身份鑒別協(xié)議培訓(xùn)資料

1、身份鑒別協(xié)議培訓(xùn)資料上章內(nèi)容回顧上章內(nèi)容回顧n密鑰管理簡介密鑰管理簡介n密鑰分配密鑰分配n密鑰協(xié)商密鑰協(xié)商nPKIPKI及數(shù)字證書簡介及數(shù)字證書簡介n秘密共享秘密共享2本章主要內(nèi)容本章主要內(nèi)容n身份鑒別的定義n口令認(rèn)證協(xié)議n挑戰(zhàn)應(yīng)答協(xié)議n對身份識別協(xié)議的攻擊和對策3身份鑒別的定義身份鑒別的定義n身份鑒別鑒別：又稱為身份識別、實體認(rèn)證。又稱為身份識別、實體認(rèn)證。它是這樣一個過程，即其中一方確信參與協(xié)它是這樣一個過程，即其中一方確信參與協(xié)議的第二方的身份，并確信第二方真正參與議的第二方的身份，并確信第二方真正參與了該過程。了該過程。n用戶的身份識別是許多應(yīng)用系統(tǒng)的用戶的身份識別是許多應(yīng)用系統(tǒng)的第一

2、道防線，其目的在于識別用戶的合法性，從而阻，其目的在于識別用戶的合法性，從而阻止非法用戶訪問系統(tǒng)。身份識別（認(rèn)證）對止非法用戶訪問系統(tǒng)。身份識別（認(rèn)證）對確保系統(tǒng)和數(shù)據(jù)的安全保密是極其重要的。確保系統(tǒng)和數(shù)據(jù)的安全保密是極其重要的。4身份鑒別的定義身份鑒別的定義Alice?BobEve?5身份鑒別的定義身份鑒別的定義n已知事物：口令、個人識別碼口令、個人識別碼(PIN)、挑戰(zhàn)、挑戰(zhàn)-響應(yīng)協(xié)議中已被證實的秘密或私鑰。響應(yīng)協(xié)議中已被證實的秘密或私鑰。n已擁有的事物：通常是物理配件。如，磁卡、通常是物理配件。如，磁卡、智能卡智能卡(或或IC卡卡)、口令生成器、口令生成器n固有事物(對某個人)：利用人類

3、物理特征和利用人類物理特征和無意行為。如，手寫簽名、指紋、聲音、視無意行為。如，手寫簽名、指紋、聲音、視網(wǎng)膜模式、手的幾何形狀等。（非密碼學(xué)的）網(wǎng)膜模式、手的幾何形狀等。（非密碼學(xué)的）6身份鑒別的定義身份鑒別的定義身份鑒別的定義：身份鑒別的定義：1、在誠實的情況下，聲稱者、在誠實的情況下，聲稱者A能向驗證者能向驗證者B證明他確實是他確實是A；2、在聲稱者、在聲稱者A向驗證者向驗證者B聲稱他的身份后，聲稱他的身份后，驗證者驗證者B不能獲得任何有用的信息，任何有用的信息，B也也不能模仿A向其他第三方證明他就是向其他第三方證明他就是A。3、任何不同于、任何不同于A的實體的實體C以以A的身份，讓的身份

4、，讓B相相信信C是是A的概率可忽略不計的概率可忽略不計7身份鑒別的定義身份鑒別的定義n用于實現(xiàn)身份識別的協(xié)議。n協(xié)議：是一系列步驟，它包括兩方和多方，設(shè)計它的目的是要完成一項任務(wù)。n協(xié)議是從開始到結(jié)束的一個協(xié)議是從開始到結(jié)束的一個序列，每步必須依，每步必須依次執(zhí)行次執(zhí)行n完成協(xié)議完成協(xié)議至少需要兩個人n協(xié)議的協(xié)議的目的是為了做一些事情是為了做一些事情8身份鑒別的定義身份鑒別的定義分析和評價身份認(rèn)證協(xié)議應(yīng)考慮如下幾個方面：（1）交互性：是單方還是雙方的身份認(rèn)證；是單方還是雙方的身份認(rèn)證；（2）計算的有效性；（3）通信的有效性；（4）是否需要第三方的實時參與；（5）對第三方的可信度的要求；（6）安

5、全保證（可證明安全、零知識證明）；（7）用來存儲共享秘密數(shù)據(jù)的地方和方法。9身份鑒別的定義身份鑒別的定義Passwords（weak authentication）：系統(tǒng)檢查口令是否與系統(tǒng)擁有的相應(yīng)用戶數(shù)據(jù)相匹配，批準(zhǔn)聲明的身份訪問資源n用戶ID是聲稱的身份n口令是支持聲稱的證據(jù)：固定口令、PIN和通行密鑰Challenge-response identification（strong authentication）：通過向驗證者展示與證明者實體有關(guān)的秘密知識來證明自己的身份，但在協(xié)議中并沒有向驗證者泄露秘密本身。身份鑒別技術(shù)分類身份鑒別技術(shù)分類10口令認(rèn)證協(xié)議口令認(rèn)證協(xié)議固定口令n1）存儲的

6、口令文件n以明文形式將用戶口令存儲在系統(tǒng)口令文件中n口令文件需讀保護和寫保護n2）“加密的”口令文件n存儲口令的單向函數(shù)值n口令文件需寫保護IDA,PWPassWordPWAB檢查口令和身份竊聽？存儲安全？11口令認(rèn)證協(xié)議口令認(rèn)證協(xié)議n服務(wù)器端的字典攻擊：在這種攻擊中，Eve只對找到口令有興趣，并不關(guān)心用戶的ID。例如，如果口令是六位數(shù)， Eve可以創(chuàng)建一個六位數(shù)(000000999999)的列表，然后對每一個數(shù)使用散列函數(shù)，結(jié)果就是一個一百萬個散列的列表。她就可以得到口令檔案并搜索條目中的第二列，找出一個與之相匹配的。這可以被編程并且在Eve的個人計算機上脫機運行。找到匹配以后，伊夫就可以再

7、上線，用口令來訪問系統(tǒng)。 12口令認(rèn)證協(xié)議口令認(rèn)證協(xié)議3）口令加鹽(Salting Passwords)n第一環(huán)節(jié)：口令字段字符串的生成：s = Agen(Dsalt, Dpw) 給口令Dpw撒鹽：Dpw = Asalt (Dsalt，Dpw)； 用撒鹽結(jié)果做密鑰：K = Dpw； 用一個64位的全0位串構(gòu)造一個數(shù)據(jù)塊Dp； 設(shè)循環(huán)次數(shù)：i = 0； 對數(shù)據(jù)塊加密：Dc = Acrypt(K, Dp)； Dp = Dc，i = i + 1； 如果i B: rB A - B: hK(rB, A)n雙向認(rèn)證29挑戰(zhàn)挑戰(zhàn)-應(yīng)答身份鑒別協(xié)議應(yīng)答身份鑒別協(xié)議n使用手持通行碼生成器的實現(xiàn)A是用戶的私鑰是用

8、戶的私鑰;f是單向函數(shù)是單向函數(shù);302）使用公鑰技術(shù)的挑戰(zhàn)-應(yīng)答聲稱者證明他知道私鑰的方式有兩種：n聲稱者解密用它的公鑰加密的挑戰(zhàn)n聲稱者數(shù)字簽署一個挑戰(zhàn)挑戰(zhàn)挑戰(zhàn)-應(yīng)答身份鑒別協(xié)議應(yīng)答身份鑒別協(xié)議31挑戰(zhàn)挑戰(zhàn)-應(yīng)答身份鑒別協(xié)議應(yīng)答身份鑒別協(xié)議n單向認(rèn)證：n雙向認(rèn)證：r為隨機數(shù)為隨機數(shù)r1, r2為隨機數(shù)為隨機數(shù)基于公鑰加密的挑戰(zhàn)基于公鑰加密的挑戰(zhàn)-響應(yīng)響應(yīng)32挑戰(zhàn)挑戰(zhàn)-應(yīng)答身份鑒別協(xié)議應(yīng)答身份鑒別協(xié)議n帶時戳的單向認(rèn)證：n帶隨機數(shù)的單向認(rèn)證：n帶隨機數(shù)的雙向認(rèn)證：certA,certB為公鑰證書為公鑰證書;SA,SB為私鑰為私鑰;基于數(shù)字簽名的挑戰(zhàn)基于數(shù)字簽名的挑戰(zhàn)-響應(yīng)響應(yīng)33挑戰(zhàn)挑戰(zhàn)-應(yīng)

9、答身份鑒別協(xié)議應(yīng)答身份鑒別協(xié)議3）基于零知識證明的挑戰(zhàn)-應(yīng)答n零知識零知識(Zero-knowledge)(ZK)證明的起源證明的起源Alice：我知道肯德基的土豆泥的配方以及做法。我知道肯德基的土豆泥的配方以及做法。Bob：不，你不知道。不，你不知道。Alice：我知道。我知道。Bob：你不知道。你不知道。Alice：我確實知道！我確實知道！Bob：請你證實這一點！請你證實這一點！Alice：好吧，我告訴你?。ㄋ那牡卣f出了土豆泥的秘方）好吧，我告訴你！（她悄悄地說出了土豆泥的秘方）Bob：太有趣了！現(xiàn)在我也知道了。我要告訴華盛頓郵報太有趣了！現(xiàn)在我也知道了。我要告訴華盛頓郵報Alice：啊

10、呀！啊呀！34挑戰(zhàn)挑戰(zhàn)-應(yīng)答身份鑒別協(xié)議應(yīng)答身份鑒別協(xié)議n不幸的是，不幸的是，Alice用常用的方法給用常用的方法給Bob證明她知道的秘證明她知道的秘密。這樣一來，密。這樣一來，Bob也知道了這些秘密了，現(xiàn)在也知道了這些秘密了，現(xiàn)在Bob要告訴其他人，要告訴其他人，Alice對此毫無辦法。對此毫無辦法。n問題：有沒有一種有效的辦法，讓有沒有一種有效的辦法，讓Alice能向能向Bob證明證明她知道這些秘密，使得她知道這些秘密，使得Bob可以確信可以確信Alice的確知道這的確知道這些，但些，但Bob根本不能獲得這些秘密的任何信息呢？根本不能獲得這些秘密的任何信息呢？35挑戰(zhàn)挑戰(zhàn)-應(yīng)答身份鑒別協(xié)議

11、應(yīng)答身份鑒別協(xié)議n零知識證明的思想零知識證明的思想Alice要向Bob證明她知道某些秘密：nBob：問：問Alice一系列問題一系列問題nAlice：若知道那個秘密，她就能正確回答所有：若知道那個秘密，她就能正確回答所有問題。如果她不知道，她仍有問題。如果她不知道，她仍有50的機會回答的機會回答每一個問題。但要猜對每個問題的機會實在太每一個問題。但要猜對每個問題的機會實在太小了（幾乎不可能）。小了（幾乎不可能）。n大約大約10個問題之后個問題之后nBob確信確信Alice是否知道那個秘密。然而所有回是否知道那個秘密。然而所有回答都沒有給答都沒有給Bob提供提供Alice所知道的所知道的秘密的任

12、何秘密的任何信息。信息。36挑戰(zhàn)挑戰(zhàn)-應(yīng)答身份鑒別協(xié)議應(yīng)答身份鑒別協(xié)議ABC D37挑戰(zhàn)挑戰(zhàn)-應(yīng)答身份鑒別協(xié)議應(yīng)答身份鑒別協(xié)議(1)Bob站在 A 點；(2)Alice進入洞中任一點 C 或 D；(3)當(dāng)Alice進洞之后，Bob走到 B 點；(4)Bob叫Alice：(a)從左邊出來，或(b)從右邊出來；(5)Alice按要求實現(xiàn)(以咒語，即解數(shù)學(xué)難題幫助)；(6)Alice和Bob重復(fù)執(zhí)行 (1)(5)共n次。38挑戰(zhàn)挑戰(zhàn)-應(yīng)答身份鑒別協(xié)議應(yīng)答身份鑒別協(xié)議n若 Alice 不知咒語，則在 B 點，只有50 %的機會猜中 Bob的要求，協(xié)議執(zhí)行 n 次，則只有 2-n 的機會完全猜中，若 n

13、=16，則若每次均通過 Bob 的檢驗，B受騙機會僅為1/65536。n如果Bob用攝像機記錄下他所看到的一切，他把錄像給Carol看，Carol會相信這是真的嗎？Carol是不會相信這是真的。n這說明了兩件事情：其一，Bob不可能使第三方相信這個證明；其二，它證明了這個協(xié)議是零知識的。Bob在不知道咒語的情況下，顯然不能從錄像中獲悉任何信息。39挑戰(zhàn)挑戰(zhàn)-應(yīng)答身份鑒別協(xié)議應(yīng)答身份鑒別協(xié)議n零知識(Zero-knowledge)(ZK)證明:是一種是一種交互式證明系統(tǒng)系統(tǒng)n聲稱者（證明者）和驗證者聲稱者（證明者）和驗證者交換多個信息，這，這些信息的生成些信息的生成依賴于保密的隨機數(shù)n證明者P(

14、Prover)：知道某一秘密知道某一秘密s，使，使V相信自相信自己掌握這一秘密；己掌握這一秘密；n驗證者V(Verifier)：驗證驗證P掌握秘密掌握秘密sn每輪每輪V向向P發(fā)出一詢問，發(fā)出一詢問，P向向V作應(yīng)答（需要有作應(yīng)答（需要有s的知的知識才能正確應(yīng)答）。識才能正確應(yīng)答）。nV檢查檢查P是否每一輪都能正確應(yīng)答。是否每一輪都能正確應(yīng)答。40挑戰(zhàn)挑戰(zhàn)-應(yīng)答身份鑒別協(xié)議應(yīng)答身份鑒別協(xié)議n交互證明與數(shù)學(xué)證明的區(qū)別n數(shù)學(xué)證明：證明者可自己證明者可自己獨立完成證明完成證明(絕對)n交互證明：由由P產(chǎn)生證明產(chǎn)生證明(響應(yīng)響應(yīng))，V驗證證明驗證證明(響應(yīng)）的有響應(yīng)）的有效性效性（概率上）來實現(xiàn)，雙方之間

15、要有通信來實現(xiàn)，雙方之間要有通信n交互系統(tǒng)應(yīng)滿足交互系統(tǒng)應(yīng)滿足n完備性：如果：如果P知道某一秘密，知道某一秘密，V將接收將接收P的證明的證明n正確性：如果如果P能以一定的概率使能以一定的概率使V相信相信P的證明，則的證明，則P知道知道相應(yīng)的秘密（冒充者偽造成功的概率可忽略不計）相應(yīng)的秘密（冒充者偽造成功的概率可忽略不計）41挑戰(zhàn)挑戰(zhàn)-應(yīng)答身份鑒別協(xié)議應(yīng)答身份鑒別協(xié)議nNeedham-Schroeder協(xié)議：是基于對稱密鑰加密的挑戰(zhàn)-響應(yīng)n計算模n平方根的困難性nFiat-Shamir身份識別協(xié)議nFiege-Fiat-Shamir身份識別協(xié)議n離散對數(shù)的困難性：Schnorr協(xié)議42挑戰(zhàn)挑戰(zhàn)-

16、應(yīng)答身份鑒別協(xié)議應(yīng)答身份鑒別協(xié)議2. 4. )|(|1AsKBsKIDKERIDKEBAKDCAB1. IDA| IDB |R13. |AsKIDKEB2RESK5. )(2RfESK如果敵手獲得了舊會話密鑰，如果敵手獲得了舊會話密鑰，則可以冒充則可以冒充A A重放重放3 3，并且可，并且可回答回答5 5，成功的欺騙，成功的欺騙B BKs為隨機會話密鑰為隨機會話密鑰1 NeedhamSchroeder協(xié)議協(xié)議43挑戰(zhàn)挑戰(zhàn)-應(yīng)答身份鑒別協(xié)議應(yīng)答身份鑒別協(xié)議2. 4. )|(|TIDKETIDKEAsKBsKBAKDCAB1. IDA| IDB3. |TIDKEAsKB1NESK5. )(1NfE

17、SK以時戳替代隨機數(shù)，用以向A，B保證Ks的新鮮性|ClockT|t1+t2 Clock:本地時鐘t1：本地時鐘與KDC時鐘誤差估計值t2 ：網(wǎng)絡(luò)延遲時間要求各方時鐘同步要求各方時鐘同步如果發(fā)方時鐘超前如果發(fā)方時鐘超前B B方時鐘，可能導(dǎo)致等方時鐘，可能導(dǎo)致等待重放攻擊待重放攻擊NeedhamSchroeder改進協(xié)議（改進協(xié)議（1）44挑戰(zhàn)挑戰(zhàn)-應(yīng)答身份鑒別協(xié)議應(yīng)答身份鑒別協(xié)議KDCAB3. 1. AANID |4. |BKBSAKNETKIDESB2. |BAAKBBTNIDENIDBBBSAKBSABKNTKIDETKNIDEBA|會話密鑰的截止時間NeedhamSchroeder改進協(xié)

18、議（改進協(xié)議（2）45挑戰(zhàn)挑戰(zhàn)-應(yīng)答身份鑒別協(xié)議應(yīng)答身份鑒別協(xié)議n如果 A 保留由協(xié)議得到的票據(jù)，就可以在有效期內(nèi)可不通過KDC直接認(rèn)證AB,|1ABSAKNTKIDEB、,2AKBNENS、3BKNES、B B在第一步收到票據(jù)后，可以通過在第一步收到票據(jù)后，可以通過BT檢驗票據(jù)是否過時檢驗票據(jù)是否過時，而新產(chǎn)生的一次隨機數(shù)新產(chǎn)生的一次隨機數(shù)則向雙方保證了沒有重放攻擊。則向雙方保證了沒有重放攻擊。BANN ,46挑戰(zhàn)挑戰(zhàn)-應(yīng)答身份鑒別協(xié)議應(yīng)答身份鑒別協(xié)議參數(shù)的選擇：n可信中心可信中心T選擇兩個素數(shù)選擇兩個素數(shù)p和和q(保密，最好用保密，最好用完丟棄完丟棄)，計算類似，計算類似RSA的模數(shù)的模數(shù)

19、m=pq、并、并公開公開m。n證明者選擇與證明者選擇與m互素的私鑰互素的私鑰s(1sm)，計，計算算v=s2 mod mn證明者在可信中心證明者在可信中心T中注冊公鑰中注冊公鑰v2 Fiat-Shamir身份識別協(xié)議身份識別協(xié)議47挑戰(zhàn)挑戰(zhàn)-應(yīng)答身份鑒別協(xié)議應(yīng)答身份鑒別協(xié)議協(xié)議執(zhí)行：迭代t輪(連續(xù)地、獨立地)(1) Alice 取隨機數(shù) r(m)，計算x= r2 mod m，并發(fā)送給Bob；(2) Bob將一隨機比特e=0或1作為挑戰(zhàn)發(fā)給 Alice；(3) Alice計算響應(yīng)值y并發(fā)給Bobn若e=0，則Alice 將y=r送給Bob；n若e=1，則Alice將y=rs mod m送給Bob

20、；(4) 若y=0，則Bob拒絕證明；反之，驗證y2xve mod m？n若e=0，則Bob 證實y2 =x mod mn若e=1，則 Bob 證實 y2 =xv mod m 若t輪都成功，則Bob就接收Alice的身份Fiat-Shamir身份識別協(xié)議身份識別協(xié)議48挑戰(zhàn)挑戰(zhàn)-應(yīng)答身份鑒別協(xié)議應(yīng)答身份鑒別協(xié)議n完備性n如果Alice和Bob遵守協(xié)議，且Alice知道s，則響應(yīng)值 y2=(rse)2 mod m xve mod m，Bob接收Alice的證明，所以協(xié)議是完備的。n正確性nAlice不知道s，他也可取r，送y2 =r2 mod m給Bob；Bob送e 給Alice；Alice將r

21、作為響應(yīng)值；當(dāng)b=0時則Alice可通過檢驗使得Bob受騙，當(dāng)b=1時，則Bob可發(fā)現(xiàn)Alice不知s。Bob受騙概率為1/2，但連續(xù)t輪受騙的概率將僅為2-tnBob無法知道Alice的秘密(s)，因為s沒有被傳送過，且Bob只能隨機選取一個比特位作為挑戰(zhàn)。49挑戰(zhàn)挑戰(zhàn)-應(yīng)答身份鑒別協(xié)議應(yīng)答身份鑒別協(xié)議參數(shù)的選擇：n可信中心可信中心T選擇兩個素數(shù)選擇兩個素數(shù)p和和q(保密，最好用完丟棄保密，最好用完丟棄)，計，計算類似算類似RSA的模數(shù)的模數(shù)n=pq、并公開、并公開n。n證明者選擇證明者選擇k個與個與n互素的隨機整數(shù)作為私鑰互素的隨機整數(shù)作為私鑰s1, s2, ,sk(1sin)n證明者選擇

22、證明者選擇k個隨機比特個隨機比特b1, b2, , bk(1ik)，計算，計算vi=(-1)bi (si2)-1 mod n (1ik)n證明者在可信中心證明者在可信中心T中注冊公鑰中注冊公鑰 (v1, v2 , vk; n)3 Fiege-Fiat-Shamir身份識別協(xié)議身份識別協(xié)議50挑戰(zhàn)挑戰(zhàn)-應(yīng)答身份鑒別協(xié)議應(yīng)答身份鑒別協(xié)議協(xié)議執(zhí)行：迭代t輪(連續(xù)地、獨立地)(1) Alice 取隨機數(shù) r(n)和一個隨機比特b，計算x=(-1)br2 mod n，并發(fā)送給Bob；(2) Bob將一隨機比特序列(e1,ek),ei0,1 作為挑戰(zhàn)發(fā)給 Alice；(3) Alice計算響應(yīng)值y并發(fā)給B

23、ob:(4) Bob計算 ，并驗證z=x和z0 若t輪都成功，則Bob就接收Alice的身份Fiege-Fiat-Shamir身份識別協(xié)議身份識別協(xié)議51挑戰(zhàn)挑戰(zhàn)-應(yīng)答身份鑒別協(xié)議應(yīng)答身份鑒別協(xié)議nShnorr 身份認(rèn)證協(xié)議融合了ELGamal協(xié)議、Fiat-Shamir協(xié)議、和Chaum-Evertse-Van de Graff交互協(xié)議等協(xié)議的思想，是一種計算量、通信量均少，特別適合智能卡上用戶身份識別的方案。n其安全性建立在計算離散對數(shù)問題的困難性上。4 Shnorr 身份認(rèn)證協(xié)議身份認(rèn)證協(xié)議52挑戰(zhàn)挑戰(zhàn)-應(yīng)答身份鑒別協(xié)議應(yīng)答身份鑒別協(xié)議nShnorr 身份認(rèn)證協(xié)議需要一個可信中心 TA。

24、 TA為協(xié)議選擇下列參數(shù)： (1)p 及及 q 是兩個大素數(shù)，且是兩個大素數(shù)，且 q|(p-1);的生成元。）為，階元（如可取為pqppggqZZ)2(/ )1(* (3)選擇安全參數(shù)選擇安全參數(shù)t53挑戰(zhàn)挑戰(zhàn)-應(yīng)答身份鑒別協(xié)議應(yīng)答身份鑒別協(xié)議n每個用戶自己選定個人秘鑰s，并計算公鑰v。其中n每位用戶必須到TA 注冊其公開密鑰v。 TA 驗明用戶身份后，對每位用戶指定一識別名I。I中包括用戶的姓名、性別、生日、職業(yè)、 號碼、指紋信息等識別信息。 TA 對(I,v)的簽名為ST(I,v)。n在身份認(rèn)證過程中，不需要 TA 介入。pvqssmod,1, 1 54挑戰(zhàn)挑戰(zhàn)-應(yīng)答身份鑒別協(xié)議應(yīng)答身份鑒

25、別協(xié)議n證明者A向驗證者B證明他身份（Schnorr 認(rèn)證協(xié)議）),(,(1ATAvISvI、AB用用 TA 的數(shù)字簽名來驗證的數(shù)字簽名來驗證 A 的公開密鑰的公開密鑰pZr*任選pXrmod2、2, 1 te任選整數(shù)3、eqserymod4、pvXeymod. 5驗證55挑戰(zhàn)挑戰(zhàn)-應(yīng)答身份鑒別協(xié)議應(yīng)答身份鑒別協(xié)議nSchnorr 協(xié)議的安全的基礎(chǔ)是離散對數(shù)計算困難性。n從v求s就是求離散對數(shù)，在計算上是不可行的。nr 和s都是用戶的秘密，假冒者 Eve 是無法從 y 中得到用戶的秘密，當(dāng)然也就無法假冒證明者A。pvqssmod,1, 1 56身份鑒別與數(shù)字簽名身份鑒別與數(shù)字簽名n身份識別方案可轉(zhuǎn)換為數(shù)字簽名方案n數(shù)字簽名：n包含可變的消息摘要n通常提供不可抵賴性，以允許事后法官來解決爭端n簽署的消息通常是可公開驗證的n身份識別：n消息的語義基本固定（在當(dāng)前時刻及時地聲稱身份）n聲稱可以立即確證或拒絕，從而實時保證或解除相關(guān)的特權(quán)或訪問n僅通信雙方可以驗證對方身份57轉(zhuǎn)換為簽名方案轉(zhuǎn)換為簽名方案n利用H(x|m)代替驗證者的