90273-信息安全技术-第03章 信息认证技术(1)
合集下载
相关主题
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
--20--
3.2 数字签名
(a、b)两种方式的共同问题 ¾ A和发送方联手可以否认签名的信息; ¾ A和接收方联手可以伪造发送方的签名;
(c)双密钥加密方式,仲裁者不可看见消息 ① X→A: IDx || EKRx[IDx || EKUy (EKRx[M])] ② A→Y: EKRa[IDx|| EKUy[EKRx[M]] || T]
--21--
3.2 数字签名
(c)双密钥加密方式,仲裁者不可看见消息(续) ¾ 优点 • 在通信之前各方之间无须共享任何信息, 从而避免了联手作弊; • X发送给Y的消息的内容对A和任何其他人 是保密的。
--22--
3.2 数字签名
3. RSA数字签名方案 ¾ A的公钥私钥对 {KUa||KRa} ¾ A对消息M签名 SA=EKRa(M)
--38--
3.3 哈希函数和消息完整性
3. 基本用法(续) 用法e)避开了加密手段 • 加密软件速度可能比较慢 • 加密硬件的开销很大 • 加密算法可能受专利保护 • 加密算法可能受出口的限制
--39--
3.3 哈希函数和消息完整性
4. Hash函数的分类 ¾ 根据安全水平 • 弱无碰撞,散列函数h称为是弱无碰撞 的,是指对给定消息x ∈X,在计算上几乎 找不到异于x的x' ∈ X使h(x)=h(x'); • 强无碰撞,散列函数h被称为是强无碰撞 的,是指在计算上几乎不可能找到相异的x, x'使得h(x)=h(x')。 注:强无碰撞自然含弱无碰撞!
--11--
3.2 数字签名
可仲裁性: ¾ 靠法律解决:签名者的签名识别密钥应由 可信的第三方的确认、公布和认可解决 ¾ 法律介入--两个中心:发证中心; 认证中 心(仲裁中心)
--12--
3.2 数字签名
4.数字签名应满足的条件 • R1-条件 • S-条件 • R2-条件 • T-条件
--13--
--33--
3.3 哈希函数和消息完整性
a)只提供完整性鉴别
M
H
E
用户A
K
对称算法仅加密 摘要——完整性
鉴别
ll
M
EK[H(M)]
H 比较
D
K
M 用户B
--34--
3.3 哈希函数和消息完整性
b)完整性鉴别 + 保密
M
ll
M
E
M
用户A
H
M ll H(M) K EK[M ll H(M)]
对称算法加密消息
第3章 信息认证技术
数字签名 消息完整性 身份认证
--1--
第3章 信息认证技术
信息认证技术。通过数字签名、信息摘 要以及身份认证理论和技术,实现信息完整 性检测;保护信息的抗否认性。利用知识、 推理、生物特征和认证的可信协议及模型完 成实体的身份认证,防止身份的假冒。
--2--
第3章 信息认证技术
纯认证系统模型
--4--
3.1 认证wk.baidu.com述
2. 对通信系统的典型攻击
¾ 窃听 ¾ 业务流分析 ¾ 消息篡改
内容修改、顺序修改、时间修改 ¾ 冒充 ¾ 抵赖
--5--
3.1 认证概述
3. 认证的内容和目的
¾ 实体(身份)鉴别 —— 身份认证 ¾ 完整性鉴别 —— 完整性认证 ¾ 时序性鉴别 —— 时序性认证
--16--
3.2 数字签名
2. 仲裁数字签名
1)原理 ¾ 引入仲裁者 ¾ 仲裁者在这一类签名模式中扮演敏感和关键的 角色。 所有的参与者必须极大地相信这一仲 裁机制工作正常。 ¾ 可信系统(Trusted System)或可信第三方 (Trusted third party)
--17--
3.2 数字签名
2)仲裁数字签名的不同实现方式 (a)单密钥加密方式,仲裁者可以看见消息 ① X→A:M||EKxa[IDx|| H(M)] ② A→Y:EKay[IDx|| M || EKxa[IDx|| H(M)] || T] X与A之间共享密钥Kxa,Y与A之间共享密钥 Kay;
--18--
3.2 数字签名
H
及摘要——保密与 比较
M
D
完整性鉴别
H(M) K
--35--
M 用户B
3.3 哈希函数和消息完整性
c)完整性鉴别 + 数字签名
M H
用户A
公钥算法加密摘 要——完整性鉴 别与数字签名
ll
M
E KRa
ERa[H(M)]
比较
H
D KUa
M 用户B
--36--
3.3 哈希函数和消息完整性
d)完整性鉴别 + 数字签名 + 保密
iii. A→B: M||EKRa[H(M)] ¾ 提供鉴别与签名(KRa)
iii. A→B: EK[M||EKRa[H(M)]]
EKUb
¾ 提供保密(EK)、鉴别与签名(KRa)
--15--
3.2 数字签名
直接数字签名的缺点
¾ 验证模式依赖于发送方的保密密钥 • 发送方要抵赖发送某一消息时,可能会声 称其私有密钥丢失或被窃,从而他人伪造 了他的签名 • 通常需要采用与私有密钥安全性相关的行 政管理控制手段 • 改进的方式:要求将已暴露的密钥报告给 一个授权中心。
¾ 签名+保密 ① 先签名,后加密: EKUb{M||SigA(M)} ②先加密,后签名: {EKUb(M)||SigA(EKUb(M))}
¾方式②的问题: •发生争议时,B需要向仲裁者提供自己的私钥 •攻击者E截获消息,把SigA(EKUb(M))换成 SigE(EKUb(M)),让B以为该消息来自E
3.2 数字签名
3.1.2. 数字签名实现方法
1. 基本用法 i. A→B: EKRa[M] ¾ 提供鉴别与签名(KRa): • 只有A能够使用KRa进行加密; • 传输中没有被篡改; • 任何第三方可以用KUa 验证签名
--14--
3.2 数字签名
ii. A→B: EKUb [EKRa(M)] ¾ 提供保密(KUb) ¾ 提供鉴别与签名(KRa)
--6--
3.1 认证概述
4. 对认证系统的要求
一个安全的鉴别系统,需满足 ¾ 意定的接收者能够检验和证实消息的合法 性、真实性和完整性 ¾ 消息的发送者和接收者不能抵赖 ¾ 除了合法的消息发送者,其它人不能伪造合 法的消息
--7--
3.2 数字签名
3.1.1 数字签名基本概念
1.数字签名的引入
• MAC依赖双方共享的密钥生成,而Hash 可直接生成鉴别码 • MAC速度较慢
--31--
3.3 哈希函数和消息完整性
2. 对Hash函数的要求 ¾ H可以作用于一个任意长度的数据块; ¾ H产生一个固定长度的输出; ¾ 对任意给定的x ,H(x) 计算相对容易,无论是 软件还是硬件实现; ¾ 对任意给定码h,找到x满足H(x)=h具有计算 不可行性;(单向性) ¾ 对任意给定的数据块x,找到满足H(y)=H(x) 的y≠x具有计算不可行性;(防止伪造) ¾ 找到任意数据对(x,y),满足H(x) = H(y)是计 算不可行的。(抵御生日攻击)
--23--
3.2 数字签名
¾ 漏洞:EKRa(x×y)≡EKRa(x)×EKRa(y) mod n ¾ 解决:
• 先做摘要: HM = hash(M) • 再对HM签名SA=EKRa(HM) —— hash函数的无碰撞性保证了签名的有效性
--24--
3.2 数字签名
--25--
3.2 数字签名
认证技术应用于: 一:验证信息的发送者是否合法性,也即实
体认证或身份认证,包括信源、信宿的认证和识 别。
二:验证信息的完整性即数据在存储、传输 中是否被篡改、重放或延迟等。
--3--
3.1 认证概述
1.认证系统模型
窜扰者
鉴别编码器和鉴 别译码器可抽象 为鉴别函数
信源 鉴别编码器 鉴别译码器 信宿
安全信道 密钥源
--40--
3.3 哈希函数和消息完整性
4. Hash函数的分类(续)
¾ 根据是否使用密钥 • 带秘密密钥的Hash函数:消息的散列值由 只有通信双方知道的秘密密钥K来控制。此 时,散列值即是MAC。 • 不带秘密密钥的Hash函数:消息的散列值 的产生无需使用密钥。此时,散列值就成为 了消息摘要码MDC。
--29--
3.3 哈希函数和消息完整性
3.3.1. 哈希(Hash)函数
1. 定义与作用
Z = H(M)
¾ H(M): 输入为任意长度的消息M; 输出为一 个固定长度的散列值(杂凑值),称为消息摘要 (Message Digest),而这种生成方法不能逆推 出源信息。
¾ 这个散列值是消息M的所有位的函数并提供错 误检测能力:消息中的任何一位或多位的变化都 将导致该散列值的变化。
--26--
3.2 数字签名
3.2.3 专用的数字签名
1.盲数字签名( Blind Signature )方案
¾ 盲签名要求: 消息内容对签名者不可见 ¾ 盲签名过程:
消息→盲变换→签名→接收者→解盲变换
M
M’
S(M’)
S(M)
盲 变 换
签
解盲
名
变换
--27--
3.2 数字签名
¾ 完全盲签名 • 盲因子是真正的随机因子,签署者无法了解 文件内容,只是知道对其签过名,并能验证该 签名; • 对签署者存在危险;
2.手工签名 表示签名者对消息的认可; 他人可识别和验证出是谁的签名; 他人无法伪造和更改签名 • 无法凭空造出一个签名; • 对一个文件的签名不能复制或篡改成对另 一个文件的签名;
--9--
3.2 数字签名
可仲裁性: 出现争议时第三方可仲裁. • 仲裁的内容: (A) 签名者是否在抵赖、否认其签名; (B) 签名是否是伪造的。
--32--
3.3 哈希函数和消息完整性
3.基本用法
¾ 消息: x 任意长 ¾ 消息摘要: Z=h(x) ¾ 签名: y=signk(Z) (即y= signk(h(x)) ,签 名一个消息摘要) ¾ 验证签名:(x,y),其中y= signk(h(x)),解开签 名,然后使用公开的散列函数h,重构作 Z'=h(x)。然后Verk(y)=Z,来看Z?=Z'
¾ 公平盲签名/普通盲签名 • 通过协议规定的限制条件,必要时能够得知所 签署内容,或者能够避免对签署者的欺诈
--28--
3.2 数字签名
2. 群数字签名方案
¾ 群中各个成员以群的名义匿名地签发消息。具 备下列三个特性
• 只有群成员能代表所在的群签名 • 接收者能验证签名所在的群,但不知道签名者 • 需要时,可借助于群成员或者可信机构找到签 名者 ¾ 应用:投标
签名的实现方式就是在原文件上追加一定的 笔迹信息,并使二者形成一个整体。
--10--
3.2 数字签名
3.对数字签名的要求
签名者对消息进行某种变换完成签名; 识别和验证:
¾ 利用签名者的公开信息(签名识别密钥)和 文件的公开性; 他人不能伪造签名: ¾ 签名应与签名者独有的秘密信息(签名密 钥)密切相关;
--30--
3.3 哈希函数和消息完整性
¾ 又称为:哈希函数、数字指纹(Digital finger print)、压缩(Compression)函数、紧缩 (Contraction )函数、数据鉴别码DAC (Data authentication code)、篡改检验码 MDC(Manipulation detection code) ¾ 与MAC的区别
¾ 消息鉴别用以保护双方之间的数据交换不被第三方 侵犯;但它并不保证双方自身的相互欺骗。假定A发 送一个认证的信息给B,双方之间的争议可能有多种 形式,如:
• B伪造一个不同的消息,但声称是从A收到的。 • A可以否认发过该消息,B无法证明A确实发了该 消息。
—— 引入签名机制
--8--
3.2 数字签名
M
ll
M
E
M
用户A
HE KRa
公钥算法加密摘要,对称 算法加密整体——完整性 鉴别、数字签名与保密
K ERa[H(M)] Ek[ERa[H(M)]]
比较
H
D KUa
MD K
用户B
--37--
3.3 哈希函数和消息完整性
e)完整性鉴别
M
ll
用户A S ll H
用户B
M
M S
ll
H
H(M lS)
比较
用户a与b协商随机 串S,不使用加密 ——完整性鉴别
¾ 解决纠纷: Y:向A发送EKay[IDx|| M || EKxa[IDx|| H(M)]] A:用Kay恢复IDx、M和签名EKxa[IDx|| H(M)]],然后用Kxa解密签名并验证散列码
¾ 在这种模式下Y不能直接验证X的签名,因此, 双方都需要高度相信A。
--19--
3.2 数字签名
(b)单密钥加密方式,仲裁者不可看见消息 ① X→A: IDx || EKxy[M]||EKxa[IDx|| H(EKxy[M] ② A→Y:EKay[IDx||EKxy[M] || EKxa[IDx|| H(EKxy[M])] || T] X与Y之间共享密钥Kxy, X与A之间共享密钥 Kxa,Y与A之间共享密钥Kay;
3.2 数字签名
(a、b)两种方式的共同问题 ¾ A和发送方联手可以否认签名的信息; ¾ A和接收方联手可以伪造发送方的签名;
(c)双密钥加密方式,仲裁者不可看见消息 ① X→A: IDx || EKRx[IDx || EKUy (EKRx[M])] ② A→Y: EKRa[IDx|| EKUy[EKRx[M]] || T]
--21--
3.2 数字签名
(c)双密钥加密方式,仲裁者不可看见消息(续) ¾ 优点 • 在通信之前各方之间无须共享任何信息, 从而避免了联手作弊; • X发送给Y的消息的内容对A和任何其他人 是保密的。
--22--
3.2 数字签名
3. RSA数字签名方案 ¾ A的公钥私钥对 {KUa||KRa} ¾ A对消息M签名 SA=EKRa(M)
--38--
3.3 哈希函数和消息完整性
3. 基本用法(续) 用法e)避开了加密手段 • 加密软件速度可能比较慢 • 加密硬件的开销很大 • 加密算法可能受专利保护 • 加密算法可能受出口的限制
--39--
3.3 哈希函数和消息完整性
4. Hash函数的分类 ¾ 根据安全水平 • 弱无碰撞,散列函数h称为是弱无碰撞 的,是指对给定消息x ∈X,在计算上几乎 找不到异于x的x' ∈ X使h(x)=h(x'); • 强无碰撞,散列函数h被称为是强无碰撞 的,是指在计算上几乎不可能找到相异的x, x'使得h(x)=h(x')。 注:强无碰撞自然含弱无碰撞!
--11--
3.2 数字签名
可仲裁性: ¾ 靠法律解决:签名者的签名识别密钥应由 可信的第三方的确认、公布和认可解决 ¾ 法律介入--两个中心:发证中心; 认证中 心(仲裁中心)
--12--
3.2 数字签名
4.数字签名应满足的条件 • R1-条件 • S-条件 • R2-条件 • T-条件
--13--
--33--
3.3 哈希函数和消息完整性
a)只提供完整性鉴别
M
H
E
用户A
K
对称算法仅加密 摘要——完整性
鉴别
ll
M
EK[H(M)]
H 比较
D
K
M 用户B
--34--
3.3 哈希函数和消息完整性
b)完整性鉴别 + 保密
M
ll
M
E
M
用户A
H
M ll H(M) K EK[M ll H(M)]
对称算法加密消息
第3章 信息认证技术
数字签名 消息完整性 身份认证
--1--
第3章 信息认证技术
信息认证技术。通过数字签名、信息摘 要以及身份认证理论和技术,实现信息完整 性检测;保护信息的抗否认性。利用知识、 推理、生物特征和认证的可信协议及模型完 成实体的身份认证,防止身份的假冒。
--2--
第3章 信息认证技术
纯认证系统模型
--4--
3.1 认证wk.baidu.com述
2. 对通信系统的典型攻击
¾ 窃听 ¾ 业务流分析 ¾ 消息篡改
内容修改、顺序修改、时间修改 ¾ 冒充 ¾ 抵赖
--5--
3.1 认证概述
3. 认证的内容和目的
¾ 实体(身份)鉴别 —— 身份认证 ¾ 完整性鉴别 —— 完整性认证 ¾ 时序性鉴别 —— 时序性认证
--16--
3.2 数字签名
2. 仲裁数字签名
1)原理 ¾ 引入仲裁者 ¾ 仲裁者在这一类签名模式中扮演敏感和关键的 角色。 所有的参与者必须极大地相信这一仲 裁机制工作正常。 ¾ 可信系统(Trusted System)或可信第三方 (Trusted third party)
--17--
3.2 数字签名
2)仲裁数字签名的不同实现方式 (a)单密钥加密方式,仲裁者可以看见消息 ① X→A:M||EKxa[IDx|| H(M)] ② A→Y:EKay[IDx|| M || EKxa[IDx|| H(M)] || T] X与A之间共享密钥Kxa,Y与A之间共享密钥 Kay;
--18--
3.2 数字签名
H
及摘要——保密与 比较
M
D
完整性鉴别
H(M) K
--35--
M 用户B
3.3 哈希函数和消息完整性
c)完整性鉴别 + 数字签名
M H
用户A
公钥算法加密摘 要——完整性鉴 别与数字签名
ll
M
E KRa
ERa[H(M)]
比较
H
D KUa
M 用户B
--36--
3.3 哈希函数和消息完整性
d)完整性鉴别 + 数字签名 + 保密
iii. A→B: M||EKRa[H(M)] ¾ 提供鉴别与签名(KRa)
iii. A→B: EK[M||EKRa[H(M)]]
EKUb
¾ 提供保密(EK)、鉴别与签名(KRa)
--15--
3.2 数字签名
直接数字签名的缺点
¾ 验证模式依赖于发送方的保密密钥 • 发送方要抵赖发送某一消息时,可能会声 称其私有密钥丢失或被窃,从而他人伪造 了他的签名 • 通常需要采用与私有密钥安全性相关的行 政管理控制手段 • 改进的方式:要求将已暴露的密钥报告给 一个授权中心。
¾ 签名+保密 ① 先签名,后加密: EKUb{M||SigA(M)} ②先加密,后签名: {EKUb(M)||SigA(EKUb(M))}
¾方式②的问题: •发生争议时,B需要向仲裁者提供自己的私钥 •攻击者E截获消息,把SigA(EKUb(M))换成 SigE(EKUb(M)),让B以为该消息来自E
3.2 数字签名
3.1.2. 数字签名实现方法
1. 基本用法 i. A→B: EKRa[M] ¾ 提供鉴别与签名(KRa): • 只有A能够使用KRa进行加密; • 传输中没有被篡改; • 任何第三方可以用KUa 验证签名
--14--
3.2 数字签名
ii. A→B: EKUb [EKRa(M)] ¾ 提供保密(KUb) ¾ 提供鉴别与签名(KRa)
--6--
3.1 认证概述
4. 对认证系统的要求
一个安全的鉴别系统,需满足 ¾ 意定的接收者能够检验和证实消息的合法 性、真实性和完整性 ¾ 消息的发送者和接收者不能抵赖 ¾ 除了合法的消息发送者,其它人不能伪造合 法的消息
--7--
3.2 数字签名
3.1.1 数字签名基本概念
1.数字签名的引入
• MAC依赖双方共享的密钥生成,而Hash 可直接生成鉴别码 • MAC速度较慢
--31--
3.3 哈希函数和消息完整性
2. 对Hash函数的要求 ¾ H可以作用于一个任意长度的数据块; ¾ H产生一个固定长度的输出; ¾ 对任意给定的x ,H(x) 计算相对容易,无论是 软件还是硬件实现; ¾ 对任意给定码h,找到x满足H(x)=h具有计算 不可行性;(单向性) ¾ 对任意给定的数据块x,找到满足H(y)=H(x) 的y≠x具有计算不可行性;(防止伪造) ¾ 找到任意数据对(x,y),满足H(x) = H(y)是计 算不可行的。(抵御生日攻击)
--23--
3.2 数字签名
¾ 漏洞:EKRa(x×y)≡EKRa(x)×EKRa(y) mod n ¾ 解决:
• 先做摘要: HM = hash(M) • 再对HM签名SA=EKRa(HM) —— hash函数的无碰撞性保证了签名的有效性
--24--
3.2 数字签名
--25--
3.2 数字签名
认证技术应用于: 一:验证信息的发送者是否合法性,也即实
体认证或身份认证,包括信源、信宿的认证和识 别。
二:验证信息的完整性即数据在存储、传输 中是否被篡改、重放或延迟等。
--3--
3.1 认证概述
1.认证系统模型
窜扰者
鉴别编码器和鉴 别译码器可抽象 为鉴别函数
信源 鉴别编码器 鉴别译码器 信宿
安全信道 密钥源
--40--
3.3 哈希函数和消息完整性
4. Hash函数的分类(续)
¾ 根据是否使用密钥 • 带秘密密钥的Hash函数:消息的散列值由 只有通信双方知道的秘密密钥K来控制。此 时,散列值即是MAC。 • 不带秘密密钥的Hash函数:消息的散列值 的产生无需使用密钥。此时,散列值就成为 了消息摘要码MDC。
--29--
3.3 哈希函数和消息完整性
3.3.1. 哈希(Hash)函数
1. 定义与作用
Z = H(M)
¾ H(M): 输入为任意长度的消息M; 输出为一 个固定长度的散列值(杂凑值),称为消息摘要 (Message Digest),而这种生成方法不能逆推 出源信息。
¾ 这个散列值是消息M的所有位的函数并提供错 误检测能力:消息中的任何一位或多位的变化都 将导致该散列值的变化。
--26--
3.2 数字签名
3.2.3 专用的数字签名
1.盲数字签名( Blind Signature )方案
¾ 盲签名要求: 消息内容对签名者不可见 ¾ 盲签名过程:
消息→盲变换→签名→接收者→解盲变换
M
M’
S(M’)
S(M)
盲 变 换
签
解盲
名
变换
--27--
3.2 数字签名
¾ 完全盲签名 • 盲因子是真正的随机因子,签署者无法了解 文件内容,只是知道对其签过名,并能验证该 签名; • 对签署者存在危险;
2.手工签名 表示签名者对消息的认可; 他人可识别和验证出是谁的签名; 他人无法伪造和更改签名 • 无法凭空造出一个签名; • 对一个文件的签名不能复制或篡改成对另 一个文件的签名;
--9--
3.2 数字签名
可仲裁性: 出现争议时第三方可仲裁. • 仲裁的内容: (A) 签名者是否在抵赖、否认其签名; (B) 签名是否是伪造的。
--32--
3.3 哈希函数和消息完整性
3.基本用法
¾ 消息: x 任意长 ¾ 消息摘要: Z=h(x) ¾ 签名: y=signk(Z) (即y= signk(h(x)) ,签 名一个消息摘要) ¾ 验证签名:(x,y),其中y= signk(h(x)),解开签 名,然后使用公开的散列函数h,重构作 Z'=h(x)。然后Verk(y)=Z,来看Z?=Z'
¾ 公平盲签名/普通盲签名 • 通过协议规定的限制条件,必要时能够得知所 签署内容,或者能够避免对签署者的欺诈
--28--
3.2 数字签名
2. 群数字签名方案
¾ 群中各个成员以群的名义匿名地签发消息。具 备下列三个特性
• 只有群成员能代表所在的群签名 • 接收者能验证签名所在的群,但不知道签名者 • 需要时,可借助于群成员或者可信机构找到签 名者 ¾ 应用:投标
签名的实现方式就是在原文件上追加一定的 笔迹信息,并使二者形成一个整体。
--10--
3.2 数字签名
3.对数字签名的要求
签名者对消息进行某种变换完成签名; 识别和验证:
¾ 利用签名者的公开信息(签名识别密钥)和 文件的公开性; 他人不能伪造签名: ¾ 签名应与签名者独有的秘密信息(签名密 钥)密切相关;
--30--
3.3 哈希函数和消息完整性
¾ 又称为:哈希函数、数字指纹(Digital finger print)、压缩(Compression)函数、紧缩 (Contraction )函数、数据鉴别码DAC (Data authentication code)、篡改检验码 MDC(Manipulation detection code) ¾ 与MAC的区别
¾ 消息鉴别用以保护双方之间的数据交换不被第三方 侵犯;但它并不保证双方自身的相互欺骗。假定A发 送一个认证的信息给B,双方之间的争议可能有多种 形式,如:
• B伪造一个不同的消息,但声称是从A收到的。 • A可以否认发过该消息,B无法证明A确实发了该 消息。
—— 引入签名机制
--8--
3.2 数字签名
M
ll
M
E
M
用户A
HE KRa
公钥算法加密摘要,对称 算法加密整体——完整性 鉴别、数字签名与保密
K ERa[H(M)] Ek[ERa[H(M)]]
比较
H
D KUa
MD K
用户B
--37--
3.3 哈希函数和消息完整性
e)完整性鉴别
M
ll
用户A S ll H
用户B
M
M S
ll
H
H(M lS)
比较
用户a与b协商随机 串S,不使用加密 ——完整性鉴别
¾ 解决纠纷: Y:向A发送EKay[IDx|| M || EKxa[IDx|| H(M)]] A:用Kay恢复IDx、M和签名EKxa[IDx|| H(M)]],然后用Kxa解密签名并验证散列码
¾ 在这种模式下Y不能直接验证X的签名,因此, 双方都需要高度相信A。
--19--
3.2 数字签名
(b)单密钥加密方式,仲裁者不可看见消息 ① X→A: IDx || EKxy[M]||EKxa[IDx|| H(EKxy[M] ② A→Y:EKay[IDx||EKxy[M] || EKxa[IDx|| H(EKxy[M])] || T] X与Y之间共享密钥Kxy, X与A之间共享密钥 Kxa,Y与A之间共享密钥Kay;