數(shù)字簽名和密碼協(xié)議.ppt

《數(shù)字簽名和密碼協(xié)議.ppt》由會員分享，可在線閱讀，更多相關(guān)《數(shù)字簽名和密碼協(xié)議.ppt（92頁珍藏版）》請?jiān)谘b配圖網(wǎng)上搜索。

1、第七章 數(shù)字簽名和密碼協(xié)議,數(shù)字簽名由公鑰發(fā)展而來，為保證網(wǎng)絡(luò)安全起著決定性的作用，在身份認(rèn)證、數(shù)據(jù)完整性和不可否認(rèn)性以及匿名性等方面有著重要的應(yīng)用。 數(shù)字簽名的基本概念 數(shù)字簽名標(biāo)準(zhǔn) 認(rèn)證協(xié)議 身份證明技術(shù),數(shù)字簽名,消息認(rèn)證用以保護(hù)通信雙方之間的數(shù)據(jù)交換不被第三方侵犯；但它并不保證雙方自身的相互欺騙。假定A發(fā)送一個(gè)認(rèn)證的信息給B，雙方之間的爭議可能有多種形式： B偽造一個(gè)不同的消息，但聲稱是從A收到的。 A可以否認(rèn)發(fā)過該消息，B無法證明A確實(shí)發(fā)了該消息。 例如：EFT中改大金額；發(fā)送股票交易指令虧損后抵賴。,,,數(shù)字簽名,傳統(tǒng)簽名的基本特點(diǎn): 能與被簽的文件在物理上不可分割 簽名者不能否認(rèn)

2、自己的簽名 簽名不能被偽造 容易被驗(yàn)證 數(shù)字簽名是傳統(tǒng)簽名的數(shù)字化,基本要求: 能與所簽文件“綁定” 簽名者不能否認(rèn)自己的簽名 簽名不能被偽造 容易被自動驗(yàn)證,數(shù)字簽名應(yīng)具有的性質(zhì),必須能夠驗(yàn)證作者及其簽名的日期時(shí)間； 必須能夠認(rèn)證簽名時(shí)刻的內(nèi)容； 簽名必須能夠由第三方驗(yàn)證，以解決爭議；,因此，數(shù)字簽名功能包含了鑒別的功能,數(shù)字簽名的設(shè)計(jì)要求,簽名必須是依賴于被簽名信息的一個(gè)位串模式； 簽名必須使用某些對發(fā)送者是唯一的信息，以防止雙方的偽造與否認(rèn)； 必須相對容易生成該數(shù)字簽名； 必須相對容易識別和驗(yàn)證該數(shù)字簽名； 偽造該數(shù)字簽名在計(jì)算復(fù)雜性意義上具有不可行性，既包括對一個(gè)已有的數(shù)字簽名構(gòu)造新的

3、消息，也包括對一個(gè)給定消息偽造一個(gè)數(shù)字簽名； 在存儲器中保存一個(gè)數(shù)字簽名副本是現(xiàn)實(shí)可行的。,數(shù)字簽名分類,以方式分 直接數(shù)字簽名direct digital signature 仲裁數(shù)字簽名arbitrated digital signature 以安全性分 無條件安全的數(shù)字簽名 計(jì)算上安全的數(shù)字簽名 以可簽名次數(shù)分 一次性的數(shù)字簽名 多次性的數(shù)字簽名,數(shù)字簽名的產(chǎn)生方式,數(shù)字簽名可用加密算法或特定的簽名算法產(chǎn)生。 由加密算法產(chǎn)生的數(shù)字簽名,,M,,E,,K,,,,D,,M,,K,EK(M),單鑰加密：保密性和認(rèn)證性,公鑰加密,M,,E,,SKA,,,,D,,M,,PKA,E SKA(M),公

4、鑰加密：認(rèn)證性和簽名,,公鑰加密：保密性、認(rèn)證性和簽名,由簽名算法產(chǎn)生數(shù)字簽名,明文M，密鑰x 簽名算法Sigx（M） 驗(yàn)證算法Verx（M）,簽名算法的安全性在于從消息和簽名推出密鑰或偽造一個(gè)有同一簽名的新消息在算法上是不可行。,數(shù)字簽名的執(zhí)行方式直接數(shù)字簽名（DDS）,(1) AB: ESKaM 提供了鑒別與簽名： 只有A具有SKa進(jìn)行加密; 傳輸中沒有被篡改； 需要某些格式信息/冗余度； 任何第三方可以用PKa 驗(yàn)證簽名,(1) AB: EPKb ESKa(M) 提供了保密(PKb)、鑒別與簽名(SKa)：,直接數(shù)字簽名,(2) AB: M||ESKaH(M),提供鑒別及數(shù)字簽名 -

5、- H(M) 受到密碼算法的保護(hù)； -- 只有 A 能夠生成 ESKaH(M),(2) AB: EKM||ESKaH(M),提供保密性、鑒別和數(shù)字簽名。,直接數(shù)字簽名的缺點(diǎn),驗(yàn)證模式依賴于發(fā)送方的保密密鑰； 發(fā)送方要抵賴發(fā)送某一消息時(shí)，可能會聲稱其私有密鑰丟失或被竊，從而他人偽造了他的簽名。 通常需要采用與私有密鑰安全性相關(guān)的行政管理控制手段來制止或至少是削弱這種情況，但威脅在某種程度上依然存在。 改進(jìn)的方式例如可以要求被簽名的信息包含一個(gè)時(shí)間戳（日期與時(shí)間），并要求將已暴露的密鑰報(bào)告給一個(gè)授權(quán)中心。 X的某些私有密鑰確實(shí)在時(shí)間T被竊取，敵方可以偽造X的簽名及早于或等于時(shí)間T的時(shí)間戳。,數(shù)

6、字簽名的執(zhí)行方式仲裁數(shù)字簽名,引入仲裁者。 通常的做法是所有從發(fā)送方X到接收方Y(jié)的簽名消息首先送到仲裁者A，A將消息及其簽名進(jìn)行一系列測試，以檢查其來源和內(nèi)容，然后將消息加上日期并與已被仲裁者驗(yàn)證通過的指示一起發(fā)給Y。 仲裁者在這一類簽名模式中扮演敏感和關(guān)鍵的角色。 所有的參與者必須極大地相信這一仲裁機(jī)制工作正常。（trusted system）,仲裁數(shù)字簽名技術(shù),(a) 單密鑰加密方式，仲裁者可以看見消息 (1) XA：M||EKxaIDx|| H(M) (2) AY：EKayIDx|| M || EKxaIDx|| H(M) || T,X與A之間共享密鑰Kxa，Y與A之間共享密鑰Kay；

7、X：準(zhǔn)備消息M，計(jì)算其散列碼H(M)，用X的標(biāo)識符IDx 和散列值構(gòu)成 簽名，并將消息及簽名經(jīng)Kxa加密后發(fā)送給A； A：解密簽名，用H(M)驗(yàn)證消息M，然后將IDx，M，簽名，和時(shí)間戳 一起經(jīng)Kay加密后發(fā)送給Y； Y：解密A發(fā)來的信息，并可將M和簽名保存起來。,解決糾紛： Y：向A發(fā)送 EKayIDx|| M || EKxaIDx|| H(M) A：用Kay恢復(fù)IDx，M，和簽名（ EKxaIDx|| H(M)），然后用Kxa解密簽 名并驗(yàn)證散列碼,注意： 在這種模式下Y不能直接驗(yàn)證X的簽名，Y認(rèn)為A的消息正確，只 因?yàn)樗鼇碜訟。因此，雙方都需要高度相信A: X必須信任A沒有

8、暴露Kxa，并且沒有生成錯(cuò)誤的簽名 EKxaIDx|| H(M) Y必須信任A僅當(dāng)散列值正確并且簽名確實(shí)是X產(chǎn)生的情況下才 發(fā)送的 EKayIDx|| M || EKxaIDx|| H(M) || T 雙方都必須信任A處理爭議是公正的。 只要A遵循上述要求，則X相信沒有人可以偽造其簽名；Y相信X不 能否認(rèn)其簽名。,上述情況還隱含著A可以看到X給Y的所有信息，因而所有的竊聽者 也能看到。,(b) 單密鑰加密方式，仲裁者不可以看見消息 (1) XA： IDx || EKxyM||EKxaIDx|| H(EKxyM) (2) AY：EKayIDx||EKxyM || EKxaIDx|| H(EKxy

9、M) || T,在這種情況下，X與Y之間共享密鑰Kxy， X：將標(biāo)識符IDx ,密文 EKxyM，以及對IDx和密文消息的散列碼用 Kxa加密后形成簽名發(fā)送給A。 A：解密簽名，用散列碼驗(yàn)證消息，這時(shí)A只能驗(yàn)證消息的密文而不 能讀取其內(nèi)容。然后A將來自X的所有信息加上時(shí)間戳并用Kay加 密后發(fā)送給Y。,(a)和(b)共同存在一個(gè)共性問題： A和發(fā)送方聯(lián)手可以否認(rèn)簽名的信息； A和接收方聯(lián)手可以偽造發(fā)送方的簽名；,(c) 雙密鑰加密方式，仲裁者不可以看見消息 (1) XA： IDx || ESKxIDx || EPKy (ESKxM) (2) AY： ESKaIDx|| EPKyE

10、SKxM || T,X：對消息M雙重加密：首先用X的私有密鑰SKx，然后用Y的公開 密鑰PKy。形成一個(gè)簽名的、保密的消息。然后將該信息以及 X的標(biāo)識符一起用SRx簽名后與IDx 一起發(fā)送給A。這種內(nèi)部、 雙重加密的消息對A以及對除Y以外的其它人都是安全的。 A：檢查X的公開/私有密鑰對是否仍然有效，是，則確認(rèn)消息。并 將包含IDx、雙重加密的消息和時(shí)間戳構(gòu)成的 消息用KRa簽名后 發(fā)送給Y。,本模式比上述兩個(gè)模式具有以下好處： 1、在通信之前各方之間無須共享任何信息，從而避免了聯(lián)手作弊； 2、即使SKx 暴露，只要SKa 未暴露，不會有錯(cuò)誤標(biāo)定日期的消息 被發(fā)送； 3、從X發(fā)送給

11、Y的消息的內(nèi)容對A和任何其他人是保密的。,數(shù)字簽名算法,普通數(shù)字簽名算法 RSA EIGamal DSS/DSA 不可否認(rèn)的數(shù)字簽名算法 群簽名算法 盲簽名算法,RSA簽名方案,RSA簽名,A的公鑰私鑰對PKa,SKa A對消息M簽名: SA=ESKa(M) 問題: 速度慢 信息量大 第三方仲裁時(shí)必須暴露明文信息 漏洞: ESKa(xy)ESKa(x)ESKa(y) mod n 先做摘要: HM = hash(M) 再對HM簽名SA=ESKa(HM) hash函數(shù)的無碰撞性保證了簽名的有效性,簽名與加密,簽名提供真實(shí)性(authentication) 加密提供保密性(confidentia

12、lity) “簽名+加密”提供“真實(shí)性+保密性” 兩種實(shí)現(xiàn)方式: (AB) 先簽名,后加密: EPKbM||SigA(M) 先加密,后簽名: EPKb(M)||SigA(EPKb(M)) 方式的問題: 發(fā)生爭議時(shí),B需要向仲裁者提供自己的私鑰 安全漏洞: 攻擊者E截獲消息EPKb(M),把SigA(EPKb(M))換成SigE(EPKb(M)),讓B以為該消息來自E 保存信息多:除了M,SigA(EPKb(M)), 還要保存EPKb(M) (PKb可能過期),,,原根(primitive root),Euler定理表明,對兩個(gè)互素的整數(shù)a,n, a(n) 1 mod n 定義： 素?cái)?shù)p的原根定

13、義：如果a是素?cái)?shù)p的原根，則數(shù) a mod p, a2 mod p, , ap-1 mod p 是不同的并且包含1到p-1的整數(shù)的某種排列。,EIGamal簽名方案,ElGamal于1985年提出,很大程度上為Diffe-Hellman密鑰交換算法的推廣和變形。 分為兩種情形: p是大素?cái)?shù) q=p或者q是p-1的大素因子 DSS(數(shù)字簽名標(biāo)準(zhǔn))是后者的一種變形,該方案是特別為簽名的目的而設(shè)計(jì)的。這個(gè)方案的改進(jìn)已被美國NIST（國家標(biāo)準(zhǔn)和技術(shù)研究所）采納作為數(shù)字簽名標(biāo)準(zhǔn)。,,,離散對數(shù),若a是素?cái)?shù)p的一個(gè)原根,則對任意整數(shù)b,b0 mod p,存在唯一的整數(shù)i, 1i(p-1),使得:bai

14、mod pi稱為b以a為基模p的指數(shù)(離散對數(shù)),記作inda,p(b) 離散對數(shù)的計(jì)算:ygx mod p 已知g,x,p,計(jì)算y是容易的 已知y,g,p,計(jì)算x是困難的,數(shù)字簽名標(biāo)準(zhǔn),公布于1994年5月19日的聯(lián)邦記錄上，并于1994年12月1日采納為標(biāo)準(zhǔn)DSS。DSS為EIGamal簽名方案的改進(jìn)。,DSS簽名方案,DSS算法說明--算法參數(shù),全局公開密鑰分量 p ： 素?cái)?shù), 其中2L-1

15、h是一整數(shù),1

16、SS的特點(diǎn),DSS的簽名比驗(yàn)證快得多 DSS不能用于加密或者密鑰分配 s-1 mod q要存在 s 0 mod q,如果發(fā)生,接收者可拒絕該簽名. 要求重新構(gòu)造該簽名,實(shí)際上, s 0 mod q的概率非常小 若p為512位, q為160位,而DSS只需要兩個(gè)160位,即320位,群簽名方案,群中各個(gè)成員以群的名義匿名地簽發(fā)消息.具備下列三個(gè)特性 只有群成員能代表所在的群簽名 接收者能驗(yàn)證簽名所在的群,但不知道簽名者 需要時(shí),可借助于群成員或者可信機(jī)構(gòu)找到簽名者 應(yīng)用: 投標(biāo),盲簽名,盲簽名要求: 消息內(nèi)容對簽名者不可見 簽名被接收者泄漏后,簽名者無法追蹤簽名 應(yīng)用: 電子貨幣,電子選舉 盲簽

17、名過程: 消息盲變換簽名接收者逆盲變換,身份鑒別（認(rèn)證）協(xié)議,鑒別的基本概念 鑒別機(jī)制 鑒別與交換協(xié)議 典型鑒別實(shí)例,,鑒別Authentication,The property that ensures that the identity of a subject or resource is the one claimed. Authenticity applies to entities such as users, processes, systems and information. 鑒別就是確認(rèn)實(shí)體是它所聲明的。 鑒別是最重要的安全服務(wù)之一。鑒別服務(wù)提供了關(guān)于某個(gè)實(shí)體身份的保證。（

18、所有其它的安全服務(wù)都依賴于該服務(wù)） 鑒別可以對抗假冒攻擊的危險(xiǎn),鑒別的需求和目的,問題的提出 身份欺詐 鑒別需求： 某一成員（聲稱者）提交一 個(gè)主體的身份并聲稱它是那個(gè)主體。 鑒別目的： 使別的成員（驗(yàn)證者）獲得對聲稱者所聲稱的事實(shí)的信任。,身份鑒別,定義：證實(shí)客戶的真實(shí)身份與其所聲稱的身份是否相符的過程。 依據(jù)： Something the user know (所知） 密碼、口令等 Something the user possesses （擁有） 身份證、護(hù)照、密鑰盤等 Something the user is (or How he behaves) 指紋、筆跡、聲音、虹膜、DNA等,

19、協(xié)議 PAP CHAP Kerberos X.509,鑒別協(xié)議,雙方鑒別 (mutual authentication) 單向鑒別 (one-way authentication),雙向鑒別協(xié)議,最常用的協(xié)議。該協(xié)議使得通信各方互相認(rèn)證鑒別各自的身份，然后交換會話密鑰。 基于鑒別的密鑰交換核心問題有兩個(gè)： 保密性 實(shí)時(shí)性 為了防止偽裝和防止暴露會話密鑰，會話密鑰信息必須以保密形式通信，這就要求預(yù)先存在保密或公開密鑰供實(shí)現(xiàn)加密使用。第二個(gè)問題也很重要，因?yàn)榉乐瓜⒅胤殴簟?鑒別的兩種情形,鑒別用于一個(gè)特定的通信過程，即在此過程中需要提交實(shí)體的身份。 實(shí)體鑒別（身份鑒別）：某一實(shí)體確信與之打交

20、道的實(shí)體正是所需要的實(shí)體。只是簡單地鑒別實(shí)體本身的身份，不會和實(shí)體想要進(jìn)行何種活動相聯(lián)系。 數(shù)據(jù)原發(fā)鑒別：鑒定某個(gè)指定的數(shù)據(jù)是否來源于某個(gè)特定的實(shí)體。不是孤立地鑒別一個(gè)實(shí)體，也不是為了允許實(shí)體執(zhí)行下一步的操作而鑒別它的身份，而是為了確定被鑒別的實(shí)體與一些特定數(shù)據(jù)項(xiàng)有著靜態(tài)的不可分割的聯(lián)系。,,,在實(shí)體鑒別中，身份由參與某次通信連接或會話的遠(yuǎn)程參與者提交。 這種服務(wù)在連接建立或在數(shù)據(jù)傳送階段的某些時(shí)刻提供使用, 使用這種服務(wù)可以確信(僅僅在使用時(shí)間內(nèi)): 一個(gè)實(shí)體此時(shí)沒有試圖冒充別的實(shí)體, 或沒有試圖將先前的連接作非授權(quán)地重演。 在數(shù)據(jù)原發(fā)鑒別中，身份和數(shù)據(jù)項(xiàng)一起被提交，并且聲稱數(shù)據(jù)項(xiàng)來源于身份

21、所代表的主體。這種服務(wù)對數(shù)據(jù)單元的重復(fù)或篡改不提供保護(hù) 。,實(shí)體鑒別系統(tǒng)的組成,一方是出示證件的人，稱作示證者P(Prover)，又稱聲稱者(Claimant)。 另一方為驗(yàn)證者V（Verifier),檢驗(yàn)聲稱者提出的證件的正確性和合法性，決定是否滿足要求。 第三方是可信賴者TP （Trusted third party) ，參與調(diào)解糾紛。 第四方是攻擊者，可以竊聽或偽裝聲稱者騙取驗(yàn)證者的信任。,鑒別模型,,A,TP,B,,,,Attacker,,實(shí)體鑒別與消息鑒別的差別,實(shí)體鑒別一般都是實(shí)時(shí)的，消息鑒別一般不提供時(shí)間性。 實(shí)體鑒別只證實(shí)實(shí)體的身份，消息鑒別除了消息的合法和完整外，還需要知道消

22、息的含義。 數(shù)字簽名是實(shí)現(xiàn)身份識別的有效途徑。但在身份識別中消息的語義是基本固定的，一般不是“終生”的，簽名是長期有效的。,對身份鑒別系統(tǒng)的要求,（1）驗(yàn)證者正確識別合法申請者的概率極大化。 （2）不具有可傳遞性（Transferability) （3）攻擊者偽裝成申請者欺騙驗(yàn)證者成功的概率要小到可以忽略的程度 （4）計(jì)算有效性 （5）通信有效性 （6）秘密參數(shù)能安全存儲 *（7）交互識別 *（8）第三方的實(shí)時(shí)參與 *（9）第三方的可信賴性 *（10）可證明的安全性,實(shí)現(xiàn)身份鑒別的途徑,三種途徑之一或他們的組合 （1）所知（Knowledge）:密碼、口令 （2）所有（Possesses):身

23、份證、護(hù)照、信用卡、鑰匙 （3）個(gè)人特征：指紋、筆跡、聲紋、手型、血型、視網(wǎng)膜、虹膜、DNA以及個(gè)人動作方面的一些特征 （4）你做的事情（如手寫簽名，數(shù)字簽名） 設(shè)計(jì)依據(jù)： 安全水平、系統(tǒng)通過率、用戶可接受性、成本等,,,討論議題,鑒別的基本概念 鑒別機(jī)制 鑒別與交換協(xié)議 典型鑒別實(shí)例,,鑒別機(jī)制,非密碼的鑒別機(jī)制 基于密碼算法的鑒別 采用對稱密碼算法的機(jī)制 采用公開密碼算法的機(jī)制 采用密碼校驗(yàn)函數(shù)的機(jī)制 零知識證明協(xié)議,非密碼的鑒別機(jī)制,A. 口令機(jī)制 B一次性口令機(jī)制 C基于地址的機(jī)制 D基于個(gè)人特征的機(jī)制 E個(gè)人鑒別令牌,采用對稱密碼的鑒別機(jī)制,基于對稱密碼算法的鑒別依靠一定協(xié)議下的數(shù)據(jù)

24、加密處理。通信雙方共享一個(gè)密鑰（通常存儲在硬件中），該密鑰在詢問應(yīng)答協(xié)議中處理或加密信息交換。,A、重放,常見的消息重放 攻擊形式有： 1、簡單重放：攻擊者簡單復(fù)制一條消息，以后在重新發(fā)送它； 2、可被日志記錄的復(fù)制品：攻擊者可以在一個(gè)合法有效的時(shí)間窗內(nèi)重放一個(gè)帶時(shí)間戳的消息； 3、不能被檢測到的復(fù)制品：這種情況可能出現(xiàn)，原因是原始信息已經(jīng)被攔截，無法到達(dá)目的地，而只有重放的信息到達(dá)目的地。 4、反向重放，不做修改。向消息發(fā)送者重放。當(dāng)采用傳統(tǒng)對稱加密方式時(shí)，這種攻擊是可能的。因?yàn)橄l(fā)送者不能簡單地識別發(fā)送的消息和收到的消息在內(nèi)容上的區(qū)別。 1）針對同一驗(yàn)證者的重放：非重復(fù)值 2）針對不同驗(yàn)

25、證者的重放：驗(yàn)證者的標(biāo)識符,B非重復(fù)值的使用,非重復(fù)值的使用：1）序列號：計(jì)數(shù)的策略：對付重放攻擊的一種方法是在認(rèn)證交換中使用一個(gè)序數(shù)來給每一個(gè)消息報(bào)文編號。僅當(dāng)收到的消息序數(shù)順序合法時(shí)才接受之。但這種方法的困難是要求雙方必須保持上次消息的序號。 2）時(shí)間戳： A接受一個(gè)新消息僅當(dāng)該消息包含一個(gè)時(shí)間戳，該時(shí)間戳在A看來，是足夠接近A所知道的當(dāng)前時(shí)間；這種方法要求不同參與者之間的時(shí)鐘需要同步 3）驗(yàn)證者發(fā)送隨機(jī)值（如詢問）：不可預(yù)測、不重復(fù),時(shí)間戳,在網(wǎng)絡(luò)環(huán)境中，特別是在分布式網(wǎng)絡(luò)環(huán)境中，時(shí)鐘同步并不容易做到 一旦時(shí)鐘同步失敗 要么協(xié)議不能正常服務(wù)，影響可用性(availability)，造成拒

26、絕服務(wù)(DOS) 要么放大時(shí)鐘窗口，造成攻擊的機(jī)會 時(shí)間窗大小的選擇應(yīng)根據(jù)消息的時(shí)效性來確定,詢問/應(yīng)答方式(Challenge/Response),A期望從B獲得一個(gè)消息 首先發(fā)給B一個(gè)隨機(jī)值(challenge) B收到這個(gè)值之后，對它作某種變換，并送回去 A收到B的response，希望包含這個(gè)隨機(jī)值 在有的協(xié)議中，這個(gè)challenge也稱為nonce 可能明文傳輸，也可能密文傳輸 這個(gè)條件可以是知道某個(gè)口令，也可能是其他的事情 變換例子：用密鑰加密，說明B知道這個(gè)密鑰;簡單運(yùn)算，比如增一，說明B知道這個(gè)隨機(jī)值 詢問/應(yīng)答方法不適應(yīng)非連接性的應(yīng)用，因?yàn)樗笤趥鬏旈_始之前先有握手的額外

27、開銷，這就抵消了無連接通信的主要特點(diǎn)。,C、相互鑒別協(xié)議,在理論上，相互鑒別可通過組合兩個(gè)單向鑒別交換協(xié)議來實(shí)現(xiàn)。然而，這種組合需要被仔細(xì)地考察，因?yàn)橛锌赡苓@樣的組合易受竊聽、重放攻擊。 另外，設(shè)計(jì)協(xié)議消息數(shù)比相應(yīng)的單向交換協(xié)議的消息數(shù)的兩倍少得多的相互鑒別交換協(xié)議是可能的。 因此，由于安全性和性能的原因，相互鑒別交換協(xié)議必須為此目的而特別地進(jìn)行設(shè)計(jì)。,零知識證明技術(shù),零知識證明技術(shù)可使信息的擁有者無需泄露任何信息就能夠向驗(yàn)證者或任何第三方證明它擁有該信息。 在交互證明系統(tǒng)中，設(shè)P知道某一秘密，并向V證明自己掌握這一秘密，但又不向泄漏這一秘密，如果V除了知道P能證明某一事實(shí)外，不能得到其他任何

28、信息，則稱P實(shí)現(xiàn)了零知識證明，相應(yīng)的證明過程稱為零知識證明協(xié)議。,,,討論議題,鑒別的基本概念 鑒別機(jī)制 鑒別與交換協(xié)議 典型鑒別實(shí)例,,鑒別和交換協(xié)議,如果用于連接完整性服務(wù)的密鑰被在線建立，那么事實(shí)證明將認(rèn)證和密鑰交換功能組合在一個(gè)協(xié)議中是重要的（鑒別和密鑰交換協(xié)議）。 最常用的協(xié)議，該協(xié)議使得通信各方互相鑒別各自的身份，然后交換會話密鑰。 基于鑒別的密鑰交換核心問題有兩個(gè)： 保密性 時(shí)效性,雙向鑒別,傳統(tǒng)加密方法 Needham/Schroeder Protocol 1978 Denning Protocol 1982 KEHN92 公鑰加密方法 一個(gè)基于臨時(shí)值握手協(xié)議：WOO92a 一

29、個(gè)基于臨時(shí)值握手協(xié)議：WOO92b,Needham/Schroeder Protocol 1978,傳統(tǒng)加密方法,1、A KDC：IDA||IDB||N1 2、KDC A：EKaKs||IDB||N1||EKbKs||IDA 3、A B： EKbKs||IDA 4、B A： EKsN2 5、A B： EKsf(N2),保密密鑰Ka和Kb分別是A和KDC、B和KDC之間共享的密鑰。 本協(xié)議的目的就是要安全地分發(fā)一個(gè)會話密鑰Ks給A和B。,A在第2步安全地得到了一個(gè)新的會話密鑰，第3步只能由B解密、 并理解。第4步表明B已知道Ks了。第5步表明B相信A知道Ks并且 消息不是偽造的。 第4，5

30、步目的是為了防止某種類型的重放攻擊。特別是，如果敵方 能夠在第3步捕獲該消息，并重放之，這將在某種程度上干擾破壞B 方的運(yùn)行操作。,Needham/Schroeder Protocol 1978,上述方法盡管有第4,5步的握手，但仍然有漏洞。,假定攻擊方C已經(jīng)掌握A和B之間通信的一個(gè)老的會話密鑰。C可以在第3步冒充A利用老的會話密鑰欺騙B。除非B記住所有以前使用的與A通信的會話密鑰，否則B無法判斷這是一個(gè)重放攻擊。如果C可以中途阻止第4步的握手信息，則可以冒充A在第5步響應(yīng)。從這一點(diǎn)起，C就可以向B發(fā)送偽造的消息而對B來說認(rèn)為是用認(rèn)證的會話密鑰與A進(jìn)行的正常通信。,Denning Protoc

31、ol 1982 改進(jìn)：,1、A KDC：IDA||IDB 2、KDC A：EKaKs||IDB||T||EKbKs||IDA||T 3、A B： EKbKs||IDA||T 4、B A： EKsN1 5、A B： EKsf(N1),| Clock - T | < t1 + t2 其中： t1 是KDC時(shí)鐘與本地時(shí)鐘（A或B）之間差異的估計(jì)值； t2 是預(yù)期的網(wǎng)絡(luò)延遲時(shí)間。,Denning Protocol 比 Needham/Schroeder Protocol在安全性方面增強(qiáng)了一步。然而，又提出新的問題：即必須依靠各時(shí)鐘均可通過網(wǎng)絡(luò)同步。,如果發(fā)送者的時(shí)鐘比接收者的時(shí)鐘要快，攻擊

32、者就可以從發(fā)送者竊聽消息，并在以后當(dāng)時(shí)間戳對接收者來說成為當(dāng)前時(shí)重放給接收者。這種重放將會得到意想不到的后果。（稱為抑制重放攻擊）。,一種克服抑制重放攻擊的方法是強(qiáng)制各方定期檢查自己的時(shí)鐘是否與KDC的時(shí)鐘同步。,另一種避免同步開銷的方法是采用臨時(shí)數(shù)握手協(xié)議。,KEHN92,,1、A B： IDA||Na 2、B KDC： IDB||Nb || EKbIDA || Na || Tb 3、KDC A： EKaIDB||Na ||Ks|| Tb || EKbIDA || Ks || Tb || Nb 4、A B： EKbIDA || Ks || Tb || EKs Nb ,公鑰加密方法：,一個(gè)

33、使用時(shí)間戳的方法是：,1、A AS：IDA||IDB 2、AS A：EKRasIDA ||KUa || T || EKRasIDB ||KUb || T 3、A B： EKRasIDA||KUa|| T || EKRasIDB || KUb || T || EKUbEKRa Ks||T,一個(gè)基于臨時(shí)值握手協(xié)議：WOO92a,1、A KDC：IDA||IDB 2、KDC A：EKRauthIDB ||KUb 3、A B： EKUbNa ||IDA 4、B KDC： IDB||IDA || EKUauthNa 5、KDC B： EKRauthIDA ||KUa|| EKUbEKRauth Na|

34、|Ks||IDB 6、B A： EKUaEKRauth Na ||Ks || IDB||Nb 7、 A B： EKsNb,一個(gè)基于臨時(shí)值握手協(xié)議：WOO92b,1、A KDC：IDA||IDB 2、KDC A：EKRauthIDB ||KUb 3、A B： EKUbNa ||IDA 4、B KDC： IDB||IDA || EKUauthNa 5、KDC B： EKRauthIDA ||KUa|| EKUbEKRauth Na||Ks||IDA||IDB 6、B A： EKUaEKRauth Na ||Ks ||IDA || IDB||Nb 7、 A B： EKsNb,單向鑒別 On

35、e-Way Authentication,E-mail,傳統(tǒng)加密方法：,,1、A KDC：IDA||IDB|| N1 2、KDC A：EKaKs || IDB || N1 || EKb Ks || IDA 3、A B： EKb Ks || IDA || EKsM,公鑰加密方法： 1、 A B： EKUbKs || EKsM,1、 A B： M || EKRaH(M),1、 A B： EKUb M || EKRaH(M),1、 A B： M || EKRaH(M) || EKRas T || IDA ||KUa ,,習(xí)題： 1. 選擇適當(dāng)?shù)膮?shù)，對消息 進(jìn)行RSA數(shù)字簽名。 2.假設(shè)你知道大整

36、數(shù)的分解，試設(shè)計(jì)一個(gè)協(xié)議，以零知識證明的方式證明你確實(shí)知道該整數(shù)的分解。,采用對稱密碼的鑒別機(jī)制,無可信第三方參與的鑒別 單向鑒別：使用該機(jī)制時(shí)，兩實(shí)體中只有一方被鑒別。 雙向鑒別：兩通信實(shí)體使用此機(jī)制進(jìn)行相互鑒別。 有可信第三方參與的鑒別,本部分使用以下記法,A:實(shí)體A的可區(qū)分標(biāo)識符 B:實(shí)體B的可區(qū)分標(biāo)識符 TP:可信第三方的可區(qū)分標(biāo)識符 KXY:實(shí)體X和實(shí)體Y之間共享的秘密密鑰,只用于對稱密碼技術(shù) SX:與實(shí)體X有關(guān)的私有簽名密鑰,只用于非對稱加密技術(shù) NX:由實(shí)體X給出的順序號 RX:由實(shí)體X給出的隨機(jī)數(shù) TX:由實(shí)體X原發(fā)的時(shí)變參數(shù),它或者是時(shí)間標(biāo)記TX,或者是順序號RX NX:

37、Y||Z:數(shù)據(jù)項(xiàng)Y和Z以Y在前Z在后順序拼接的結(jié)果 eK(Z):用密鑰K的對稱加密算法對數(shù)據(jù)Z加密的結(jié)果 fK(Z):使用以密鑰K和任意數(shù)據(jù)串Z作為輸入的密碼校驗(yàn)函數(shù)f所產(chǎn)生的密碼校驗(yàn)值 CertX:由可信第三方簽發(fā)給實(shí)體X的證書 TokenXY:實(shí)體X發(fā)給Y的權(quán)標(biāo),包含使用密碼技術(shù)變換的信息 TVP:時(shí)變參數(shù) SSX(Z):用私有簽名密鑰SX對數(shù)據(jù)Z進(jìn)行私有簽名變換所產(chǎn)生的簽名.,無可信第三方參與的機(jī)制單向鑒別,一次傳送鑒別,A,B,,（1）TokenAB,(2),（1）TokenAB=Text2||EKAB(TA||B||Text1) NA,（2）B解密，驗(yàn)證B、時(shí)

38、間標(biāo)記或順序號的正確性,,,無可信第三方參與的機(jī)制 單向鑒別,兩次傳送鑒別,A,B,,（1）RB||Text1,(3),（2）TokenAB=Text3||eKAB(RB||B||Text2),（3）B解密，驗(yàn)證B、 RB的正確性,,（2）TokenAB,,,,,無可信第三方參與的機(jī)制 雙向鑒別,兩次傳送鑒別,A,B,,（1） TokenAB,(2),（4）B解密，驗(yàn)證B、 RB的正確性,,（3）TokenBA,（1）TokenAB=Text2||eKAB(TA||B||Text1) NA,（3）TokenBA=Text4||eKAB(TB||A||Text3)

39、 NB,(4),,,,,無可信第三方參與的機(jī)制 雙向鑒別,三次傳送鑒別,A,B,,（1）RB||Text1,(3),（2）TokenAB=Text3||eKAB(RA ||RB||B||Text2),（3）B解密，驗(yàn)證B、 RB的正確性,,（2）TokenAB,,（4）TokenBA,（4）TokenBA=Text5||eKAB(RB ||RA||Text4),(5),（5）A解密，驗(yàn)證B、 RB、 RA的正確性,涉及可信第三方的機(jī)制--雙向鑒別,四次傳送鑒別,A,B,,,（6）TokenBA,TP,,,（4）TokenAB,（2）TokenTA,（1）TVPA||B||Tex

40、t1,(3),(7),(5),（2）TokenTA=Text4||eKAT(TVPA ||KAB||B||Text3) || eKBT(TTP ||KAB||A||Text2) NTP,（4）TokenAB=Text6|| eKBT(TTP ||KAB||A||Text2) eKAB(TA ||B||Text5) NTP NA,（6）TokenBA=Text8|| eKAB(TB ||A||Text7) NB,,,涉及可信第三方的機(jī)制--雙向鑒別,五次傳送鑒別,A,B,,,（7）

41、TokenBA,TP,,,（5）TokenAB,（3）TokenTA,（2）RA||RB||B||Text2,(4),(8),(6),（3）TokenTA=Text5||eKAT(RA ||KAB||B||Text4) || eKBT(RB || KAB|| A||Text3),（5）TokenAB=Text7|| eKBT(RB || KAB|| A||Text3) ||eKAB(RA ||RB||Text6),（7）TokenBA=Text9|| eKAB(RB ||RA||Text8),,(1)RB||Text1,采用公開密碼算法的機(jī)制,在該機(jī)制中，聲稱者要通過證明他知道某秘密簽名密鑰來

42、證實(shí)身份。由使用他的秘密簽名密鑰簽署某一消息來完成。消息可包含一個(gè)非重復(fù)值以抵抗重放攻擊。 要求驗(yàn)證者有聲稱者的有效公鑰 聲稱者有僅由自己知道和使用的秘密簽名私鑰。 單向鑒別：僅對實(shí)體中的一個(gè)進(jìn)行鑒別。 雙向鑒別：兩個(gè)通信實(shí)體相互進(jìn)行鑒別。,采用公開密碼算法的機(jī)制單向鑒別,一次傳遞機(jī)制,A,B,,（1）CertA||TokenAB,（1）TokenAB=TA||B||Text2||SSA(TA||B||Text1) NA NA,(2),(2)B驗(yàn)證A的公開密鑰，驗(yàn)證B的標(biāo)識符號,采用公開密碼算法的機(jī)制單向鑒別,兩次傳遞機(jī)制,A,B,,（1）RB||Text1,(3

43、),（3）B驗(yàn)證A的公開密鑰，驗(yàn)證B的標(biāo)識符號,,（1）CertA||TokenAB,（2）TokenAB=RA||RB||B||Text3||SSA(RA||RB||B||Text2),采用公開密碼算法的機(jī)制雙向鑒別（1）,A,B,,(2),（2）B驗(yàn)證A的公開密鑰，驗(yàn)證B的標(biāo)識符號,,（3）CertB||TokenBA,兩次傳遞機(jī)制,（1）CertA||TokenAB,（1）TokenAB=TA||B||Text2||SSA(TA||B||Text1) NA NA,(4),（3）TokenBA=TB||A||Text4||SSB(TB||A||Text3)

44、 NB NB,（4）A驗(yàn)證B的公開密鑰，驗(yàn)證A的標(biāo)識符號,采用公開密碼算法的機(jī)制雙向鑒別（2）,,三次傳遞機(jī)制,A,B,,（1）RB||Text1,(3),（3）B驗(yàn)證A的公開密鑰，驗(yàn)證B的標(biāo)識符號,,（2）CertA||TokenAB,（2）TokenAB=RA||RB||B||Text3||SSA(RA||RB||B||Text2),,（4）CertB||TokenBA,（4）TokenBA=RB||RA||A||Text5||SSB(RB||RA||A||Text4),（5）A驗(yàn)證B的公開密鑰，驗(yàn)證A的標(biāo)識符號,(5),采用公開密碼算法的機(jī)制雙向鑒別（3）,,,兩次傳遞

45、并行機(jī)制,A,B,,（1）CertA||RA||Text1,(2) (4),（4）A和B驗(yàn)證各自的隨機(jī)數(shù),,（1 ）CertB||RB||Text2,（1）TokenAB=RA||RB||B||Text4||SSA(RA||RB||B||Text3),,（3）TokenBA,（1 ）TokenBA=RB||RA||A||Text6||SSB(RB||RA||A||Text5),（2）A和B確保他們擁有另一實(shí)體的公開密鑰,(2) (4),,（3 ）TokenAB,采用密碼校驗(yàn)函數(shù)的機(jī)制,在該機(jī)制中，待鑒別的實(shí)體通過表明它擁有某個(gè)秘密鑒別密鑰來證實(shí)其身份?？捎稍搶?shí)體以其秘密密鑰和特定數(shù)據(jù)作輸入，使

46、用密碼校驗(yàn)函數(shù)獲得密碼校驗(yàn)值來達(dá)到。 聲稱者和驗(yàn)證者共享秘密鑒別密鑰，應(yīng)僅為該兩個(gè)實(shí)體所知，以及他們的信任方。,采用密碼校驗(yàn)函數(shù)的機(jī)制-單向鑒別,一次傳遞鑒別,A,B,,（1）TokenAB,（1）TokenAB=TA||Text2||fKAB(TA||B||Text1) NA NA,(2),(2)B驗(yàn)證A的標(biāo)識符號和時(shí)間標(biāo)記,采用密碼校驗(yàn)函數(shù)的機(jī)制-單向鑒別,A,B,,（1）RB||Text1,(3),（3）B驗(yàn)證B的標(biāo)識符號和隨機(jī)數(shù),,（2）TokenAB,（2）TokenAB=Text3||fKAB(RB||B||Text2),兩次傳遞機(jī)制,,,采用密碼校驗(yàn)函數(shù)的

47、機(jī)制-雙向鑒別（1）,A,B,,(2),（2）B驗(yàn)證A的標(biāo)識符號和時(shí)間標(biāo)記,,（3）TokenBA,兩次傳遞機(jī)制,（1）TokenAB,（1）TokenAB=TA||B||Text2||fKAB(TA||B||Text1) NA NA,(4),（3）TokenBA=TB||A||Text4||SSB(TB||A||Text3) NB NB,（4）A驗(yàn)證B的標(biāo)識符號和時(shí)間標(biāo)記,,,采用密碼校驗(yàn)函數(shù)的機(jī)制-雙向鑒別（2）,,三次傳遞機(jī)制,A,B,,（1）RB||Text1,(3),（3）B驗(yàn)證B的標(biāo)識符號和隨機(jī)數(shù),,（2）TokenAB,（2）TokenAB=RA||Text3||fKAB(RA||RB||B||Text2),,（4）TokenBA,（4）TokenBA=Text5|| fKAB(RB||RA||Text2),（5）A驗(yàn)證A的標(biāo)識符號和隨機(jī)數(shù),(5),,,,id,id,nrv,,聲稱者,驗(yàn)證者,密鑰和id 來自物理 令牌或本 地存儲器,加密，封 裝或簽名,密鑰,id,解密或驗(yàn)證,是或不是,,,密鑰,,,,,,,,,id,,nrv,消息,,,加密，封裝或簽名,,簡化的基于密碼技術(shù)的鑒別機(jī)制,