數(shù)字簽名與身份認(rèn)證技術(shù)

《數(shù)字簽名與身份認(rèn)證技術(shù)》由會員分享，可在線閱讀，更多相關(guān)《數(shù)字簽名與身份認(rèn)證技術(shù)（22頁珍藏版）》請在裝配圖網(wǎng)上搜索。

1、數(shù) 字 簽 名 與 身 份 認(rèn) 證 技 術(shù) 數(shù) 字 簽 名 技 術(shù) 電 子 商 務(wù) 安 全 交 易 的 關(guān) 鍵 環(huán) 節(jié) 身 份 認(rèn) 證 數(shù) 字 證 書 電 子 商 務(wù) 認(rèn) 證 中 心 安 全 方 案 Outlook Express的 操 作 實 例 （ 1） 數(shù) 字 簽 名 技 術(shù) 的 基 本 原 理 與 應(yīng) 用 （ 2） CA認(rèn) 證 中 心 的 定 義 與 作 用 （ 3） 數(shù) 字 證 書 的 標(biāo) 準(zhǔn) 和 數(shù) 字 證 書 的 使 用 （ 4） 電 子 商 務(wù) 認(rèn) 證 中 心 的 作 用 學(xué) 習(xí) 目 標(biāo) 數(shù) 字 簽 名 技 術(shù) 數(shù) 字 簽 名 技 術(shù) 帶 加 密 的 數(shù) 字 簽 名 RSA公

2、鑰 簽 名 技 術(shù) 數(shù) 字 簽 名 的 應(yīng) 用 數(shù) 字 簽 名 技 術(shù) 數(shù) 字 簽 名 技 術(shù) 是 公 開 密 鑰 加 密 技 術(shù) 和 報 文分 解 函 數(shù) 相 結(jié) 合 的 產(chǎn) 物 。 與 加 密 不 同 ， 數(shù) 字 簽名 的 目 的 是 為 了 保 證 信 息 的 完 整 性 和 真 實 性 。數(shù) 字 簽 名 必 須 保 證 以 下 三 點 ： （ 1） 接 受 者 能 夠 核 實 發(fā) 送 者 對 消 息 的 簽 名 。 （ 2） 發(fā) 送 者 事 后 不 能 抵 賴 對 消 息 的 簽 名 。 （ 3） 接 受 者 不 能 偽 造 對 消 息 的 簽 名 。 假 定 A發(fā) 送 一 個 簽 了

3、 名 的 信 息 M給 B， 則 A的 數(shù) 字 簽名 應(yīng) 該 滿 足 下 述 條 件 ： （ 1） B能 夠 證 實 A對 信 息 M的 簽 名 。 （ 2） 任 何 人 ， 包 括 B在 內(nèi) ， 都 不 能 偽 造 A的 簽 名 。 （ 3） 如 果 A否 認(rèn) 對 信 息 M的 簽 名 ， 可 以 通 過 仲 裁 解 決 A和 B之 間 的 爭 議 。 假 定 A向 B發(fā) 送 一 條 消 息 M， 則 其 過 程 如 下 ：（ 1） A計 算 出 C=D A(M)， 對 M簽 名 。（ 2） B通 過 檢 查 EA(C)是 否 恢 復(fù) M， 驗 證 A的 簽 名 。（ 3） 如 果 A和 B

4、之 間 發(fā) 生 爭 端 ， 仲 裁 者 可 以 用 （ 2） 中的 方 法 鑒 定 A的 簽 名 。 帶 加 密 的 數(shù) 字 簽 名 在 公 鑰 數(shù) 字 簽 名 系 統(tǒng) 中 還 要 求 保 密 性 ， 必 須 對 上 述 方 案 進(jìn) 行 如 下 修改 。 發(fā) 送 者 A先 將 要 傳 送 的 消 息 M用 自 己 的 秘 密 變 換 DA簽 名 。 MA=DA(M) 再 用 接 收 者 B的 公 開 變 換 EB進(jìn) 行 加 密 。 C=E B(MA)=EB(DA(M) 最 后 ， 將 簽 名 后 的 加 密 消 息 C發(fā) 送 給 B。 B收 到 C后 ， 先 用 自 己 的 秘密 變 換 DB

5、解 密 C。 DB(C) DB(EB(MA)=MA 然 后 用 A的 公 開 變 換 EA恢 復(fù) M。 EA(MA)=EA(DA(M)=M使 用 公 開 密 鑰 算 法 的 帶 加 密 的 數(shù) 字 簽 名 的 基 本 過 程 如 圖 3-1所 示 。 以 上 就 是 數(shù) 字 簽 名 的 基 本 原 理 。 它 的 現(xiàn) 實 意 義 在于 徹 底 解 決 了 收 發(fā) 雙 方 就 傳 送 內(nèi) 容 可 能 發(fā) 生 的 爭 端 ，為 在 商 業(yè) 上 廣 泛 應(yīng) 用 創(chuàng) 造 了 條 件 。 現(xiàn) 在 被 廣 泛 應(yīng) 用 的 基 于 公 鑰 密 碼 體 制 的 數(shù) 字 簽 名技 術(shù) 主 要 有 ： （ 1）

6、RSA體 制 ， 它 是 基 于 求 解 一 個 大 整 數(shù) 分 解 為 兩 個大 素 數(shù) 問 題 的 困 難 性 。 （ 2） E1G amal體 制 ， 它 是 基 于 求 解 有 限 域 上 的 乘 法 群的 離 散 對 數(shù) 問 題 的 困 難 性 。 橢 圓 曲 線 密 碼 體 制 是 一 種 基 于 代 數(shù) 曲 線 的 公 鑰 密碼 機(jī) 制 ， 以 其 良 好 的 安 全 性 ， 曲 線 選 取 范 圍 廣 ， 在 同等 長 度 的 密 鑰 下 具 有 比 RSA體 制 更 快 的 加 、 解 密 速 度 及更 高 的 密 碼 強(qiáng) 度 而 備 受 青 睞 。 RSA公 鑰 簽 名 技

7、 術(shù) RSA方 法 的 加 密 和 解 密 算 法 互 為 逆 變 換 ， 所 以 可以 用 于 數(shù) 字 簽 名 系 統(tǒng) 。 假 定 用 戶 的 公 鑰 是 （ nA， eA） ，秘 密 鑰 是 dA， 加 密 和 解 密 變 換 分 別 為 EA和 DA， 則 A發(fā)送 的 簽 名 后 的 消 息 是 ： 收 到 C后 的 B， 可 以 用 A的 公 開 變 換 EA恢 復(fù) M： 因 為 只 有 A知 道 D A， 所 以 簽 名 不 可 能 偽 造 ， 并 且A與 B之 間 的 任 何 爭 議 都 可 以 通 過 仲 裁 加 以 解 決 。 數(shù) 字 簽 名 的 應(yīng) 用 1 文 件 簽 名 和

8、 時 間 標(biāo) 記 2 電 子 商 務(wù) 中 的 應(yīng) 用 電 子 商 務(wù) 安 全 交 易 的 關(guān) 鍵 環(huán) 節(jié) 身 份 認(rèn) 證 CA的 定 義 CA的 作 用 CA的 定 義 CA機(jī) 構(gòu) ， 又 稱 為 證 書 授 權(quán) 中 心 ， 作 為 電 子 商 務(wù) 交易 中 受 信 任 和 具 有 權(quán) 威 性 的 第 三 方 ， 承 擔(dān) 公 鑰 體 系 中公 鑰 的 合 法 性 檢 驗 的 責(zé) 任 。 CA機(jī) 構(gòu) 應(yīng) 包 括 兩 大 部 門 ： 一 是 審 核 授 權(quán) 部 門 （ Registry Authority， RA） ，作 為 電 子 商 務(wù) 交 易 中 受 信 任 的 第 三 方 ， 承 擔(dān) 公

9、鑰 體 系中 公 鑰 的 合 法 性 檢 驗 的 責(zé) 任 。 另 一 個 是 證 書 操 作 部 門 （ Certificate Processor，CP） ， 負(fù) 責(zé) 為 已 授 權(quán) 的 申 請 者 制 作 、 發(fā) 放 和 管 理 證 書 ，并 承 擔(dān) 因 操 作 運 營 所 產(chǎn) 生 的 一 切 后 果 ， 包 括 失 密 和 為沒 有 獲 得 授 權(quán) 者 發(fā) 放 證 書 等 。 CA的 作 用 認(rèn) 證 中 心 在 密 碼 管 理 方 面 的 作 用 如 下 ： （ 1） 自 身 密 鑰 的 產(chǎn) 生 、 存 儲 、 備 份 /恢 復(fù) 、 歸 檔 和 銷 毀 。 （ 2） 提 供 密 鑰 生

10、成 和 分 發(fā) 服 務(wù) 。 （ 3） 確 定 客 戶 密 鑰 生 存 周 期 ， 實 施 密 鑰 吊 銷 和 更 新 管 理 。 （ 4） 為 安 全 加 密 通 信 提 供 安 全 密 鑰 管 理 服 務(wù) 。 （ 5） 提 供 密 鑰 托 管 和 密 鑰 恢 復(fù) 服 務(wù) 。（ 6） 其 他 密 鑰 生 成 和 管 理 ， 密 碼 運 算 功 能 。 數(shù) 字 證 書 什 么 是 數(shù) 字 證 書 數(shù) 字 證 書 的 標(biāo) 準(zhǔn) 數(shù) 字 證 書 的 使 用 什 么 是 數(shù) 字 證 書 1 電 子 證 書 的 用 途 電 子 證 書 是 進(jìn) 行 安 全 通 信 的 必 備 工 具 ， 它 保 證 信息

11、傳 輸 的 保 密 性 、 數(shù) 據(jù) 完 整 性 、 不 可 抵 賴 性 、 交 易 者身 份 的 確 定 性 。 數(shù) 字 證 書 就 是 網(wǎng) 絡(luò) 通 信 中 標(biāo) 志 通 信 各 方 身 份 的 信息 的 一 系 列 數(shù) 據(jù) ， 提 供 了 一 種 在 Internet上 驗 證 身 份 的方 式 ， 其 作 用 類 似 于 司 機(jī) 的 駕 駛 執(zhí) 照 或 日 常 生 活 中 的身 份 證 。 2 數(shù) 字 證 書 的 內(nèi) 容 l證 書 的 版 本 信 息 。l證 書 的 序 列 號 ， 每 個 證 書 都 有 一 個 惟 一 的 證 書 序 列 號 。l證 書 所 使 用 的 簽 名 算 法 。

12、l證 書 的 發(fā) 行 機(jī) 構(gòu) 名 稱 ， 命 名 規(guī) 則 一 般 采 用 X.500格 式 。l證 書 的 有 效 期 ， 現(xiàn) 在 通 用 的 證 書 一 般 采 用 UTC時 間 格式 ， 它 的 計 時 范 圍 為 1950 2049。l證 書 所 有 人 的 名 稱 ， 命 名 規(guī) 則 一 般 采 用 X.500格 式 。l證 書 所 有 人 的 公 開 密 鑰 。l證 書 發(fā) 行 者 對 證 書 的 簽 名 。 數(shù) 字 證 書 的 標(biāo) 準(zhǔn) 數(shù) 字 證 書 是 一 個 經(jīng) 證 書 授 權(quán) 中 心 數(shù) 字 簽 名 的 包含 公 鑰 擁 有 者 信 息 及 公 開 密 鑰 的 文 件 。 最

13、 簡 單 的 證書 包 含 一 個 公 開 密 鑰 、 名 稱 以 及 證 書 授 權(quán) 中 心 的 數(shù)字 簽 名 。 一 般 情 況 下 證 書 還 包 括 密 鑰 的 有 效 時 間 、發(fā) 證 機(jī) 關(guān) （ 證 書 授 權(quán) 中 心 ） 的 名 稱 、 該 證 書 的 序 列號 等 信 息 ， 證 書 的 格 式 遵 循 ITUT X .509國 際 標(biāo) 準(zhǔn) 。 數(shù) 字 證 書 的 使 用 1 獲 得 一 個 用 戶 證 書 獲 得 電 子 證 書 的 步 驟 如 下 ： （ 1） 下 載 根 證 書 。 （ 2） 申 請 賬 號 認(rèn) 證 。 （ 3） 下 載 安 裝 證 書 。 2 獲 得 通

14、 信 過 程 中 驗 證 簽 名 和 公 鑰 的 過 程 步 驟 1： A從 目 錄 獲 得 由 X 1簽 名 的 X2的 證 書 。 因 為 A能 安 全 地 知 道 X1的公 開 密 鑰 ， A從 它 的 證 書 中 能 獲 得 X2的 公 開 密 鑰 ， 并 通 過 證 書 中 X1的 簽 名來 證 實 它 。 步 驟 2： 然 后 A能 回 到 目 錄 中 得 到 由 X2簽 名 的 B的 證 書 。 因 為 現(xiàn) 在 A已經(jīng) 擁 有 一 個 可 信 的 X2的 公 開 密 鑰 備 份 ， 因 此 A能 驗 證 這 個 簽 名 并 安 全 地 獲得 B的 公 開 密 鑰 。 3 證 書

15、的 撤 銷 4 證 書 的 鑒 別 過 程 （ 1） 單 向 鑒 別 。 （ 2） 雙 向 鑒 別 。 （ 3） 三 向 鑒 別 。 在 三 向 鑒 別 中 ， 包 括 一 個 最 后 從 A到 B的 報 文 ， 它 含 有 一 個 現(xiàn) 時 B的 簽 名備 份 。 這 樣 設(shè) 計 的 目 的 是 無 須 檢 查 時 間 戳 ， 因 為 兩 個 現(xiàn) 時 均 由 另 一 端 返 回 ，每 一 端 可 以 檢 查 返 回 的 現(xiàn) 時 來 探 測 重 放 攻 擊 。 當(dāng) 沒 有 同 步 時 鐘 時 ， 需 要 使用 這 種 方 法 。 圖 顯 示 了 X .509的 強(qiáng) 鑒 別 過 程 。 電 子 商

16、 務(wù) 認(rèn) 證 中 心 安 全 方 案 1 物 理 與 環(huán) 境 安 全 2 網(wǎng) 絡(luò) 安 全 3 應(yīng) 用 業(yè) 務(wù) 系 統(tǒng) 與 數(shù) 據(jù) 安 全 4 人 員 安 全 與 日 常 操 作 管 理 5 系 統(tǒng) 連 續(xù) 性 管 理 【 例 】 個 人 數(shù) 字 證 書 申 請 。 本 節(jié) 以 網(wǎng) 證 通 NETCA電 子 認(rèn) 證 系 統(tǒng) （ 試 用 型 ） 為 例 ，說 明 試 用 型 個 人 數(shù) 字 證 書 的 申 請 過 程 。 Outlook Express的 操 作 實 例 1 數(shù) 字 標(biāo) 識 的 工 作 方 式 2 獲 得 數(shù) 字 標(biāo) 識 3 使 用 數(shù) 字 標(biāo) 識 4 備 份 數(shù) 字 標(biāo) 識 5 驗 證 數(shù) 字 簽 名 6 安 全 電 子 郵 件