第9章_数字签名与身份认证.ppt

《第9章_数字签名与身份认证.ppt》由会员分享，可在线阅读，更多相关《第9章_数字签名与身份认证.ppt（88页珍藏版）》请在淘文阁 - 分享文档赚钱的网站上搜索。

1、第第9章章 数字签名与身份认证数字签名与身份认证 信息工程学院信息工程学院 景旭景旭 13759965972 137599659721本章主要内容本章主要内容(1)数字签名的产生、特点及应用需求数字签名的产生、特点及应用需求;(2)数字签名方案数字签名方案;(3)基于对称密钥加密的鉴别方案基于对称密钥加密的鉴别方案;(6)基于公开密钥的鉴别方案基于公开密钥的鉴别方案;(7)数字签名标准数字签名标准;(8)Kerberos认证服务。认证服务。2数字签名与身份认证数字签名与身份认证(1)(1)数字签名数字签名(2)(2)鉴别协议鉴别协议(3)(3)数字签名标准数字签名标准(4)(4)身份认证技术身

2、份认证技术(5)(5)认证服务认证服务(6)X.5096)X.509认证服务认证服务(7)(7)小结与作业小结与作业3网络通信的安全威胁网络通信的安全威胁(1)(1)泄漏泄漏:消息的内容被泄漏没有合法权限的人或过程。消息的内容被泄漏没有合法权限的人或过程。(2)(2)伪造伪造:以假冒源点的身份向网络中插入报文以假冒源点的身份向网络中插入报文;(3)(3)消息篡改消息篡改:内容篡改、序号篡改、时间篡改内容篡改、序号篡改、时间篡改(4)(4)行为抵赖行为抵赖接收端否认收到某报文；接收端否认收到某报文；源点否认发过某报文。源点否认发过某报文。(5)(5)流量分析：发现通信双方的通信方式。在一个流量分

3、析：发现通信双方的通信方式。在一个面向面向面向面向连接连接连接连接的应用中，可以用来确定连接的频率和持续时间的应用中，可以用来确定连接的频率和持续时间长度。在一个长度。在一个面向连接或无连接面向连接或无连接面向连接或无连接面向连接或无连接的应用中，可以用来的应用中，可以用来确定报文数量和长度。确定报文数量和长度。加强消息和报文的保密性加强消息和报文的保密性,通过加密手段通过加密手段防范的一般方法是消息鉴别技术，数字防范的一般方法是消息鉴别技术，数字签名也有防信息伪造和篡改的能力，是签名也有防信息伪造和篡改的能力，是包括防止信源或信宿抵赖的鉴别技术包括防止信源或信宿抵赖的鉴别技术数字签名数字签名

4、加密方式可以保证信息的保密性；鉴别技术保护通信加密方式可以保证信息的保密性；鉴别技术保护通信双方，使其免受来自第三方的攻击；数字签名防止通双方，使其免受来自第三方的攻击；数字签名防止通信双方的相互欺骗信双方的相互欺骗4不可否认性的应用需求不可否认性的应用需求网络通信中网络通信中,希望有效防止希望有效防止通信双方通信双方的欺骗和抵赖行的欺骗和抵赖行为。例如股票委托交易系统、为。例如股票委托交易系统、电子商务电子商务、电子政务等、电子政务等 简单的报文鉴别技术只能使通信免受来自简单的报文鉴别技术只能使通信免受来自第三方的攻第三方的攻击击,无法防止通信双方之间的互相攻击。无法防止通信双方之间的互相攻

5、击。Y Y 伪造一个不同的消息伪造一个不同的消息,但声称是从但声称是从 X X 收到的收到的;X X可以否认发过该消息，可以否认发过该消息，Y Y 无法证明无法证明 X X 确实发了确实发了该消息该消息;原因原因:鉴别技术基于秘密共享。鉴别技术基于秘密共享。数字签名技术为此提供了一种解决方案。数字签名技术为此提供了一种解决方案。5数字签名的定义数字签名的定义数字签名（数字签名（Digital SignatureDigital Signature）是公开密钥体系加是公开密钥体系加密技术发展的一个重要的成果。密技术发展的一个重要的成果。数字签名数字签名就是附加在数据单元上的一些数据就是附加在数据单

6、元上的一些数据,或是对或是对数据单元所作的密码变换。这种数据或变换允许数据单元所作的密码变换。这种数据或变换允许数据单元的数据单元的接收者接收者用以确认数据单元的用以确认数据单元的来源来源和数和数据单元的据单元的完整性完整性并保护数据并保护数据,防止被人防止被人(例如接收者例如接收者)进行进行伪造伪造。数字签名是对现实生活中笔迹签名的模拟。数字签名是对现实生活中笔迹签名的模拟。6数字签名分类数字签名分类基于公钥密码体制和私钥密码体制都可以获得数字签名基于公钥密码体制和私钥密码体制都可以获得数字签名,目前主要是基于公钥密码体制的数字签名。包括普通目前主要是基于公钥密码体制的数字签名。包括普通数字

7、签名和特殊数字签名。数字签名和特殊数字签名。普通数字签名普通数字签名算法有算法有RSARSA、ElGamalElGamal、Fiat-Fiat-ShamirShamir、GuillouGuillou-QuisquarterQuisquarter、SchnorrSchnorr、Ong-Schnorr-Ong-Schnorr-ShamirShamir数字签名算法、数字签名算法、Des/DSA,Des/DSA,椭圆曲线数字签名算椭圆曲线数字签名算法和有限自动机数字签名算法等。法和有限自动机数字签名算法等。特殊数字签名特殊数字签名有盲签名、代理签名、群签名、不可否认有盲签名、代理签名、群签名、不可否认

8、签名、公平盲签名、门限签名、具有消息恢复功能的签名、公平盲签名、门限签名、具有消息恢复功能的签名等签名等,它与具体应用环境密切相关。它与具体应用环境密切相关。7数字签名的应具有基本特性数字签名的应具有基本特性(1)(1)必须能够用来证实签名的作者和签名的时间。必须能够用来证实签名的作者和签名的时间。(2)(2)签名必须使用发方某些独有的信息签名必须使用发方某些独有的信息，必须能够对，必须能够对消息的内容进行鉴别。消息的内容进行鉴别。(3)(3)签名应具有法律效力，必须能被第三方证实用以签名应具有法律效力，必须能被第三方证实用以解决争端。解决争端。(4)(4)必须包含对签名进行鉴别的功能。必须包

9、含对签名进行鉴别的功能。(5)(5)签名必须与消息相关的二进制位串。签名必须与消息相关的二进制位串。(6)(6)保存数字签名的拷贝是可行的。保存数字签名的拷贝是可行的。数字签名功能包含了认证的功能。数字签名功能包含了认证的功能。数字签名功能包含了认证的功能。数字签名功能包含了认证的功能。8数字签名的设计目标数字签名的设计目标 签名的比特模式是依赖于消息报文的，也就是说，签名的比特模式是依赖于消息报文的，也就是说，数据签名是以消息报文作为输入计算出来的，签名数据签名是以消息报文作为输入计算出来的，签名能够对消息的内容进行鉴别；能够对消息的内容进行鉴别；数据签名对发送者来说必须是惟一的，能够防止伪

10、数据签名对发送者来说必须是惟一的，能够防止伪造和抵赖；造和抵赖；产生数字签名的算法必须相对简单易于实现，且能产生数字签名的算法必须相对简单易于实现，且能够在存储介质上保存备份；够在存储介质上保存备份；对数字签名的识别、证实和鉴别也必须相对简单，对数字签名的识别、证实和鉴别也必须相对简单，易于实现；易于实现；伪造数字签名在伪造数字签名在计算上是不可行计算上是不可行的，无论攻击者采的，无论攻击者采用何种方法（利用数字签名伪造报文，或者对报文用何种方法（利用数字签名伪造报文，或者对报文伪造数字签名）。伪造数字签名）。9数字签名的解决方案数字签名的解决方案 可分为两类：可分为两类：直接数字签名方案；直

11、接数字签名方案；基于仲裁的数字签名方案。基于仲裁的数字签名方案。10发方私钥直接加密的直接数字签名方案发方私钥直接加密的直接数字签名方案(1)A(1)AB:B:EKRaMEKRaM 提供了认证与签名：提供了认证与签名：只有只有A A具有具有KRaKRa进行加密进行加密;传输中无法被篡改；传输中无法被篡改；任何第三方可以用任何第三方可以用KUaKUa 验证签名验证签名(2)A(2)AB:B:EKUbEKUb EKRa(MEKRa(M)提供了保密提供了保密(KUbKUb)、认证与签名认证与签名(KRaKRa)。11(1)A(1)AB:B:M|EKRaH(MM|EKRaH(M)提供认证及数字签名提供

12、认证及数字签名 H(M)H(M)受到密码算法的保护；受到密码算法的保护；只有只有 A A 能够生成能够生成 EKRaH(MEKRaH(M)(2)A(2)AB:B:EKM|EKRaH(MEKM|EKRaH(M)提供保密性、认证和数字签名。提供保密性、认证和数字签名。发方私钥报文散列加密的直接数字签名方案发方私钥报文散列加密的直接数字签名方案更好的直接更好的直接数字签名方数字签名方案案12直接数字签名方案分析直接数字签名方案分析实现比较简单，在技术上仅涉及到通信的源点实现比较简单，在技术上仅涉及到通信的源点X X和和终点终点Y Y双方。双方。终点终点Y Y需要了解源点需要了解源点X X的公开密钥的

13、公开密钥K Kuxux。发送方发送方A A可以使用其私有密钥可以使用其私有密钥K KRxRx对整个消息报文进对整个消息报文进行加密来生成数字签名。行加密来生成数字签名。更好的方法是使用更好的方法是使用K KRxRx对消息报文的散列码进行加对消息报文的散列码进行加密来形成数字签名。密来形成数字签名。13直接数字签名的安全性直接数字签名的安全性验证模式依赖于发送方的保密密钥；验证模式依赖于发送方的保密密钥；发送方要抵赖发送某一消息时，可能会声称其私发送方要抵赖发送某一消息时，可能会声称其私有密钥丢失或被窃，从而他人伪造了他的签名。有密钥丢失或被窃，从而他人伪造了他的签名。通常需要采用与私有密钥安全

14、性相关的行政管理通常需要采用与私有密钥安全性相关的行政管理控制手段来制止或至少是削弱这种情况，但威胁控制手段来制止或至少是削弱这种情况，但威胁在某种程度上依然存在。在某种程度上依然存在。改进的方式改进的方式例如可以要求被签名的信息包含一个例如可以要求被签名的信息包含一个时间戳（日期与时间），并要求将已暴露的密钥时间戳（日期与时间），并要求将已暴露的密钥报告给一个授权中心。报告给一个授权中心。X X的某些私有密钥确实在时间的某些私有密钥确实在时间T T被窃取，敌方可以伪造被窃取，敌方可以伪造X X的签名及早于或等于时间的签名及早于或等于时间T T的时间戳。的时间戳。14基于仲裁的数字签名基于仲裁

15、的数字签名通过引入仲裁来解决直接签名方案中发送者否认带通过引入仲裁来解决直接签名方案中发送者否认带来的问题。来的问题。仲裁者必须是一个所有通信方都能充分信任的仲裁仲裁者必须是一个所有通信方都能充分信任的仲裁机构。机构。仲裁者在这一类签名模式中扮演敏感和关键仲裁者在这一类签名模式中扮演敏感和关键的角色。的角色。基本工作方式基本工作方式（假定用户（假定用户X X和和Y Y之间进行通信）：之间进行通信）：每个从每个从X X发往发往Y Y的签名报文首先被送给仲裁者的签名报文首先被送给仲裁者A A；A A检验该报文及其签名的出处和内容，然后对报检验该报文及其签名的出处和内容，然后对报文注明日期，并附加上

16、一个文注明日期，并附加上一个“仲裁证实仲裁证实”的标记的标记发给发给Y Y。15基于仲裁的数字签名基于仲裁的数字签名-对称加密对称加密,仲裁能看到报文内容仲裁能看到报文内容发送方发送方X X和仲裁和仲裁A A共享密钥共享密钥K Kaxax,接收方接收方Y Y和和A A共享密钥共享密钥KayKay。数字签名由数字签名由X X的标识符的标识符IDIDx x、报文的散列码、报文的散列码H(M)H(M)、签名、签名和时间戳构成，用密钥和时间戳构成，用密钥K Kaxax进行加密。进行加密。过程：过程：(1)XA(1)XA：MEMEKaxKax(ID(IDx xH(MH(M)。(2)A(2)A验证验证H(

17、M)H(M)的有效性。的有效性。(3)AY(3)AY：E EKayKay(ID(IDx xMEMEKaxKax(ID(IDx xH(M)TH(M)T)。(4)Y(4)Y存储报文存储报文M M及签名。及签名。(5)(5)争执争执YA:YA:E EKayKay(ID(IDx xMEMEKaxKax(ID(IDx xH(MH(M)。(6)(6)仲裁仲裁:A:A验证验证E EKaxKax(ID(IDx xH(MH(M)。X X的数字签名的数字签名Y Y可可以判以判断断M M是否是否过期过期16争端解决方式争端解决方式YA:EYA:EKayKay(ID(IDx xMEMEKaxKax(ID(IDx xH

18、(MH(M)。仲裁仲裁A A可用可用K Kayay恢复出恢复出IDIDx x 、M M及签名，然后再用及签名，然后再用K Kaxax对签名解密并验证其散列码。对签名解密并验证其散列码。特点：特点：(1)Y(1)Y不能直接验证不能直接验证X X的签名的签名,签名是解决争端手段。签名是解决争端手段。(2)(2)双方都需要高度相信双方都需要高度相信A:A:Y Y相信相信A A已对消息认证，已对消息认证，X X不能否认其签名；不能否认其签名；X X信任信任A A没有暴露没有暴露K Kxaxa，无人，无人可伪造可伪造 DSDS；双方都信任双方都信任A A处理争议是公正。处理争议是公正。问题：问题：报文报

19、文M M明文传送给明文传送给A A，有可能被窃听。，有可能被窃听。基于仲裁的数字签名基于仲裁的数字签名-对称加密对称加密,仲裁能看到报文内容仲裁能看到报文内容17基于仲裁的数字签名基于仲裁的数字签名-对称加密对称加密,仲裁不能看到报文内容仲裁不能看到报文内容前提前提:发送方发送方X X和仲裁和仲裁A A共享密钥共享密钥K Kaxax,接收方接收方Y Y和和A A共享密钥共享密钥Kay,XKay,X 与与 Y Y 之间共享密钥之间共享密钥 K Kxyxy 。过程过程(1)XA:ID(1)XA:IDx xEEKxyKxy(M)EM)EKaxKax(IDIDx xH(EH(EKxyKxy(M(M)(

20、2)A(2)A验证验证H(EH(EKxyKxy(M(M)的有效性。的有效性。(3)AY:E(3)AY:EKayKay(ID(IDx xEEKxyKxy(M)E(M)EKaxKax(IDIDx xH(EH(EKxyKxy(M)(M)T)T)(4)Y(4)Y解密解密E EKxyKxy(M(M)存储签名。存储签名。(5)(5)争执争执YA:EYA:EKayKay(ID(IDx xEEKxyKxy(M)E(M)EKaxKax(ID(IDx xH(EH(EKxyKxy(M(M)(6)(6)仲裁仲裁:A:A验证验证E EKaxKax(ID(IDx xH(EH(EKxyKxy(M(M)。18基于仲裁的数字签

21、名基于仲裁的数字签名-对称加密对称加密,仲裁不能看到报文内容仲裁不能看到报文内容特征：特征：(1)DS 的构成：的构成：IDx 和消息密文的散列码用和消息密文的散列码用 Kxa 加密加密(2)DS 的验证：的验证：A 解密签名，用散列码验证消息。解密签名，用散列码验证消息。(3)A 只能验证消息的密文，而不能读取其内容。只能验证消息的密文，而不能读取其内容。(4)A 将来自将来自 X 的所有信息加上时间戳并用的所有信息加上时间戳并用 Kay 加密加密后发送给后发送给Y。两种签名方案存在的问题两种签名方案存在的问题(1)A 和发送方和发送方 X 联手可以否认签名的信息。联手可以否认签名的信息。(

22、2)A和接收方和接收方 Y 联手可以伪造发送方联手可以伪造发送方 X 的签名。的签名。19基于仲裁的数字签名基于仲裁的数字签名公开密钥加密方式公开密钥加密方式(1)X(1)XA:IDA:IDx x|E|EKRxKRxIDIDx x|E|EKUyKUy E EKRxKRx(M)(M)(2)A(2)A验证验证X X的公开的公开/私钥对是否仍然有效。私钥对是否仍然有效。(3)AY:E(3)AY:EKRaKRaIDIDx x|E|EKUyKUy E EKRxKRx(M)(M)|T|T(4)Y(4)Y解密得到解密得到M M。Y Y存储签名存储签名IDIDX X|E|EKRxKRx(M)|(M)|T T。

23、YA:EYA:EKuaKua(IDxE(IDxEKRxKRx(M(M)X XA:EA:EKRxKRxMM 发生争执怎样仲裁？20特点：仲裁者看不见消息的内容。特点：仲裁者看不见消息的内容。优点：优点：(1)(1)通信各方之间无须共享任何信息，从而避免了联手通信各方之间无须共享任何信息，从而避免了联手作弊；作弊；(2)(2)只要只要K KRaRa安全，则不会出现伪造安全，则不会出现伪造A A发送的消息；发送的消息；(3)(3)消息的内容是保密的，包括对消息的内容是保密的，包括对A A在内。在内。(4)(4)即使即使K KRxRx暴露，只要暴露，只要K KRaRa未暴露，不会有错误标定日未暴露，不

24、会有错误标定日期的消息被发送。期的消息被发送。基于仲裁的数字签名基于仲裁的数字签名公开密钥加密方式公开密钥加密方式目录21认证（认证（Certification）/鉴别鉴别鉴别的作用鉴别的作用:证实通信中某一方的身份证实通信中某一方的身份,又称为认证。又称为认证。两个基本的方式两个基本的方式 ：相互鉴别相互鉴别(mutual Certification)(mutual Certification)；单向鉴别单向鉴别 (one-way Certification)(one-way Certification)。22相互鉴别相互鉴别目的：用于通信各方之间的相互进行目的：用于通信各方之间的相互进行身

25、份认证身份认证，同，同时时交换会话密钥，交换会话密钥，其其重点是重点是密钥分配密钥分配 。需要解决的核心问题：需要解决的核心问题：密钥交换的机密性和时效性。密钥交换的机密性和时效性。机密性机密性防止会话密钥被篡改或和泄露；防止会话密钥被篡改或和泄露；用户身份信息和会话密钥都必须以密文形式交换；用户身份信息和会话密钥都必须以密文形式交换；前提：前提：通信各方与事先保存一个密钥（共享或公开通信各方与事先保存一个密钥（共享或公开密钥）密钥）时效性时效性为了防止消息的为了防止消息的重放攻击重放攻击。23报文重放（报文重放（replayreplay）攻击攻击攻击过程攻击过程(1 1)窃听。窃听。(2 2

26、)复制或部分复制一个报文。复制或部分复制一个报文。(3 3)在以后的某个时间重放在以后的某个时间重放 可以拦截原信息，用重放消息取代；可以拦截原信息，用重放消息取代；可以在一个合法有效的时间窗内重放一个带时间戳的消息。可以在一个合法有效的时间窗内重放一个带时间戳的消息。后后 果果(1 1)扰乱接收者正常的工作。扰乱接收者正常的工作。(2 2)窃取会话密钥，假扮成一个通信方欺骗其他人。窃取会话密钥，假扮成一个通信方欺骗其他人。最坏情况下可能导致对手获取会话密钥，或成功地冒充其他最坏情况下可能导致对手获取会话密钥，或成功地冒充其他人；至少也可以干扰系统的正常运行，处理不好将导致系人；至少也可以干扰

27、系统的正常运行，处理不好将导致系统瘫痪。统瘫痪。24常见的消息重放攻击形式常见的消息重放攻击形式(1)(1)简单重放简单重放:攻击者简单复制一个报文攻击者简单复制一个报文,以后再重新发以后再重新发送它送它;(2)(2)可被日志记录的重放可被日志记录的重放:攻击者可以在一个攻击者可以在一个有效的时有效的时间窗内间窗内重放一个带重放一个带时间戳时间戳的报文的报文;(3)(3)不能被检测到的重放不能被检测到的重放:原始报文已经被拦截原始报文已经被拦截(丢失丢失),),无法到达目的地无法到达目的地,而只有重放的报文到达目的地。而只有重放的报文到达目的地。(4)(4)不做修改的反向重放不做修改的反向重放

28、:向消息发送者重放。当采用向消息发送者重放。当采用传统对称加密方式时，这种攻击是可能的。因为消息传统对称加密方式时，这种攻击是可能的。因为消息发送者不能简单地识别发送的消息和收到的消息在内发送者不能简单地识别发送的消息和收到的消息在内容上的区别。容上的区别。25重放攻击预防方式重放攻击预防方式报文序号方式报文序号方式:在认证交换中使用一个序数来给每一个消在认证交换中使用一个序数来给每一个消息报文编号。仅当收到的消息序数顺序合法时才接受息报文编号。仅当收到的消息序数顺序合法时才接受之。但这种方法的困难是要求双方必须保持上次消息之。但这种方法的困难是要求双方必须保持上次消息的序号（的序号（事实上不

29、可行事实上不可行）。两种更为一般的方法是：）。两种更为一般的方法是：时间戳和盘问时间戳和盘问时间戳和盘问时间戳和盘问/应答方式应答方式应答方式应答方式时间戳方式时间戳方式:(1)(1)在在报文中附加发送的时间戳；接收时只有报文时间戳与本地时报文中附加发送的时间戳；接收时只有报文时间戳与本地时间足够接近时，才认为是一个合法的新报文。间足够接近时，才认为是一个合法的新报文。(2)(2)需要考虑的问题：需要考虑的问题：通信各方的时钟同步比较困难；通信各方的时钟同步比较困难；时间窗口的大小如何确定。时间窗口的大小如何确定。26时间戳方法的问题时间戳方法的问题(1)(1)协议需要在各种处理器的时钟中维持

30、同步。该协议必须既要协议需要在各种处理器的时钟中维持同步。该协议必须既要容错以对付网络出错，又要安全以对付重放攻击。容错以对付网络出错，又要安全以对付重放攻击。(2)(2)由于某一方的时钟机制故障可能导致临时失去同步，这将增由于某一方的时钟机制故障可能导致临时失去同步，这将增大攻击成功的机会。大攻击成功的机会。(3)(3)由于变化的和不可预见的网络延迟的本性，不能期望分布式由于变化的和不可预见的网络延迟的本性，不能期望分布式时钟保持精确的同步。因此，任何基于时间戳的认证必须时钟保持精确的同步。因此，任何基于时间戳的认证必须采用采用时间窗时间窗时间窗时间窗的方式来处理：一方面时间窗应足够大以包容

31、的方式来处理：一方面时间窗应足够大以包容网络延迟，另一方面时间窗应足够小以最大限度地减小遭网络延迟，另一方面时间窗应足够小以最大限度地减小遭受攻击的机会。受攻击的机会。由于时间戳技术固有的困难由于时间戳技术固有的困难,很难用于面向连接的应用很难用于面向连接的应用实际中，安全的时间服务器用以实现时钟同步可能是最实际中，安全的时间服务器用以实现时钟同步可能是最好的方法。好的方法。27盘问盘问/应答方式应答方式（Challenge/ResponseChallenge/Response）A A期望从期望从B B获得一个新消息，获得一个新消息，首先发给首先发给B B一个一个现时现时nonce(chall

32、enge)nonce(challenge)，并要求后并要求后续从续从B B收到的消息（收到的消息（responseresponse）包含这个正确的现包含这个正确的现时。时。盘问盘问/应答方法不适应非连接性的应用，因为它要应答方法不适应非连接性的应用，因为它要求在传输开始之前先有握手的额外开销。求在传输开始之前先有握手的额外开销。可能攻击形式多样性,导致要设计一个完美的鉴别协议非常困难。采用加密方式怎样实现相互鉴别？28基于对称密钥加密的相互鉴别基于对称密钥加密的相互鉴别 初始方案初始方案1 1、须具备的条件、须具备的条件可信的密钥分配中心（可信的密钥分配中心（KDCKDC）；）；通信各方都与通

33、信各方都与KDCKDC共享一个主密钥共享一个主密钥,主密钥主密钥K Ka a和和K Kb b是安全。是安全。2 2、目的、目的:KDC:KDC为通信双方为通信双方A A、B B产生短期的会话密钥产生短期的会话密钥K Ks s。3 3、工作过程：、工作过程：(1)(1)A A KDC KDC：IDIDA A|ID|IDB B|N|N1 1(2)KDC(2)KDC A A：E EKaKa K Ks s|ID|IDB B|N|N1 1|E EKbKb (K(Ks s|ID|IDA A)(3)(3)A A B B：E EKbKb K Ks s|ID|IDA A (4)(4)B B A A：E EKsK

34、s NN2 2(5)(5)A A B B：E EKsKs f f(N(N2 2)现时现时29基于对称密钥加密的相互鉴别过程基于对称密钥加密的相互鉴别过程初始方案初始方案(1)A(1)A在会话开始时首先向在会话开始时首先向KDCKDC发送报文，包含发送报文，包含A A和和B B的标识和一个与时间相关的的标识和一个与时间相关的现时标识符现时标识符N N1 1 。(2)A(2)A就可安全地从就可安全地从KDCKDC获得一个新的会话密钥获得一个新的会话密钥K Ks s 。(3)A(3)A将用将用K Kb b加密的会话密钥加密的会话密钥K Ks s发送给发送给B B，这个会话密钥只有，这个会话密钥只有B

35、 B能够通过解密获能够通过解密获得。得。(4)B(4)B向向A A发送用会话密钥加密的现时值发送用会话密钥加密的现时值N N2 2，向，向A A证实证实B B已经正确获得了会话密钥已经正确获得了会话密钥 K Ks s(5)A(5)A使用新建立的会话密钥使用新建立的会话密钥K Ks s对对f(Nf(N2 2)加密后返回给加密后返回给B B 30基于对称密钥加密的相互鉴别基于对称密钥加密的相互鉴别初始方案初始方案改改 进进 方方 案案(1)(1)增加时间戳机制增加时间戳机制 ：需要通信各方周期性地与：需要通信各方周期性地与KDCKDC通信进行时通信进行时钟校准。钟校准。(2)(2)通信时使用现时握

36、手。通信时使用现时握手。(3)1(3)1，2 2两种方案的结合。两种方案的结合。这种鉴别方案中存在什么漏洞？这种鉴别方案中存在什么漏洞？容易遭到重放攻击容易遭到重放攻击如：使用过期的会话密钥，如：使用过期的会话密钥，X X可冒充可冒充A A，使用过期密钥，使用过期密钥，并重放第并重放第3 3步的报文，就可以欺骗步的报文，就可以欺骗B B。除非除非B B存储所有存储所有的使用过的会话密钥。的使用过的会话密钥。31基于对称密钥加密的相互鉴别基于对称密钥加密的相互鉴别带时间戳方案带时间戳方案 假定主密钥假定主密钥Ka,KbKa,Kb是安全的。是安全的。(1)(1)A AKDC:IDKDC:IDA A

37、|ID|IDB B(2)KDC(2)KDCA:A:E EKaKaKKs s|ID|IDB B|T|E|T|EKbKb(K(Ks s|ID|IDA A|T)|T)(3)A(3)AB:EB:EKbKbKKs s|ID|IDA A|T|T(4)B(4)BA:EA:EKsKsNN1 1(5)A(5)AB:EB:EKsKs f f(N(N1 1)C C本地时钟的时间值本地时钟的时间值,t t1 1是是KDCKDC时钟与本地时钟的正常时钟与本地时钟的正常偏差偏差,t t2 2是网络的正常时延值。各个节点的本地时是网络的正常时延值。各个节点的本地时钟参照某个标准时钟来设定。钟参照某个标准时钟来设定。T T是

38、时间戳是时间戳32解决方案解决方案(1)(1)通信各方周期性的与通信各方周期性的与KDCKDC通信进行时钟校准；通信进行时钟校准；(2)(2)通信时使用现时握手通信时使用现时握手,免除时钟同步负担免除时钟同步负担。基于对称密钥加密的相互鉴别基于对称密钥加密的相互鉴别带时间戳方案带时间戳方案 如何安全可信的通过网络进行时钟同步如何安全可信的通过网络进行时钟同步?危险危险:若各节点分布式时钟不同步，协议将受重放攻击。节点若各节点分布式时钟不同步，协议将受重放攻击。节点之间的时钟不同步通常是由于时钟或同步部件的故障造成的之间的时钟不同步通常是由于时钟或同步部件的故障造成的,也可能也可能是人为破坏。也

39、可能也可能是人为破坏。抑制抑制-重放攻击重放攻击:如果发送方的时钟快于接收方的时钟如果发送方的时钟快于接收方的时钟,攻击者可攻击者可以窃听到发送端的报文以窃听到发送端的报文,由于报文中的时间戳比接收方的本地时由于报文中的时间戳比接收方的本地时钟提前钟提前,攻击者可以等到接收方时钟等于报文时间戳时重放该报攻击者可以等到接收方时钟等于报文时间戳时重放该报文。文。33基于对称密钥加密的相互鉴别基于对称密钥加密的相互鉴别有效有效时限和现时方案时限和现时方案 (1)AB:ID(1)AB:IDA ANNa a(2)BKDC:ID(2)BKDC:IDB BNNb bEEKbKb(IDIDA ANNa aTT

40、b b)(3)KDCA:(3)KDCA:E EKaKa(IDIDB BNNa aKKs sTTb b)E)EKbKb(IDIDA AKKs sTTb b)N)Nb b(4)AB:E(4)AB:EKbKb(ID(IDA AKKs sTTb b)E)EKsKs(N(Nb b)A A产生现时产生现时NaNa发给发给B,B,会话密钥由会话密钥由KDCKDC分发给分发给A A时时,A,A验证返回的验证返回的NaNa实现时效性实现时效性通知通知KDCKDC向向A A发布一个信任的票据发布一个信任的票据票据接收者票据接收者IDIDA A,过期时间过期时间T Tb b,N,Na aK Ks s会话密钥会话密钥

41、,T,Tb b使用时限使用时限,ID,IDB B用于证实用于证实B B收到初始报文收到初始报文,N,Na a检测重放攻击。检测重放攻击。鉴别票据鉴别票据B B利用利用K Ks s解密解密N Nb b鉴别鉴别A A34增加时间戳和现时握手后的协议过程：增加时间戳和现时握手后的协议过程：(1)A(1)A发起鉴别交换，首先产生一个现时值发起鉴别交换，首先产生一个现时值NaNa，并加上，并加上A A的标识的标识IDAIDA已明文的形式发给已明文的形式发给B B。在会话密钥分发给。在会话密钥分发给A A的时候，的时候，NaNa将同时被返回给将同时被返回给A A，A A通过验证通过验证NaNa的值来实的值

42、来实现时效性。现时效性。(2)B(2)B向向KDCKDC申请会话密钥。申请会话密钥。B B向发往向发往KDCKDC的报文包括其标的报文包括其标识识IDBIDB和另一个现时值和另一个现时值Nb,NbNb,Nb的作用也是为了保证报文的作用也是为了保证报文的时效性。的时效性。B B发往发往KDCKDC的报文中还包括一个用的报文中还包括一个用KbKb密钥加密钥加密的数据段密的数据段E EKbKb(ID(IDA A|N|Na a|T|Tb b),),其作用是通知其作用是通知KDCKDC向向A A发发布一个信任的票据。布一个信任的票据。B B向向KDCKDC说明票据的接收者说明票据的接收者IDAIDA和和

43、过期时间过期时间TbTb及及A A发来的发来的NaNa等信息。等信息。基于对称密钥加密的相互鉴别基于对称密钥加密的相互鉴别有效有效时限和现时方案时限和现时方案 35(3)KDC(3)KDC将一个用于鉴别的票据将一个用于鉴别的票据E EKbKb(ID(IDA A|N|Na a|T|Tb b)发给发给A A。这个票据是用这个票据是用KbKb加密的。同时，加密的。同时，KDCKDC还向还向A A传送了用传送了用KaKa加密的分组，其中加密的分组，其中KsKs是会话密钥，是会话密钥，TbTb给出了会话密钥给出了会话密钥的使用时限，的使用时限，IDBIDB用于证明用于证明B B已经收到初始报文，已经收到

44、初始报文，NaNa能能够检测重放攻击。够检测重放攻击。(4)A(4)A将票据和加密后的将票据和加密后的NbNb传送给传送给B B。B B使用票据中恢复出使用票据中恢复出来的密钥来解密来的密钥来解密NbNb，通过解密，通过解密NbNb就能鉴别报文是不是就能鉴别报文是不是来自来自A A，或是一次重放攻击。，或是一次重放攻击。基于对称密钥加密的相互鉴别基于对称密钥加密的相互鉴别有效有效时限和现时方案时限和现时方案 36方方 案案 优优 点点(1)(1)为为ABAB双方建立会话提供了一种安全有效的会话密钥双方建立会话提供了一种安全有效的会话密钥交换方式。协议中过期时间交换方式。协议中过期时间TbTb的

45、参考时钟是节点的参考时钟是节点B B的的本地时间，也仅有本地时间，也仅有B B对其进行检验。对其进行检验。(2)A(2)A可保存能够可保存能够 用于鉴别用于鉴别B B的票据，可以鉴别与鉴别的票据，可以鉴别与鉴别服务器的多次交互。如服务器的多次交互。如:A:A、B B已建立的会话终止了。已建立的会话终止了。A A要与要与B B建立新会话，建立新会话，A A保存了原有票据，在密钥有效保存了原有票据，在密钥有效期内，建立安全会话期内，建立安全会话:1AB:E1AB:EKbKb(ID(IDA AKKs sTTb b)N)Na a2BA:N2BA:Nb bEEKsKs(N(Na a)3BA:E3BA:E

46、KsKs(N(Nb b)基于对称密钥加密的相互鉴别基于对称密钥加密的相互鉴别有效有效时限和现时方案时限和现时方案 B B检验收到票据是检验收到票据是否过期。否过期。NaNa和和NbNb预防预防重放攻击重放攻击37基于公开密钥加密的相互鉴别基于公开密钥加密的相互鉴别 时间戳鉴别方案时间戳鉴别方案在公钥鉴别方案中在公钥鉴别方案中,认证中心认证中心(AS)(AS)用作通信双方公钥保存用作通信双方公钥保存与分发。与分发。(1)AAS:ID(1)AAS:IDA AIDIDB B(2)ASA:C(2)ASA:CA ACCB B(3)AB:C(3)AB:CA ACCB BEEKUbKUb(E(EKRaKRa

47、(KsT)(KsT)A A的公钥和私钥分别为的公钥和私钥分别为K KUaUa和和K Krara;B B的的公钥和私钥分别为公钥和私钥分别为K KUbUb和和K KRbRb;AS(AS(鉴别中心鉴别中心)的公钥和私钥分别为的公钥和私钥分别为K KUasUas和和K KRasRas;C CA A=E EKRasKRas(ID(IDA AKKUaUaT),AT),A的公开密钥证书的公开密钥证书;C CB B=E EKRasKRas(ID(IDB BKKUbUbT),BT),B的公开密钥证书。的公开密钥证书。ASAS只提供公钥证书只提供公钥证书KsKs由由A A选择和加密，无泄露危险选择和加密，无泄露

48、危险防止重放攻击防止重放攻击不足？时钟同步38基于公开密钥加密的相互鉴别基于公开密钥加密的相互鉴别现时方案现时方案(1)AKDC:ID(1)AKDC:IDA AIDIDB B(2)KDCA:E(2)KDCA:EKRkKRk(ID(IDB BKKUbUb)(3)AB:E(3)AB:EKUbKUb(N(Na aIDIDA A)(4)BKDC:ID(4)BKDC:IDB BIDIDA AEEKUkKUk(N(Na a)(5)KDCB:E(5)KDCB:EKRkKRk(ID(IDA AKKUaUa)E)EKUbKUb(E(EKRkKRk(N(Na aKKs sIDIDB B)(6)BA:E(6)BA:

49、EKUaKUa(E(EKRkKRk(N(Na aKKs sIDIDB B)N)Nb b)(7)AB:E(7)AB:EKsKs(N(Nb b)以便以便KDCKDC对对KsKs进行标识进行标识保证保证KsKs是最新的是最新的E EKUbKUb的目的是保证的目的是保证 E EKRkKRkNa|Ks|IDBNa|Ks|IDB不不被对手截获并试图被对手截获并试图建立与建立与A A的欺骗性连的欺骗性连接接(5)KDCB:(5)KDCB:E EKRkKRk(ID(IDA AKKUaUa)E)EKUbKUb(E(EKRkKRk(N Na aKKs sIDIDA AIDIDB B)(6)BA:E(6)BA:EK

50、UaKUa(E(EKRkKRk(N(Na aKKs sIDIDA AIDIDB B)N)Nb b)上述协议是一个比较安全的协议。可上述协议是一个比较安全的协议。可能存在不同用户产生重复能存在不同用户产生重复NaNa的可能性的可能性绑定绑定IDIDA A ，可将，可将N Na a看着看着是所有由是所有由A A产生的现时产生的现时中唯一的现时中唯一的现时39单向鉴别单向鉴别 One-Way AuthenticationOne-Way Authentication。主要用于主要用于电子邮件电子邮件认证等应用。认证等应用。特点：发方和收方无需同时在线。特点：发方和收方无需同时在线。鉴别时收发方不能在线