(第3章信息认证技术.docVIP

第3章 信息认证技术 本章学习目标 本章介绍认证的概念、认证模式与认证方式、数字签名及一些认证的方法和技术。认证的方法从两个方面进行介绍：身份认证和消息认证。通过本章的学习，应该达到如下目标： 掌握：数字签名的基本原理，哈希函数的基本概念。 理解：认证的概念与作用，消息认证和身份认证的基本原理。 了解：认证模式与认证方式，常用的数字签名体制和身份认证机制。 任务提出 设有A公司的老板名叫Alice，B公司的老板名叫Bb，现Alice想传一File BS给Bb，公司C的老板想要假冒Alice的发另一份标书给Bb，以达到破坏A公司中标的目的。抵赖目的：验证信息发送者，而不是冒充的，实体验证包括信源、信宿等的认证和识别验证信息的完整性传或存储过程中被篡改、重放或延迟等很多少量现金付款系统，如DEC的Millicent和CyberCash的CyberCoin等都使用Hash签名。使用较快的算法可以降低服务器资源的消耗减轻中央服务器的负荷。Hash的主要局限是接收方必须持有用户密钥的副本以检验签名因为双方都知道生成签名的密钥，较容易攻破，存在伪造签名的可能。如果中央或用户计算机中有一个被攻破那么其安全性就受到了威胁。 图3-3 利用散列函数的RSA数字签名方案 为了解决处理和通信的开销，依据要签署报文的内容，散列函数被用于产生称为报文摘要的固定长度数据项（即把来自大域的数值映射进一个较小的范围内）。摘要具有这样的特性，即一般来说报文的任何变动都会产生不同的摘要。 下面详细介绍该签名体制的内容。 （1）参数 令n﹦p×q，其中p和q是大素数，φ(n)=(p﹣1)(q﹣1)，选e并计算出满足(e×d) mod φ(n) ﹦1的d，这里，公开n和e，将p，q和d保密。 （2）签名 对于消息m∈Zn，签名s为 s ﹦ Sig（m）﹦（h（m））d mod n 其中h（m）为生成信息摘要，它由消息m通过单向散列或杂凑函数（如SHA或MD5）得到。 （3）验证 对给定的m，s∈Zn，如果 ver（m，s）为真? m = se mod n 由于只有签名者知道自己的私钥d，由RSA体制知道，其他人不能伪造签名，同时，验证算法使用了签名者的公钥，所以对于所给任意m，s对，易于验证其是否为消息m和相应签名构成的合法对。 任何公钥密码体制，当用私钥签名时，接收方可认证签名人的身份；当用接收方的公钥加密时，只有接收方能够解密。也就是说，公钥密钥体制既可用在数字签名，也可用作加密。 2.DSA签名 DSA是在ElGamal和SchnorI两个签名方案的基础上设计的，是由美国国家标准化研究院和国家安全局共同开发的。DSA虽然是一种公开密钥技术，但它与RSA不同，只能用于数字签名，不能用作加密或密钥交换DSA的安全性基于求离散对数的困难性。 算法描述如下： （1）DSA的参数 ① 全局公开密钥分量p,q,g,可以为一组用户公用。 p是满足2L-1p2L的大素数，其中512≤L≤1024，并且L是64的倍数，即比特长度在512到1024之间，长度增量为64位。 q是p-1的素因子，2159q2160，即q的长度为160比特。 g=h(p-1)/q mod p，其中h是一个整数，满足1hp﹣1并且g=h(p-1)/q mod p 1。 ② 用户私有密钥x x是满足0xq的随机或伪随机整数。 ③ 用户的公开密钥 y y=gx mod p ④ 用户为待签消息选取的秘密数 k k是满足0kq的随机或伪随机整数。每次签名都要重新生成k。 （2）签名过程 对待签消息M，设0Mq。签名过程如下： ① 生成一随机整数k； ② 计算r=gk mod p (modq)； ③ 计算s=k-1 (h (M)+xr) (mod q)。 （r，s）为签名人对m的签名。 （3）验证过程 ① 检查r和s是否属于[0，q]，若不是，则（r，s）不是签名； ② 计算t=s-1(mod q)，r′=gh(M) t(mod q)yrt (mod q)mod p(mod q)； ③ 比较r′=r是否成立。若成立，则（r，s）为合法签名。 3.ECDSA 体制 一种崭新的技术叫做椭圆曲线密码体制，该体制正日益被认为是数字签名系统的基础。基于椭圆曲线的数字签名系统可以实现同RSA和DSA基本相同的功能，但实现效率更高。利用椭圆曲线，可以比使用RSA和DSA更快地产生和核验数字签名。同时，椭圆曲线数字签名也较容易在小型、资源有限的设施中使用，例如智能卡。 椭圆曲线数字签名算法ECDSA是使用椭圆曲线对数字签名算法DSA的模拟。ECDSA首先由Scott和Vanstone在1992年为了响应NIST对数字签名标准（DSS）的要求而提出。ECDSA于1998年作为ISO标准被采纳，在1