第四讲信息安全技术之认证技术

商学院屈维意博士讲师认证技术第三讲信息安全技术之信息安全技术体系安全认证认证技术学习目标掌握数字摘要的原理1掌握数字签名的原理2掌握数字时间戳的原理3掌握数字认证的原理4了解生物特征识别技术5认证技术认证技术认证技术认证技术认证活动一直贯穿于人类的学习与生活：新生入学时，学校要查看他们的入学录取通知书，这是学校对于学生的认证，以便识别你是张三而不是李四；去银行取钱时，要出示用户的存折卡，一般还要输入用户的密码，这是银行对储户的认证。去食堂吃饭、到图书馆借书时，需要出示我们的校园一卡通，这是食堂和图书馆对学生身份的认证。上述情况都是认证活动在我们生活中的体现。简单说，信息认证也是对我们现实世界的数字模拟。认证技术中国政府的政令通常是以红头文件下发的，之所以有效力，是因为上面有政府的公章。但是，在网络上怎么能够保证其所公布的文件同样是有效果的？信息的一个重要特征是可以复制，又有什么样的例子可以说明复制的文件是有法律效力的？网络信息经济时代在给我们带来快捷便利的同时，也提出了新的挑战。认证技术这些疑问直接导致了数字签名和数字认证技术的诞生。认证的最终目的是识别有效的用户，安全在一定意义上总要花费一定的代价。我们总是希望能够使用尽可能小的花费实现最大程度（设计目标）的安全。这就需要我们选择具体的实现方式，至于具体方式的选择，应该从实际情况，即安全的需要出发。认证技术在现实生活中，我们个人的身份主要是通过各种证件来确认的，比如：身份证、护照、学生证、军官证、户口本等。单位进出的出入证，楼层进出的门禁卡、令牌等。现实认证方法认证技术通常有三种方法验证主体身份。1）是只有该主体了解的秘密，如口令、密钥；2）是数字签名、数字认证、智能卡；3）是只有该主体具有的独一无二的特征或能力，如指纹、声音、视网膜图或签字等。单独用一种方法进行认证不充分网络认证方法认证技术认证技术数字摘要认证技术数字摘要•数字摘要是信息发送方利用Hash算法对信息进行处理后，生成的一个有128位二制位的特殊字符串。•将数字摘要一起发送给接收方，接收方可以根据数字摘要判断信息在传输过程中是否被篡改过。•原文与数字摘要是一一对应的关系，如果原文被篡改，数字摘要将无法匹配。认证技术Hash函数•Hash函数适用任意信息长度•产生的摘要是定长的（128位）•易于计算•通过摘要得到原信息计算上不可行（1）给定消息x，如果寻找一个x’≠x，使得h(x’)=h(x)在计算上不可行（2）给定摘要z，如果寻找一个消息x使h(x)=z计算上不可行认证技术银行乙：请将200元资金从本账号转移至12345账号上。客户小麦Hash算法：数字摘要生成器sdsjdsjdadajddsadassdasdsasadasdasasdsa支付通知支付通知的数字摘要认证技术数字摘要的原理发送方接收方信息数字摘要A信息数字摘要A如果二者相同，说明接收到的数据在传输过程中没有被篡改。1.Hash数字摘要B2.Hash3.二者比较认证技术数字摘要的特点在一定程度上保证信息的真实性，防止信息在传输过程中被篡改。数字摘要的特点优点缺点单靠数字摘要并不能保证信息的完整性，必须和信息加密等其他安全技术结合起来使用。认证技术认证技术数字签名认证技术签名概念在政治、军事、外交、商业和日常生活中，人们经常需要对纸质材料进行签名。签名起到确认、核准、生效和负责任等多种作用。随着计算机网络技术的发展，电子商务、电子政务和电子金融等系统得到广泛应用，人们需要通过网络信息传输对电子的文件、契约、合同、信件和帐单等进行数字签名以替代手写签名。认证技术传统手写签名表明文件的来源，识别签名人签名人对文件内容的确认能够构成签名人对文件内容正确性和完整性负责的根据指一个人亲笔在一份文件上写下名字或留下印记、印章或其他特殊符号，以确定签名人的身份，并起到确认、核准、生效和负责任等多种作用主要功能：认证技术数字签名数字签名技术是结合消息摘要函数和公钥加密算法的具体加密应用技术。数字签名(DigitalSignature)指一个用自己的非对称密码算法(如：RSA算法)私钥加密后的信息摘要，附在消息后面；别人得到这个数字签名及签名前的信息内容，使用该用户分发的非对称密码算法公钥，就可以检验签名前的信息内容在传输过程或分发过程中是否己被篡改并且可以确认发送者的身份。认证技术数字签名为了实现网络环境下的身份鉴别、数据完整性认证和抗否认的功能，数字签名应满足以下要求：(1)签名者发出签名的消息后，就不能再否认自己所签发的消息；(2)接收者能够确认或证实签名者的签名，但不能否认；(3)任何人都不能伪造签名；(4)第三方可以确认收发双方之间的消息传送，但不能伪造这一过程，这样，当通信的双方关于签名的真伪发生争执时，可由第三方来解决双方的争执。认证技术数字签名概念数字签名是附着于数字信息（数据电文）的。电子签名可以是数据电文的一个组成部分，也可以是数据电文的附属数字签名必须能够识别签名人的身份并表明签名人认可与数据签名相联系的数据电文的内容。数字签名解决的主要问题是在电子商务活动中确保信息、单据的真实性和不可抵赖性。10011100010100011000sigK密钥K认证技术发送方将发送消息通过Hash函数生成数字摘要；利用发送方私钥对数字摘要进行加密，形成数字签名，与消息明文一同发送；接收方得到消息，对消息明文Hash函数运算，得到实际的数字摘要；利用发送方公钥对数字签名进行解密，得到预期的摘要；对比两个摘要，如果相同，表示数字签名有效，否则无效。数字签名的过程认证技术数字签名的原理发送方接收方信息数字摘要A数字签名数字摘要B数字签名数字摘要A3.发送5.Hash信息+数字签名信息如果两者相同，说明接收到的数据是完整的，即在传输过程中没有被篡改1.Hash2.发送方私人密钥加密信息+数字签名4.接收6.发送方公开密钥解7.比较两者如果可以解密，说明发送者身份是真实的认证技术数字签名的特点不可伪造数字签名是由发送方的私人密钥加密产生的，而私人密钥只有发送方自己知道，如果发送方没有泄露，别人无法知道私人密钥，也就无法伪造数字签名信息无法篡改数字签名是信息在发送方经过加密得到的，信息被篡改，对应的数字签名也将改变，接收方进行签名验证不会通过。不可抵赖私人/公开密钥对是一一对应的，一个私人密钥只分配给一个发送方。认证技术数字签名的功能防止发送方否认自己的行为防止接收方伪造信息防止他人冒充身份防止篡改信息如果发送方抵赖自己对某次交易的操作，那么接收方可以提供收到的数字签名作为证据，追究责任。接收方伪造信息时，只需要简单地用发送方的公开密钥验证即可得知真伪。用来签名的私人密钥只有发送方自己知道，用来验证签名的公开密钥只发送给了接收方，且发送时加密。接收方通过对数字签名的验证，即可以判断出信息是否完整，接收方只信任完整的信息，而将被篡改信息丢弃认证技术数字签名与手写签名的区别数字签名数字签名中的签名同信息是分开的；数字签名利用一种公开的方法对签名进行验证，任何人都可以对之进行检验；有效签名的复制同样是有效的签名手写签名签名与所签署之信息是一个整体；是由经验丰富的接收者,通过同预留的签名样本相比较而作出判断的；签名的复制是无效的签名认证技术运用数字信封的数字签名hash认证技术双重签名双重签名就是进行两次签名，是为了解决电子交易中三方之间信息传输的安全性问题。假设发送方有两个信息A和B分别发送给接收方1和2，双重签名的具体做法是，发送方分别用Hash函数对信息A和B进行处理，生成各自的数字摘要A和B，然后将二者在合并起来，形成一个新的信息C，再用Hash函数处理得到它的数字摘要C，最后用发送方的私人密钥对双重数字摘要进行加密，即得到双重数字签名。认证技术PIHPIMDOIHOIMDHPOMDEDualsignatureKRcPI：支付命令PIMD：PI消息摘要OI：订单信息OIMD：OI消息摘要H：哈希函数（SHA-1）POMD：支付/订单消息摘要‖：连结E：加密函数（RSA）KRc：用户私钥双重签名过程认证技术双重签名的原理接收方订单信息信用卡信息订单双重数字摘要b如果二者相同，说明接收到的数据在传输过程中没有被篡改。数字摘要C网上商家银行密文1数字摘要A数字摘要B密文2双重数字摘要a4.发送密文1数字摘要A数字摘要B密文2双重数字摘要a56311378.比较9.发送密文2信用卡信息数字摘要D数字摘要A双重数字摘要a双重数字摘要c如果二者相同，说明接收到的数据在传输过程中没有被篡改。13.比较121011消费者认证技术数字签名实施•用户首先可以下载或者购买数字签名软件，然后安装在个人电脑上。在产生密钥对后，软件自动向外界传送公开密钥。由于公共密钥的存储需要，所以需要建立一个鉴定中心（CA）完成个人信息及其密钥的确定工作。鉴定中心是一个政府参与管理的第三方成员，以便保证信息的安全和集中管理。用户在获取公开密钥时，首先向鉴定中心请求数字确认，鉴定中心确认用户身份后，发出数字确认，同时鉴定中心向数据库发送确认信息。然后用户使用私有密钥对所传信息签名，保证信息的完整性、真实性，也使发送方无法否认信息的发送，之后发向接收方；接收方接收到信息后，使用公开密钥确认数字签名，进入数据库检查用户确认信息的状况和可信度；最后数据库向接收方返回用户确认状态信息。认证技术美国数字签名标准•数字签名标准（DSS:DigitalSignatureStandard）由美国国家标准技术研究所（NIST）于1991年提出，并于1994年正式成为美国联邦信息处理标准（FIPSPUB186），这标志着数字签名已得到政府的支持。DSS使用的签名算法称为数字签名算法（DSA:DigitalSignatureAlgorithm）。2000年1月美国政府将RSA和椭圆曲线密码引入数字签名标准DSS，进一步丰富了DSS的算法。目前，DSS的应用已十分广泛，并被多个国际标准化组织采纳作为标准。美国的一些州已经通过相关法律，正式承认数字签名的法律意义。这是数字签名得到法律支持的重要标志。认证技术认证技术数字时间戳认证技术数字时间戳数字时间戳就是对电子文件签署的日期和时间进行安全性保护和有效证明的技术，他必须由专门的数字时间戳服务中心来添加。数字时间戳实际上是一个经过加密后形成的凭证文档。一般包括三个部分：信息的数字摘要数字时间戳服务中心收到数字摘要的时间和日期数字时间戳服务中心的数字签名认证技术数字时间戳的原理发送方数字时间戳服务中心信息数字摘要A数字摘要A数字时间戳数字摘要A+时间信息2.加时间3.数字签名数字时间戳1.HashDTS认证技术认证技术数字证书认证技术Whoareyou？网络中，我如何能相信你认证技术为什么要使用数字证书？——网络系统安全分析认证技术数字证书是由权威机构－－CA证书授权（CertificateAuthority）中心发行的，能提供在Internet上进行身份验证的一种权威性电子文档，人们可以在互联网交往中用它来证明自己的身份和识别对方的身份。认证技术数字证书如同我们日常生活中使用的身份证，它是持有者在网络上证明自己身份的凭证。在一个电子商务系统中，所有参与活动的实体都必须用证书来表明自己的身份。证书是一个经证书授权中心数字签名的包含公开密钥拥有者信息以及公开密钥的文件。证书一方面可以用来向系统中的其它实体证明自己的身份，另一方面由于每份证书都携带着证书持有者的公钥，所以证书也可以向接收者证实某人或某个机构对公开密钥的拥有，同时也起着公钥分发的作用。简单地说，证书的构成就是一个公钥，再加上公钥所有者的标识，以及被信任的第三方对上述信息的数字签名。公证方的数字签名保证了公钥及其所有者的对应关系，同时也保证了证书中的公钥信息不会被篡改。认证技术认证技术数字证书的原理公钥公钥私钥私钥数字证书采用公钥机制，证书颁发机构提供的程序为用户产生一对密钥，一把是公开的公钥，它将在用户的数字证书中公布并寄存于数字证书认证中心。另一把是私人的私钥，由用户自己安全存放。数字证书认证中心C