《認證與數(shù)字簽名》PPT課件

《《認證與數(shù)字簽名》PPT課件》由會員分享，可在線閱讀，更多相關(guān)《《認證與數(shù)字簽名》PPT課件（27頁珍藏版）》請在裝配圖網(wǎng)上搜索。

1、第6章認證與數(shù)字簽名,,6.1信息認證技術(shù) 6.2數(shù) 字 簽 名6.3數(shù) 字 證 書6.4公鑰基礎(chǔ)設(shè)施（PKI）,6.1信息認證技術(shù),6.1.1信息認證技術(shù)簡介 1數(shù)字摘要（報文摘要） 2數(shù)字信封 3數(shù)字簽名 4數(shù)字時間戳 5數(shù)字證書,6.1.2報文摘要,信息的完整性和認證是指信息的接受者能夠檢驗收到的消息是否真實。檢驗的內(nèi)容包括：消息的來源、消息的內(nèi)容是否被篡改、消息是否被重放。消息的完整性經(jīng)常通過散列技術(shù)來實現(xiàn)。,6.1.2.1散列函數(shù)的用途 1驗證數(shù)據(jù)的完整性 2用戶認證 6.1.2.2散列函數(shù)的要求 6.1.2.3報文摘要算法 1安全散列算法 2MDx散列算法,6.2數(shù) 字 簽 名,6

2、.2.1數(shù)字簽名基本概念 數(shù)字簽名就是通過一個單向函數(shù)對要傳送的報文進行處理得到的用以認證報文來源并核實報文是否發(fā)生變化的一個字母數(shù)字串。用這個字符串來代替書寫簽名或印章，起到與書寫簽名或印章同樣的法律效用。國際社會已開始制定相應(yīng)的法律、法規(guī)，把數(shù)字簽名作為執(zhí)法的依據(jù)。,其使用方式是：報文的發(fā)送方從報文文本中生成一個128位或160位的單向散列值（或報文摘要），并用自己的私有密鑰對這個散列值進行加密，形成發(fā)送方的數(shù)字簽名，然后，將這個數(shù)字簽名作為報文的附件和報文一起發(fā)送給報文的接收方。報文的接收方首先從接收到的原始報文中計算出散列值（或報文摘要），接著再用發(fā)送方的公開密鑰來對報文附加的數(shù)字簽名

3、進行解密，如果這兩個散列值相同，那么接收方就能確認該數(shù)字簽名是發(fā)送方的。,,通過數(shù)字簽名能夠?qū)崿F(xiàn)對原始報文鑒別與驗證，保證報文的完整性、權(quán)威性和發(fā)送者對所發(fā)報文的不可抵賴性。數(shù)字簽名機制提供了一種鑒別方法，普遍用于銀行、電子貿(mào)易等，以解決偽造、抵賴、冒充、篡改等問題。 數(shù)字簽名與數(shù)據(jù)加密完全獨立。數(shù)據(jù)可以既簽名又加密，只簽名，只加密，當然，也可以既不簽名也不加密。,,1數(shù)字簽名應(yīng)具有的性質(zhì) 2數(shù)字簽名的設(shè)計要求 3數(shù)字簽名分類,6.2.2數(shù)字簽名算法,1Hash簽名 2RSA簽名 3DSS簽名,6.3數(shù) 字 證 書,6.3.1什么是數(shù)字證書 數(shù)字證書就是互聯(lián)網(wǎng)通信中標志通信各方身份信息的一系列

4、數(shù)據(jù)，提供了一種在Internet上驗證您身份的方式，其作用類似于司機的駕駛執(zhí)照或日常生活中的身份證。它是由一個權(quán)威機構(gòu)CA機構(gòu)，又稱為證書授權(quán)（Certificate Authority）中心發(fā)行的，CA是負責(zé)簽發(fā)證書、認證證書、管理已頒發(fā)證書的機關(guān)。它要制定政策和具體步驟來驗證、識別用戶身份，并對用戶證書進行簽名，以確保證書持有者的身份和公鑰的擁有權(quán)。 CA也擁有一個證書（內(nèi)含公鑰）和私鑰。網(wǎng)上的公眾用戶通過驗,,如果用戶想得到一份屬于自己的證書，他應(yīng)先向CA提出申請。在CA判明申請者的身份后，便為他分配一個公鑰，并且CA將該公鑰與申請者的身份信息綁在一起，為之簽字后便形成證書發(fā)給申請者。

5、如果一個用戶想鑒別另一個證書的真?zhèn)?，他就用CA的公鑰對那個證書上的簽字進行驗證，一旦驗證通過，該證書就被認為是有效的。人們可以在網(wǎng)上用它來識別對方的身份。,6.3.2為什么要用數(shù)字證書,因而Internet電子商務(wù)系統(tǒng)必須保證具有十分可靠的安全保密技術(shù)。也就是說，必須保證網(wǎng)絡(luò)安全的四大要素，即信息傳輸?shù)谋Ｃ苄?、?shù)據(jù)交換的完整性、發(fā)送信息的不可否認性、交易者身份的確定性。,,我們可以使用數(shù)字證書，通過運用對稱和非對稱密碼體制等密碼技術(shù)建立起一套嚴密的身份認證系統(tǒng)，從而保證：信息除發(fā)送方和接收方外不被其他人竊取；信息在傳輸過程中不被篡改；發(fā)送方能夠通過數(shù)字證書來確認接收方的身份；發(fā)送方對于自己的信

6、息不能抵賴。 用戶也可以采用自己的私鑰對信息加以處理，由于密鑰僅為本人所有，這樣就產(chǎn)生了別人無法生成的文件，也就形成了數(shù)字簽名。,6.3.3證書與證書授權(quán)中心,CA機構(gòu)作為電子商務(wù)交易中受信任的第三方，承擔(dān)公鑰體系中公鑰的合法性檢驗的責(zé)任。CA中心為每個使用公開密鑰的用戶發(fā)放一個數(shù)字證書，數(shù)字證書的作用是證明證書中列出的用戶合法擁有證書中列出的公開密鑰。CA機構(gòu)的數(shù)字簽名使得攻擊者不能偽造和篡改證書。它負責(zé)產(chǎn)生、分配并管理所有參與網(wǎng)上交易的個體所需的數(shù)字證書，因此是安全電子交易的核心環(huán)節(jié)。,,CA是整個網(wǎng)上電子交易安全的關(guān)鍵環(huán)節(jié)。它主要負責(zé)產(chǎn)生、分配并管理所有參與網(wǎng)上交易的實體所需的身份認證數(shù)

7、字證書。每一份數(shù)字證書都與上一級的數(shù)字簽名證書相關(guān)聯(lián)，最終通過安全鏈追溯到一個已知的并被廣泛認為是安全、權(quán)威、足以信賴的機構(gòu)根認證中心（根CA）。,認證中心為了實現(xiàn)其功能，主要由以下三部分組成。 （1）注冊服務(wù)器：通過 Web Server 建立的站點，可為客戶提供每日24小時的服務(wù)。因此客戶可在自己方便的時候在網(wǎng)上提出證書申請和填寫相應(yīng)的證書申請表，免去了排隊等候等煩惱。 （2）證書申請受理和審核機構(gòu)：負責(zé)證書的申請和審核。它的主要功能是接受客戶證書申請并進行審核。 （3）認證中心服務(wù)器：是數(shù)字證書生成、發(fā)放的運行實體，同時提供發(fā)放證書的管理、證書廢止列表（CRL）的生成和處理等服務(wù)。,6.

8、3.4數(shù)字證書的工作流程,現(xiàn)有持證人甲向持證人乙傳送數(shù)字信息，為了保證信息傳送的真實性、完整性和不可否認性，需要對要傳送的信息進行數(shù)字加密和數(shù)字簽名，其傳送過程如下。 （1）甲準備好要傳送的數(shù)字信息（明文）。 （2）甲對數(shù)字信息進行哈希（hash）運算，得到一個信息摘要。 （3）甲用自己的私鑰（SK）對信息摘要進行加密得到甲的數(shù)字簽名，并將其附在數(shù)字信息上。,（4）甲隨機產(chǎn)生一個加密密鑰（如DES密鑰），并用此密鑰對要發(fā)送的信息進行加密，形成密文。 （5）甲用乙的公鑰（PK）對剛才隨機產(chǎn)生的加密密鑰進行加密，將加密后的DES密鑰連同密文一起傳送給乙。 （6）乙收到甲傳送過來的密文和加過密的DE

9、S密鑰，先用自己的私鑰（SK）對加密的DES密鑰進行解密，得到DES密鑰。,,（7）乙用DES密鑰對收到的密文進行解密，得到明文的數(shù)字信息，然后將DES密鑰拋棄（即DES密鑰作廢）。 （8）乙用甲的公鑰（PK）對甲的數(shù)字簽名進行解密，得到信息摘要。乙用相同的hash算法對收到的明文再進行一次hash運算，得到一個新的信息摘要。 （9）乙將收到的信息摘要和新產(chǎn)生的信息摘要進行比較，如果一致，說明收到的信息沒有被修改過。,6.3.5數(shù)字證書的應(yīng)用,1網(wǎng)上交易 2網(wǎng)上辦公 3網(wǎng)上招標 4網(wǎng)上報稅 5安全電子郵件,6.4公鑰基礎(chǔ)設(shè)施（PKI）,PKI技術(shù)采用證書管理公鑰，通過第三方的可信任機構(gòu)認證中心

10、CA（Certificate Authority），把用戶的公鑰和用戶的其他標識信息（如名稱、E-mail、身份證號等）捆綁在一起，在Internet上驗證用戶的身份。目前，通用的辦法是采用建立在PKI基礎(chǔ)之上的數(shù)字證書，通過把要傳輸?shù)臄?shù)字信息進行加密和簽名，保證信息傳輸?shù)臋C密性、真實性、完整性和不可否認性，從而保證信息的安全傳輸。,6.4.1PKI基礎(chǔ),PKI就是利用公開密鑰理論和技術(shù)建立的提供安全服務(wù)的基礎(chǔ)設(shè)施。 PKI基礎(chǔ)設(shè)施把公鑰密碼和對稱密碼結(jié)合起來，在Internet網(wǎng)上實現(xiàn)密鑰的自動管理，保證網(wǎng)上數(shù)據(jù)的安全傳輸。 PKI（Public Key Infrastructure，公鑰基

11、礎(chǔ)設(shè)施）就是提供公鑰加密和數(shù)字簽名服務(wù)的系統(tǒng)，目的是為了管理密鑰和證書，保證網(wǎng)上數(shù)字信息傳輸?shù)臋C密性、真實性、完整性和不可否認性。,6.4.2PKI密碼算法及應(yīng)用,1單鑰密碼算法（加密） 2雙鑰密碼算法（加密、簽名） 3公開密鑰數(shù)字簽名算法（簽名）,6.4.3密鑰對的用法,用于加密的密鑰對：用公鑰加密，用私鑰解密。 用于簽名的密鑰對：用私鑰簽名，用公鑰驗證。,6.4.4PKI的基本組成,1認證機關(guān)（CA） 2數(shù)字證書庫 3密鑰備份及恢復(fù)系統(tǒng) 4證書作廢系統(tǒng) 5應(yīng)用接口,6.4.5PKI的應(yīng)用前景,PKI技術(shù)可運用于眾多領(lǐng)域，其中包括：虛擬專用網(wǎng)絡(luò)（VPN）、安全電子郵件、Web交互安全及倍受矚目的電子商務(wù)安全領(lǐng)域。,