信息认证技术概述41555.pptx

《信息认证技术概述41555.pptx》由会员分享，可在线阅读，更多相关《信息认证技术概述41555.pptx（55页珍藏版）》请在淘文阁 - 分享文档赚钱的网站上搜索。

1、 第第3 3章章 信息认证技术信息认证技术第三章第三章 信息认证技术信息认证技术 3.1 概述概述3.2 哈希函数哈希函数3.3 消息认证技术消息认证技术3.4 数字签名数字签名3.5 身份认证身份认证 第第3 3章章 信息认证技术信息认证技术3.1 概述概述在网络通信和电子商务中很容易发生如下问题。在网络通信和电子商务中很容易发生如下问题。1否认，发送信息的一方不承认自己发送过某一信息。否认，发送信息的一方不承认自己发送过某一信息。2伪造，接收方伪造一份文件，并声称它来自某发送方伪造，接收方伪造一份文件，并声称它来自某发送方的。的。3冒充，网络上的某个用户冒充另一个用户接收或发送冒充，网络上

2、的某个用户冒充另一个用户接收或发送信息。信息。4篡改，信息在网络传输过程中已被篡改，或接收方对篡改，信息在网络传输过程中已被篡改，或接收方对收到的信息进行篡改。收到的信息进行篡改。用数字签名（用数字签名（Digital SignatureDigital Signature）可以有效地解决这些问题。数字签名可以有效地解决这些问题。数字签名就是主要用于对数字信息进行的签名，就是主要用于对数字信息进行的签名，以防止信息被伪造或篡改等。以防止信息被伪造或篡改等。第第3 3章章 信息认证技术信息认证技术3.1 概述概述一个安全的认证系统应满足以下条件：一个安全的认证系统应满足以下条件：（1）合法的接收者

3、能够检验所接收消息的合法性和）合法的接收者能够检验所接收消息的合法性和真实性。真实性。（2）合法的发送方对所发送的消息无法进行否认。）合法的发送方对所发送的消息无法进行否认。（3）除了合法的发送方之外，任何人都无法伪造、）除了合法的发送方之外，任何人都无法伪造、篡改消息。篡改消息。第第3 3章章 信息认证技术信息认证技术3.2 哈希函数哈希函数 哈希函数，哈希函数，单向散列函数单向散列函数基本思想基本思想输入任意长度的消息输入任意长度的消息M，产生固定长度的数据，产生固定长度的数据输出。输出。向向hash函数输入一任意长度的信息函数输入一任意长度的信息M时，时，hash函数函数将输出一固定长度

4、为将输出一固定长度为m的散列值的散列值h。即：。即：h =H(M)第第3 3章章 信息认证技术信息认证技术性质：性质：固定长度输出散列值固定长度输出散列值h。给定给定M，很容易计算，很容易计算h。给定给定h，根据，根据H(M)h计算计算M很难。很难。给定给定M，找到另一消息，找到另一消息M，满足，满足H(M)H(M)，在计，在计算上是不可行的算上是不可行的-弱抗碰撞性。弱抗碰撞性。对于任意两个不同的消息对于任意两个不同的消息 M M，它们的散列值不，它们的散列值不可能相同可能相同-强抗碰撞性。强抗碰撞性。注：碰撞性是指对于两个不同的消息注：碰撞性是指对于两个不同的消息M和和M，如果它们的，如果

5、它们的摘要值相同，则发生了碰撞。摘要值相同，则发生了碰撞。3.2 哈希函数哈希函数 第第3 3章章 信息认证技术信息认证技术安全散列函数的一般结构 与分组对称密码的CBC模式非常相似。函数的输入M被分为b位的L个分组Y0,Y1,.YL-1，以及n位链接变量初值V0，通常bn。反复调用压缩函数f：Vi=f(Yi-1,Vi-1)，i=1,2,.L。f输出Vi仍然是n位。M的散列值H(M,V0)=VL 算法的核心是压缩函数f 在对M的分组中，最后一组YL-1不足b位时填充0或者1将其补足。通常还将M的长度填充到最后一个分组中。fY0V0fY1V1fYL-1VL-1VL安全散列函数的一般结构 第第3

6、3章章 信息认证技术信息认证技术常用的哈希函数常用的哈希函数MD5SHA-1RIPEMD-160等等等等 第第3 3章章 信息认证技术信息认证技术MD5算法算法麻麻省省理理工工学学院院Ron Rivest提提出出，可可将将任任意意长长度度的的消消息息经经过过变变换换得得到到一一个个128位的散列值。位的散列值。MD5算法：算法：MD5以以512位位分分组组来来处处理理输输入入的的信信息息，每每一一分分组组又又被被划划分分为为16个个32位位子子分分组组，经经过过了了一一系系列列的的处处理理后后，算算法法的的输输出出由由四四个个32位位分分组组组组成，将这四个成，将这四个32位分组级联后生成位分

7、组级联后生成128位散列值。位散列值。MD5产生消息摘要的过程 第第3 3章章 信息认证技术信息认证技术MD5算法实现逻辑由4个步骤组成：S1：消息分组与填充。（1）将输入信息M按顺序每512位一组进行分组：M=M1，M2，Mn-1，Mn（2）将信息M的Mn长度填充为448位。当Mn长度L（bit为单位）448时，在信息Mn后加一个“1”，然后再填充512-L+447个“0”，使最后的信息Mn长度为512位，Mn+1长度为448位 最后一个分组的后64位为M的位长度（低字节优先）。S2：缓冲区初始化。MD5算法使用128位缓冲区存放处理过程的中间结果和最后的消息摘要值。这128位缓冲分为4个3

8、2位逻辑寄存器A、B、C、D。每个寄存器以Little-Endian存放数据，其初始值为：A=0 x1234567，B=0 x89abcdef，C=0 xfedcba98，D=0 x7543210 这四个32位变量被称为链接变量，它们始终参与运算并形成最终的散列值。第第3 3章章 信息认证技术信息认证技术S3：对每个分组Mi进行压缩处理HMD5。HMD5是算法核心。HMD5内部有4轮处理过程。每轮处理结构一样，但使用的位逻辑函数不同，分别表示为F、G、H、I。每轮处理的输入是当前正在处理的512位分组、128位缓冲区(A、B、C、D)的当前值和常量表T中四分之一的常数，即分别为T1.16、T1

9、732、T3348、T49.64。第4轮处理的输出再与第1轮的输入CVq按照4个32位字进行模232相加，结果即为压缩函数HMD5对当前512位分组的输出。常量表T=T1,64中各元素：Ti=int(232abs(sin(i)，为32位整型数。T作为予置的常数表，其作用是随机化32位整型量，消除输入数据的规律性。压缩函数HMD5每轮处理细节由对128位缓冲区(A、B、C、D)的16步迭代构成，每一步运算如下：aB+CLS(s,A+g(B,C,D)+Xk+Ti)其中，+为模232加法，CLS(s,w)是对32位字w循环左移s位。位逻辑函数g分别取F、G、H、I之一，Xk=Mq16+k，即消息的第

10、q个分组中第k个32位字(k=1,2,.16)。512位分组的压缩处理HMD5 HMD5中每步的逻辑运算 第第3 3章章 信息认证技术信息认证技术位逻辑运算函数F、G、H、I定义如下：F(x,y,z)=(x&y)|(x)&z)G(x,y,z)=(x&z)|(y&(z)H(x,y,z)=xyzI(x,y,z)=z(y&(z)上图中j(i)表示各轮处理中使用16个32位字的不同次序（j=2,3,4）。其中第1轮按照初始次序；第2、3、4轮按照下式对(1,2,.16)进行置换：2(i)=（1+5*i）mod 163(i)=（5+3*i）mod 164(i)=(7*i)mod 16S4：将消息M的L个

11、分组处理完毕，最后一个分组处理的输出即为消息M的摘要。因此，第3、4步可以总结为：CV0=V1CVq+1=CVq+RFI(Yq,RFH(Yq,RFG(Yq,RFF(Yq,CVq)q=1,2,.(L-1)MD=CVL其中RFX()为与位逻辑函数X结合的轮处理过程(X=F、G、H、I)，+为对应32位字模232加法。V1取缓冲区(A、B、C、D)的初值。第第3 3章章 信息认证技术信息认证技术 MD5算法的核心处理HMD5中重复进行位逻辑运算F、G、H、I，使得最终输出的摘要中每一位与输入消息中所有位相关，因此达到很好的混淆效果。MD5在数据处理中广泛使用。例如：用户口令可以用MD5码值秘密存储。

12、当用户输入口令时先转换为对应MD5码值，在和系统保存的密码MD5值进行比较(Linux)。这样系统在未知用户口令的情况下即可实现对口令的验证，同时用户口令对于系统管理员也是未知的。第第3 3章章 信息认证技术信息认证技术SHA(Secure Hash Algorithm)是美国国家标准与技术研究所（NIST）提出，于1993年作为联邦信息处理标准（FIPS 180）发布的，1995年又发布了其修订版（FIPS 180-1），通常称为SHA-1。与 MD5 相比，SHA-1 生成 160 位的消息摘要，执行速度有所降低，却被认为更安全。明文消息的最大长度可达到264位。3.2.3 SHA-1算法

13、算法 第第3 3章章 信息认证技术信息认证技术与MD5算法类似，SHA-1算法也需要对消息进行填充补位。补位是这样进行的：先添加一个1，然后再添加多个0，使得消息长度满足对512取模后余数是448。SHA-1的中间结果和最终结果保存在160位的缓冲区中，缓冲区用5个32位的变量表示，这些变量初始化为：A=0 x67452301B=0 xefcdab89C=0 x98badcfeD=0 x10325476E=0 xc3d2e1f03.2.3 SHA-1算法算法 第第3 3章章 信息认证技术信息认证技术SHA-1的主循环的主循环 3.2.3 SHA-1算法算法 第第3 3章章 信息认证技术信息认证

14、技术SHA-1的非线性函数的非线性函数 3.2.3 SHA-1算法算法 第第3 3章章 信息认证技术信息认证技术对512位的消息进行处理，将其从16个32位的消息分组变成80个32位的消息分组。用到的80对常数：3.2.3 SHA-1算法算法 第第3 3章章 信息认证技术信息认证技术SHA-1的基本操作过程的基本操作过程 3.2.3 SHA-1算法算法 第第3 3章章 信息认证技术信息认证技术1981年，NIST发布FIPS 180-2，新增了三个哈希函数，分别为SHA-256，SHA-384，SHA-512，其散列值的长度分别为256,384,512。同时，NIST指出FIPS 180-2的

15、目的是要与使用AES而增加的安全性相适应。SHA-1SHA-256SHA-384SHA-512散列散列值长值长度度160160256256384384512512消息大小消息大小2264642264642212812822128128分分组组大小大小5125125125121024102410241024字字长长3232323264646464步数步数80808080808080803.2.3 SHA-1算法算法 第第3 3章章 信息认证技术信息认证技术3.3 消息认证技术消息认证技术 网络传输过程中信息保密性的要求：网络传输过程中信息保密性的要求：(1)(1)对敏感的数据进行加密，即使别人截

16、获文件也无法得到对敏感的数据进行加密，即使别人截获文件也无法得到真实内容。真实内容。(2)(2)保证数据的完整性，防止截获人对数据进行篡改。保证数据的完整性，防止截获人对数据进行篡改。(3)(3)对数据和信息的来源进行验证，以确保发信人的身份。对数据和信息的来源进行验证，以确保发信人的身份。消息认证是指使合法的接收方能够检验消息是否真实的方法。消息认证是指使合法的接收方能够检验消息是否真实的方法。检验内容包括验证通信的双方和验证消息内容是否伪造或遭检验内容包括验证通信的双方和验证消息内容是否伪造或遭篡改。篡改。第第3 3章章 信息认证技术信息认证技术常见的认证函数：常见的认证函数：(1)消息加

17、密消息加密：将整个消息的密文作为认证码。(2)哈希函数哈希函数：通过哈希函数使消息产生定长的散列值作为认证码。(3)消息认证码（消息认证码（MAC）：将消息与密钥一起产生定长值作为认证码。3.3 消息认证技术消息认证技术 第第3 3章章 信息认证技术信息认证技术基于对称密钥加密的消息认证过程基于对称密钥加密的消息认证过程3.3 消息认证技术消息认证技术(1)消息加密认证消息加密认证 第第3 3章章 信息认证技术信息认证技术添加校验码的消息认证过程添加校验码的消息认证过程3.3 消息认证技术消息认证技术(1)消息加密认证消息加密认证 第第3 3章章 信息认证技术信息认证技术基于公钥加密的消息认证

18、过程基于公钥加密的消息认证过程(1)消息加密认证消息加密认证3.3 消息认证技术消息认证技术 第第3 3章章 信息认证技术信息认证技术使用哈希函数的消息认证过程使用哈希函数的消息认证过程 3.3 消息认证技术消息认证技术(2)哈希函数认证哈希函数认证 第第3 3章章 信息认证技术信息认证技术保证机密性的哈希函数消息认证过程保证机密性的哈希函数消息认证过程(2)哈希函数认证哈希函数认证3.3 消息认证技术消息认证技术 第第3 3章章 信息认证技术信息认证技术混合加密认证混合加密认证(2)哈希函数认证哈希函数认证3.3 消息认证技术消息认证技术 第第3 3章章 信息认证技术信息认证技术MAC函数与

19、加密函数相似之处在于使用了密钥，但差别在于加密函数是可逆的，而MAC函数可以是单向的，它无需可逆，因此比加密更不容易破解。哈希函数同样也可以用来产生消息认证码。假设是通信双方和共同拥有的密钥，A要发送消息M给B，在不需要进行加密的条件下，A只需将M和K合起来一起通过哈希函数计算出其散列值，即H(M|K)，该散列值就是M的消息认证码。3.3 消息认证技术消息认证技术(3)消息认证码（消息认证码（MAC）的认证）的认证 第第3 3章章 信息认证技术信息认证技术基于消息认证码的认证过程基于消息认证码的认证过程:MAC=C(M,K)=H(M|k)或者或者 DES密码链接模式值密码链接模式值 (3)消息

20、认证码（消息认证码（MAC）的认证）的认证3.3 消息认证技术消息认证技术 第第3 3章章 信息认证技术信息认证技术3.4 数字签名数字签名用户用户A与与B相互之间要进行通信，双方拥有共享的会话密钥相互之间要进行通信，双方拥有共享的会话密钥K，在通信过程中，在通信过程中可能会遇到如下问题：可能会遇到如下问题：1）A伪造一条消息，并称该消息来自伪造一条消息，并称该消息来自B。A只需要产生一条伪造的息，用只需要产生一条伪造的息，用A和和B的共享密钥通过哈希函数产生认证码，并将认证码附于消息之后。由于的共享密钥通过哈希函数产生认证码，并将认证码附于消息之后。由于哈希函数的单向性和密钥哈希函数的单向性

21、和密钥K是共享的，因此无法证明该消息是是共享的，因此无法证明该消息是A伪造的。伪造的。2）B可以否认曾经发送过某条消息。因为任何人都有办法伪造消息，所以无可以否认曾经发送过某条消息。因为任何人都有办法伪造消息，所以无法证明法证明B是否发送过该消息。是否发送过该消息。哈希函数可以进行报文鉴别，但无法阻止通信用户的欺骗和抵赖行为。哈希函数可以进行报文鉴别，但无法阻止通信用户的欺骗和抵赖行为。当通信双方不能互相信任，需要用除了报文鉴别技术以外的其他方法来防止当通信双方不能互相信任，需要用除了报文鉴别技术以外的其他方法来防止类似的抵赖和欺骗行为。类似的抵赖和欺骗行为。第第3 3章章 信息认证技术信息认

22、证技术3.4 数字签名数字签名数字签名也称电子签名。“以电子形式所附或逻辑上与其他电子数据相关的数据，做为一种判别的方法。”联合国贸法会电子签名示范法定义为：“在数据电文中以电子形式所含、所附或在逻辑上与数据电文有联系的数据，它可用于鉴别与数据电文相关的签名人和表明签名人认可数据电文所含信息。”数字签名应该能够在数据通信过程中识别通信双方的真实身份，保证通信的真实性以及不可抵赖性，起到与手写签名或者盖章同等作用。第第3 3章章 信息认证技术信息认证技术签名应该具有的特征：签名应该具有的特征：（1）可信。）可信。因为因为B是用是用A的公钥解开加密文件的，这说明原文件只能被的公钥解开加密文件的，这

23、说明原文件只能被A的私钥加密而只的私钥加密而只有有A才知道自己的私钥。才知道自己的私钥。（2）无法被伪造。）无法被伪造。只有只有A知道自己的私钥。因此只有知道自己的私钥。因此只有A能用自己的私钥加密一个文件。能用自己的私钥加密一个文件。（3）无法重复使用。）无法重复使用。签名在这里就是一个加密过程，自己无法重复使用。签名在这里就是一个加密过程，自己无法重复使用。（4）文件被签名以后是无法被篡改的。）文件被签名以后是无法被篡改的。因为加密后的文件被改动后是无法被因为加密后的文件被改动后是无法被A的公钥解开的。的公钥解开的。（5）签名具有不可否认性。）签名具有不可否认性。因为除因为除A以外无人能用

24、以外无人能用A的私钥加密一个文件。的私钥加密一个文件。3.4 数字签名数字签名 第第3 3章章 信息认证技术信息认证技术1.直接数字签名直接数字签名 3.4.2 数字签名的实现数字签名的实现 第第3 3章章 信息认证技术信息认证技术用户A与B要进行通信，每个从A发往B的签名报文首先都先发送给仲裁者C，C检验该报文及其签名的出处和内容，然后对报文注明日期，同时指明该报文已通过仲裁者的检验。仲裁者的引入解决了直接签名方案中所面临的问题，及发送方的否认行为。2.仲裁数字签名仲裁数字签名 3.4.2 数字签名的实现数字签名的实现 第第3 3章章 信息认证技术信息认证技术方案1(基于对称加密算法,消息M

25、不加密)1 AC:M|EKA(IDA|H(M)2CB:EKB(IDA|M|EKA(IDA|H(M)|T)方案2(基于对称加密算法，消息M加密)1 AC:IDA|EKS(M)|EKA(IDA|H(EKS(M)2 CB:EKB(IDA|EKS(M)|EKA(IDA|H(EKS(M)|T)方案3(基于公钥加密算法，消息M加密)1 AC:IDA|EKAS(IDA|EKBP(EKAS(M)2CB:EKCS(IDA|EKBP(EKAS(M)|T)3.4.2 数字签名的实现数字签名的实现2.仲裁数字签名仲裁数字签名 第第3 3章章 信息认证技术信息认证技术 数字签名标准（Digital Signature

26、Standard，DSS)是美国国家标准技术局（NIST）在1991年提出作为美国联邦信息处理标准（FIPS）。它采用了美国国家安全局(NSA)主持开发的数字签名算法(Digital Signature Algorithm,DSA)，DSS使用安全散列算法（SHA），给出一种新的数字签名方法。DSS在出后，分别于1993年和1996年做了修改。2000年发布该标准的扩充版，即FIPS 186-2,其中包括基于RSA和椭圆曲线密码的数字签名算法。3.4.3 数字签名标准数字签名标准 第第3 3章章 信息认证技术信息认证技术RSA数字签名方法数字签名方法3.4.3 数字签名标准数字签名标准 第第3

27、 3章章 信息认证技术信息认证技术DSS数字签名方法数字签名方法3.4.3 数字签名标准数字签名标准 第第3 3章章 信息认证技术信息认证技术DSS签名函数签名函数 3.4.3 数字签名标准数字签名标准 第第3 3章章 信息认证技术信息认证技术图图3.17 DSS验证函数验证函数 第第3 3章章 信息认证技术信息认证技术3.5 身份认证身份认证 身份认证目的-对通信中一方的身份进行标识和验证。方法验证用户所拥有的可被识别的特征。身份认证系统构成：被验证身份者(示证者)；验证者攻击者可信任的机构作为仲裁或调解机构。第第3 3章章 信息认证技术信息认证技术3.5 身份认证身份认证在网络通信中，身份

28、认证就是用某种方法证明用在网络通信中，身份认证就是用某种方法证明用户身份是合法的。户身份是合法的。口令技术是目前常用的身份认证技术。口令技术是目前常用的身份认证技术。问题：口令泄露。问题：口令泄露。口令泄露途径口令泄露途径登录时被他人窥视；登录时被他人窥视；攻击者从计算机中存放口令的文件中读到；攻击者从计算机中存放口令的文件中读到；口令被在线攻击猜测出；口令被在线攻击猜测出；被离线攻击搜索到。被离线攻击搜索到。第第3 3章章 信息认证技术信息认证技术3.5 身份认证身份认证用密码学方法的身份认证协议比传统的口令认证更安全。用密码学方法的身份认证协议比传统的口令认证更安全。身份认证协议构成：身份

29、认证协议构成：两个通信方，可能还会有一个双方都信任的第三方参与进行。其中一个通两个通信方，可能还会有一个双方都信任的第三方参与进行。其中一个通信方按照协议的规定向另一方或者第三方发出认证请求，对方按照协议的信方按照协议的规定向另一方或者第三方发出认证请求，对方按照协议的规定作出响应，当协议顺利执行完毕时双方应该确信对方的身份。规定作出响应，当协议顺利执行完毕时双方应该确信对方的身份。从使用加密的方法分类：从使用加密的方法分类：基于对称密钥的身份认证基于对称密钥的身份认证基于公钥加密的身份认证。基于公钥加密的身份认证。从认证的方向性分类：从认证的方向性分类：相互认证相互认证单向认证单向认证 第第

30、3 3章章 信息认证技术信息认证技术3.5 身份认证身份认证重放攻击：重放攻击：简单重放：攻击者简单地复制消息并在此之后重放这条消息。简单重放：攻击者简单地复制消息并在此之后重放这条消息。可检测的重放：攻击者在有效的时限内重放有时间戳的消息。可检测的重放：攻击者在有效的时限内重放有时间戳的消息。不可检测的重放：由于原始消息可能被禁止而不能到达接收不可检测的重放：由于原始消息可能被禁止而不能到达接收方，只有通过重放消息才能发送给接收方，此时可能出现这方，只有通过重放消息才能发送给接收方，此时可能出现这种攻击。种攻击。不加修改的逆向重放：如果使用对称密码，并且发送方不能不加修改的逆向重放：如果使用

31、对称密码，并且发送方不能根据内容来区分发出的消息和接收的消息，那么可能出现这根据内容来区分发出的消息和接收的消息，那么可能出现这种攻击。种攻击。第第3 3章章 信息认证技术信息认证技术3.5 身份认证身份认证对重放攻击预防：对重放攻击预防：序列号序列号为每个需要认证的消息添加一个序列号，新的消息到达后先对序列号为每个需要认证的消息添加一个序列号，新的消息到达后先对序列号进行检查，只有满足正确次序的序列号的消息才能被接收。进行检查，只有满足正确次序的序列号的消息才能被接收。时间戳时间戳为传送的报文添加时间戳，当接收到新的消息时，首先对时间戳进行为传送的报文添加时间戳，当接收到新的消息时，首先对时

32、间戳进行检查，只有在消息的时间戳与本地时钟足够接近时，才认为该消息是检查，只有在消息的时间戳与本地时钟足够接近时，才认为该消息是一个新的消息。一个新的消息。随机数随机数/响应响应在接收消息前首先要发送一个临时的交互号（随机数），并要求所发在接收消息前首先要发送一个临时的交互号（随机数），并要求所发送的消息要包含该临时交互号。送的消息要包含该临时交互号。第第3 3章章 信息认证技术信息认证技术3.5 身份认证身份认证基于口令的身份认证(单向)1）AS：IDA|PWA Server保存（IDA，H(PWA)2)AS：IDA|salt|PWA /salt:随机数3)Server保存（IDA，salt

33、,H(PWA,salt)3）哈希链方法：倒序递减保存口令的Hash值，防止对相同口令的窃听 第第3 3章章 信息认证技术信息认证技术3.5 身份认证身份认证基于对称密钥的双向身份认证基于对称密钥的双向身份认证（1）Needham-Schroeder协议Needham-Schroeder协议利用KDC进行密钥分配，同时具备了身份认证的功能。假设通信双方A、B和KDC分别共享密钥Ka和Kb。1AKDC:IDA|IDB|N12KDCA:EKa(Ks|IDB|N1|EKb(Ks|IDA)3AB:EKb(Ks|IDA)/有可能被重放4BA:EKs(N2)5AB:EKs(f(N2)第第3 3章章 信息认证

34、技术信息认证技术3.5 身份认证基于对称密钥的双向身份认证基于对称密钥的双向身份认证（2）Denning协议Denning协议对Needham-Schroeder协议进行了修改，引入了时间戳机制 1 AKDC:IDa|IDb 2 KDC A:EKa（Ks|IDb|T|EKb（Ks|IDa|T）3 A B:EKb（Ks|IDa|T）4 B A:EKs(N1)5 A B:EKs(f(N1)第第3 3章章 信息认证技术信息认证技术3.5 身份认证身份认证基于对称密钥的双向身份认证基于对称密钥的双向身份认证（3）Neuman-Stubblebine协议Neuman-Stubblebine协议的提出是为

35、了试图解决抑制-重放攻击，同时解决Needham-Schroeder协议中出现的问题：1AB:IDA|N12BKDC:IDB|N2|EKb(IDA|N1|T)3KDCA:EKa(IDB|N1|KS|T)|EKb(IDA|KS|T)|N24AB:EKb(IDA|KS|T)|EKs(N2)第第3 3章章 信息认证技术信息认证技术3.5 身份认证身份认证2.基于对称密钥的单向身份认证基于对称密钥的单向身份认证基于对称密钥的单向认证一般也采用以KDC为基础的方法。但是在电子邮件的应用中，无法要求发送方和接收方同时在线，因此在协议过程中不存在双方的交互。具体过程如下：1 AKDC:IDA|IDB|N12

36、 KDCA:EKa(KS|IDB|N1|EKb(KS|IDA)3 AB:EKb(IDA|KS)|EKs(M)第第3 3章章 信息认证技术信息认证技术3.5 身份认证身份认证基于公钥的双向身份认证基于公钥的双向身份认证（1）Denning-Sacco协议是一种使用时间戳机制的公钥分配和认证方法。假设通信双方分别为A和B，AS为认证服务器。1 AAS:IDA|IDB2 ASA:EKsas(IDA|Kpa|T)|EKsas(IDB|Kpb|T)3 AB:EKsas(IDA|Kpa|T)|EKsas(IDB|Kpb|T)|EKpb(EKsa(KS|T)AS对A的证书签名AS对B的证书签名A对本次回话密

37、钥签名 第第3 3章章 信息认证技术信息认证技术3.5 身份认证身份认证基于公钥的双向身份认证基于公钥的双向身份认证（2）Woo-Lam协议Woo-Lam协议使用随机数作为临时交互值来代替时间戳。1 AKDC:IDA|IDB2 KDCA:EKsk(IDB|KPb)3 AB:EKPb(N1|IDA)4 BKDC:IDB|IDA|EKPk(N1)5 KDCB:EKsk(IDA|KPa)|EKPb(EKsk(N1|KS|IDB)6 BA:EKPa(EKsk(N1|KS|IDB)|N2)7 AB:EKs(N2)第第3 3章章 信息认证技术信息认证技术3.5 身份认证身份认证基于公钥的双向身份认证基于公

38、钥的双向身份认证 改进1 AKDC:IDA|IDB2 KDCA:EKRk(IDB|KUb)3 AB:EKub(N1|IDA)4 BKDC:IDB|IDA|EKUk(N1)5 KDCB:EKRk(IDA|KUa)|EKUb(EKRk(N1|KS|IDA|IDB)6 BA:EKUa(EKRk(N1|KS|IDA|IDB)|N2)7 AB:EKs(N2)第第3 3章章 信息认证技术信息认证技术3.5 身份认证身份认证2.基于公钥的单向身份认证基于公钥的单向身份认证使用公钥进行验证的步骤相对简洁，主要有如下几种使用方法：（1）AB:EKPb(KS)|EKs(M)（2）AB:EKsa(H(M)|M（3）AB:EKPb(KS)|EKs(M|EKsa(H(M)（4）AB:EKPb(KS)|EKs(M|EKsa(H(M)|EKsca(T|IDA|KUa)CA的私钥 第第3 3章章 信息认证技术信息认证技术 序列密码实现参照P298界面实现对文本文件的序列密码加密序列密码发生器选择：1）RC42)混沌序列发生器:实验一实验一