网络安全协议的密码学知识ppt46.pptVIP

把公开密钥密码用于密钥分配解决了很重要的密钥管理问题。对对称密码而言，数据加密密钥直到使用时才起作用。 B将自己的公开密钥EB发给A：EB?A A产生随机会话密钥K，用B的公开密钥加密K，并把加密后的密钥EB(K)送给B：EB(K)?A B用自己的私钥解密A的消息，恢复出会话密钥： DB(EB(K))= K 两人用同一会话密钥K对他们的通信信息进行加密。 为了对计算机文件进行有效的签名，需要利用加解密知识才能产生所谓的数字签名，以确保计算机上文件的有效性。 数字签名是目前电子商务、电子政务中应用最普遍、技术最成熟、可操作性最强的一种电子签名方法。 它包括普通数字签名和特殊数字签名，其中普通数字签名用到的算法有RSA、E1Gama1、DES/DSA、椭圆曲线数字签名算法等；特殊数字签名有盲签名、代理签名、群签名、门限签名等。 手写签名使人重视的原因是： 签名是可信的。签名使文件的接收者相信签名者是慎重地在文件上签字的； 签名不可伪造。签名证明是签字者而不是其他人的签字； 签名不可重用。签名是文件的一部分，不法之徒不可能将签名移到不同的文件上； 签名的文件内容是不可改变的。在文件签名后，文件不能改变； 签名是不可抵赖的。签名和文件是物理的东西。签名者事后不能声称他没有签过名。 有许多数字签名操作过程中使用的算法都采用公钥算法，用秘密信息对文件签名，用公开信息去验证。这时的签名过程也叫“用私钥加密”，验证过程也叫“用公钥解密”。 签名协议过程如下： (1) A用KA加密她准备发送给B的信息，并把它传送给T； (2) T用KA解密信息； (3) T把这个解密信息和他收到A信息的声明，一起用KB加密； (4) T把加密的信息包传给B； (5) B用KB解密信息包，他就能读A所发的信息和T的证书，证明信息来自A。 如果B想把A签名的文件给C阅读，他不能把自己的秘密密钥交给她，他还得通过T： (1) B把信息和T关于信息是来自A的声明用KB加密，然后送回给T； (2) T用KB解密信息包； (3) T检查他的数据库，并确认原始信息是从A那里来的； (4) T用他和C共享的密钥KC重新加密信息包，把它送给C； (5) C用KC解密信息包，她就能阅读信息和T证实信息来自A的证书。 Ralph Merkle提出了一种基于秘密密钥密码的数字签名方案，该方案利用树型结构产生无限多的一次性签名。这个方案的基本思想是在某些公开文档中放入树的根文件，从而认证它。根节点对一个信息签名，并认证树中的子节点，这些节点的每一个都对信息签名，并对它的子节点认证，一直延续下去。 使用公钥密码签名文件的基本协议是： (1) A用自己的私钥对文件加密，从而对文件签名； (2) A将签名的文件传给B； (3) B用A的公钥解密文件，从而验证签名。 这个协议也可以满足我们期待的签名特征： (1) 签名是可信的。当B用A的公钥验证信息时，就知道是由A签名的； (2) 签名是不可伪造的。只有A知道她的私钥； (3) 签名是不可重用的。签名是文件的函数，并且不可能转换成另外的文件； (4) 被签名的文件是不可改变的。如果文件有任何改变，文件就不可能用A的公钥验证； (5) 签名是不可抵赖的。B不用A的帮助就能验证A的签名。 与纸质文件上的签名一样，数字签名也经常需要包括时间标记。把对日期和时间的签名附在信息中，并跟信息中的其他部分一起签名。在上面的例子中，银行将时间标记存贮在数据库中。这样，当B第二次想支取A的支票时，银行就要检查时间标记是否和数据库中的一样。由于银行已经从A的支票上支付了这一时间标记的支票，就不能通过。 在实际的实现过程中，采用公钥密码算法对长文件签名效率太低。为了节约时间和成本开销，数字签名协议经常和单向Hash算法一起使用。这种情况下签名者A并不是对整个文件签名，而只是对文件的Hash值签名。 协议 (1) A产生文件的单向Hash值； (2) A用她的私钥对Hash值加密，凭此表示对文件签名； (3) A将文件和Hash值加密的结果送给B； (4) B用A发送的文件产生文件的单向Hash值，然后用A的公钥对签名的Hash值进行解密。如果接收到的签名Hash值与自己运算产生的Hash值匹配，签名就是有效的。 如果不用单向Hash算法，有两种选择。 第一种选择是A和B分别对文件的副本签名，结果签名的信息是原文的两倍。 第二种选择就是A首先签名，然后B对A的签名再进行签名，这是可行的，但是在不验证B的签名的情况下就验证A的签名是不可能的。 如果采用单向Hash算法，则采用下述协议过程进行多重签名： (1) A对文件的Hash值签名； (2) B对文件的Hash值签名； (3) B将他的签名交给A； (4) A把文件、她的签名和B的签名发给