收藏
下载资源

第四讲 数字签名与认证技术课件

上传人:我*** 文档编号:139324925 上传时间:2020-07-21 格式:PPT 页数:69 大小:817KB
返回 下载 相关 举报
第四讲 数字签名与认证技术课件_第1页
第1页 / 共69页
第四讲 数字签名与认证技术课件_第2页
第2页 / 共69页
第四讲 数字签名与认证技术课件_第3页
第3页 / 共69页
第四讲 数字签名与认证技术课件_第4页
第4页 / 共69页
第四讲 数字签名与认证技术课件_第5页
第5页 / 共69页
点击查看更多>>
资源描述

《第四讲 数字签名与认证技术课件》由会员分享,可在线阅读,更多相关《第四讲 数字签名与认证技术课件(69页珍藏版)》请在金锄头文库上搜索。

1、2020/7/21,计算机网络安全,1,第四章数字签名与CA 认证技术,数字签名的实现方法 CA认证与认证产品 鉴别技术与方法 个人数字凭证的申请、颁发和使用,本章要点:,2020/7/21,计算机网络安全,2,第四章数字签名与CA 认证技术,4.1 数字签名原理、种类与方法 4.2 鉴别技术与方法 4.3 数 字 凭 证 4.4 通用认证中心 4.5 数字签名与CA认证实验,2020/7/21,计算机网络安全,3,4.1 数字签名原理、种类与方法,4.1.1 数字签名原理 在传统商务活动中,为了保证交易的安全与真实,一份书面合同或公文要由当事人或其负责人签字、盖章,以便让交易双方识别是谁签的

2、合同,保证签字或盖章的人认可合同的内容,在法律上才能承认这份合同是有效的。而在电子商务的虚拟世界中,合同或文件是以电子文件的形式表现和传递的。能够在电子文件中识别双方交易人的真实身份,保证交易的安全性和真实性以及不可抵赖性,起到与手写签名或者盖章同等作用的签名的电子技术手段,称为电子签名。,2020/7/21,计算机网络安全,4,4.1.1 数字签名原理,联合国贸发会的电子签名示范法中对电子签名做如下定义:“指在数据电文中以电子形式所含、所附或在逻辑上与数据电文有联系的数据,它可用于鉴别与数据电文相关的签名人和表明签名人认可数据电文所含信息”; 在欧盟的电子签名共同框架指令中就规定:“以电子形

3、式所附或在逻辑上与其他电子数据相关的数据,作为一种判别的方法”称电子签名。,2020/7/21,计算机网络安全,5,4.1.1 数字签名原理,所谓数字签名就是通过某种密码运算生成一系列符号及代码组成电子密码进行签名,来代替书写签名或印章,对于这种电子式的签名还可进行技术验证,其验证的准确度是一般手工签名和图章的验证无法比拟的。 数字签名是目前电子商务、电子政务中应用最普遍、技术最成熟、可操作性最强的一种电子签名方法。它采用了规范化的程序和科学化的方法,用于鉴定签名人的身份以及对一项电子数据内容的认可。它还能验证出文件的原文在传输过程中有无变动,确保传输电子文件的完整性、真实性和不可抵赖性。,2

4、020/7/21,计算机网络安全,6,4.1.2 数字签名的种类,1. 手写签名或图章的模式识别 即将手写签名或印章作为图像,用光扫描经光电转换后在数据库中加以存储,当验证此人的手写签名或盖印时,也用光扫描输入,并将原数据库中的对应图像调出,用模式识别的数学计算方法对将两者进行比对,以确认该签名或印章的真伪。这种方法曾经在银行会计柜台使用过,但由于需要大容量的数据库存储和每次手写签名和盖印的差异性,证明它不实用,这种方法也不适合在互联网上传输。,2020/7/21,计算机网络安全,7,4.1.2 数字签名的种类,2. 生物识别技术 利用人体生物特征进行身份认证的一种技术。生物特征是一个人与他人

5、不同的唯一表征,它是可以测量、自动识别和验证的。生物识别系统对生物特征进行取样,提取其唯一的特征进行数字化处理,转换成数字代码,并进一步将这些代码组成特征模板存于数据库中。人们同识别系统交互进行身份认证时,识别系统获取其特征并与数据库中的特征模板进行比对,以确定是否匹配,从而决定确认或否认此人。,2020/7/21,计算机网络安全,8,4.1.2 数字签名的种类,生物识别技术主要有以下几种。 1) 指纹识别技术 可以将一份纸质公文或数据电文按手印签名或放于IC卡中签名。但这种签名需要有大容量的数据库支持,适用于本地面对面的处理,不适宜网上传输。 2) 视网膜识别技术 使用困难,不适用于直接数字

6、签名和网络传输。 3) 声音识别技术 这种技术精确度较差,使用困难,不适用于直接数字签名和网络传输。,2020/7/21,计算机网络安全,9,4.1.2 数字签名的种类,3. 密码、密码代号或个人识别码 指用一种传统的对称密钥加/解密的身份识别和签名方法。甲方需要乙方签名一份电子文件,甲方可产生一个随机码传送给乙方,乙方用事先双方约定好的对称密钥加密该随机码和电子文件回送给甲方,甲方用同样的对称密钥解密后得到电文并核对随机码,如随机码核对正确,甲方即可认为该电文来自乙方。适合远程网络传输,但不适合大规模人群认证,因为对称密钥管理困难。 在实际应用方面经常采用的是ID+PIN(身份唯一标识+口令

7、)。日常生活中使用的银行卡就是用的这种认证方法。,2020/7/21,计算机网络安全,10,4.1.2 数字签名的种类,4基于量子力学的计算机 是以量子力学原理直接进行计算的计算机。它比传统的计算机具有更强大的功能,它的计算速度要比现代的计算机快几亿倍。它是利用一种新的量子密码的编码方法,即利用光子的相位特性编码。由于量子力学的随机性非常特殊,无论多么聪明的窃听者,在破译这种密码时都会留下痕迹,甚至在密码被窃听的同时会自动改变。可以说,这将是世界上最安全的密码认证和签名方法。但是,这种计算机还只是停留在理论研究阶段,离实际应用还很遥远。,2020/7/21,计算机网络安全,11,4.1.2 数

8、字签名的种类,5基于PKI的电子签名 基于PKI的电子签名被称作数字签名。有人称“电子签名”就是“数字签名”,其实这是一般性说法。数字签名只是电子签名的一种特定形式。目前,具有实际意义的电子签名只有公钥密码理论。所以,目前国内外普遍使用的还是基于PKI的数字签名技术。作为公钥基础设施,PKI可提供多种网上安全服务,如认证、数据保密性、数据完整性和不可否认性。,2020/7/21,计算机网络安全,12,4.1.3 数字签名的技术实现方法,对一个电子文件进行数字签名并在网上传输,其技术实现过程大致如下:首先要在网上进行身份认证,然后再进行签名,最后是对签名的验证。 1. 认证 PKI提供的服务首先

9、是认证,即身份识别与鉴别,就是确认实体即为自己所声明的实体。认证的前提是甲、乙双方都具有第三方CA所签发的证书,认证分单向认证和双向认证。,2020/7/21,计算机网络安全,13,4.1.3 数字签名的技术实现方法,1) 单向认证 单向认证是甲、乙双方在网上通信时,甲只需要认证乙的身份。这时甲需要获取乙的证书,获取的方式有两种,一种是在通信时乙直接将证书传送给甲,另一种是甲向CA的目录服务器查询索取。甲获得乙的证书后,首先用CA的根证书公钥验证该证书的签名,验证通过说明该证书是第三方CA签发的有效证书。然后检查证书的有效期及检查该证书是否已被作废(LRC检查)而进入黑名单。,2020/7/2

10、1,计算机网络安全,14,4.1.3 数字签名的技术实现方法,2) 双向认证 双向认证是甲、乙双方在网上通信时,甲不但要认证乙的身份,乙也要认证甲的身份。其认证过程的每一方都与单向认证过程相同,即乙方也用同样的过程认证甲方的证书有效性。,2020/7/21,计算机网络安全,15,4.1.3 数字签名的技术实现方法,2. 数字签名与验证过程 网上通信的双方,在互相认证身份之后,即可发送签名的数据电文。 数字签名过程分两部分:签名过程和验证过程。即发方将原文用哈希算法求得数字摘要,用签名私钥对数字摘要加密求得数字签名,然后将原文与数字签名一起发送给收方;收方验证签名,即用发方公钥解密数字签名,得出

11、数字摘要;收方将原文采用同样哈希算法又得一新的数字摘要,将两个数字摘要进行比较,如果两者匹配,说明经数字签名的电子文件传输成功。,2020/7/21,计算机网络安全,16,4.1.3 数字签名的技术实现方法,签名过程 验证过程,2020/7/21,计算机网络安全,17,4.1.3 数字签名的技术实现方法,3数字签名的操作过程 数字签名的操作需要有发方的签名证书的私钥及其验证公钥。 数字签名操作具体过程如下:首先是生成被签名的电子文件(电子签名法中称数据电文),然后对电子文件用哈希算法做数字摘要,再对数字摘要用签名私钥做非对称加密,即做数字签名;之后是将以上的签名和电子文件原文以及签名证书的公钥

12、加在一起进行封装,形成签名结果发送给收方,待收方验证。,2020/7/21,计算机网络安全,18,4.1.3 数字签名的技术实现方法,2020/7/21,计算机网络安全,19,4.1.3 数字签名的技术实现方法,4数字签名的验证过程 收方收到数字签名的结果包括数字签名、电子原文和发方公钥,即待验证的数据。收方进行签名验证。验证过程是:收方首先用发方公钥解密数字签名,导出数字摘要,并对电子文件原文做同样哈希算法得一个新的数字摘要,将两个摘要的哈希值进行结果比较,结果相同签名得到验证,否则签名无效。电子签名法中要求对签名不能改动,对签署的内容和形式也不能改动。,2020/7/21,计算机网络安全,

13、20,4.1.3 数字签名的技术实现方法,2020/7/21,计算机网络安全,21,4.1.3 数字签名的技术实现方法,如果收方对发方数字签名验证成功,就可以说明以下三个实质性的问题。 (1) 该电子文件确实是由签名者的发方所发出的,电子文件来源于该发送者。 (2) 被签名的电子文件确实是经发方签名后发送的,说明发方用了自己的私钥做的签名,并得到验证,达到不可否认的目的。 (3) 收方收到的电子文件在传输中没有被篡改,保持了数据的完整性。 电子签名法中规定:“安全的电子签名具有与手写签名或者盖章同等的效力”。,2020/7/21,计算机网络安全,22,4.2 鉴别技术与方法,4.2.1 鉴别的

14、概念 鉴别是对网络中的主体进行验证的过程,通常有三种方法验证主体身份。一是只有该主体了解的秘密,如口令、密钥;二是主体携带的物品,如智能卡和令牌卡;三是只有该主体具有的独一无二的特征或能力,如指纹、声音、视网膜或签字等。,2020/7/21,计算机网络安全,23,4.2.2 数据完整性鉴别,目前对于动态传输的信息,许多协议确保信息完整性的方法是收错重传、丢弃后续包的办法,但黑客的攻击可以改变信息包内部的内容,所以应采取有效的措施来进行完整性控制。 (1) 报文鉴别:将报文名字段(或域)使用一定的操作组成一个约束值,称为该报文的完整性检测向量ICV。然后将它与数据封装在一起进行加密,传输过程中由

15、于侵入者不能对报文解密,所以也就不能同时修改数据并计算新的ICV,这样,收方收到数据后解密并计算ICV,若与明文中的ICV不同,则认为此报文无效。,2020/7/21,计算机网络安全,24,4.2.2 数据完整性鉴别,(2) 校验和:计算出该文件的校验和值并与上次计算出的值比较。若相等,则说明文件没有改变;若不等,则说明文件可能被未察觉的行为改变了。 (3) 加密校验和:将文件分成小块,对每一块计算CRC校验值,然后再将这些CRC值加起来作为校验和。这种机制运算量大,并且昂贵,只适用于那些完整性要求极高的情况。 (4) 消息完整性编码MIC(Message Integrity Code):使用

16、简单单向散列函数计算消息的摘要,连同信息发送给收方,收方重新计算摘要,并进行比较验证信息在传输过程中的完整性。,2020/7/21,计算机网络安全,25,4.3 数 字 凭 证,4.3.1 CA认证与数字凭证 什么是CA和CA认证?什么是SSL?何为数字凭证?数字证书能解决什么问题?数字证书的原理是什么?数字证书可以用在什么地方?什么是根证书?什么是服务器证书?什么是客户证书?数字证书如何正确使用?数字证书由谁来颁发,如何颁发?用户如何获得自己的数字证书?目前哪些应用程序支持数字证书?数字证书下载失败怎么办?数字证书不小心丢失怎么办?数字证书到期怎么办?,2020/7/21,计算机网络安全,26,4.3.1 CA认证与数字凭证,1CA (Certification Authority) CA 是认证机构的国际通称,它是对数字证书的申请者发放、管理、取消数字证书的机构。CA的作用是检查证书持有者身份的合法性,并签发证书,以防证书被伪造或篡改。 认证机构相当于一个权威

展开阅读全文
相关资源
相关搜索

当前位置:首页 > 办公文档 > PPT模板库 > PPT素材/模板

电脑版 |金锄头文库版权所有
经营许可证:蜀ICP备13022795号 | 川公网安备 51140202000112号