1、第第3 3章数字签名与身份认证技术章数字签名与身份认证技术l3.1 3.1 数字签名技术数字签名技术 l3.2 3.2 身份认证技术身份认证技术 l3.3 3.3 数字证书与认证中心数字证书与认证中心 l3.4 Outlook Express3.4 Outlook Express的操作实例的操作实例 第第3 3章数字签名与身份认证技术章数字签名与身份认证技术l(1)数字签名技术的基本原理与应用数字签名技术的基本原理与应用 l(2)身份)身份定义与作用定义与作用 l(3)数字证书的标准和数字证书的使用数字证书的标准和数字证书的使用 l(4)电子商务认证中心的作用电子商务认证中心的作用 第第3 3
2、章数字签名与身份认证技术章数字签名与身份认证技术l3.1.1 数字签名技术数字签名技术 l3.1.2 带加密的数字签名带加密的数字签名 l3.1.3 RSA公钥签名技术公钥签名技术 l3.1.4 数字签名的应用数字签名的应用第第3 3章数字签名与身份认证技术章数字签名与身份认证技术是是公开密钥加密技术公开密钥加密技术和和报文分报文分解函数解函数相结合的产物。与加密不同,数字签名相结合的产物。与加密不同,数字签名的目的是为了保证的目的是为了保证信息信息的的完整性完整性和和真实性真实性。数。数字签名必须保证以下三点:字签名必须保证以下三点:接受者接受者能够核实能够核实发送者发送者对消息的签名。对消
3、息的签名。发送者发送者事后不能抵赖对消息的签名。事后不能抵赖对消息的签名。接受者接受者不能伪造对消息的签名不能伪造对消息的签名。第第3 3章数字签名与身份认证技术章数字签名与身份认证技术 假定假定A发送一个签了名的信息发送一个签了名的信息M给给B,则,则A的的:(1)B能够证实能够证实A对信息对信息M的签名。的签名。(2)任何人,包括)任何人,包括B在内,都不能伪造在内,都不能伪造A的签名。的签名。(3)如果)如果A否认对信息否认对信息M的签名,可以通过仲裁解决的签名,可以通过仲裁解决A和和B之间的争议。之间的争议。第第3 3章数字签名与身份认证技术章数字签名与身份认证技术一种简单的数字签名实
4、现方法:一种简单的数字签名实现方法:第第3 3章数字签名与身份认证技术章数字签名与身份认证技术假定假定A向向B发送一条消息发送一条消息M,则其过程如下:,则其过程如下:(1)A计算出计算出C=DA(M),对,对M签名。签名。(2)B通过检查通过检查EA(C)是否恢复是否恢复M,验证,验证A的签名。的签名。(3)如果)如果A和和B之间发生争端,仲裁者可以用(之间发生争端,仲裁者可以用(2)中)中的方法鉴定的方法鉴定A的签名。的签名。第第3 3章数字签名与身份认证技术章数字签名与身份认证技术在公钥数字签名系统中还要求在公钥数字签名系统中还要求保密性保密性,必须对上,必须对上述方案进行如下修改。述方
5、案进行如下修改。第第3 3章数字签名与身份认证技术章数字签名与身份认证技术发送者发送者A先将要传送的消息先将要传送的消息M用自己的用自己的秘密变换秘密变换DA签名。签名。MA=DA(M)再用接收者再用接收者B的的公开变换公开变换EB进行加密。进行加密。C=EB(MA)=EB(DA(M)最后,将签名后的加密消息最后,将签名后的加密消息C发送给发送给B。B收到收到C后,先后,先用自己的用自己的秘密变换秘密变换DB解密解密C。DB(C)DB(EB(MA)=MA 然后用然后用A的的公开变换公开变换EA恢复恢复M。EA(MA)=EA(DA(M)=M第第3 3章数字签名与身份认证技术章数字签名与身份认证技
6、术 以上就是数字签名的基本原理。它的现实意义在以上就是数字签名的基本原理。它的现实意义在于彻底解决了收发双方就传送内容可能发生的争端,于彻底解决了收发双方就传送内容可能发生的争端,为在商业上广泛应用创造了条件。为在商业上广泛应用创造了条件。第第3 3章数字签名与身份认证技术章数字签名与身份认证技术 现在被现在被的数字签名的数字签名技术主要有:技术主要有:,它是基于求解一个大整数分解为两个,它是基于求解一个大整数分解为两个大素数问题的困难性。大素数问题的困难性。,它是基于求解有限域上的乘法群,它是基于求解有限域上的乘法群的离散对数问题的困难性。的离散对数问题的困难性。椭圆曲线密码体制是一种基于代
7、数曲线的公钥密椭圆曲线密码体制是一种基于代数曲线的公钥密码机制,以其良好的安全性,曲线选取范围广,在同码机制,以其良好的安全性,曲线选取范围广,在同等长度的密钥下具有比等长度的密钥下具有比RSARSA体制更快的加、解密速度及体制更快的加、解密速度及更高的密码强度而备受青睐。更高的密码强度而备受青睐。第第3 3章数字签名与身份认证技术章数字签名与身份认证技术 RSA方法的加密和解密算法互为逆变换方法的加密和解密算法互为逆变换,所以可以用于数字签名系统。所以可以用于数字签名系统。第第3 3章数字签名与身份认证技术章数字签名与身份认证技术第第3 3章数字签名与身份认证技术章数字签名与身份认证技术第第
8、3 3章数字签名与身份认证技术章数字签名与身份认证技术 文件签名和时间标记文件签名和时间标记l 数字签名包括时间标记。对日期和时间数字签名包括时间标记。对日期和时间的签名附在信息中,并跟信息中的其他的签名附在信息中,并跟信息中的其他部分一起签名。部分一起签名。如:如:数字时间戳数字时间戳 电子商务中的应用电子商务中的应用 第第3 3章数字签名与身份认证技术章数字签名与身份认证技术l如果在签名时加上一个时间标记,即是有如果在签名时加上一个时间标记,即是有数字数字时间戳(时间戳(digital time stamp)的数字签名的数字签名lDTS是网上电子商务安全服务项目之一,能提是网上电子商务安全
9、服务项目之一,能提供电子文件的日期和时间信息的安全保护,由供电子文件的日期和时间信息的安全保护,由专门机构提供。专门机构提供。l时间戳(时间戳(time-stamp)是一个经加密后形)是一个经加密后形成的凭证文档,它包括三个部分:成的凭证文档,它包括三个部分:l需加时间戳的文件的摘要(需加时间戳的文件的摘要(digest););lDTS收到文件的日期和时间;收到文件的日期和时间;lDTS的数字签名。的数字签名。第第3 3章数字签名与身份认证技术章数字签名与身份认证技术身份认证是指计算机及网络系统确认操作者身份认证是指计算机及网络系统确认操作者身份的过程。身份的过程。第第3 3章数字签名与身份认
10、证技术章数字签名与身份认证技术第第3 3章数字签名与身份认证技术章数字签名与身份认证技术l在现实生活中,验证一个人的身份主在现实生活中,验证一个人的身份主要通过以下方式:要通过以下方式:你所知道的信息:暗号你所知道的信息:暗号你所拥有的东西:印章你所拥有的东西:印章你的独一无二的身体特征你的独一无二的身体特征第第3 3章数字签名与身份认证技术章数字签名与身份认证技术基于你所知道的(基于你所知道的(What you know)知识、口令、密码知识、口令、密码基于你所拥有的(基于你所拥有的(What you have)身份证、信用卡、钥匙、智能卡、令牌等身份证、信用卡、钥匙、智能卡、令牌等基于你的
11、个人特征(基于你的个人特征(What you are)指纹,笔迹,声音,手型,脸型,视网膜,指纹,笔迹,声音,手型,脸型,视网膜,虹膜等虹膜等第第3 3章数字签名与身份认证技术章数字签名与身份认证技术每一种要素都有各自的局限性每一种要素都有各自的局限性“用户拥有的物品用户拥有的物品”可能被偷窃或者丢失。可能被偷窃或者丢失。“用户已知的事用户已知的事”可能会被猜测出来、或者可能会被猜测出来、或者大家都知道、或者被忘记;大家都知道、或者被忘记;“用户的个人特征用户的个人特征”尽管是最强的认证方法尽管是最强的认证方法,但成本也最高。,但成本也最高。第第3 3章数字签名与身份认证技术章数字签名与身份认
12、证技术 实体认证实体认证 身份以参与通信会话的某个人、系统身份以参与通信会话的某个人、系统或应用程序来代表或应用程序来代表数据源认证数据源认证 当事人的身份以某个信息来代表,表当事人的身份以某个信息来代表,表明信息是由该当事人发出的。明信息是由该当事人发出的。第第3 3章数字签名与身份认证技术章数字签名与身份认证技术l用户名用户名?口令是最常用的身份认证方法口令是最常用的身份认证方法第第3 3章数字签名与身份认证技术章数字签名与身份认证技术l口令是静态数据,在验证过程中需要在口令是静态数据,在验证过程中需要在计算机内存和网络中传输,而每次验证计算机内存和网络中传输,而每次验证过程中使用的验证信
13、息都是相同的,很过程中使用的验证信息都是相同的,很容易被驻留在计算机内存中的木马程序容易被驻留在计算机内存中的木马程序或网络中的监听设备截获。或网络中的监听设备截获。第第3 3章数字签名与身份认证技术章数字签名与身份认证技术l某次爆发的互联网某次爆发的互联网泄泄密风波密风波正扩散至移动正扩散至移动互联网领域,日前,互联网领域,日前,一位自称初级黑客的一位自称初级黑客的网友在天涯网发布网友在天涯网发布有图有真相有图有真相 你还敢用你还敢用UC上网吗?上网吗?的帖子的帖子,声称,声称UC浏览器使用浏览器使用明文的方式传输用户明文的方式传输用户密码,导致第三方可密码,导致第三方可以轻松窃取以轻松窃取
14、UC浏览器浏览器用户登录各个网站的用户登录各个网站的用户名和密码。用户名和密码。第第3 3章数字签名与身份认证技术章数字签名与身份认证技术l通过笔记本电脑在星巴克、麦当劳等人流密集通过笔记本电脑在星巴克、麦当劳等人流密集地区伪造无密码的无线热点地区伪造无密码的无线热点AP,在电脑上安,在电脑上安装装Wireshark软件进行抓包软件进行抓包第第3 3章数字签名与身份认证技术章数字签名与身份认证技术l在手机上打开在手机上打开UC浏览器,然后访问浏览器,然后访问Gmail登登录,同时在电脑上启用录,同时在电脑上启用Wireshark进行抓包进行抓包监听,如果测试登录的用户名为监听,如果测试登录的用
15、户名为williamlong,密码为,密码为1234567890123,登录完成后停止抓包然后进行分析,抓包的,登录完成后停止抓包然后进行分析,抓包的截图显示该用户名和密码为明文传输,通讯协截图显示该用户名和密码为明文传输,通讯协议为议为HTTP,连接的是广州的一台服务器,这,连接的是广州的一台服务器,这证明了原有的证明了原有的HTTPS安全连接遭到了破坏。安全连接遭到了破坏。第第3 3章数字签名与身份认证技术章数字签名与身份认证技术第第3 3章数字签名与身份认证技术章数字签名与身份认证技术lHTTPS(超文本传输安全协议,(超文本传输安全协议,Hypertext Transfer Proto
16、col Secure)是一种常见的网络)是一种常见的网络传输协议,提供客户端和服务器的加密通讯,传输协议,提供客户端和服务器的加密通讯,HTTPS的主要思想是在不安全的网络上创建一安全的主要思想是在不安全的网络上创建一安全信道,对监听和中间人攻击提供合理的保护。信道,对监听和中间人攻击提供合理的保护。lHTTP是不安全的,通过监听和中间人攻击等手段,是不安全的,通过监听和中间人攻击等手段,可以获取网站帐户和敏感信息等,可以获取网站帐户和敏感信息等,HTTPS被设计为被设计为可防止前述攻击,并被认为是安全的。可防止前述攻击,并被认为是安全的。第第3 3章数字签名与身份认证技术章数字签名与身份认证
17、技术l上面这个案例,通过伪造上面这个案例,通过伪造WiFi热点进行抓包监听,如热点进行抓包监听,如果手机使用原生浏览器的话,通常来说,是无法监听果手机使用原生浏览器的话,通常来说,是无法监听到到HTTPS方式访问的内容,方式访问的内容,HTTPS通讯内容均为加通讯内容均为加密信息,很难被破解。但是所有的密信息,很难被破解。但是所有的HTTP访问信息都访问信息都会被获取,如果用户使用会被获取,如果用户使用HTTP访问一些隐私信息,访问一些隐私信息,则存在隐私泄漏的风险,例如用户使用百度搜索(目则存在隐私泄漏的风险,例如用户使用百度搜索(目前百度只有前百度只有HTTP版本),那么搜素的关键词就会被
18、版本),那么搜素的关键词就会被第三方监听,从而带来泄密的风险,这也就是第三方监听,从而带来泄密的风险,这也就是2010年年5月月Google在全球部署在全球部署HTTPS加密搜索加密搜索的原因了的原因了,有了,有了HTTPS版本的版本的Google搜索,手机用户即使在搜索,手机用户即使在不安全的无线热点进行搜索,其搜索的内容也不会被不安全的无线热点进行搜索,其搜索的内容也不会被人窃取。人窃取。第第3 3章数字签名与身份认证技术章数字签名与身份认证技术使用手机内置的浏览器,在不安全的使用手机内置的浏览器,在不安全的WiFi下问下问HTTPS仍然是相对安全的,然而仍然是相对安全的,然而UC浏览是一
19、种中转压浏览是一种中转压缩的技术进行加速,实现快捷上网,节省用户流量,这缩的技术进行加速,实现快捷上网,节省用户流量,这样,所有的访问都通过样,所有的访问都通过UC的代理服务器整理后传送的代理服务器整理后传送UC浏览器客户端。浏览器客户端。当用户通过当用户通过UC浏览器登录浏览器登录Gmail的时候,的时候,UC浏览浏览器会把用户访问的器会把用户访问的URL地址和提交的信息发送到附近的地址和提交的信息发送到附近的一台一台UC服务器,这里存在的漏洞是,服务器,这里存在的漏洞是,UC浏览器手机端浏览器手机端和和UC服务器之间的通讯是采用服务器之间的通讯是采用HTTP协议,并且包括用协议,并且包括用
20、户名和密码在内的所有信息均为明文传输,这使得户名和密码在内的所有信息均为明文传输,这使得UC浏浏览器和览器和UC服务器之间的通讯可以被监听和抓包服务器之间的通讯可以被监听和抓包第第3 3章数字签名与身份认证技术章数字签名与身份认证技术第三方可以通过这种方法获取手机用户的帐户密码第三方可以通过这种方法获取手机用户的帐户密码等敏感信息,用户通过登录的任何网站都会被监听,包等敏感信息,用户通过登录的任何网站都会被监听,包括邮箱、网站后台、网银、网上支付等。括邮箱、网站后台、网银、网上支付等。第第3 3章数字签名与身份认证技术章数字签名与身份认证技术l以上就是针对基于口令的身份认证所存在的以上就是针对
21、基于口令的身份认证所存在的通信窃取问题。通信窃取问题。l出此之外,基于口令的身份认证主要还面临出此之外,基于口令的身份认证主要还面临着如下威胁:着如下威胁:外部泄露外部泄露猜测猜测重放重放危及主机安全危及主机安全第第3 3章数字签名与身份认证技术章数字签名与身份认证技术变换后的变换后的口令口令口令在客户端通过单向函数处理成为口令在客户端通过单向函数处理成为变换后的口令形式,再传送给变换后的口令形式,再传送给服务器服务器提问答复提问答复时间时间戳戳一次性口令一次性口令数字签名数字签名第第3 3章数字签名与身份认证技术章数字签名与身份认证技术一次性口令是变化的密码,其变化的来源产生于密码一次性口令
22、是变化的密码,其变化的来源产生于密码的运算因子是变化的。的运算因子是变化的。一次性口令的产生因子一般都采用双运算因子(一次性口令的产生因子一般都采用双运算因子(Two Factor):其一是用户的私有密钥。它代表用户身份其一是用户的私有密钥。它代表用户身份的识别码,是固定不变的。其二是变动因子。正是因的识别码,是固定不变的。其二是变动因子。正是因为变动因子的不断变化,才产生了不断变动的一次性为变动因子的不断变化,才产生了不断变动的一次性口令。口令。采用不同的变动因子,形成了不同的一次性口令认证采用不同的变动因子,形成了不同的一次性口令认证技术:基于时间同步的认证技术、基于事件同步的认技术:基于
23、时间同步的认证技术、基于事件同步的认证技术、挑战证技术、挑战/应答方式的非同步认证技术。应答方式的非同步认证技术。第第3 3章数字签名与身份认证技术章数字签名与身份认证技术 用 户 服 务 器 连接请求,初始化 应答(seed,seq)把(密钥+seed)进行 seq 次 Hash计算,产生一次性口令 把收到的口令进行一次 Hash 计算,与前次存储的口令进行比较,进而对用户身份进行确认 第第3 3章数字签名与身份认证技术章数字签名与身份认证技术lS/KEY的优点:的优点:l用户通过网络传给服务器的口令是利用秘密口令和用户通过网络传给服务器的口令是利用秘密口令和seed经过经过MD4或者或者M
24、D5散列算法生成的密文,散列算法生成的密文,用户本身的秘密口令并没有在网络上传播。用户本身的秘密口令并没有在网络上传播。l在服务器端,因为每一次成功的身份认证之后,在服务器端,因为每一次成功的身份认证之后,seq就自动减就自动减1。这样,下一次用户连接时生成的。这样,下一次用户连接时生成的口令同上一次生成的口令是不一样的,从而有效地口令同上一次生成的口令是不一样的,从而有效地保证了用户口令的安全;保证了用户口令的安全;l实现原理简单。实现原理简单。Hash函数的实现可以用硬件实现函数的实现可以用硬件实现第第3 3章数字签名与身份认证技术章数字签名与身份认证技术lS/KEY的缺点:的缺点:l会给
25、使用带来一点麻烦(如口令使用一定次数后就会给使用带来一点麻烦(如口令使用一定次数后就需要重新初始化,因为每次需要重新初始化,因为每次seq都要减都要减1)lS/KEY依赖于某种算法(依赖于某种算法(MD4或者或者MD5)的不)的不可逆性,当有关这种算法可逆计算研究有了新进展可逆性,当有关这种算法可逆计算研究有了新进展时,系统将被迫重新选用其它更安全的算法。时,系统将被迫重新选用其它更安全的算法。l系统不使用任何形式的会话加密,因此没有保密性系统不使用任何形式的会话加密,因此没有保密性第第3 3章数字签名与身份认证技术章数字签名与身份认证技术l把前两种要素结合起来的身份认证方法把前两种要素结合起
26、来的身份认证方法称为称为“双因素认证双因素认证”,是目前具有较高,是目前具有较高安全性的认证方法。安全性的认证方法。l双因素静态身份认证:每次登录时用户双因素静态身份认证:每次登录时用户提供的口令和物理设备都是不变的;提供的口令和物理设备都是不变的;l双因素动态认证:在静态口令的基础上双因素动态认证:在静态口令的基础上,增加一个令牌访问设备,令牌设备提,增加一个令牌访问设备,令牌设备提供动态口令,从而构成一个他人无法复供动态口令,从而构成一个他人无法复制和识破的安全密码。制和识破的安全密码。第第3 3章数字签名与身份认证技术章数字签名与身份认证技术lUSB Key是一种是一种USB接口的硬件设
27、接口的硬件设备。备。l内置单片机或智能卡芯片内置单片机或智能卡芯片l有一定的存储空间,可以存储用户的有一定的存储空间,可以存储用户的私钥以及数字证书私钥以及数字证书l利用利用USB Key内置的公钥算法实现内置的公钥算法实现对用户身份的认证。对用户身份的认证。注注意意 由于用户私钥保存在密由于用户私钥保存在密码锁中,理论上使用任何方码锁中,理论上使用任何方式都无法读取,因此保证了式都无法读取,因此保证了用户认证的安全性。用户认证的安全性。第第3 3章数字签名与身份认证技术章数字签名与身份认证技术USBkey原理原理USB Key存放代表用户唯一身份数字证书和用存放代表用户唯一身份数字证书和用户
28、私钥。户私钥。基于基于PKI体系的整体解决方案中,用户的私钥体系的整体解决方案中,用户的私钥是在高安全度的是在高安全度的USB Key内产生,并且终身不可内产生,并且终身不可导出到导出到USB Key外部。外部。在网上银行应用中,对交易数据的数字签名在网上银行应用中,对交易数据的数字签名都是在都是在USB Key内部完成的,并受到内部完成的,并受到USB Key的的PIN码保护。码保护。第第3 3章数字签名与身份认证技术章数字签名与身份认证技术 采用冲击响应的认证方式,主要过程如下:采用冲击响应的认证方式,主要过程如下:1、USB Key内置单向散列算法(内置单向散列算法(MD5),预先在),
29、预先在USB Key和服务器中存储一个证明用户身份的密钥,当和服务器中存储一个证明用户身份的密钥,当需要在网络上验证用户身份时,先由客户端向服务器发需要在网络上验证用户身份时,先由客户端向服务器发出一个验证请求。出一个验证请求。2、服务器接到此请求后生成一个随机数回传给客户服务器接到此请求后生成一个随机数回传给客户端端PC上插着的上插着的USB Key,此为,此为“冲击冲击”。3、USB Key使用该随机数与存储在使用该随机数与存储在USB Key中的中的密钥进行密钥进行MD5运算得到一个运算结果作为认证证据传送运算得到一个运算结果作为认证证据传送给服务器,此为给服务器,此为“响应响应”。第第
30、3 3章数字签名与身份认证技术章数字签名与身份认证技术与此同时,服务器使用该随机数与存储在服务器数与此同时,服务器使用该随机数与存储在服务器数据库中的该客户密钥进行据库中的该客户密钥进行MD5运算,如果服务器的运运算,如果服务器的运算结果与客户端传回的响应结果相同,则认为客户端算结果与客户端传回的响应结果相同,则认为客户端是一个合法用户。是一个合法用户。第第3 3章数字签名与身份认证技术章数字签名与身份认证技术USBkey的优点的优点1、兼容性好、兼容性好 usbkey 不仅对打印机、扫描仪等设备具不仅对打印机、扫描仪等设备具有高度的透明性,特别是多个相同的有高度的透明性,特别是多个相同的 u
31、sbkey 也可以也可以使用使用 USB HUB 并联在一起使用,相互之间不会干扰。并联在一起使用,相互之间不会干扰。2、速度快、速度快 对于使用对于使用 usbkey 加密后的软件,其运行加密后的软件,其运行速度同加密前区别不大,速度同加密前区别不大,usbkey 能够在能够在 很短的时间很短的时间内处理完毕,保证用户程序的顺畅运行。内处理完毕,保证用户程序的顺畅运行。3、使用简便、使用简便 usbkey 在在 API 函数调用上从用户角度函数调用上从用户角度出发,最大限度简化使用接口。用户能够出发,最大限度简化使用接口。用户能够 在很短的时在很短的时间内掌握间内掌握 usbkey 的使用方
32、法,节约开发上所投入的的使用方法,节约开发上所投入的时间。时间。第第3 3章数字签名与身份认证技术章数字签名与身份认证技术(1)用户必须在超级用户状态下()用户必须在超级用户状态下(SO PIN 验证通过验证通过),通过自己设定的不通过自己设定的不 超过超过 51 字节的种子生成字节的种子生成 PID,以后打开和关闭以后打开和关闭 usbkey 都需要通过都需要通过 PID 来完成。来完成。PID 的生成算法是在的生成算法是在 usbkey 内部完成的,而且是不可内部完成的,而且是不可逆的,也就是说,只有生逆的,也就是说,只有生 成者才知道什么样的种子能生成什成者才知道什么样的种子能生成什么样
33、的么样的 PID,别的人即使知道,别的人即使知道 PID,同时也能,同时也能 够调用这个计够调用这个计算过程,但因为不知道种子是什么,是无法生成和您相同的算过程,但因为不知道种子是什么,是无法生成和您相同的 PID 的硬件,保证了用户的的硬件,保证了用户的 usbkey 的独特性的独特性第第3 3章数字签名与身份认证技术章数字签名与身份认证技术(1)用户必须在超级用户状态下()用户必须在超级用户状态下(SO PIN 验证通过验证通过),通过自己设定的不通过自己设定的不 超过超过 51 字节的种子生成字节的种子生成 PID,以,以后打开和关闭后打开和关闭 usbkey 都需要通过都需要通过 PI
34、D 来完成。来完成。(2)用户在对)用户在对 usbkey 中的数据进行读写操作时需要中的数据进行读写操作时需要进行进行 USER PIN 验证,验证,又增加了一层对软件的保护又增加了一层对软件的保护性。性。第第3 3章数字签名与身份认证技术章数字签名与身份认证技术(3)用户可以在配置设备时设为只读,那么)用户可以在配置设备时设为只读,那么 usbkey 中的数据只可以读取,中的数据只可以读取,而不能被更改,密钥也不能被而不能被更改,密钥也不能被修改,从而保证了锁内数据不被篡改。修改,从而保证了锁内数据不被篡改。(4)使用使用 usbkey 硬件中的硬件中的 HMAC-MD5 算法进算法进行冲
35、击响应身份认证。行冲击响应身份认证。HMAC-MD5 密钥存在密钥存在 usbkey 中,该密钥只用于计算,任何人获取不到密中,该密钥只用于计算,任何人获取不到密钥的内容,保证密钥的内容,保证密 钥的安全性。钥的安全性。(5)提供了安全方便的外壳加密工具,使加密工作非)提供了安全方便的外壳加密工具,使加密工作非常简单。常简单。第第3 3章数字签名与身份认证技术章数字签名与身份认证技术每个人所具有的唯一生理特征每个人所具有的唯一生理特征指纹,视网膜,声音,视网膜、虹膜、语音、面指纹,视网膜,声音,视网膜、虹膜、语音、面部、签名等部、签名等指纹指纹一些曲线和分叉以及一些非常微小的特征;一些曲线和分
36、叉以及一些非常微小的特征;提取指纹中的一些特征并且存储这些特征信息:提取指纹中的一些特征并且存储这些特征信息:节省资源,快速查询;节省资源,快速查询;手掌、手型手掌、手型 手掌有折痕,起皱,还有凹槽;手掌有折痕,起皱,还有凹槽;还包括每个手指的指纹还包括每个手指的指纹;人手的形状(手的长度,宽度和手指)表示了手人手的形状(手的长度,宽度和手指)表示了手的几何特征的几何特征 第第3 3章数字签名与身份认证技术章数字签名与身份认证技术视网膜扫描视网膜扫描 扫描眼球后方的视网膜上面的血管的图案;扫描眼球后方的视网膜上面的血管的图案;虹膜扫描虹膜扫描 虹膜是眼睛中位于瞳孔周围的一圈彩色的部分;虹膜是眼
37、睛中位于瞳孔周围的一圈彩色的部分;虹膜有其独有的图案,分叉,颜色,环状,光环以虹膜有其独有的图案,分叉,颜色,环状,光环以及皱褶;及皱褶;第第3 3章数字签名与身份认证技术章数字签名与身份认证技术语音识别语音识别 记录时说几个不同的单词,然后识别系统将这些单记录时说几个不同的单词,然后识别系统将这些单词混杂在一起,让他再次读出给出的一系列单词。词混杂在一起,让他再次读出给出的一系列单词。面部扫描面部扫描 人都有不同的骨骼结构,鼻梁,眼眶,额头和下颚人都有不同的骨骼结构,鼻梁,眼眶,额头和下颚形状。形状。第第3 3章数字签名与身份认证技术章数字签名与身份认证技术l3.3.1 数字证书数字证书 l
38、3.3.2 认证中心认证中心 l3.3.3 数字证书的使用数字证书的使用第第3 3章数字签名与身份认证技术章数字签名与身份认证技术1电子证书的用途电子证书的用途 电子证书是进行安全通信的必备工具,它保证信电子证书是进行安全通信的必备工具,它保证信息传输的保密性、数据完整性、不可抵赖性、交易者息传输的保密性、数据完整性、不可抵赖性、交易者身份的确定性。身份的确定性。就是网络通信中标志通信各方身份的信就是网络通信中标志通信各方身份的信息的一系列数据,提供了一种在息的一系列数据,提供了一种在Internet上验证身份的上验证身份的方式,其作用类似于司机的驾驶执照或日常生活中的方式,其作用类似于司机的
39、驾驶执照或日常生活中的身份证。身份证。第第3 3章数字签名与身份认证技术章数字签名与身份认证技术2数字证书的内容数字证书的内容 证书的版本信息。证书的版本信息。证书的序列号,每个证书都有一个惟一的证书序列号。证书的序列号,每个证书都有一个惟一的证书序列号。证书所使用的签名算法。证书所使用的签名算法。证书的发行机构名称,命名规则一般采用证书的发行机构名称,命名规则一般采用X.500格式。格式。证书的有效期,现在通用的证书一般采用证书的有效期,现在通用的证书一般采用UTC时间格时间格式,它的计时范围为式,它的计时范围为19502049。第第3 3章数字签名与身份认证技术章数字签名与身份认证技术2数
40、字证书的内容数字证书的内容 证书所有人的名称,命名规则一般采用证书所有人的名称,命名规则一般采用X.500格式。格式。证书所有人的公开密钥。证书所有人的公开密钥。证书发行者对证书的签名。证书发行者对证书的签名。第第3 3章数字签名与身份认证技术章数字签名与身份认证技术3.数字证书的标准数字证书的标准 数字证书是一个经证书授权中心数字签名的包含公数字证书是一个经证书授权中心数字签名的包含公钥拥有者信息及公开密钥的文件。最简单的证书包含一钥拥有者信息及公开密钥的文件。最简单的证书包含一个公开密钥、名称以及证书授权中心的数字签名。一般个公开密钥、名称以及证书授权中心的数字签名。一般情况下证书还包括密
41、钥的有效时间、发证机关(证书授情况下证书还包括密钥的有效时间、发证机关(证书授权中心)的名称、该证书的序列号等信息,证书的格式权中心)的名称、该证书的序列号等信息,证书的格式遵循遵循ITUT X.509国际标准。国际标准。第第3 3章数字签名与身份认证技术章数字签名与身份认证技术CA机构,又称为数字证书认证中心,是基于机构,又称为数字证书认证中心,是基于Internet平台建立的一个公正的权威的、独立的(第三平台建立的一个公正的权威的、独立的(第三方)和广受信赖的组织机构,主要负责数字证书的发方)和广受信赖的组织机构,主要负责数字证书的发型、管理以及认证服务,以保证网上业务安全可靠地型、管理以
42、及认证服务,以保证网上业务安全可靠地进行。进行。CA为每个使用公开密钥的客户发放数字证书,数为每个使用公开密钥的客户发放数字证书,数字证书的作用是证明证书中列出的客户合法拥有整数字证书的作用是证明证书中列出的客户合法拥有整数中列出的公开密钥。中列出的公开密钥。第第3 3章数字签名与身份认证技术章数字签名与身份认证技术认证中心的功能如下:认证中心的功能如下:1.证书的颁发证书的颁发2.证书的更新证书的更新3.证书的查询证书的查询4.证书的作废证书的作废5.证书的归档证书的归档第第3 3章数字签名与身份认证技术章数字签名与身份认证技术1获得一个用户证书获得一个用户证书 获得电子证书的步骤如下:获得
43、电子证书的步骤如下:(1)下载根证书。)下载根证书。(2)申请账号认证。)申请账号认证。(3)下载安装证书。)下载安装证书。2获得通信过程中验证签名和公钥的过程获得通信过程中验证签名和公钥的过程 步骤步骤1:A从目录获得由从目录获得由X1签名的签名的X2的证书。因为的证书。因为A能安全地知道能安全地知道X1的的公开密钥,公开密钥,A从它的证书中能获得从它的证书中能获得X2的公开密钥,并通过证书中的公开密钥,并通过证书中X1的签名的签名来证实它。来证实它。步骤步骤2:然后:然后A能回到目录中得到由能回到目录中得到由X2签名的签名的B的证书。因为现在的证书。因为现在A已已经拥有一个可信的经拥有一个
44、可信的X2的公开密钥备份,因此的公开密钥备份,因此A能验证这个签名并安全地获能验证这个签名并安全地获得得B的公开密钥。的公开密钥。第第3 3章数字签名与身份认证技术章数字签名与身份认证技术3证书的撤销证书的撤销 4证书的鉴别过程证书的鉴别过程(1)单向鉴别。)单向鉴别。(2)双向鉴别。)双向鉴别。(3)三向鉴别。)三向鉴别。在三向鉴别中,包括一个最后从在三向鉴别中,包括一个最后从A到到B的报文,它含有一个现时的报文,它含有一个现时B的签名的签名备份。这样设计的目的是无须检查时间戳,因为两个现时均由另一端返回,备份。这样设计的目的是无须检查时间戳,因为两个现时均由另一端返回,每一端可以检查返回的
45、现时来探测重放攻击。当没有同步时钟时,需要使每一端可以检查返回的现时来探测重放攻击。当没有同步时钟时,需要使用这种方法。用这种方法。第第3 3章数字签名与身份认证技术章数字签名与身份认证技术1数字标识的工作方式数字标识的工作方式 2获得数字标识获得数字标识 3使用数字标识使用数字标识 4备份数字标识备份数字标识 5验证数字签名验证数字签名 6安全电子邮件安全电子邮件 第第3 3章数字签名与身份认证技术章数字签名与身份认证技术人有了知识,就会具备各种分析能力,人有了知识,就会具备各种分析能力,明辨是非的能力。明辨是非的能力。所以我们要勤恳读书,广泛阅读,所以我们要勤恳读书,广泛阅读,古人说古人说“书中自有黄金屋。书中自有黄金屋。”通过阅读科技书籍,我们能丰富知识,通过阅读科技书籍,我们能丰富知识,培养逻辑思维能力;培养逻辑思维能力;通过阅读文学作品,我们能提高文学鉴赏水平,通过阅读文学作品,我们能提高文学鉴赏水平,培养文学情趣;培养文学情趣;通过阅读报刊,我们能增长见识,扩大自己的知识面。通过阅读报刊,我们能增长见识,扩大自己的知识面。有许多书籍还能培养我们的道德情操,有许多书籍还能培养我们的道德情操,给我们巨大的精神力量,给我们巨大的精神力量,鼓舞我们前进鼓舞我们前进。第第3 3章数字签名与身份认证技术章数字签名与身份认证技术
侵权处理QQ:3464097650--上传资料QQ:3464097650
【声明】本站为“文档C2C交易模式”,即用户上传的文档直接卖给(下载)用户,本站只是网络空间服务平台,本站所有原创文档下载所得归上传人所有,如您发现上传作品侵犯了您的版权,请立刻联系我们并提供证据,我们将在3个工作日内予以改正。