电子商务安全第2章电子教案.ppt

《电子商务安全第2章电子教案.ppt》由会员分享，可在线阅读，更多相关《电子商务安全第2章电子教案.ppt（88页珍藏版）》请在taowenge.com淘文阁网|工程机械CAD图纸|机械工程制图|CAD装配图下载|SolidWorks_CaTia_CAD_UG_PROE_设计图分享下载上搜索。

1、电子商务安全第2章 第2 章密码技术及应用2.1 对称密码系统和非对称密码系统机密性：满足电子商务交易中信息保密性的安全需求，可以避免敏感信息泄漏的威胁。不可否认：防止交易伙伴否认曾经发送或者接收过某种文件或数据。验证：消息的接收者应能确认消息的来源，入侵者不可能伪装成他人。完整性：消息的接收者应能够验证在传递过程中消息没有被窜改，入侵者不能用假消息代替合法消息。分类：对称密码系统 非对称密码系统 2.1.1 对称密码系统 DES DES（Data Encryption Standard）密码系统是电子商务系统中最常用的对称密钥加密技术。它由IBM 公司研制，并被国际标准化组织ISO 认定为数

2、据加密的国际标准。DES 技术采用64 位密钥长度，其中8 位用于奇偶校验，剩余的56 位可以被用户使用。2.1.1 对称密码系统 DES DES 算法 DES 系统是一种分组密码，是为二进制编码数据设计的、可以对计算机数据进行密码保护的数学变换。DES 通过密钥对64 位的二进制信息进行加密，把明文的64 位信息加密成密文的64 位信息。DES 系统的加密算法是公开的，其加密强度取决于密钥的保密程度。加密后的信息可用加密时所用的同一密钥进行求逆运算，变换还原出对应的明文。在DES 系统中，64 位密钥中的56 位用于加密过程，其余8 位用于奇偶校验。密钥分成八个8 位的字节，在每一个字节中的

3、前7 位用于加密，第8 位用于奇偶校验。2.1.1 对称密码系统 DES（1）DES 加密过程 将明文分组，每个分组输入64 位的明文；初始置换（IP）。初始置换过程是与密钥关的无 操作，仅仅对64 位码进行移位操作。迭代过程，共16 轮运算，这是一个与密钥有关的 对分组进行加密的运算。逆初始置换（IP-1），它是第 2 步中IP 变换的逆变换，这一变换过程也不需要密钥。输出64 位码的密文。（2）DES 的解密过程 DES 解密过程和加密过程使用相同的算法，是 加密过程的逆过程。即，如果各轮的加密密钥分别是：K1，K2，K3，K15，K16 那么解密密钥就是：K16，K15，K2，K1 2.

4、1.1 对称密码系统 DES（3）DES 系统的安全性（1）弱密钥和半弱密钥 若DES 密钥置换中所产生的16 个子密钥均相同，则称为弱密钥。若一个密钥能够解密用另一个密钥加密的密文，则为半弱密钥。（2）DES 系统的破译和安全使用 DES 加密体制共有256个密钥可供用户选择。256相当于7.6 1016，若采用穷举法进行攻击，假如1 微秒穷举一个密钥，则需要用2283 年的时间，因此看起来是很安全的。1998 年7 月，美国电子新产品开发基金会（EFF）花了不到25万美元研制了一台计算机“Deep Crack”，以每秒测试8.81010个密钥可能组合的速度连续测试了56 个小时破译了DES

5、 密码。2.1.1 对称密码系统 DES（4）DES 的改进1）DES 级联 DES 主要的密码学缺点就是密钥长度相对来说比较短。增加密钥长度，将一种分组密码进行级联，在不同的密钥作用下，连续多次对一组明文进行加密。三重DES 是DES 算法扩展其密钥长度的一种方法，可使加密密钥长度扩展到128 比特（112 比特有效）或者192 比特（168 比特有效）。采用三重DES 可以实现在不改变算法的基础上增加加密强度，降低因扩展加密强度而增加的各种开销。三重DES 基本原理是将128 比特的密钥分为64 比特的两组，对明文多次进行普通的DES 加解密操作，从而增强加密强度。这种方法用两个密钥对明文

6、进行三次加密。假设两个密钥是k1和k2，三重DES 的加密过程是：使用密钥k1进行第一次DES 加密；用密钥k2对第步中DES 加密的结果进行DES 解密；将第步中DES 解密的结果再用密钥k1进行DES加密。2）S 盒可选择的DES 算法比哈姆（Biham）和沙米尔（Shamir）证明通过优化S 盒的设计，甚至仅仅改变S 盒本身的顺序，就可以抵抗差分密码分析，达到进一步增强DES 算法加密强度的目的。3）具有独立子密钥的DES 这是DES 的另一种变形，在每轮迭代中都使用不同的子密钥，而不是由56 比特密钥来产生子密钥。因为16 轮DES 的每轮都需要48 比特密钥，所以这种变形的DES 密

7、钥长度是768 比特，这一方法可以增强DES 的加密强度，大大增强了破译DES 密钥的难度。但是,比哈姆和沙米尔证明，利用261 个选择明文便可破译这个DES 变形，而不是原先所希望的2768 个选择明文，所以这种方法并不见得比DES 更安全。（5）DES 的替代算法AESAES 算法三条基本要求：对称密码体制；算法应为分组密码算法；算法明密文分组长度为128 比特，应支持128比特、192 比特以及256 比特的密钥长度2.1.2 非对称密码系统 非对称密码系统又称公开密钥密码系统。公开密钥密码系统（简称公钥体制）是现代密码学最重要的发明和进展。公开密钥密码体制最大的特点是采用两个不同的加密

8、密钥和解密密钥，加密密钥公开，解密密钥保密，其他人无法从加密密钥和明文中获得解密密钥的任何消息，于是通信双方无需交换密钥就可以进行保密通信。(1)RSA(1)RSA密码系统 1976 年，斯坦福大学电子工程系的两名学者Diffle和Hellman 在密码学研究的新方向一文中提出了公钥密码的思想：若用户A 有一个加密密钥ka,一个解密密钥kb，ka,公开而kb保密，要求ka,的公开不至于影响kb的安全。1977 年，麻省理工学院三位博士Rivest，Shamir和 Adleman 设计一个RSA 公开密钥密码算法。RSA 密码算法利用数论领域的一个关键事实：把两个大素数相乘生成一个合数是件很容易

9、的事，但要把一个大合数分解为两个素数却十分困难。公钥密码系统RSA l）密钥的生成 任选两个秘密的大素数 p 与q；计算n，使得 n=pqm，公开n；选择正整数e，使得e 与(n)=（p-1）（q 1）互素，公开 e，n 和e 便是用户公钥；计算d，使 ed mod(n)=l，d 保密，d 便是用户私钥。2）加密过程 c E(m)me mod n，c 即是对应于明文m 的密文。3）解密过程 m=D(c)cd mod n，m 即是对应于密文c 的明文。RSA 算法的正确性 cd mod n（me mod n）d mod n m(ed)mod n m k(n)+1 mod n（m k(n)mod

10、n）（m mod n）m 关于 RSA 密码算法的安全性，从算法可知，若n=pq 被因子分解成功，则非常容易计算出私有密钥d，从而可以攻破RSA 密码系统。因此，必须非常注意p、q 的选取。例如，从安全素数中选取p、q，具有下列特点的素数p、q 称为安全素数：p 和q 的长度相差不大；p-1 和q-1 有大素数因子；公因子(p-1,q-1)很小。【例2.1】用RSA 密码算法对明文信息 public key encryptions 进行加密和还原。首先，假设选取素数p=43 和q=59,则计算n=pq=4359=2537,(n)=4258=2436，并且选取e=13,解同余方程ed mod 2

11、436=1 得到d=937。其次，将明文public key encryptions 以两个字符为一组进行分组，得到：pu bl ic ke ye nc ry pt io ns 第三步将明文数字化，用00 表示a,01 表示b,02表示c,.,23 表示x,24 表示y,25 表示z；这样将上述分组字符进行数字化成如下形式：1520 0111 0802 1004 2404 1302 1724 1519 0814 1418 现在，讨论对明文数字m=1520 的加密 c=E(m)me(mod n)=1520 13(mod 2537)=(1520 2)6 1520(mod 2537)。由于(1520

12、2)1730(mod 2537)，所以 c(1730)6 1520(mod 2537)=(1730 2)3 1520(mod 2537)。注意到 1730 2 1777 mod(2537)，我们有 c(1777)3 1520(mod 2537)=(1777)2(1777*1520)(mod 2537)。因为1777 2 1701 mod(2537)以及1777 15201672(mod 2537)所以 密文 c1701*1672(mod 2537)95(mod 2537)=0095。2.1.2 公钥密码系统RSA-与DES 的比较 1）加、解密处理效率方面，DES 算法优于RSA 算法。DES

13、 算法的密钥长度只有56 比特，可以利用软件和硬件实现高速处理；RSA 算法需要进行诸如至少200 比特整数的乘幂和求模等多倍字长的处理，处理速度明显慢于DES 算法。2）在密钥的管理方面，RSA 算法比DES 算法更加优越。RSA 算法可采用公开形式分配加密密钥，对加密密钥的更新也很方便。DES 算法要求通信前进行密钥分配，密钥的更换困难，对不同的通信对象，DES 需要产生和保管不同的密钥。3）在签名和认证方面，由于RSA 算法采用公开密钥密码体制，因而能够很容易地进行数字签名和身份认证。(2)椭圆曲线密码系统ECC 1985 年，Neal Koblitz 和V.S.Miller 把椭圆曲线

14、的研究成果应用到密码学中，分别独立提出在公钥密码系统中使用椭圆曲线的思想。从1998 年起，一些国际化标准组织开始了椭圆曲线密码的标准化工作。1998 年底美国国家标准与技术研究所（NIST）公布了专门针对椭圆曲线密码的ANSI-F9.62 和ANSI-F9.63 标准。1998 年IEEE-P1363 工作组正式将椭圆曲线密码写入了当时正在讨论制定的“公钥密码标准”的草案中。椭圆曲线密码系统ECC Weierstrass 方程和椭圆曲线 任意一条椭圆曲线总可以用一个三次方程来表示，这个三次方程一般称为Weierstrass 方程：y2+a1 x y+a3 y=x3+a2 x2+a4 x+a6

15、 方程中的参数取自域F 上。F 可以是有理数域、实数域或者有限域 椭圆曲线上的点在所定义的加法运算下形成一个阿贝尔群（Abelian group）。令E 是由Weierstrass 方程（2.1）给出的椭圆曲线，则E 上的两点P 和Q 相加的加法法则如下：对所有的P，Q E，2.2 数字签名 2.2.1 数字签名的一般过程 数字签名方案包括：系统初始化过程、签名产生过程和签名验证过程。（1）系统的初始化 系统初始化过程产生数字签名方案中的基本参数集合（M,S,K,SIG,VER），其中：M：消息集合；S：签名集合；K：密钥集合，包含私钥和公钥；SIG：签名算法集合；VER：签名验证算法集合。（

16、2）签名产生过程（3）签名验证过程（4）数字签名的安全性 理想的数字签名协议至少需要具有如下特征：签名是真实的。签名使接收者相信签名者慎重地签字。签名对选择明文的攻击具有不可伪造性，即B 获得了A 的签名，却不能用A 的签名对其他消息伪造签名。签名不可重用。不法之徒不可能将签名转移到不同的文件上。签名的文件不可改变。签名后，文件不能改变。签名不可抵赖。签名后，签名者不能声称没有签过名。数字信封结构用来保证数据在传输过程中的安全，数字信封结构把待签名的数据、时间和数字签名结合成一个不可分割的整体，以抵抗重放攻击和代换攻击，确保签名的法律效力。（5）数字信封结构（6）签名算法 签名算法一般由公钥密

17、码算法（RSA、ELGamal、DSA、ECDSA 等），对称密钥密码算法（DES，AES等）和单向散列函数（MD2、MD4、MD5 或SHA 等）构成。（7）数字签名的分类 数字签名方案的分类：建立在大整数素因子分解基础上的数字签名方案；建立在有限域的离散对数问题上 的数字签名方案；建立在椭圆曲线离散对数问题上的数字签名方案。还可以按照数字签名能够满足实际需要的特殊要求来进行分类：满足一般需求的基本数字签名、满足特殊需要的特殊数字签名以及满足多人共同签名需要的多重数字签名等等。2.2.2 基于RSA 密码体制的数字签名（l）密钥的生成 任选两个秘密的大素数 p 与q；计算n，使得 n=pqm

18、，公开n；选择正整数e，使得e 与(n)=（p-1）（q 1）互素，公开 e，n 和e 便是用户公钥；计算d，使 ed mod(n)=l，d 保密，d 是用户私钥。（2）签名过程 S md mod n，S 是对应于明文m 的数字签名。签名者将签名S 和明文m 一起发送给签名验证者。（3）验证签名过程 m Se mod n，若m=m，则签名得到验证。2.2.3 基于DSA 密码体制的数字签名（l）密钥的生成 公开密钥 p：512 位到1024 位的素数 q：160 位长，并与p 1 互素的因子 g h(p-1)/q mod p 其中h 小于p-1，并且g1。y=gx mod p（一个p 位的数）

19、；私人密钥 x，一个 q 的160 位的数；（2）签名过程 k 选取一个小于q 的随机数 r(签名)=(g k mod p)mod q s(签名)=(k-1(H(m)+xr)mod q（3）验证签名过程：w=s-1 mod q u1=(H(m)w)mod q u2=(rw)mod q v=(g u1y u2mod p)mod q如果v=r，则签名被验证2.2.4 基于ECC 密码体制的数字签名1992 年 在NIST 的 第 一 次 征 求DSS 标 准 评 论 时，Scott Vanstone 首先提出椭圆曲线数字签名算法ECDSA ECDSA 于1998 年被接受为ISO 标准（ISO 1

20、4888-3）1999 年 成 为 ANSI（American National Standards Institute）标准（ANSI X9.62）2000 年 成 为IEEE 标 准（IEEE P1363）以 及FIPS 标 准（FIPS 186-2）(1)ECDSA 主域参数(2)ECDSA 密钥对 确定椭圆曲线的主域参数D=(q,FR,a,b,G,n,h)，便可确定ECDSA的密钥对。假设需要进行数字签名的签名实体为A。实体A 可以按如下算法产生签名所需要的私钥和公钥：1.在区间1，n-1 中选取一个随机数或者伪随机数d；2.计算Q=d G；3.实体A 的公钥是Q，私钥是d。(3)EC

21、DSA 签名的产生产生椭圆曲线数字签名的算法描述如下：选取一个随机数k，1kn-1；计算kG=(x1,y1)，以及r=x1 mod n；如果r=0，转步；计算k-1mod n；计算e=SHA-1(m)；计算S=k-1(e+d r)mod n，如果S=0，转步；实体A 对消息的签名是（r,S），算法结束。(4)ECDSA 签名的验证 输入参数为A 的数字签名（r,S），签名消息m，实体B 所需要的主域参数D=(q,FR,a,b,G,n,h)以及A 的公钥Q；输出为接受或者拒绝签名。验证过程如下：验证r 和S 是1,n-1 中的整数；计算e=SHA-1(m)；计算w=S-1mod n；计算u1=e

22、 w mod n；u2=r w mod n；计算X=u1 G+u2 Q，记X 的坐标为(x1,y1)，如果 X=O，就拒绝签名；否则计算v=x1 mod n；当且仅当v=r 时，接受签名，算法结束。2.2.5 特殊数字签名（1）盲签名：签名者签署不知道内容的文件时，使用盲签名。盲签名具有匿名的性质，在电子货币和电子投票系统中得到广泛的应用。（2）双重签名：当签名者希望验证者只知道报价单，中间人只知道授权指令时，能够让中间人在签名者和验证者报价相同的情况下进行授权操作。（3）群签名：允许一个群体中的成员以群体的名义进行数字签名，并且验证者能够确认签名者的身份。群签名中最重要的是群密钥的分配，要能

23、够高效处理群成员的动态加入和退出。群密钥管理分为集中式密钥管理和分散式密钥管理。（4）门限签名：在有n 个成员的群体中，至少有t 个成员才能代表群体对文件进行有效的数字签名。门限签名通过共享密钥方法实现，将密钥分为n 份，只有当将超过t 份的子密钥组合在一起时才能重构出密钥。门限签名在密钥托管技术中得到了很好的应用，某人的私钥由政府的n 个部门托管，当其中超过t 个部门决定对其实行监听，便可重构密钥。2.2.5 特殊数字签名（5）代理签名：允许密钥持有者授权给第三方，获得授权的第三方能够代表签名持有者进行数字签名。代理机制：全权代理、部分代理和授权代理（6）门限代理签名：将密钥分配给n 个代理

24、者，只有超过t 个人联合时才可以重构密钥。通过这样的方法可以限制代理者的权限。门限代理签名实际上是门限签名和代理签名的综合应用。（7）不可否认的门限代理签名：用来防止门限代理签名中的t 个签名者同谋重构签名，该方案中参与代理签名的t 人均不可否认其签名。（8）报文还原签名：具有报文还原功能的数字签名方案，它使得签名收方利用签名资料便可还原消息。2.2.5 特殊数字签名（9）多重数字签名：需要多人对同一文件进行签名后文件才生效的数字签名。（10）广播多重数字签名：发送者将消息同时发送给每一位签名者进行数字签名，签名完毕后将结果发送到签名收集者计算整理，最终发送给签名验证者。（11）顺序多重数字签

25、名：消息发送者预先设计一种签名顺序，将这种签名按顺序发送到每一位签名者进行数字签名，最终发送给签名验证者。（12）基于ID号的多重数字签名：1996 年，chou 和Wu 提出了两种基于ID号的多重数字签名协议，分别适用于广播多重数字签名和顺序多重数字签名。该签名算法为每个签名者分配ID号，算法基于大数因子分解难度，使用认证机构CA。2.2.5 特殊数字签名（13）签名权限各异多重数字签名：该方案特征是参与签名的各人均持有不同的签名权限，系统可以识别每个签名者，但不能保证每个签名者只有一个签名权限。（14）使用自鉴定公钥的ELGamal 型多重数字签名：该算法由Yuh-Shihng Chang

26、 于2000 年提出，它通过验证多重数字签名来进行公钥的鉴定。其优点是减少了一般签名算法将公钥保存在PKI 中而验证算法时必须先从PKI 中检索得到公钥的过程，缺点是签名中需要较多的参数。（15）基于文件分解的多重数字签名：该方案由Tzong-Chen Wu 于2001 年提出。当对一个内容广泛、包含不同主体的文件进行多重数字签名时，可以按主题将文件分解为一些不相交的子文件，让各个签名者分别对自己熟悉的部分而不是对整个文件进行签名，验证时可以通过群体的公共密钥进行验证。2.2.5 特殊数字签名（16）Internet 上顺序多重数字签名方案：该方案由Motomi和Miyaji 于2001 年提

27、出，该方案允许签名者修改文件，并且签名顺序任意，还可以增加或减少签名者人数。这种方案的好处是适应在Internet 上对文件进行签名的特点：签名人数和顺序可能事先无法估计。（17）报文还原ELGamal 型多重数字签名方案：具有报文还原功能的多重数字签名方案，它使得多重签名接收方利用签名资料便可还原消息。2.3 密钥管理 所有的密钥都有时间期限，密钥的使用周期称为密钥周期。密钥周期由以下几个阶段构成：密钥生成；密钥修改；密钥封装；密钥恢复；密钥分发；密钥撤销2.3.1 密钥的生成与修改(1)密钥的生成:密钥生成方法主要有不重复密钥生成法和重复密钥生成法两种。不重复密钥生成法：产生密钥的加密算法

28、是三重DES，V0是一个秘密的64 位种子，Ti是时间标记。生成随机密钥Ri。2.3.1 密钥的生成与修改 重复密钥生成法：由一个初始密钥生成多个密钥 首先，如果初始密钥在密钥空间中是随机的，则由其生成的密钥也应该是随机的。其次，密钥生成的方法可以用迭代法，即可由一个初始密钥生成一个新密钥，接着再用新密钥作为初始密钥生成一个新密钥，依此类推，不断衍生出新的密钥。最后，密钥生成过程具有不可逆性，即由后继密钥不能推出其前导密钥。(2)密钥的修改 当一个合法的密钥即将过期时，就要自动产生新的密钥。可以使用密钥生成的方法重新生成密钥、从旧的密钥中产生新的密钥。（3）密钥的保护 保护密钥安全的最直接的方

29、法是让密钥驻留在密码装置之内，当密钥数量很大且经常需要修改时，这种方法的开销太大、几乎不可能实现。另一种可用的方法是由系统对这些密钥进行加密并控制它的使用。使用一个密钥来保护许多其他密钥的原理被定义为主密钥原理，极少量的主密钥驻留在密码装置之中将是安全、现实的。2.3.2 密钥的封装和恢复 密钥恢复的类型 1）密钥托管由政府或一个可信赖的第三方机构托管代理，持有用户真正的密钥或相应的密钥分量。2）密钥封装采用若干个可信赖的第三方机构来获得以加密形式封装的密钥，并确保只有称为恢复代理的特定的可信赖的第三方机构可以执行解封操作以恢复埋藏在其中的密钥信息。典型的密钥恢复系统 1）美国的托管加密标准E

30、ES 2）信息信托公司(TIS)的密钥恢复系统 2.3.3 密钥的分发和撤销（1）密钥的分发 对称密钥密码体制中密钥的分发 密钥分发技术分为人工和自动方式两大类 人工方式分发密钥主要采用信使来传递密封邮件自动方式主要有主密钥分发方式和密钥分发中心方式 密钥分发中心方式 在某个特定的网络中设置一个密钥分发中心KDC，用户的通信密钥由KDC 集中管理和分配。网络中需要保密通信的用户各自都有一个和KDC 共享的秘密密钥。如果两个用户A 和B 需要进行一次秘密会话，则：用户A 向KDC 请求一个与B 通信的会话密钥；KDC 先产生一个随机的会话密钥Ks，接着分别用与A 共享 的秘密密钥Ka、与B 共享

31、的秘密密钥Kb 对Ks 加密，得到 KsA 和KsB 并将KsA 和KsB 发送给A；A 用与KDC 共享的秘密密钥Ka 解密KsA，恢复Ks；A 将另外一个未解密的KsB 发送给B；B 用与KDC 共享的秘密密钥Kb 解密收到的未解密的KsB，恢复Ks；A、B 用Ks 进行一次安全的会话。2.3.3 密钥的分发和撤销 公开密钥密码体制的密钥分发 在 公 开 密 钥 密 码 体 制 中 进 行 安 全 密 钥 的 分 发 最 重 要 的 问题是确保公钥的完整性。假设交易伙伴双方是A 和B，A 想要得到B 的公钥。第一种方法是A 可以采用人工方式获得B 的公钥，B 通过信使将密钥交给A。第二种方

32、法是B 将其公钥email 给A，A 可以用单向函数对该公钥生成一个160 位的信息摘要并以16 进制显示，这一特点称作密钥的指纹。然后A 打电话给B，让B 在电话中对证指纹，如果双方一致则该公钥被认可。最常用的方法是采用数字证书来实现密钥分发。数字证书由一个大家都信任的证书权威机构的成员来签发，该成员称为认证中心（CA）。2.3.3 密钥的分发和撤销（2）密钥的撤销 密 钥 撤 销 包 括 清 除 旧 密 钥 的 所 有 踪 迹。旧 密钥 在 停 止 使 用 后，可 能 还 要 持 续 保 密 一 段 时间。2.4 身份认证技术 身份证明可以依靠下述三种基本途径之一或者它们的组合来实现：1）

33、所知：个人知道或者掌握的知识，如密码、口令等；2）所有：个人拥有的东西，如身份证、护照、信用卡、钥匙等；3）个人特征：如指纹、笔迹、声音、血型、视网膜、虹膜以及DNA 等。身份认证技术可以从身份的真实性和不可抵赖性两个方面来保证交易伙伴是值得信赖的。2.4.1 身份认证协议 身份认证系统的组成 1）一方是出示证件的人，称作示证者，又称申请者，由他提出某种要求；2）另一方是验证者，验证示证者出示证件的正确性和合法性，决定是否满足示证者的要求；3）第三方是攻击者，会窃听和伪装示证者骗取验证者的信任。4）认证系统在必要时也会有第四方，即可信赖的仲裁者参与，调解纠纷。身份认证技术又称为身份证明技术、实

34、体认证等。2.4.1 身份认证协议（1）常用的身份认证技术1）变换口令 2）提问应答3）时间戳 4）一次性口令 5）数字签名 6）零知识技术 好的身份认证协议通常结合了上述或类似的多个技术 2.4.1 身份认证协议（2）常用的身份认证方法 1）口令和个人识别码（PINs）2）个人令牌 3）生物统计学 4）Kerberos 认证机制 5）基于公钥密码体制的身份认证2.4.2 不可否认机制 不可否认机制来源不可否认、接收不可否认、提交不可否认（1）不可否认机制的实施阶段为某一特定通信提供不可否认机制服务包括5 个阶段，依次是：不可否认的请求。生成记录。分发记录。核实记录。保留记录。2.4.2 不可

35、否认机制（2）来源不可否认机制1）来源不可否认机制涉及的争议：接收者声称已经收到了一条消息，但被认定的发送者否认曾生成过该消息；接收者声称收到的消息和被认定的发送者声明发送的消息不同；接收者声称收到了一条于特定时间生成的特定消息，但被认定的发送者否认在该时间生成过那个特定消息。2）争议的真实情况发送方在撒谎（或接收了误传）；接收者在撒谎（或接收了误传）；出现了计算机或者通信错误；有攻击者介入欺骗了当事双方。2.4.2 不可否认机制 3）实现来源不可否认机制的方法 要求发送方对文件进行数字签名 通过可信任的仲裁者的数字签名来实现 通过可信任的仲裁者对消息摘要的数字签名来实现 内嵌可信任的仲裁者

36、上述各种机制的组合2.4.2 不可否认机制（3）接收不可否认机制1）接收不可否认机制涉及的争议 发送者声称已经发出了一条消息，但被认定的接收者否认曾收到过该消息；发送者声称发出的消息和被认定的接收者声明接收的消息不同；发送者声称发送了一条于特定时间生成的特定消息，但被认定的接收者否认在该时间接收过那个特定消息。2）对于消息来源的争议，真实情况可能是：某一方在撒谎；出现了计算机或通信错误；攻击者介入欺骗了他们。2.4.2 不可否认机制 实现接收不可否认机制的方法有：通过要求接收方对文件进行数字签名来实现通过可信任的接收代理来实现通过累进的接收报告来实现 2.4.2 不可否认机制（4）提交不可否认机制涉及的争议有：发送者声称已经发出了一条消息，但被认定的接收者否认曾收到过该消息，而且认为发送者根本没有发送该消息；发送者声称发送了一条于特定时间生成的特定消息，但被认定的接收者否认在该时间接收过那个特定消息。如果发送者和接收者都说了真话，那么就是计算机系统出了故障或者攻击者欺骗了他们。