数字签名与认证ppt课件.ppt

《数字签名与认证ppt课件.ppt》由会员分享，可在线阅读，更多相关《数字签名与认证ppt课件.ppt（46页珍藏版）》请在淘文阁 - 分享文档赚钱的网站上搜索。

1、 20092009年春季年春季 软件学院软件学院 研究生课程研究生课程lDESDES加密机制加密机制lIPIP置换置换l1616轮迭代轮迭代lIPIP-1-1置换置换l子密钥的产生子密钥的产生lRSARSA加密机制加密机制l欧拉定理欧拉定理l数字签名技术数字签名技术l直接数字签名（直接数字签名（Direct Digital Signatures , DDS , DDS）l仲裁数字签名（仲裁数字签名（Arbitrated Digital Signatures ,ADS ,ADS）z数字签名是认证的重要工具数字签名是认证的重要工具z为什么需要数字签名：为什么需要数字签名：y报文认证用以保护双方之间

2、的数据交换不被第三方报文认证用以保护双方之间的数据交换不被第三方侵犯；但它并不保证双方自身的相互欺骗。假定侵犯；但它并不保证双方自身的相互欺骗。假定A A发发送一个认证的信息给送一个认证的信息给B B，双方之间的争议可能有多种，双方之间的争议可能有多种形式：形式：xB B伪造一个不同的消息，但声称是从伪造一个不同的消息，但声称是从A A收到的。收到的。xA A可以否认发过该消息，可以否认发过该消息，B B无法证明无法证明A A确实发了该确实发了该消息。消息。数字签名是什么数字签名是什么z与人们手写签名的作用一样，数字签名系统向通信双与人们手写签名的作用一样，数字签名系统向通信双方提供服务，使得

3、方提供服务，使得A A向向B B发送签名的消息发送签名的消息P P，以便达到，以便达到yB B可以验证消息可以验证消息P P确实来源于确实来源于A AyA A以后不能否认发送过以后不能否认发送过P PyB B不能编造或改变消息不能编造或改变消息P P数字签名的特点数字签名的特点z必须能够验证签名者及其签名的日期时间；必须能够验证签名者及其签名的日期时间；z必须能够认证被签名消息的内容；必须能够认证被签名消息的内容；z签名必须能够由第三方验证，以解决争议；签名必须能够由第三方验证，以解决争议；：数字签名功能包含了认证的功能。：数字签名功能包含了认证的功能。z BBBB是是A A和和B B共同信赖

4、的仲裁人。共同信赖的仲裁人。z K KA A和和K KB B 分别是分别是A A和和B B与与BBBB之间的之间的密钥密钥z K KBBBB是只有是只有BBBB掌握的密钥，掌握的密钥，z P P是是A A发给发给B B的消息，的消息，z t t是时间戳。是时间戳。 A B A, KA(B, RA,t,P) KB(A,RA,t,P,KBB(A,t,P) BBz A -BB:A, KA -BB:A, KA A(B, R(B, RA A,t,P) ,t,P) z BB-B: KBB-B: KB B(A,R(A,RA A,t,P,K,t,P,KBBBB(A,t,P)(A,t,P)yK KBBBB(A,

5、t,P) (A,t,P) 由由BBBB产生产生z B B可以解密该报文，阅读消息可以解密该报文，阅读消息P Py保留证据保留证据K KBBBB(A,t,P) (A,t,P) ，A A不能否认发送过不能否认发送过消息消息P P。yB B不能解密不能解密K KBBBB(A,t,P(A,t,P），无法伪造），无法伪造y由于由于A A和和B B之间的通信是通过中间人之间的通信是通过中间人BBBB的，的，所以不必怀疑对方的身份。所以不必怀疑对方的身份。yBBBB仲裁时可能会当场解密仲裁时可能会当场解密K KBBBB(A,t,P)(A,t,P)，得，得到发送人、发送时间和原来的消息到发送人、发送时间和原来

6、的消息P P。z利用公钥加密算法的数字签名系统。如果利用公钥加密算法的数字签名系统。如果A A方否认了，方否认了，B B可以拿出可以拿出D DA A(P)(P)，并用，并用A A的公钥的公钥E EA A解密得到解密得到P P，从而，从而证明证明P P 是是A A发送的。如果发送的。如果B B把消息把消息P P窜改了，当窜改了，当A A要求要求B B出示原来的出示原来的D DA A(P)(P)时，时，B B拿不出来。拿不出来。 A A的私钥的私钥 D DA A B B的公钥的公钥 E EB B B B的私钥的私钥 D DB B A A的公钥的公钥 E EA A两类数字签名函数两类数字签名函数z直

7、接数字签名直接数字签名y仅涉及通信双方仅涉及通信双方y有效性依赖发方密钥的安全性有效性依赖发方密钥的安全性z仲裁数字签名仲裁数字签名y使用第三方认证使用第三方认证直接数字签名（直接数字签名（DDSDDS）(1) A(1) AB: EB: EKRaKRaMM提供了认证与签名：提供了认证与签名： 只有只有A A具有具有KRaKRa进行加密进行加密; ; 传输中无法被篡改；传输中无法被篡改； 需要某些格式信息需要某些格式信息/ /冗余度；冗余度； 任何第三方可以用任何第三方可以用KUa KUa 验证签名验证签名无法抵赖，无法伪造无法抵赖，无法伪造(1(1) A) AB: EB: EKUbKUbEEK

8、RaKRa(M)(M)提供了保密提供了保密(KUb)(KUb)、认证与签名认证与签名( (KRa)KRa)：(2) A(2) AB: M|EB: M|EKRaKRaH(M)H(M) 提供认证及数字签名提供认证及数字签名 - H(M) - H(M) 受到密码算法的保护；受到密码算法的保护； - - 只有只有 A A 能够生成能够生成 E EKRaKRaH(M)H(M)(2(2) A) AB: EB: EK KM|EM|EKRaKRaH(M)H(M) 提供保密性、认证和数字签名。提供保密性、认证和数字签名。直接数字签名的缺点直接数字签名的缺点z验证模式依赖于发送方的保密密钥；验证模式依赖于发送方的

9、保密密钥；y发送方要抵赖发送某一消息时，可能会声称其私有发送方要抵赖发送某一消息时，可能会声称其私有密钥丢失或被窃，从而他人伪造了他的签名。密钥丢失或被窃，从而他人伪造了他的签名。y通常需要采用与私有密钥安全性相关的通常需要采用与私有密钥安全性相关的行政管理控行政管理控制手段制手段来制止或至少是削弱这种情况，但威胁在某来制止或至少是削弱这种情况，但威胁在某种程度上依然存在。种程度上依然存在。y改进的方式例如可以要求被签名的信息包含一个改进的方式例如可以要求被签名的信息包含一个时时间戳间戳（日期与时间），并要求将已暴露的密钥报告（日期与时间），并要求将已暴露的密钥报告给一个授权中心。给一个授权中

10、心。z如如X X的私有密钥确实在时间的私有密钥确实在时间T T被窃取，敌方可以伪造被窃取，敌方可以伪造X X的的签名并附上早于或等于时间签名并附上早于或等于时间T T的时间戳。的时间戳。 仲裁数字签名仲裁数字签名z引入仲裁者。引入仲裁者。y通常的做法是所有从发送方通常的做法是所有从发送方X X到接收方到接收方Y Y的签名消的签名消息首先送到仲裁者息首先送到仲裁者A A，A A将消息及其签名进行一系列将消息及其签名进行一系列测试，以检查其来源和内容，然后将消息加上日期测试，以检查其来源和内容，然后将消息加上日期并与已被仲裁者验证通过的指示一起发给并与已被仲裁者验证通过的指示一起发给Y Y。z仲裁

11、者在这一类签名模式中扮演敏感和关键的角色。仲裁者在这一类签名模式中扮演敏感和关键的角色。y所有的参与者必须相信这一仲裁机制工作正常。所有的参与者必须相信这一仲裁机制工作正常。（trusted systemtrusted system）仲裁数字签名技术（仲裁数字签名技术（1 1）z 单密钥加密方式，仲裁者可以看见消息单密钥加密方式，仲裁者可以看见消息(1) X(1) XA A：M|EM|EK KxaxaIDIDx x| H(M)| H(M)(2)(2) A AY Y：E EK KayayIDIDx x| M | E| M | EK KxaxaIDIDx x| H(M) | T| H(M) | T

12、X X与与A A之间共享密钥之间共享密钥K Kxaxa，Y Y与与A A之间共享密钥之间共享密钥K Kayay签名过程：签名过程：z X X：准备消息准备消息M M，计算其，计算其HashHash值值H(M)H(M)，用，用X X的标识符的标识符IDIDx x 和和HashHash值构成签名，并将消息及签名经值构成签名，并将消息及签名经K Kxaxa加密后发送给加密后发送给A A；z A A：解密签名，用：解密签名，用H(M)H(M)验证消息验证消息M M，然后将，然后将IDIDx x，M M，签名，和时，签名，和时间戳一起经间戳一起经K Kayay加密后发送给加密后发送给Y Y；z Y Y：

13、解密：解密A A发来的信息，并可将发来的信息，并可将M M和签名保存起来。和签名保存起来。解决纠纷：解决纠纷：z Y Y：向：向A A发送发送 E EK KayayIDIDx x| M | E| M | EK KxaxaIDIDx x| H(M)| H(M) z A A：用：用K Kayay恢复恢复IDIDx x，M M，和签名（，和签名（ E EK KxaxaIDIDx x| H(M)| H(M)），然后），然后用用K Kxaxa解密签名并验证解密签名并验证HashHash值值. .仲裁数字签名技术（仲裁数字签名技术（2 2）z单密钥加密方式，仲裁者不可以看见消息单密钥加密方式，仲裁者不可以

14、看见消息(1) X(1) XA A： IDIDx x | E | EK KxyxyM|EM|EK KxaxaIDIDx x| H(E| H(EK KxyxyM)M)(2)(2) A AY Y：E EK KayayIDIDx x|E|EK KxyxyM | EM | EK KxaxaIDIDx x| H(E| H(EK KxyxyM) M) | T| TzX X与与Y Y之间共享密钥之间共享密钥K Kxyxy，zX X：将标识符：将标识符IDIDx x , ,密文密文 E EK KxyxyMM，以及对，以及对IDIDx x和密文消和密文消息的散列码用息的散列码用K Kxaxa加密后形成签名加密后

15、形成签名发送给发送给A A。zA A：解密签名，用散列码验证消息，这时：解密签名，用散列码验证消息，这时A A只能验证消只能验证消息的密文而不能读取其内容。然后息的密文而不能读取其内容。然后A A将来自将来自X X的所有信的所有信息加上时间戳并用息加上时间戳并用K Kayay加密后发送给加密后发送给Y Y。z(1)(1)和和(2)(2) 存在的存在的问题：问题：y A A和发送方联手可以否认签名的信息；和发送方联手可以否认签名的信息；y A A和接收方联手可以伪造发送方的签名；和接收方联手可以伪造发送方的签名；z在这种模式下在这种模式下Y Y不能直接验证不能直接验证X X的签名，的签名，Y Y

16、认为认为A A的消息的消息已认证，只因为它来自已认证，只因为它来自A A。因此，双方都需要高度相。因此，双方都需要高度相信信A: XA: X必须信任必须信任A A没有暴露没有暴露K Kxaxa，并且没有生成错误的，并且没有生成错误的签名签名E EK KxaxaIDIDx x| H(M) | H(M) 。 Y Y必须信任必须信任A A仅当散列值正仅当散列值正确并且签名确实是确并且签名确实是X X产生的情况下才发送的产生的情况下才发送的 E EK KayayIDIDx x| M | E| M | EK KxaxaIDIDx x| H(M) | T | H(M) | T 。双方都必。双方都必须信任须

17、信任A A处理争议是公正的。只要处理争议是公正的。只要A A遵循上述要求，则遵循上述要求，则X X相信没有人可以伪造其签名；相信没有人可以伪造其签名；Y Y相信相信X X不能否认其签不能否认其签名。名。上述情况还隐含着上述情况还隐含着A A可以看到可以看到X X给给Y Y的所有信息，的所有信息，因而所有的窃听者也能看到。因而所有的窃听者也能看到。仲裁数字签名技术（仲裁数字签名技术（3 3）z双密钥加密方式，仲裁者不可以看见消息双密钥加密方式，仲裁者不可以看见消息(1) X(1) XA A： IDIDx x|E|EKRKRx xIDIDx x|E|EKUKUy y(E(EKRKRx xM)M)(

18、2)(2) A AY Y： E EKRKRa aIDIDx x| E| EKUKUy yEEKRKRx xM | TM | T X X：对消息对消息M M双重加密：首先用双重加密：首先用X X的私有密钥的私有密钥KRxKRx，然后，然后用用Y Y的公开密钥的公开密钥KUyKUy。形成一个签名的、保密的消息。形成一个签名的、保密的消息。然后将该信息以及然后将该信息以及X X的标识符一起用的标识符一起用KRxKRx签名后与签名后与IDx IDx 一起发送给一起发送给A A。这种内部、双重加密的消息对。这种内部、双重加密的消息对A A以及对以及对除除Y Y以外的其它人都是安全的。以外的其它人都是安全

19、的。 A A：检查：检查X X的公开的公开/ /私有密钥对是否仍然有效，如果是，则私有密钥对是否仍然有效，如果是，则认证消息。并将包含认证消息。并将包含IDxIDx、双重加密的消息和时间戳构成、双重加密的消息和时间戳构成的消息用的消息用KRaKRa签名后发送给签名后发送给Y Yz本模式比上述两个模式具有以下好处：本模式比上述两个模式具有以下好处：1 1、在通信之前各方之间无须共享任何信息，从而避免了联、在通信之前各方之间无须共享任何信息，从而避免了联手作弊；手作弊；2 2、即使、即使KRxKRx暴露，只要暴露，只要KRaKRa未暴露，不会有错误标定日期的未暴露，不会有错误标定日期的消息被发送；

20、消息被发送；3 3、从、从X X发送给发送给Y Y的消息的内容对的消息的内容对A A和任何其他人是保密的。和任何其他人是保密的。z1. 1. 密钥的生成（同加密系统）密钥的生成（同加密系统） 公钥公钥P Pk k=e,n;=e,n;私钥私钥S Sk k=d,n=d,n。z2. 2. 签名过程签名过程 ( (用用d,n)d,n)明文：明文：Mn Mn 密文：密文：S=MS=Md d(mod n).(mod n).z3. 3. 验证过程验证过程 ( (用用e,n)e,n) 给定给定M M，S S，VerVer（M M，S S）为真，当且仅当）为真，当且仅当M=SM=Se e（mod mod n)n

21、) 该方案是专门为签名的目的而设计的。该方案是专门为签名的目的而设计的。19851985年提出，年提出，很大程度上是很大程度上是Diffie-HellmanDiffie-Hellman密钥交换算法的推广和密钥交换算法的推广和变形。这个方案的改进已被美国变形。这个方案的改进已被美国NISTNIST（国家标准和技（国家标准和技术研究所）采纳作为术研究所）采纳作为。方案的安全性依。方案的安全性依赖于求离散对数的困难性。赖于求离散对数的困难性。 DSS DSS （Digital Signature Standard)Digital Signature Standard)签签名标准是名标准是199119

22、91年年8 8月由美国月由美国NISTNIST公布，公布，19941994年年5 5月月1919日的正式公布，并于日的正式公布，并于19941994年年1212月月1 1日采日采纳为美国联帮信息处理标准。纳为美国联帮信息处理标准。DSSDSS为为EIGamalEIGamal和和SchnorrSchnorr签名方案的改进，其使用的算法记签名方案的改进，其使用的算法记为为DSADSA（Digital Signature Algorithm)Digital Signature Algorithm)。此。此算法由算法由D. W. KravitzD. W. Kravitz设计。设计。DSSDSS使用了使

23、用了SHASHA，安全性是基于求离散对数的困难性。安全性是基于求离散对数的困难性。 z全局公钥（全局公钥（p p，q q，g g）yp p为为5125121024bit1024bit的大素数，的大素数，yq q是（是（p p1 1）的素因子，为）的素因子，为160160比特的素数，比特的素数，yg:=hg:=h(p-1)/q(p-1)/q mod p, mod p, 且且1h(p-1),1h1 mod p 1z用户私钥用户私钥x x：x x为为0 xq0 xq内的随机数内的随机数z用户公钥用户公钥y y：y=gy=gx x mod p mod pz用户每个消息用的秘密随机数用户每个消息用的秘密

24、随机数k k：0kq;0kq;z签名过程：对报文签名过程：对报文M M，签名为（，签名为（r r，s s）yr = (gr = (gk k mod p) mod q mod p) mod qys = (ks = (k-1-1(H(M) + xr) ) mod q(H(M) + xr) ) mod qz验证：验证：yw w (s(s) )-1-1 mod q mod q ya = ( H(Ma = ( H(M)w ) mod q )w ) mod q yb = rb = rw mod qw mod qyv = ( ( gv = ( ( ga a y yb b) mod p) mod q) mod

25、 p) mod qzVerVer（M M，r r，s s） 真真 iff v = riff v = rz签名过程签名过程P P2842844. 4. 其它签名技术其它签名技术z不可否认签名不可否认签名yChaumChaum和和Van Antwerprn 1989Van Antwerprn 1989年提出年提出y该签名的特征是：验证签名者必须与签名者合作。该签名的特征是：验证签名者必须与签名者合作。验证签名是通过询问验证签名是通过询问-应答协议来完成。这个应答协议来完成。这个协议可防止签名者协议可防止签名者BobBob否认他以前做的签名否认他以前做的签名y一个不可否认的签名方案有三个部分组成：一

26、个不可否认的签名方案有三个部分组成：y不可否认的签名的本质是无签名者合作不能验证不可否认的签名的本质是无签名者合作不能验证签名，从而防止复制和散布其签名文件的可能，适签名，从而防止复制和散布其签名文件的可能，适应于电子出版系统知识产权的保护。应于电子出版系统知识产权的保护。z盲签名盲签名yChaumChaum在在19831983年提出。年提出。y需要某人对文件签名，但又不想签名者知道文件需要某人对文件签名，但又不想签名者知道文件内容，称为盲签名。内容，称为盲签名。y适应于电子选举、数字货币协议中。适应于电子选举、数字货币协议中。z群签名群签名y群签名是群体密码学中的课题，群签名是群体密码学中的

27、课题，19911991由由ChaumChaum和和van Heystvan Heyst提出。提出。y特点：特点：1 1 只有群体成员才能代表群体签名；只有群体成员才能代表群体签名；2 2 可可用公钥验证签名，但不知是谁签的名；用公钥验证签名，但不知是谁签的名；3 3 争议发生争议发生时可由群体成员或可信第三方确认签名者。时可由群体成员或可信第三方确认签名者。z相互认证相互认证 (mutual authentication)(mutual authentication)z单向认证单向认证 (one-way authentication)(one-way authentication)4.4.1

28、4.4.1 相互认证协议相互认证协议z最常用的协议，该协议使得通信双方互相最常用的协议，该协议使得通信双方互相确认对方的身份，然后交换会话密钥。确认对方的身份，然后交换会话密钥。z基于认证的密钥交换核心问题有两个：基于认证的密钥交换核心问题有两个：y保密性保密性x为了防止伪装和防止暴露会话密钥，基本认证与会话密为了防止伪装和防止暴露会话密钥，基本认证与会话密码信息必须以保密形式通信。这就要求预先存在保密或码信息必须以保密形式通信。这就要求预先存在保密或公开密钥供实现加密使用。公开密钥供实现加密使用。y时效性时效性x涉及防止消息重放攻击。涉及防止消息重放攻击。最坏情况下可能导致向敌人暴露会话密钥

29、，或成功地冒充最坏情况下可能导致向敌人暴露会话密钥，或成功地冒充其他人；至少也可以干扰系统的正常运行，处理不好将导致系其他人；至少也可以干扰系统的正常运行，处理不好将导致系统瘫痪。统瘫痪。 常见的消息重放攻击形式：常见的消息重放攻击形式：1 1、简单重放：简单重放：攻击者简单复制一条消息，以后在重新发送它；攻击者简单复制一条消息，以后在重新发送它；2 2、可被日志记录的重放：可被日志记录的重放：攻击者可以在一个合法有效的时间窗内攻击者可以在一个合法有效的时间窗内重放一个带时间戳的消息；重放一个带时间戳的消息；3 3、不能被检测到的重放：不能被检测到的重放：这种情况可能出现，原因是原始信息已这种

30、情况可能出现，原因是原始信息已经被拦截，无法到达目的地，而只有重放的信息到达目的地。经被拦截，无法到达目的地，而只有重放的信息到达目的地。4 4、反向重放，不做修改。反向重放，不做修改。向消息发送者重放。当采用传统对称加向消息发送者重放。当采用传统对称加密方式时，这种攻击是可能的。因为消息发送者不能简单地识别密方式时，这种攻击是可能的。因为消息发送者不能简单地识别发送的消息和收到的消息在内容上的区别。发送的消息和收到的消息在内容上的区别。1 1重放攻击重放攻击两种更为一般的方法是：两种更为一般的方法是：1 1、时间戳：、时间戳：A A接受一个新消息仅当该消息包含一个时间戳，该时间接受一个新消息

31、仅当该消息包含一个时间戳，该时间戳在戳在A A看来，是足够接近看来，是足够接近A A所知道的当前时间；这种方法要求不同参所知道的当前时间；这种方法要求不同参与者之间的时钟需要同步。与者之间的时钟需要同步。2 2、挑战、挑战/ /应答方式。（应答方式。（Challenge/ResponseChallenge/Response）A A期望从期望从B B获得一个新获得一个新消息，首先发给消息，首先发给B B一个临时值一个临时值(challenge)(challenge)，并要求后续从，并要求后续从B B收到的消收到的消息（息（responseresponse）包含正确的这个临时值。）包含正确的这个临

32、时值。对付重放攻击的一种方法是在认证交换中使用一个序列号来给每一对付重放攻击的一种方法是在认证交换中使用一个序列号来给每一个消息报文编号。仅当收到的消息序数顺序合法时才接受之。但个消息报文编号。仅当收到的消息序数顺序合法时才接受之。但这种方法的困难是要求双方必须保持上次消息的序号。这种方法的困难是要求双方必须保持上次消息的序号。 时间戳方法时间戳方法似乎不能用于面向连接的应用，因为该技术似乎不能用于面向连接的应用，因为该技术固有的困难：固有的困难：某些协议需要在各种处理器时钟中维持同步。该协议必须某些协议需要在各种处理器时钟中维持同步。该协议必须既要容错以对付网络出错，又要安全以对付重放攻击。

33、既要容错以对付网络出错，又要安全以对付重放攻击。由于某一方的时钟机制故障可能导致临时失去同步，这将由于某一方的时钟机制故障可能导致临时失去同步，这将增大攻击成功的机会。增大攻击成功的机会。由于变化的和不可预见的网络延迟的本性，不能期望分布由于变化的和不可预见的网络延迟的本性，不能期望分布式时钟保持精确的同步。因此，任何基于时间戳的过程必式时钟保持精确的同步。因此，任何基于时间戳的过程必须采用时间窗的方式来处理：一方面时间窗应足够大以包须采用时间窗的方式来处理：一方面时间窗应足够大以包容网络延迟，另一方面时间窗应足够小以最大限度地减小容网络延迟，另一方面时间窗应足够小以最大限度地减小遭受攻击的机

34、会。遭受攻击的机会。 挑战问挑战问/ /应答方法应答方法不适应非连接性的应用，因为它要不适应非连接性的应用，因为它要求在传输开始之前先有握手的额外开销，这就抵消了无求在传输开始之前先有握手的额外开销，这就抵消了无连接通信的主要特点。连接通信的主要特点。 安全的时间服务器用以实现时钟同步可能是最好的方安全的时间服务器用以实现时钟同步可能是最好的方法。法。LAM92bLAM92b1 1、A A KDC KDC：IDIDA A|ID|IDB B|N|N1 12 2、KDC KDC A A：E EK Ka aKKs s|ID|IDB B|N|N1 1|E|EK Kb bKKs s|ID|IDA A3

35、3、A A B B： E EK Kb bKKs s|ID|IDA A 4 4、B B A A： E EK Ks sNN2 2 5 5、A A B B： E EK Ks sf(Nf(N2 2)保密密钥保密密钥K Ka a和和K Kb b分别是分别是A A和和KDCKDC、B B和和KDCKDC之间共享的密钥。之间共享的密钥。本协议的目的就是要安全地分发一个会话密钥本协议的目的就是要安全地分发一个会话密钥K Ks s给给A A和和B B。A A在第在第2 2步安全地得到了一个新的会话密钥，第步安全地得到了一个新的会话密钥，第3 3步只能由步只能由B B解密、解密、并理解。第并理解。第4 4步表明步

36、表明B B已知道已知道K Ks s了。第了。第5 5步表明步表明B B相信相信A A知道知道K Ks s并且并且消息不是伪造的。消息不是伪造的。第第4 4，5 5步目的是为了防止某种类型的重放攻击。特别是，如果敌方步目的是为了防止某种类型的重放攻击。特别是，如果敌方能够在第能够在第3 3步捕获该消息，并重放之，这将在某种程度上干扰破坏步捕获该消息，并重放之，这将在某种程度上干扰破坏B B方的运行操作。方的运行操作。Needham/Schroeder Protocol 1978Needham/Schroeder Protocol 1978对称加密相互认证对称加密相互认证漏洞：假定攻击方漏洞：假定

37、攻击方C已经掌握已经掌握A和和B之间通信的一个老的会话密之间通信的一个老的会话密钥。钥。C可以在第可以在第3步冒充步冒充A利用老利用老的会话密钥欺骗的会话密钥欺骗B。除非。除非B记住记住所有以前使用的与所有以前使用的与A通信的会话通信的会话密钥，否则密钥，否则B无法判断这是一个无法判断这是一个重放攻击。如果重放攻击。如果C可以中途截获可以中途截获第第4步的握手信息，则可以冒充步的握手信息，则可以冒充A在第在第5步响应。从这一点起，步响应。从这一点起，C就就可以向可以向B发送伪造的消息而对发送伪造的消息而对B来说认为是用认证的会话密钥与来说认为是用认证的会话密钥与A进行的正常通信。进行的正常通信

38、。Denning Protocol 1982 Denning Protocol 1982 改进（加入时间戳）：改进（加入时间戳）：1 1、A A KDC KDC：IDIDA A|ID|IDB B2 2、KDC KDC A A：E EK Ka aKKs s|ID|IDB B|T|E|T|EK Kb bKKs s|ID|IDA A|T|T3 3、A A B B： E EK Kb bKKs s|ID|IDA A|T|T4 4、B B A A： E EK Ks sNN1 1 5 5、A A B B： E EK Ks sf(Nf(N1 1)| Clock - T | | Clock - T | t t1

39、 1 + + t t2 2 其中：其中： t t1 1 是是KDCKDC时钟与本地时钟（时钟与本地时钟（A A或或B B）之间差异的估计值；之间差异的估计值； t t2 2 是预期的网络延迟时间。是预期的网络延迟时间。Denning Protocol Denning Protocol 比比 Needham/Schroeder ProtocolNeedham/Schroeder Protocol在安全性方在安全性方面增强了一步。然而，又提出新的问题：即必须依靠各时钟均可面增强了一步。然而，又提出新的问题：即必须依靠各时钟均可通过网络同步。通过网络同步。如果发送者的时钟比接收者的时钟要快，攻击者就

40、可以从发送者窃听如果发送者的时钟比接收者的时钟要快，攻击者就可以从发送者窃听消息，并在以后当时间戳对接收者来说成为当前时重放给接收者。这消息，并在以后当时间戳对接收者来说成为当前时重放给接收者。这种重放将会得到意想不到的后果。（称为抑制重放攻击）。种重放将会得到意想不到的后果。（称为抑制重放攻击）。Gong92Gong92一种克服抑制重放攻击的方法是强制各方定期检查自己的时钟一种克服抑制重放攻击的方法是强制各方定期检查自己的时钟是否与是否与KDCKDC的时钟同步。的时钟同步。另一种避免同步开销的方法是采用临时数握手协议。另一种避免同步开销的方法是采用临时数握手协议。NEUM93aNEUM93a

41、1 1、A A B B： IDIDA A|N|Na a2 2、B B KDC KDC： IDIDB B|N|Nb b | E | EK Kb bIDIDA A | N| Na a | T | Tb b 3 3、KDC KDC A A： E EK Ka aIDIDB B|N|Na a |K |Ks s| T| Tb b | E | EK Kb bIDIDA A | K| Ks s | T | Tb b | N | Nb b4 4、A A B B： E EK Kb bIDIDA A | K| Ks s | T | Tb b | E | EK Ks s N Nb b 一个使用时间戳的方法是：一个使用

42、时间戳的方法是：1 1、A A AS AS：IDIDA A|ID|IDB B2 2、AS AS A A：E EKRKRasasIDIDA A|KU|KUa a|T|T |E|EKRKRasasIDIDB B|KU|KUb b|T|T 3 3、A A B B： E EKRKRasasIDIDA A|KU|KUa a|T|E|T|EKRKRasasIDIDB B |KU|KUb b|T|E|T|EKUKUb bEEKRKRa a KKs s|T|T注意：注意：ASAS向向A A发送的消息相当于发送的消息相当于“证书证书”。公钥加密方法公钥加密方法一个基于临时值握手协议：一个基于临时值握手协议：WO

43、O92aWOO92a1 1、A A KDC KDC：IDIDA A|ID|IDB B2 2、KDC KDC A A：E EKRKRauthauthIDIDB B |KU |KUb b 3 3、A A B B： E EKUKUb bNNa a |ID |IDA A 4 4、B B KDC KDC： IDIDB B|ID|IDA A | E | EKUKUauthauthNNa a 5 5、KDCKDC B B： E EKRKRauthauthIDIDA A |KU |KUa a| E| EKUKUb bEEKRKRauthauth N Na a|K|Ks s|ID|IDB B6 6、B B A

44、A： E EKUKUa aEEKRKRauthauth N Na a |K |Ks s | ID | IDB B|N|Nb b 7 7、 A A B B： E EK Ks sNNb b 一个基于临时值握手协议：一个基于临时值握手协议：WOO92bWOO92b1 1、A A KDC KDC：IDIDA A|ID|IDB B2 2、KDC KDC A A：E EKRKRauthauthIDIDB B |KU |KUb b 3 3、A A B B： E EKUKUb bNNa a |ID |IDA A 4 4、B B KDC KDC： IDIDB B|ID|IDA A | E | EKUKUauth

45、authNNa a 5 5、KDCKDC B B： E EKRKRauthauthIDIDA A |KU |KUa a| E| EKUKUb bEEKRKRauthauth N Na a|K|Ks s|ID|IDA A|ID|IDB B6 6、B B A A： E EKUKUa aEEKRKRauthauth N Na a |K |Ks s |ID|IDA A | ID | IDB B|N|Nb b 7 7、 A A B B： E EK Ks sNNb b zE-mailE-maily信封明文信封明文y消息密文消息密文y收发双方不同时在线收发双方不同时在线y要求具有认证要求具有认证4.4.4.

46、4.单向认证协议单向认证协议1 1、A A KDC KDC：IDIDA A|ID|IDB B| N| N1 12 2、KDC KDC A A：E EK Ka aKKs s | ID | IDB B | N | N1 1 | E | EK Kb b K Ks s | ID | IDA A 3 3、A A B B： E EK Kb b K Ks s | ID | IDA A | E | EK Ks sMM1 1传统加密方法传统加密方法1 1、 A A B B：E EKUKUb bKKs s | E | EK Ks sM M 保密性保密性2 2、 A A B B：M | EM | EKRKRa aH(M) H(M) 真实性真实性3 3、 A A B B：E EKUKUb b M | E M | EKRKRa aH(M)H(M)防止假冒防止假冒4 4、 A A B B： M | EM | EKRKRa aH(M) | EH(M) | EKRKRasas T | ID T | IDA A |KU|KUa a 证书证书2 2若干公钥加密方法若干公钥加密方法