第四章-数字签名与认证技术课件

*

第四章数字签名与认证技术

在网络环境下，数字签名与认证技术是信息完整性和不可否认性的重要保障，是公钥密码体制的重要应用。信息的发送方可以对电子文档生成数字签名，信息的接收方则在收到文档及其数字签名后，可以验证数字签名的真实性。身份认证则是基于数字签名技术为网络世界中实体的身份提供可验证性。

*第四章数字签名与认证技术在网络环境下1*本章内容提要:数字签名的概念与原理消息认证与哈希函数

数字签名体制

身份认证技术认证技术应用案例

认证技术的发展趋势

第四章数字签名与认证技术*本章内容提要:第四章数字签名与认证技术2*4.1

数字签名的概念与原理

数字签名是密码学和信息安全中最重要和最有用的概念之一。它的诞生使得在网络环境下，任一实体（组织或者个人）对在网络上传输的电子文件进行签名成为可能。任何得到该签名的实体可以对签名的有效性进行验证。*4.1数字签名的概念与原理数字签名是密3*

数字签名的概念

数字签名的原理

4.1

数字签名的概念与原理*数字签名的概念数字签名的原理4.1数字签名的4*

数字签名的概念

概念

数字签名是以密码学的方法对数据文件作用产生的一组代表签名者身份与数据完整性的数据信息，通常附加在数据文件的后面。数据文件的接收者可以利用签名者的公钥作用于数字签名上，以验证数据文件的真实性、完整性。*数字签名的概念数字签名是以密码学的方法对数据文件5*

数字签名的概念

数字签名的原理

4.1

数字签名的概念与原理*数字签名的概念数字签名的原理4.1数字签名的6*

数字签名的原理

原理

数字签名就是用私有密钥进行加密，而认证就是利用公开密钥进行正确的解密。数字签名的原理如图所示

*数字签名的原理数字签名就是用私有密钥进行加密，7*

数字签名的原理

一个基于公钥密码学的数字签名方案被定义为一个算法三元组(Gen,Sig,Ver)，方案中共有两方参与：签名者Signer与验证者Verifier。

密钥生成算法Gen

签名生成算法Sig

签名验证算法Ver

它是一个概率多项式时间算法，由系统或者签名者执行，该算法以系统安全参数1k为输入，输出密钥对（Pk,Sk），其中Pk称为签名者公开密钥，Sk为签名者秘密钥；即Gen(1k)→(Pk,Sk)。

它是一个概率多项式时间算法，由签名者执行，该算法以签名秘密密钥Sk，待签名消息m∈{0,1}k为输入，输出一个串s。此时称s为签名者以签名秘密密钥Sk对消息m所做的签名，即Sig(Sk,m)→s。

它是一个确定性算法，由验证者执行，该算法以签名公开密钥Pk，签名消息对(m,s)为输入，输出0或1，即Ver(Pk,m,s)→{0,1}，如果s∈Sig(m)，则输出1说明签名有效；反之输出0，则说明签名无效

*数字签名的原理一个基于公钥密码学的数字签名方案被8*

哈希函数的性质

哈希函数的结构

4.2

消息认证与哈希函数

安全哈希函数（SHA）

消息认证*哈希函数的性质哈希函数的结构4.2消息认证与9*

哈希函数的性质

哈希（Hash）函数是一个输入为任意长的二元串，输出为固定长度的二元串的函数。一般用H(·)表示哈希函数，若输出是长度为l的二元串，哈希函数表示为：H(·):{0,1}*→{0,1}l定义*哈希函数的性质哈希（Hash）函数是一个输入为任10*

哈希函数的性质哈希函数H(·):{0,1}*→{0,1}l称为具有单向性，是指1）任意给定M∈{0,1}*，可以很容易（多项式时间内）地计算出消息摘要H(M)∈{0,1}l。2）任意给定H(M)∈{0,1}l，求出M∈{0,1}*，在计算上困难的，即多项式时间内不可解。定义*哈希函数的性质哈希函数H(·):{0,1}*→{0,1}11*

哈希函数的性质

哈希函数H(·):{0,1}*→{0,1}l称为具有抗第二原像性（SecondPreimageResistant），是指任意给定M∈{0,1}*及其信息摘要H(M)，求出M′∈{0,1}*且M′≠M，使得H(M′)=H(M)是困难的。定义*哈希函数的性质哈希函数H(·):{0,1}*→{0,12*

哈希函数的性质

哈希函数H(·):{0,1}*→{0,1}l称为具有抗碰撞性（CollisionResistant），是指求出任意M,M′∈{0,1}*，且M′≠M，使得H(M′)=H(M)是困难的。

由上面的四个定义可以知道，哈希函数应该具有单向性、抗原像性、抗第二原像性以及抗碰撞性。定义*哈希函数的性质哈希函数H(·):{0,1}*→{0,13*

哈希函数的性质

哈希函数的结构

4.2消息认证与哈希函数

安全哈希函数（SHA）

消息认证*哈希函数的性质哈希函数的结构4.2消息认证与哈希14*

哈希函数的结构

由Merkle提出的迭代哈希函数一般结构如图所示，这也是目前大多数哈希函数（MD5、SHA-1、RIPEMD）的结构。其中，IV称为初始向量，CV称为链接变量，Yi是第i+1个输入消息分组，f称为压缩函数，L为输入的分组数，l为哈希函数的输出长度，b为输入分组长度。*哈希函数的结构由Merkle提出的迭代哈希函数一15*

哈希函数的性质

哈希函数的结构

4.2消息认证与哈希函数

安全哈希函数（SHA）

消息认证*哈希函数的性质哈希函数的结构4.2消息认证与哈希16*

安全哈希函数（SHA）安全哈希函数（SHA）

由美国国家标准和技术协会（NIST）提出的，于1993年作为美国联邦消息处理标准（FIPSPUB180）公布。1995年NIST发布了它的修订版（FIPS180-1），通常称为SHA-1

SHA-1算法具体的处理步骤

步骤1：附加填充比特步骤2：

附加长度值步骤3：

初始化MD缓存步骤4：以512比特（16个字）分组处理消息

首先对报文进行填充，填充方法是：先添加一个比特1，然后填充足够多的比特0，使填充后的报文的长度与448模512同余，即为512的倍数刚好减去64比特将一个64比特的填充前的消息的长度分组附加到报文后面，这个64比特的长度被看作是一个无符号整数SHA-1算法使用了160比特（5×32比特）的缓存来存放中间以及最终结果，这160比特被分成5个32比特字H0，H1，H2，H3，H4（SHA-1算法中每个字32比特）消息开头循环地处理消息序列分组，直至消息的结尾。每一次循环都以当前处理的512比特分组和MD缓存H0，H1，H2，H3，H4作为输入。

步骤5：输出在最后一个消息分组处理完毕后，MD缓存（H0，H1，H2，H3，H4）中的值即为算法输出的160比特报文摘要*安全哈希函数（SHA）安全哈希函数（SHA）由美国国家17*

安全哈希函数（SHA）对于步骤4的每一次循环又可分为三个阶段阶段1：复制中间变量阶段2：执行压缩函数F

阶段3：更新MD缓存H0，H1，H2，H3，H4

把H0，H1，H2，H3，H4分别复制到中间变量A，B，C，D，E中，阶段2的所有操作都将在中间变量A，B，C，D，E上进行

SHA-1每一个主循环压缩函数F共包括80个操作，每个操作中都使用了一个非线性函数。在所有80个操作完成后，算法的下列步骤更新MD缓存*安全哈希函数（SHA）对于步骤4的每一次循环又可分为三个18*

安全哈希函数（SHA）【例】SHA-1算法举例。字符串“abc”的二进制表示为011000010110001001100011，长度为24比特，则按照SHA-1的填充要求，应填充1个“1”和423个“0”，最后有两个字为“0000000000000018”，表明原始消息的长度为24比特。这样，这个输入只有一个512比特的分组。五个寄存器取如下的初始值：A=67452301B=EFCDAB89C=98BADCFED=10325476E=C3D2E1F0消息分组的所有字取上述经过填充后的512比特分组，即：W[0]=61626380H（01100001011000100110001110000000），W[1]=W[2]=…W[14]=00000000H，W[15]=00000018H。在经过80步循环后，五个寄存器中的值分别如下：A=A9993E36B=4706816AC=BA3E2571D=7850C26CE=9CD0D89D五个寄存器的值顺序排列，即得到消息“abc”的哈希函数值*安全哈希函数（SHA）【例】SHA-1算法举例。字符19*

哈希函数的性质

哈希函数的结构

4.2消息认证与哈希函数

安全哈希函数（SHA）

消息认证*哈希函数的性质哈希函数的结构4.2消息认证与哈20*

消息认证

消息认证

消息认证是使消息的接收者能够检验收到的消息是否是真实的认证方法消息认证的目的有两个：其一是消息源的认证，即验证消息的来源是真实的；其二是消息的认证，即验证信息在传送过程中未被篡改。

1）消息认证码MAC（MessageAuthenticationCode）：是以消息和密钥作为输入的公开函数，可以生成定长的输出。该方法需要在信息的发送方和接收方之间共享密钥。2）哈希函数：是不带密钥的公开函数，它将任意长度的输入消息映射为固定长度的输出值。哈希函数与数字签名算法相结合，提供对于消息的完整性检验。*消息认证消息认证是使消息的接收者能够检验收到的21*

消息认证基于密钥哈希函数的MAC

基于密钥哈希函数的MAC的形式如下。MAC=H(k‖M)HMAC=H(k‖M‖k)使用哈希函数构造的MAC，称为HMAC

*消息认证基于密钥哈希函数的MAC基于密钥哈希函数的MA22*

消息认证基于分组加密算法的MAC

令ek(m)表示输入消息为m，密钥为k的分组密码加密算法。为了认证消息M，发送者首先对M进行分组：M=m1m2…ml其中，每一个子消息组mi(i=1,2,…,l)的长度都等于分组加密算法输入的长度。如果最后一个子消息组ml长度小于分组长度，就必须对其填充一些随机值。设C0=IV为随机初始向量。现在，发送者用CBC加密：*消息认证基于分组加密算法的MAC令ek(m)表示输23*RSA数字签名体制

ELGamal数字签名体制

4.3

数字签名体制

数字签名标准DSS

*RSA数字签名体制ELGamal数字签名体制4.324*RSA数字签名体制算法RSA签名体制。密钥建立：密钥建立过程和RSA密码系统的密钥建立过程相同。经过密钥建立过程，用户Alice的公钥为(N,e)，其中N=pq，p和q是两个长度差不多的大素数，e是满足gcd(e,f(N))=1的整数。Alice的私钥为d，满足ed=1mod(f(N))。签名生成：为了生成消息的签名，Alice计算s=Signd(m)←md(modN)，即得到消息签名对(m,s)。签名验证：设Bob是验证者，他知道公钥(N,e)属于Alice。给定一个消息-签名对(m,s)，Bob的验证过程为测试m≡se(modN)，如果成立，则Verify(N,e)(m,s)=True。*RSA数字签名体制算法RSA签名体制。25*RSA数字签名体制

ELGamal数字签名体制

4.3

数字签名体制

数字签名标准DSS

*RSA数字签名体制ELGamal数字签名体制4.326*RSA数字签名体制算法1．参数生成（1）公开参数设p是一个大素数，并确保在Zp中求解离散对数在计算上是困难问题；g是Zp中乘法群的一个生成元，或称为本原元素。（2）用户私钥参数选定一个随机的x，，作为用户的私钥。（3）用户公钥参数计算y≡gxmodp作为用户的公钥。由此设用户Alice的公私钥对为(xA,yA)，yA公开，而xA保密。*RSA数字签名体制算法（2）用户私钥参数（3）用户公钥参27*RSA数字签名体制2．生成签名Alice欲生成对消息m的签名，则执行如下的签名过程：1）随机选择k，，并要求gcd(k,p-1)=1。2）计算签名：r←gkmodp。3）计算签名：s←k-1(m-xAr)mod(p-1)。得到消息签名对为(m,(r,s))。3．验证签名设Bob为验证方，他知道公开参数(g,p)以及Alice的公钥yA。对于消息签名对(m,(r,s))，Bob执行验证过程。1）预查合法性如果1≤r≤p-1，继续，否则签名是不合法的。2）计算:3)计算：4）比较和：如果，表示签名有效；否则签名无效

：*RSA数字签名体制2．生成签名3．验证签名：28*RSA数字签名体制

ELGamal数字签名体制

4.3

数字签名体制

数字签名标准DSS

*RSA数字签名体制ELGamal数字签名体制4.329*

数字签名标准DSSDSA算法描述设p、q、g作为公开参数，供所有用户共同使用；xA是签名者的私钥；yA是签名者的公钥。对消息M的签名结果是两个数(s,r)。每一次签名都使用了随机数k，要求每次签名使用的k取值不同。（1）参数生成1）生成公开参数。p：是一个大的素数，2L-1<p<2L，其中512≤L≤1024。q：是(p-1)的素因子，并且其字长为160比特，即2159<q<2160。g：g≡h(p-1)/qmodp，其中h是一个整数，1<h<(p-1)，且要求g>1。以上三个参数p、q、g，是所有用户公用的参数，所以称为公共参数。2）用户参数。选取—个随机数x作为用户私钥，要求0<x<q；计算求得y≡gx

modp，y为用户公钥。*数字签名标准DSSDSA算法描述设p、q、g作为公开参30*

数字签名标准DSS（2）签名过程签名的消息空间可以表示为。签名时还需要一个随机数k，可由一个随机数生成器生成。

随机选择k∈Zq，k∈{1,…,q}

计算r：r←(gk

modp)modq

计算s：s←(k-1(H(M)+xAr))modq，到此，消息m的签名结果就是(r,s)

（3）认证过程

计算w：w≡s-1modq

计算u1：u1≡H(m)wmodq

计算u2：u2≡rwmodq

计算v：

比较r、v，如果r=v，表示签名有效，否则签名非法

*数字签名标准DSS（2）签名过程随机选择k∈Zq，k∈31*

数字签名标准DSSDSA签名算法安全性分析

随机数产生器与攻击随机数全局参数（共享模数）的危险攻击者可以通过随机数产生器的某些特征，而恢复出所使用的随机数k。所以在DSA签名算法的实现中，设计一个好的随机数产生器非常重要在DSS公布之初，人们反对其使用共享模数p、q。确实，如果对共享模数p、q的分析，可能对破解私钥参数x有利的话，将对签名方案的安全性造成威胁

*数字签名标准DSSDSA签名算法安全性分析随机数产32*

身份认证技术概述

单向认证技术4.4

身份认证技术

交叉认证技术

身份认证系统实例-Kerberos系统

X.509认证技术

*身份认证技术概述单向认证技术4.4身份认证技术33*

身份认证技术概述

认证是一个实体向另一个实体证明某种声称属性的过程。认证包括数据源认证（DataOriginAuthentication）和实体身份认证（EntityAuthentication）。数据源认证

数据源认证包含从发送者到接收者的消息传输过程，接收者在接收时会验证消息；接收方执行消息验证的目的在于确认消息发送者的身份；确认在原消息离开消息发送者之后的数据完整性以及确认消息传输的“活现性”。*身份认证技术概述认证是一个实体向另一个实体证明某34*

身份认证技术概述身份认证

知道某事

拥有某事

固有某事

这是一个只有要被验证的原告才知道的秘密。例如，密码、PIN、密钥、私钥等

这是一些可以提供原告身份证明的材料。例如，密码、驾驶执照、身份证、信用卡和智能卡等

这是原告的本质特征。例如，传统签名、指纹、声音、面相、视网膜模式、笔迹等

基于密码技术实现身份认证可以采用对称密码技术，也可以采用非对称密码技术*身份认证技术概述身份认证知道某事这是一个只有要被验证35*

身份认证技术概述

单向认证技术4.4

身份认证技术

交叉认证技术

身份认证系统实例-Kerberos系统

X.509认证技术

*身份认证技术概述单向认证技术4.4身份认证技术36*

单向认证技术单向认证在协议的两个参与主体中，只对其中的一个主体的身份进行认证。设消息源声称自己是Alice，并要求与Bob通信

用对称密码技术实现单方认证

设通信方A和通信方B共享有对称密钥KAB，通信方B要认证通信方A身份。1）B

A：RB‖Text1；其中RB为通信方B生成的一次性随机数，Text1为附加文本。2）A

B：TokenAB=；其中Text2，Text3等属于可选项

*单向认证技术单向认证在协议的两个参与主体中，只对其中的37*

单向认证技术

用非对称密码技术实现单方认证ISO/IEC标准化版本的“使用公钥的ISO两次传输单方认证协议”1）B

A：RB‖Text1。2）AB：CertA‖TokenAB。这里TokenAB=RA‖RB‖B‖Text3‖sigA(RA‖RB‖B‖Text2)；协议中的Text1，Text2，Text3均为可选信息，CertA是Alice的公钥证书。在接收到TokenAB之后，B应该验证签名；如果签名通过验证，B应该接收这次运行；否则拒绝这次运行。使用公钥的ISO两次传输单方认证示意如图所示*单向认证技术用非对称密码技术实现单方认证IS38*

身份认证技术概述

单向认证技术4.4

身份认证技术

交叉认证技术

身份认证系统实例-Kerberos系统

X.509认证技术

*身份认证技术概述单向认证技术4.4身份认证技术39*

交叉认证技术

设通信方A拥有公钥证书CertA；通信方B拥有公钥证书CertB。则ISO公钥三次传输双方认证协议：

B

A：RB。

A

B：CertA,TokenABB

A：CertB,TokenBA

交叉认证也称为双方认证（MutualAuthentication），即两个通信的实体需要互相认证。TokenAB=RA‖RB‖B‖sigA(RA‖RB‖B)TokenBA=RB‖RA‖A‖sigB(RB‖RA‖A)基于公钥密码技术的双方认证协议过程如图所示*交叉认证技术设通信方A拥有公钥证书CertA；通40*

身份认证技术概述

单向认证技术4.4

身份认证技术

交叉认证技术

身份认证系统实例-Kerberos系统

X.509认证技术

*身份认证技术概述单向认证技术4.4身份认证技术41*身份认证系统实例-Kerberos系统

适合多个服务器环境的认证方案是Kerberos认证协议。Kerberos认证系统是美国麻省理工学院为Athena工程而设计的，为分布式计算环境提供一种对用户双方进行验证的认证方法，它是基于对称密钥的身份认证系统。Kerberos认证的基本思想是使用可信第三方把某个用户引见给某个服务器，引见方法是在用户和服务器间分发会话密钥建立安全信道。Kerberos协议涉及三种服务器：一个验证服务器（AS）、一个票据许可服务器（TGS）和一个给其他机构提供服务的真实（数据）服务器。*身份认证系统实例-Kerberos系统42*身份认证系统实例-Kerberos系统Kerberos认证协议包括三个子协议

认证服务器交换（AS交换）：在“客户”C和“认证服务器”AS间运行

票证授予服务器交换（TGS交换）：AS交换后，在C和“票证授予服务器”TGS间运行

客户/服务器认证应用交换（AP交换）：TGS交换后，在C和“应用服务器”S间运行

Kerberos认证协议如图所示*身份认证系统实例-Kerberos系统Kerberos认证43*身份认证系统实例-Kerberos系统认证服务交换AS

AS_REQC

AS:U,TGS,Life_time1,N1

TGTASC:U,TC,TGS,TGTC

AS_REQ是一个明文消息，客户端C使用AS_REQ和认证服务器AS通信，通知AS它将代理用户U和票证授予服务器TGS通信。在请求中包含生命期Life_time1和随机数N1

认证服务器AS收到客户端C的AS_REQ请求消息后，生成一个新的票证会话密钥KC,TGS，该密钥将在C和TGS之间共享；然后把生成的会话密钥加密后封装在票证-授予票证TGT中

*身份认证系统实例-Kerberos系统认证服务交换AS44*身份认证系统实例-Kerberos系统票证授予服务交换TGS

TGS_REQＣ

TGS:S.life_time2,N2,TC,TGS,AC,TGS

其中，

在该消息中，包含了随机数N2，从认证服务器处得到的票证TC,TGS以及认证符AC,TGS。认证符是向票证授予服务器TGS表明客户端C在Client_time时刻使用了票证会话密钥KC,TGS。

TKTTGS

C:U,TC,S,TKTC

TGS在收到请求消息TGS_REQ后，首先用KAS,TGS解密TC,TGS，从其中获得KC,TGS、Time_start、Time_expire等信息，生成TC,S和TKTC。*身份认证系统实例-Kerberos系统票证授予服务交换TG45*身份认证系统实例-Kerberos系统

应用服务交换AP

AP_REQC

S:TC,S,AC,S

其中，AC,S=在AP_REQ请求中，客户C携带从票证服务器处取得的访问服务器S的票证TC,S（用S和TGS之间的长期共享密钥KS，TGS加密），向服务器S请求访问

AP_REPS

C:AS,C

其中，AS,C=在得到来自客户C的请求AP_REQ后，服务器S首先对于其所持有的票证TC,S进行解密，获得请求者身份，访问时间段以及与访问者之间的共享密钥KC,S，并以AS,C应答客户C的访问请求*身份认证系统实例-Kerberos系统应用服务交换AP46*

身份认证技术概述

单向认证技术4.4

身份认证技术

交叉认证技术

身份认证系统实例-Kerberos系统

X.509认证技术

*身份认证技术概述单向认证技术4.4身份认证技术47*X.509认证技术

基于X.509证书的认证技术类似于Kerberos技术，它也依赖于共同信赖的第三方来实现认证。与Kerberos认证所不同的是它采用非对称密码体制（公钥制），在X.509认证框架中可信赖的第三方是指称为CA（CertificateAuthority）的认证机构。该认证机构负责认证用户的身份并向用户签发公钥证书，同时对于证书提供管理。数字证书遵循X.509标准所规定的格式，因此称为X.509证书。持有此证书的用户就可以凭此证书访问那些信任CA的服务器。*X.509认证技术基于X.509证书的48*X.509认证技术

X.509证书的认证框架使用公开密码学的技术识别通信方，根据要求的认证强度的不同，提供单向认证、双向认证和三向认证三种认证模式单向认证消息的内容如下：

t

A表示时间戳，一般由两个日期组成，即消息的生成时间和期满时间。时间戳用来防止消息传递的延迟及抗重放攻击。RA是一次性随机数，在一个有效期内是唯一的；IDB是A希望通信的B的身份信息；sgnData是认证消息携带的数据信息；KAB是A为以后的通信随机选择的会话密钥，并用B的公钥KPB对会话密钥进行了加密，最后附上A用自己的私钥对于前面所有内容的生成的数字签名signatureA。*X.509认证技术X.509证书的认证49*X.509认证技术

双向认证A收到消息后首先需要获取B的证书，并验证证书的有效性。从B的证书中提取公钥，验证B的签名，同时检验消息的完整性。检查A自己是否是消息的接收者。验证时间戳tB是否为当前时间。检查RB是否被重放（可选）。*X.509认证技术双向认证A收到消息后首先需要获取B的50*X.509认证技术

三向认证

三向认证的协议中，增加了第三条从A到B的消息，其中包含了来自于第二条消息中B所发送的一次性随机数RB，并且A用自己的私钥对其进行了签名。*X.509认证技术三向认证三向认证的协议中，增加了第三51*4.5

技术认证应用案例

本节以IPSec中的验证报头（AuthenticationHeader）为例，说明消息认证和身份认证在IPSec的应用*4.5技术认证应用案例本节以IPSec52*技术认证应用案例

Authentic