密码q学第6章.pptVIP

6.3.1 基于私钥和公钥密码的信息认证 （1）基于私钥密码体制的信息认证 假设通信双方为A和B。A、B共享的密钥为KA,B，M为A发送给B的信息。为防止信息M在传输信道被窃听，A将M加密后再传送，如下图所示。 图 基于私钥的基本信息认证机制 由于KA,B为用户A和B的共享密钥，所以用户B可以确定信息M是由用户A所发出的。因此，这种认证方法可以对信息来源进行认证，而且它在认证的同时对信息M也进行了加密。这种方法的缺点是不能提供信息完整性的鉴别。 C=EKA,B(M) M=DKA,B(C) KA,B KA,B Internet M 通过引入单向hash函数，可以解决信息完整性检测问题，如图6.16所示。 在图6.16（a）的信息认证机制中，用户A首先对信息M求hash值H(M)，然后将M‖H(M)加密后传送给用户B。用户B通过解密并验证附于信息M之后的hash值是否正确。 图6.16 (b)的信息认证机制和6.16 (a)的信息认证机制惟一不同的地方是对hash值加密。 在图6.16 (c)的信息认证机制中，则使用一种带密钥的hash函数H（H可取为ANSI X9.9标准中规定的DES CBC模式，KA,B为DES的加密密钥），函数H以M和K A,B为参数。图6.16 (c)的信息认证机制与图6.16 (b)的信息认证机制主要区别在于产生信息认证码（MAC）的方式不同。 图6.16给出的三种信息认证方案均均实现信息来源和完整性的认证。 图6.16 基于私钥的信息认证机制 (a) KA,B C=EKA,B (M‖H(M)) DKA,B(C) KA,B M H(M) M H(M) Internet (b) M DKA,B(C) KA,B KA,B M H(M) M H(M) M C=EKA,B(H(M)) Internet (c) M C=H(KA,B,M) M C M C Internet （2）基于公钥体制的信息认证 基于公钥体制的信息认证技术主要利用数字签名和hash函数来实现。假设用户A对信息M的hash值H(M)的签名为SigSA(H（M）），其中SA为用户A的私钥。用户A将M‖ SigSA (H（M））发送给用户B。用户B通过A的公钥来确认信息是否由A所发出，并且通过计算hash值来对信息M进行完整性鉴别。如果传输的信息需要保密，那么用户A和B可以通过密钥分配中心KDC获得一个共享密钥K A,,B，A将信息签名和加密后再传送给B，如图6.17所示。 因为只有用户A和B拥有共享密钥KA,B，所以B能够确信信息来源的可靠性和完整性。 图6.17 基于公钥的信息认证机制 C=EKA,B(M‖SigsA(H(M))) KA,B DK A,B (C) KA,B, PA, M SigsA(H(M )) M H(M) Internet 6.3.2 X.509目录认证服务 X .509的核心是为每个用户提供惟一的基于公开密钥的数字证书。证书由可信的证书权威机构CA（Certificate Authority）创建，由CA或用户将证书存放于目录中，而目录服务器仅提供证书访问服务。 由CA签发的数字证书具有以下两个特点：任何拥有CA公钥的用户都可以恢复证书持有者的公钥，除CA以外任何人都不可能更改证书而不被发觉。由于证书是不可伪造的，因此可以将它们存放在同一个目录内，而不需要目录提供特殊的保护措施。同时，使用同一CA签发证书的用户，意味着这些用户对该CA的共同信任。所以CA可以把所有用户的证书存放在他们都能访问的目录内。这样，在同一个CA内的两个用户A和B就可以很方便地获得对方的证书和公钥。 每个用户证书都有一个有效期，CA必须在用户证书到期之前向该用户颁发一个新证书。 用户证书必须在过期前撤消。所以每个CA必须保存一份所有已经撤消但还没有过期的证书表，称作CRL（证书撤消表）。 X.509使用公钥签名的方法实现认证。 A向B证明自己身份的协议 ① A首先查找目录得到B的证书路径和B的公钥。 ② A构造一条消息m = (TA , RA , IDB , M )，这里TA为当前时间， RA是一个随机数。为了安全起见，可用B的公钥EB对消 息m 加密