術(shù)與數(shù)字摘要技術(shù)的應(yīng)用。數(shù)字簽名是公鑰加密技術(shù)與數(shù)字摘要技術(shù)的應(yīng)用。l數(shù)據(jù)簽名最有效的方法是使用公鑰密碼系統(tǒng)和公鑰證書。見教材P132。47 數(shù)字簽名的功能數(shù)字簽

18、名的功能l保證傳輸信息的完整性保證傳輸信息的完整性使用安全的散列函數(shù)l發(fā)送者的身份認(rèn)證發(fā)送者的身份認(rèn)證數(shù)字簽名能夠讓信息接收者確認(rèn)發(fā)送者的身份。l防止交易中的抵賴行為發(fā)生防止交易中的抵賴行為發(fā)生接收方可以出示簽名給別人看來證明信息的來源。數(shù)字簽名的基本原理5.2數(shù)字簽名概述數(shù)字簽名概述 圖圖 數(shù)字簽名原理及過程數(shù)字簽名原理及過程 應(yīng)用例子應(yīng)用例子l假如現(xiàn)在 Alice 向 Bob 傳送數(shù)字信息，為了保證信息傳送的保密性、真實(shí)性、完整性和不可否認(rèn)性，需要對(duì)傳送的信息進(jìn)行數(shù)字加密和簽名，其傳送過程為：l1.Alice 準(zhǔn)備好要傳送的數(shù)字信息（明文）；l2.Alice 對(duì)數(shù)字信息進(jìn)行哈希運(yùn)算，得到一

19、個(gè)信息摘要；l3.Alice 用自己的私鑰對(duì)信息摘要進(jìn)行加密得到 Alice 的數(shù)字簽名，并將其附在數(shù)字信息上；l4.Alice 隨機(jī)產(chǎn)生一個(gè)加密密鑰，并用此密碼對(duì)要發(fā)送的信息進(jìn)行加密，形成密文；l5.Alice 用 Bob 的公鑰對(duì)剛才隨機(jī)產(chǎn)生的加密密鑰進(jìn)行加密，將加密后的 DES 密鑰連同密文一起傳送給Bob；l6.Bob 收到 Alice 傳送來的密文和加密過的 DES 密鑰，先用自己的私鑰對(duì)加密的 DES 密鑰進(jìn)行解密，得到 DES 密鑰；l7.Bob 然后用 DES 密鑰對(duì)收到的密文進(jìn)行解密，得到明文的數(shù)字信息，然后將 DES 密鑰拋棄；l8.Bob 用 Alice 的公鑰對(duì) Ali

20、ce 的數(shù)字簽名進(jìn)行解密，得到信息摘要；l9.Bob 用相同的哈希算法對(duì)收到的明文再進(jìn)行一次哈希運(yùn)算，得到一個(gè)新的信息摘要；l10.Bob 將收到的信息摘要和新產(chǎn)生的信息摘要進(jìn)行比較，如果一致，說明收到的信息沒有被修改過。52l 數(shù)字簽名標(biāo)準(zhǔn)-DSS（Digital Signature Standard ）1991年頒布2000年以后，RSA 和ECC 被制定為數(shù)字簽名標(biāo)準(zhǔn)只生成數(shù)字簽名, 不加密數(shù)據(jù)l 對(duì)消息M的數(shù)字簽名:l 公鑰密碼系統(tǒng)產(chǎn)生數(shù)字簽名的最有效的機(jī)制RSA (直到2000年前專利保護(hù)) )(,(MHEMrAK數(shù)字簽名標(biāo)準(zhǔn)數(shù)字簽名標(biāo)準(zhǔn) (DSS)53DSS的構(gòu)造的構(gòu)造lH: SH

21、A-1 (160 bit) lL: 512 L 1024，且L是64的倍數(shù)參數(shù):lP: 大素?cái)?shù); 2L1 p 2Llq: p 1的素因子; 2159 q 2160lg: g = h(p1)/q mod p; 1 h 154DSS簽名簽名l Alice 要對(duì)消息M進(jìn)行簽名l 隨機(jī)選取一個(gè)私鑰, 0 xA ql 計(jì)算公鑰: yA = gxA mod pl 隨機(jī)選取一個(gè)整數(shù): 0 kA ql rA = (gkA mod p) mod ql kA1 = kAq2 mod ql sA = kA1(H(M)+xArA) mod ql M的數(shù)字簽名為: (rA, sA)55DSS驗(yàn)證簽名驗(yàn)證簽名l Bob

22、得到簽名值(M, (rA, SA) ) 和公鑰證書 CAyAl解析公鑰證書CAyA，得到Alice的公鑰 yAl驗(yàn)證簽名:l w = (SA)1 mod q = (SA)q1 mod ql u1 = (H(M) w) mod ql u2 = (rA w) mod ql v = (gu1yAu2) mod p mod ql 如果 v = rA ，則簽名驗(yàn)證通過56DSS的安全強(qiáng)度的安全強(qiáng)度l基于SHA-1的安全強(qiáng)度和求解離散對(duì)數(shù)的困難性攻破SHA-1散列函數(shù)的強(qiáng)抗碰撞性的已經(jīng)由 280 降低到263攻破抗碰撞性更困難離散對(duì)數(shù)的難解性表明, 從rA 和 sA 計(jì)算出 kA 或 xA 是困難的57第

23、第4章章 內(nèi)容概要內(nèi)容概要l4.1 密碼散列函數(shù)l4.2 密碼校驗(yàn)和l4.3 HMACl4.4 密碼本偏移操作模式l4.5 生日攻擊l4.6 數(shù)字簽名標(biāo)準(zhǔn)l4.7 雙簽名與電子交易l4.8 盲簽名與電子現(xiàn)金58雙重簽名雙重簽名l雙重簽名雙重簽名一種用于電子交易的交互式認(rèn)證協(xié)議，提供安全和隱私性保護(hù)，是數(shù)字簽名在SET協(xié)議中的一個(gè)應(yīng)用。在電子商務(wù)的電子支付系統(tǒng)中，存在著客戶，商家和銀行三者之間交易信息的傳遞，所有的消息必須被認(rèn)證和加密，即沒有有用的消息被泄露、修改或偽造。l目的：目的：訂購(gòu)信息和支付信息相互隔離開，商家只能看到的訂購(gòu)信息，銀行只能看到的支付信息；訂購(gòu)信息和支付信息必須是綁定的，以

24、保證訂購(gòu)信息和支付信息的一致性；59雙重簽名與電子交易雙重簽名與電子交易Alice(客戶) Bob(商家) Charlie(銀行) Alice 想讓bob 執(zhí)行一個(gè)購(gòu)物訂單 ( I1 ) Bob 等待來自銀行Charlie的支付確認(rèn)信息Alice 必須發(fā)送付款信息給銀行Charlie ( I2 ) 雙重簽名及驗(yàn)證過程雙重簽名及驗(yàn)證過程l客戶首先將客戶首先將訂購(gòu)信息和支付信息訂購(gòu)信息和支付信息加密加密，然后用客戶用客戶的私鑰的私鑰給訂購(gòu)信息和支付信息進(jìn)行數(shù)字簽名數(shù)字簽名。l客戶將密文和數(shù)字簽名送給商家客戶將密文和數(shù)字簽名送給商家，但只允許商家讀到訂購(gòu)信息的內(nèi)容而不能讀到支付信息的內(nèi)容。l商家確認(rèn)

25、訂購(gòu)信息和支付信息商家確認(rèn)訂購(gòu)信息和支付信息都由客戶送出，然后將它們轉(zhuǎn)送給銀行，銀行只能讀到支付信息而不能讀到訂購(gòu)信息。雙重簽名及驗(yàn)證過程雙重簽名及驗(yàn)證過程l銀行首先確認(rèn)訂購(gòu)信息和支付信息銀行首先確認(rèn)訂購(gòu)信息和支付信息都是商家轉(zhuǎn)自客戶的信息，然后給商家送出收據(jù)C，根據(jù)支付信息的內(nèi)容告訴商家是否可執(zhí)行客戶的指令；l商家確認(rèn)收據(jù)來自銀行商家確認(rèn)收據(jù)來自銀行，然后給客戶發(fā)出收據(jù)B，根據(jù)收據(jù)C的內(nèi)容告訴客戶是否將執(zhí)行訂購(gòu)信息。SET協(xié)議協(xié)議lSET (Secure Electronic Transactions)協(xié)議安全電子交易協(xié)議，由Master Card和Visa兩大信用卡公司聯(lián)合Netscape

26、、Microsoft等公司，于1997年6月1日推出的一種新的電子支付模型。采用公鑰密碼體制和X.509數(shù)字證書標(biāo)準(zhǔn)，用于保障開放網(wǎng)絡(luò)上使用信用卡進(jìn)行在線購(gòu)物的安全。lSET協(xié)議提供的服務(wù)保證客戶交易信息的保密性和完整性（雙重簽名技術(shù)）確保商家和客戶交易行為的不可否認(rèn)性（數(shù)字簽名）確保商家和客戶的合法性（數(shù)字證書）SET協(xié)議中的對(duì)象協(xié)議中的對(duì)象l參與交易的三方客戶（買方）l密鑰對(duì)（公鑰，私鑰）、公鑰證書、訂單信息、支付信息。商家（賣方）l密鑰對(duì)（公鑰，私鑰）、公鑰證書、給買方的收據(jù)。銀行l(wèi)密鑰對(duì)（公鑰，私鑰）、公鑰證書、給賣方的收據(jù)。l使用的密碼技術(shù)散列函數(shù)：消息摘要公鑰密碼體系：加密、簽名6

27、364SET協(xié)議協(xié)議: 客戶客戶A（買方）（買方）計(jì)算下面的值:發(fā)送 (sB, sC, hc,ds)給商家；等待賣方B的收據(jù) RB = ；用KAr解密 RB ，得到 ；用KBu 驗(yàn)證商家 B的簽名。)(BKKRDErBuA)(BKRDrB其中，SB為加密的訂單信息；Sc為加密的支付信息；hB為加密訂單信息的摘要；hC為加密支付信息的摘要；ds 為雙簽名。65SET協(xié)議協(xié)議: 商家商家B（賣方）（賣方） 驗(yàn)證買方A的簽名： 比較 與 是否相等；解密得到發(fā)送 (sB, sC, ds) 給銀行 C；等待銀行C的收據(jù)RC = 用KBr 解密 RC 得到 ，用KCu驗(yàn)證C的簽名；根據(jù)I1發(fā)送簽名的收據(jù)

28、RB = 給買方A。66SET協(xié)議協(xié)議: 銀行銀行C驗(yàn)證買方A的簽名： 比較 和 是否相等；解密得到 如果I2 包含了有效的付款信息，則執(zhí)行正確的付款交易操作，并發(fā)送收據(jù)RC = 給商家B。SET協(xié)議交易流程中的幾個(gè)問題協(xié)議交易流程中的幾個(gè)問題l如何保障三方的身份真實(shí)？l如何保證商家看不到客戶銀行卡信息，銀行看不到客戶的購(gòu)物信息？l如何解決實(shí)際付款的商品信息與訂單商品信息不一致的問題？l賣方用已使用過的，或用偽造的支付信息向銀行要求付款怎么辦？l銀行用偽造的訂單信息和付款信處給賣方非法付款怎么辦？l其它問題6768第第4章章 內(nèi)容概要內(nèi)容概要l4.1 密碼散列函數(shù)l4.2 密碼校驗(yàn)和l4.3 HMACl4.4 密碼本偏移操作模式l4.5 生日攻擊l4.6 數(shù)字簽名標(biāo)準(zhǔn)l4.7 雙簽名與電子交易l4.8 盲簽名與電子現(xiàn)金69盲簽名盲簽名l 讓簽名者進(jìn)行簽名，但不向簽名者泄露所簽文件的內(nèi)容l 需要簽名的文檔與一個(gè)掩