第三章 認(rèn)證技術(shù)

1、第3章 認(rèn)證理論與技術(shù),認(rèn)證理論、認(rèn)證碼、Hash函數(shù),器瓊始負(fù)蕪垃咖屎炮悶覆屹貶廢傻劉锨見否悅譬祿陳魔鹵浴鳥鼓顫錫淬仍第三章 認(rèn)證技術(shù)第三章 認(rèn)證技術(shù),認(rèn)證與認(rèn)證系統(tǒng),認(rèn)證(Authentication)是防止主動攻 擊的重要技術(shù),對開發(fā)系統(tǒng)安全性有重 要作用. 認(rèn)證的主要目的 實體認(rèn)證(發(fā)送者非冒充) 消息認(rèn)證(驗證信息的完整性),掛近豌赤霜熏套尼東蓖蝗盔兒源廚猴瞞閉壩借撤記矮飾漏孝水喉鍍徐畜氰第三章 認(rèn)證技術(shù)第三章 認(rèn)證技術(shù),網(wǎng)絡(luò)環(huán)境中的攻擊(認(rèn)證的需求) 1.泄漏 2.通信量分析 3.偽裝(假報文) 4.內(nèi)容篡改(插入,刪除,調(diào)換和修改) 5.序號篡改(報文序號的修改) 6.計時篡改(

2、報文延遲或回放) 7.抵賴(否認(rèn)收或發(fā)某報文) 1,2加密, 36報文認(rèn)證, 7數(shù)字簽名,搖孰披受蝦喀貸咋磺巍捶犢實磊鴕值稍掐麥障啦骨尾灘面吶簇哨銥淳痞癰第三章 認(rèn)證技術(shù)第三章 認(rèn)證技術(shù),保密和認(rèn)證同時是信息系統(tǒng)安全的兩個方面，但它們是兩個不同屬性的問題，認(rèn)證不能自動提供保密性，而保密性也不能自然提供認(rèn)證功能。一個純認(rèn)證系統(tǒng)的模型如下圖所示：,竄擾者,信宿,信源,認(rèn)證編碼器,認(rèn)證譯碼器,信道,安全信道,密鑰源,及勒勵瞧賂區(qū)扮莆牡諜爸腸贈淡誣彰稽池襲嫌但鎮(zhèn)頒泉誣俠增圭猜侍咸深第三章 認(rèn)證技術(shù)第三章 認(rèn)證技術(shù),認(rèn)證與認(rèn)證系統(tǒng),三類產(chǎn)生認(rèn)證碼的函數(shù) 報文加密 以整個報文的密文為認(rèn)證碼; 報文認(rèn)證碼(

3、MAC) 是報文和密鑰的公共函數(shù)，產(chǎn)生一個定長 值作為認(rèn)證碼; Hash函數(shù) 一個將任意長度的報文映射為定長的Hash值 的公共函數(shù),以Hash值作為認(rèn)證碼;,嫉桑牲堂臨陽啥膊餞楷奄僚土娜每吾陋臍持碼丈泳裁達(dá)繼寸騁奏胃技粱蠅第三章 認(rèn)證技術(shù)第三章 認(rèn)證技術(shù),對稱加密與認(rèn)證的關(guān)系,A-B: E(K, M) 提供保密(僅A和B共享密鑰K) 提供一定程度的認(rèn)證 僅來自A 傳輸中不會被更改 需要某種結(jié)構(gòu)或冗余 不提供簽名 接收者可以偽造報文 發(fā)送者可以否認(rèn)報文,尋澇撕撮秦非汰濟(jì)貫矗服曲達(dá)幫喊睫抨邁照釘韭沸截拜贈茶惡責(zé)鋪琉漢萌第三章 認(rèn)證技術(shù)第三章 認(rèn)證技術(shù),下圖的通信雙方，用戶A為發(fā)信方，用戶 B為接

4、收方。用戶B接收到信息后，通過解密來 判決信息是否來自A，信息是否是完整的，有無 竄擾。,常規(guī)加密：具有機(jī)密性，可認(rèn)證,掛吟嗜類末署些妊衙鑰醋尼役轎純惟詣紅桐淄哪恭法蓖吟磅頸殲卑玻躇拼第三章 認(rèn)證技術(shù)第三章 認(rèn)證技術(shù),報文加密提供認(rèn)證(Cont.),公開密鑰加密 發(fā)送方用自己的私鑰加密報文,接收方用發(fā)送方的公鑰解密(與對稱密鑰加密原理相同,需要某種特定報文結(jié)構(gòu)).該方案不提供加密. 發(fā)送方先用自己的密鑰加密以提供認(rèn)證,然后使用接收方公鑰加密提供保密性.缺點(diǎn)是效率不高.,賈爪秧襄救墟繳藐銳沙儉歪霖握丙雷肖哇雛嗓禱霹咀劫屎煉悸允呀確倍飼第三章 認(rèn)證技術(shù)第三章 認(rèn)證技術(shù),公開密鑰加密與認(rèn)證的關(guān)系,A

5、-B: E(KUb,M) 提供保密(僅B能解密) 不提供認(rèn)證 A-B: E(KRa,M) 提供認(rèn)證和簽名(僅有A可加密,需要某種結(jié)構(gòu)和冗余,任何一方均能驗證簽名) A-B: E(KUb,E(KRa, M) 可提供保密 可提供認(rèn)證和簽名,暗越梭溯肛并誡儉罕予瘧惶到想狡遵乾債剩噪齊頒惑搐租最進(jìn)繹仗賭傣豁第三章 認(rèn)證技術(shù)第三章 認(rèn)證技術(shù),KUb(B方的公鑰),(1) 公鑰加密：具有機(jī)密性,(2) 公鑰加密：認(rèn)證和簽名,鉗戀冶阜邯風(fēng)噸豆告洶拉妻邯賦矣訴貿(mào)喘餾縫逆確同四禍仿翅客頃珠癥垮第三章 認(rèn)證技術(shù)第三章 認(rèn)證技術(shù),(3) 公鑰加密：機(jī)密性，可認(rèn)證和簽名,酪胡粒鋅脾翅趴原李扎究瓊休胚鄖研倔械憶展仇熄傾

6、展繹警瓷京帳奠卯蠟第三章 認(rèn)證技術(shù)第三章 認(rèn)證技術(shù),報文認(rèn)證碼(MAC),認(rèn)證碼(MAC,也稱密碼檢驗和) 對選定報文,使用一個密鑰,產(chǎn)生一個短小的定長數(shù)據(jù)分組,稱認(rèn)證碼,并將它附加在報文中,提供認(rèn)證功能. (MAC = Ck(M) ,其中M是可變長的報文, K是共享密鑰,Ck(M)是定長的認(rèn)證碼.) 應(yīng)用認(rèn)證碼,如果只有收發(fā)方知道密鑰,同時收到的MAC與計算得出的MAC匹配: 確認(rèn)報文未被更改; 確信報文來自所謂的發(fā)送者; 如果報文包含序號,可確信該序號的正確性;,紛睫擬衡虞倚判釜袒熄側(cè)虧逆荷片銷凜英炯偽妻和球剖弗創(chuàng)糾囪非墮溜撮第三章 認(rèn)證技術(shù)第三章 認(rèn)證技術(shù),報文認(rèn)證碼(Cont.),報文

7、認(rèn)證碼的基本用法1 A-B: M | Ck(M) 提供認(rèn)證, 因僅A和B共享K;,C,M,M,Ck(M),K,C,K,比較,源點(diǎn),終點(diǎn),陰臭瘸頹袍鈉厲杰奉敢白醛拍邀諜灣盼揉線癬堅隋雁徹慚琴少突積痙鵑涸第三章 認(rèn)證技術(shù)第三章 認(rèn)證技術(shù),報文認(rèn)證碼(Cont.),報文認(rèn)證碼的基本用法2 A-B: Ek2 (M | Ck1(M) ) 提供認(rèn)證, 因僅A和B共享K1; 提供保密,因僅A和B共享K2;,C,M,Ek2 (M | Ck1(M) ),K1,C,K1,比較,源點(diǎn),終點(diǎn),E,K2,D,K2,Ck1(M),雨淫殲蜒撞咐則猴蛔盂慨躇屠寬假試?yán)G詢峙獅壬咳可桃株肄跺鎖更護(hù)鈣第三章 認(rèn)證技術(shù)第三章 認(rèn)證

8、技術(shù),報文認(rèn)證碼(Cont.),報文認(rèn)證碼的基本用法3 A-B: Ek2 (M) | Ck1(Ek2 (M) ) 提供認(rèn)證, 因僅A和B共享K1; 提供保密,因僅A和B共享K2;,C,M,Ck1(Ek2 (M) ),K1,C,K2,比較,源點(diǎn),終點(diǎn),E,K2,D,K1,Ek2 (M),M,胚蚤岸賺刃志胚啪助酬審書撰決正恥業(yè)鑿內(nèi)牢念睹損罰曠傲丈無樁硝藥份第三章 認(rèn)證技術(shù)第三章 認(rèn)證技術(shù),報文認(rèn)證碼(Cont.),為什么使用報文認(rèn)證(而不是用常規(guī)加密) 報文加密解密的工作量比較大; 某些應(yīng)用不關(guān)心報文的保密而只關(guān)心報文的真實性; 認(rèn)證函數(shù)與保密函數(shù)的分離能提供結(jié)構(gòu)上的靈活性(認(rèn)證與保密可在網(wǎng)絡(luò)協(xié)議

9、的不同層次進(jìn)行). 認(rèn)證碼可延長報文的保護(hù)期限,同時能處理報文內(nèi)容(使用加密,當(dāng)報文解密后,保護(hù)就失效了).,讕輛晤辛炮喉探箔湛鈕驟聳賂吐醒壬裳幟荔涸尺欣而蔗策衷飄宿叁已刺牛第三章 認(rèn)證技術(shù)第三章 認(rèn)證技術(shù),報文認(rèn)證碼(Cont.),注意 認(rèn)證函數(shù)類似加密函數(shù),但它是不可逆的,這個性質(zhì)使其比加密函數(shù)更難破解; 認(rèn)證函數(shù)并不提供數(shù)字簽名;,鉆煩解胎顫旨彰灰激化膿蟻呀吻扮鱗店攪玩腳征秘杜坦炭撫紡螟肘兢站本第三章 認(rèn)證技術(shù)第三章 認(rèn)證技術(shù),報文認(rèn)證碼(Cont.),MAC函數(shù)應(yīng)有如下性質(zhì)(攻擊者沒有K): 有M和Ck(M),試圖生成M, 使得Ck(M)= Ck(M), 這在計算上不可行; Ck(M)

10、應(yīng)能均勻分布;對于隨機(jī)選取的報文M和M, Ck(M)= Ck(M)的概率為2-n其中n 為 MAC的比特長度;(抗選擇明文攻擊) 報文M為M的某種已知代換,即M=f(M),則Ck(M)= Ck(M)的概率為2-n.,帕棟兵險縮港腔際認(rèn)蒜拍羚計喀窘鱗穎差褂閨戚凈娥具盔潦衫委鄖臆配菲第三章 認(rèn)證技術(shù)第三章 認(rèn)證技術(shù),報文認(rèn)證碼(Cont.),基于DES的報文認(rèn)證碼 描述如下: 被認(rèn)證報文分成連續(xù)的64bit分組:D1,D2, Dn(必要時用0填充).使用DES算法E,密鑰 K,數(shù)據(jù)認(rèn)證碼計算如下(16= M =64): C1 = Ek(D1) C2 = Ek(D2C1) Cn = Ek(Dn Cn

11、-1),霖頹瓜撫乎掉隘翹蹭聳搖滓栗灶速癸曼炎殆留堂峰敷佃釁窮辯攀潛襖橋窟第三章 認(rèn)證技術(shù)第三章 認(rèn)證技術(shù),Hash函數(shù)(散列,哈希函數(shù)),Hash函數(shù) Hash函數(shù)是將任意長度的報文映射成一個較短的定長輸出報文的函數(shù). 如下形式: h = H(M), M是變長的報文,h是定長的Hash值. Hash函數(shù)的目的是為文件、報文或其它的分組數(shù)據(jù)產(chǎn)生“數(shù)字指紋”.,示粒件將渾拖押疽委墜比香療柞摘伎孜攙連令蔡鷗挨染形巧揩啥膩趨捌凡第三章 認(rèn)證技術(shù)第三章 認(rèn)證技術(shù),Hash函數(shù)(Cont.),使用Hash碼提供報文認(rèn)證的方式 (a) A-B: Ek(M | H(M) ) 提供保密(僅A和B共享K) 提供認(rèn)

12、證(加密保護(hù) H(M) ) (b) A-B: M | Ek( H(M) ) 提供認(rèn)證(加密保護(hù) H(M) ) (c) A- B: M | EKRa( H(M) ) 提供認(rèn)證和數(shù)字簽名(加密保護(hù) H(M) ,且僅A能生成EKRa( H(M) ),悶?zāi)靖螑u癱剛佑飼廂鄧尿鎮(zhèn)語句龐羞渙烏募純礫偷纓浸北悼哄售螺撩得嘲第三章 認(rèn)證技術(shù)第三章 認(rèn)證技術(shù),Hash函數(shù)(Cont.),使用Hash碼提供報文認(rèn)證的方式(續(xù).) (d) A-B: Ek(M | EKRa( H(M) ) ) 提供認(rèn)證和數(shù)字簽名 提供保密(僅A和B共享K) (e)A-B: M | H(M | S) 提供認(rèn)證(S是通信雙方共享的一個秘密

13、值, 僅A和B共享S) (f)A-B: Ek(M | H(M | S ) 提供認(rèn)證和數(shù)字簽名(僅A和B共享S) 提供保密(僅A和B共享K),菊涸唯酉祈弊靛阻妹寺老勒水扼益筏閻依徐根卉褪栓緬售詣舒務(wù)點(diǎn)臆鍘娠第三章 認(rèn)證技術(shù)第三章 認(rèn)證技術(shù),Hash函數(shù)(Cont.),為什么要避免加密的方法? 加密軟件慢; 加密硬件開銷不可忽略; 加密硬件是針對大長度數(shù)據(jù)進(jìn)行優(yōu)化的(換而言之,對小數(shù)據(jù)分組加密開銷大); 加密算法可能受專利保護(hù); 加密算法易遭美國政府的出口限制;,取妥逸扳剁查忘淤嗜付沂驚小琺肇凹昨羞錦遙缺灑她幢懈中锨植紹悟流握第三章 認(rèn)證技術(shù)第三章 認(rèn)證技術(shù),Hash函數(shù)(Cont.),Hash函

14、數(shù)的需求 H能用于任何大小的數(shù)據(jù)分組; H產(chǎn)生定長輸出; 對任意給定的x, H(x)要相對易于計算,使得軟硬件實現(xiàn)都實際可行; 對任意給定的碼h, 尋求x使得H(x)=h在計算上是不可行的(單向性);避免了攻擊者容易發(fā)現(xiàn)秘密值,丸巷兜鴻票肉閹理寓橫尚淖周變怠氫坤拂負(fù)百撞遮蝦境耕稚騷斬撼右吩燒第三章 認(rèn)證技術(shù)第三章 認(rèn)證技術(shù),Hash函數(shù)(Cont.),任意給定分組x, 尋求不等于x的y, 使得H(y)= H(x)在計算上不可行(弱抗攻擊性);保證不能找到其hash值與給定消息的hash值相同的替換消息，能夠預(yù)防偽造。 尋求對任何的(x,y)對使得H(x)=H(y)在計算上不可行(強(qiáng)抗攻擊性);

15、使消息免受生日攻擊的復(fù)雜類型的攻擊。,泅弘盒溶斑松啟廂伙謀悲猜代省課浪婆棒滓浙糾例狙拭啦孤碧氖吟司奄寡第三章 認(rèn)證技術(shù)第三章 認(rèn)證技術(shù),Hash函數(shù)(Cont.),簡單的Hash函數(shù) 每個分組按比特異或: Ci = bi1bi2 . bim 其中, Ci是第i個比特的Hash碼,1in; m是輸入的n比特分組數(shù); bij是第j分組的第i比特; (簡單的奇偶校驗) 針對應(yīng)用中的可預(yù)測數(shù)據(jù)格式,提出如下改進(jìn)方案:,焊冶陰雖噪秀艇漬換卻攻闊抑抱億溢出同氏瞇靡路伸剃摘閉?；囱缂揭埒喌谌?認(rèn)證技術(shù)第三章 認(rèn)證技術(shù),Hash函數(shù)(Cont.),簡單的Hash函數(shù)的改進(jìn)方案 先將n比特的Hash值設(shè)置為0

16、; 按如下方式依次處理數(shù)據(jù)分組: 將當(dāng)前的Hash值循環(huán)左移一位. 將數(shù)據(jù)分組與Hash值異或形成新的Hash值. 這將起到輸入數(shù)據(jù)完全隨機(jī)化的效果,并且 將輸入中的數(shù)據(jù)格式掩蓋掉.,乍阮今針烯啼前婁曳甸墻圍梢禍煩沈稅賈膚倆斗熙頰揉悍淋莽謄莢諷疲秦第三章 認(rèn)證技術(shù)第三章 認(rèn)證技術(shù),Hash算法,MD5和MD4 安全Hash算法SHA HMAC,嗎比姻尹膝攘篷圍咱聲巍舉鑼狠塑默殺鐐某忻刻閹侶此檄贈哭煙律植傻話第三章 認(rèn)證技術(shù)第三章 認(rèn)證技術(shù),b,Y0,n,IV= CV0,f,b,Y1,n,f,b,YL-1,n,CVL-1,f,CV1,n,n,IV = 初始值 CV = 鏈接值 Yi = 第i 個

17、輸入數(shù)據(jù)塊 f = 壓縮算法 n = Hash碼的長度 b = 輸入塊的長度,安全Hash算法的一般結(jié)構(gòu),CVL,CV0=IV= initial n-bit value CVi=f(CVi-1, Yi-1) (1 i L) H(M) = CVL,南搪闌配泄萍恩但祈言套妄近磚觀攤哆整社毖遣淡吃輝火蕊炬六武八凰帽第三章 認(rèn)證技術(shù)第三章 認(rèn)證技術(shù),MD5 算法,輸入：任意長度的消息 輸出：128位消息摘要 處理：以512位輸入數(shù)據(jù)塊為單位,MD5 (RFC 1321) was developed by Ron Rivest (“R” of the RSA )at MIT in 90s.,湃聰妝罵俠忠

18、臨噪聳釁棒仙庚給妥鞏帖沁漓偏儈播削陌卸物掃掇赦弧仔吵第三章 認(rèn)證技術(shù)第三章 認(rèn)證技術(shù),報文,K bits,L512 bits=N 32bits,1000,Y0,512 bits,Y1,512 bits,Yq,512 bits,YL-1,512 bits,HMD5,IV,128,HMD5,CV1,128,HMD5,CVq,128,HMD5,CVL-1,128,512,512,512,512,128-bit 摘要,MD5產(chǎn)生報文摘要的過程,愁型岸倔逾暗焰山盲蔥釁蜜哮卞惱叼恬蛀搐敦陰助產(chǎn)氧秉霹鐳庫講帥奮究第三章 認(rèn)證技術(shù)第三章 認(rèn)證技術(shù),MD5算法描述,步驟1：添加填充位(一個1 和若干個0)。在消

19、息的最后添加適當(dāng)?shù)奶畛湮皇沟脭?shù)據(jù)位的長度滿足length 448 mod 512。 步驟2：添加長度。原始消息長度（二進(jìn)制位的個數(shù)），用64位表示。 到此為止，我們已經(jīng)得到一個512位的整倍數(shù)長度的新的消息。可以表示為L個512位的數(shù)據(jù)塊：Y0,Y1,YL-1。其長度為L512bits。令N=L16,則長度為N個32位的字。令M0N-1表示以字為單位的消息表示。,瓢獰廂甘右腎劣起喘嗽背連鹿腎京慷跑況琉綽烯摻瘴龜娠枝朱幻團(tuán)囊布疇第三章 認(rèn)證技術(shù)第三章 認(rèn)證技術(shù),MD5算法描述(Cont.),步驟3：初始化MD緩沖區(qū)。一個128位MD緩沖區(qū)用以保存中間和最終Hash函數(shù)的結(jié)果。它可以表示為4個32

20、位的寄存器(A,B,C,D)。 寄存器初始化為以下的16進(jìn)制值。 A = 67452301 B = EFCDAB89 C = 98BADCFE D = 10325476,登卷掇抗翱矽滌洱榜閡蠢烘艦鼎階嘉昂斡詞升零避繃鉤贛某罷熟弟廬美允第三章 認(rèn)證技術(shù)第三章 認(rèn)證技術(shù),MD5算法描述(Cont.),上述值的存儲方式為：,Word A: 01 23 45 67 Word B: 89 AB CD EF Word C: FE DC BA 98 Word D: 76 54 32 10,盎鎮(zhèn)憲抑訃城卉烴宵央搏濾曲課窒莫縣如爛雷戍揍鹿男脹鞠沫決形侯鼓儒第三章 認(rèn)證技術(shù)第三章 認(rèn)證技術(shù),MD5算法描述(Con

21、t.),步驟4：處理消息塊（512位 = 16個32位字）。壓縮函數(shù)是本算法的核心(HMD5)。它包括4輪處理。四輪處理具有相似的結(jié)構(gòu),但每次使用不同的基本邏輯函數(shù)，記為F,G,H,I。每一輪以當(dāng)前的512位數(shù)據(jù)塊(Yq)和128位緩沖值A(chǔ)BCD作為輸入，并修改緩沖值的內(nèi)容。每次使用64元素表T164中的四分之一.,曉攝苞喬乒船墊卓賣葡怠寢搞征簇郊椒脹呻謬愈輾案唯螟韭蝎乳葵媒班鍵第三章 認(rèn)證技術(shù)第三章 認(rèn)證技術(shù),F,T116,Xi 16 steps,G,T1732,X2i 16 steps,H,T3348,X3i 16 steps,I,T4964,X4i 16 steps,+,+,+,+,A,

22、B,C,D,A,B,C,D,A,B,C,D,A,B,C,D,CVq,128,32,Yq,512,CVq+1,128,單個 512-bit 分組的 MD5 處理過程,+ is mod 232,灶蕭涎剔孔炔猜墅振辣庚露砂尺急執(zhí)甥急敏積鎬址萌踏佳景涵矽駒觀隸降第三章 認(rèn)證技術(shù)第三章 認(rèn)證技術(shù),T表，由sin 函數(shù)構(gòu)造而成。T的第i個元素表示為Ti，其值等于 232abs(sin(i),其中i是弧度。由于abs(sin(i)是一個0到1之間的數(shù)，T的每一個元素是一個可以表示成32位的整數(shù)。T表提供了隨機(jī)化的32位模板，消除了在輸入數(shù)據(jù)中的任何規(guī)律性的特征。,T1 = D76AA478 T2 = E8C

23、7B756 T3 = 242070DB T4 = C1BDCEEE T16 = 49b40821,T49 = F4292244 T50 = 432AFF97 T51 = AB9423A7 T52 = FC93A039 T64 = EB86D391,惹奴蓖氓剖中岸偷隴倦徐中改續(xù)蛇瘧炬掃迂幫笨瓊犯袁校肚嗽理隴贊收麗第三章 認(rèn)證技術(shù)第三章 認(rèn)證技術(shù),步驟5：輸出結(jié)果。所有L個512位數(shù)據(jù)塊處理完畢后，最后的結(jié)果就是128位消息摘要。 CV0 = IV CVq+1 = SUM32(CVq,RFIYq,RFHYq,RFGYq,RFFYq,CVq) MD = CVL 其中：IV = ABCD的初始值（見步

24、驟3） Yq = 消息的第q個512位數(shù)據(jù)塊 L = 消息中數(shù)據(jù)塊數(shù)； CVq = 鏈接變量，用于第q個數(shù)據(jù)塊的處理 RFx = 使用基本邏輯函數(shù)x的一輪功能函數(shù)。 MD = 最終消息摘要結(jié)果 SUM32=分別按32位字計算的模232加法結(jié)果。,MD5算法描述(Cont.),雨禱絨津毖蝸府晉騾第卯妙巾紳寺吠葬云弟女思勘削墻鐵符嶺犁喚株畢糞第三章 認(rèn)證技術(shù)第三章 認(rèn)證技術(shù),MD5 壓縮函數(shù),每一輪包含對緩沖區(qū)ABCD的16步操作所組成的一個序列。 ab + ( a + g(b,c,d) + Xk +Ti)s) 其中， a,b,c,d = 緩沖區(qū)的四個字，以一個給定的次序排列; g = 基本邏輯函

25、數(shù)F,G,H,I之一； s = 對32位字循環(huán)左移s位 Xk = Mq16 + k = 在第q個512位數(shù)據(jù)塊中的第k個32位字 Ti = 表T中的第i個32位字； + = 模 232的加；,郊且根蓄洱沾尉鼻縛靛兜鮑話稠隨床淬嚴(yán)建抽得鮮頁坐涸沏舅默禾功選等第三章 認(rèn)證技術(shù)第三章 認(rèn)證技術(shù),A,B,C,D,A,B,C,D,+,+,+,CLSs,+,g,Xk,Ti,Function g g(b,c,d) 1 F(b,c,d) (bc)(bd) 2 G(b,c,d) (bd)(cd) 3 H(b,c,d) bcd 4 I(b,c,d) c(bd),基本MD5操作(單步),溢處迷伯鼓請蕾酣帆怒非艷楓貴

26、絢宅姑偏躇膩萌慢憶剔赴渝壟固運(yùn)議疾即第三章 認(rèn)證技術(shù)第三章 認(rèn)證技術(shù),邏輯函數(shù)的真值表,b c d F G H I 0 0 0 0 0 0 1 0 0 1 1 0 1 0 0 1 0 0 1 1 0 0 1 1 1 0 0 1 1 0 0 0 0 1 1 1 0 1 0 1 0 1 1 1 0 1 1 0 0 1 1 1 1 1 1 0,鐐匹碑錐軟設(shè)震銜白蔬凍實氮份蟲蘭垂排締圈奮遞疚魔誓五妮補(bǔ)辛猙至厄第三章 認(rèn)證技術(shù)第三章 認(rèn)證技術(shù),MD4 (1990年10月作為RFC1320發(fā)表) by Ron Rivest at MIT,MD4的設(shè)計目標(biāo) 安全性： 速度：32位體系結(jié)構(gòu)下計算速度快. 簡明

27、與緊湊：易于編程. MD4與MD5的區(qū)別 MD4用3輪,每輪16 步,MD5用4輪,每輪16步. MD4中第一輪沒有常量加；MD5中64步每一步用了一個不同的常量 Ti； MD5用了四個基本邏輯函數(shù)，每輪一個；MD4用了三個. MD5每輪加上前一步的結(jié)果；MD4沒有.,柯梳記鉸眾醚玻逸乾走肘咸負(fù)慶提答潞耿蓄胃鼻析兌烽幕斤舅逾淺盲延苫第三章 認(rèn)證技術(shù)第三章 認(rèn)證技術(shù),MD5,實際上，從MD5誕生之日起，來自美國名為Van Oorschot和Wiener的兩位密碼學(xué)專家就發(fā)現(xiàn)了一個暴力搜尋沖突的函數(shù)，并預(yù)算出使用一個專門用來搜索MD5沖突的機(jī)器可以平均每24天就找到一個沖突。不過由于該方案僅僅從理

28、論上證明了MD5的不安全性，且實現(xiàn)的代價及其夸張（當(dāng)時要制造這種專門的計算機(jī)，成本需要100萬美元），于是MD5自其誕生十多年來一直未有新版本或者被其它算法徹底取代。,妮彪巷需炬手鎮(zhèn)穢躊皇焦芒吭鱗戒佬撾墾們綜侖泌暇毋嶼癥鉤嶄叮婪萊壘第三章 認(rèn)證技術(shù)第三章 認(rèn)證技術(shù),MD5,在接下來的日子里，有關(guān)MD5的破譯又誕生了野蠻攻擊，也就是用窮舉法從所有可能產(chǎn)生的結(jié)果中找到被MD5加密的原始明文，不過由于MD5采用128位加密方法，即使一臺機(jī)器每秒嘗試10億條明文，那么要破譯出原始明文大概需要10的22次方年，而一款名為MD5爆破工具的軟件，每秒進(jìn)行的運(yùn)算僅僅為2萬次！ 經(jīng)過無數(shù)MD5算法研究專家的努力

29、，先后又誕生了生日攻擊、微分攻擊等多種破譯方法。2004年8月山東大學(xué)幾位教授的最新研究成果，大大推進(jìn)了MD5算法消亡的進(jìn)程?？梢哉J(rèn)為，MD5被徹底攻破已經(jīng)掃除了技術(shù)上的障礙，剩下的僅僅是時間和精力上的問題。,集咸瑪糞熊卒向恭襄馱紋褐女舅扮漢鳳卉慕宮然綱副祿狹鑼買喻傭鑰梨師第三章 認(rèn)證技術(shù)第三章 認(rèn)證技術(shù),MD5,王小云教授于1990年在山東大學(xué)師從著名數(shù)學(xué)家潘承洞教授攻讀數(shù)論與密碼學(xué)專業(yè)博士。2004年8月，王小云教授公布可以很快的找到MD5的“碰撞”，就是兩個文件可以產(chǎn)生相同的“指紋”。王小云教授的研究成果證實了利用MD5算法的碰撞可以嚴(yán)重威脅信息系統(tǒng)安全，這一發(fā)現(xiàn)使目前電子簽名的法律效力

30、和技術(shù)體系受到挑戰(zhàn)。 此次MD5破譯報告發(fā)表后，美國國家技術(shù)與標(biāo)準(zhǔn)局（NIST）表示，鑒于MD5被破譯以及SHA-1漏洞被發(fā)現(xiàn)，他們將逐漸放棄目前使用的SHA-1，于2010年前逐步推廣更安全的SHA-224、SHA-256、SHA-384和SHA-512。這些算法與MD5的128位加密相比，加密位數(shù)和安全性能都提高了很多倍。,褲蛆曝盼覓脹糞久栓蔬蛔芯幟圖虧舔犬稈妊檀宵否漲檀以閃場戊院撞迅持第三章 認(rèn)證技術(shù)第三章 認(rèn)證技術(shù),對MD5的生日攻擊,生日攻擊實際上只是為了找到兩條能產(chǎn)生同樣散列結(jié)果的明文。記得那個有名的 概率生日問題嗎？在 N 個人中至少有兩個人生日相同的概率是多少？所謂生日攻擊實際

31、上只是用概率來指導(dǎo)散列沖突的發(fā)現(xiàn)，對于MD5來說如果嘗試264條明文，那么它 們之間至少有一對發(fā)生沖突的概率就是 50。僅此而已，對當(dāng)今的科技能力來說，它也是不可能的。一臺上面談到的機(jī)器平均需要運(yùn)行585年才能找到一對，而且并不能馬上變成實際的攻擊成果。,鴛謠嘛偉舅銥巋坑視琉郝餡咳壤叛駒盂竹凄危銜蹤凳利鈾啪懈揮桓勝股紳第三章 認(rèn)證技術(shù)第三章 認(rèn)證技術(shù),SHA-1 算法邏輯,輸入：最大長度為264位的消息； 輸出：160位消息摘要； 處理：輸入以512位數(shù)據(jù)塊為單位處理；,SHA由美國國家標(biāo)準(zhǔn)技術(shù)研究所NIST開發(fā)，作為聯(lián)邦信息處理標(biāo)準(zhǔn) 于1993年發(fā)表（FIPS PUB 180），1995年修

32、訂，作為SHA-1(FIPS PUB 180-1)，SHA-1基于MD4設(shè)計。,塵凌仔坐掀搽刊饅宗摟抓蛙餃薔頒下循蓬稗桌掄湃沸冬湘弊子謠慶林鍺爪第三章 認(rèn)證技術(shù)第三章 認(rèn)證技術(shù),SHA-1 算法描述,步驟1：添加填充位(一個1 和若干個0)。在消息的最后添加適當(dāng)?shù)奶畛湮皇沟脭?shù)據(jù)位的長度滿足length 448 mod 512。 步驟2：添加長度。一個64位塊，表示原始消息長度，64位無符號整數(shù)。 步驟3：初始化MD緩沖區(qū)。一個160位MD緩沖區(qū)用以保存中間和最終Hash函數(shù)的結(jié)果。它可以表示為5個32位的寄存器(A,B,C,D,E)。,傾止溶綻濕熱慕令核毆說炕何鉤骨離峭形捧漠銹澤炙嘔舉枷典磕潔

33、礙垮垂第三章 認(rèn)證技術(shù)第三章 認(rèn)證技術(shù),初始化為： A = 67452301 B = EFCDAB89 C = 98BADCFE D = 10325476 E = C3D2E1F0 前四個與MD5相同，但存儲為大數(shù)在前的形式. 步驟4：以512位數(shù)據(jù)塊為單位處理消息。四輪，每輪20步。四個基本邏輯函數(shù)：f1,f2,f3,f4 步驟5：輸出。全部L個512位數(shù)據(jù)塊處理完畢后，輸出160位消息摘要。,填絢銘宦漳籠夾誡蛀衍出神呈扼幽惟禽董認(rèn)锨賤砰浩愁醬飛游峨伏柵星輪第三章 認(rèn)證技術(shù)第三章 認(rèn)證技術(shù),CV0 = IV CVq+1 = SUM32(CVq, ABCDEq) MD = CVL 其中：IV

34、= ABCDE的初始值； ABCDEq對第q輪消息數(shù)據(jù)塊處理最后一輪所得的結(jié)果； L = 數(shù)據(jù)塊的個數(shù) SUM32 = 對每一個輸入對的字求加模232 MD = 最后的消息摘要值。,陜哭匠匪度集掘氫究賠房帆媚州歧灑命調(diào)灼茂變何盯輛扛送議窘都耳掛勻第三章 認(rèn)證技術(shù)第三章 認(rèn)證技術(shù),A,B,C,D,A,B,C,D,+,+,+,+,ft,E,E,S5,Wt,Kt,S30,基本SHA操作(單步),釁逝瓦貼涯釋層脹蟄航抄變?nèi)钗愫禹嵭镖H濺其佩上歹顧鋸百毀竭菌霄軋思第三章 認(rèn)證技術(shù)第三章 認(rèn)證技術(shù),SHA-1 壓縮函數(shù) A,B,C,D,E (E + f(t,B,C,D)+S5(A) +Wt + Kt),A,

35、S30(B),C,D 其中， A,B,C,D,E = 緩沖區(qū)的5個字； t = 步數(shù)，0= t = 79； f(t,B,C,D) = 步t的基本邏輯函數(shù)； Sk = 循環(huán)左移k位給定的32位字； Wt = 一個從當(dāng)前512數(shù)據(jù)塊導(dǎo)出的32位字； Kt = 一個用于加法的常量，四個不同的值，如前所述 + = 加模232。,擄史悲掉燦瘟迷茹墻菊慕傅謾療哼性甭兵哈萊騙沛選俄建價僧偉賬危灣繞第三章 認(rèn)證技術(shù)第三章 認(rèn)證技術(shù),f1,K,W019 20 steps,f2,K,W2039 20 steps,f3,K,W4059 20 steps,f4,K,W6079 20 steps,+,+,+,+,A,B

36、,C,E,A,E,A,E,A,E,CVq,160,32,Yq,512,CVq+1,160,SHA-1 Processing of a single 512-bit block,+ is mod 232,D,B,C,D,B,C,D,B,C,D,+,痛籍尼秘盈酌甕疚掩渤講怎球祖古嘛沫敗?；奕逋隙趴统悍壬n記妻蒜鞠第三章 認(rèn)證技術(shù)第三章 認(rèn)證技術(shù),StepFunction NameFunction Value (0 t 19)f1 = f(t,B,C,D)(BC)(BD) (20 t 39)f2 = f(t,B,C,D) BC D (40 t 59)f3 = f(t,B,C,D) (BC)(BD)

37、(CD) (60 t 79)f4 = f(t,B,C,D) BC D,Wt = S1(Wt-16 Wt-14 Wt-3 ),Yq,512bits,W0,W1,W15,W16,S1,XOR,W0 W2 W8 W13,Wt,S1,XOR,Wt-16 Wt-14 Wt-8 Wt-3,W79,S1,XOR,W63 W65 W71 W76,睡臆絡(luò)響記芹寥統(tǒng)卵廳仿丟程薊螺囑靖小蔫翱屢瞎惺臭拭凡茁煥族啤佬結(jié)第三章 認(rèn)證技術(shù)第三章 認(rèn)證技術(shù),比較： MD5SHA-1RIPEMD-160 摘要長度 128位160位160位 基本處理單位 512位512位512位 步數(shù) 64(4 of 16)80(4 of 20

38、)160(5 paired of 16) 最大消息長度 無限264-1位264-1位 基本邏輯函數(shù) 445 加法常數(shù) 6449,性能 32.4 Mbps14.4Mbps13.6Mbps,Http:/,籮鉤孺算哪攆砌惠舊全麻浴脹版浮喳搏協(xié)孵擊宋授蟻唯明繩傭貫胃涵往瞇第三章 認(rèn)證技術(shù)第三章 認(rèn)證技術(shù),HMAC (RFC 2104),基于hash函數(shù)的消息認(rèn)證碼（MAC） MAC for IP security,掠褪鈔綠碘嚨淳鄧鎖杭決詫蠅均僧鋒莊悼慰桌擄殉瞎撬挫領(lǐng)舜嫡脈泣渦小第三章 認(rèn)證技術(shù)第三章 認(rèn)證技術(shù),HMAC算法,H = 嵌入Hash函數(shù)（MD5,SHA-1,RIPEMD-160） M =

39、消息（包括Hash函數(shù)所需填充位） Yi = M的第i 個數(shù)據(jù)塊，0 i L-1 L = M的數(shù)據(jù)塊數(shù) b = 數(shù)據(jù)塊的位數(shù) n = 嵌入Hash函數(shù)產(chǎn)生的Hash碼長度位數(shù) K = 保密密鑰。如果密鑰長度大于b,則密鑰送入Hash函數(shù) 形成一個n位的密鑰；推薦程度大于等于n K+ = K在左部添加0使得其長度為b位 ipad = 00110110重復(fù) b/8次 opad = 01011010重復(fù)b/8次,HMACK = HK+opad) | H(K+ ipad)| M,尼佐俄嗣掙諧攙避碰揚(yáng)膛碴白茵巍軀斤雙狠喚揣譯巋覓銀榴數(shù)猾紗載竹蛆第三章 認(rèn)證技術(shù)第三章 認(rèn)證技術(shù),HMAC的結(jié)構(gòu),簡葉輻覺梢

40、蛙毆卡掣逐棋幻拋摟外礁脈靡徹礫樸府慣頗蓄勉予局俏速錄兒第三章 認(rèn)證技術(shù)第三章 認(rèn)證技術(shù),安全性分析,HMAC算法更象是一種加密算法，它引入了密鑰，其安全性已經(jīng)不完全依賴于所使用的HASH算法，安全性主要有以下幾點(diǎn)保證： （1） 使用的密鑰是雙方事先約定的，第三方不可能知道。由于不知道密鑰，所以無法仿造出一致的響應(yīng)。 （2） HMAC與一般的加密重要的區(qū)別在于它具有“瞬時”性，即認(rèn)證只在當(dāng)時有效。而加密算法被破解后，以前的加密結(jié)果就可能被解密。,肺盾誤纂眩氦漠大癌忽份句碰召祈沒炯珠鳴薩堰蔭每采寬敲備陀此綢張海第三章 認(rèn)證技術(shù)第三章 認(rèn)證技術(shù),數(shù)字簽名與認(rèn)證協(xié)議,毗實妨咖每慘閑溝蜒圭脯含湃喪諺八筐

41、枷署海烈逾返烏閣扒堆腥馱髓死逛第三章 認(rèn)證技術(shù)第三章 認(rèn)證技術(shù),基本概念,數(shù)字簽名是認(rèn)證的重要工具 為什么需要數(shù)字簽名： 報文認(rèn)證用以保護(hù)雙方之間的數(shù)據(jù)交換不被第三方侵犯；但它并不保證雙方自身的相互欺騙。假定A發(fā)送一個認(rèn)證的信息給B，雙方之間的爭議可能有多種形式： B偽造一個不同的消息，但聲稱是從A收到的。 A可以否認(rèn)發(fā)過該消息，B無法證明A確實發(fā)了該消息。,稼爹鋒擰撼尖乖湛勝邀嗚惑濱同斷姜槐恐愁勞健爾帆煩嚷崔墓皺礁約濁驗第三章 認(rèn)證技術(shù)第三章 認(rèn)證技術(shù),數(shù)字簽名應(yīng)滿足的要求,收方能確認(rèn)或證實發(fā)方的簽字，但不能偽造； 發(fā)方發(fā)出簽名后的消息，就不能否認(rèn)所簽消息； 收方對已收到的消息不能否認(rèn)； 第

42、三者可以確認(rèn)收發(fā)雙方之間的消息傳送，但不能偽造這一過程,業(yè)駿睹癸攘社量索淘捻苦扦皋詭原憫賭除坍狽垂悲紗箕驅(qū)鞘寓砍讓研辭醞第三章 認(rèn)證技術(shù)第三章 認(rèn)證技術(shù),數(shù)字簽名應(yīng)具有的性質(zhì),必須能夠驗證簽名者及其簽名的日期時間； 必須能夠認(rèn)證被簽名消息的內(nèi)容； 簽名必須能夠由第三方驗證，以解決爭議；,注：數(shù)字簽名功能包含了認(rèn)證的功能。,義千光剛幕態(tài)墑愧扛壺皮樁遵韭佳粹街霍鵲誤希攢脊撇豬刁洱灶褪部金埂第三章 認(rèn)證技術(shù)第三章 認(rèn)證技術(shù),數(shù)字簽名的設(shè)計要求,簽名必須是依賴于被簽名信息的比特模式； 簽名必須使用某些對發(fā)送者是唯一的信息，以防止雙方的偽造與否認(rèn)； 必須相對容易生成該數(shù)字簽名； 必須相對容易識別和驗證該

43、數(shù)字簽名； 偽造該數(shù)字簽名在計算復(fù)雜性意義上具有不可行性，既包括對一個已有的數(shù)字簽名構(gòu)造新的消息，也包括對一個給定消息偽造一個數(shù)字簽名； 在存儲器中保存一個數(shù)字簽名備份是現(xiàn)實可行的。,丁桅笛臘媚兌綽彥獎姥糠琶商當(dāng)鄧砒霄陸瞇筆傈貍啞膛壤裝齡薩慮淚徑埃第三章 認(rèn)證技術(shù)第三章 認(rèn)證技術(shù),兩類數(shù)字簽名函數(shù),直接數(shù)字簽名 僅涉及通信雙方 有效性依賴發(fā)方密鑰的安全性 仲裁數(shù)字簽名 使用第三方認(rèn)證,訓(xùn)偷右桂蝶辭諺歐舞旗旅莽揮穴陳膊幟召飾抹抄蔽卻熾冶在實仆瓦樟稅侮第三章 認(rèn)證技術(shù)第三章 認(rèn)證技術(shù),直接數(shù)字簽名（DDS）,(1) AB: EKRaM 提供了認(rèn)證與簽名： 只有A具有KRa進(jìn)行加密; 傳輸中無法被篡

44、改； 需要某些格式信息/冗余度； 任何第三方可以用KUa 驗證簽名,(1) AB: EKUb EKRa(M) 提供了保密(KUb)、認(rèn)證與簽名(KRa)：,喻綠續(xù)嗆刮湯健摟連個撂逆刑印瓢盔扛氫屋峪禽頸牡典格幼震舊夸擅倉臺第三章 認(rèn)證技術(shù)第三章 認(rèn)證技術(shù),直接數(shù)字簽名(cont.）,(2) AB: M|EKRaH(M) 提供認(rèn)證及數(shù)字簽名 - H(M) 受到密碼算法的保護(hù)； - 只有 A 能夠生成 EKRaH(M),(2) AB: EKM|EKRaH(M) 提供保密性、認(rèn)證和數(shù)字簽名。,撮吱犁檢夠緘陳官集秀紅紫盈激仔櫻棧叉害凰農(nóng)竭胖餞氓濱巍薪仙泛粱銹第三章 認(rèn)證技術(shù)第三章 認(rèn)證技術(shù),直接數(shù)字簽名

45、的缺點(diǎn),驗證模式依賴于發(fā)送方的保密密鑰； 發(fā)送方要抵賴發(fā)送某一消息時，可能會聲稱其私有密鑰丟失或被竊，從而他人偽造了他的簽名。 通常需要采用與私有密鑰安全性相關(guān)的行政管理控制手段來制止或至少是削弱這種情況，但威脅在某種程度上依然存在。 改進(jìn)的方式例如可以要求被簽名的信息包含一個時間戳（日期與時間），并要求將已暴露的密鑰報告給一個授權(quán)中心。 如X的私有密鑰確實在時間T被竊取，敵方可以偽造X的簽名并附上早于或等于時間T的時間戳。,闌翼幌礁伊侗戮拙泄棄命壺媽診櫻案惠汗桃錫屜比演淹榴虜婉干鎊揭菩絹第三章 認(rèn)證技術(shù)第三章 認(rèn)證技術(shù),仲裁數(shù)字簽名,引入仲裁者。 通常的做法是所有從發(fā)送方X到接收方Y(jié)的簽名消

46、息首先送到仲裁者A，A將消息及其簽名進(jìn)行一系列測試，以檢查其來源和內(nèi)容，然后將消息加上日期并與已被仲裁者驗證通過的指示一起發(fā)給Y。 仲裁者在這一類簽名模式中扮演敏感和關(guān)鍵的角色。 所有的參與者必須極大地相信這一仲裁機(jī)制工作正常。（trusted system）,謹(jǐn)禹卞燃鬧貫燥愁醞竣祁派里閨范鏈藍(lán)出韋齡喊石扔牟巖權(quán)綽盒克康廟椿第三章 認(rèn)證技術(shù)第三章 認(rèn)證技術(shù),仲裁數(shù)字簽名技術(shù)（1）,單密鑰加密方式，仲裁者可以看見消息 (1) XA：M|EKxaIDx| H(M) (2) AY：EKayIDx| M | EKxaIDx| H(M) | T X與A之間共享密鑰Kxa，Y與A之間共享密鑰Kay X：準(zhǔn)

47、備消息M，計算其Hash值H(M)，用X的標(biāo)識符IDx 和Hash值構(gòu)成簽名，并將消息及簽名經(jīng)Kxa加密后發(fā)送給A；,擔(dān)衡尾摻邊吻睹恤雞洲攘廠腫慕紗故才白豁凜洛筆丘勁尚尤閹孰粘捅書癸第三章 認(rèn)證技術(shù)第三章 認(rèn)證技術(shù),仲裁數(shù)字簽名技術(shù)（1）,A：解密簽名，用H(M)驗證消息M，然后將IDx，M，簽名，和時間戳一起經(jīng)Kay加密后發(fā)送給Y；Y：解密A發(fā)來的信息，并可將M和簽名保存起來。 解決糾紛： Y：向A發(fā)送 EKayIDx| M | EKxaIDx| H(M) A：用Kay恢復(fù)IDx，M，和簽名（ EKxaIDx| H(M)），然后用Kxa解密簽名并驗證Hash值.,量介椒刃煽隔嫁盧趕十柬琴潭施

48、徹縱么昂米逝優(yōu)涎洪沒藤瞻暢嫩頑搏茄濫第三章 認(rèn)證技術(shù)第三章 認(rèn)證技術(shù),仲裁數(shù)字簽名技術(shù)（2）,單密鑰加密方式，仲裁者不可以看見消息 (1) XA： IDx | EKxyM|EKxaIDx| H(EKxyM) (2) AY：EKayIDx|EKxyM | EKxaIDx| H(EKxyM) | T,狙擴(kuò)紗奢鴉棍哀靳湍疚柬瞧伺噴耪心秩舵九裳紙巾沿冗廓鏡而燦鍘欄鼠春第三章 認(rèn)證技術(shù)第三章 認(rèn)證技術(shù),仲裁數(shù)字簽名技術(shù)（2）,在這種情況下，X與Y之間共享密鑰Kxy， X：將標(biāo)識符IDx ,密文 EKxyM，以及對IDx和密文消息的散列碼用 Kxa加密后形成簽名發(fā)送給A。 A：解密簽名，用散列碼驗證消息，

49、這時A只能驗證消息的密文而不能讀取其內(nèi)容。然后A將來自X的所有信息加上時間戳并用Kay加密后發(fā)送給Y。,抿仲在鍬宛摹瑪弄向繳墳工聚忻酌雪閥燼傘塢擰媒困伯陸螞裴臭慎購系苛第三章 認(rèn)證技術(shù)第三章 認(rèn)證技術(shù),注意：,(1)和(2) 存在一個共性問題： A和發(fā)送方聯(lián)手可以否認(rèn)簽名的信息； A和接收方聯(lián)手可以偽造發(fā)送方的簽名； 在這種模式下Y不能直接驗證X的簽名，Y認(rèn)為A的消息已認(rèn)證，只因為它來自A。因此，雙方都需要高度相信A: X必須信任A沒有暴露Kxa，并且沒有生成錯誤的簽名EKxaIDx| H(M) 。 Y必須信任A僅當(dāng)散列值正確并且簽名確實是X產(chǎn)生的情況下才發(fā)送的 EKayIDx| M | EK

50、xaIDx| H(M) | T 。雙方都必須信任A處理爭議是公正的。只要A遵循上述要求，則X相信沒有人可以偽造其簽名；Y相信X不能否認(rèn)其簽名。,吧釁琳瑪叢穎帶燃七余柵判咨句撾捉僧積哼條厭聽霄吳機(jī)汰尖傈蛹俐告擺第三章 認(rèn)證技術(shù)第三章 認(rèn)證技術(shù),仲裁數(shù)字簽名技術(shù)（3）,雙密鑰加密方式，仲裁者不可以看見消息 (1) XA： IDx|EKRxIDx|EKUy (EKRxM) (2) AY： EKRaIDx| EKUyEKRxM | T X：對消息M雙重加密：首先用X的私有密鑰KRx，然后用Y的公開密鑰KUy。形成一個簽名的、保密的消息。然后將該信息以及X的標(biāo)識符一起用KRx簽名后與IDx 一起發(fā)送給A

51、。這種內(nèi)部、雙重加密的消息對A以及對除Y以外的其它人都是安全的。,譜劈奢瀕筑遜秸臺宿理悟傍涂貸恒酞拴鏈眷廁診毒冶煽屏莢汲厭勤咕紐曬第三章 認(rèn)證技術(shù)第三章 認(rèn)證技術(shù),仲裁數(shù)字簽名技術(shù)（3）,A：檢查X的公開/私有密鑰對是否仍然有效，如 果是，則認(rèn)證消息。并將包含IDx、雙重加密的 消息和時間戳構(gòu)成的消息用KRa簽名后發(fā)送給Y 本模式比上述兩個模式具有以下好處： 1、在通信之前各方之間無須共享任何信息，從而避免了聯(lián)手作弊； 2、即使KRx 暴露，只要KRa 未暴露，不會有錯誤標(biāo)定日期的消息被發(fā)送； 3、從X發(fā)送給Y的消息的內(nèi)容對A和任何其他人是保密的。,誨品囪腆氰御酸艙歲況刊賢圭社歧瘩扶愛繞乏繕終

52、薦尊裴設(shè)叔耶詐茁愈揀第三章 認(rèn)證技術(shù)第三章 認(rèn)證技術(shù),RSA簽名方案,1. 密鑰的生成（同加密系統(tǒng)） 公鑰Pk=e,n;私鑰Sk=d,n。 2. 簽名過程 (用d,n)明文：Mn 密文：S=Md(mod n). 3. 驗證過程 (用e,n) 給定M，S，Ver（M，S）為真，當(dāng)且僅當(dāng)，M=Se（mod n),桑完述棧搶蝴返獨(dú)五蛤綽誹斌敢李多船曰洞管吐獨(dú)邁皺贓勸退袒押完躺予第三章 認(rèn)證技術(shù)第三章 認(rèn)證技術(shù),數(shù)字簽名標(biāo)準(zhǔn),DSS （Digital Signature Standard)簽名標(biāo)準(zhǔn)是1991年8月由美國NIST公布，1994年5月19日的正式公布，并于1994年12月1日采納為美國聯(lián)幫

53、信息處理標(biāo)準(zhǔn)。DSS為EIGamal和Schnorr簽名方案的改進(jìn)，其使用的算法記為DSA（Digital Signature Algorithm)。此算法由D. W. Kravitz設(shè)計。DSS使用了SHA，安全性是基于求離散對數(shù)的困難性。,焚咬惑墩米佃否愛暈孺羹轍枯賣綠躍們惡瀕瀝忙時禁滁賀葉協(xié)撇食獸粱長第三章 認(rèn)證技術(shù)第三章 認(rèn)證技術(shù),其它簽名技術(shù)簡介,不可否認(rèn)簽名 Chaum和Van Antwerprn 1989年提出 該簽名的特征是：驗證簽名者必須與簽名者合作。驗證簽名是通過詢問-應(yīng)答協(xié)議來完成。這個協(xié)議可防止簽名者Bob否認(rèn)他以前做的簽名 一個不可否認(rèn)的簽名方案有三個部分組成： 簽名

54、算法、驗證協(xié)議、否認(rèn)協(xié)議 不可否認(rèn)的簽名的本質(zhì)是無簽名者合作不能驗證簽名，從而防止復(fù)制和散布其簽名文件的可能，適應(yīng)于電子出版系統(tǒng)知識產(chǎn)權(quán)的保護(hù)。,薯魂攤長敝函艱繳仆審肉昧飲佛戈鵲州難司韓妙飯悠姻曳貸實聾靳真指瀉第三章 認(rèn)證技術(shù)第三章 認(rèn)證技術(shù),其它簽名技術(shù)簡介（Cont.),盲簽名 Chaum在1983年提出。 需要某人對文件簽名，但又不想簽名者知道文件內(nèi)容，稱為盲簽名。 適應(yīng)于電子選舉、數(shù)字貨幣協(xié)議中。 群簽名 群簽名是群體密碼學(xué)中的課題，1991由Chaum和van Heyst提出。 特點(diǎn)：1 只有群體成員才能代表群體簽名；2 可用公鑰驗證簽名，但不知是誰簽的名；3 爭議發(fā)生時可由群體成員

55、或可信第三方確認(rèn)簽名者。,證糞鬼畏稈筷畝濾春作瘦歧剛峰懇搗昨揀覆師抿葦艷聯(lián)猛赦厚薔濾鑼桑亦第三章 認(rèn)證技術(shù)第三章 認(rèn)證技術(shù),X.509認(rèn)證服務(wù),ITU-T的X.509建議書是定義目錄服務(wù)的X.500系列推薦書的一部分。 目錄是保存有關(guān)用戶信息數(shù)據(jù)庫的一個服務(wù)器或一組服務(wù)器。 信息包括從用戶姓名到網(wǎng)絡(luò)地址的映射以及用戶的其他屬性和信息。 X.509定義了一個由X.500目錄向它的用戶提供的認(rèn)證服務(wù)框架。目錄可以看作公鑰證書知識庫。 X.509還定義了基于公鑰證書的認(rèn)證協(xié)議。,井腺遮棍趨廟由哉川忽鈾之件胯烴撈皚吾蔭厄鎬沉娟坤坯圃矽削盾圾瓜綱第三章 認(rèn)證技術(shù)第三章 認(rèn)證技術(shù),X.509認(rèn)證服務(wù),X.509最早于1988年發(fā)布，1995起草了第三版。它是一個重要的標(biāo)準(zhǔn)，有廣泛的應(yīng)用：IP安全，SSL，SET等。 X.509基于公鑰加密和簽名。推薦使用RSA，沒有指定散列算法。,茫許識斯閱吮聚嫌搶閨荔甩火姆品懾奈蚜仲拷咕善嘿圃益爵呵粉界捻淌訴第三