认证理论与技术.ppt

《认证理论与技术.ppt》由会员分享，可在线阅读，更多相关《认证理论与技术.ppt（55页珍藏版）》请在taowenge.com淘文阁网|工程机械CAD图纸|机械工程制图|CAD装配图下载|SolidWorks_CaTia_CAD_UG_PROE_设计图分享下载上搜索。

1、认证理论与技术现在学习的是第1页，共55页第第6讲讲 认证理论与技术认证理论与技术 6.1 概述概述 6.2 认证函数认证函数 6.3 数字签名数字签名 6.4 零知识证明零知识证明 6.5 身份认证身份认证现在学习的是第2页，共55页信息安全概论信息安全概论32022/10/12 网络系统安全要考虑两个方面。一方面，用密码保护传网络系统安全要考虑两个方面。一方面，用密码保护传网络系统安全要考虑两个方面。一方面，用密码保护传网络系统安全要考虑两个方面。一方面，用密码保护传送的信息使其不被破译；另一方面，就是防止对手对系统进送的信息使其不被破译；另一方面，就是防止对手对系统进送的信息使其不被破译

2、；另一方面，就是防止对手对系统进送的信息使其不被破译；另一方面，就是防止对手对系统进行主动攻击，如伪造，篡改信息等。行主动攻击，如伪造，篡改信息等。行主动攻击，如伪造，篡改信息等。行主动攻击，如伪造，篡改信息等。认证（认证（认证（认证（authenticationauthentication）则是防止主动攻击的重要技术，）则是防止主动攻击的重要技术，）则是防止主动攻击的重要技术，）则是防止主动攻击的重要技术，它对于开放的网络中的各种信息系统的安全性有重要作用。它对于开放的网络中的各种信息系统的安全性有重要作用。它对于开放的网络中的各种信息系统的安全性有重要作用。它对于开放的网络中的各种信息系统

3、的安全性有重要作用。认证的主要目的：第一，验证信息的发送者是真的，而认证的主要目的：第一，验证信息的发送者是真的，而认证的主要目的：第一，验证信息的发送者是真的，而认证的主要目的：第一，验证信息的发送者是真的，而不是冒充的，此为不是冒充的，此为不是冒充的，此为不是冒充的，此为实体认证实体认证实体认证实体认证，包括信源、信宿等的认证和识别；，包括信源、信宿等的认证和识别；，包括信源、信宿等的认证和识别；，包括信源、信宿等的认证和识别；第第第第二，验证信息的完整性，此为二，验证信息的完整性，此为二，验证信息的完整性，此为二，验证信息的完整性，此为消息认证消息认证消息认证消息认证，验证数据在，验证数

4、据在，验证数据在，验证数据在传送或存储过程中未被篡改，重放或延迟等。传送或存储过程中未被篡改，重放或延迟等。传送或存储过程中未被篡改，重放或延迟等。传送或存储过程中未被篡改，重放或延迟等。6.1 6.1 概述概述现在学习的是第3页，共55页信息安全概论信息安全概论 42022/10/12 保密和认证保密和认证保密和认证保密和认证同时是信息系统安全的两个方面，但它们是同时是信息系统安全的两个方面，但它们是同时是信息系统安全的两个方面，但它们是同时是信息系统安全的两个方面，但它们是两个不同属性的问题，认证不能自动地提供保密性，而保密两个不同属性的问题，认证不能自动地提供保密性，而保密两个不同属性的

5、问题，认证不能自动地提供保密性，而保密两个不同属性的问题，认证不能自动地提供保密性，而保密也不能自然地提供认证功能。也不能自然地提供认证功能。也不能自然地提供认证功能。也不能自然地提供认证功能。一个纯认证系统的模型如下图所示：一个纯认证系统的模型如下图所示：一个纯认证系统的模型如下图所示：一个纯认证系统的模型如下图所示：密钥源密钥源密钥源密钥源窜扰者窜扰者窜扰者窜扰者信宿信宿信宿信宿信源信源信源信源认证编码器认证编码器认证编码器认证编码器认证译码器认证译码器认证译码器认证译码器信道信道信道信道安全信道安全信道安全信道安全信道6.1 6.1 概述概述现在学习的是第4页，共55页信息安全概论信息安

6、全概论 52022/10/12 消息认证消息认证消息认证消息认证是一种过程，它使得通信的接收方能够验证所是一种过程，它使得通信的接收方能够验证所是一种过程，它使得通信的接收方能够验证所是一种过程，它使得通信的接收方能够验证所收到的报文（发送者和报文内容、发送时间、序列等）在收到的报文（发送者和报文内容、发送时间、序列等）在收到的报文（发送者和报文内容、发送时间、序列等）在收到的报文（发送者和报文内容、发送时间、序列等）在传输的过程中没有被假冒、伪造和篡改，是否感染上病毒等，传输的过程中没有被假冒、伪造和篡改，是否感染上病毒等，传输的过程中没有被假冒、伪造和篡改，是否感染上病毒等，传输的过程中没

7、有被假冒、伪造和篡改，是否感染上病毒等，即保证信息的完整性和有效性即保证信息的完整性和有效性即保证信息的完整性和有效性即保证信息的完整性和有效性。消息认证的目的在于如何让接收报文的目的站来鉴别报文的真伪，消息消息认证的目的在于如何让接收报文的目的站来鉴别报文的真伪，消息消息认证的目的在于如何让接收报文的目的站来鉴别报文的真伪，消息消息认证的目的在于如何让接收报文的目的站来鉴别报文的真伪，消息认证的内容应包括：认证的内容应包括：认证的内容应包括：认证的内容应包括：（1 1）证实报文的源和宿；）证实报文的源和宿；）证实报文的源和宿；）证实报文的源和宿；（2 2）报文内容是否曾受到偶然的或有意的篡改

8、；）报文内容是否曾受到偶然的或有意的篡改；）报文内容是否曾受到偶然的或有意的篡改；）报文内容是否曾受到偶然的或有意的篡改；（3 3）报文的序号和时间栏。）报文的序号和时间栏。）报文的序号和时间栏。）报文的序号和时间栏。认证只在相应通信的双方之间进行，而不允许第三者进行上述认证。认认证只在相应通信的双方之间进行，而不允许第三者进行上述认证。认认证只在相应通信的双方之间进行，而不允许第三者进行上述认证。认认证只在相应通信的双方之间进行，而不允许第三者进行上述认证。认证不一定是实时的。证不一定是实时的。证不一定是实时的。证不一定是实时的。6.1 6.1 概述概述现在学习的是第5页，共55页信息安全概

9、论信息安全概论 62022/10/12 认证的函数有三类：认证的函数有三类：认证的函数有三类：认证的函数有三类：（1 1）信息加密函数）信息加密函数）信息加密函数）信息加密函数 用完整信息的密文作为对信息的认证。用完整信息的密文作为对信息的认证。用完整信息的密文作为对信息的认证。用完整信息的密文作为对信息的认证。（2 2）信息认证码）信息认证码）信息认证码）信息认证码MAC(Message Authentication Code)MAC(Message Authentication Code)是对信源消息的一个编码函数。是对信源消息的一个编码函数。是对信源消息的一个编码函数。是对信源消息的一个

10、编码函数。（3 3）HashHash函数函数函数函数 是一个公开的函数，它将任意长的信息映射成一个固定是一个公开的函数，它将任意长的信息映射成一个固定是一个公开的函数，它将任意长的信息映射成一个固定是一个公开的函数，它将任意长的信息映射成一个固定 长度的信息。长度的信息。长度的信息。长度的信息。6.2 6.2 认证函数认证函数现在学习的是第6页，共55页信息安全概论信息安全概论 72022/10/12一、一、一、一、信息加密函数信息加密函数信息加密函数信息加密函数：分二种：一种是常规的对称密钥加密函数，另一种是公开分二种：一种是常规的对称密钥加密函数，另一种是公开分二种：一种是常规的对称密钥加

11、密函数，另一种是公开分二种：一种是常规的对称密钥加密函数，另一种是公开密钥的双密钥加密函数。密钥的双密钥加密函数。密钥的双密钥加密函数。密钥的双密钥加密函数。下图的通信过程：用户下图的通信过程：用户下图的通信过程：用户下图的通信过程：用户A A为发信方，用户为发信方，用户为发信方，用户为发信方，用户B B为接收方。用户为接收方。用户为接收方。用户为接收方。用户B B接收到信息后，通过解密来判决信息是否来自接收到信息后，通过解密来判决信息是否来自接收到信息后，通过解密来判决信息是否来自接收到信息后，通过解密来判决信息是否来自A A，信息是否，信息是否，信息是否，信息是否完整，有无窜扰。完整，有无

12、窜扰。完整，有无窜扰。完整，有无窜扰。(a)a)常规加密：具有机密性，可认证常规加密：具有机密性，可认证常规加密：具有机密性，可认证常规加密：具有机密性，可认证信源信源信源信源信宿信宿信宿信宿MME EE Ek k(M)(M)D DMMA A方方方方B B方方方方k kk kD Dk k(E(Ek k(M)(M)6.2 6.2 认证函数认证函数现在学习的是第7页，共55页信息安全概论信息安全概论 82022/10/12(b)b)公钥加密：具有机密性公钥加密：具有机密性公钥加密：具有机密性公钥加密：具有机密性(c)c)公钥加密：认证和签名公钥加密：认证和签名公钥加密：认证和签名公钥加密：认证和签

13、名MME EE EPKbPKb(M)(M)D DMMA A方方方方B B方方方方SKSKb b PKPKb bMME EE ESKaSKa(M)(M)D DMMA A方方方方B B方方方方PKPKa a SKSKa a6.2 6.2 认证函数认证函数现在学习的是第8页，共55页信息安全概论信息安全概论 92022/10/12(d)d)公钥加密：机密性，可认证和签名公钥加密：机密性，可认证和签名公钥加密：机密性，可认证和签名公钥加密：机密性，可认证和签名MME EE ESKaSKa(M)(M)E EE EPKbPKb(E(ESKaSKa(M)(M)A A方方方方SKSKa aPKPKb bD D

14、E ESKaSKa(M)(M)D DMMB B方方方方SKSKb bPKPKa a6.2 6.2 认证函数认证函数现在学习的是第9页，共55页信息安全概论信息安全概论 102022/10/12二、二、二、二、消息认证码消息认证码消息认证码消息认证码(MAC)MAC)：MAC(Message Authentication Code)MAC(Message Authentication Code)是一种实现消息认证是一种实现消息认证是一种实现消息认证是一种实现消息认证的方法。的方法。的方法。的方法。MACMAC是由消息是由消息是由消息是由消息MM和密钥和密钥和密钥和密钥KK的一个函数值的一个函数值

15、的一个函数值的一个函数值 MAC=CMAC=Ck k(M)(M)其中其中其中其中MM是变长的消息，是变长的消息，是变长的消息，是变长的消息，KK是仅由收发双方共享的密钥，是仅由收发双方共享的密钥，是仅由收发双方共享的密钥，是仅由收发双方共享的密钥，C Ck k(M)(M)是定长的认证码。是定长的认证码。是定长的认证码。是定长的认证码。6.2 6.2 认证函数认证函数现在学习的是第10页，共55页信息安全概论信息安全概论 112022/10/12 双方设计一个编码法则。发方双方设计一个编码法则。发方双方设计一个编码法则。发方双方设计一个编码法则。发方A A根据规则对信源根据规则对信源根据规则对信

16、源根据规则对信源S S进行编码，进行编码，进行编码，进行编码，MM表示所表示所表示所表示所有可能的消息集合。发方有可能的消息集合。发方有可能的消息集合。发方有可能的消息集合。发方A A通信时，发送的是消息。通信时，发送的是消息。通信时，发送的是消息。通信时，发送的是消息。用简单的例子说明：设用简单的例子说明：设用简单的例子说明：设用简单的例子说明：设S=0,1S=0,1，M=00,01,10,11M=00,01,10,11，定义，定义，定义，定义四个不同的编码法则四个不同的编码法则四个不同的编码法则四个不同的编码法则e0,e1,e2,e3e0,e1,e2,e3。这就构成一个认证码。这就构成一个

17、认证码。这就构成一个认证码。这就构成一个认证码MACMAC。编码规则00011011e001e101e201e3016.2 6.2 认证函数认证函数现在学习的是第11页，共55页信息安全概论信息安全概论 122022/10/12 发方发方发方发方A A和收方和收方和收方和收方B B在通信前先秘密约定使用的编码法则。在通信前先秘密约定使用的编码法则。在通信前先秘密约定使用的编码法则。在通信前先秘密约定使用的编码法则。例如，若决定采用例如，若决定采用例如，若决定采用例如，若决定采用e0e0，则以发送消息，则以发送消息，则以发送消息，则以发送消息0000代表信源代表信源代表信源代表信源0 0；发送消

18、息；发送消息；发送消息；发送消息1010代表信源代表信源代表信源代表信源1 1，我们称消息，我们称消息，我们称消息，我们称消息0000和和和和1010在在在在e0e0之下是合法的。而消息之下是合法的。而消息之下是合法的。而消息之下是合法的。而消息0101和和和和1111在在在在e0e0之下不合法，收方将拒收这二个消息。之下不合法，收方将拒收这二个消息。之下不合法，收方将拒收这二个消息。之下不合法，收方将拒收这二个消息。信息的认证和保密是不同的两个方面，一个认证码可具有信息的认证和保密是不同的两个方面，一个认证码可具有信息的认证和保密是不同的两个方面，一个认证码可具有信息的认证和保密是不同的两个

19、方面，一个认证码可具有保密功能，也可没有保密功能。保密功能，也可没有保密功能。保密功能，也可没有保密功能。保密功能，也可没有保密功能。认证编码的基本方法是要在发送的消息中引入多余度，认证编码的基本方法是要在发送的消息中引入多余度，认证编码的基本方法是要在发送的消息中引入多余度，认证编码的基本方法是要在发送的消息中引入多余度，使通过信道传送的可能序列集使通过信道传送的可能序列集使通过信道传送的可能序列集使通过信道传送的可能序列集Y Y大于消息集大于消息集大于消息集大于消息集X X。6.2 6.2 认证函数认证函数现在学习的是第12页，共55页信息安全概论信息安全概论 132022/10/12 对

20、于任何选定的编码规则对于任何选定的编码规则对于任何选定的编码规则对于任何选定的编码规则(相应于某一特定密钥相应于某一特定密钥相应于某一特定密钥相应于某一特定密钥)：发方从：发方从：发方从：发方从Y Y中选出用来代表消息的许用序列，即码字；收方根据编码中选出用来代表消息的许用序列，即码字；收方根据编码中选出用来代表消息的许用序列，即码字；收方根据编码中选出用来代表消息的许用序列，即码字；收方根据编码规则唯一地确定出发方按此规则向他传来的消息。窜扰者由于规则唯一地确定出发方按此规则向他传来的消息。窜扰者由于规则唯一地确定出发方按此规则向他传来的消息。窜扰者由于规则唯一地确定出发方按此规则向他传来的

21、消息。窜扰者由于不知道密钥，因而所伪造的假码字多是不知道密钥，因而所伪造的假码字多是不知道密钥，因而所伪造的假码字多是不知道密钥，因而所伪造的假码字多是Y Y中的禁用序列，收方中的禁用序列，收方中的禁用序列，收方中的禁用序列，收方将以很高的概率将其检测出来而被拒绝。认证系统设计者的将以很高的概率将其检测出来而被拒绝。认证系统设计者的将以很高的概率将其检测出来而被拒绝。认证系统设计者的将以很高的概率将其检测出来而被拒绝。认证系统设计者的任务是构造好的认证码任务是构造好的认证码任务是构造好的认证码任务是构造好的认证码(Authentication Code)Authentication Code)

22、，使接收者受骗，使接收者受骗，使接收者受骗，使接收者受骗概率极小化。概率极小化。概率极小化。概率极小化。MACMAC类似于加密函数，但不需要可逆性。因此在数学上比类似于加密函数，但不需要可逆性。因此在数学上比类似于加密函数，但不需要可逆性。因此在数学上比类似于加密函数，但不需要可逆性。因此在数学上比加密算法被攻击的弱点要少。加密算法被攻击的弱点要少。加密算法被攻击的弱点要少。加密算法被攻击的弱点要少。6.2 6.2 认证函数认证函数现在学习的是第13页，共55页信息安全概论信息安全概论 142022/10/12三、三、三、三、HashHash函数：函数：函数：函数：如一个合法文件有数兆字节长，

23、为了进行签名认证，自然如一个合法文件有数兆字节长，为了进行签名认证，自然如一个合法文件有数兆字节长，为了进行签名认证，自然如一个合法文件有数兆字节长，为了进行签名认证，自然按按按按160160比特分划成一块一块，用相同的密钥独立地签每一个块。然而，这比特分划成一块一块，用相同的密钥独立地签每一个块。然而，这比特分划成一块一块，用相同的密钥独立地签每一个块。然而，这比特分划成一块一块，用相同的密钥独立地签每一个块。然而，这样太慢。解决办法：引入可公开的密码样太慢。解决办法：引入可公开的密码样太慢。解决办法：引入可公开的密码样太慢。解决办法：引入可公开的密码HashHash函数。函数。函数。函数。

24、对数字签名来说，对数字签名来说，对数字签名来说，对数字签名来说，HashHash函数函数函数函数h h这样使用：这样使用：这样使用：这样使用：消息：消息：消息：消息：x x 任意长任意长任意长任意长 消息摘要：消息摘要：消息摘要：消息摘要：Z=h(x)160bitsZ=h(x)160bits 签名：签名：签名：签名：y=sigy=sigk k(Z)320bits(Z)320bits验证签名验证签名验证签名验证签名(x,y)x,y)，其中，其中，其中，其中y=sigy=sigk k(h(x)(h(x)，使用公开的，使用公开的，使用公开的，使用公开的HashHash函数函数函数函数h h，重构作重

25、构作重构作重构作Z=h(x)Z=h(x)。然后检验。然后检验。然后检验。然后检验VerVerk k(Z,y)(Z,y)，看是否，看是否，看是否，看是否Z=ZZ=Z。6.2 6.2 认证函数认证函数现在学习的是第14页，共55页信息安全概论信息安全概论 152022/10/12HashHash函数应具有的性质：函数应具有的性质：函数应具有的性质：函数应具有的性质：（1 1）HashHash函数可以作用于一个任意长度的数据分组，产生一个固定长函数可以作用于一个任意长度的数据分组，产生一个固定长函数可以作用于一个任意长度的数据分组，产生一个固定长函数可以作用于一个任意长度的数据分组，产生一个固定长度

26、的输出。度的输出。度的输出。度的输出。（2 2）任意给定消息）任意给定消息）任意给定消息）任意给定消息MM，计算，计算，计算，计算h=H(M)h=H(M)容易。容易。容易。容易。（3 3）任意给定）任意给定）任意给定）任意给定h h，找到，找到，找到，找到MM满足满足满足满足H(M)=hH(M)=h很难，计算上不可行性，即单向很难，计算上不可行性，即单向很难，计算上不可行性，即单向很难，计算上不可行性，即单向性。性。性。性。（4 4）任意给定的数据块）任意给定的数据块）任意给定的数据块）任意给定的数据块MM，找到不等于，找到不等于，找到不等于，找到不等于MM的的的的MM，使，使，使，使H(M)

27、=H(M)H(M)=H(M)在在在在计算是不可行性。计算是不可行性。计算是不可行性。计算是不可行性。即即即即弱无碰撞。弱无碰撞。弱无碰撞。弱无碰撞。（5 5）找到任意数据对）找到任意数据对）找到任意数据对）找到任意数据对(x,y)(x,y)，满足，满足，满足，满足H(x)=H(y)H(x)=H(y)是计算不可行的。是计算不可行的。是计算不可行的。是计算不可行的。即即即即强强强强无碰撞。无碰撞。无碰撞。无碰撞。6.2 6.2 认证函数认证函数现在学习的是第15页，共55页信息安全概论信息安全概论 162022/10/12HashHash函数的构造形式：函数的构造形式：函数的构造形式：函数的构造形

28、式：（1 1）利用数学难题，如因子分解、离散对数问题等）利用数学难题，如因子分解、离散对数问题等）利用数学难题，如因子分解、离散对数问题等）利用数学难题，如因子分解、离散对数问题等（2 2）利用某些私钥密码体制，如）利用某些私钥密码体制，如）利用某些私钥密码体制，如）利用某些私钥密码体制，如DESDES等等等等（3 3）通过直接构造复杂的非线性关系，如）通过直接构造复杂的非线性关系，如）通过直接构造复杂的非线性关系，如）通过直接构造复杂的非线性关系，如MD4,MD5,SHA-1MD4,MD5,SHA-1等等等等6.2 6.2 认证函数认证函数现在学习的是第16页，共55页信息安全概论信息安全概

29、论 172022/10/12对对对对HashHash函数的攻击有两类函数的攻击有两类函数的攻击有两类函数的攻击有两类（1 1）强力攻击强力攻击强力攻击强力攻击（或穷举攻击）。典型防范：生日攻击（或穷举攻击）。典型防范：生日攻击（或穷举攻击）。典型防范：生日攻击（或穷举攻击）。典型防范：生日攻击 任找任找任找任找2323人，从中总能选出两人具有相同生日的概率至少为人，从中总能选出两人具有相同生日的概率至少为人，从中总能选出两人具有相同生日的概率至少为人，从中总能选出两人具有相同生日的概率至少为1/21/2。根据此特点，一个。根据此特点，一个。根据此特点，一个。根据此特点，一个4040bitbit

30、的消息摘要将是不安全的。因为的消息摘要将是不安全的。因为的消息摘要将是不安全的。因为的消息摘要将是不安全的。因为在在在在100100万个随机散列值中将找到一个碰撞的概率为万个随机散列值中将找到一个碰撞的概率为万个随机散列值中将找到一个碰撞的概率为万个随机散列值中将找到一个碰撞的概率为1/21/2。通常。通常。通常。通常建议，消息摘要的尺寸为建议，消息摘要的尺寸为建议，消息摘要的尺寸为建议，消息摘要的尺寸为128128bitsbits。（2 2）特殊攻击特殊攻击特殊攻击特殊攻击。6.2 6.2 认证函数认证函数现在学习的是第17页，共55页信息安全概论信息安全概论 182022/10/12常用的

31、常用的常用的常用的HashHash算法算法算法算法（1 1）MD5MD5算法算法算法算法：由麻省理工学院由麻省理工学院由麻省理工学院由麻省理工学院(MIT)RivestMIT)Rivest提出，提出，提出，提出，MD5MD5不基于任何假设和不基于任何假设和不基于任何假设和不基于任何假设和密码体制，采用直接构造法。密码体制，采用直接构造法。密码体制，采用直接构造法。密码体制，采用直接构造法。输入输入输入输入：任意长度的消息；：任意长度的消息；：任意长度的消息；：任意长度的消息；输出输出输出输出：128128位消息摘要；位消息摘要；位消息摘要；位消息摘要；处理处理处理处理：以：以：以：以51251

32、2位输入数据块为单位；位输入数据块为单位；位输入数据块为单位；位输入数据块为单位；安全性安全性安全性安全性：采用穷举攻击寻找一个消息具有给定：采用穷举攻击寻找一个消息具有给定：采用穷举攻击寻找一个消息具有给定：采用穷举攻击寻找一个消息具有给定HashHash值的计算值的计算值的计算值的计算困难性为困难性为困难性为困难性为2 2128128，若采用生日攻击，寻找有相同，若采用生日攻击，寻找有相同，若采用生日攻击，寻找有相同，若采用生日攻击，寻找有相同HashHash值的两个值的两个值的两个值的两个消息需要试验消息需要试验消息需要试验消息需要试验2 26464个消息。单轮个消息。单轮个消息。单轮个

33、消息。单轮MD5MD5已有攻击结果，但对已有攻击结果，但对已有攻击结果，但对已有攻击结果，但对MD5MD5全部四轮无有效攻击法。全部四轮无有效攻击法。全部四轮无有效攻击法。全部四轮无有效攻击法。6.2 6.2 认证函数认证函数现在学习的是第18页，共55页信息安全概论信息安全概论 192022/10/12（2 2）安全散列算法）安全散列算法）安全散列算法）安全散列算法(SHA)SHA)：由美国国家标准技术研究所由美国国家标准技术研究所由美国国家标准技术研究所由美国国家标准技术研究所(NIST)NIST)提出，作为联邦信息处理提出，作为联邦信息处理提出，作为联邦信息处理提出，作为联邦信息处理标准

34、于标准于标准于标准于19931993年发表（年发表（年发表（年发表（FIPS PUB 180FIPS PUB 180），），），），19951995年修订，称为年修订，称为年修订，称为年修订，称为SHA-1SHA-1，SHA-1SHA-1基于基于基于基于MD4MD4设计。设计目的是用于数字签名标准设计。设计目的是用于数字签名标准设计。设计目的是用于数字签名标准设计。设计目的是用于数字签名标准算法算法算法算法DSSDSS。输入输入输入输入：最大长度为：最大长度为：最大长度为：最大长度为2 26464位的消息；位的消息；位的消息；位的消息；输出输出输出输出：160160位消息摘要；位消息摘要；位消

35、息摘要；位消息摘要；处理处理处理处理：输入以：输入以：输入以：输入以512512位数据块为单位处理；位数据块为单位处理；位数据块为单位处理；位数据块为单位处理；安全性安全性安全性安全性：消息摘要比：消息摘要比：消息摘要比：消息摘要比MD5MD5长长长长3232位，采用穷举攻击计算困难性位，采用穷举攻击计算困难性位，采用穷举攻击计算困难性位，采用穷举攻击计算困难性为为为为2 2160160，若采用生日攻击计算困难性为，若采用生日攻击计算困难性为，若采用生日攻击计算困难性为，若采用生日攻击计算困难性为2 28080，安全性更高。，安全性更高。，安全性更高。，安全性更高。但硬件实现速度较但硬件实现速

36、度较但硬件实现速度较但硬件实现速度较MD5MD5慢慢慢慢2525。6.2 6.2 认证函数认证函数现在学习的是第19页，共55页信息安全概论信息安全概论 202022/10/12数字签名是以密码学的方法对数据文件产生的一组代表数字签名是以密码学的方法对数据文件产生的一组代表数字签名是以密码学的方法对数据文件产生的一组代表数字签名是以密码学的方法对数据文件产生的一组代表签名者身份和数据完整性的数据信息。它提供了一种鉴别签名者身份和数据完整性的数据信息。它提供了一种鉴别签名者身份和数据完整性的数据信息。它提供了一种鉴别签名者身份和数据完整性的数据信息。它提供了一种鉴别方法，以方法，以方法，以方法，

37、以解决伪造、抵赖、冒充解决伪造、抵赖、冒充解决伪造、抵赖、冒充解决伪造、抵赖、冒充等问题。数字签名在信息等问题。数字签名在信息等问题。数字签名在信息等问题。数字签名在信息安全，包括身份认证、数据完整性、不可否认性以及匿名性安全，包括身份认证、数据完整性、不可否认性以及匿名性安全，包括身份认证、数据完整性、不可否认性以及匿名性安全，包括身份认证、数据完整性、不可否认性以及匿名性等方面有重要应用，特别是在大型网络安全通信中的密钥等方面有重要应用，特别是在大型网络安全通信中的密钥等方面有重要应用，特别是在大型网络安全通信中的密钥等方面有重要应用，特别是在大型网络安全通信中的密钥分配、认证以及电子商务

38、系统中具有重要作用。分配、认证以及电子商务系统中具有重要作用。分配、认证以及电子商务系统中具有重要作用。分配、认证以及电子商务系统中具有重要作用。数字签名和手写签名不同，其区别在于：手书签字是数字签名和手写签名不同，其区别在于：手书签字是数字签名和手写签名不同，其区别在于：手书签字是数字签名和手写签名不同，其区别在于：手书签字是模拟的，它反映某个人的个性特征是不变的；数字签名是模拟的，它反映某个人的个性特征是不变的；数字签名是模拟的，它反映某个人的个性特征是不变的；数字签名是模拟的，它反映某个人的个性特征是不变的；数字签名是数字串，它随被签的对象而变化，即同一当事者对不同文件数字串，它随被签的

39、对象而变化，即同一当事者对不同文件数字串，它随被签的对象而变化，即同一当事者对不同文件数字串，它随被签的对象而变化，即同一当事者对不同文件的数字签名是不相同的，这样任一文件的数字签名不可能的数字签名是不相同的，这样任一文件的数字签名不可能的数字签名是不相同的，这样任一文件的数字签名不可能的数字签名是不相同的，这样任一文件的数字签名不可能被直接复制到不同的文件上进行伪造签名。被直接复制到不同的文件上进行伪造签名。被直接复制到不同的文件上进行伪造签名。被直接复制到不同的文件上进行伪造签名。6.3 6.3 数字签名数字签名概述概述现在学习的是第20页，共55页信息安全概论信息安全概论 212022/

40、10/12 数字签名是一种包括防止源点或终点否认的认证技术。数字签名是一种包括防止源点或终点否认的认证技术。数字签名是一种包括防止源点或终点否认的认证技术。数字签名是一种包括防止源点或终点否认的认证技术。可用来保护信息的可用来保护信息的可用来保护信息的可用来保护信息的真实性真实性真实性真实性、完整性完整性完整性完整性和和和和信息的来源信息的来源信息的来源信息的来源。数字签名必须保证以下五点：数字签名必须保证以下五点：数字签名必须保证以下五点：数字签名必须保证以下五点：（1 1）可验证可验证可验证可验证：签字是可以被确认的；：签字是可以被确认的；：签字是可以被确认的；：签字是可以被确认的；（2

41、2）防抵赖防抵赖防抵赖防抵赖：发送者事后不承认发送报文并签名；：发送者事后不承认发送报文并签名；：发送者事后不承认发送报文并签名；：发送者事后不承认发送报文并签名；（3 3）防假冒防假冒防假冒防假冒：攻击者冒充发送者向收方发送文件；：攻击者冒充发送者向收方发送文件；：攻击者冒充发送者向收方发送文件；：攻击者冒充发送者向收方发送文件；（4 4）防篡改防篡改防篡改防篡改：收方对收到的文件进行篡改；：收方对收到的文件进行篡改；：收方对收到的文件进行篡改；：收方对收到的文件进行篡改；（5 5）防伪造防伪造防伪造防伪造：收方伪造对报文的签名。收方伪造对报文的签名。收方伪造对报文的签名。收方伪造对报文的签

42、名。6.3 6.3 数字签名数字签名概述概述现在学习的是第21页，共55页信息安全概论信息安全概论 222022/10/12 数字签名技术是公钥密码体制的一种应用。签名者使用数字签名技术是公钥密码体制的一种应用。签名者使用数字签名技术是公钥密码体制的一种应用。签名者使用数字签名技术是公钥密码体制的一种应用。签名者使用自己私钥对签名明文的自己私钥对签名明文的自己私钥对签名明文的自己私钥对签名明文的“摘要摘要摘要摘要”加密，就生成了该文件的加密，就生成了该文件的加密，就生成了该文件的加密，就生成了该文件的“数字数字数字数字签名签名签名签名”。签名者将明文和数字签名一起发送给接收者，接收者。签名者将

43、明文和数字签名一起发送给接收者，接收者。签名者将明文和数字签名一起发送给接收者，接收者。签名者将明文和数字签名一起发送给接收者，接收者用该签名者公布的公钥来解开数字签名，将其与明文的用该签名者公布的公钥来解开数字签名，将其与明文的用该签名者公布的公钥来解开数字签名，将其与明文的用该签名者公布的公钥来解开数字签名，将其与明文的“摘要摘要摘要摘要”进行比较，便可检验文件的真伪，并确定签名者的身份。进行比较，便可检验文件的真伪，并确定签名者的身份。进行比较，便可检验文件的真伪，并确定签名者的身份。进行比较，便可检验文件的真伪，并确定签名者的身份。数字签名体制一般由数字签名体制一般由数字签名体制一般由

44、数字签名体制一般由签名算法签名算法签名算法签名算法和和和和验证算法验证算法验证算法验证算法两部分组成。两部分组成。两部分组成。两部分组成。签名算法或签名密钥是秘密的，只有签名人掌握；验证算法签名算法或签名密钥是秘密的，只有签名人掌握；验证算法签名算法或签名密钥是秘密的，只有签名人掌握；验证算法签名算法或签名密钥是秘密的，只有签名人掌握；验证算法应当公开，以便于他人进行验证。应当公开，以便于他人进行验证。应当公开，以便于他人进行验证。应当公开，以便于他人进行验证。6.3 6.3 数字签名数字签名概述概述现在学习的是第22页，共55页信息安全概论信息安全概论 232022/10/12 对消息的签名

45、与对消息的加密有所不同，消息加解密可能对消息的签名与对消息的加密有所不同，消息加解密可能对消息的签名与对消息的加密有所不同，消息加解密可能对消息的签名与对消息的加密有所不同，消息加解密可能是一次性的，它只要求在解密之前是安全的；而一个签名的是一次性的，它只要求在解密之前是安全的；而一个签名的是一次性的，它只要求在解密之前是安全的；而一个签名的是一次性的，它只要求在解密之前是安全的；而一个签名的消息很可能在多年后仍需验证其签名，且可能需要多次验证消息很可能在多年后仍需验证其签名，且可能需要多次验证消息很可能在多年后仍需验证其签名，且可能需要多次验证消息很可能在多年后仍需验证其签名，且可能需要多次

46、验证此签名。此签名。此签名。此签名。因此，签名的安全性和防伪造的要求更高些，且要求验证因此，签名的安全性和防伪造的要求更高些，且要求验证因此，签名的安全性和防伪造的要求更高些，且要求验证因此，签名的安全性和防伪造的要求更高些，且要求验证速度比签名速度要快些，尤其是对在线实时验证。速度比签名速度要快些，尤其是对在线实时验证。速度比签名速度要快些，尤其是对在线实时验证。速度比签名速度要快些，尤其是对在线实时验证。6.3 6.3 数字签名数字签名概述概述现在学习的是第23页，共55页信息安全概论信息安全概论 242022/10/12 RSARSA签名体制是一种比较普遍的数字签名方案，其安全性签名体制

47、是一种比较普遍的数字签名方案，其安全性签名体制是一种比较普遍的数字签名方案，其安全性签名体制是一种比较普遍的数字签名方案，其安全性依赖于大整数因子分解的困难性。依赖于大整数因子分解的困难性。依赖于大整数因子分解的困难性。依赖于大整数因子分解的困难性。RSARSA数字签名体制的算法描述：数字签名体制的算法描述：数字签名体制的算法描述：数字签名体制的算法描述：（1 1）体制参数）体制参数）体制参数）体制参数 令令令令n=pqn=pq，选，选，选，选e e并计算出并计算出并计算出并计算出d d使使使使ed=1 mod ed=1 mod (n n)，公开，公开，公开，公开n n和和和和e e ，将将将

48、将p p、q q和和和和d d保密。保密。保密。保密。（2 2）签字过程）签字过程）签字过程）签字过程 对消息对消息对消息对消息mm，用户，用户，用户，用户A A计算：计算：计算：计算：S=SigS=Sigk k(m)=m(m)=md d mod nmod n s s即为即为即为即为mm的数字签名。的数字签名。的数字签名。的数字签名。（3 3）验证过程）验证过程）验证过程）验证过程 用户用户用户用户B B收到收到收到收到m,sm,s，验证，验证，验证，验证VerVerk k(m,s)=(m,s)=真真真真 m m s se e(mod n)(mod n)6.3 6.3 数字签名数字签名RSAR

49、SA数字签名数字签名现在学习的是第24页，共55页信息安全概论信息安全概论 252022/10/12RSARSA签名体制的缺陷：签名体制的缺陷：签名体制的缺陷：签名体制的缺陷：（1 1）任何人可以通过某个）任何人可以通过某个）任何人可以通过某个）任何人可以通过某个s s计算：计算：计算：计算：m=sm=se e mod nmod n伪造用户对伪造用户对伪造用户对伪造用户对mm的的的的 签名签名签名签名s s（2 2）若知道消息）若知道消息）若知道消息）若知道消息mm1 1、mm2 2的签名分别为的签名分别为的签名分别为的签名分别为s s1 1、s s2 2，则可伪造消息，则可伪造消息，则可伪造

50、消息，则可伪造消息 mm1 1mm2 2的签名的签名的签名的签名S=SigS=Sigk k(mm1 1mm2 2)=)=s s1 1s s2 2 modnmodn（3 3）签名速度慢。）签名速度慢。）签名速度慢。）签名速度慢。通过增加单向散列函数可以克服上述缺陷。通过增加单向散列函数可以克服上述缺陷。通过增加单向散列函数可以克服上述缺陷。通过增加单向散列函数可以克服上述缺陷。6.3 6.3 数字签名数字签名RSARSA数字签名数字签名现在学习的是第25页，共55页信息安全概论信息安全概论 262022/10/12 ElGamalElGamal数字签名方案的安全性主要是基于有限域上离散数字签名方