數字簽名與認證技術課件

網絡空間信息安全第5章數字簽名與認證技術網絡空間信息安全第5章數字簽名與認證技術本章主要內容5.1數字簽名5.2安全散列函數5.3認證技術第5章數字簽名與認證技術2本章主要內容5.1數字簽名第5章數字簽名與認證技術25.1數字簽名5.1.1數字簽名概念5.1.2數字簽名的實現過程5.1.3EIGamal數字簽名算法5.1.4Schnorr數字簽名算法5.1.5數字簽名標準DSS第5章數字簽名與認證技術35.1數字簽名5.1.1數字簽名概念第5章數字簽名與認5.1.1數字簽名概念數字簽名是網絡中進行安全交易的基礎，數字簽名不僅可以保證信息的完整性和信息源的可靠性，而且可以防止通信雙方的欺騙和抵賴行為。雖然報文認證能夠保證通信雙方免受任何第三方的攻擊，然而卻不能保護通信雙方中的一方防止另一方的欺騙和偽造。第5章數字簽名與認證技術45.1.1數字簽名概念數字簽名是網絡中進行安全交易的基礎，5.1.1數字簽名概念例如，當用戶A和用戶B進行通信時，若未使用數字簽名，則用戶A可以隨意地偽造報文，并聲稱該報文是來之用戶B的；同時用戶B也可以否認曾經真正發(fā)送給用戶A的報文。因此，在收發(fā)雙方未建立起完全信任關系時，單純的報文認證就顯得不夠充分，因而需要數字簽名技術。第5章數字簽名與認證技術55.1.1數字簽名概念例如，當用戶A和用戶B進行通信時，若5.1.1數字簽名概念數字簽名應具有以下性質：⑴必須能夠驗證簽名生成者的身份以及生成簽名的時間；⑵能夠用于證實被簽名消息的內容；⑶數字簽名必須能被第三方驗證，從而解決通信雙方的爭議。第5章數字簽名與認證技術65.1.1數字簽名概念數字簽名應具有以下性質：第5章數字5.1.1數字簽名概念數字簽名應滿足以下安全要求：⑴簽名的產生必須使用對方發(fā)送來說是唯一的信息，以防止偽造和抵賴；⑵簽名的產生必須相對簡單；⑶數字簽名的識別和驗證必須相對簡單；⑷對已有的數字簽名偽造一個新的報文或對已知的報文偽造一個虛假的數字簽名，在計算上是不可行的。第5章數字簽名與認證技術75.1.1數字簽名概念數字簽名應滿足以下安全要求：第5章5.1.1數字簽名概念數字簽名有直接數字簽名和需仲裁的數字簽名兩種使用方式。直接數字簽名方式是在數字簽名的使用過程中只有通信雙方參與，并假定通信雙方有共享的秘密密鑰或接收端知道發(fā)送端的公鑰。在直接的數字簽名中，數字簽名可以通過使用發(fā)送端的私鑰對整個報文進行加密形成，或者通過使用發(fā)送端的私鑰對報文的散列值進行加密來形成。第5章數字簽名與認證技術85.1.1數字簽名概念數字簽名有直接數字簽名和需仲裁的數字5.1.1數字簽名概念然而，所有的直接數字簽名方案都具有共同的弱點，即方案的有效性依賴發(fā)送端私鑰的安全性。例如，發(fā)送端在用私鑰對報文簽名后，想否認發(fā)送過該報文，此時發(fā)送端可以聲稱該私鑰丟失，簽名被偽造。另一種可能的情況是，私鑰確實在時刻T在X處被盜，攻擊者可以發(fā)送帶有X的簽名報文并附加小于等于T的時間戳。為了解決直接數字簽名存在的問題，廣泛采用的方法是使用數字證書的證書權威機構CA等可信的第三方參與，即使用需仲裁的數字簽名方案。第5章數字簽名與認證技術95.1.1數字簽名概念然而，所有的直接數字簽名方案都具有共5.1.2數字簽名的實現過程公開密鑰算法中公鑰和私鑰一一對應。私鑰具有私密性，只有用戶本身知道。如果公鑰和用戶之間的綁定關系能夠被權威機構證明，就具有不可否認性。數字簽名的實現過程如圖所示：第5章數字簽名與認證技術105.1.2數字簽名的實現過程公開密鑰算法中公鑰和私鑰一一對5.1.2數字簽名的實現過程用戶A用私鑰SKA對明文P經過報文摘要算法后得到的摘要MD(P)進行解密運算，產生數字簽名(DSKA(MD(P))),將明文P和數字簽名一同發(fā)送給用戶B。用戶B認定明文P是用戶A發(fā)送的前提是：用與用戶A綁定的公鑰PKA對數字簽名進行加密運算后得到的結果和對明文P進行報文摘要運算后得到的結果相同，即EPKA(數字簽名)=MD(P)。第5章數字簽名與認證技術115.1.2數字簽名的實現過程用戶A用私鑰SKA對明文P經過5.1.2數字簽名的實現過程DSKA(MD(P))能夠作為發(fā)送端用戶A對報文P的數字簽名依據如下：⑴私鑰SKA只有用戶A知道，因此，只有用戶A才能實現DSKA(MD(P))運算過程，保證了數字簽名的唯一性。⑵根據報文摘要算法的特性，即從計算可行性上講，其他用戶無法生成某個報文P′,P≠P′,但MD(P)=MD(P′)，因此，MD(P)只能是針對報文P的報文摘要算法的計算結果，保證了數字簽名和報文P之間的關聯性。第5章數字簽名與認證技術125.1.2數字簽名的實現過程DSKA(MD(P))能夠作為5.1.2數字簽名的實現過程⑶數字簽名能夠被核實。公鑰PKA和私鑰SKA一一對應，如果公鑰PKA和用戶A之間的綁定關系得到權威機構證明，那么一旦證明用公鑰PKA對數字簽名進行加密運算后還原的結果(EPKA(數字簽名))等于報文P的報文摘要(MD(P))，就可以證明數字簽名是DSKA(MD(P))。用公開密鑰算法實現數字簽名的前提是由權威機構出具證明用戶和公鑰之間綁定關系的證書，只有公鑰和用戶之間的綁定關系得到有公信力的權威機構的證實，才能核定該用戶的數字簽名。第5章數字簽名與認證技術135.1.2數字簽名的實現過程⑶數字簽名能夠被核實。公鑰P5.1.3EIGamal數字簽名算法ELGamal密碼體制機制能夠使用用戶的公鑰進行加密，使用私鑰進行解密，從而提供機密性。ELG挨罵了數字簽名算法則是使用私鑰進行加密，使用公鑰進行解密。第5章數字簽名與認證技術145.1.3EIGamal數字簽名算法ELGamal密碼體制5.1.3EIGamal數字簽名算法

第5章數字簽名與認證技術155.1.3EIGamal數字簽名算法

第5章數字簽名與認5.1.3EIGamal數字簽名算法⑵為了對報文M進行簽名，用戶A首先計算散列值h=H(M)，其中h是滿足0≤h≤q-1的整數。然后用戶A生成數字簽名：①秘密地隨機選擇一個整數K，其中1≤K≤q-1，且gcd(K,q-1)=1;②計算S1=αKmodq；③計算K模(q-1)的逆K-1mod(q-1);④計算S2=K-1(h-XAS1)mod(q-1);⑤生成數字簽名(S1,S2)對。第5章數字簽名與認證技術165.1.3EIGamal數字簽名算法⑵為了對報文M進行簽5.1.3EIGamal數字簽名算法⑶用戶B驗證數字簽名：①計算V1=αhmodq；②計算V2=(YA)S1(S1)S2modq;③若V1=V2，則簽名合法。第5章數字簽名與認證技術175.1.3EIGamal數字簽名算法⑶用戶B驗證數字簽名5.1.3EIGamal數字簽名算法下面是ELGamal數字簽名算法正確性的證明。證明：假設V1=V2，則有

αhmodq=(YA)S1(S1)S2modq

αhmodq=αXAS1αKS2modq

αh-XAS1modq=αKS2modq由于去是素數，α是去的原根，則有⑴對于任意整數m，αm≡1modq當且僅當m≡0mod(q-1)；⑵對于任意整數i，j，αi≡αjmodq當且僅當i≡jmod(q-1)。因此，根據原根的性質可以得到

h-XAS1≡KS2mod(q-1)h-XAS1≡KK-1(h-XAS1)mod(q-1)等式成立，證畢。第5章數字簽名與認證技術185.1.3EIGamal數字簽名算法下面是ELGamal數5.1.4Schnorr數字簽名算法Schnorr數字簽名算法的目標是將生成簽名所需的報文計算量最小化，其生成簽名的主要工作不依賴于報文，而是可以在空閑時執(zhí)行，與報文相關的部分需要進行2nbit長度的整數與nbit長度的整數相乘。與ELGamal數字簽名算法相同，Schnorr數字簽名算法的安全性同樣依賴于計算有限域上離散對數的難度。第5章數字簽名與認證技術195.1.4Schnorr數字簽名算法Schnorr數字簽名5.1.4Schnorr數字簽名算法

第5章數字簽名與認證技術205.1.4Schnorr數字簽名算法

第5章數字簽名與認5.1.4Schnorr數字簽名算法

第5章數字簽名與認證技術215.1.4Schnorr數字簽名算法

第5章數字簽名與認5.1.4Schnorr數字簽名算法

第5章數字簽名與認證技術225.1.4Schnorr數字簽名算法

第5章數字簽名與認5.1.5數字簽名標準DSS在現實社會中，特別是在IT行業(yè)界，標準化可以降低成本，還具有兼容性等優(yōu)點。密碼與信息安全技術大量使用于網絡通信中，標準化必然是其中一項重要工作，數字簽名的標準制定就是其必備部分之一。影響較大的制定信息安全相關標準的組織有：ISO和國際電子技術委員會（IEC），美國國家標準協會（ANSI）,美國國家標準與技術委員會（NIST）制定的美國聯邦信息處理標準（FIPS）系列，Internet研究和發(fā)展共同體制定的標準，IEEE微處理器標準委員會制定的標準，RSA公司制定的PKCS系列標準等等。第5章數字簽名與認證技術235.1.5數字簽名標準DSS在現實社會中，特別是在IT行業(yè)5.1.5數字簽名標準DSS20世紀1994年12月，由美國國家標準與技術委員會（NIST）正式發(fā)布了數字簽名標準DSS(DigitalSignatureStandard)即聯邦信息處理標準FIPSPUB186。它是在EIGamal和Schnorr數字簽名體制的基礎上設計的，其安全性基于有限域上離散對數問題求解的困難性。DSS最早發(fā)表于1991年8月，該標準中提出了數字簽名算法DSA和安全散列算法SHA，它使用公開密鑰，為接收者提供數據完整性和數據發(fā)送者身份的驗證，也可由第三方用來驗證簽名和所簽數據的完整性。第5章數字簽名與認證技術245.1.5數字簽名標準DSS20世紀1994年12月，由美5.1.5數字簽名標準DSS人們對DSS提出了很多意見，主要包括：⑴DSA不能用于加密和密鑰分配；⑵DSA是由美國國家安全局NSA研制的，因為有人對NSA不信任，懷疑其中可能存在陷門，特別是NIST一開始聲稱DSA是他們自己設計的，后來表示得到了NSA的幫助，最后承認該算法的確是由NSA設計的；DSA算法未經過公開選擇階段，未公開足夠長的時間以便人們分析其完全強度和弱點；第5章數字簽名與認證技術255.1.5數字簽名標準DSS人們對DSS提出了很多意見，主5.1.5數字簽名標準DSS⑶DSA與RSA在簽名時的速度相同，但驗證簽名時的速度DSA要慢10到40倍；⑷密鑰長度只有512位，由于DSA的安全性取決于計算離散對數的難度，因此有很多密碼學家對此表示擔心。NIST于1994年5月19日正式頒布了該標準，并將密鑰長度的規(guī)定改在512位至1024位之間可變。第5章數字簽名與認證技術265.1.5數字簽名標準DSS⑶DSA與RSA在簽名時的速5.1.5數字簽名標準DSS數字簽名標準DSS主體部分條目下面介紹的內容是以2000年修訂標準為基礎：⑴首先對數字簽名標準DSS作了簡單的介紹和說明。⑵規(guī)定使用數字簽名算法（DSA），消息散列值使用SHA-1。⑶描述數字簽名算法（DSA）使用的參數。⑷數字簽名算法（DSA）的產生。⑸數字簽名算法（DSA）的驗證。⑹RSA數字簽名算法。⑺橢圓曲線數字簽名算法（ECDSA）的介紹。第5章數字簽名與認證技術275.1.5數字簽名標準DSS數字簽名標準DSS主體部分條目5.1.5數字簽名標準DSSDSA數字簽名算法在數字簽名算法DSA中，有3個參數（全局公開密鑰分量）對于一組用戶是公開的和公用的：素數p，其中2L-1＜p＜2L，512≤L≤1024，且L是64的倍數；素數q，其中q是（p-1）的因數，2159＜q＜2160；常數g=h(p-1)/qmodp，其中整數h滿足條件1＜h＜(p-1)且使得g＞1。每個用戶的私有密鑰x是隨機或偽隨機整數，且０＜x＜q以及公開密鑰y=gxmodp?，F在利用上述5個參數以及安全散列算法SHA，可以實現數字簽名。第5章數字簽名與認證技術285.1.5數字簽名標準DSSDSA數字簽名算法第5章數字5.1.5數字簽名標準DSS假設發(fā)送方A對消息M簽名：第一步，發(fā)送方A產生一個隨機整數k，其中0＜k＜q；第二步，利用k和SHA散列算法計算r=(gkmodp)modq和s=(k-1(H(ｍ)+xr))modq，然后發(fā)送方A將r和s作為自己對信息M的簽名，把它們發(fā)送給接收方B；第三步，接收方B收到發(fā)送方A的消息M1和簽名(r1,s1)后，計算w=（s1）-1modq，u1=［H(M1)w］modq，u2=r1wmodq，v=［(gu1yu2)modp］modq；第四步，如果v=r1，則接收方B認為發(fā)送方A對消息M的簽名有效。第5章數字簽名與認證技術295.1.5數字簽名標準DSS假設發(fā)送方A對消息M簽名：第55.1.5數字簽名標準DSS由于DSA中的素數p和q是公用的，它們必須公開，因此人們關心它們的產生方法。國際密碼學家Lenstra和Haber指出：如果使用某些特定的素數，那么可以很容易地偽造簽名。于是美國國家標準與技術委員會在DSS中特別推薦了一種公開的產生素數的方法。該方法中的變量S稱為“種子”，C稱為“計數”，N稱為“偏差”，同時將安全散列算法SHA用于素數的產生中，以防止有人在背后做手腳。第5章數字簽名與認證技術305.1.5數字簽名標準DSS由于DSA中的素數p和q是公用5.1.5數字簽名標準DSS下面來看一個用DSS數字簽名的例子。設q=101、p=78*101+1=7879，3為F7879的一個本原元，所以能取α=378(mod7879)=170為模p的q的單位根。假設α=75，那么β=αα（mod7879）=4567。現在，假設Bob要簽名一個消息為x=1234，而且已經選擇拉隨即值k=50，可算出k-1（mod101）=99，則計算簽名如下：γ=αk(modp)(modq)=17050(mod7879)(mod101)=2518(mod101)=94δ=(x+αγ)k-1(modq)=(1234+75*94)*99(mod101)=97第5章數字簽名與認證技術315.1.5數字簽名標準DSS下面來看一個用DSS數字簽名的5.1.5數字簽名標準DSS所以簽名為（1234，94，97）。簽名的驗證過程為：γ-1=97-1

（mod101）=2e1=xδ-1(modq)=1234*25(mod101)=45

e2=γδ-1(modp)=94*25(mod101)=27(αe1βe2(modp))(modq)=(17045*456727(mod7879))(mod101)=2518(mod101)=94因此該簽名是有效的。第5章數字簽名與認證技術325.1.5數字簽名標準DSS所以簽名為（1234，94，95.2安全散列函數5.2.1安全散列函數的應用5.2.2散列函數的安全性要求5.2.3MD5報文摘要算法5.2.4SHA-1安全散列算法第5章數字簽名與認證技術335.2安全散列函數5.2.1安全散列函數的應用第5章數5.2.1安全散列函數的應用散列函數又稱為Hash函數或雜湊函數，散列函數H以變長的報文M作為輸入，產生一個定長的散列碼H(M)作為輸出。在安全應用中使用的散列函數稱為密碼學散列函數或安全散列函數。安全散列函數可以實現報文認證和數字簽名，因而被廣泛應用于不同的安全應用和網絡協議。第5章數字簽名與認證技術345.2.1安全散列函數的應用散列函數又稱為Hash函數或雜5.2.1安全散列函數的應用1報文認證報文認證是用來驗證消息完整性的安全服務或安全機制，報文認證確保收到的報文來自可信的源點且在傳輸過程中未被篡改。當散列函數應用于報文認證時，散列值H(M)又稱為報文摘要MD(MessageDigest)。第5章數字簽名與認證技術355.2.1安全散列函數的應用1報文認證第5章數字簽名與5.2.1安全散列函數的應用散列函數能夠通過不同的方式提供報文認證功能。散列函數用于報文認證的方法可以分為以下幾種：⑴使用對稱加密方法對附加散列值的報文進行加密假定源端A向目的端B發(fā)送報文EK[M||H(M)]，由于僅有A和B共享密鑰K，所以，可以確定該報文必定來自A且未被篡改，其中的散列值提供了實現認證所需要的結構。另外，由于對報文和散列值整體進行加密，因此也提供了機密性。第5章數字簽名與認證技術365.2.1安全散列函數的應用散列函數能夠通過不同的方式提供5.2.1安全散列函數的應用⑵使用對稱加密方法僅對散列值進行加密源端A向目的端B發(fā)送報文M||Ek[H(M)]，由于只對散列值進行加密，因而無法提供機密性，僅提供認證功能，但減少了加解密操作的開銷。⑶使用散列值、公共秘密值的明文方案該方案使用了公共的秘密值S，假定通通信雙方共享該秘密值S。源端A對報文M和公共秘密值S的連接計算散列值H(M||S)，并將得到的散列值附加在報文M之后得到M||H(M||S)，并向目的端B發(fā)送該報文。由于目的端B知道該秘密值S，因而能夠重新計算該散列值H并進行驗證。另外，因為秘密值本身并不被發(fā)送，所以攻擊者無法更改中途截獲的報文，也就無法產生假報文。第5章數字簽名與認證技術375.2.1安全散列函數的應用⑵使用對稱加密方法僅對散列值5.2.1安全散列函數的應用該方案并未對明文M進行加密，因而無法提供機密性，僅提供報文認證功能。⑷使用散列值、公共秘密值的密文方案該方案與方案(C)相似，但對明文M和散列值整體進行加密，因而可以同時提供機密性和報文認證功能。第5章數字簽名與認證技術385.2.1安全散列函數的應用該方案并未對明文M進行加密，因5.2.1安全散列函數的應用(a)使用常規(guī)加密方法對附加散列值的報文進行加密第5章數字簽名與認證技術395.2.1安全散列函數的應用(a)使用常規(guī)加密方法對附加5.2.1安全散列函數的應用(b)使用常規(guī)加密方法僅對散列值進行加密第5章數字簽名與認證技術405.2.1安全散列函數的應用(b)使用常規(guī)加密方法僅對散5.2.1安全散列函數的應用(c)使用散列值、公共秘密值的明文方案第5章數字簽名與認證技術415.2.1安全散列函數的應用(c)使用散列值、公共秘密值5.2.1安全散列函數的應用(d)使用散列值、公共秘密值的密文方案第5章數字簽名與認證技術425.2.1安全散列函數的應用(d)使用散列值、公共秘密值5.2.1安全散列函數的應用2數字簽名散列函數的另外一個重要應用是數字簽名。數字簽名是一種防止源點或終點抵賴的技術，在進行數字簽名過程中使用用戶的私鑰對報文的散列值進行加密，其他任何知道該用戶公鑰的用戶均能通過數字簽名來驗證報文的完整性。因此，攻擊者若想篡改報文，則需要知道用戶的私鑰。與報文認證相比，數字簽名的應用更為廣泛。第5章數字簽名與認證技術435.2.1安全散列函數的應用2數字簽名第5章數字簽名與5.2.2散列函數的安全性要求散列函數用于數字簽名的方式可以分為以下兩種。(a)使用公鑰加密及源端私鑰僅對散列值進行加密源端A首先使用自己的私鑰對散列值進行加密，然后與報文M進行連接形成M||EKRa[H(M)]發(fā)送給目的端B。該方案可提供認證功能，但不能提供機密性。另外，由于僅有源端A能生成M||EKRa[H(M)]，因而提供了數字簽名。(b)使用對稱加密對報文和已使用公鑰加密的散列值進行加密。該方案在方案(a)的基礎上，采用對稱加密對報文M和以私鑰加密的散列值EKRa[H(M)]再次進行加密，形成EK[M||EKRa[H(M)]]，從而在提供數字簽名的同時，也提供了機密性。方案(b)是較為常用的散列函數使用方法。第5章數字簽名與認證技術445.2.2散列函數的安全性要求散列函數用于數字簽名的方式可5.2.1安全散列函數的應用(a)使用公鑰加密及源端私鑰僅對散列值進行加密第5章數字簽名與認證技術455.2.1安全散列函數的應用(a)使用公鑰加密及源端私鑰5.2.2散列函數的安全性要求(b)使用對稱加密對報文和已使用公鑰加密的散列值進行加密第5章數字簽名與認證技術465.2.2散列函數的安全性要求(b)使用對稱加密對報文和5.2.2散列函數的安全性要求使用散列函數的目的是為文件、報文或其他分組數據產生“指紋”。因此可以說，散列函數的首要目標是保證數據的完整性，報文M的任何微小的改變均會導致散列函數值H(M)的變化。第5章數字簽名與認證技術475.2.2散列函數的安全性要求使用散列函數的目的是為文件、5.2.2散列函數的安全性要求1散列函數的性質若期望在安全應用中使用散列函數，則散列函數M必須具有如下性質：⑴H能用于任意大小的數據分組；⑵H產生定長的輸出；⑶

對任意給定的x，H(x)要相對易于計算，使得硬件和軟件實現成為可能；⑷H應具有單向性(oneway)，或稱為抗原像攻擊性(preimageresistant)，即對任意給定的散列值h，尋找x使得H(x)=h在計算上是不可行的；⑸H應具有抗弱碰撞性(weakcollisionresistant)，或稱為抗第二原像攻擊性，即對任意給定的分組x，尋找y≠x，使得H(y)=H(x)在計算上是不可行的；⑹H應具有抗強碰撞性(strongcollisionresistant)，即尋找任意的(x,y)對，使得H(x)=H(y)在計算上是不可行的。第5章數字簽名與認證技術485.2.2散列函數的安全性要求1散列函數的性質第5章數5.2.2散列函數的安全性要求前3個性質是散列函數應用于報文認證和數據簽名的實際應用需求，而后3個性質則是散列函數的安全性需求。第5章數字簽名與認證技術495.2.2散列函數的安全性要求前3個性質是散列函數應用于報5.2.2散列函數的安全性要求2針對具有抗弱碰撞性散列函數的攻擊此類攻擊問題可以描述為：散列函數H有n個可能的散列值，給定x和散列值H(x)，則在散列函數H隨機生成的K個散列值中，至少存在一個y使得H(y)=H(x)的概率為0.5時，k的取值是多少？第5章數字簽名與認證技術505.2.2散列函數的安全性要求2針對具有抗弱碰撞性散列函5.2.2散列函數的安全性要求

第5章數字簽名與認證技術515.2.2散列函數的安全性要求

第5章數字簽名與認證技術5.2.2散列函數的安全性要求

第5章數字簽名與認證技術525.2.2散列函數的安全性要求

第5章數字簽名與認證技術5.2.2散列函數的安全性要求

第5章數字簽名與認證技術535.2.2散列函數的安全性要求

第5章數字簽名與認證技術5.2.2散列函數的安全性要求3生日攻擊生日攻擊是建立在生日悖論基礎上的，具有抗強碰撞性的散列函數對“生日攻擊”具有抵抗能力。所謂生日悖論是指k個人中至少有兩個人生日相同的概率大于0.5的最小k值是多少。第5章數字簽名與認證技術545.2.2散列函數的安全性要求3生日攻擊第5章數字簽名5.2.2散列函數的安全性要求

第5章數字簽名與認證技術555.2.2散列函數的安全性要求

第5章數字簽名與認證技術5.2.2散列函數的安全性要求

第5章數字簽名與認證技術565.2.2散列函數的安全性要求

第5章數字簽名與認證技術5.2.2散列函數的安全性要求

第5章數字簽名與認證技術575.2.2散列函數的安全性要求

第5章數字簽名與認證技術5.2.2散列函數的安全性要求

第5章數字簽名與認證技術585.2.2散列函數的安全性要求

第5章數字簽名與認證技術5.2.3MD5報文摘要算法MD5(MessageDigest,Version5)報文摘要算法是經過MD2、MD3、和MD4發(fā)展而來的，它將任意長度的報文轉變?yōu)?28位的報文摘要，即假定P為任意長度的報文，h=MD5(P)，則h的長度為128位，其本質是將大容量信息在數字簽名前被“壓縮”成一種保密的格式。第5章數字簽名與認證技術595.2.3MD5報文摘要算法MD5(MessageDig5.2.3MD5報文摘要算法

第5章數字簽名與認證技術605.2.3MD5報文摘要算法

第5章數字簽名與認證技術65.2.3MD5報文摘要算法添加填充位和報文長度后的數據序列如圖所示，它的長度是512位的整數倍。第5章數字簽名與認證技術615.2.3MD5報文摘要算法添加填充位和報文長度后的數據序5.2.3MD5報文摘要算法2分組操作分組操作過程如圖5.5所示。MD5將添加填充位和報文長度后的數據序列分割成長度為512位的數據段，每一組數據段單獨進行報文摘要運算，報文摘要運算的輸入是512位的數據段和前一段數據段進行報文摘要運算后的128位結果，第一段數據段進行報文摘要運算時，需要輸入第一段數據段和初始向量IV，初始向量IV和中間結果分別為4個32位的字，分別稱為A、B、C和D。初始向量的4個字的初始值如下：A=67452301HB=EFCDAB89HC=98BADCFEHD=10325476H第5章數字簽名與認證技術625.2.3MD5報文摘要算法2分組操作第5章數字簽名與5.2.3MD5報文摘要算法圖5.5分組操作過程第5章數字簽名與認證技術635.2.3MD5報文摘要算法圖5.5分組操作過程第5章5.2.3MD5報文摘要算法3MD5運算過程MD5運算過程(如圖5.6所示)包含4級運算，每一級運算過程的輸入是512位的數據段和上一級的運算的結果，輸出是4個32位的字。第1級運算過程輸入的4個32位的字是對前一段數據段進行MD5運算得到的結果或是初始向量IV。512位數據段被分成16個32位的字，分別是M[k]，0≤≤15。同時MD5也產生64個32位的常數，分別是T[i]，1≤i≤64。每一級運算過程進行16次迭代運算，每一次迭代運算都有構成數據段的其中一個字和其中一個常數參加，構成數據段的16字參加每一級的16次迭代運算，但參加每一級16次迭代運算的常數是不同的，參加第i級16次迭代運算的常數是T[j]((i-1)x16+1≤j≤ix16)。第5章數字簽名與認證技術645.2.3MD5報文摘要算法3MD5運算過程第5章數字5.2.3MD5報文摘要算法

第5章數字簽名與認證技術655.2.3MD5報文摘要算法

第5章數字簽名與認證技術65.2.3MD5報文摘要算法

第5章數字簽名與認證技術665.2.3MD5報文摘要算法

第5章數字簽名與認證技術65.2.3MD5報文摘要算法圖5.6MD5運算過程第5章數字簽名與認證技術675.2.3MD5報文摘要算法圖5.6MD5運算過程第5章5.2.3MD5報文摘要算法最后一級輸出的4個32位字和作為這次MD5運算輸入的前一段數據段的MD5運算結果逐字相加，產生這一段數據段的MD5運算結果。最后一段數據段的MD5結果作為報文的報文摘要。第5章數字簽名與認證技術685.2.3MD5報文摘要算法最后一級輸出的4個32位字和作5.2.3MD5報文摘要算法第一級運算過程的16次迭代運算FF(a,b,c,d,M[0],7,1)FF(d,a,b,c,M[1],12,2)FF(c,d,a,b,M[2],17,3)FF(b,c,d,a,M[3],22,4)FF(a,b,c,d,M[4]7,5)FF(d,a,b,c,M[5],12,6)FF(c,d,a,b,M[6],17,7)FF(b,c,d,a,M[7],22,8)FF(a,b,c,d,M[8],7,9)FF(d,a,b,c,M[9],12,10)FF(c,d,a,b,M[10],17,11)FF(b,c,d,a,M[11],22,12)FF(a,b,c,d,M[12],713)FF(d,a,b,c,M[13],12,14)FF(c,d,a,b,M[14],17,15)FF(b,c,d,a,M[15],22,16)第二級運算過程的16次迭代運算GG(a,b,c,d,M[1],5,17)GG(d,a,b,c,M[6],9,18)GG(c,d,a,b,M[11],14,19)GG(b,c,d,a,M[0],20,20)GG(a,b,c,d,M[5],5,21)GG(d,a,b,c,M[10],9,22)GG(c,d,a,b,M[15],14,23)GG(b,c,d,a,M[4],20,24)GG(a,b,c,d,M[9],5,25)GG(d,a,b,c,M[14],9,26)GG(c,d,a,b,M[3],14,27)GG(b,c,d,a,M[8],20,28)GG(a,b,c,d,M[13],5,29)GG(d,a,b,c,M[2],9,30)GG(c,d,a,b,M[7],14,31)GG(b,c,d,a,M[12],20,32)第三級運算過程的16次迭代運算HH(a,b,c,d,M[5],4,33)HH(d,a,b,c,M[8],11,34)HH(c,d,a,b,M[11],16,35)HH(b,c,d,a,M[14],23,36)HH(a,b,c,d,M[1],4,37)HH(d,a,b,c,M[4],11,38)HH(c,d,a,b,M[7],16,39)HH(b,c,d,a,M[10],23,40)HH(a,b,c,d,M[13],4,41)HH(d,a,b,c,M[0],11,42)HH(c,d,a,b,M[3],16,43)HH(b,c,d,a,M[6],23,44)HH(a,b,c,d,M[9],4,45)HH(d,a,b,c,M[12],11,46)HH(c,d,a,b,M[15],16,47)HH(b,c,d,a,M[2],23,48)第四級運算過程的16次迭代運算II(a,b,c,d,M[0],6,49)II(d,a,b,c,M[7],10,50)II(c,d,a,b,M[14],15,51)II(b,c,d,a,M[5],21,52)II(a,b,c,d,M[12],6,53)II(d,a,b,c,M[3],10,54)II(c,d,a,b,M[10],15,55)II(b,c,d,a,M[1],21,56)II(a,b,c,d,M[8],6,57)II(d,a,b,c,M[15],10,58)II(c,d,a,b,M[6],15,59)II(b,c,d,a,M[13],21,60)II(a,b,c,d,M[4],6,61)II(d,a,b,c,M[11],10,62)II(c,d,a,b,M[2],15,63)II(b,c,d,a,M[9],21,64)表5.1MD5運算過程第5章數字簽名與認證技術695.2.3MD5報文摘要算法第一級運算過程的16次迭代運算5.2.4SHA-1安全散列算法安全散列算法第1版(SecureHashAlgorithm1，SHA)和MD5非常相似，主要有兩點不同。⑴

初始向量IV和每一段數據段經過SHA-1運算后的結果為5個32位的字，即160位，而不是128位。這樣，對于任何報文X，找出另一個報文Y，X≠Y，但MD(X)=MD(Y)的可能性更低。SHA-1初始向量的前4個字的值和MD5相同，第5個字的值為：E=C3D2E1F0H第5章數字簽名與認證技術705.2.4SHA-1安全散列算法安全散列算法第1版(Sec5.2.4SHA-1安全散列算法

第5章數字簽名與認證技術715.2.4SHA-1安全散列算法

第5章數字簽名與認證技5.2.4SHA-1安全散列算法

第5章數字簽名與認證技術725.2.4SHA-1安全散列算法

第5章數字簽名與認證技5.2.4SHA-1安全散列算法每一級運算時使用的常數Ki如下：K1=5A827999HK2=6ED9EBA1HK3=8F1BBCDCHK4=CA62C1D6H第5章數字簽名與認證技術735.2.4SHA-1安全散列算法每一級運算時使用的常數Ki5.3認證技術5.3.1用戶認證原理5.3.2信息認證技術5.3.3PKI技術5.3.4基于PKI的RBAC模型與實現第5章數字簽名與認證技術745.3認證技術5.3.1用戶認證原理第5章數字簽名與認5.3.1用戶認證原理當人們在住宿、求職、登機、銀行存款等時，通常要出示自己的身份證（如果出國，則是護照）來證明自己的身份。但是，如果警察要求你出示身份證以證明你的身份，按照規(guī)定，警察必須首先出示自己的證件來證明自身的身份。前者是一方向另一方證明身份，而后者則是對等雙方相互證明自己的身份。第5章數字簽名與認證技術755.3.1用戶認證原理當人們在住宿、求職、登機、銀行存款等5.3.1用戶認證原理如果A要登錄某服務器（ATM，計算機或其他類型的終端），服務器怎么知道登錄的人就是A而不是其他的人呢？傳統(tǒng)的方法（現在大多數情況下仍然是這樣）是用口令來解決這個問題。A必須輸入他的用戶名（或ID）和口令，服務器將它們與保存在主機數據庫中的口令表進行匹配，如果匹配成功，表明登錄的人就是A。這里存在著一個明顯的安全隱患，如果口令表被偷窺（黑客或者系統(tǒng)管理員都有可能），就會產生嚴重的后果。第5章數字簽名與認證技術765.3.1用戶認證原理如果A要登錄某服務器（ATM，計算機5.3.1用戶認證原理使用單向函數可以解決這個問題，假定服務器保存每個用戶口令的單向函數值，則認證協議如下：①A將自己的用戶名和口令傳送給服務器； ②服務器計算出口令的單向函數值；③服務器將用戶名和單向函數值與口令表中的值進行匹配。第5章數字簽名與認證技術775.3.1用戶認證原理使用單向函數可以解決這個問題，假定服5.3.1用戶認證原理這個協議從理論上講是可行的，可惜它很脆弱，很難經受字典式攻擊，主要原因是口令一般較短，只有8個字節(jié)。對該協議最簡單的改進，就是將口令與一個稱作salt的隨機字符串連接在一起，再用單向函數對其進行運算，而服務器保存用戶名、salt值和對應的單向函數值。例如，大多數UNIX系統(tǒng)使用12位的salt。第5章數字簽名與認證技術785.3.1用戶認證原理這個協議從理論上講是可行的，可惜它很5.3.1用戶認證原理不幸的是，DanielKlein開發(fā)了一個猜測口令的程序，在大約一個星期里，經常能破譯出一個給定系統(tǒng)中的40％的口令。而DavidFedmerier和PhilipKarn編輯了一份包含732000個口令的口令表，表中的口令與4096個可能的salt值中的每一個值都有關聯。估計利用這張表可以破譯出一個給定系統(tǒng)口令表中的30％的口令。這表明，增加salt的位數不能解決所有的問題，它可以防止對口令表實施字典式攻擊，但不能防止對單個口令的攻擊。第5章數字簽名與認證技術795.3.1用戶認證原理不幸的是，DanielKlein開5.3.1用戶認證原理有一種稱為S/KEY的一次使用口令的方法，它基于單向函數的安全性。用戶A預先產生一串口令：A首先輸入隨機數R，服務器使用單向函數f和R，計算出N(例如N=100)個口令Pk(1≤k≤N)，其中P0=R，Pk=f(Pk-1)，服務器將PN+1和A的用戶名一起保存在口令表中，并將Pk依次打印出來交由A保存。A在第一次登錄時使用PN作為自己的口令，服務器則根據用戶名和f(PN)在口令表中尋找匹配，如果匹配成功，那么證明A的身份是真的，同時服務器用PN代替口令表中的PN+1，用戶A則將PN從自己的口令串中劃掉。第5章數字簽名與認證技術805.3.1用戶認證原理有一種稱為S/KEY的一次使用口令的5.3.1用戶認證原理A在每一次登錄時總是使用下標最大的那個口令，并在使用后把它從自己的口令串中劃掉；服務器在每一次認證時總是計算f(Pk)，再在口令表中尋找匹配，并用當前的口令Pk替換掉先前的Pk+1。當A的口令串用完時，A必須請求服務器為自己再產生一串口令。該協議的優(yōu)點是，服務器中的口令表以及通信線路中傳輸的口令對于攻擊者來說毫無意義。其缺點是異地使用起來不方便。第5章數字簽名與認證技術815.3.1用戶認證原理A在每一次登錄時總是使用下標最大的那5.3.1用戶認證原理另一種方法是使用非對稱密鑰系統(tǒng)，登錄系統(tǒng)時，按如下協議進行認證：①服務器發(fā)送一個隨機數R給A；②A用自己的私鑰對R加密，得到R1并將它和用戶名一起回傳給服務器；③服務器根據用戶名在數據庫中找到A的公鑰，用它解密R1，得到R2；④如果R2=R，則A登錄成功。該協議可以有效地對付竊聽或偷窺，但A所使用的終端必須具有計算的能力。第5章數字簽名與認證技術825.3.1用戶認證原理另一種方法是使用非對稱密鑰系統(tǒng)，登錄5.3.2信息認證技術信息認證技術是網絡信息安全技術的一個重要方面，它用于保證通信雙方的不可抵賴性和信息的完整性。在Internet深入發(fā)展和普遍應用的時代，信息認證顯得十分重要。例如，在網絡銀行、電子商務等應用中，對于所發(fā)生的業(yè)務或交易，我們可能并不需要保密交易的具體內容，但是交易雙方應當能夠確認是對方發(fā)送（接收）了這些信息，同時接收方還能確認接收的信息是完整的，即在通信過程中沒有被修改或替換。再如，在電子政務應用中，通過網絡發(fā)送（傳輸）信息（數字文件），此時接收方主要關心的是信息真實性和信息來源的可靠性。第5章數字簽名與認證技術835.3.2信息認證技術信息認證技術是網絡信息安全技術的一個5.3.2信息認證技術1基于私鑰密碼體制的信息認證假設通信雙方為A和B。A、B共享的密鑰為KAB，M為A發(fā)送給B的信息。為防止信息M在傳輸信道被竊聽，A將M加密后再傳送，如圖5.7所示。圖5.7基于私鑰的基本信息認證機制第5章數字簽名與認證技術845.3.2信息認證技術1基于私鑰密碼體制的信息認證圖55.3.2信息認證技術由于KAB為用戶A和B的共享密鑰，所以用戶B可以確定信息M是由用戶A所發(fā)出的。因此，這種認證方法可以對信息來源進行認證，而且它在認證的同時對信息M也進行了加密。這種方法的缺點是不能提供信息完整性的鑒別。第5章數字簽名與認證技術855.3.2信息認證技術由于KAB為用戶A和B的共享密鑰，所5.3.2信息認證技術通過引入單向hash函數，可以解決信息完整性的簽別檢測問題，如圖5.8所示。圖5.8(a)基于私鑰的信息認證機制第5章數字簽名與認證技術865.3.2信息認證技術通過引入單向hash函數，可以解決信5.3.2信息認證技術圖5.8(b)(c)基于私鑰的信息認證機制第5章數字簽名與認證技術875.3.2信息認證技術圖5.8(b)(c)基于私鑰的信息5.3.2信息認證技術在圖5.8（a）的信息認證機制中，用戶A首先對信息M求hash值H(M)，然后將M‖H(M)加密后傳送給用戶B。用戶B通過解密并驗證附于信息M之后的hash值是否正確。圖5.8(b)的信息認證機制和5.8(a)的信息認證機制唯一不同的地方是對hash值加密。而在圖5.8(c)的信息認證機制中，則使用一種帶密鑰的hash函數H（H可取為ANSIX9.9標準中規(guī)定的DESCBC模式，KAB為DES的加密密鑰，DES全稱為DataEncryptionStandard，即數據加密標準，是一種使用密鑰加密的塊算法），函數H以M和KAB為參數。圖5.8(c)的信息認證機制與圖5.8(b)的信息認證機制主要區(qū)別在于產生信息認證碼（MAC）的方式不同。圖5.8給出的三種信息認證方案均實現信息來源和完整性的認證。第5章數字簽名與認證技術885.3.2信息認證技術在圖5.8（a）的信息認證機制中，用5.3.2信息認證技術基于私鑰的信息認證機制的優(yōu)點是速度較快，缺點是通信雙方A和B需要事先約定共享密鑰KAB

，而且如果用戶A需要與其他n個用戶進行秘密通信的話，那么用戶A需要事先與這些用戶約定和妥善保存n-1個共享密鑰，這本身就存在安全問題。第5章數字簽名與認證技術895.3.2信息認證技術基于私鑰的信息認證機制的優(yōu)點是速度較5.3.2信息認證技術2基于公鑰體制的信息認證基于公鑰體制的信息認證技術主要利用數字簽名和hash函數來實現。假設用戶A對信息M的hash值H(M)的簽名為SigSA(dA,（H（m）），其中dA為用戶A的私鑰。用戶A將M‖SigSA（dA,H（m））發(fā)送給用戶B，用戶B通過A的公鑰來確認信息是否由A所發(fā)出，并且通過計算hash值來對信息M進行完整性鑒別。如果傳輸的信息需要保密，那么用戶A和B可以通過密鑰分配中心（KDC）獲得一個共享密鑰KAB，A將信息簽名和加密后再傳送給B，如圖5.9所示。第5章數字簽名與認證技術905.3.2信息認證技術2基于公鑰體制的信息認證第5章5.3.2信息認證技術圖5.9基于公鑰的信息認證機制從圖5.9可知，因為只有用戶A和B擁有共享密鑰KAB，所以B能夠確信信息來源的可靠性和完整性。第5章數字簽名與認證技術915.3.2信息認證技術圖5.9基于公鑰的信息認證機制從圖55.3.3PKI技術網絡中的信息一方面要允許值得信賴的用戶訪問，另一方面要防止非法用戶以及黑客的破壞和入侵。因此，認證與授權一直是現代網絡信息系統(tǒng)中需要解決的很重要的問題。在過去的幾年中，公鑰基礎設施（PKI：PublicKeyInfrastructure）已經成為網絡信息系統(tǒng)中不可或缺的認證系統(tǒng)。PKI通過公鑰加密手段，以公鑰證書為核心，提供了在線身份認證的有效手段。第5章數字簽名與認證技術925.3.3PKI技術網絡中的信息一方面要允許值得信賴的用戶5.3.3PKI技術在20世紀1976年Diffie和Hellman提出公鑰密碼的思想：試圖尋找一種密碼系統(tǒng)，使得在公鑰公開的情況下仍然無法推算出私鑰，這樣公鑰便可以安全發(fā)布出去。為此公鑰證書將用戶的身份與其公鑰綁定在一起，作為用戶在網絡中的身份證明。證書權威中心CA負責公鑰證書的簽發(fā)、撤銷與維護。PKI實現了信息交換的保密性、抗抵賴性、完整性和有效性等安全準則，總之，PKI在網絡應用中解決了“他是誰”的問題。第5章數字簽名與認證技術935.3.3PKI技術在20世紀1976年Diffie和He5.3.3PKI技術1PKI概述公開密鑰體制早期主要是針對開放式大型因特網的應用環(huán)境而設計的，在這種網絡環(huán)境中需要有一個協調的公開密鑰管理機制，來保證公開密鑰的可用性和可靠性。公開密鑰的管理一般是基于證書機構（CA，CertificateAuthority）,即建立一個通信雙方都信任的第三方機構來管理通信雙方的公開密鑰。在現代網絡環(huán)境中，這種基于證書機構可能許多個，這些證書機構可以存在信任關系，用戶可通過一個簽名鏈去設法驗證任一個證書機構頒發(fā)的證書。第5章數字簽名與認證技術945.3.3PKI技術1PKI概述第5章數字簽名與認證5.3.3PKI技術PKI的核心是對信任關系的管理。第三方信任與直接信任是所有網絡信息安全實現的基礎。所謂第三方信任，是指兩個人或實體之間可以通過第三方間接地達到彼此信任。舉例：如果兩個陌生人都與同一個第三方彼此信任并且第三方也擔保他們的可信度時，這兩個陌生人就可以做到彼此信任。當在很多人或實體中建立第三方信任時，就需要有一個權威機構來確保信任度。第5章數字簽名與認證技術955.3.3PKI技術PKI的核心是對信任關系的管理。第三方5.3.3PKI技術數字證書又稱電子證書，起著標志證書持有者身份的作用。證書持有者可以通過它進行安全的通信、事務處理以及貿易等活動。目前有關部門可以提供如下類型的數字證書：一是用來進行各種網上事務處理活動后事務型數字證書。二是用來進行網上安全電子交易的交易型數字證書。另外，為了使廣大的網絡用戶以及電子商務愛好者熟悉數字證書的使用，還提供免費型數字證書。第5章數字簽名與認證技術965.3.3PKI技術數字證書又稱電子證書，起著標志證書持有5.3.3PKI技術PKI通過使用公開密匙技術和數字證書來保證網絡系統(tǒng)信息安全并負責驗證數字證書持有者身份。舉例：如某企業(yè)可以建立PKI體系來控制對其計算機網絡的訪問。PKI讓個人或企業(yè)用戶安全地從事其商業(yè)行為。企業(yè)員工以及網絡用戶可以在互聯網上安全地發(fā)送電子郵件而不必當心其發(fā)送的信息被非法的第三方（競爭對手等）截獲。當然，企業(yè)也可建立其內部網絡站點，只對其信任的客戶發(fā)送信息。第5章數字簽名與認證技術975.3.3PKI技術PKI通過使用公開密匙技術和數字證書來5.3.3PKI技術2PKI的目的和特點當前人們認可PKI是國際上較為成熟的解決開放式互聯網絡信息安全需求的一套體系，而且還在發(fā)展之中。PKI體系支持：（1）身份認證；（2）信息傳輸、存儲的完整性；（3）信息傳輸、存儲的機密性；（4）操作的不可否認性；第5章數字簽名與認證技術985.3.3PKI技術2PKI的目的和特點第5章數字簽5.3.3PKI技術“PKI基礎設施”的目的就是：只要遵循必要的原則，對于不同的實體就可以方便地使用基礎設施提供的服務。PKI公開密匙基礎設施就是為整個組織提供安全的基本框架，可以被組織中任何需要安全的應用和對象使用。PKI公開密匙基礎設施具有同樣的特性:（1）具有易用的、眾所周知的界面；（2）基礎設施提供的服務是可預知的且一致有效的；（3）應用設施無需了解基礎設施是如何提供服務的。第5章數字簽名與認證技術995.3.3PKI技術“PKI基礎設施”的目的就是：只要遵循5.3.3PKI技術3PKI的功能一個完整的PKI系統(tǒng)應具備以下主要功能：根據X.509標準發(fā)放證書，證書與CA產生密匙對，密鑰備份及恢復，證書，密鑰對的自動更換，加密密鑰及簽名密鑰的分隔，管理密鑰和證書，支持對數字簽名的不可抵賴性，密鑰歷史的管理，為用戶提供PKI服務，如網絡用戶安全登陸、增加和刪除用戶、恢復密鑰、檢驗證書等。第5章數字簽名與認證技術1005.3.3PKI技術3PKI的功能第5章數字簽名與認5.3.3PKI技術4PKI的基本組成一個典型的PKI系統(tǒng)由五個基本的部分組成：證書申請者、注冊機構、認證中心、證書庫和證書信任方。其中，認證中心、注冊機構和