数字签名及不可抗抵赖性介绍

1、 用户不可抗抵赖机制用户不可抗抵赖机制 日日 期期：20201010年年1010月月 第第6 6章章 用户不可抵赖机制用户不可抵赖机制 田立勤田立勤复习复习v五大安全服五大安全服务务v有效的加密方法有效的加密方法v数据完整性数据完整性 第第6 6章章 用户不可抵赖机制用户不可抵赖机制 田立勤田立勤讨论课讨论课v大约在大约在11周有个讨论课，问题分组，代表发言（默认是组长，大家可周有个讨论课，问题分组，代表发言（默认是组长，大家可以报名发言，不发言的要至少提问一个问题），大家讨论以报名发言，不发言的要至少提问一个问题），大家讨论v（1 1）加密技术在网络安全中的作用的辩证关系）加密技术在网络安全

2、中的作用的辩证关系v（2 2）安全技术与安全管理在网络安全中的关系）安全技术与安全管理在网络安全中的关系v（3 3）网络安全与资金投入的关系）网络安全与资金投入的关系v（4 4）网络安全与网络性能的关系）网络安全与网络性能的关系v（5 5）网络不安全的内因与外因及其辩证关系）网络不安全的内因与外因及其辩证关系v（6 6）防火墙的利与弊）防火墙的利与弊v（7 7）网络安全与其他安全的关系和地位）网络安全与其他安全的关系和地位 第第6 6章章 用户不可抵赖机制用户不可抵赖机制 田立勤田立勤不可抵赖性的意义不可抵赖性的意义v数据完整性保数据完整性保证发证发送方和接收方的网送方和接收方的网络传络传送数

3、据送数据不被第三不被第三方方篡篡改和替改和替换换，但不能保，但不能保证证双方自身的欺双方自身的欺骗骗和抵和抵赖赖v在双方自身的欺在双方自身的欺骗骗中，双方的不可抵中，双方的不可抵赖赖性（又称不可否性（又称不可否认认性（性（Non-repudiation）是网）是网络络安全的一个重要安全特性安全的一个重要安全特性，特别在当前，特别在当前电电子商子商务应务应用用中更是中更是显显得格外重要。得格外重要。v例如例如张张大海向李小虎大海向李小虎发发送一个会送一个会议议通知，李小虎没有出席通知，李小虎没有出席会会议议，并以没有收到通知，并以没有收到通知为为由推卸由推卸责责任。任。 第第6 6章章 用户不可

4、抵赖机制用户不可抵赖机制 田立勤田立勤常见的抵赖行为常见的抵赖行为vA向向B发发了信息了信息M，但其不承，但其不承认认其曾其曾经发过经发过；vA向向B发发了信息了信息M0，但其却，但其却说发说发了了M1；vB收到了收到了A发发来的信息来的信息M，但却不承，但却不承认认收到了；收到了；vB收到了收到了A发发来的信息来的信息M0，但却，但却说说收到的是收到的是M1。 第第6 6章章 用户不可抵赖机制用户不可抵赖机制 田立勤田立勤用户不可抵赖性定义用户不可抵赖性定义v不可抵不可抵赖赖性旨在生成、收集、性旨在生成、收集、维护维护有关已声明的事件或有关已声明的事件或动动作的作的证证据据，并使，并使该证该

5、证据可得并且据可得并且确确认该证认该证据据，以此来解决，以此来解决关于此事件或关于此事件或动动作作发发生或未生或未发发生而生而引起的争引起的争议议。 第第6 6章章 用户不可抵赖机制用户不可抵赖机制 田立勤田立勤基本思路基本思路v抗抵抗抵赖赖性机制的性机制的实现实现可以通可以通过过数字数字签签名来保名来保证证。v它的基本思路是通它的基本思路是通过过用用户户自己自己独有的、惟一的独有的、惟一的特征（如私特征（如私钥钥）对对信息信息进进行行标记标记或者通或者通过过可信第三方可信第三方进进行公行公证处证处理来理来防止双方的抵防止双方的抵赖赖行行为为v例如：基于共享密例如：基于共享密钥钥的抗抵的抗抵赖

6、赖技技术术，由于没，由于没办办法区别是哪法区别是哪方的欺方的欺骗骗，对对于下列欺于下列欺骗骗行行为为没有没有办办法解决：法解决：接收方接收方B伪伪造一个不同的消息，但声称是从造一个不同的消息，但声称是从 发发送方送方A 收到的收到的 第第6 6章章 用户不可抵赖机制用户不可抵赖机制 田立勤田立勤基本思路基本思路v数字数字签签名主要使用非名主要使用非对对称密称密钥钥加密体制的私加密体制的私钥钥加密加密发发送的送的消息消息Mv把用私把用私钥钥加密要加密要发发送的消息送的消息过过程称程称为签为签名消息，加密后的名消息，加密后的信息称信息称为签为签名名v在使用数字在使用数字签签名后，如果今后名后，如果

7、今后发发生争生争议议，则则双方找个公双方找个公证证人，接收方人，接收方B可以拿出可以拿出签签名后的消息，用名后的消息，用发发送送发发A的公的公钥钥解解密从而密从而证证明明这这个消息是个消息是A发发来的，即不可抵来的，即不可抵赖赖(即即A无法否无法否认认自己自己发发了消息，因了消息，因为为消息是用他的私消息是用他的私钥钥加密的，只有他有加密的，只有他有这这个私个私钥钥) 第第6 6章章 用户不可抵赖机制用户不可抵赖机制 田立勤田立勤基本思路基本思路v在数字在数字签签名中，即使攻名中，即使攻击击者改者改变变消息，也没法达到任何目消息，也没法达到任何目的，因的，因为为攻攻击击者没有者没有A的私的私钥

8、钥，无法再次用，无法再次用A的私的私钥钥加密改加密改变变后的消息，保后的消息，保证证了数据的完整性，因此了数据的完整性，因此A既不能抵既不能抵赖赖没有没有发发送消息，也不能抵送消息，也不能抵赖发赖发送的消息不是送的消息不是M。v一个完整的抗抵一个完整的抗抵赖赖性机制包括两部分：一个是性机制包括两部分：一个是签签名部分，名部分，另一个是另一个是验证验证部分，部分，签签名部分的密名部分的密钥钥是秘密的，只有是秘密的，只有签签名名人掌握，人掌握，这这也是抗抵也是抗抵赖赖性的前提和假性的前提和假设设；验证验证部分的密部分的密钥钥应应当公开，以便于他人当公开，以便于他人进进行行验证验证。 第第6 6章章

9、 用户不可抵赖机制用户不可抵赖机制 田立勤田立勤用户不可抵赖性机制的评价标准用户不可抵赖性机制的评价标准v抗抵抗抵赖赖性机制的安全性性机制的安全性最重要的最重要的标标准就是是否能真正起到抗抵准就是是否能真正起到抗抵赖赖的效果，的效果，伪伪造抗抵造抗抵赖赖的的的的签签名在名在计计算复算复杂杂性意性意义义上是否具有不可行上是否具有不可行性性v抗抵抗抵赖赖性机制是否需要第三方参与性机制是否需要第三方参与抗抵抗抵赖赖的基本思路有两种，一种是凭借自身特有的特的基本思路有两种，一种是凭借自身特有的特性性进进行抗抵行抗抵赖赖，称，称为为直接数字直接数字签签名法抗抵名法抗抵赖赖，另一种是，另一种是借助可信的第

10、三方借助可信的第三方进进行公行公证证来防止抵来防止抵赖赖行行为为，称，称为为仲裁仲裁数字数字签签名抗抵名抗抵赖赖机制机制 第第6 6章章 用户不可抵赖机制用户不可抵赖机制 田立勤田立勤用户不可抵赖性机制的评价标准用户不可抵赖性机制的评价标准v抗抵抗抵赖赖性机制的信息有效率性机制的信息有效率v抗抵抗抵赖赖性机制是否具有双向抗抵性机制是否具有双向抗抵赖赖功能功能可抵可抵赖赖性有两个方面，一方面是性有两个方面，一方面是发发送信息方不可抵送信息方不可抵赖赖，另一方面是信息的接收方的不可抵，另一方面是信息的接收方的不可抵赖赖性。性。v抗抵抗抵赖赖性机制是否同性机制是否同时时具有保密，完整性具有保密，完整

11、性验证验证作用作用v抗抵抗抵赖赖性机制的性能性机制的性能发发送方送方计计算消息摘要，算消息摘要，进进行私行私钥签钥签名，接收方名，接收方进进行行验验证签证签名（解密）等。名（解密）等。 第第6 6章章 用户不可抵赖机制用户不可抵赖机制 田立勤田立勤数字签名定义数字签名定义vISO对对数字数字签签名是名是这样这样定定义义的：附加在数据的：附加在数据单单元上的一些元上的一些数据，或是数据，或是对对数据数据单单元所做的密元所做的密码变换码变换，这这种数据或种数据或变换变换允允许许数据数据单单元的接收者用以确元的接收者用以确认认数据数据单单元的元的来源来源和数据和数据单单元的元的完整性完整性，并保，并

12、保护护数据，防止被他人数据，防止被他人(如接收者如接收者)伪伪造。造。 第第6 6章章 用户不可抵赖机制用户不可抵赖机制 田立勤田立勤数字签名作用数字签名作用v用发送方的私钥加密消息用发送方的私钥加密消息有什么用有什么用?vA的公钥是公开的，谁都可以访问，任何人都可以用其解的公钥是公开的，谁都可以访问，任何人都可以用其解密消息，了解消息内容，因而密消息，了解消息内容，因而无法实现保密无法实现保密。那么它的作。那么它的作用是什么？它的作用是：用是什么？它的作用是： v（1 1）身份认证：）身份认证： 如果接收方如果接收方B收到用收到用A的私钥加密的消息，则可以用的私钥加密的消息，则可以用A的公钥

13、解密。如果解密成功，则的公钥解密。如果解密成功，则B可以肯定这个消息是可以肯定这个消息是A发来的。发来的。这是因为，如果这是因为，如果B能够用能够用A的公钥解密消息，则的公钥解密消息，则表明最初消息用表明最初消息用A的私钥加密而且只有的私钥加密而且只有A知道他的私钥知道他的私钥 。因此。因此发送方发送方A A用私钥加密消息即是他自己的数字签名。用私钥加密消息即是他自己的数字签名。 第第6 6章章 用户不可抵赖机制用户不可抵赖机制 田立勤田立勤数字签名作用数字签名作用v（2 2）防假冒：）防假冒： 别人别人不可能假冒不可能假冒A，假设有攻击者假设有攻击者C C假冒假冒A A发送消息，发送消息，由

14、于由于C C没有没有A A的私钥，因此不能用的私钥，因此不能用A的私钥加密消息，接的私钥加密消息，接收方也就不能用收方也就不能用A A的公钥解密。因此，不能假冒的公钥解密。因此，不能假冒A。v（3 3）防抵赖：）防抵赖：如果今后发生争议，则双方找个公证人，如果今后发生争议，则双方找个公证人，B可以拿出可以拿出加密消息，用加密消息，用A的公钥解密从而证明这个消息是的公钥解密从而证明这个消息是A发来的发来的，即不可抵赖，即不可抵赖(即即A无法否认自己发了消息，因为消息是无法否认自己发了消息，因为消息是用他的私钥加密的，只有他有这个私钥用他的私钥加密的，只有他有这个私钥)。 第第6 6章章 用户不可

15、抵赖机制用户不可抵赖机制 田立勤田立勤数字签名作用数字签名作用v（4 4）防信息篡改）防信息篡改即使即使C在中途截获了加密消息，能够用在中途截获了加密消息，能够用A的公钥解密的公钥解密消息，然后改变消息，也没法达到任何目的，因为消息，然后改变消息，也没法达到任何目的，因为C没没有有A的私钥，无法的私钥，无法再次再次用用A的私钥加密改变后的消息。因的私钥加密改变后的消息。因此，即使此，即使C把改变的消息转发给把改变的消息转发给B。B也不会误以为来自也不会误以为来自A，因为它没有用因为它没有用A的私钥加密。的私钥加密。 第第6 6章章 用户不可抵赖机制用户不可抵赖机制 田立勤田立勤数字签名作用数字

16、签名作用v（5 5）数字签名在现代）数字签名在现代WebWeb商务中具有重要意义。商务中具有重要意义。大多数国家已经把数字签名看成与手工签名具有相同大多数国家已经把数字签名看成与手工签名具有相同法律效力的授权机制。法律效力的授权机制。数字签名已经具有法律效力。数字签名已经具有法律效力。v例如，假设通过例如，假设通过Internet向银行发一个消息向银行发一个消息( (例如例如U U盾盾) )，要，要求把钱从你的账号转到某个朋友的账号，并对消息进行数求把钱从你的账号转到某个朋友的账号，并对消息进行数字签名，则这个事务与你到银行亲手签名的效果是相同的字签名，则这个事务与你到银行亲手签名的效果是相同

17、的 第第6 6章章 用户不可抵赖机制用户不可抵赖机制 田立勤田立勤（1 1）基于）基于RSARSA的数字签名抗抵赖机的数字签名抗抵赖机制制v步步骤骤1：A用自己的私用自己的私钥钥加密消息加密消息M，用，用EA私私(M）表示；）表示；v步步骤骤2：A把加密的消息把加密的消息发发送送给给B；v步步骤骤3：B接收到加密的消息后用接收到加密的消息后用A的公的公钥钥解密，用公式解密，用公式DA公公(EA私私(M）)表示；表示；v步步骤骤4：B如果解密成功，表示消息如果解密成功，表示消息M一定是一定是A发发送的，起送的，起到了数字到了数字签签名的作用；名的作用； 第第6 6章章 用户不可抵赖机制用户不可抵

18、赖机制 田立勤田立勤对对A A的抵赖反驳的抵赖反驳v如果如果A抵抵赖赖，B将从将从A收到的信息收到的信息EA私私(M）交）交给给仲裁者，仲仲裁者，仲裁者和裁者和B一一样样用用A的公的公钥钥解密解密EA私私(M），如果解密成功，），如果解密成功，说说明明B收到的信息一定是用收到的信息一定是用A的私的私钥钥加密的，因加密的，因为为A的私的私钥钥只只有有A自己自己拥拥有，因此不能抵有，因此不能抵赖赖没有没有发发送消息送消息M，并且，并且A也不也不能抵能抵赖赖自己自己发发送的信息不是送的信息不是M，因，因为为信息信息M中途如果被攻中途如果被攻击击者者篡篡改，由于改，由于篡篡改者没有改者没有A 的私的私

19、钥钥，因此不能再用，因此不能再用A是私是私钥钥重新重新签签名（加密），接收方也不能用名（加密），接收方也不能用A的公的公钥钥正确解密。正确解密。 第第6 6章章 用户不可抵赖机制用户不可抵赖机制 田立勤田立勤评价评价v这这个机制个机制简单简单，可以防止，可以防止发发送者抵送者抵赖赖未未发发送消息的行送消息的行为为，并且在机制中不需要并且在机制中不需要专专门的第三方参与，具有完整性门的第三方参与，具有完整性验证验证的作用的作用v由于由于签签名是用名是用发发送方的私送方的私钥签钥签名，因此任何人可以用他的名，因此任何人可以用他的公公钥进钥进行解密，而公行解密，而公钥钥是公开的，是公开的，这样这样的

20、数字的数字签签名只能起名只能起到到签签名的作用但不能保密，容易受到网名的作用但不能保密，容易受到网络络截截获获的攻的攻击击。v这这个机制的性能个机制的性能较较低，因低，因为签为签名和名和验证验证操作都是用的非操作都是用的非对对称加密机制加密的，并且是称加密机制加密的，并且是对对整个信息整个信息M进进行行签签名的。名的。 第第6 6章章 用户不可抵赖机制用户不可抵赖机制 田立勤田立勤（2 2）具有保密作用的具有保密作用的RSARSA签名签名v改进的方法：用接收方的公钥加密要发送的信息，假设改进的方法：用接收方的公钥加密要发送的信息，假设A是发送方，是发送方，B B是接收方是接收方, , A A向

21、向B B发送消息发送消息M M，则具有保密作用则具有保密作用的数字签名方法是：的数字签名方法是：v（1 1）A A用自己的私钥加密消息用自己的私钥加密消息M M，用用E EA A私私( (M M）表示。表示。v（2 2） A A用用B B的公钥加密第的公钥加密第1 1步的消息，用步的消息，用E EB B公公 ( (E EA A私私( (M)M)表示表示v (3) (3)把两次加密后的消息发送给把两次加密后的消息发送给B B 第第6 6章章 用户不可抵赖机制用户不可抵赖机制 田立勤田立勤（2 2）具有保密作用的）具有保密作用的RSARSA签名签名v（4 4）B B接收到加密的消息后用自己的私钥解

22、密，获得签名接收到加密的消息后用自己的私钥解密，获得签名E EA A私私( (M M），用公式，用公式D DB B私私（E EB B公公( (E EA A私私( (M)M)）= E= EA A私私( (M M）表示。表示。v（5 5）B B对第对第4 4步的解密结果再用步的解密结果再用A A的公钥解密，获得发送的的公钥解密，获得发送的消息消息M M，用公式用公式D DA A公公( (E EA A私私( (M M）)=M)=M表示。表示。v如果解密成功，表示消息如果解密成功，表示消息M M一定是一定是A A发送的，起到了数字签发送的，起到了数字签名的作用。名的作用。 第第6 6章章 用户不可抵赖

23、机制用户不可抵赖机制 田立勤田立勤讨论讨论v先加密后签名如何？（是否遵守交换律？先加密后签名如何？（是否遵守交换律？,可能出现篡改签可能出现篡改签名吗？）名吗？）v在在这这个个签签名机制中，采用的是先名机制中，采用的是先签签名后加密，那么能否先名后加密，那么能否先加密后加密后签签名呢，答案是否定的，因名呢，答案是否定的，因为为如果先加密后如果先加密后签签名，名，则则信息在信息在传输过传输过程中被攻程中被攻击击者截取到后，可以解者截取到后，可以解签签名，虽名，虽然攻然攻击击者不知道密文信息所者不知道密文信息所对应对应的明文的具体内容，但攻的明文的具体内容，但攻击击者可以者可以伪伪造他自己的造他自

24、己的签签名，然后名，然后继续发继续发送。送。这样这样接收者接收者由于不能正确解由于不能正确解签签名，就不知道名，就不知道这这是是谁发谁发出的信息了出的信息了, 会确会确定定这这封信是黑客封信是黑客发给发给他的。他的。 第第6 6章章 用户不可抵赖机制用户不可抵赖机制 田立勤田立勤（3 3）基于数字信封的数字签名）基于数字信封的数字签名v前面两种方法的缺点：速度慢前面两种方法的缺点：速度慢由于签名是用非对称加密算法由于签名是用非对称加密算法RSA对整个消息进行加对整个消息进行加密，而密，而RSA的加密速度慢，因此不能很好推广。的加密速度慢，因此不能很好推广。v下面结合数字信封的加密方法，只对一次

25、性对称密钥进行下面结合数字信封的加密方法，只对一次性对称密钥进行签名。签名。v方法：方法：v（1）A用一次性对称密钥用一次性对称密钥K1加密要发送的消息加密要发送的消息M。（。（消息消息保密）保密）v（2）A用自己的私钥加密用自己的私钥加密K1。（。（签名签名K1）v（3）A用用B的公钥加密第的公钥加密第2步的结果，组成数字信封。（对步的结果，组成数字信封。（对签名结果封装）签名结果封装） 第第6 6章章 用户不可抵赖机制用户不可抵赖机制 田立勤田立勤v（4）B用自己的私钥解密第用自己的私钥解密第3步的结果，得到签名。步的结果，得到签名。v（5）B用用A的公钥解密第的公钥解密第4步的结果，得到

26、一次性对称密钥步的结果，得到一次性对称密钥K1。v（6）B用一次性对称密钥用一次性对称密钥K1解密第解密第1步的结果，得到原消步的结果，得到原消息。息。（3 3）基于数字信封的数字签名）基于数字信封的数字签名 第第6 6章章 用户不可抵赖机制用户不可抵赖机制 田立勤田立勤评价评价v最大最大优优点是改点是改进进了上述机制性能低的缺点，只了上述机制性能低的缺点，只对对短的短的对对称称密密钥签钥签名，名，该签该签名虽然只名虽然只对对一次性一次性对对称密称密钥钥K1 进进行行签签名，名，好像没有跟整个消息关好像没有跟整个消息关联联，但，但实际实际上由于上由于这这个消息是用个消息是用K1加密的，因此加密

27、的，因此签签名也是跟整个消息是关名也是跟整个消息是关联联的的v关关联联的程度没有下面将要的程度没有下面将要讲讲述的基于消息摘要的数字述的基于消息摘要的数字签签名名不可抵不可抵赖赖机制强机制强 第第6 6章章 用户不可抵赖机制用户不可抵赖机制 田立勤田立勤（4 4）具有数据完整性检测的数字签名方法）具有数据完整性检测的数字签名方法 第第6 6章章 用户不可抵赖机制用户不可抵赖机制 田立勤田立勤（4 4）具有数据完整性检测的数字签名方法）具有数据完整性检测的数字签名方法 v方法：方法： v(1)发发送方送方A用用MD5或者或者SHA-1等消息摘要算法等消息摘要算法对对消息消息M计计算算消息摘要消息

28、摘要(MD0)。v(2)发发送方送方A用自己私用自己私钥钥加密加密这这个消息摘要，个消息摘要，这这个个过过程的程的输输出出是是A的数字的数字签签名名(DS)v(3)发发送方送方(A)将消息将消息M和数字和数字签签名名(DS)一起一起发给发给接收方接收方(B)v(4)接收方接收方(B)收到消息收到消息(M)和数字和数字签签名名(DS)后，接收方后，接收方(B)用用发发送方的公送方的公钥钥解密数字解密数字签签名。名。这这个个过过程得到原先的消息摘要程得到原先的消息摘要(MDl）。）。 第第6 6章章 用户不可抵赖机制用户不可抵赖机制 田立勤田立勤（4 4）具有数据完整性检测的数字签名方法）具有数据

29、完整性检测的数字签名方法 v（5）接收方）接收方(B)使用与使用与A相同的消息摘要算法相同的消息摘要算法计计算消息摘要算消息摘要(MD2)。v（6）B比比较较两个消息摘要如下：两个消息摘要如下：MD2，第，第5步求出；步求出；MDl，第，第4步从步从A的数字的数字签签名求出。名求出。如果如果MDI=MD2，则则可以表明：可以表明：B接受原消息接受原消息(M)是是A发发来的、未来的、未经经修改的消息（修改的消息（认证认证和数据完整性），和数据完整性），B也保也保证证消息来自消息来自A而不是别人而不是别人伪伪装装A。v该该方法的缺点是没有方法的缺点是没有对对信息信息M进进行保密行保密 第第6 6章

30、章 用户不可抵赖机制用户不可抵赖机制 田立勤田立勤（5 5）具有保密性和数据完整性检测的数字签名方法）具有保密性和数据完整性检测的数字签名方法v（1）发送方）发送方A用用MD5或者或者SHA-1等消息摘要算法对消息等消息摘要算法对消息M计算消息摘要计算消息摘要(MD0)。v（2）发送方）发送方 A用一次性对称密钥用一次性对称密钥K1加密要发送的消息加密要发送的消息M。（消息保密）。消息保密）。v（3）A用用B的公钥加密一次性对称密钥的公钥加密一次性对称密钥K1（密钥的封装）密钥的封装）v（4）发送方）发送方A用自己私钥加密消息摘要用自己私钥加密消息摘要(MD0) ，这个过程，这个过程的输出是的

31、输出是A的数字签名的数字签名(DS)v（5 5）发送方）发送方A A将加密的消息将加密的消息M M，加密的加密的一次性对称密钥一次性对称密钥K1和数字签名和数字签名 ( (DS)DS)一起发给接收方一起发给接收方B B 第第6 6章章 用户不可抵赖机制用户不可抵赖机制 田立勤田立勤（5 5）具有保密性和数据完整性检测的数字签名方法）具有保密性和数据完整性检测的数字签名方法v（6）B B用自己的私钥解密第用自己的私钥解密第3 3步的结果（加密的一次性步的结果（加密的一次性对称密钥对称密钥K1K1 ），得到一次性对称密钥），得到一次性对称密钥K1K1。v（7 7）B B用一次性对称密钥用一次性对称

32、密钥K1K1解密第解密第2 2步的结果（加密的步的结果（加密的信息信息M M），），得到原消息得到原消息M M 。v(8)(8)接收方接收方B B使用与使用与A A相同的消息摘要算法再次计算接收相同的消息摘要算法再次计算接收到的消息到的消息M M的摘要的摘要( (MD2)MD2)。v(9) (9) 通过第通过第5 5步收到数字签名步收到数字签名 后，用发送方后，用发送方A A的公钥解的公钥解密数字签名。这个过程得到原先的消息摘要密数字签名。这个过程得到原先的消息摘要( (MD1MD1）。）。 第第6 6章章 用户不可抵赖机制用户不可抵赖机制 田立勤田立勤（5 5）具有保密性和数据完整性检测的数

33、字签名方法）具有保密性和数据完整性检测的数字签名方法v(10) (10) B B比较两个消息摘要如下：比较两个消息摘要如下：MD2MD2，由第由第8 8步求出；步求出；MD1MD1，由第由第9 9步从步从A A的数字签名求出。的数字签名求出。如果如果MDI=MD2MDI=MD2，则可以表明：则可以表明：B B接收原的消息接收原的消息M M可以防可以防止截获攻击（保密性）并且是从止截获攻击（保密性）并且是从A A发来的发来的（认证认证） 、是、是未经修改的消息（数据完整性），未经修改的消息（数据完整性），B B也保证消息来自也保证消息来自A A而而不是别人伪装不是别人伪装A A（数字签名数字签名

34、）。）。v讨论，这里的数字签名是否需要再加密？答：可以不加密讨论，这里的数字签名是否需要再加密？答：可以不加密，因为从数字签名解密得到的信息摘要里是看不到与原消，因为从数字签名解密得到的信息摘要里是看不到与原消息有关的任何信息，这由摘要的性质决定的。息有关的任何信息，这由摘要的性质决定的。 第第6 6章章 用户不可抵赖机制用户不可抵赖机制 田立勤田立勤（6 6）双方都不能抵赖的数字签名不）双方都不能抵赖的数字签名不可抵赖机制可抵赖机制v (1) A用随机用随机对对称密称密钥钥K对对信息信息M加密得到加密得到E(K，M)，并用，并用自己的私自己的私钥进钥进行数字行数字签签名，名，记为记为A私私(

35、E(K，M)，然后用接，然后用接收方的公收方的公钥钥加密后加密后发发送送给给接收方（三次加密）；接收方（三次加密）；v(2) 接收方用自己的私接收方用自己的私钥钥解密后得到解密后得到A私私(E(K，M)，再用，再用发发送方的公送方的公钥钥解密后得到解密后得到E(K，M)；(这这一步确定一步确定发发送方不可送方不可抵抵赖赖) （两次解密）（两次解密）v(3) B用自己的私用自己的私钥钥加密加密E(K，M)，得到，得到B私私(E(K，M)，再，再用用发发送方的公送方的公钥钥加密后送加密后送给发给发送方；（送方；（这这个步个步骤骤确定接收确定接收方不可抵方不可抵赖赖，进进行了两次加密）行了两次加密）

36、 第第6 6章章 用户不可抵赖机制用户不可抵赖机制 田立勤田立勤（6 6）双方都不能抵赖的数字签名不）双方都不能抵赖的数字签名不可抵赖机制可抵赖机制v(4) A用自己的私用自己的私钥钥解密得到解密得到B私私(E(K，M)，再用接收方的，再用接收方的公公钥钥解密得到解密得到E(K，M)，确，确认认接收方已收到信息；接收方已收到信息；v(5)A把把对对称密称密钥钥K用自己的私用自己的私钥签钥签名，并用名，并用B的公的公钥钥加密，加密，然后然后发发送送给给B；v(6)B解密后，得到解密后，得到对对称密称密钥钥K，就可以，就可以对对E(K，M)解密而得解密而得到到M。v(7)抵抵赖赖行行为为的反的反驳

37、驳：由于双方都交：由于双方都交换换了数字了数字签签名，因此名，因此这这个机制个机制对对双方的抵双方的抵赖赖行行为为都具有作用都具有作用 第第6 6章章 用户不可抵赖机制用户不可抵赖机制 田立勤田立勤直接签名的缺点直接签名的缺点v前面前面讲讲述的直接述的直接签签名中，不可抵名中，不可抵赖赖性的性的验证验证模式依模式依赖赖于于发发送方的密送方的密钥钥保密，保密，发发送方要抵送方要抵赖发赖发送某一消息送某一消息时时，可能会，可能会声称其私有密声称其私有密钥钥已暴露、已暴露、过过期或被盗用等期或被盗用等v需要可信第三方的参与来确保类似的情况出需要可信第三方的参与来确保类似的情况出现现，例如及，例如及时

38、时将已暴露的私将已暴露的私钥报钥报告告给给可信的第三方授权中心，接收方在可信的第三方授权中心，接收方在验证签验证签名名时时要先到可信的第三方授权中心要先到可信的第三方授权中心查验发查验发送方的公送方的公钥钥是否注是否注销销，然后再，然后再验证签验证签名名v仲裁者必仲裁者必须须是一个所有通信方都能充分信任的仲裁机构是一个所有通信方都能充分信任的仲裁机构 第第6 6章章 用户不可抵赖机制用户不可抵赖机制 田立勤田立勤（7 7）基于第三方的仲裁的不可抵赖）基于第三方的仲裁的不可抵赖机制机制vX用自己的私有密用自己的私有密钥钥KRx签签名（加密）要名（加密）要发发送的消息送的消息M，用用EKRxM表示

39、；表示；vX用用Y的公开密的公开密钥钥KUy加密第加密第1步步结结果，用果，用EKUy (EKRxM)表表示；示；vX将第将第2步的步的结结果以及果以及X的的标识标识符符IDx一起用一起用KRx签签名后名后发发送送给给A，用，用EKRxIDx|EKUy (EKRxM)表示；表示；vX将将X的的标识标识符符IDx也也发发送送给给A； 第第6 6章章 用户不可抵赖机制用户不可抵赖机制 田立勤田立勤（7 7）基于第三方的仲裁的不可抵赖）基于第三方的仲裁的不可抵赖机制机制vA首先首先检查检查X的公的公钥钥/私私钥对钥对是否有效和身份是否真是否有效和身份是否真实实（后（后者可借助身份的可者可借助身份的可

40、鉴鉴别性来完成），并通别性来完成），并通过过第第3步解密得步解密得到的到的X的的标识标识符和第符和第4步收到的步收到的X的的标识标识符比符比较较相等来确保相等来确保X的身份不被假冒；的身份不被假冒；vA对对X的抵的抵赖赖反反驳驳：A通通过过第第3步的数字步的数字签签名知名知该该消息是来消息是来自自X，并且中途未被，并且中途未被篡篡改，改，X不能抵不能抵赖赖；vA将从将从X收到收到签签名消息解密名消息解密验证验证后后获获得的信息得的信息IDx|EKUyEKRxM，再加上，再加上时间时间戳戳T（防止重放攻（防止重放攻击击）用自）用自己的私己的私钥钥KRa签签名后名后发发送送给给Y，公式，公式为为E

41、KRaIDx|EKUyEKRxM|T，并保留要被，并保留要被签签名的副本；名的副本； 第第6 6章章 用户不可抵赖机制用户不可抵赖机制 田立勤田立勤（7 7）基于第三方的仲裁的不可抵赖）基于第三方的仲裁的不可抵赖机制机制vY收到收到A的信息后用的信息后用A的公的公钥钥解密解密获获得得EKUyEKRxM；vY用自己的私用自己的私钥钥解密第解密第8步的信息，再用步的信息，再用X公公钥钥解密，就解密，就获获得得M；vY对对X的抵的抵赖赖反反驳驳：如果：如果X抵抵赖发赖发送送过过M，Y可以向可以向A提起申提起申诉诉，将，将IDx| EKUyEKRxM | T发给发给A，由，由A根据原来的保根据原来的保

42、留信息（第留信息（第7步）通步）通过过第第6步来确步来确认认X不可抵不可抵赖赖没有没有发发送消送消息息M。 第第6 6章章 用户不可抵赖机制用户不可抵赖机制 田立勤田立勤( (7 7) )DSADSA数字签名方法数字签名方法vDSA（Digital Signature Algorithm）是另外一种数字签是另外一种数字签名的方法，它利用名的方法，它利用SHA-1计算原消息的摘要，也是基于非计算原消息的摘要，也是基于非对称密钥加密，但其目的和方法完全不同基于对称密钥加密，但其目的和方法完全不同基于RSA的数字的数字签名，它只能对消息进行签名，不能加密，它涉及到复杂签名，它只能对消息进行签名，不能

43、加密，它涉及到复杂的数学计算，大家参考书其他的资料。的数学计算，大家参考书其他的资料。 第第6 6章章 用户不可抵赖机制用户不可抵赖机制 田立勤田立勤实例：实例： Web Service提供者安全对用户的一次信息发送提供者安全对用户的一次信息发送v现有持证现有持证W Web service甲向持证用户乙提供服务。为了保证甲向持证用户乙提供服务。为了保证信息传送的真实性、完整性和不可否认性，需要对传送的信息传送的真实性、完整性和不可否认性，需要对传送的信息进行数字加密和数字签名。其传送过程如下：信息进行数字加密和数字签名。其传送过程如下：v(1)(1)甲准备好要传送的数字信息甲准备好要传送的数字

44、信息( (明文明文) )v(2)甲对数字信息进行哈希运算得到一个甲对数字信息进行哈希运算得到一个信息摘要（计算摘信息摘要（计算摘要）要）v(3)甲用甲用自己的私钥自己的私钥对信息摘要进行加密得到对信息摘要进行加密得到甲的数字签名甲的数字签名，并将其附在信息上（对摘要进行签名），并将其附在信息上（对摘要进行签名） 第第6 6章章 用户不可抵赖机制用户不可抵赖机制 田立勤田立勤实例：实例： Web Service提供者安全对提供者安全对用户用户的一次信息发送的一次信息发送v（4）甲随机产生一个）甲随机产生一个DESDES密钥，密钥，并用此密钥对要发送的信并用此密钥对要发送的信息进行加密形成密文（对

45、称密钥加密原文）。息进行加密形成密文（对称密钥加密原文）。v（5 5）甲）甲用乙的公钥用乙的公钥对刚才随机产生的对刚才随机产生的加密密钥再进行加密加密密钥再进行加密，将加密后的，将加密后的DESDES密钥连同密文一起传送给乙。（密钥封装密钥连同密文一起传送给乙。（密钥封装）v（6 6）乙收到甲传送过来的密文，数字签名和加密过的）乙收到甲传送过来的密文，数字签名和加密过的DESDES密钥，先用自己的私钥对加密的密钥，先用自己的私钥对加密的DESDES密钥进行解密，密钥进行解密，得到得到DESDES密钥密钥。v（7 7）乙然后用）乙然后用DESDES密钥对收到的密文进行解密，得到明文密钥对收到的密

46、文进行解密，得到明文的数字信息，然后将的数字信息，然后将DESDES密钥抛弃。（解密原信息）密钥抛弃。（解密原信息） 第第6 6章章 用户不可抵赖机制用户不可抵赖机制 田立勤田立勤实例：实例： Web Service提供者安全对提供者安全对用户用户的一次信息发送的一次信息发送v（8 8）乙用甲的公钥对甲的数字签名进行解密）乙用甲的公钥对甲的数字签名进行解密得到信息摘要得到信息摘要v（9 9）乙用相同的）乙用相同的hashhash算法对收到的明文再进行一次算法对收到的明文再进行一次hashhash运运算，得到一个算，得到一个新的信息摘要新的信息摘要。v（1010）乙将收到的信息摘要和新产生的信息

47、摘要进行比较）乙将收到的信息摘要和新产生的信息摘要进行比较，如果一致，说明收到的信息没有被修改过。，如果一致，说明收到的信息没有被修改过。v以上以上1010个步骤是个步骤是W Web Service向用户发送信息的过程，同样向用户发送信息的过程，同样也适用于用户向也适用于用户向W Web Service提交信息的过程。提交信息的过程。 第第6 6章章 用户不可抵赖机制用户不可抵赖机制 田立勤田立勤非对称密钥加密算法的攻击非对称密钥加密算法的攻击1:1:中间人攻击中间人攻击v在前面的数据加密，数字签名，数据完整性检测等过程中在前面的数据加密，数字签名，数据完整性检测等过程中都用到了非对称密钥加密

48、技术，因此都用到了非对称密钥加密技术，因此非非对对称密称密钥钥加密技术加密技术非常重要，但它也有被攻击可能性，这就是中间人攻击，非常重要，但它也有被攻击可能性，这就是中间人攻击，具体攻击的方法：具体攻击的方法：v（1）张三要给李四安全（保密）发送信息，张三必须先向）张三要给李四安全（保密）发送信息，张三必须先向李四提供自己的公钥李四提供自己的公钥K张张，并请求李四也把他的公钥，并请求李四也把他的公钥K李李给张给张三（相互要交换公钥）。三（相互要交换公钥）。v（2）中间攻击者王五截获张三的公钥）中间攻击者王五截获张三的公钥K张，张，并用自己的公钥并用自己的公钥K王王替换替换K张张，并把，并把K王

49、王转发给李四。转发给李四。 第第6 6章章 用户不可抵赖机制用户不可抵赖机制 田立勤田立勤非对称密钥加密算法的攻击非对称密钥加密算法的攻击1:1:中间人攻击中间人攻击v（3）李四答复张三的信息，发出自己的公钥李四答复张三的信息，发出自己的公钥K李李v（4）王五又截获李四的信息，将李四的公钥）王五又截获李四的信息，将李四的公钥K李李改为自己改为自己的公钥的公钥K王，王，并把它转发给张三。并把它转发给张三。v（5）张三认为李四的公钥是）张三认为李四的公钥是K王王，就用，就用K王王加密要发送的信加密要发送的信息给李四。息给李四。v（6）王五截获张三发送的信息，并用自己的私钥解密信息）王五截获张三发送

50、的信息，并用自己的私钥解密信息，非法获得张三发送的信息，他又用李四的公钥，非法获得张三发送的信息，他又用李四的公钥K李重新加李重新加密消息，然后转发给李四。密消息，然后转发给李四。 第第6 6章章 用户不可抵赖机制用户不可抵赖机制 田立勤田立勤非对称密钥加密算法的攻击非对称密钥加密算法的攻击1:1:中间人攻击中间人攻击v（7）李四用自己的私钥解密从王五收到的信息，并进行响）李四用自己的私钥解密从王五收到的信息，并进行响应的答复，李四的答复是用应的答复，李四的答复是用K王王加密的，以为这是张三的公加密的，以为这是张三的公钥。钥。v（8）王五截获这个消息，用自己的私钥解密，非法获得信）王五截获这个

51、消息，用自己的私钥解密，非法获得信息，并用张三的公钥息，并用张三的公钥K张张重新加密信息，然后转发给张三，重新加密信息，然后转发给张三，张三用自己的私钥解密发过来的信息。张三用自己的私钥解密发过来的信息。v（9）这个过程不断重复，张三和李四发送的信息都被王五）这个过程不断重复，张三和李四发送的信息都被王五看到，而他们两个还以为是直接进行通信呢。看到，而他们两个还以为是直接进行通信呢。 第第6 6章章 用户不可抵赖机制用户不可抵赖机制 田立勤田立勤非对称密钥加密算法的攻击非对称密钥加密算法的攻击2:2:公钥的冒充发布公钥的冒充发布v出现这个问题的主要原因是自己的公钥被别人冒名顶替，出现这个问题的

52、主要原因是自己的公钥被别人冒名顶替，因此必须解决公钥和身份必须相符合。下面再看一个例子因此必须解决公钥和身份必须相符合。下面再看一个例子v用户用户A冒充冒充B，发布发布A的公钥的公钥KA说这是说这是B的公钥的公钥KB，这样有这样有人要给人要给B发信息时就会误用发信息时就会误用A的公钥加密，的公钥加密，A截获加密的消截获加密的消息后，息后，A可以用自己的私钥解密，非法看到信息的内容，可以用自己的私钥解密，非法看到信息的内容，因因此要有可信的第三方管理大家的公钥及其身份。此要有可信的第三方管理大家的公钥及其身份。 第第6 6章章 用户不可抵赖机制用户不可抵赖机制 田立勤田立勤PGPPGP加密技术加

53、密技术vPGP（Pretty Good Privacy）加密技加密技术术是一个基于是一个基于RSA公公钥钥加密体系的加密体系的邮邮件加密件加密软软件。件。vPGP加密技加密技术术的的创创始人是美国的始人是美国的Phil Zimmermann。他的他的创创造性造性是是把把RSA公公钥钥体系和体系和传统传统加密体系的加密体系的结结合合起来，并且在数字起来，并且在数字签签名和密名和密钥认证钥认证管理机制上有巧妙管理机制上有巧妙的的设计设计。v因此因此PGP成成为为目前几乎最流行的公目前几乎最流行的公钥钥加密加密软软件包。件包。 第第6 6章章 用户不可抵赖机制用户不可抵赖机制 田立勤田立勤PGPPG

54、P简介简介 v由于由于RSA算法算法计计算量极大，在速度上不适合加密算量极大，在速度上不适合加密大量数据，所以大量数据，所以PGP实际实际上用来加密的不是上用来加密的不是RSA本身，而是采用本身，而是采用传统传统加密算法加密算法IDEA，IDEA加解密加解密的速度比的速度比RSA快得多。快得多。vPGP随机生成一个密随机生成一个密钥钥，用，用IDEA算法算法对对明文加密明文加密，然后用，然后用RSA算法算法对对密密钥钥加密。收件人同加密。收件人同样样是用是用RSA解出随机密解出随机密钥钥，再用，再用IEDA解出原文。解出原文。v这样这样的的链链式加密既有式加密既有RSA算法的保密性（算法的保密

55、性（Privacy）和和认证认证性（性（Authentication），），又保持了又保持了IDEA算法速度快的算法速度快的优势优势。PGPPGP加密软件加密软件v使用使用PGP8.0.2i可以可以简简洁而高效地洁而高效地实现邮实现邮件或者文件的加密、数字件或者文件的加密、数字签签名。名。vPGP8.0.2的安装界面如的安装界面如图图所示。所示。PGPPGP加密软件加密软件v下面的几步全面采用默认的安装设置，因为是第一次安装，所以在用户类型下面的几步全面采用默认的安装设置，因为是第一次安装，所以在用户类型对话框中选择对话框中选择“No, I am a New UserNo, I am a Ne

56、w User”，如图所示。如图所示。PGPPGP加密软件加密软件vPGPdisk Volume Security的功能是提供磁的功能是提供磁盘盘文件系文件系统统的安全性；的安全性；vPGPmail for Microsoft Outlook/Outlook Express提供提供邮邮件的加密功能。件的加密功能。案例案例8-3 8-3 使用使用PGPPGP产生密钥产生密钥 v因因为为在用在用户户类型类型对话对话框中框中选择选择了了“ “新用新用户户” ”，在，在计计算机启算机启动动以后，自以后，自动动提示建立提示建立PGP密密钥钥，如，如图图所示。所示。案例案例8-3 8-3 使用使用PGPPG

57、P产生密钥产生密钥v点点击击按按钮钮“ “下一步下一步” ”，在用，在用户户信息信息对话对话框中框中输输入相入相应应的姓名和的姓名和电电子子邮邮件地件地址，如址，如图图所示。所示。案例案例8-3 8-3 使用使用PGPPGP产生密钥产生密钥v在在PGP密密码输码输入框中入框中输输入入8位以上的密位以上的密码码并确并确认认，如，如图图所示。所示。案例案例8-3 8-3 使用使用PGPPGP产生密钥产生密钥v然后然后PGP会自会自动产动产生生PGP密密钥钥，生成的密，生成的密钥钥如如图图所示。所示。 第第6 6章章 用户不可抵赖机制用户不可抵赖机制 田立勤田立勤案例案例8-4 8-4 使用使用PG

58、PPGP加密文件加密文件 v使用使用PGP可以加密本地文件，右可以加密本地文件，右击击要加密的文件，要加密的文件，选择选择PGP菜菜单项单项的菜的菜单单“ “Encrypt”，如如图图所示。所示。案例案例8-4 8-4 使用使用PGPPGP加密文件加密文件v系统自动出现对话框，让用户选择要使用的加密密钥，选中一个密钥，点击系统自动出现对话框，让用户选择要使用的加密密钥，选中一个密钥，点击按钮按钮“OKOK”，如图所示。如图所示。 第第6 6章章 用户不可抵赖机制用户不可抵赖机制 田立勤田立勤案例案例8-4 8-4 使用使用PGPPGP加密文件加密文件v目目标标文件被加密了，在当前目文件被加密了，在当前目录录下自下自动产动产生一个新的文件，如生一个新的文件，如图图所示所示。案例案例8-4 8-4 使用使用PGPPGP加密文件加密文件v打开加密后的文件打开加密后的文件时时，程序自，程序自动动要求要求输输入密入密码码，输输入建立入建立该该密密钥时钥时的密的密码码。如如图图所示。所