數(shù)字簽名和密碼協(xié)議.ppt

上傳人:max****ui 文檔編號:15480595 上傳時間:2020-08-12 格式:PPT 頁數(shù):92 大?。?.19MB
收藏 版權(quán)申訴 舉報 下載
數(shù)字簽名和密碼協(xié)議.ppt_第1頁
第1頁 / 共92頁
數(shù)字簽名和密碼協(xié)議.ppt_第2頁
第2頁 / 共92頁
數(shù)字簽名和密碼協(xié)議.ppt_第3頁
第3頁 / 共92頁

下載文檔到電腦,查找使用更方便

14.9 積分

下載資源

還剩頁未讀,繼續(xù)閱讀

資源描述:

《數(shù)字簽名和密碼協(xié)議.ppt》由會員分享,可在線閱讀,更多相關(guān)《數(shù)字簽名和密碼協(xié)議.ppt(92頁珍藏版)》請在裝配圖網(wǎng)上搜索。

1、第七章 數(shù)字簽名和密碼協(xié)議,數(shù)字簽名由公鑰發(fā)展而來,為保證網(wǎng)絡(luò)安全起著決定性的作用,在身份認(rèn)證、數(shù)據(jù)完整性和不可否認(rèn)性以及匿名性等方面有著重要的應(yīng)用。 數(shù)字簽名的基本概念 數(shù)字簽名標(biāo)準(zhǔn) 認(rèn)證協(xié)議 身份證明技術(shù),數(shù)字簽名,消息認(rèn)證用以保護(hù)通信雙方之間的數(shù)據(jù)交換不被第三方侵犯;但它并不保證雙方自身的相互欺騙。假定A發(fā)送一個認(rèn)證的信息給B,雙方之間的爭議可能有多種形式: B偽造一個不同的消息,但聲稱是從A收到的。 A可以否認(rèn)發(fā)過該消息,B無法證明A確實(shí)發(fā)了該消息。 例如:EFT中改大金額;發(fā)送股票交易指令虧損后抵賴。,,,數(shù)字簽名,傳統(tǒng)簽名的基本特點(diǎn): 能與被簽的文件在物理上不可分割 簽名者不能否認(rèn)

2、自己的簽名 簽名不能被偽造 容易被驗(yàn)證 數(shù)字簽名是傳統(tǒng)簽名的數(shù)字化,基本要求: 能與所簽文件“綁定” 簽名者不能否認(rèn)自己的簽名 簽名不能被偽造 容易被自動驗(yàn)證,數(shù)字簽名應(yīng)具有的性質(zhì),必須能夠驗(yàn)證作者及其簽名的日期時間; 必須能夠認(rèn)證簽名時刻的內(nèi)容; 簽名必須能夠由第三方驗(yàn)證,以解決爭議;,因此,數(shù)字簽名功能包含了鑒別的功能,數(shù)字簽名的設(shè)計要求,簽名必須是依賴于被簽名信息的一個位串模式; 簽名必須使用某些對發(fā)送者是唯一的信息,以防止雙方的偽造與否認(rèn); 必須相對容易生成該數(shù)字簽名; 必須相對容易識別和驗(yàn)證該數(shù)字簽名; 偽造該數(shù)字簽名在計算復(fù)雜性意義上具有不可行性,既包括對一個已有的數(shù)字簽名構(gòu)造新的

3、消息,也包括對一個給定消息偽造一個數(shù)字簽名; 在存儲器中保存一個數(shù)字簽名副本是現(xiàn)實(shí)可行的。,數(shù)字簽名分類,以方式分 直接數(shù)字簽名direct digital signature 仲裁數(shù)字簽名arbitrated digital signature 以安全性分 無條件安全的數(shù)字簽名 計算上安全的數(shù)字簽名 以可簽名次數(shù)分 一次性的數(shù)字簽名 多次性的數(shù)字簽名,數(shù)字簽名的產(chǎn)生方式,數(shù)字簽名可用加密算法或特定的簽名算法產(chǎn)生。 由加密算法產(chǎn)生的數(shù)字簽名,,M,,E,,K,,,,D,,M,,K,EK(M),單鑰加密:保密性和認(rèn)證性,公鑰加密,M,,E,,SKA,,,,D,,M,,PKA,E SKA(M),公

4、鑰加密:認(rèn)證性和簽名,,公鑰加密:保密性、認(rèn)證性和簽名,由簽名算法產(chǎn)生數(shù)字簽名,明文M,密鑰x 簽名算法Sigx(M) 驗(yàn)證算法Verx(M),簽名算法的安全性在于從消息和簽名推出密鑰或偽造一個有同一簽名的新消息在算法上是不可行。,數(shù)字簽名的執(zhí)行方式直接數(shù)字簽名(DDS),(1) AB: ESKaM 提供了鑒別與簽名: 只有A具有SKa進(jìn)行加密; 傳輸中沒有被篡改; 需要某些格式信息/冗余度; 任何第三方可以用PKa 驗(yàn)證簽名,(1) AB: EPKb ESKa(M) 提供了保密(PKb)、鑒別與簽名(SKa):,直接數(shù)字簽名,(2) AB: M||ESKaH(M),提供鑒別及數(shù)字簽名 -

5、- H(M) 受到密碼算法的保護(hù); -- 只有 A 能夠生成 ESKaH(M),(2) AB: EKM||ESKaH(M),提供保密性、鑒別和數(shù)字簽名。,直接數(shù)字簽名的缺點(diǎn),驗(yàn)證模式依賴于發(fā)送方的保密密鑰; 發(fā)送方要抵賴發(fā)送某一消息時,可能會聲稱其私有密鑰丟失或被竊,從而他人偽造了他的簽名。 通常需要采用與私有密鑰安全性相關(guān)的行政管理控制手段來制止或至少是削弱這種情況,但威脅在某種程度上依然存在。 改進(jìn)的方式例如可以要求被簽名的信息包含一個時間戳(日期與時間),并要求將已暴露的密鑰報告給一個授權(quán)中心。 X的某些私有密鑰確實(shí)在時間T被竊取,敵方可以偽造X的簽名及早于或等于時間T的時間戳。,數(shù)

6、字簽名的執(zhí)行方式仲裁數(shù)字簽名,引入仲裁者。 通常的做法是所有從發(fā)送方X到接收方Y(jié)的簽名消息首先送到仲裁者A,A將消息及其簽名進(jìn)行一系列測試,以檢查其來源和內(nèi)容,然后將消息加上日期并與已被仲裁者驗(yàn)證通過的指示一起發(fā)給Y。 仲裁者在這一類簽名模式中扮演敏感和關(guān)鍵的角色。 所有的參與者必須極大地相信這一仲裁機(jī)制工作正常。(trusted system),仲裁數(shù)字簽名技術(shù),(a) 單密鑰加密方式,仲裁者可以看見消息 (1) XA:M||EKxaIDx|| H(M) (2) AY:EKayIDx|| M || EKxaIDx|| H(M) || T,X與A之間共享密鑰Kxa,Y與A之間共享密鑰Kay;

7、X:準(zhǔn)備消息M,計算其散列碼H(M),用X的標(biāo)識符IDx 和散列值構(gòu)成 簽名,并將消息及簽名經(jīng)Kxa加密后發(fā)送給A; A:解密簽名,用H(M)驗(yàn)證消息M,然后將IDx,M,簽名,和時間戳 一起經(jīng)Kay加密后發(fā)送給Y; Y:解密A發(fā)來的信息,并可將M和簽名保存起來。,解決糾紛: Y:向A發(fā)送 EKayIDx|| M || EKxaIDx|| H(M) A:用Kay恢復(fù)IDx,M,和簽名( EKxaIDx|| H(M)),然后用Kxa解密簽 名并驗(yàn)證散列碼,注意: 在這種模式下Y不能直接驗(yàn)證X的簽名,Y認(rèn)為A的消息正確,只 因?yàn)樗鼇碜訟。因此,雙方都需要高度相信A: X必須信任A沒有

8、暴露Kxa,并且沒有生成錯誤的簽名 EKxaIDx|| H(M) Y必須信任A僅當(dāng)散列值正確并且簽名確實(shí)是X產(chǎn)生的情況下才 發(fā)送的 EKayIDx|| M || EKxaIDx|| H(M) || T 雙方都必須信任A處理爭議是公正的。 只要A遵循上述要求,則X相信沒有人可以偽造其簽名;Y相信X不 能否認(rèn)其簽名。,上述情況還隱含著A可以看到X給Y的所有信息,因而所有的竊聽者 也能看到。,(b) 單密鑰加密方式,仲裁者不可以看見消息 (1) XA: IDx || EKxyM||EKxaIDx|| H(EKxyM) (2) AY:EKayIDx||EKxyM || EKxaIDx|| H(EKxy

9、M) || T,在這種情況下,X與Y之間共享密鑰Kxy, X:將標(biāo)識符IDx ,密文 EKxyM,以及對IDx和密文消息的散列碼用 Kxa加密后形成簽名發(fā)送給A。 A:解密簽名,用散列碼驗(yàn)證消息,這時A只能驗(yàn)證消息的密文而不 能讀取其內(nèi)容。然后A將來自X的所有信息加上時間戳并用Kay加 密后發(fā)送給Y。,(a)和(b)共同存在一個共性問題: A和發(fā)送方聯(lián)手可以否認(rèn)簽名的信息; A和接收方聯(lián)手可以偽造發(fā)送方的簽名;,(c) 雙密鑰加密方式,仲裁者不可以看見消息 (1) XA: IDx || ESKxIDx || EPKy (ESKxM) (2) AY: ESKaIDx|| EPKyE

10、SKxM || T,X:對消息M雙重加密:首先用X的私有密鑰SKx,然后用Y的公開 密鑰PKy。形成一個簽名的、保密的消息。然后將該信息以及 X的標(biāo)識符一起用SRx簽名后與IDx 一起發(fā)送給A。這種內(nèi)部、 雙重加密的消息對A以及對除Y以外的其它人都是安全的。 A:檢查X的公開/私有密鑰對是否仍然有效,是,則確認(rèn)消息。并 將包含IDx、雙重加密的消息和時間戳構(gòu)成的 消息用KRa簽名后 發(fā)送給Y。,本模式比上述兩個模式具有以下好處: 1、在通信之前各方之間無須共享任何信息,從而避免了聯(lián)手作弊; 2、即使SKx 暴露,只要SKa 未暴露,不會有錯誤標(biāo)定日期的消息 被發(fā)送; 3、從X發(fā)送給

11、Y的消息的內(nèi)容對A和任何其他人是保密的。,數(shù)字簽名算法,普通數(shù)字簽名算法 RSA EIGamal DSS/DSA 不可否認(rèn)的數(shù)字簽名算法 群簽名算法 盲簽名算法,RSA簽名方案,RSA簽名,A的公鑰私鑰對PKa,SKa A對消息M簽名: SA=ESKa(M) 問題: 速度慢 信息量大 第三方仲裁時必須暴露明文信息 漏洞: ESKa(xy)ESKa(x)ESKa(y) mod n 先做摘要: HM = hash(M) 再對HM簽名SA=ESKa(HM) hash函數(shù)的無碰撞性保證了簽名的有效性,簽名與加密,簽名提供真實(shí)性(authentication) 加密提供保密性(confidentia

12、lity) “簽名+加密”提供“真實(shí)性+保密性” 兩種實(shí)現(xiàn)方式: (AB) 先簽名,后加密: EPKbM||SigA(M) 先加密,后簽名: EPKb(M)||SigA(EPKb(M)) 方式的問題: 發(fā)生爭議時,B需要向仲裁者提供自己的私鑰 安全漏洞: 攻擊者E截獲消息EPKb(M),把SigA(EPKb(M))換成SigE(EPKb(M)),讓B以為該消息來自E 保存信息多:除了M,SigA(EPKb(M)), 還要保存EPKb(M) (PKb可能過期),,,原根(primitive root),Euler定理表明,對兩個互素的整數(shù)a,n, a(n) 1 mod n 定義: 素數(shù)p的原根定

13、義:如果a是素數(shù)p的原根,則數(shù) a mod p, a2 mod p, , ap-1 mod p 是不同的并且包含1到p-1的整數(shù)的某種排列。,EIGamal簽名方案,ElGamal于1985年提出,很大程度上為Diffe-Hellman密鑰交換算法的推廣和變形。 分為兩種情形: p是大素數(shù) q=p或者q是p-1的大素因子 DSS(數(shù)字簽名標(biāo)準(zhǔn))是后者的一種變形,該方案是特別為簽名的目的而設(shè)計的。這個方案的改進(jìn)已被美國NIST(國家標(biāo)準(zhǔn)和技術(shù)研究所)采納作為數(shù)字簽名標(biāo)準(zhǔn)。,,,離散對數(shù),若a是素數(shù)p的一個原根,則對任意整數(shù)b,b0 mod p,存在唯一的整數(shù)i, 1i(p-1),使得:bai

14、mod pi稱為b以a為基模p的指數(shù)(離散對數(shù)),記作inda,p(b) 離散對數(shù)的計算:ygx mod p 已知g,x,p,計算y是容易的 已知y,g,p,計算x是困難的,數(shù)字簽名標(biāo)準(zhǔn),公布于1994年5月19日的聯(lián)邦記錄上,并于1994年12月1日采納為標(biāo)準(zhǔn)DSS。DSS為EIGamal簽名方案的改進(jìn)。,DSS簽名方案,DSS算法說明--算法參數(shù),全局公開密鑰分量 p : 素數(shù), 其中2L-1

15、h是一整數(shù),1

16、SS的特點(diǎn),DSS的簽名比驗(yàn)證快得多 DSS不能用于加密或者密鑰分配 s-1 mod q要存在 s 0 mod q,如果發(fā)生,接收者可拒絕該簽名. 要求重新構(gòu)造該簽名,實(shí)際上, s 0 mod q的概率非常小 若p為512位, q為160位,而DSS只需要兩個160位,即320位,群簽名方案,群中各個成員以群的名義匿名地簽發(fā)消息.具備下列三個特性 只有群成員能代表所在的群簽名 接收者能驗(yàn)證簽名所在的群,但不知道簽名者 需要時,可借助于群成員或者可信機(jī)構(gòu)找到簽名者 應(yīng)用: 投標(biāo),盲簽名,盲簽名要求: 消息內(nèi)容對簽名者不可見 簽名被接收者泄漏后,簽名者無法追蹤簽名 應(yīng)用: 電子貨幣,電子選舉 盲簽

17、名過程: 消息盲變換簽名接收者逆盲變換,身份鑒別(認(rèn)證)協(xié)議,鑒別的基本概念 鑒別機(jī)制 鑒別與交換協(xié)議 典型鑒別實(shí)例,,鑒別Authentication,The property that ensures that the identity of a subject or resource is the one claimed. Authenticity applies to entities such as users, processes, systems and information. 鑒別就是確認(rèn)實(shí)體是它所聲明的。 鑒別是最重要的安全服務(wù)之一。鑒別服務(wù)提供了關(guān)于某個實(shí)體身份的保證。(

18、所有其它的安全服務(wù)都依賴于該服務(wù)) 鑒別可以對抗假冒攻擊的危險,鑒別的需求和目的,問題的提出 身份欺詐 鑒別需求: 某一成員(聲稱者)提交一 個主體的身份并聲稱它是那個主體。 鑒別目的: 使別的成員(驗(yàn)證者)獲得對聲稱者所聲稱的事實(shí)的信任。,身份鑒別,定義:證實(shí)客戶的真實(shí)身份與其所聲稱的身份是否相符的過程。 依據(jù): Something the user know (所知) 密碼、口令等 Something the user possesses (擁有) 身份證、護(hù)照、密鑰盤等 Something the user is (or How he behaves) 指紋、筆跡、聲音、虹膜、DNA等,

19、協(xié)議 PAP CHAP Kerberos X.509,鑒別協(xié)議,雙方鑒別 (mutual authentication) 單向鑒別 (one-way authentication),雙向鑒別協(xié)議,最常用的協(xié)議。該協(xié)議使得通信各方互相認(rèn)證鑒別各自的身份,然后交換會話密鑰。 基于鑒別的密鑰交換核心問題有兩個: 保密性 實(shí)時性 為了防止偽裝和防止暴露會話密鑰,會話密鑰信息必須以保密形式通信,這就要求預(yù)先存在保密或公開密鑰供實(shí)現(xiàn)加密使用。第二個問題也很重要,因?yàn)榉乐瓜⒅胤殴簟?鑒別的兩種情形,鑒別用于一個特定的通信過程,即在此過程中需要提交實(shí)體的身份。 實(shí)體鑒別(身份鑒別):某一實(shí)體確信與之打交

20、道的實(shí)體正是所需要的實(shí)體。只是簡單地鑒別實(shí)體本身的身份,不會和實(shí)體想要進(jìn)行何種活動相聯(lián)系。 數(shù)據(jù)原發(fā)鑒別:鑒定某個指定的數(shù)據(jù)是否來源于某個特定的實(shí)體。不是孤立地鑒別一個實(shí)體,也不是為了允許實(shí)體執(zhí)行下一步的操作而鑒別它的身份,而是為了確定被鑒別的實(shí)體與一些特定數(shù)據(jù)項有著靜態(tài)的不可分割的聯(lián)系。,,,在實(shí)體鑒別中,身份由參與某次通信連接或會話的遠(yuǎn)程參與者提交。 這種服務(wù)在連接建立或在數(shù)據(jù)傳送階段的某些時刻提供使用, 使用這種服務(wù)可以確信(僅僅在使用時間內(nèi)): 一個實(shí)體此時沒有試圖冒充別的實(shí)體, 或沒有試圖將先前的連接作非授權(quán)地重演。 在數(shù)據(jù)原發(fā)鑒別中,身份和數(shù)據(jù)項一起被提交,并且聲稱數(shù)據(jù)項來源于身份

21、所代表的主體。這種服務(wù)對數(shù)據(jù)單元的重復(fù)或篡改不提供保護(hù) 。,實(shí)體鑒別系統(tǒng)的組成,一方是出示證件的人,稱作示證者P(Prover),又稱聲稱者(Claimant)。 另一方為驗(yàn)證者V(Verifier),檢驗(yàn)聲稱者提出的證件的正確性和合法性,決定是否滿足要求。 第三方是可信賴者TP (Trusted third party) ,參與調(diào)解糾紛。 第四方是攻擊者,可以竊聽或偽裝聲稱者騙取驗(yàn)證者的信任。,鑒別模型,,A,TP,B,,,,Attacker,,實(shí)體鑒別與消息鑒別的差別,實(shí)體鑒別一般都是實(shí)時的,消息鑒別一般不提供時間性。 實(shí)體鑒別只證實(shí)實(shí)體的身份,消息鑒別除了消息的合法和完整外,還需要知道消

22、息的含義。 數(shù)字簽名是實(shí)現(xiàn)身份識別的有效途徑。但在身份識別中消息的語義是基本固定的,一般不是“終生”的,簽名是長期有效的。,對身份鑒別系統(tǒng)的要求,(1)驗(yàn)證者正確識別合法申請者的概率極大化。 (2)不具有可傳遞性(Transferability) (3)攻擊者偽裝成申請者欺騙驗(yàn)證者成功的概率要小到可以忽略的程度 (4)計算有效性 (5)通信有效性 (6)秘密參數(shù)能安全存儲 *(7)交互識別 *(8)第三方的實(shí)時參與 *(9)第三方的可信賴性 *(10)可證明的安全性,實(shí)現(xiàn)身份鑒別的途徑,三種途徑之一或他們的組合 (1)所知(Knowledge):密碼、口令 (2)所有(Possesses):身

23、份證、護(hù)照、信用卡、鑰匙 (3)個人特征:指紋、筆跡、聲紋、手型、血型、視網(wǎng)膜、虹膜、DNA以及個人動作方面的一些特征 (4)你做的事情(如手寫簽名,數(shù)字簽名) 設(shè)計依據(jù): 安全水平、系統(tǒng)通過率、用戶可接受性、成本等,,,討論議題,鑒別的基本概念 鑒別機(jī)制 鑒別與交換協(xié)議 典型鑒別實(shí)例,,鑒別機(jī)制,非密碼的鑒別機(jī)制 基于密碼算法的鑒別 采用對稱密碼算法的機(jī)制 采用公開密碼算法的機(jī)制 采用密碼校驗(yàn)函數(shù)的機(jī)制 零知識證明協(xié)議,非密碼的鑒別機(jī)制,A. 口令機(jī)制 B一次性口令機(jī)制 C基于地址的機(jī)制 D基于個人特征的機(jī)制 E個人鑒別令牌,采用對稱密碼的鑒別機(jī)制,基于對稱密碼算法的鑒別依靠一定協(xié)議下的數(shù)據(jù)

24、加密處理。通信雙方共享一個密鑰(通常存儲在硬件中),該密鑰在詢問應(yīng)答協(xié)議中處理或加密信息交換。,A、重放,常見的消息重放 攻擊形式有: 1、簡單重放:攻擊者簡單復(fù)制一條消息,以后在重新發(fā)送它; 2、可被日志記錄的復(fù)制品:攻擊者可以在一個合法有效的時間窗內(nèi)重放一個帶時間戳的消息; 3、不能被檢測到的復(fù)制品:這種情況可能出現(xiàn),原因是原始信息已經(jīng)被攔截,無法到達(dá)目的地,而只有重放的信息到達(dá)目的地。 4、反向重放,不做修改。向消息發(fā)送者重放。當(dāng)采用傳統(tǒng)對稱加密方式時,這種攻擊是可能的。因?yàn)橄l(fā)送者不能簡單地識別發(fā)送的消息和收到的消息在內(nèi)容上的區(qū)別。 1)針對同一驗(yàn)證者的重放:非重復(fù)值 2)針對不同驗(yàn)

25、證者的重放:驗(yàn)證者的標(biāo)識符,B非重復(fù)值的使用,非重復(fù)值的使用:1)序列號:計數(shù)的策略:對付重放攻擊的一種方法是在認(rèn)證交換中使用一個序數(shù)來給每一個消息報文編號。僅當(dāng)收到的消息序數(shù)順序合法時才接受之。但這種方法的困難是要求雙方必須保持上次消息的序號。 2)時間戳: A接受一個新消息僅當(dāng)該消息包含一個時間戳,該時間戳在A看來,是足夠接近A所知道的當(dāng)前時間;這種方法要求不同參與者之間的時鐘需要同步 3)驗(yàn)證者發(fā)送隨機(jī)值(如詢問):不可預(yù)測、不重復(fù),時間戳,在網(wǎng)絡(luò)環(huán)境中,特別是在分布式網(wǎng)絡(luò)環(huán)境中,時鐘同步并不容易做到 一旦時鐘同步失敗 要么協(xié)議不能正常服務(wù),影響可用性(availability),造成拒

26、絕服務(wù)(DOS) 要么放大時鐘窗口,造成攻擊的機(jī)會 時間窗大小的選擇應(yīng)根據(jù)消息的時效性來確定,詢問/應(yīng)答方式(Challenge/Response),A期望從B獲得一個消息 首先發(fā)給B一個隨機(jī)值(challenge) B收到這個值之后,對它作某種變換,并送回去 A收到B的response,希望包含這個隨機(jī)值 在有的協(xié)議中,這個challenge也稱為nonce 可能明文傳輸,也可能密文傳輸 這個條件可以是知道某個口令,也可能是其他的事情 變換例子:用密鑰加密,說明B知道這個密鑰;簡單運(yùn)算,比如增一,說明B知道這個隨機(jī)值 詢問/應(yīng)答方法不適應(yīng)非連接性的應(yīng)用,因?yàn)樗笤趥鬏旈_始之前先有握手的額外

27、開銷,這就抵消了無連接通信的主要特點(diǎn)。,C、相互鑒別協(xié)議,在理論上,相互鑒別可通過組合兩個單向鑒別交換協(xié)議來實(shí)現(xiàn)。然而,這種組合需要被仔細(xì)地考察,因?yàn)橛锌赡苓@樣的組合易受竊聽、重放攻擊。 另外,設(shè)計協(xié)議消息數(shù)比相應(yīng)的單向交換協(xié)議的消息數(shù)的兩倍少得多的相互鑒別交換協(xié)議是可能的。 因此,由于安全性和性能的原因,相互鑒別交換協(xié)議必須為此目的而特別地進(jìn)行設(shè)計。,零知識證明技術(shù),零知識證明技術(shù)可使信息的擁有者無需泄露任何信息就能夠向驗(yàn)證者或任何第三方證明它擁有該信息。 在交互證明系統(tǒng)中,設(shè)P知道某一秘密,并向V證明自己掌握這一秘密,但又不向泄漏這一秘密,如果V除了知道P能證明某一事實(shí)外,不能得到其他任何

28、信息,則稱P實(shí)現(xiàn)了零知識證明,相應(yīng)的證明過程稱為零知識證明協(xié)議。,,,討論議題,鑒別的基本概念 鑒別機(jī)制 鑒別與交換協(xié)議 典型鑒別實(shí)例,,鑒別和交換協(xié)議,如果用于連接完整性服務(wù)的密鑰被在線建立,那么事實(shí)證明將認(rèn)證和密鑰交換功能組合在一個協(xié)議中是重要的(鑒別和密鑰交換協(xié)議)。 最常用的協(xié)議,該協(xié)議使得通信各方互相鑒別各自的身份,然后交換會話密鑰。 基于鑒別的密鑰交換核心問題有兩個: 保密性 時效性,雙向鑒別,傳統(tǒng)加密方法 Needham/Schroeder Protocol 1978 Denning Protocol 1982 KEHN92 公鑰加密方法 一個基于臨時值握手協(xié)議:WOO92a 一

29、個基于臨時值握手協(xié)議:WOO92b,Needham/Schroeder Protocol 1978,傳統(tǒng)加密方法,1、A KDC:IDA||IDB||N1 2、KDC A:EKaKs||IDB||N1||EKbKs||IDA 3、A B: EKbKs||IDA 4、B A: EKsN2 5、A B: EKsf(N2),保密密鑰Ka和Kb分別是A和KDC、B和KDC之間共享的密鑰。 本協(xié)議的目的就是要安全地分發(fā)一個會話密鑰Ks給A和B。,A在第2步安全地得到了一個新的會話密鑰,第3步只能由B解密、 并理解。第4步表明B已知道Ks了。第5步表明B相信A知道Ks并且 消息不是偽造的。 第4,5

30、步目的是為了防止某種類型的重放攻擊。特別是,如果敵方 能夠在第3步捕獲該消息,并重放之,這將在某種程度上干擾破壞B 方的運(yùn)行操作。,Needham/Schroeder Protocol 1978,上述方法盡管有第4,5步的握手,但仍然有漏洞。,假定攻擊方C已經(jīng)掌握A和B之間通信的一個老的會話密鑰。C可以在第3步冒充A利用老的會話密鑰欺騙B。除非B記住所有以前使用的與A通信的會話密鑰,否則B無法判斷這是一個重放攻擊。如果C可以中途阻止第4步的握手信息,則可以冒充A在第5步響應(yīng)。從這一點(diǎn)起,C就可以向B發(fā)送偽造的消息而對B來說認(rèn)為是用認(rèn)證的會話密鑰與A進(jìn)行的正常通信。,Denning Protoc

31、ol 1982 改進(jìn):,1、A KDC:IDA||IDB 2、KDC A:EKaKs||IDB||T||EKbKs||IDA||T 3、A B: EKbKs||IDA||T 4、B A: EKsN1 5、A B: EKsf(N1),| Clock - T | < t1 + t2 其中: t1 是KDC時鐘與本地時鐘(A或B)之間差異的估計值; t2 是預(yù)期的網(wǎng)絡(luò)延遲時間。,Denning Protocol 比 Needham/Schroeder Protocol在安全性方面增強(qiáng)了一步。然而,又提出新的問題:即必須依靠各時鐘均可通過網(wǎng)絡(luò)同步。,如果發(fā)送者的時鐘比接收者的時鐘要快,攻擊

32、者就可以從發(fā)送者竊聽消息,并在以后當(dāng)時間戳對接收者來說成為當(dāng)前時重放給接收者。這種重放將會得到意想不到的后果。(稱為抑制重放攻擊)。,一種克服抑制重放攻擊的方法是強(qiáng)制各方定期檢查自己的時鐘是否與KDC的時鐘同步。,另一種避免同步開銷的方法是采用臨時數(shù)握手協(xié)議。,KEHN92,,1、A B: IDA||Na 2、B KDC: IDB||Nb || EKbIDA || Na || Tb 3、KDC A: EKaIDB||Na ||Ks|| Tb || EKbIDA || Ks || Tb || Nb 4、A B: EKbIDA || Ks || Tb || EKs Nb ,公鑰加密方法:,一個

33、使用時間戳的方法是:,1、A AS:IDA||IDB 2、AS A:EKRasIDA ||KUa || T || EKRasIDB ||KUb || T 3、A B: EKRasIDA||KUa|| T || EKRasIDB || KUb || T || EKUbEKRa Ks||T,一個基于臨時值握手協(xié)議:WOO92a,1、A KDC:IDA||IDB 2、KDC A:EKRauthIDB ||KUb 3、A B: EKUbNa ||IDA 4、B KDC: IDB||IDA || EKUauthNa 5、KDC B: EKRauthIDA ||KUa|| EKUbEKRauth Na|

34、|Ks||IDB 6、B A: EKUaEKRauth Na ||Ks || IDB||Nb 7、 A B: EKsNb,一個基于臨時值握手協(xié)議:WOO92b,1、A KDC:IDA||IDB 2、KDC A:EKRauthIDB ||KUb 3、A B: EKUbNa ||IDA 4、B KDC: IDB||IDA || EKUauthNa 5、KDC B: EKRauthIDA ||KUa|| EKUbEKRauth Na||Ks||IDA||IDB 6、B A: EKUaEKRauth Na ||Ks ||IDA || IDB||Nb 7、 A B: EKsNb,單向鑒別 On

35、e-Way Authentication,E-mail,傳統(tǒng)加密方法:,,1、A KDC:IDA||IDB|| N1 2、KDC A:EKaKs || IDB || N1 || EKb Ks || IDA 3、A B: EKb Ks || IDA || EKsM,公鑰加密方法: 1、 A B: EKUbKs || EKsM,1、 A B: M || EKRaH(M),1、 A B: EKUb M || EKRaH(M),1、 A B: M || EKRaH(M) || EKRas T || IDA ||KUa ,,習(xí)題: 1. 選擇適當(dāng)?shù)膮?shù),對消息 進(jìn)行RSA數(shù)字簽名。 2.假設(shè)你知道大整

36、數(shù)的分解,試設(shè)計一個協(xié)議,以零知識證明的方式證明你確實(shí)知道該整數(shù)的分解。,采用對稱密碼的鑒別機(jī)制,無可信第三方參與的鑒別 單向鑒別:使用該機(jī)制時,兩實(shí)體中只有一方被鑒別。 雙向鑒別:兩通信實(shí)體使用此機(jī)制進(jìn)行相互鑒別。 有可信第三方參與的鑒別,本部分使用以下記法,A:實(shí)體A的可區(qū)分標(biāo)識符 B:實(shí)體B的可區(qū)分標(biāo)識符 TP:可信第三方的可區(qū)分標(biāo)識符 KXY:實(shí)體X和實(shí)體Y之間共享的秘密密鑰,只用于對稱密碼技術(shù) SX:與實(shí)體X有關(guān)的私有簽名密鑰,只用于非對稱加密技術(shù) NX:由實(shí)體X給出的順序號 RX:由實(shí)體X給出的隨機(jī)數(shù) TX:由實(shí)體X原發(fā)的時變參數(shù),它或者是時間標(biāo)記TX,或者是順序號RX NX:

37、Y||Z:數(shù)據(jù)項Y和Z以Y在前Z在后順序拼接的結(jié)果 eK(Z):用密鑰K的對稱加密算法對數(shù)據(jù)Z加密的結(jié)果 fK(Z):使用以密鑰K和任意數(shù)據(jù)串Z作為輸入的密碼校驗(yàn)函數(shù)f所產(chǎn)生的密碼校驗(yàn)值 CertX:由可信第三方簽發(fā)給實(shí)體X的證書 TokenXY:實(shí)體X發(fā)給Y的權(quán)標(biāo),包含使用密碼技術(shù)變換的信息 TVP:時變參數(shù) SSX(Z):用私有簽名密鑰SX對數(shù)據(jù)Z進(jìn)行私有簽名變換所產(chǎn)生的簽名.,無可信第三方參與的機(jī)制單向鑒別,一次傳送鑒別,A,B,,(1)TokenAB,(2),(1)TokenAB=Text2||EKAB(TA||B||Text1) NA,(2)B解密,驗(yàn)證B、時

38、間標(biāo)記或順序號的正確性,,,無可信第三方參與的機(jī)制 單向鑒別,兩次傳送鑒別,A,B,,(1)RB||Text1,(3),(2)TokenAB=Text3||eKAB(RB||B||Text2),(3)B解密,驗(yàn)證B、 RB的正確性,,(2)TokenAB,,,,,無可信第三方參與的機(jī)制 雙向鑒別,兩次傳送鑒別,A,B,,(1) TokenAB,(2),(4)B解密,驗(yàn)證B、 RB的正確性,,(3)TokenBA,(1)TokenAB=Text2||eKAB(TA||B||Text1) NA,(3)TokenBA=Text4||eKAB(TB||A||Text3)

39、 NB,(4),,,,,無可信第三方參與的機(jī)制 雙向鑒別,三次傳送鑒別,A,B,,(1)RB||Text1,(3),(2)TokenAB=Text3||eKAB(RA ||RB||B||Text2),(3)B解密,驗(yàn)證B、 RB的正確性,,(2)TokenAB,,(4)TokenBA,(4)TokenBA=Text5||eKAB(RB ||RA||Text4),(5),(5)A解密,驗(yàn)證B、 RB、 RA的正確性,涉及可信第三方的機(jī)制--雙向鑒別,四次傳送鑒別,A,B,,,(6)TokenBA,TP,,,(4)TokenAB,(2)TokenTA,(1)TVPA||B||Tex

40、t1,(3),(7),(5),(2)TokenTA=Text4||eKAT(TVPA ||KAB||B||Text3) || eKBT(TTP ||KAB||A||Text2) NTP,(4)TokenAB=Text6|| eKBT(TTP ||KAB||A||Text2) eKAB(TA ||B||Text5) NTP NA,(6)TokenBA=Text8|| eKAB(TB ||A||Text7) NB,,,涉及可信第三方的機(jī)制--雙向鑒別,五次傳送鑒別,A,B,,,(7)

41、TokenBA,TP,,,(5)TokenAB,(3)TokenTA,(2)RA||RB||B||Text2,(4),(8),(6),(3)TokenTA=Text5||eKAT(RA ||KAB||B||Text4) || eKBT(RB || KAB|| A||Text3),(5)TokenAB=Text7|| eKBT(RB || KAB|| A||Text3) ||eKAB(RA ||RB||Text6),(7)TokenBA=Text9|| eKAB(RB ||RA||Text8),,(1)RB||Text1,采用公開密碼算法的機(jī)制,在該機(jī)制中,聲稱者要通過證明他知道某秘密簽名密鑰來

42、證實(shí)身份。由使用他的秘密簽名密鑰簽署某一消息來完成。消息可包含一個非重復(fù)值以抵抗重放攻擊。 要求驗(yàn)證者有聲稱者的有效公鑰 聲稱者有僅由自己知道和使用的秘密簽名私鑰。 單向鑒別:僅對實(shí)體中的一個進(jìn)行鑒別。 雙向鑒別:兩個通信實(shí)體相互進(jìn)行鑒別。,采用公開密碼算法的機(jī)制單向鑒別,一次傳遞機(jī)制,A,B,,(1)CertA||TokenAB,(1)TokenAB=TA||B||Text2||SSA(TA||B||Text1) NA NA,(2),(2)B驗(yàn)證A的公開密鑰,驗(yàn)證B的標(biāo)識符號,采用公開密碼算法的機(jī)制單向鑒別,兩次傳遞機(jī)制,A,B,,(1)RB||Text1,(3

43、),(3)B驗(yàn)證A的公開密鑰,驗(yàn)證B的標(biāo)識符號,,(1)CertA||TokenAB,(2)TokenAB=RA||RB||B||Text3||SSA(RA||RB||B||Text2),采用公開密碼算法的機(jī)制雙向鑒別(1),A,B,,(2),(2)B驗(yàn)證A的公開密鑰,驗(yàn)證B的標(biāo)識符號,,(3)CertB||TokenBA,兩次傳遞機(jī)制,(1)CertA||TokenAB,(1)TokenAB=TA||B||Text2||SSA(TA||B||Text1) NA NA,(4),(3)TokenBA=TB||A||Text4||SSB(TB||A||Text3)

44、 NB NB,(4)A驗(yàn)證B的公開密鑰,驗(yàn)證A的標(biāo)識符號,采用公開密碼算法的機(jī)制雙向鑒別(2),,三次傳遞機(jī)制,A,B,,(1)RB||Text1,(3),(3)B驗(yàn)證A的公開密鑰,驗(yàn)證B的標(biāo)識符號,,(2)CertA||TokenAB,(2)TokenAB=RA||RB||B||Text3||SSA(RA||RB||B||Text2),,(4)CertB||TokenBA,(4)TokenBA=RB||RA||A||Text5||SSB(RB||RA||A||Text4),(5)A驗(yàn)證B的公開密鑰,驗(yàn)證A的標(biāo)識符號,(5),采用公開密碼算法的機(jī)制雙向鑒別(3),,,兩次傳遞

45、并行機(jī)制,A,B,,(1)CertA||RA||Text1,(2) (4),(4)A和B驗(yàn)證各自的隨機(jī)數(shù),,(1 )CertB||RB||Text2,(1)TokenAB=RA||RB||B||Text4||SSA(RA||RB||B||Text3),,(3)TokenBA,(1 )TokenBA=RB||RA||A||Text6||SSB(RB||RA||A||Text5),(2)A和B確保他們擁有另一實(shí)體的公開密鑰,(2) (4),,(3 )TokenAB,采用密碼校驗(yàn)函數(shù)的機(jī)制,在該機(jī)制中,待鑒別的實(shí)體通過表明它擁有某個秘密鑒別密鑰來證實(shí)其身份。可由該實(shí)體以其秘密密鑰和特定數(shù)據(jù)作輸入,使

46、用密碼校驗(yàn)函數(shù)獲得密碼校驗(yàn)值來達(dá)到。 聲稱者和驗(yàn)證者共享秘密鑒別密鑰,應(yīng)僅為該兩個實(shí)體所知,以及他們的信任方。,采用密碼校驗(yàn)函數(shù)的機(jī)制-單向鑒別,一次傳遞鑒別,A,B,,(1)TokenAB,(1)TokenAB=TA||Text2||fKAB(TA||B||Text1) NA NA,(2),(2)B驗(yàn)證A的標(biāo)識符號和時間標(biāo)記,采用密碼校驗(yàn)函數(shù)的機(jī)制-單向鑒別,A,B,,(1)RB||Text1,(3),(3)B驗(yàn)證B的標(biāo)識符號和隨機(jī)數(shù),,(2)TokenAB,(2)TokenAB=Text3||fKAB(RB||B||Text2),兩次傳遞機(jī)制,,,采用密碼校驗(yàn)函數(shù)的

47、機(jī)制-雙向鑒別(1),A,B,,(2),(2)B驗(yàn)證A的標(biāo)識符號和時間標(biāo)記,,(3)TokenBA,兩次傳遞機(jī)制,(1)TokenAB,(1)TokenAB=TA||B||Text2||fKAB(TA||B||Text1) NA NA,(4),(3)TokenBA=TB||A||Text4||SSB(TB||A||Text3) NB NB,(4)A驗(yàn)證B的標(biāo)識符號和時間標(biāo)記,,,采用密碼校驗(yàn)函數(shù)的機(jī)制-雙向鑒別(2),,三次傳遞機(jī)制,A,B,,(1)RB||Text1,(3),(3)B驗(yàn)證B的標(biāo)識符號和隨機(jī)數(shù),,(2)TokenAB,(2)TokenAB=RA||Text3||fKAB(RA||RB||B||Text2),,(4)TokenBA,(4)TokenBA=Text5|| fKAB(RB||RA||Text2),(5)A驗(yàn)證A的標(biāo)識符號和隨機(jī)數(shù),(5),,,,id,id,nrv,,聲稱者,驗(yàn)證者,密鑰和id 來自物理 令牌或本 地存儲器,加密,封 裝或簽名,密鑰,id,解密或驗(yàn)證,是或不是,,,密鑰,,,,,,,,,id,,nrv,消息,,,加密,封裝或簽名,,簡化的基于密碼技術(shù)的鑒別機(jī)制,

展開閱讀全文
溫馨提示:
1: 本站所有資源如無特殊說明,都需要本地電腦安裝OFFICE2007和PDF閱讀器。圖紙軟件為CAD,CAXA,PROE,UG,SolidWorks等.壓縮文件請下載最新的WinRAR軟件解壓。
2: 本站的文檔不包含任何第三方提供的附件圖紙等,如果需要附件,請聯(lián)系上傳者。文件的所有權(quán)益歸上傳用戶所有。
3.本站RAR壓縮包中若帶圖紙,網(wǎng)頁內(nèi)容里面會有圖紙預(yù)覽,若沒有圖紙預(yù)覽就沒有圖紙。
4. 未經(jīng)權(quán)益所有人同意不得將文件中的內(nèi)容挪作商業(yè)或盈利用途。
5. 裝配圖網(wǎng)僅提供信息存儲空間,僅對用戶上傳內(nèi)容的表現(xiàn)方式做保護(hù)處理,對用戶上傳分享的文檔內(nèi)容本身不做任何修改或編輯,并不能對任何下載內(nèi)容負(fù)責(zé)。
6. 下載文件中如有侵權(quán)或不適當(dāng)內(nèi)容,請與我們聯(lián)系,我們立即糾正。
7. 本站不保證下載資源的準(zhǔn)確性、安全性和完整性, 同時也不承擔(dān)用戶因使用這些下載資源對自己和他人造成任何形式的傷害或損失。

相關(guān)資源

更多
正為您匹配相似的精品文檔
關(guān)于我們 - 網(wǎng)站聲明 - 網(wǎng)站地圖 - 資源地圖 - 友情鏈接 - 網(wǎng)站客服 - 聯(lián)系我們

copyright@ 2023-2025  zhuangpeitu.com 裝配圖網(wǎng)版權(quán)所有   聯(lián)系電話:18123376007

備案號:ICP2024067431-1 川公網(wǎng)安備51140202000466號


本站為文檔C2C交易模式,即用戶上傳的文檔直接被用戶下載,本站只是中間服務(wù)平臺,本站所有文檔下載所得的收益歸上傳人(含作者)所有。裝配圖網(wǎng)僅提供信息存儲空間,僅對用戶上傳內(nèi)容的表現(xiàn)方式做保護(hù)處理,對上載內(nèi)容本身不做任何修改或編輯。若文檔所含內(nèi)容侵犯了您的版權(quán)或隱私,請立即通知裝配圖網(wǎng),我們立即給予刪除!