第6章身份認(rèn)證與數(shù)字簽名課件

第6章

身份認(rèn)證與數(shù)字簽名第6章

身份認(rèn)證與數(shù)字簽名1主要內(nèi)容身份認(rèn)證數(shù)字簽名主要內(nèi)容身份認(rèn)證2第6章身份認(rèn)證與數(shù)字簽名ppt課件36.1身份認(rèn)證身份認(rèn)證是驗(yàn)證主體的真實(shí)身份與其所聲稱的身份是否符合的過程。認(rèn)證的結(jié)果只有兩個(gè)：符合和不符合。適用于用戶、進(jìn)程、系統(tǒng)、信息等。6.1身份認(rèn)證身份認(rèn)證是驗(yàn)證主體的真實(shí)身份與其所聲稱的身4身份認(rèn)證的例子郵件登錄Client與Server之間的鑒別Telnet遠(yuǎn)程登錄Ftp服務(wù)登錄到某臺(tái)電腦上身份認(rèn)證的例子郵件登錄5第6章身份認(rèn)證與數(shù)字簽名ppt課件6身份認(rèn)證系統(tǒng)的組成出示證件的人，稱作示證者P(Prover)，又稱聲稱者(Claimant)。驗(yàn)證者V（Verifier),檢驗(yàn)聲稱者提出的證件的正確性和合法性，決定是否滿足要求。第三方是可信賴者TP（Trustedthirdparty)，參與調(diào)解糾紛。在許多應(yīng)用場(chǎng)合下沒有第三方。身份認(rèn)證系統(tǒng)的組成出示證件的人，稱作示證者P(Prover76.1.1身份認(rèn)證的物理基礎(chǔ)Somethingtheuserknow(例如口令)在互連網(wǎng)和計(jì)算機(jī)領(lǐng)域中最常用的認(rèn)證方法是口令認(rèn)證簡(jiǎn)單，但不安全。口令有可能被竊取、丟失、復(fù)制。設(shè)計(jì)依據(jù)安全水平、系統(tǒng)通過率、用戶可接受性、成本等6.1.1身份認(rèn)證的物理基礎(chǔ)Somethingthe8口令一般并不是以明文的形式存在和使用，而是采用一些加強(qiáng)的處理之后才使用的。對(duì)口令加密：對(duì)口令的加密算法必須是單向的，即只能加密，不能解密。在驗(yàn)證用戶的口令時(shí)，驗(yàn)證方用單向函數(shù)加密，并與存儲(chǔ)的密文相比較，若相等，則確認(rèn)用戶的身份有效，否則確認(rèn)用戶身份無效。

一次性口令：使用一次性口令作為身份認(rèn)證方法，使得中途截獲口令變得毫無意義。由于要產(chǎn)生大量的一次性口令，所以必須采用專用的設(shè)備來產(chǎn)生口令。

口令一般并不是以明文的形式存在和使用，而是采用一些加強(qiáng)的處理9第6章身份認(rèn)證與數(shù)字簽名ppt課件10第6章身份認(rèn)證與數(shù)字簽名ppt課件11身份認(rèn)證的物理基礎(chǔ)Somethingtheuserpossesses(例如證件)認(rèn)證系統(tǒng)相對(duì)復(fù)雜身份認(rèn)證的物理基礎(chǔ)Somethingtheuserp12用戶所擁有的

磁卡或智能卡丟失，那么撿到卡的人就可以假冒真正的用戶。需要一種磁卡和智能卡上不具有的身份信息，這種身份信息通常采用個(gè)人識(shí)別號(hào)PIN。持卡人必須自己妥善保存并嚴(yán)格保密。在驗(yàn)證過程中，驗(yàn)證者不但要驗(yàn)證持卡人的卡是真實(shí)的卡，同時(shí)還要通過PIN來驗(yàn)證持卡人的確是他本人。用戶所擁有的磁卡或智能卡丟失，那么撿到卡的人就可以假冒真正13身份認(rèn)證的物理基礎(chǔ)Somethingtheuseris(例如指紋識(shí)別)更復(fù)雜,而且有時(shí)會(huì)牽涉到本人意愿身份認(rèn)證的物理基礎(chǔ)Somethingtheuseris146.1.2身份認(rèn)證方式單向認(rèn)證（One-wayAuthentication）雙向認(rèn)證（Two-wayAuthentication）信任的第三方認(rèn)證（TrustedThird-partyAuthentication）6.1.2身份認(rèn)證方式單向認(rèn)證（One-wayAuth15單向認(rèn)證通信的一方認(rèn)證另一方的身份單向認(rèn)證通信的一方認(rèn)證另一方的身份16用對(duì)稱密碼體制來實(shí)現(xiàn)單向認(rèn)證某函數(shù)變換f雙方共享的密鑰KS隨機(jī)數(shù)RA用對(duì)稱密碼體制來實(shí)現(xiàn)單向認(rèn)證某函數(shù)變換f17用非對(duì)稱密碼體制來實(shí)現(xiàn)單向認(rèn)證隨機(jī)數(shù)RAB的私鑰KSB用非對(duì)稱密碼體制來實(shí)現(xiàn)單向認(rèn)證隨機(jī)數(shù)RA18雙向認(rèn)證

雙方都要提供用戶名和密碼給對(duì)方，才能通過認(rèn)證。

雙向認(rèn)證雙方都要提供用戶名和密碼給對(duì)方，才能通過認(rèn)證。19用對(duì)稱密碼體制來實(shí)現(xiàn)雙向認(rèn)證A產(chǎn)生一個(gè)隨機(jī)數(shù)RA雙方共享的密鑰KSB產(chǎn)生一個(gè)隨機(jī)數(shù)RB用對(duì)稱密碼體制來實(shí)現(xiàn)雙向認(rèn)證A產(chǎn)生一個(gè)隨機(jī)數(shù)RA20用非對(duì)稱密碼體制來實(shí)現(xiàn)雙向認(rèn)證A產(chǎn)生一個(gè)隨機(jī)數(shù)RAB產(chǎn)生一個(gè)隨機(jī)數(shù)RBB的私鑰KSBA的私鑰KSA用非對(duì)稱密碼體制來實(shí)現(xiàn)雙向認(rèn)證A產(chǎn)生一個(gè)隨機(jī)數(shù)RA21信任的第三方認(rèn)證

當(dāng)兩端欲進(jìn)行連線時(shí)，彼此必須先通過信任第三方的認(rèn)證，然后才能互相交換密鑰，而后進(jìn)行通信信任的第三方認(rèn)證當(dāng)兩端欲進(jìn)行連線時(shí)，彼此必須先通過信任第三22一種第三方認(rèn)證機(jī)制SKAU：管理員的私鑰PKB：B的公鑰PKA：A的公鑰N1：A的臨時(shí)交互號(hào)N2：B產(chǎn)生的新臨時(shí)交互號(hào)一種第三方認(rèn)證機(jī)制SKAU：管理員的私鑰N1：236.1.3kerberos協(xié)議6.1.3kerberos協(xié)議24概述Kerberos是一種計(jì)算機(jī)網(wǎng)絡(luò)認(rèn)證協(xié)議，它允許某實(shí)體在非安全網(wǎng)絡(luò)環(huán)境下通信，向另一個(gè)實(shí)體以一種安全的方式證明自己的身份。它也指由麻省理工實(shí)現(xiàn)此協(xié)議，并發(fā)布的一套免費(fèi)軟件。它的設(shè)計(jì)主要針對(duì)客戶-服務(wù)器模型，并提供了一系列交互認(rèn)證-用戶和服務(wù)器都能驗(yàn)證對(duì)方的身份。Kerberos協(xié)議可以保護(hù)網(wǎng)絡(luò)實(shí)體免受竊聽和重復(fù)攻擊。Kerberos協(xié)議基于對(duì)稱密碼學(xué)，并需要一個(gè)值得信賴的第三方。概述Kerberos是一種計(jì)算機(jī)網(wǎng)絡(luò)認(rèn)證協(xié)議，它允許某實(shí)體在25"InGreekmythology,amanyheadeddog,commonlythree,perhapswithaserpent'stail,theguardianoftheentranceofHades."

--------DictionaryofSubjectsandSymbolsinArt,byJamesHall,Harper&Row,1979.

"InGreekmythology,amanyhe26KeyPointsKerberosisanauthenticationservicedesignedforuseinadistributedenvironment.Kerberosmakesuseofatrustedthird-partauthenticationservicethatenablesclientsandserverstoestablishauthenticatedcommunication.KeyPointsKerberosisanauth27InstructionOneoftheearliestandalsooneofthemostwidelyusedservices.TwoversionsofKerberosareincommonuse.Version4implementationsstillexist.Version5correctssomeofthesecuritydeficienciesofversion4andhasbeenissuedasaproposedInternetStandard(RFC1510).

InstructionOneoftheearliest28TheproblemthatKerberosaddresses:

Assumeanopendistributedenvironmentinwhichusersatworkstationswishtoaccessservicesonserversdistributedthroughoutthenetwork.Wewouldlikeforserverstobeabletorestrictaccesstoauthorizedusersandtobeabletoauthenticaterequestsforservice.Kerberosprovidesacentralizedauthenticationserverwhosefunctionistoauthenticateuserstoserversandserverstousers.Kerberosreliesexclusivelyonsymmetricencryption,makingnouseofpublic-keyencryption.TheproblemthatKerberosaddr29ASimpleAuthenticationDialogueInanunprotectednetworkenvironment,anyclientcanapplytoanyserverforservice.serversmustbeabletoconfirmtheidentitiesofclientswhorequestservice.Eachservercanberequiredtoundertakethistaskforeachclient/serverinteraction.Inanopenenvironment,thisplacesasubstantialburdenoneachserver.ASimpleAuthenticationDialog30AuthenticationServer(AS)Analternativeistouseanauthenticationserver(AS)thatknowsthepasswordsofallusersandstorestheseinacentralizeddatabase.TheASsharesauniquesecretkeywitheachserver.Thesekeyshavebeendistributedphysicallyorinsomeothersecuremanner.AuthenticationServer(AS)An31存儲(chǔ)每個(gè)用戶的password和標(biāo)識(shí)存儲(chǔ)與每個(gè)服務(wù)器共享的密鑰AS查詢數(shù)據(jù)庫，檢查用戶口令是否與用戶表示相符，并判斷此用戶是否有訪問服務(wù)器V的權(quán)限。存儲(chǔ)每個(gè)用戶的password和標(biāo)識(shí)AS查詢數(shù)據(jù)庫，檢查用戶32(1)C→AS:IDC||PC||IDV(2)AS→C:Ticket(3)C→V:IDC||TicketTicket=E(Kv,[IDC||ADC||IDV])C=clientAS=authenticationServerV=serverIDC=identifierofuseronCIDV=identifierofVPC=passwordofuseronCADC=networkaddressofCKv=secretencryptionkeysharedbyASandV(1)C→AS:IDC||PC||IDV33Althoughtheforegoingscenariosolvessomeoftheproblemsofauthenticationinanopennetworkenvironment,problemsremain.Twoinparticularstandout.

wewouldliketominimizethenumberoftimesthatauserhastoenterapassword.Supposeeachticketcanbeusedonlyonce.Thesecondproblemisthattheearlierscenarioinvolvedaplaintexttransmissionofthepassword.Althoughtheforegoingscenari34AMoreSecureAuthenticationDialogue

把身份認(rèn)證和訪問權(quán)限交給兩個(gè)服務(wù)器分別完成身份認(rèn)證，由AS完成訪問控制，由票據(jù)授權(quán)服務(wù)器（ticket-grantingserver，TGS)來完成達(dá)到的效果：用戶口令只需輸入一次，且不會(huì)在網(wǎng)絡(luò)上傳輸。AMoreSecureAuthenticationD35存儲(chǔ)每個(gè)用戶的password和標(biāo)識(shí)存儲(chǔ)與TGS共享的密鑰Tickettgs由kc加密，kc來自password存儲(chǔ)與每個(gè)服務(wù)器V共享的密鑰判斷此用戶是否有訪問服務(wù)器V的權(quán)限。存儲(chǔ)每個(gè)用戶的password和標(biāo)識(shí)Tickettgs由kc36Onceperuserlogonsession:

(1)C→AS:IDC||IDtgs

(2)AS→C:E(Kc,Tickettgs)Oncepertypeofservice:

(3)C→TGS:IDC||IDV||Tickettgs

(4)TGS→C:TicketvOnceperservicesession:

(5)C→V:IDC||TicketvTickettgs=E(Ktgs,[IDC||ADC||IDtgs||TS1||Lifetime1])Ticketv=E(Kv,[IDC||ADC||IDv||TS2||Lifetime2])Onceperuserlogonsession:37(3)C→TGS:IDC||IDV||TickettgsTickettgs=E(Ktgs,[IDC||ADC||IDtgs||TS1||Lifetime1])(3)C→TGS:IDC||IDV||Tickett381.客戶端將用戶標(biāo)識(shí)、TGS標(biāo)識(shí)一起送往AS，申請(qǐng)得到票據(jù)授權(quán)票據(jù)ticket-grantingticket。2.AS用從用戶口令推出的密鑰Kc(事先已經(jīng)存儲(chǔ)在AS中)將票據(jù)加密，并發(fā)送給客戶端。由用戶在客戶端輸入口令，并得到Kc,將收到的消息解密，得到票據(jù)授權(quán)票據(jù)ticket-grantingticket。Theclientmoduleintheuserworkstationsavesthisticket-grantingticket.Becauseonlythecorrectusershouldknowthepassword,onlythecorrectusercanrecovertheticket.Thus,wehaveusedthepasswordtoobtaincredentialsfromKerberoswithouthavingtotransmitthepasswordinplaintext.1.客戶端將用戶標(biāo)識(shí)、TGS標(biāo)識(shí)一起送往AS，申請(qǐng)得到票據(jù)393.Theclientrequestsaservice-grantingticket(服務(wù)授權(quán)票據(jù)).Forthispurpose,theclienttransmitsamessagetotheTGScontainingtheuser'sID,theIDofthedesiredservice,andtheticket-grantingticket.4.TheTGSdecryptstheincomingticketandverifiesthesuccessofthedecryptionbythepresenceofitsID.Itcheckstomakesurethatthelifetimehasnotexpired.ThenitcomparestheuserIDandnetworkaddresswiththeincominginformationtoauthenticatetheuser.IftheuserispermittedaccesstotheserverV,theTGSissuesaticket(service-grantingticket,Ticketv)tograntaccesstotherequestedservice.3.Theclientrequestsaservi405.Theclientrequestsaccesstoaserviceonbehalfoftheuser.Forthispurpose,theclienttransmitsamessagetotheservercontainingtheuser'sIDandtheservice-grantingticket.Theserverauthenticatesbyusingthecontentsoftheticket.

5.Theclientrequestsaccess41使用的密鑰Kc：AS和C共享Ktgs：AS和TGS共享Kv：TGS和V共享使用的密鑰Kc：AS和C共享42TwoproblemsThelifetimeassociatedwiththeticket-grantingticket：

Ifthislifetimeisveryshort(e.g.,minutes),thentheuserwillberepeatedlyaskedforapassword.

Ifanopponentcapturesaservice-grantingticketandusesitbeforeitexpires,theopponenthasaccesstothecorrespondingservice.Anetworkservice(theTGSoranapplicationservice)mustbeabletoprovethatthepersonusingaticketisthesamepersontowhomthatticketwasissued.Thesecondproblemisthattheremaybearequirementforserverstoauthenticatethemselvestousers.TwoproblemsThelifetimeasso43TheKerberosVersion4

AuthenticationDialogue(1)

AuthenticationServiceExchangetoobtainticket-grantingticket.Kc,tgs:CopyofsessionkeyaccessibletoclientcreatedbyAStopermitsecureexchangebetweenclientandTGSwithoutrequiringthemtoshareapermanentkey.TheKerberosVersion4

Authen44TheKerberosVersion4

AuthenticationDialogue(2)

Ticket-GrantingServiceExchangetoobtainservice-grantingticket.TheKerberosVersion4

Authen45TheKerberosVersion4

AuthenticationDialogue(3)

Client/ServerAuthenticationExchangetoobtainservice.TheKerberosVersion4

Authen46第6章身份認(rèn)證與數(shù)字簽名ppt課件476.1.4零知識(shí)證明Alice:“我知道聯(lián)邦儲(chǔ)備系統(tǒng)計(jì)算的口令”Bob:“不，你不知道”Alice：我知道Bob：你不知道Alice：我確實(shí)知道Bob：請(qǐng)你的證實(shí)這一點(diǎn)Alice：好吧，我告訴你。（她悄悄說出了口令）Bob：太有趣了！現(xiàn)在我也知道了。我要告訴《華盛頓郵報(bào)》Alice：啊呀！6.1.4零知識(shí)證明Alice:“我知道聯(lián)邦儲(chǔ)備系統(tǒng)計(jì)算48零知識(shí)證明技術(shù)零知識(shí)證明技術(shù)可使信息的擁有者無需泄露任何信息就能夠向驗(yàn)證者或任何第三方證明它擁有該信息。零知識(shí)證明技術(shù)零知識(shí)證明技術(shù)可使信息的擁有者無需泄露任何信息49零知識(shí)證明的基本協(xié)議例[Quisquater等1989]。

設(shè)P知道咒語，可打開C和D之間的秘密門，不知道者都將走向死胡同中。ABCD零知識(shí)證明的基本協(xié)議例[Quisquater等1989]。50零知識(shí)證明的基本協(xié)議

(1)V站在A點(diǎn)；(2)P進(jìn)入洞中任一點(diǎn)C或D；(3)當(dāng)P進(jìn)洞之后，V走到B點(diǎn)；(4)V叫P：(a)從左邊出來，或(b)從右邊出來；(5)P按要求實(shí)現(xiàn)(以咒語，即解數(shù)學(xué)難題幫助)；(6)P和V重復(fù)執(zhí)行(1)～(5)共n次。若A不知咒語，則在B點(diǎn)，只有50%的機(jī)會(huì)猜中B的要求，協(xié)議執(zhí)行n次，則只有2-n的機(jī)會(huì)完全猜中，若n=16，則若每次均通過B的檢驗(yàn)，B受騙機(jī)會(huì)僅為1/65536零知識(shí)證明的基本協(xié)議(1)V站在A點(diǎn)；51最簡(jiǎn)單的零知識(shí)證明問題要求：假如P想說服V，使V相信他確實(shí)知道n的因數(shù)p和q，但不能告訴V最簡(jiǎn)單的步驟：V隨機(jī)選擇一整數(shù)x，計(jì)算x4modn的值，并告訴PP求x2modn并將它告訴VV驗(yàn)證x4modnV知道求x2modn等價(jià)于n的因數(shù)分解，若不掌握n的因數(shù)p和q，求解很困難。最簡(jiǎn)單的零知識(shí)證明問題要求：假如P想說服V，使V相信他確實(shí)知52Fiat-Shamir協(xié)議xvc

≡r2(s2)c≡r2s2c≡(rsc)2≡y2modnFiat-Shamir協(xié)議xvc≡r2(s2)c≡r536.2數(shù)字簽名6.2數(shù)字簽名54消息認(rèn)證無法保證抗否認(rèn)性可以保護(hù)通信雙方以防止第3者攻擊，不能保護(hù)通信雙方中一方防止另一方的欺騙和偽造。B偽造一個(gè)消息并使用與A共享的密鑰產(chǎn)生該消息的認(rèn)證碼，然后生成該消息來自于AB有可能偽造A發(fā)來的消息，所以A就可以對(duì)自己發(fā)過的消息予以否認(rèn)消息認(rèn)證無法保證抗否認(rèn)性可以保護(hù)通信雙方以防止第3者攻擊，不55第6章身份認(rèn)證與數(shù)字簽名ppt課件56數(shù)字簽名的基本概念數(shù)字簽名由公鑰密碼發(fā)展而來，它在網(wǎng)絡(luò)安全，包括身份認(rèn)證、數(shù)據(jù)完整性、不可否認(rèn)性以及匿名性等方面有著重要應(yīng)用。數(shù)字簽名的基本概念數(shù)字簽名由公鑰密碼發(fā)展而來，它在網(wǎng)絡(luò)安全，57電子簽名法２００４年８月２８日第十屆全國(guó)人民代表大會(huì)常務(wù)委員會(huì)第十一次會(huì)議通過第二條本法所稱電子簽名，是指數(shù)據(jù)電文中以電子形式所含、所附用于識(shí)別簽名人身份并表明簽名人認(rèn)可其中內(nèi)容的數(shù)據(jù)。第十四條可靠的電子簽名與手寫簽名或者蓋章具有同等的法律效力。第三十二條偽造、冒用、盜用他人的電子簽名，構(gòu)成犯罪的，依法追究刑事責(zé)任；給他人造成損失的，依法承擔(dān)民事責(zé)任。第三十六條本法自２００５年４月１日起施行。

電子簽名法２００４年８月２８日第十屆全國(guó)人民代表大會(huì)常務(wù)委員58手寫簽名的特征簽名是可信的簽名是不可偽造的簽名不可重用簽名后的文件是不可變的簽名是不可抵賴的手寫簽名的特征簽名是可信的59Insituationswherethereisnotcompletetrustbetweensenderandreceiver,somethingmorethanauthenticationisneeded.Themostattractivesolutiontothisproblemisthedigitalsignature.

Digitalsignaturemusthavethefollowingproperties:Itmustverifytheauthorandthedateandtimeofthesignature.Itmusttoauthenticatethecontentsatthetimeofthesignature.Itmustbeverifiablebythirdparties,toresolvedisputes.數(shù)字簽名的功能Insituationswherethereisn60更進(jìn)一步的要求依賴性：簽名必須是依賴于被簽名信息來產(chǎn)生；唯一性：簽名必須使用某些對(duì)發(fā)送者是唯一的信息，以防止雙方的偽造與否認(rèn)；可驗(yàn)性：必須相對(duì)容易識(shí)別和驗(yàn)證該數(shù)字簽名；抗偽造：根據(jù)一個(gè)已有的數(shù)字簽名來構(gòu)造消息是不可行的；對(duì)一個(gè)給定消息偽造數(shù)字簽名是不可行的；可用性：在存儲(chǔ)器中保存一個(gè)數(shù)字簽名副本是現(xiàn)實(shí)可行的。更進(jìn)一步的要求依賴性：簽名必須是依賴于被簽名信息來產(chǎn)生；61簽名方法DirectDigitalSignature直接數(shù)字簽名ArbitratedDigitalSignature仲裁數(shù)字簽名簽名方法DirectDigitalSignature直接62DirectDigitalSignature直接方式Thedirectdigitalsignatureinvolvesonlythecommunicatingparties(source,destination).Itisassumedthatthedestinationknowsthepublickeyofthesource.Adigitalsignaturemaybeformedbyencryptingtheentiremessagewiththesender’sprivatekeyorbyencryptingahashcodeofthemessagewiththesender’sprivatekey.DirectDigitalSignature直接方式63第6章身份認(rèn)證與數(shù)字簽名ppt課件64直接數(shù)字簽名AB消息加密后的摘要消息散列函數(shù)A的私鑰摘要加密算法消息加密后的摘要A的公鑰解密算法解密后的摘要散列函數(shù)摘要比較加密后的摘要直接數(shù)字簽名AB消息加密后的摘要消息散列A的私鑰摘要加密消息65第6章身份認(rèn)證與數(shù)字簽名ppt課件66第6章身份認(rèn)證與數(shù)字簽名ppt課件67AllDirectDigitalSignaturedescribedsofarshareacommonweakness:Thevalidityoftheschemedependsonthesecurityofthesender'sprivatekey.Ifasenderlaterwishestodenysendingaparticularmessage,thesendercanclaimthattheprivatekeywaslostorstolenandthatsomeoneelseforgedhisorhersignature.AnotherthreatisthatsomeprivatekeymightactuallybestolenfromXattimeT.TheopponentcanthensendamessagesignedwithX'ssignatureandstampedwithatimebeforeorequaltoT.AllDirectDigitalSignatured68仲裁數(shù)字簽名具有仲裁方式的數(shù)字簽名發(fā)方X對(duì)發(fā)往收方Y(jié)的消息簽名將消息和簽名先發(fā)往仲裁者AA對(duì)消息和簽名驗(yàn)證完后，再連同一個(gè)表示已通過驗(yàn)證的指令一起發(fā)給Y.仲裁數(shù)字簽名具有仲裁方式的數(shù)字簽名69具有仲裁方式的數(shù)字簽名

----基于對(duì)稱密碼例1：XA:M||AY:E：?jiǎn)舞€加密算法KXA,KAY:A與X和Y的共享密鑰M：消息T：時(shí)戳IDX：X的身份H(M)：M的雜湊值此方案不提供對(duì)M的保密性具有仲裁方式的數(shù)字簽名

----基于對(duì)稱密碼例1：E：?jiǎn)舞€加70在1中，X以EKXA[IDX‖H(M)]作為自己對(duì)M的簽名，將M及簽名發(fā)往A。在2中A將從X收到的內(nèi)容和IDX、T一起加密后發(fā)往Y，其中的T用于向Y表示所發(fā)的消息不是舊消息的重放。Y對(duì)收到的內(nèi)容解密后,將解密結(jié)果存儲(chǔ)起來以備出現(xiàn)爭(zhēng)議時(shí)使用。如果出現(xiàn)爭(zhēng)議，Y可聲稱自己收到的M的確來自X，并將EKAY[IDX‖M‖EKXA[IDX‖H(M)]]發(fā)給A，由A仲裁，A由KAY解密后，再用KXA對(duì)EKXA[IDX‖H(M)]解密，并對(duì)H(M)加以驗(yàn)證，從而驗(yàn)證了X的簽名。在1中，X以EKXA[IDX‖H(M)]作為自己對(duì)M的簽名，71具有仲裁方式的數(shù)字簽名例2XA:IDX||AY:X對(duì)M的簽名X和Y的共享密鑰此方案提供了對(duì)M的保密性具有仲裁方式的數(shù)字簽名例2X對(duì)M的簽名X和Y的共享密鑰此方案72仲裁者可和發(fā)方共謀否認(rèn)發(fā)方曾發(fā)過的消息，也可和收方共謀產(chǎn)生發(fā)方的簽名仲裁者可和發(fā)方共謀否認(rèn)發(fā)方曾發(fā)過的消息，也可和收方共謀產(chǎn)生發(fā)73具有仲裁方式的數(shù)字簽名

----基于公鑰密碼例3X的私鑰Y的公鑰具有仲裁方式的數(shù)字簽名

----基于公鑰密碼例3X的私鑰Y的74第1步中，X用自己的秘密鑰SKX和Y的公開鑰PKY對(duì)消息加密后作為對(duì)M的簽名，以這種方式使得任何第3方（包括A）都不能得到M的明文消息。A收到X發(fā)來的內(nèi)容后，用X的公開鑰可對(duì)ESKX[IDX‖EPKY[ESKX[M]]]解密，并將解密得到的IDX與收到的IDX加以比較，從而可確信這一消息是來自于X的（因只有X有SKX）。第2步，A將X的身份IDX和X對(duì)M的簽名加上一時(shí)戳后，再用自己的秘密鑰加密發(fā)往Y。第1步中，X用自己的秘密鑰SKX和Y的公開鑰PKY對(duì)消息加密75與前兩種方案相比，第3種方案有很多優(yōu)點(diǎn)：在協(xié)議執(zhí)行以前，各方都不必有共享的信息，從而可防止共謀。只要仲裁者的秘密鑰不被泄露，任何人包括發(fā)方就不能發(fā)送重放的消息。對(duì)任何第三方（包括A）來說，X發(fā)往Y的消息都是保密的。與前兩種方案相比，第3種方案有很多優(yōu)點(diǎn)：76RSA簽名體制體制參數(shù)大素?cái)?shù)p,q，n=p×q,y(n)=(p-1)(q-1)。選整數(shù)1<e<y(n),且gcd(e,y(n))=1;計(jì)算d滿足de≡1mody(n).{e,n}為公開密鑰，{d,n}為秘密密鑰。簽名過程S=Mdmodn驗(yàn)證過程M=Semodn實(shí)際應(yīng)用中加密是對(duì)H(M)進(jìn)行的。RSA簽名體制體制參數(shù)77RSA簽名方案M||HESKAMHDPKA比較RSA簽名方案M||HESKAMHDPKA比較78數(shù)字簽名標(biāo)準(zhǔn)DigitalSignatureStandard(DSS)數(shù)字簽名標(biāo)準(zhǔn)DigitalSignatureStanda79概況由NIST1991年公布1993年公布修改版美