信息安全技术之认证技术

认证技术
中国政府的政令通常是以红头文件下发的， 之所以有效力，是因为上面有政府的公章。但 是，在网络上怎么能够保证其所公布的文件同 样是有效果的？信息的一个重要特征是可以复 制，又有什么样的例子可以说明复制的文件是 有法律效力的？网络信息经济时代在给我们带 来快捷便利的同时，也提出了新的挑战。
认证技术
信息 1
密文1 数字
密文1 5 订单 6 数字摘要C 数字
密文2接10收信用方卡11 数字
信息 摘要D
摘要A
摘要A
数字
1 信用卡
数字 摘要B
4.发送 数字
摘要B
9.发送 摘要A
12
7
信息 3 密文2
密文2
双重数 13.比较双重数
双重数 字摘要a
双重数 8.比较 字摘要a
双重数 字摘要b
字摘要a
字摘要c
认证技术
认证技术
数字时间戳
认证技术
数字时间戳
数字时间戳就是对电子文件签署的日期和时间 进行安全性保护和有效证明的技术，他必须由专门 的数字时间戳服务中心来添加。
数字时间戳实际上是一个经过加密后形成的凭 证文档。一般包括三个部分： ➢信息的数字摘要 ➢数字时间戳服务中心收到数字摘要的时间和日期 ➢数字时间戳服务中心的数字签名
认证技术
数字签名
为了实现网络环境下的身份鉴别、数据完整性认证和 抗否认的功能，数字签名应满足以下要求： (1)签名者发出签名的消息后，就不能再否认自己所签发的 消息； (2)接收者能够确认或证实签名者的签名，但不能否认； (3)任何人都不能伪造签名； (4)第三方可以确认收发双方之间的消息传送，但不能伪造 这一过程，这样，当通信的双方关于签名的真伪发生争执 时，可由第三方来解决双方的争执。
手写签名
签名与所签署之信息是一 个整体； 是由经验丰富的接收者, 通过同预留的签名样本相 比较而作出判断的； 签名的复制是无效的签名
认证技术
运用数字信封的数字签名
hash
认证技术
双重签名
双重签名就是进行两次签名，是为了解决电子 交易中三方之间信息传输的安全性问题。假设发送 方有两个信息A和B分别发送给接收方1和2，双重签 名的具体做法是，发送方分别用Hash函数对信息A和 B进行处理，生成各自的数字摘要A和B，然后将二 者在合并起来，形成一个新的信息C，再用Hash函数 处理得到它的数字摘要C，最后用发送方的私人密钥 对双重数字摘要进行加密，即得到双重数字签名。
认证技术
Hash函数
• Hash函数适用任意信息长度 • 产生的摘要是定长的（128位） • 易于计算 • 通过摘要得到原信息计算上不可行
（1）给定消息x，如果寻找一个x’≠x，使得h(x’)=h(x) 在计算上不可行 （2）给定摘要z，如果寻找一个消息x使h(x)=z计算上 不可行
认证技术
银行乙： 请将200元资金 从本账号转移至 12345账号上。
认证技术
数字签名概念
数字签名是附着于数字信息（数据电文）的。电子签名 可以是数据电文的一个组成部分，也可以是数据电文的附属
数字签名必须能够识别签名人的身份并表明签名人认可 与数据签名相联系的数据电文的内容。
数字签名解决的主要问题是在电子商务活动中确保信息 、单据的真实性和不可抵赖性。
100111000101
主要功能：
表明文件的来源，识别签名人 签名人对文件内容的确认 能够构成签名人对文件内容正确性和完整性负责的根据
认证技术
数字签名
数字签名技术是结合消息摘要函数和公钥加密算法的具 体加密应用技术。数字签名(Digital Signature)指一个用自己 的非对称密码算法(如：RSA算法)私钥加密后的信息摘要， 附在消息后面；别人得到这个数字签名及签名前的信息内容 ，使用该用户分发的非对称密码算法公钥，就可以检验签名 前的信息内容在传输过程或分发过程中是否己被篡改并且可 以确认发送者的身份。
认证技术
数字摘要的特点
数字摘要 的特点
优点
在一定程度上保 证信息的真实性 ，防止信息在传 输过程中被篡改 。
缺点
单靠数字摘要并 不能保证信息的 完整性，必须和 信息加密等其他 安全技术结合起 来使用。
认证技术
认证技术
数字签名
认证技术
签名概念
在政治、军事、外交、商业和日常生活中，人们经 常需要对纸质材料进行签名。
密钥K
00011000
sigK
认证技术
数字签名的过程
发送方将发送消息通过Hash函数生成数字摘要； 利用发送方私钥对数字摘要进行加密，形成数字 签名，与消息明文一同发送； 接收方得到消息，对消息明文Hash函数运算，得 到实际的数字摘要； 利用发送方公钥对数字签名进行解密，得到预期 的摘要； 对比两个摘要，如果相同，表示数字签名有效， 否则无效。
客户小麦
支付通知
Hash算法：数 字摘要生成器
sdsjdsjdadajddsad assdasdsasadasda sasdsa
支付通知的 数字摘要
认证技术 数字摘要的原理
发送方
信息
1.Hash
数字摘要A
接收方
2.Hash
信息
数字摘要B
3.二者 比较
数字摘要A
如果二者相同， 说明接收到的
数据在传输过程 中没有被篡改。
认证技术
数字时间戳的原理
发送方
信息 1.Hash 数字摘要A
数字时间戳
数字时间戳服务中心
2.加时间 数字摘要A
数字摘要A
+
时间信息
3.数字 签名
数字时间戳
DTS
认证技术
认证技术
数字证书
认证技术
Who are you？
网络中，我如何能相信你
认证技术
为什么要使用数字证书？ ——网络系统安全分析
认证技术
数字签名 数字摘要A
认证技术
数字签名的特点
不可 伪造
数字签名是由发送方的私人密钥加密产生的， 而私人密钥只有发送方自己知道，如果发送方 没有泄露，别人无法知道私人密钥，也就无法 伪造数字签名
信息无
数字签名是信息在发送方经过加密得到的， 信息被篡改，对应的数字签名也将改变，接
法篡改 收方进行签名验证不会通过。
不可 抵赖
私人/公开密钥对是一一对应的，一个私人密 钥只分配给一个发送方。
认证技术
数字签名的功能
防止发送方否认 自己的行为
防止接收方伪 造信息
如果发送方抵赖自己对某次交易的操作，那么接收 方可以提供收到的数字签名作为证据，追究责任。
接收方伪造信息时，只需要简单地用发送方的公 开密钥验证即可得知真伪。
双重签名的原理
如果二者相同， 说明接收到的
数据在传输过程 中没有被篡改。
如果二者相同， 说明接收到的
数据在传输过程 中没有被篡改。
认证技术
数字签名实施
• 用户首先可以下载或者购买数字签名软件，然后安装在 个人电脑上。在产生密钥对后，软件自动向外界传送公 开密钥。由于公共密钥的存储需要，所以需要建立一个 鉴定中心（CA）完成个人信息及其密钥的确定工作。鉴 定中心是一个政府参与管理的第三方成员，以便保证信 息的安全和集中管理。用户在获取公开密钥时，首先向 鉴定中心请求数字确认，鉴定中心确认用户身份后，发 出数字确认，同时鉴定中心向数据库发送确认信息。然 后用户使用私有密钥对所传信息签名，保证信息的完整 性、真实性，也使发送方无法否认信息的发送，之后发 向接收方；接收方接收到信息后，使用公开密钥确认数 字签名，进入数据库检查用户确认信息的状况和可信度； 最后数据库向接收方返回用户确认状态信息。
认证技术
数字签名的原理
发送方
信息
百度文库
接收方
5.Hash
信息
数字摘要B
1.Hash
数字摘要A
2.发送方私 人密钥加密
4.接收
信息
+ 3.发送
信息 +
数字签名
数字签名
数字签名
如密果，可说以明解 发7.比较 送者身份是 两者
真实的
如果两者相同， 说明接收到的 数据是完整的， 即在传输过程 中没有被篡改
6.发送方公 开密钥解
数字证书
是由权威机构－－CA证书授权（ Certificate Authority）中心发行的，能提供在 Internet上进行身份验证的一种权威性电子文 档，人们可以在互联网交往中用它来证明自 己的身份和识别对方的身份。
认证技术
数字证书如同我们日常生活中使用的身份证，它是持 有者在网络上证明自己身份的凭证。在一个电子商务系统中 ，所有参与活动的实体都必须用证书来表明自己的身份。证 书是一个经证书授权中心数字签名的包含公开密钥拥有者信 息以及公开密钥的文件。证书一方面可以用来向系统中的其 它实体证明自己的身份，另一方面由于每份证书都携带着证 书持有者的公钥，所以证书也可以向接收者证实某人或某个 机构对公开密钥的拥有，同时也起着公钥分发的作用。
认证技术
美国数字签名标准
• 数字签名标准（DSS: Digital Signature Standard）由美 国国家标准技术研究所（NIST）于1991年提出，并于 1994年正式成为美国联邦信息处理标准（FIPS PUB186），这标志着数字签名已得到政府的支持。 DSS使用的签名算法称为数字签名算法（DSA: Digital Signature Algorithm）。2000年1月美国政府将RSA和 椭圆曲线密码引入数字签名标准DSS，进一步丰富了 DSS的算法。目前，DSS的应用已十分广泛，并被多个 国际标准化组织采纳作为标准。美国的一些州已经通过 相关法律，正式承认数字签名的法律意义。这是数字签 名得到法律支持的重要标志。
认证技术
双重签名过程
PIMD
PI
H
KRc
POMD
Dual
H
E
signature
OIMD
OI
H
PI：支付命令
PIMD：PI消息摘要
OI：订单信息
OIMD：OI消息摘要
H：哈希函数（SHA-1） POMD：支付/订单消息摘要
‖：连结
E：加密函数（RSA）
KRc：用户私钥
认证技术
消费者
网上商家
银行
3 订单
在现实生活中，我们个人的身份主要是通 过各种证件来确认的，比如：身份证、护照、 学生证、军官证、户口本等。单位进出的出入 证，楼层进出的门禁卡、令牌等。
认证技术
网络认证方法
通常有三种方法验证主体身份。 1）是只有该主体了解的秘密，如口令、密钥；
2）是数字签名、数字认证、智能卡；
3）是只有该主体具有的独一无二的特征或能力，如指纹、 声音、视网膜图或签字等。
单独用一种方法进行认证不充分
认证技术
认证技术
数字摘要
认证技术
数字摘要
• 数字摘要是信息发送方利用Hash算法对信息进行 处理后，生成的一个有128位二制位的特殊字符串。
• 将数字摘要一起发送给接收方，接收方可以根据 数字摘要判断信息在传输过程中是否被篡改过。
• 原文与数字摘要是一一对应的关系，如果原文被 篡改，数字摘要将无法匹配。
第三讲 信息安全技术之
认证技术
商学院 屈维意 博士 讲师
信息安全技术体系
安全认证
认证技术
1 2 3 4 5
学习目标
掌握数字摘要的原理 掌握数字签名的原理 掌握数字时间戳的原理 掌握数字认证的原理 了解生物特征识别技术
认证技术
认证技术
认证技术
认证技术
认证活动一直贯穿于人类的学习与生活：新生入学时， 学校要查看他们的入学录取通知书，这是学校对于学生的认 证，以便识别你是张三而不是李四；去银行取钱时，要出示 用户的存折卡，一般还要输入用户的密码，这是银行对储户 的认证。去食堂吃饭、到图书馆借书时，需要出示我们的校 园一卡通，这是食堂和图书馆对学生身份的认证。上述情况 都是认证活动在我们生活中的体现。简单说，信息认证也是 对我们现实世界的数字模拟 。
这些疑问直接导致了数字签名和数字认 证技术的诞生。
认证的最终目的是识别有效的用户，安全 在一定意义上总要花费一定的代价。我们总 是希望能够使用尽可能小的花费实现最大程 度（设计目标）的安全。这就需要我们选择 具体的实现方式，至于具体方式的选择，应 该从实际情况，即安全的需要出发。
认证技术
现实认证方法
签名起到确认、核准、生效和负责任等多种作用。
随着计算机网络技术的发展，电子商务、电子政务 和电子金融等系统得到广泛应用，人们需要通过网络信 息传输对电子的文件、契约、合同、信件和帐单等进行 数字签名以替代手写签名。
认证技术
传统手写签名
指一个人亲笔在一份文件上写下名字或留下印记、印章或 其他特殊符号，以确定签名人的身份，并起到确认、核准、生 效和负责任等多种作用
防止他人 冒充身份
用来签名的私人密钥只有发送方自己知道，用来验证 签名的公开密钥只发送给了接收方，且发送时加密。
防止篡改 信息
接收方通过对数字签名的验证，即可以判断出信息是否 完整，接收方只信任完整的信息，而将被篡改信息丢弃
认证技术 数字签名与手写签名的区别
数字签名
数字签名中的签名同信 息是分开的 ； 数字签名利用一种公开 的方法对签名进行验证， 任何人都可以对之进行 检验 ； 有效签名的复制同样是 有效的签名