信息认证技术课件.ppt

第,5,章,信息认证技术,案例,中国首例电子邮件案例,1996,年,7,月,9,日，北京市海淀区法院审理国内第一起电子邮件侵,权案。,此案的原、被告均系北大心理学系,93,级女研究生。,4,月,9,日，,原告薛燕戈收到美国密执安大学教育学院通过互联网发给她的电,子邮件。内容是该学院将给她提供,1.8,万美元金额奖学金的就学机,会，她非常高兴。因为这是唯一一所答应给她奖学金美国名牌大,学。此后，她久等正式通知，但杳无音训，蹊跷之中委托在美国,的朋友去密执安大学查询。,4,月,27,日朋友告知，密执安大学收到一,封北京时间,4,月,12,日,10,时,16,分发出的署名薛燕戈的电子邮件，表示,拒绝该校的邀请。因此密执安大学以将原准备给薛的奖学金转给,他人。,案例,中国首例电子邮件案例,法庭上，薛燕戈说,，密执安大学发来的电子邮件，是她和被,告张男一起去北大心理学认知心理学实验室看到的，并且存放在张,男的电子信箱里。薛燕戈认为，是张男在,4,月,12,日,10,时,16,分用薛的,名义给密执安大学发了一封邮件，谎称薛已接受其他学校的邀请，,故不能去该校学习。薛从北大计算中心取得,4,月,12,日的电子邮件记,录，与美国取证回来的材料完全吻合。因此，薛提出诉讼请求：被,告承认并公开道歉，由被告承担原告的调查取证以及和美国学校交,涉的费用、医疗费和营养费用、精神损失补偿等人民币,1.5,万元。,张男在法庭上称，事实上她从未以薛的名义给密执安大学发过电子,邮件，对此事没有丝毫责任。,案例,中国首例电子邮件案例,此案在开庭审理后，尽管到底谁借原告之名向密执安大学发出,拒绝接受入学邀请的电子邮件，使原告丧失了一次出国深造的机会,，并没有得出确切结论。但是在休庭之后，被告终于向原告承认，,该电子邮件是她所为，并愿意就此向原告道歉并赔偿因其侵权行为,给原告造成的精神及财产损失。经过法院调解，原、被告双方当事,人自愿达成协议：被告以书面形式向原告赔礼道歉，并赔偿原告精,神损害、补偿经济损失共计,1.2,万元。,思考：本案可否不发生？,如果邮件的发送附加了可防伪和可追踪的数字签名，也许本案,就不会发生了。,4,第,5,章,信息认证技术,?,?,5.1 Hash,函数和消息完整性,5.2,数字签名技术,?,?,5.3,身份识别技术,5.4,公钥基础设施,认证的目的,?,一是验证,消息的完整性,，验证数据在传输和存储过,程中是否被篡改、重放或延迟等。,?,二是验证信息的,发送者是真的,，而不是冒充的，即,实体认证，包括信源、信宿的认证和识别。,认证的方式,信息认证包括,对用户身份的认证,和,对消息的认证,。,验证一个人的身份主要通过三种方式：,?,一是根据你所,知道的信息,来证明你的身份,（,what,you,know,），如用户名、密码、验证码；,二是根据你所,拥有的东西,来证明你的身份,(what,you,have),，如智能卡,；,三是直接根据你,独一无二的身体特征,来证明你的身,份,(who,you,are),，如生物特征,。,?,?,对消息的认证主要通过,判断消息的完整性,和,数字签名,的方式。,认证的方式,认证是防止对系统进行主动攻击的重要技术手段。,为了保证信息的可认证性，抵抗主动攻击，,一个安全,的认证体制应满足以下要求：,(1),消息的接收者能够检验和证实消息的合法性、真实,性和完整性。,(2),消息的发送者对发送的信息不能抵赖，有时也要求,消息的接收者不能否认所收到的消息。,(3),除合法消自、发送者外，其他人不能伪造合法的消,息。,5.1 Hash,函数和消息完整性,?,?,5.1.1 Hash,函数,5.1.2,消息认证码,Hash,函数,Hash,函数主要是用来提供数据完整性校验。,什么是数据完整性？,数据完整性是指数据从发送方产生后，经过传输或存储,以后，没有被以未授权的方式修改的性质。,Hash,函数,?,Hash,函数也称为散列函数，是一个,将任意长度的消,息序列映射为较短的、固定长度的一个值的函数,。,?,可用来构造,数据的指纹（即函数值）,，也可以通过数,据的“指纹”信息来检测数据完整性。,?,Hash,函数值通常也称为消息摘要,，一般要求消息摘,要是相当短的二元序列，常用的消息摘要是,160,位。,完整性检验一般方法,?,消息完整性检验的一般机制：,消息认证码,?,在消息传递过程中，需要应用,消息鉴别技术,来防止攻,击者的主动攻击。,消息鉴别过程不仅能够用来鉴别接收方收到的消息的,真实性和完整性，鉴别消息的顺序和时间性，而且,能,?,够与数字签名技术相结合,，,来防止通信双方中的某一,方对所传输消息的否认和抵赖,。,消息认证码,?,消息认证码（,MAC,，,Messages Authentication Codes,），,是与密钥相关的单向,Hash,函数，也称为消息鉴别码，,是实现消息鉴别的基础。,5.2,数字签名技术,示例：,Alice,和,Bob,进行通信，并使用消息认证码提供数,据完整性保护,?,情况一：,Alice,向,Bob,发送消息并附加了用双方共享密,钥生成的消息认证码，但随后,Alice,否认曾经发送了这,条消息；,情况二：,Bob,有能力伪造一个消息及认证码并声称此消,息来自,Alice,。,?,5.2,数字签名技术,分析：,?,如果通信的过程没有第三方参与的话，这样的局面是难以,仲裁的。,因此，安全的通信仅有消息完整性认证是不够的，还需,要有能够防止通信双方相互作弊的安全机制。,?,数字签名,5.2,数字签名技术,?,数字签名在信息安全，包括,身份认证,、,数据完整性,、,不可否认性,以及,匿名性,等方面有重要应用，对网络通,信的安全及各种用途的电子交易系统的成功实现具有,重要作用。,?,数字签名是实现认证的重要工具。,5.2,数字签名技术,概念：,?,数字签名是对以数字形式存储的消息进行某种处理，产,生一种类似于传统手书签名功效的信息处理过程。,?,它通常将某个算法作用于需要签名的消息，生成,一种带,有操作者身份信息的编码,。,5.2,数字签名技术,至少满足的三个基本要求：,?,?,签名者任何时候都无法否认自己曾经签发的数字签名；,收信者能够验证和确认收到的数字签名，但任何人都,无法伪造别人的数字签名；,?,当各方对数字签名的真伪产生争议时，通过仲裁机构,（可信的第三方）进行裁决。,5.2,数字签名技术,数字签名与手写签名的差异,?,手写签名与被签文件物,理上是一个整体，不可,分离；,?,数字签名与被签名消息是,可以相互分离的比特串；,?,?,手书签名通过物理比对,来判断真伪，需要一定,的技艺甚至需要专门人,员，机构来执行；,手书签名会因人而异，,复制品易于原件分开。,数字签名通过一个公开的,算法来验证签名的真伪；,数字签名的拷贝与其原件,完全相同的二进制比特串,，无法区分，需防止签名,重复使用。,?,?,5.2,数字签名技术,?,签名者必须,向验证者提供足够多的非保密信息,，以便,验证者能够确认签名者的数字签名；,签名者,不能泄露任何用于产生数字签名的机密信息,，,以防止他人伪造他的数字签名。,因此，签名算法必须能够提供签名者用于签名的机密信息与验证者,?,用于验证签名的公开信息。,数字签名体制,组成部分：,?,签名算法,用于对消息产生数字签名，通常受一个签,名密钥的控制。签名算法或者签名密钥是,保密的，由签名者掌握。,?,验证算法,用于对消息的数字签名进行验证，通常受,一个验证密钥的控制，验证算法和验证密,钥应该公开。,功能特性,?,?,?,?,?,依赖性,独特性,可验证性,不可伪造性,可用性,一个数字签名与被签消息是紧密相关，不可分割的，,离开被签消息，签名不再具有任何效用。,数字签名必须是根据签名者拥有的独特消息来产生,的，包含了能够代表签名者特有身份的关键信息。,通过验证算法能够准切地验证一个数字签名的真,伪。,伪造一个签名者的数字签名不仅在计算上不可行，,而且希望通过重用或者拼接的方法伪造签名也是行,不通的。,数字签名的生成，验证和识别的处理过程相对简,单，能够在普通的设备上快速完成，甚至可以在,线处理，签名的结果可以存储和备份。,安全特性,?,单向性,?,无碰撞性,无关性,对于给定的数字签名算法，签名者使用自己的签名,密钥,sk,对消息,m,进行数字签名是计算上容易的，但,给定一个消息,m,和它的一个数字签名,s,，希望推导出,签名者的签名密钥,sk,是计算上不可行的。,对于两个不同消息，在相同的签名密钥下的数字签名,相等的概率是可以忽略的。,对于两个不同的消息，从某个签名者对其中一个,消息的签名推导出对另一个消息的签名是不可能,的。,?,优点：,从根本上消除了成功伪造数字签名的可能性。,基于公钥密码的数字签名体制,数字签名的实现方法,数字签名体制分类,名称,具体实现,优点,缺点,它的有效性严,发送者先对要签名的消息进行,直接数字签,思想简单可行，,格依赖于签名,Hash,处理，再用私钥对得到,名体制,且易于实现。,者私有密钥的,的,Hash,码进行加密处理。,安全性。,发送方先对消息执行数字签名,操作，再,将数字签名和被签消,息一起发送给仲裁者,，仲裁者,可仲裁的数,对其进行验证，通过验证的签,字签名体制,名给签发一个证据证明它的真,实性，最后消息、数字签名以,及签名真实性证据一起发给接,收者。,更复杂，仲裁,者有可能成为,系统性能的瓶,颈，仲裁者必,须是公正可信,的中立者。,签名者没有,作弊的机会，,数字签名不可,能被伪造。,基于公钥密码的加密和签名体制,注意：先签名，后加密的顺序不能颠倒,基于公钥密码的加密和签名体制,【实例：合同进行数字签名】,?,?,?,发送方,Alice,发送内容：合同,m+,合同的数字签名,数字签名是如何得到的？（双重加密）,注意：,Alice,持有签名算法私钥,sk1,和加密公钥,pk2,，而接,收方,Bob,持有解密私钥,sk2,和验证算法公钥,pk1,?,正确的做法：,Alice,先签名得到,合同的签名,E,sk1,(m),，然后,对签名用,Bob,的公钥,pk2,加密得到,E,pk2,(E,sk1,(m),之后,Alice,将合同,m,和加密的数字签名,E,pk2,(E,sk1,(m),一起,发送出去。,?,基于公钥密码的加密和签名体制,【实例：合同进行数字签名】,?,?,Bob,接收到,m,和,E,pk2,(E,sk1,(m),怎么处理呢？,首先用自己的私钥,sk2,解密得到数字签名,E,sk1,(m),，然后,用验证算法的公钥,pk1,验证数字签名（就是解密），,如,果能用,pk1,获得合同,m,，说明,pk1,能够和,sk1,匹配上，,Alice,是自己预期的发送方,，签名秘钥,sk1,签名时是引入,了,Alice,个人特征的，因而也就能够确认发送方是,Alice,了。,基于公钥密码的加密和签名体制,【实例：合同进行数字签名】,?,?,如果先加密再签名会发生什么呢？,注意：,Alice,持有签名算法私钥,sk1,和加密公钥,pk2,，而接,收方,Bob,持有解密私钥,sk2,和验证算法公钥,pk1,?,做法：,Alice,先用,Bob,的公钥,pk2,对合同加密得到,E,pk2,(m),，,然后进行签名得到签名,E,sk1,(E,pk2,(m),之后,Alice,将合同,m,和,E,sk1,(E,pk2,(m),一起发送出去。,?,基于公钥密码的加密和签名体制,【实例：合同进行数字签名】,?,假设第三方,Oscar,也获得了签名的验证算法公钥,pk1,，所以,他也可以,对,Alice,发送的信息,E,sk1,(E,pk2,(m),进行验证（解密）,，从而得到,E,pk2,(m),，他没有,sk2,，所以不能解密该信息。,?,但是，他可以用自己的签名私钥,sk3,进行签名得到,E,sk3,(E,pk2,(m),，之,后再发送给,Bob,Bob,接收到,E,sk3,(E,pk2,(m),之后，因为他可以得到验证秘钥,pk3,（这是,?,公开的），所以可以先进行验证，因为,sk3,签名的时候含有,Oscar,的,个人特征，所以,Bob,就会以为这是,Oscar,发送的信息，并且他用自己,的私钥,sk2,也可以解密出合同,m,，他就会以为这个合同,m,是,Oscar,发,给他的。接下来关于合同的一切内容就会和,Oscar,探讨了，很可能,泄露合同内容，比如,Alice,的标的价格。,认证技术的应用讨论,请你利用认证技术设计两套系统，一套用,于实现商品的真伪查询，另一套用于防止,电脑彩票伪造问题。,5.3,身份识别技术,?,身份认证,是证实用户的真实身份与其所声称的身份是否,相符的验证过程。,身份认证技术：,?,用户名,&,密码方式：,数据库通常不会直接存放用户的,口令，可以存放口令的,hash,值或是加密值,?,智能卡认证：,内置集成电路的芯片，如门禁卡,?,动态口令,：一次一密，采用动态令牌，如手机银行盾,?,USB Key,认证：,软硬件结合、一次一密的强双因子认,证模式，如,U,盾,?,生物特征认证,?,生物特征认证技术,需满足的条件：,?,?,?,普遍性，每个人都有；,唯一性，任何两个人都不一样；,稳定性，至少在一段时间内不会改变；,?,可定量采集。,用于身份认证的生物特征,?,?,?,?,?,?,?,指纹,视网膜,虹膜图样,脸型,DNA,手写签名,语音,近年来基于生物特征的身份识别技术被广泛应用，相应的,身份特征伪造技术也随之发展，对其安全性提出来新的挑,战。,安全的身份识别协议要求,一个安全的身份识别协议至少应满足以,下两个条件,：,?,?,识别者,A,能向验证者,B,证明他的确是,A,。,在识别者,A,向验证者,B,证明他的身份后，验证者,B,没有,获得任何有用的信息，,B,不能模仿,A,向第三方证明他是,A,。,目前已经设计出了许多满足以上条件的识别协议，均是,询问,-,应答式协议,，基本过程：验证者提出问题（通常是,随机选择一些随机数，也称为口令），由识别者答复，,以此验证其真实性。,5.4,公钥基础设施,PKI,引入：,5.4,公钥基础设施,?,PKI,（,Public Key Infrastructure,）即公钥基础设施,，,是一种遵循既定标准的密钥管理平台，它能够为所有,网络应用,提供加密和数字签名等密码服务及所必需的,密钥和证书管理体系,。,简单来说，,PKI,就是利用公钥理论和技术建立的提供,安全服务的基础设施。,PKI,技术是信息安全技术的核心，也是电子商务的关,键和基础技术。,?,?,5.4,公钥基础设施,PKI,的优势：,?,?,?,?,?,支持可公开验证并无法仿冒的数字签名,采用公开秘钥密码技术，具备保护机密性,不需要在线查询和分发，可服务巨大用户群,提供了证书的撤销机制，不受具体应用限制,具有极强的互联能力,5.4,公钥基础设施,PKI,的组成：,5.4,公钥基础设施,数字证书由,CA,认证机构颁发,。认证中心所颁发的数字,证书均遵循,X.509 V3,标准。,证书撤销列表,?,原因：,密钥泄密、从属变更、证书终止使用以及,CA,本身私钥泄密，需要对原来签发的证书进行撤,销。,由,CA,周期性的发布一个,证书撤销列表,CRL,(Certificate Revocation List),，里面列出了所有未,到期却被撤销的证书，终端实体通过,LDAP,（,Lightweight Directory Acess Protocol,）的方,式下载查询,CRL,。,?,PKI,系统的功能,综上，,PKI,系统的功能主要包括：,?,?,?,?,?,用户注册,证书签发,证书管理,密钥管理,安全管理,