数字签名与身份认证最新课件

资源描述

《数字签名与身份认证最新课件》由会员分享，可在线阅读，更多相关《数字签名与身份认证最新课件（67页珍藏版）》请在金锄头文库上搜索。

1、第第9章章数字签名与身份认证数字签名与身份认证 1数字签名与身份认证最新数字签名数字签名数字签名（Digital Signature）是公开密钥体系加密技术发展的一个重要的成果。2数字签名与身份认证最新不可否认性的应用需求不可否认性的应用需求网络通信中，希望有效防止通信双方的欺骗和抵赖行为。简单的报文鉴别技术只能使通信免受来自第三方的攻击,无法防止通信双方之间的互相攻击。Y伪造一个不同的消息，但声称是从X收到的；X可以否认发过该消息，Y无法证明X确实发了该消息；原因：鉴别技术基于秘密共享。数字签名技术为此提供了一种解决方案。3数字签名与身份认证最新数字签名的功能数字签名的功能是对现实生活中笔

2、迹签名的功能模拟。必须能够用来证实签名的作者和签名的时间。对消息进行签名时，必须能够对消息的内容进行鉴别。签名应具有法律效力，必须能被第三方证实用以解决争端。必须包含对签名进行鉴别的功能。4数字签名与身份认证最新数字签名的设计目标数字签名的设计目标签名的比特模式是依赖于消息报文的，也就是说，数据签名是以消息报文作为输入计算出来的，签名能够对消息的内容进行鉴别；数据签名对发送者来说必须是惟一的，能够防止伪造和抵赖；产生数字签名的算法必须相对简单易于实现，且能够在存储介质上保存备份；对数字签名的识别、证实和鉴别也必须相对简单，易于实现；伪造数字签名在计算上是不可行的，无论攻击者采用何种方法（利用

3、数字签名伪造报文，或者对报文伪造数字签名）。5数字签名与身份认证最新数字签名的解决方案数字签名的解决方案可分为两类：直接数字签名方案；基于仲裁的数字签名方案。6数字签名与身份认证最新直接数字签名直接数字签名实现比较简单，在技术上仅涉及到通信的源点X和终点Y双方。终点Y需要了解源点X的公开密钥Kux。发送方A可以使用其私有密钥KRx对整个消息报文进行加密来生成数字签名。更好的方法是使用KRx对消息报文的散列码进行加密来形成数字签名。7数字签名与身份认证最新直接数字签名的安全性直接数字签名的安全性方案的安全性依赖于发送方X私有密钥的安全性。发送方可以声称自己的私有密钥丢失或被盗用，而否认其发送过

4、某个报文。改进：每个签名报文中包含一个时间戳。问题：X的私有密钥确实在时间T被窃取；攻击者窃取X的密钥后，则可能发送带有X的签名报文，附上一个等于T的时间戳，接受者无法判别。8数字签名与身份认证最新基于仲裁的数字签名基于仲裁的数字签名通过引入仲裁来解决直接签名方案中的问题。仲裁者必须是一个所有通信方都能充分信任的仲裁机构。基本工作方式（假定用户X和Y之间进行通信）：每个从X发往Y的签名报文首先被送给仲裁者A；A检验该报文及其签名的出处和内容，然后对报文注明日期，并附加上一个“仲裁证实”的标记发给Y。9数字签名与身份认证最新基于仲裁的数字签名基于仲裁的数字签名-对称密钥加密方式对称密钥加密方式发

5、送方X和仲裁A共享一个密钥Kax。数字签名由X的标识符IDx和报文的散列码H(M)构成，用密钥Kax进行加密。过程：(1)X A ：MEKax( IDxH(M) )。(2)A Y ：EKay( IDxMEKax( IDxH(M) )T )。 (3) Y存储报文存储报文M及签名。及签名。10数字签名与身份认证最新基于仲裁的数字签名基于仲裁的数字签名-对称密钥加密方式对称密钥加密方式争端解决方式Y A ：EKay( IDxMEKax( IDxH(M) ) )。仲裁A可用Kay恢复出IDx、M及签名，然后再用Kax对签名解密并验证其散列码。特点：Y不能直接验证X的签名。双方都需要高度相信AY相信A已

6、对消息认证，X不能否认其签名；X信任A没有暴露Kxa，无人可伪造DS；双方都信任A处理争议是公正。问题：报文M明文传送给，有可能被窃听。11数字签名与身份认证最新基于仲裁的数字签名基于仲裁的数字签名-对称密钥加密方式对称密钥加密方式明文加密的方案(1)X A ：IDxEKxy (M)EKax( IDxH (EKxy(M) )。(2)A Y ：EKay( IDxEKxy (M)EKax( IDxH (EKxy(M)T )。特征：X与Y之间共享密钥Kxy 。DS的构成：IDx和消息密文的散列码用Kxa 加密。DS的验证：A解密签名，用散列码验证消息。A只能验证消息的密文，而不能读取其内容。A将来自

7、X的所有信息加上时间戳并用Kay加密后发送给Y。问题：A和发送方X联手可以否认签名的信息。A和接收方Y联手可以伪造发送方X的签名。12数字签名与身份认证最新基于仲裁的数字签名基于仲裁的数字签名公开密钥加密方式公开密钥加密方式特点：仲裁者看不见消息的内容。过程：X对报文M进行两次加密。经过双重加密后，报文M只有Y能够阅读，A不能读取 XA： IDx | EKRx IDx | EKUy EKRx(M) A能进行外层的解密，从而证实报文确实是来自X的因为只有X拥有KRx 。验证后A向Y发送用KUy加密的报文，其中包括时间戳T AY： EKRa IDx | EKUy EKRx(M) | T优点：通信各

8、方之间无须共享任何信息，从而避免了联手作弊；只要KRa安全，则不会出现伪造A发送的消息；消息的内容是保密的，包括对A在内。13数字签名与身份认证最新认证（认证（ Certification）证实通信中某一方的身份。两个基本的方式：相互鉴别(mutualCertification)；单向鉴别(one-wayCertification)。14数字签名与身份认证最新相互鉴别目的：用于通信各方之间的相互进行身份认证，同时交换会话密钥。需要解决的核心问题：密钥交换的机密性和时效性。机密性防止会话密钥被篡改或和泄露；用户身份信息和会话密钥都必须以密文形式交换；前提：通信各方与事先保存一个密钥（共享或公开密

9、钥）。时效性为了防止消息的重放攻击。15数字签名与身份认证最新报文重放（报文重放（replay）攻击攻击攻击过程：窃听。复制或部分复制一个报文。在以后的某个时间重放可以拦截原信息，用重放消息取代；可以在一个合法有效的时间窗内重放一个带时间戳的消息。后果扰乱接收者正常的工作。窃取会话密钥，假扮成一个通信方欺骗其他人。16数字签名与身份认证最新重放攻击问题的解决方式报文序号方式在认证交换中对消息报文编排序号，消息序号合法时才接受。问题：通信各方必须保持序号同步。时间戳方式在报文中附加发送的时间戳；接收时只有报文时间戳与本地时间足够接近时，才认为是一个合法的新报文。问题：通信各方的时钟同步比较困难

11、和一个与时间相关的现时标识符N1。2.A就可安全地从KDC获得一个新的会话密钥Ks。3.A将用Kb加密的会话密钥Ks发送给B，这个会话密钥只有B能够通过解密获得。4.B向A发送用会话密钥加密的现时值N2，向A证实B已经正确获得了会话密钥Ks5.A使用新建立的会话密钥Ks对f(N2)加密后返回给B19数字签名与身份认证最新基于对称密钥加密的相互鉴别基于对称密钥加密的相互鉴别问题：过期的会话密钥X可冒充A，使用过期密钥，并重放第3步的报文，就可以欺骗B。改进：1.增加时间戳机制：需要通信各方周期性地与KDC通信进行时钟校准。2.通信时使用现时握手。3.1，2结合。20数字签名与身份认证最新基于对称

12、密钥加密的相互鉴别基于对称密钥加密的相互鉴别改进后的协议过程（增加时间戳）：(1)AKDC：IDA|IDB(2)KDCA：EKaKs|IDB|T|EKb(Ks|IDA|T)(3)AB：EKbKs|IDA|T(4)BA：EKsN1(5)AB：EKsf (N1)T是时间戳，需满足：其中，C本地时间，t1时钟偏差，t2网络时延。21数字签名与身份认证最新基于对称密钥加密的相互鉴别基于对称密钥加密的相互鉴别改进后的协议过程（增加时间戳和现时握手）(1)AB：IDANa(2)BKDC：IDBNbEKb(IDANaTb)(3)KDCA：EKa(IDBNaKsTb)EKb(IDAKsTb)Nb(4)AB

13、：EKb(IDAKsTb)EKs(Nb)其中，称EKb(IDANaTb)为访问B的“票据”（ticket）。22数字签名与身份认证最新基于公开密钥加密的相互鉴别基于公开密钥加密的相互鉴别过程(1) AAS：IDAIDB(2) ASA：CACB(3) AB：CACBEKUb(EKRa(KsT)其中：A的公钥和私钥分别为KUa和Kra；B的公钥和私钥分别为KUb和KRb；AS（鉴别中心）的公钥和私钥分别为KUas和KRas；CA=EKRas(IDAKUaT)，A的公开密钥证书；CB=EKRas(IDBKUbT)，B的公开密钥证书。23数字签名与身份认证最新基于公开密钥加密的相互鉴别基于公开密钥

14、加密的相互鉴别改进（使用现时值N代替时间戳）(1)AKDC：IDAIDB(2)KDCA：EKRk(IDBKUb)(3)AB：EKUb(NaIDA)(4)BKDC：IDBIDAEKUk(Na)(5)KDCB：EKRk(IDAKUa)EKUb(EKRk(NaKsIDB)(6)BA：EKUa(EKRk(NaKsIDB)Nb)(7)AB：EKs(Nb)24数字签名与身份认证最新单向鉴别单向鉴别 One-WayAuthentication。主要用于电子邮件认证等应用。特点：发方和收方无需同时在线。鉴别时收发方不能在线交互。25数字签名与身份认证最新基于对称密钥加密的单向鉴别基于对称密钥加密的单向鉴别

15、以KDC策略为基础。具体过程：(1)AKDC：IDAIDBN1(2)KDCA：EKa(KsIDBN1EKb(KsIDA)(3)AB ：EKb(KsIDA)EKs(M)其中，Ka、Kb分别为A和B与KDC间的共享主密钥，N1为一个现时值。26数字签名与身份认证最新基于公开密钥加密的单向鉴别基于公开密钥加密的单向鉴别保密性为主：AB：EKUb(Ks)EKs(M)。签名和鉴别：AB：MEKRa(H(M)。保密和鉴别：AB：EKUb(MEKRa(H(M)。数字证书：AB：MEKRa(H(M)EKRas(TIDAKUa)。27数字签名与身份认证最新数字签名标准（数字签名标准（DSS）美国国家标准技术研

16、究所（NIST）公布的美国联邦信息处理标准FIPSPUB186。DSS最早发表于1991年，并于1993年和1996年进行了修改。DSS基于安全散列算法（SHA）并设计了一种新的数字签名技术，即DSA（数字签名算法）。28数字签名与身份认证最新数字签名算法（数字签名算法（ DSA ）设计基础基于离散对数的计算。三个p、q、g 作为全局公开的密钥分量：p是一个素数，其长度在512比特到1024比特之间，可以对p进行更精确的描述：p是素数，且满足2L-1p 2L（其中512L 1024，且L是64的倍数）；q是一个长度在160为素数，且q是p-1的一个素因子，即2159 p 2160，且(p-1)

17、modq=0；g定义为g = h(p-1)/q mod p ，其中h是一个整数，且满足1h (p-1)，故g = h(p-1)/q mod p 1。用户的私有密钥x必须是一个1(p-l)之间的随机数或伪随机数（即1xp）。公开密钥y利用私有密钥计算出来的：y=gxmodp。29数字签名与身份认证最新 DSS的数字签名方案的数字签名方案 30数字签名与身份认证最新DSS的数字签名方案的数字签名方案同时采用散列函数H()和签名函数Sig()。签名函数的输入是散列函数输出的散列码及一个用于生成签名的随机数k。签名函数还需要使用发送方的私有密钥（用KRa表示）和由参数集构成了组成一个全局公开密钥（KU

18、G）。签名函数输出的最终结果（即数字签名）由两个分量组成，记为s和r。在接收端，验证函数的输入包括了报文的散列码、数字签名、全局公开密钥KUG以及发送方公开密钥KUa。31数字签名与身份认证最新签名函数签名函数Sig()输入为：公开的密钥分量（p，q，g）；用户私有密钥x；报文的散列码H(M)，报文的散列码采用SHA-1算法计算；一个额外的整数密数k，k是随机或伪随机整数，且对每个签名是惟一，也就是说对每一个报文需要选择不同的k。32数字签名与身份认证最新验证函数（验证函数（Ver） 33数字签名与身份认证最新DSS的签名函数和验证函数的签名函数和验证函数 34数字签名与身份认证最新身份认证技

19、术及协议身份认证技术及协议数字签名和鉴别技术的一个最主要的应用领域就是身份认证。35数字签名与身份认证最新纯认证系统模型纯认证系统模型认证的基本思想是通过验证称谓者的一个或多个参数的真实性和有效性，以验证其是否名副其实。身份认证是系统对网络主体进行验证的过程，用户必须向证明他是谁。36数字签名与身份认证最新身份认证技术和数字签名的区别身份认证技术和数字签名的区别两者都是确保数据真实性的安全措施。认证一般是基于收发双方共享的保密数据，以证实被鉴别对象的真实性；而用于验证签名的数据是公开的。认证允许收发双方互相验证其真实性，数字签名则允许第三者验证。对于数字签名来说，发送方不能抵赖、接收方不能伪

20、造，并且可由仲裁进行调解，而认证却不一定具备这些特点。认证技术的实现可能需要使用数字签名技术。37数字签名与身份认证最新身份认证系统的特征身份认证系统的特征验证者正确识别合法客户的概率极大。攻击者伪装示证者骗取验证者信任的成功率极小化。通过重放认证信息进行欺骗和伪装的成功率极小。计算有效性，实现身份认证的算法计算量足够小。通信有效性，实现身份认证所需的通信量足够小。秘密参数能够安全存储。第三方的可信赖性。可证明安全性。38数字签名与身份认证最新基本的身份认证方法基本的身份认证方法主体特征认证视网膜扫描、声音验证、指纹识别器。口令机制口令是约定的代码，假设只有用户和系统知道。智能卡访问不但需

21、要口令，也需要使用物理智能卡。一次性口令用户每次使用不同的口令，需要口令发生器设备。PAP协议（PasswordAuthenticationProtocol）用于PPP（点对点）协议的身份认证协议，明文口令传输。CHAP协议（ChallengeHandshakeAuthenticationProtocol）不在网络上传送口令信息，比PAP具有更强的安全性。39数字签名与身份认证最新分布式环境中的身份认证分布式环境中的身份认证分布式网络环境由大量的客户工作站和分布在网络中的公共服务器组成；服务器向网络用户提供各种网络应用的服务，是关键；用户需要访问分布在网络不同位置上的服务。服务器的安全服务器需

22、要通过授权来限制用户对资源的访问；授权和访问限制建立用户身份认证基础上的。网络系统的安全性可采用不同身份认证策略实现：基于客户工作站的用户身份认证；基于客户系统的身份认证；基于服务的用户身分认证。40数字签名与身份认证最新身份认证协议Kerberos是美国麻省理工学院（MIT）开发的一种身份鉴别服务。“Kerberos”的本意是希腊神话中守护地狱之门的守护者。Kerberos提供了一个集中式的认证服务器结构，认证服务器的功能是实现用户与其访问的服务器间的相互鉴别。Kerberos建立的是一个实现身份认证的框架结构。其实现采用的是对称密钥加密技术，而未采用公开密钥加密。公开发布的Kerberos

23、版本包括版本4和版本5。41数字签名与身份认证最新Kerberos 的设计目标的设计目标安全性能够有效防止攻击者假扮成另一个合法的授权用户。可靠性分布式服务器体系结构，提供相互备份。对用户透明性可伸缩能够支持大数量的客户和服务器。42数字签名与身份认证最新Kerberos的设计思路（的设计思路（1）基本思路：使用一个（或一组）独立的认证服务器（ASAuthenticationServer），来为网络中的客户提供身份认证服务；认证服务器(AS)，用户口令由AS保存在数据库中；AS与每个服务器共享一个惟一保密密钥（已被安全分发）。会话过程：(1)CAS:IDC|PC|IDV(2)ASC:Tic

24、ket(3)CV:IDC|TicketTicket=EKVIDC|ADC|IDV43数字签名与身份认证最新Kerberos的设计思路的设计思路（2）问题：用户希望输入口令的次数最少。口令以明文传送会被窃听。解决办法票据重用（ticketreusable）。引入票据许可服务器（TGS-ticket-grantingserver）用于向用户分发服务器的访问票据；认证服务器AS并不直接向客户发放访问应用服务器的票据，而是由TGS服务器来向客户发放。44数字签名与身份认证最新Kerberos中的票据中的票据两种票据服务许可票据（Servicegrantingticket）是客户时需要提供的票据；用T

25、icketV表示访问应用服务器V的票据。TicketV定义为EKvIDCADCIDVTS2LT2。票据许可票据（Ticketgrantingticket）客户访问TGS服务器需要提供的票据，目的是为了申请某一个应用服务器的“服务许可票据”；票据许可票据由AS发放；用Tickettgs表示访问TGS服务器的票据；Tickettgs在用户登录时向AS申请一次，可多次重复使用；Tickettgs定义为EKtgsIDCADCIDtgsTS1LT1。45数字签名与身份认证最新Kerberos V4认证过程示意图认证过程示意图 46数字签名与身份认证最新Kerberos V4认证过程认证过程(1)第一阶段

26、，认证服务器的交互，用于获取票据许可票据：(1)CAS：IDCIDtgsTS1(2)ASC：EKcKC,tgsIDtgsTS2LT2Tickettgs其中：Tickettgs=EKtgsKC,tgsIDCADCIDtgsTS2LT247数字签名与身份认证最新Kerberos V4认证过程认证过程(2)第二阶段，票据许可服务器的交互，用于获取服务许可票据：(3)CTGS：IDVTickettgsAUC(4)TGSC：EKc,tgsKC,VIDVTS4TicketV其中：Tickettgs=EKtgsKC,tgsIDCADCIDtgsTS2LT2TicketV=EKvKC,VIDCADCIDVTS

27、4LT4AUC=EKc,tgsIDCADCTS348数字签名与身份认证最新Kerberos V4认证过程认证过程(3)第三阶段，客户与应用服务器的交互，用于获得服务：(5)CV：TicketVAUC(6)VC：EKc,vTS5+1其中：TicketV=EKvKC,VIDCADCIDVTS4LT4AUC=EKc,vIDCADCTS549数字签名与身份认证最新Kerberos V4中各关键元素的说明中各关键元素的说明(1) 50数字签名与身份认证最新Kerberos V4中各关键元素的说明中各关键元素的说明(2)51数字签名与身份认证最新Kerberos V4中各关键元素的说明中各关键元素的说明(

28、3)52数字签名与身份认证最新Kerberos领域(realm)构成：一个完整的Kerberos环境包括一个Kerberos服务器，一组工作站和一组应用服务器。Kerberos服务器数据库中拥有所有参与用户的UID和口令散列表。Kerberos服务器必须与每一个服务器之间共享一个保密密钥。所有用户均在Kerberos服务器上注册。所有服务器均在Kerberos服务器上注册。领域的划分是根据网络的管理边界来划定的。53数字签名与身份认证最新Kerberos领域间的互通跨领域的服务访问一个用户可能需要访问另一个Kerberos领域中应用服务器；一个应用服务器也可以向其他领域中的客户提供网络服务。领

29、域间互通的前提支持不同领域之间进行用户身份鉴别的机制；互通领域中的Kerberos服务器之间必须共享一个密钥；同时两个Kerberos服务器也必须进行相互注册。54数字签名与身份认证最新远程服务访问的认证过程远程服务访问的认证过程 55数字签名与身份认证最新Kerberosv4的缺陷依赖性加密系统的依赖性（DES）、对IP协议的依赖性和对时间依赖性。字节顺序票据有效期有效期最小为5分钟，最大约为21小时,往往不能满足要求。认证转发能力不允许签发给一个用户的鉴别证书转发给其他工作站或其他客户使用。领域间的鉴别管理起来困难。加密操作缺陷非标准形式的DES加密（传播密码分组链接PCBC）方式，易受

30、攻击。会话密钥存在着攻击者重放会话报文进行攻击的可能。口令攻击未对口令提供额外的保护，攻击者有机会进行口令攻击。56数字签名与身份认证最新Kerberos v5 的改进的改进加密系统支持使用任何加密技术。通信协议IP协议外，还提供了对其他协议的支持。报文字节顺序采用抽象语法表示（ASN.1）和基本编码规则（BER）来进行规范。票据的有效期允许任意大小的有效期，有效期定义为一个开始时间和结束时间。鉴别转发能力更有效的方法来解决领域间的认证问题口令攻击提供了一种预鉴别（preauthentication）机制，使口令攻击更加困难。57数字签名与身份认证最新X.509认证服务认证服务由ITU-T制定

31、的。X.509是ITU-T的X.500（目录服务）系列建议中的一部分。X.500是一套有关目录服务的建议，而X.509定义了目录服务中向用户提供认证服务的框架。X.509协议的实现基于公开密钥加密算法和数字签名技术。58数字签名与身份认证最新X.509证书证书由可信证书权威机构（CA-CertficateAuthority）创建用户或CA将证书存放在目录服务器中；表示法：证书机构Y颁发给用户X的证书表示为YCA表示CA颁发给用户A的证书。CA用其私有密钥对证书进行了签名用户可用CA的公开密钥验证证书的有效性；任何拥有CA公开密钥的用户都可以从证书中提取被该证书认证的用户的公开密钥；除了CA外，

32、任何用户都无法伪造证书或篡改证书的内容；由于证书是不可伪造的，可将证书存放数据库（即目录服务）中，而无需进行特殊的保护。59数字签名与身份认证最新 X.509证书格式证书格式 60数字签名与身份认证最新用户证书的获取用户证书的获取通信双方A和B如何获得对方的证书小型网络中，共同信任同一个CA。通过访问公共目录服务获取对方的证书，或直接传递。大型网络，多个CA，层次化管理。CA之间交换公开密钥（即交换证书）。61数字签名与身份认证最新 X.509的分层结构的分层结构 62数字签名与身份认证最新证书的撤消证书的撤消撤销的情况：证书过期；在证书过期之前申请将其作废。例如，用户密钥被泄露，CA的密钥被泄露，或者用户不再使用某一个CA颁发的证书等。63数字签名与身份认证最新X.509的认证（1）单向认证64数字签名与身份认证最新X.509的认证（2）双向认证65数字签名与身份认证最新X.509的认证（3）三向认证66数字签名与身份认证最新X.509 V3的功能扩展的功能扩展密钥和策略信息这类扩展用于指示有关主体和颁发者的附加信息和与证书相关的策略。证书主体和颁发者的属性这类扩展支持可选主体名字或颁发者名字。证书路径约束这类扩展字段用于在签发给CA的证书中包含一定的约束。67数字签名与身份认证最新

展开阅读全文

数字签名与身份认证最新课件

最新文档