文档介绍：计算机网络课件谢希仁第七章
(1) 防止析出报文内容；
(2) 防止通信量分析；
(3) 检测更改报文流；
(4) 检测拒绝报文服务；
(5)
在计算机上可容易地产生成对的 PK 和 SK。
从已知的 PK 实际上不可能推导出 SK，即从 PK 到 SK 是“计算上不可能的”。
加密和解密算法都是公开的。
（7-6）
课件制作人：谢希仁
公钥密码体制
密文Y
E 运算
加密算法
D 运算
解密算法
加密
解密
明文 X
明文 X
A
B
B 的私钥 SKB
密文Y
因特网
B 的公钥 PKB
课件制作人：谢希仁
数字签名
数字签名必须保证以下三点：
(1) 报文鉴别——接收者能够核实发送者对报文的签名；
(2) 报文的完整性——发送者事后不能抵赖对报文的签名；
(3) 不可否认——接收者不能伪造对报文的签名。
现在已有多种实现各种数字签名的方法。但采用公钥算法更容易实现。
课件制作人：谢希仁
密文
数字签名的实现
D
运算
明文 X
明文 X
A
B
A 的私钥 SKA
因特网
签名
核实签名
E
运算
密文
A 的公钥 PKA
课件制作人：谢希仁
数字签名的实现
因为除 A 外没有别人能具有 A 的私钥，所以除 A 外没有别人能产生这个密文。因此 B 相信报文 X 是 A 签名发送的。
若 A 要抵赖曾发送报文给 B，B 可将明文和对应的密文出示给第三者。第三者很容易用 A 的公钥去证实 A 确实发送 X 给 B。
反之，若 B 将 X 伪造成 X‘，则 B 不能在第三者前出示对应的密文。这样就证明了 B 伪造了报文。
课件制作人：谢希仁
具有保密性的数字签名
核实签名
解密
加密
签名
E 运算
D 运算
明文 X
明文 X
A
B
A 的私钥 SKA
因特网
E 运算
B 的私钥 SKB
D 运算
加密与解密
签名与核实签名
B 的公钥 PKB
A 的公钥 PKA
密文
课件制作人：谢希仁
鉴别
在信息的安全领域中，对付被动攻击的重要措施是加密，而对付主动攻击中的篡改和伪造则要用鉴别(authentication) 。
报文鉴别使得通信的接收方能够验证所收到的报文（发送者和报文内容、发送时间、序列等）的真伪。
使用加密就可达到报文鉴别的目的。但在网络的应用中，许多报文并不需要加密。应当使接收者能用很简单的方法鉴别报文的真伪。
课件制作人：谢希仁
鉴别与授权不同
鉴别与授权(authorization)是不同的概念。
授权涉及到的问题是：所进行的过程是否被允许（如是否可以对某文件进行读或写）。
课件制作人：谢希仁
报文鉴别
许多报文并不需要加密但却需要数字签名，以便让报文的接收者能够鉴别报文的真伪。
然而对很长的报文进行数字签名会使计算机增加很大的负担（需要进行很长时间的运算。
当我们传送不需要加密的报文时，应当使接收者能用很简单的方法鉴别报文的真伪。
课件制作人：谢希仁
报文摘要 MD (Message Digest)
A 将报文 X 经过报文摘要算法运算后得出很短的报文摘要 H。然后然后用自己的私钥对 H 进行 D 运算，即进行数字签名。得出已签名的报文摘要 D(H)后，并将其追加在报文 X 后面发送给 B。
B 收到报文后首先把已签名的 D(H) 和报文 X 分离。然后再做两件事。
用A的公钥对 D(H) 进行E运算，得出报文摘要 H 。
对报文 X 进行报文摘要运算，看是否能够得出同样的报文摘要 H。如一样，就能以极高的概率断定收到的报文是 A 产生的。否则就不是。
课件制作人：谢希仁
报文摘要的优点
仅对短得多的定长报文摘要 H 进行数字签名要比对整个长报文进行数字签名要简单得多，所耗费的计算资源也小得多。
但对鉴别报文 X 来说，效果是一样的。也就是说，报文 X 和已签名的报文摘要 D(H) 合在一起是不可伪造的，是可检验的和不可否认的。
课件制作人：谢希仁
报文摘要算法
报文摘要算法就是一种散列函数。这种散列函数也叫做密码编码的检验和。报文摘要算法是防止报文被人恶意篡改。
报文摘要算法是精心选择的一种单向函数。
可以很容易地计算出一个长报文 X 的报文摘要 H，但要想从报文摘要 H 反过来找到原始的报文 X，则实际上是不可能的。
若想找到任意两个报文，使得它们具有相同的报文摘要，那么实际上也是不可能的。
课件制作人：谢希仁
报文摘要的实现
A