第6讲-认证协议-ppt课件.pptx

1、第6讲 认证协议http:/ 认证协议6.1 认证方式分类6.2 经典认证协议6.3 密钥交换协议6.4 认证密钥交换协议6.5 可否认认证协议6.6 对认证协议的典型攻击6.7 认证协议的设计原则l2lPPT课件课件认证和协议的概念 认证：是一个过程，通过这个过程，一个实体可以向另一个实体证明某种声称的属性。 协议：在两方或相互协作的多方之间进行通信的过程。因此，一个认证过程也是一个认证协议。认证协议是安全协议的一种。什么是认证？什么是协议？什么是认证？什么是协议？l3lPPT课件课件 消息认证（也称数据源认证） 身份认证（或称实体认证） 带认证的密钥建立实体声称实体声称的属性有的属性有哪些

2、呢？哪些呢？l4lPPT课件课件消息认证 目的： 确认消息发送者的身份 确认数据完整性 消息认证与数据完整性区别： 消息认证必然涉及通信，而数据完整性不一定包含通信，该安全服务可用于存储的数据。 消息认证必然涉及确认消息的新鲜性，而数据完整性无此必要，这是因为老数据、重放的旧消息也可能有完善的数据完整性。新鲜的消息指接收者认定的新近发送的消息（收发之间的时间间隔足够小）。l5lPPT课件课件身份认证1、主机主机类型 通信的参与者是在分布式系统中被称为“节点”的计算机或平台。 实例：客户端服务器设置，其中一台主机（客户端）向另一台主机（服务器）请求某些服务。l6lPPT课件课件身份认证2、用户主

3、机类型 用户通过登录系统中某台主机来获得访问该计算机系统。 举例： 通过Telnet登录到某台计算机 通过FTP（file transfer protocol）执行文件传送l7lPPT课件课件身份认证3、进程主机类型 主要用于分布式计算系统远程进程的识别与认证。 一个主机可能会给外部的进程授予不同的接入权限。例如某段“移动代码”或可执行的Java程序都能够到达远程主机并作为远程进程在该主机上运行。 在敏感的应用中，设计认证机制是必需的，也是可能的，这样才能使主机识别外部进程是否友好，从而能够对外部进程赋予合适的接入权限。l8lPPT课件课件身份认证4、成员俱乐部类型 可以把成员拥有俱乐部证书的

4、证明看做是一般化的“用户主机类型”。 俱乐部可以只需要考虑成员证件的有效性，而没有必要知道该成员的进一步信息，如该成员的真实身份。l9lPPT课件课件6.1 认证方式分类（1） 单方认证（2） 双方认证（3） 包含可信第三方的认证认证可以分为那些类别？认证可以分为那些类别？l10lPPT课件课件6.1.1 单方认证协议的两个参与主体A和B中只对其中的一个主体进行认证。（服务器对客户端的认证或）认证机制包括基于交互模式的挑战应答机制(CR)基于对称密码技术的挑战应答机制的单方认证基于非对称密码技术的挑战应答机制的单方认证基于非交互模式的时间戳机制(TS)基于对称加密技术的时间戳机制的单方认证基于

5、非对称加密技术的时间戳机制的单方认证l11lPPT课件课件挑战应答机制 “挑战-应答”机制（Challenge-Response） B期望从A获得一个新消息，首先发给A一个临时值(challenge)，并要求后续从A收到的消息(response)包含正确的这个临时值。l12lPPT课件课件基于对称密码技术的挑战应答机制”的单方认证协议1：BobAlice：NB; (挑战)AliceBob：EKAB(M, NB); (应答)Bob解密接收到密文分组并接受（若Bob看到NB）或拒绝（其它情况）。协议2：BobAlice：NB; (挑战) AliceBob：M, MDC (KAB, M, NB);

6、(应答) Bob重构MDC (KAB, M, NB)并接受（若两个MDC相同）或拒绝（其它情况）。l13lPPT课件课件基于非对称密码技术的挑战应答机制的单方认证协议3：BobAlice：NB; (挑战) AliceBob：M, SigA (M, NB); (应答) Bob使用他的一次性随机数NB验证签名并接受（若签名通过验证）或拒绝（其它情况）。l14lPPT课件课件数字时间戳机制 数字时间戳（DTS，Digital Time-stamp ）： 是由DTS服务机构提供的安全服务项目，专门用于证明信息的发送时间。 B接受一个新消息仅当该消息包含一个时间戳，该时间戳在B看来，是足够接近B所知道的

7、当前时间；这种方法要求不同参与者之间的时钟需要同步。 由于变化的和不可预见的网络延迟的本性，不能期望分布式时钟保持精确的同步。因此，任何基于时间戳的过程必须采用时间窗的方式来处理：一方面时间窗应足够大以包容网络延迟，另一方面时间窗应足够小以最大限度地减小遭受攻击的机会。l15lPPT课件课件数字时间戳机制 数字时间戳的生成及使用过程l16lPPT课件课件基于对称加密技术的时戳机制的单方认证协议4：AliceBob：EKAB (M, TA); Bob解密接收到的密文分组并接受（若认为TA是有效的）或拒绝（其它情况）。协议5：AliceBob：M, TA, MDC (KAB, M, TA); Bo

8、b重构MDC（KAB, M, TA)并接受（若两个MDC相等且TA是有效的）或拒绝（其它情况）。l17lPPT课件课件基于非对称加密技术的时戳机制的单方认证协议6：AliceBob：SigA (M, TA); Bob验证签名并接受（若签名通过验证且TA是有效的）或拒绝（其它情况）。l18lPPT课件课件6.1.2 双方(向)认证 双方认证是指协议的两个通信实体要互相认证。协议7：前提：A拥有公钥证书CertA，B拥有公钥证书CertB；目标：A和B完成双方认证(对身份的确认)。协议步骤：BA：RB; (表示认证请求的功能码)AB：CertA, RA|RB|B|SigA(RA|RB|B);BA：

9、CertB, RB|RA|A|SigB(RB|RA|A).-l19lPPT课件课件6.1.2 双方认证对协议7的攻击协议8：Wiener攻击(加拿大人攻击)：前提：除了原协议的前提外，Malice也拥有证书CertM。 Malice（“B”）A：RB; （冒充B）AMalice（“B”）：CertA, RA|RB|B|SigA(RA|RB|B); 1) Malice（“A”）B：RA; （冒充A） 2) BMalice（“A”）：CertB, RB|RA|A| SigB(RB | RA|A); Malice（“B”）A：CertB, RB|RA|A| SigB(RB | RA|A).结果是得到

10、了结果是得到了A和和B的信任的信任协议协议7：前提：前提：A拥有公钥证书拥有公钥证书CertA，B拥有公钥证书拥有公钥证书CertB；目标：目标：A和和B完成双方认证完成双方认证(对身份的确认对身份的确认)。协议步骤：协议步骤：BA：RB; (表示认证请表示认证请求的功能码求的功能码)AB：CertA, RA|RB|B|SigA(RA|RB|B);BA：CertB, RB|RA|A|SigB(RB|RA|A).-l20lPPT课件课件6.1.3 包含可信第三方的认证Woo-Lam协议：前提：Trent作为可信第三方（TTP)，Alice和Trent共享对称密钥KAT，Bob和Trent共享对称

11、密钥KBT；目标：即使Alice和Bob开始互不相识，Alice仍然能够向Bob证明自己。 AliceBob：Alice;【我是Alice】 BobAlice：NB; 【你证明一下吧】 AliceBob：NBKAT; 【你可以去验证，Trent可以证明】 BobTrent：Alice, NBKATKBT; 【问Trent，X说她是Alice】 TrentBob：NBKBT; 【你如果看到NB，那就是了】 Bob使用密钥KBT解密密文分组，如果解密后正确地返回Bob的一次性随机数，Bob就接受此次运行，否则拒绝。协议依赖TTP的可信性。l21lPPT课件课件6.1.3 包含可信第三方的认证Aba

12、di和Needham对上述Woo-Lam协议的攻击（并行攻击！） Malice(“Alice”)Bob：Alice; 【冒充Alice对Bob，我是Alice】 1. MaliceBob：Malice; 【同时执行Malice本身的认证协议我是Malice】 BobMalice(“Alice”)：NB; 【Bob执行Woo-Lam认证过程，证明给我 】 2. BobMalice：NB; 【Bob执行Woo-lam认证过程，证明给我】 Malice(“Alice”)Bob：NBKMT; 【执行Woo-lam，注意NB，你问TTP？】 3. MaliceBob：NBKMT; 【并行执行Woo-la

13、m，注意NB不是NB】 BobTrent：Alice, NBKMTKBT; 【Bob问Trent关于Alice的身份】 4. BobTrent：Malice, NBKMTKBT; 【Bob问Trent关于Malice的身份】 TrentBob：“垃圾”KBT; 【按照协议执行，Nb被破坏了】（产生“垃圾”是因为Trent使用KAT对密文组NBKMT进行了解密） 5. TrentBob：NBKBT; 【按照协议，Nb返回了，Alice的身份被确认】 Bob拒绝和Malice的运行;（因为解密后返回的是“垃圾”而不是一次性随机数NB） 6. Bob接受“和Alice的运行”，但实际上是和Malic

14、e的运行。（因为解密返回的NB是正确的）l22lPPT课件课件6.2 经典认证协议 6.2.1 Needham-Schroeder对称密钥认证协议6.2.2 Needham-Schroeder公钥认证协议6.2.3 Otway-Rees认证协议6.2.4 Yahalom协议6.2.5 Andrew RPC(Remote Procedure Call)认证协议6.2.6 Wide-Mouth Frog协议l23lPPT课件课件6.2.1 NEEDHAM-SCHROEDER对称密钥认证协议 基于“挑战-应答”机制 目的： 在通信双方之间分配会话密钥，使协议发起者能够检查会话密钥的新鲜性 是认证和密

15、钥建立协议中最著名的协议l24lPPT课件课件6.2.1 NEEDHAM-SCHROEDER对称密钥认证协议 l25lPPT课件课件NEEDHAM-SCHROEDER对称密钥认证协议前提：Alice和Trent共享密钥KAT；Bob和Trent共享密钥KBT；目标：Alice和Bob希望建立一个新的共享密钥K。 Alice随机生成一次性随机数NA, 向Trent发送：Alice，Bob，NA; 【我要和Bob通信】 Trent随机生成K，向Alice发送：Bob, K, NA, Alice, KKBTKAT; 【给你们分配好了密钥】 Alice解密NA，验证她的nonce(表示仅使用一次的数字

16、)，验证Bob的身份并发给Bob：Trent，Alice, KKBT; Bob解密并验证Alice的身份，生成随机数NB，向Alice发送：我是Bob! NBK; Alice向Bob发送：我是Alice! NB-1K.l26lPPT课件课件DENNING和SACCO对NEEDHAM-SCHROEDER对称密钥认证协议的攻击协议漏洞的原协议漏洞的原因是什么？因是什么？l27lPPT课件课件DENNING和SACCO对NEEDHAM-SCHROEDER对称密钥认证协议的改进利用时间戳代替利用时间戳代替挑战号，可以解挑战号，可以解决消息新鲜性的决消息新鲜性的漏洞。漏洞。l28lPPT课件课件6.2.

17、2 NEEDHAM-SCHROEDER公钥认证协议 目的： 使通信双方安全地交换两方彼此独立的秘密。 这与其它大多数公钥认证协议不同，它们的目的是通信双方安全地交换共享密钥。l29lPPT课件课件6.2.2 NEEDHAM-SCHROEDER公钥认证协议TrentTrent，我要和，我要和BobBob通信，通信，psps：AliceAlice给你给你BobBob的公钥的公钥你好，我是你好，我是AliceAliceTrentTrent，我要和，我要和BobBob通信，通信，psps：AliceAlice给你给你AliceAlice的公钥的公钥AliceAlice，你好，我是，你好，我是BobBo

18、b，这是你给我发的挑战，这是你给我发的挑战NaNa你好，我是你好，我是alicealice，这是你给我发的挑战，这是你给我发的挑战NbNbl30lPPT课件课件6.2.2 NEEDHAM-SCHROEDER公钥认证协议前提:假定Alice Bob Trent的密钥对分别为 (KA,KA-1) , (KB,KB-1),(KT, KT-1)目标：Alice和Bob建立一个新的共享密钥。Alice向Trent发送：Alice，Bob;Trent向Alice发送：Bob, KB KT-1;Alice验证Trent对Bob, KB的签字，随机生成她的nonce NA，并向Bob发送：Alice, NAK

19、B;Bob解密并验证Alice的身份，向Trent发送：Bob，Alice;Trent向Bob发送：Alice, KA KT-1;Bob验证Trent对Alice, KA的签字，随机生成他的nonce NB，并向Alice发送：NA, NBKA;Alice解密并向Bob发送：NBKB.l31lPPT课件课件LOWE对NEEDHAM-SCHROEDER公钥认证协议的攻击l32lPPT课件课件LOWE对NEEDHAM-SCHROEDER公钥认证协议的攻击 假设在这个系统中Malice是一个合法的主体，因此其他主体可能要和Malice建立标准会话。这个攻击过程中包括两次同时运行该协议。 第一次是Al

20、ice和Malice之间的运行（-、-、-步），结果是Alice和Malice建立了一个合法的会话。第二次是Malice假冒Alice和Bob之间的运行（-、-、-步），结果是Malice假冒Alice和Bob建立了一个假的会话。 我们分析以上攻击，Malice成功攻击的关键步骤是Alice无意地为他解密了Bob的nonce NB。当一个主体无意地为攻击者执行了一个密码运算时，该主体就被用作预言机（oracle）或提供了预言机服务（Oracle service）。因此密码算法和协议应该设计成即使用户为攻击者提供了预言服务也是安全的。l33lPPT课件课件修补NEEDHAM-SCHROEDER公

21、钥认证协议l34lPPT课件课件6.2.3 OTWAY-REES认证协议 目的： 用于在通信双方之间分配会话密钥。 特点： 简单实用，不需要应用复杂的同步时钟机制。l35lPPT课件课件6.2.3 OTWAY-REES认证协议前提：Trent作为可信第三方（TTP)，Alice和Trent共享对称密钥KAT，Bob和 Trent共享对称密钥KBT；目标：Alice和Bob协商密钥KAB进行下一次会话。 Alice向Bob发送:M,Alice,Bob,NA,M,Alice,BobKAT; 【发起通信，请验证】 Bob向Trent发送:M,Alice,Bob,NA,M,Alice,BobKAT，N

22、B,M,Alice,BobKBT; 【验证一下Alice是不是Alice，我是Bob】 Trent解密并向Bob发送：M，NA, KABKAT，NB, KABKBT;【验证了你是bob，她是Alice，并且给你们分配了密钥】 Bob向Alice发送:M,NA,KABKAT.【我们通过了验证，把密钥给你】l36lPPT课件课件针对OTWAY-REES协议的“类型缺陷”型攻击“类型缺陷”型攻击的特点是利用认证协议实现时的固定格式对协议进行攻击。只是检测长度的合法性。假定在Otway-Rees认证协议中，M的长度是64比特，Alice和Bob的长度各为32比特，KAB的长度为128比特。攻击过程如下

23、（冒充Bob）： 1. Alice向Malice（“Bob”）发送：M，Alice，Bob，NA, M, Alice, BobKAT; 【发给Bob的消息被Malice劫持 】 2. Malic向Trent发送:M, Alice, Malic, NA, M, Alice, BobKAT，NB, M, Alice, MalicKMT; 【红色的信息是否能验证通过是攻击成功的前提】 3. Trent解密并向Malic发送：M，NA, KABKAT，NB, KABKMT; 【你们验证通过给你们密钥】 4. Malice（“Bob”）向Alice发送：M,NA,KABKAT. 【你验证通过了，给你密钥

24、】l37lPPT课件课件针对OTWAY-REES协议的“类型缺陷”型攻击攻击者还可以冒充可信第三方Trent攻击Otway-Rees协议。攻击过程如下： 2. Bob向Malice（“Trent”）发送：M，Alice，Bob， NA, M, Alice, BobKAT，NB, M, Alice, BobKBT; 【发给Trent的信息被劫持】 3. Malice（“Trent”）向Bob发送：M，NA, M, Alice, BobKAT，NB, M, Alice, BobKBT; 【利用手头上的密文进行攻击】 4. Bob向Alice发送：M，NA, M, Alice, BobKAT.【现在

25、的密钥是什么？】Alice向Bob发送:M,Alice,Bob,NA,M,Alice,BobKAT;Bob向Trent发送:M,Alice,Bob,NA,M,Alice,BobKAT，NB,M,Alice,BobKBT; Trent解密并向Bob发送：M，NA, KABKAT，NB, KABKBT;Bob向Alice发送:M,NA,KABKAT.l38lPPT课件课件6.2.4 YAHALOM协议前提：Trent作为可信第三方（TTP)，Alice和Trent共享对称密钥KAT，Bob和Trent共享对称密钥KBT;目标：Alice和Bob之间建立会话密钥KAB。 Alice向Bob发送：Al

26、ice，NA; 【我是Alice】 Bob向Trent发送：Bob, Alice, NA, NBKBT; 【Alice要和我通信，我是Bob】 Trent解密并向Alice发送：Bob, KAB, NA, NBKAT，Alice, KABKBT; 【Alice，给你们的密钥】 Alice向Bob发送：Alice, KABKBT，NBKAB. 【Bob, 密钥给你，还有我是Bob】l39lPPT课件课件 Alice向Bob发送:M,Alice,Bob,NA,M,Alice,BobKAT; Bob向Trent发送:M,Alice,Bob,NA,M,Alice,BobKAT，NB,M,Alice,B

27、obKBT; Trent解密并向Bob发送：M，NA, KABKAT，NB, KABKBT; Bob向Alice发送:M,NA,KABKAT. Alice向Bob发送：Alice，NA; Bob向Trent发送：Bob, Alice, NA, NBKBT; Trent解密并向Alice发送：Bob, KAB, NA, NBKAT，Alice, KABKBT; Alice向Bob发送：Alice, KABKBT，NBKAB. Otway-ReesAlice向Bob发送：Alice，NA; Bob向Trent发送：Bob, NB, Alice, NAKBT; Trent解密并向Alice发送:NB

28、, Bob, KAB,NAKAT, Alice,KAB,NBKBT；Alice向Bob发送：Alice, KAB, NBKBT，NBKAB. BAN-YahalomYahaloml40lPPT课件课件6.2.4 BAN-YAHALOM协议Alice向Bob发送：Alice，NA; 【我是Alice】Bob向Trent发送：Bob, NB, Alice, NAKBT; 【我是Bob,Alice要通信，给个密钥吧】Trent解密并向Alice发送:NB, Bob, KAB,NAKAT, Alice,KAB,NBKBT;【Bob,验证通过，Alice，给你们的密钥】Alice向Bob发送：Alice

29、, KAB, NBKBT，NBKAB. 【Bob，密钥给你】Alice向Bob发送：Alice，NA; Bob向Trent发送：Bob, Alice, NA, NBKBT; Trent解密并向Alice发送：Bob, KAB, NA, NBKAT，Alice, KABKBT; Alice向Bob发送：Alice, KABKBT，NBKAB.l41lPPT课件课件针对BAN-YAHALOM协议的攻击 AliceMalice（“Bob”）：Alice，NA; 【Alice的消息被Bob劫持】1. Malice（“Bob”）Alice：Bob, NA; 【我是Bob】2. AliceMalice（“

30、Trent”）：Alice, NA, Bob, NAKAT; 【冒充Trent】2. Malice（“Alice”）Trent：Alice， NA, Bob, NAKAT;【冒充Alice】3. TrentMalice(“Bob”): NA, Alice, KAB, NAKBT, Bob, KAB, NAKAT;【冒充Bob】 Malice（“Trent”）Alice：NM, Alice, KAB, NAKBT, Bob, KAB, NAKAT; 【冒充Trent】 AliceMalice（“Bob”）：Alice, KAB, NAKBT, NMKAB. Alice向Bob发送：Alice，N

31、A;Bob向Trent发送：Bob, NB, Alice, NAKBT; Trent解密并向Alice发送:NB, Bob, KAB,NAKAT, Alice,KAB,NBKBT;Alice向Bob发送：Alice, KAB, NBKBT，NBKAB.l42lPPT课件课件针对BAN-YAHALOM协议的攻击 上述攻击中共运行了3次协议： 第1次是Alice发起的希望与Bob会话的运行，见第，步，而协议的第步应该由Bob向Trent发送的消息在第2步中被Malice所截获。 第2次是Malice冒充响应者Alice的运行，见第2，3步，而在这次运行中，Trent以为发起者是Bob，响应者是Al

32、ice，并且这次运行没有完全完成，逻辑上运行了协议的第个步骤后被挂起，并且缺少逻辑上的第个步骤。 第3次是由Malice冒充发起者Bob的运行，见第1，2步，这次运行也没有完全完成，逻辑上运行了协议的第个步骤后被挂起。l43lPPT课件课件6.2.5 ANDREW RPC(REMOTE PROCEDURE CALL)认证协议 Andrew RPC认证协议也是一种早期的双方认证协议。 该协议只包含两个主体Alice和Bob，其中Alice为客户，Bob为服务器。 Andrew RPC认证协议提供了互不信任的客户端和服务器之间的认证握手。当一个客户机与一个新的服务器连接时，利用握手协议，客户Ali

33、ce能够从服务器Bob获得一个新的会话密钥。l44lPPT课件课件l45lPPT课件课件6.2.5 ANDREW RPC(REMOTE PROCEDURE CALL)认证协议l46lPPT课件课件前提：假设Alice与Bob之间原先共享会话密钥KAB；NA和NB分别是Alice和Bob生成的一次性随机数，NB是在随后的通信中使用的初始序列号；目标：Alice向Bob申请一个新的会话密钥KAB。Alice向Bob发送：Alice, NAKAB; 【我是Alice】Bob向Alice发送：NA+1, NBKAB; 【你好Alice，我是Bob】Alice向Bob发送：NB+1KAB; 【我真的是A

34、lice】Bob向Alice发送：KAB, NBKAB. 【看出来了，给你新的密钥】6.2.5 ANDREW RPC(REMOTE PROCEDURE CALL)认证协议l47lPPT课件课件针对ANDREW RPC认证协议的“类型缺陷”型攻击3. AliceMalice(“Bob”)：NB+1KAB; 【我真的是Alice】4. Malice(“Bob”)Alice：NA+1, NBKAB. 【晓得了，新密钥NA+1】 Alice向Bob发送：Alice, NAKAB; Bob向Alice发送：NA+1, NBKAB; Alice向Bob发送：NB+1KAB; Bob向Alice发送：KAB

35、, NBKAB. l48lPPT课件课件6.2.6 WIDE-MOUTH FROG协议 Wide-Mouth Frog协议又称作大嘴青蛙协议，大嘴青蛙协议是一种最简单的、应用对称密码体制的三方认证协议。 在该协议中，Alice通过可信第三方Trent向Bob传送会话密钥。 该协议特点是会话密钥只通过两个步骤就从Alice传给了Bob，同时应用了同步时钟机制。l49lPPT课件课件6.2.6 WIDE-MOUTH FROG协议前提：Alice和Bob分别与可信第三方Trent共享秘密密钥KAT和KBT；目标：Alice将产生的会话密钥传给Bob。Alice向Trent发送：Alice, TA,

36、Bob, KABKAT; 【Alice要和Bob通信，我自己准备好了密钥】Trent向Bob发送：TT, Alice, KABKBT. 【Alice要和你通信，这是密钥】l50lPPT课件课件针对WIDE-MOUTH FROG协议的攻击 第1种方法是在有效的时间范围内重放步骤的消息。其后果是将进行重新认证。因为根据协议，Trent将生成一个新的消息2,并生成一个新的时间戳。这样通信的时间戳被修改可能影响后续的使用。（破坏可用性的方法）l51lPPT课件课件针对WIDE-MOUTH FROG协议的攻击第2种攻击方法攻击过程如下： （实施破坏性的攻击） AliceTrent：Alice, TA,

37、Bob, KABKAT; TrentBob：TT, Alice, KABKBT; 1. Malice(“Bob”)Trent：Bob, TT, Alice, KABKBT; 【假冒Bob】 2. TrentMalice(“Alice”)：TT, Bob, KABKAT; 【假冒Alice】 1. Malice(“Alice”)Trent：Alice, TT, Bob, KAB KAT; 【假冒Alice】 2. TrentMalice(“Bob”)：TT, Alice, KABKBT. 【假冒Bob】在第1次运行中，攻击者Malice监听Alice与Bob之间的一次会话。然后，在第2次运行中，

38、攻击者Malice假冒Bob，从Trent处获得对它有用的消息2。在第3次运行中，Malice假冒Alice，从Trent处获得对它有用的消息2，这时，攻击者Malice可假冒Trent向Alice与Bob重放上述消息，引起Alice与Bob之间的重新认证。l52lPPT课件课件6.3 密钥交换协议密钥交换协议用于完成会话密钥的建立。一般情况下是在参与协议的两个或多个实体之间建立共享的秘密。著名的Diffie-Hellman密钥交换协议。由于该算法本身限于密钥交换的用途，被许多商用产品用作密钥交换技术，因此该算法通常称之为Diffie-Hellman密钥交换。这种密钥交换技术的目的在于使两个用

39、户安全地交换一个秘密密钥，以便用于以后的报文加密。l53lPPT课件课件DIFFIE-HELLMAN密钥交换协议 设p是一个素数，是Z*p的本原元，p和是公开的。在此条件下，通信双方（设为A和B）可以执行如下协议形成共享的秘密密钥K： A随机选择XA，0XAp-2; A计算YA=XA mod p，并把YA发送给B; B随机选择XB，0XBp-2; B计算YB=XB mod p，并把YB发送给A; A计算： B计算： 显然K=K, 因此A和B之间就形成了一个共享的秘密密钥。 ()()modABAABXXXXXBKYp()()modBABABXXXXXAKYpl54lPPT课件课件DIFFIE-H

40、ELLMAN协议进行密钥交换举例例：假设用户A、B想交换会话密钥进行保密通信，选择素数p=353，本原元 =3，并且A，B分别随机选择私钥XA = 97和XB = 233。A、B分别计算其公钥：YA=397 (mod 353) = 40YB=3233 (mod 353) = 248在他们相互获取了公钥之后，A、B各自通过计算得到双方共享的秘密密钥如下：A计算：KAB= (YB) XA mod 353 = 24897 mod 353 = 160 B计算： KAB= (YA) XB mod 353 = 40233 mod 353 = 160l55lPPT课件课件DIFFIE-HELLMAN密钥交换

41、协议 Diffie-Hellman密钥交换算法的安全性依赖于这样一个事实：虽然计算以一个素数为模的指数相对容易，但计算离散对数X=logY mod p却很困难。对于大的素数，计算出离散对数几乎是不可能的。 该协议安全的一个必要条件是Z*p上的离散对数问题是难处理的，这要求p至少有300位的十进制数，且p-1应该至少具有一个较大的素数因子。l56lPPT课件课件DIFFIE-HELLMAN密钥交换协议优点：仅当需要时才生成密钥，减小了将密钥存储很长一段时间而致使遭受攻击的机会；除对全局参数的约定外，密钥交换不需要事先存在基础结构。l57lPPT课件课件DIFFIE-HELLMAN密钥交换协议缺点

42、：没有提供双方身份的任何信息，因此标准的Diffie-Hellman密钥交换协议无法防止被称为“中间人攻击”的主动攻击。即第三方C在和A通信时扮演B；和B通信时扮演A。A和B都与C协商了一个密钥，然后C就可以监听和传递通信量；它是计算密集性的，因此容易遭受阻塞性攻击，即攻击者请求大量的密钥，被攻击者花费了相对多的计算资源来求解无用的幂系数而不是在做真正的工作；没办法防止重放攻击。l58lPPT课件课件对DIFFIE-HELLMAN密钥交换协议的中间人攻击l59lPPT课件课件6.4 认证密钥交换协议（DH存在缺陷） 认证协议和密钥交换协议相结合 先对通信实体的身份进行认证 在认证成功的基础上，

43、为下一步安全通信分配密钥 例： 站-站协议（STS协议） 因特网密钥交换协议（IKE协议） 分布式认证安全服务协议（DASS协议） Kerberos认证协议 X.509协议l60lPPT课件课件站站协议（STS协议）站站协议实际上是Diffie-Hellman密钥交换协议的一种变形。前提：Alice和Bob各自拥有公钥证书：CertA= SigCA ( Alice, PA, desc )CertB= SigCA ( Bob, PB, desc ) 其中CA是证书机构。PA和PB分别表示Alice和Bob的公钥。desc 表示生成的共享群。此外，同一系统中的用户共享一个高阶有限阿贝尔群（交换群）

44、，而且同一系统中的用户共同确认了一个对称密码算法E；目标：Alice 和Bob实现双方认证和双方认证的密钥交换。 Alice随机选择某个大整数x，并发送给Bob：x; Bob 随机选择某个大整数y，并发送给Alice：y, CertB, EK (SigB(y, x); Alice 向Bob发送：CertA, EK (SigA(x, y)，其中K=xy =yx.l61lPPT课件课件站站协议（STS协议） 是用于因特网安全的因特网密钥交换(IKE)协议的基础之一 密钥协商：以Diffie-Hellman密钥交换协议为基础 密钥的新鲜性：由双方各自随机选取指数保证 双方独享确认密钥：由数字签名保证

45、l62lPPT课件课件LOWE对STS协议的攻击 该攻击中，Malice也是系统的一个合法用户，因此他可以与系统的其他用户Alice和Bob同时进行会话，但他在面对Bob时使用他的真实身份，而在面对Alice时假冒Bob。l63lPPT课件课件6.5 可否认认证协议 可否认的认证协议： 接收者能够辨别出某个消息的发送者的身份 第三者不会知道消息发送者的身份 典型应用： 电子投票系统 网络商谈l64lPPT课件课件6.5 可否认认证协议 基于离散对数问题的可否认认证协议 基于因子分解问题的可否认认证协议l65lPPT课件课件6.5.1基于离散对数问题的可否认认证协议 前提： 每个发送方都有来自可

46、信任认证机构CA的证书，证书上包含发送者的公钥KP和CA的签名 发送者S和接收者R协商两个公开的素数g和n 设定一个Hash函数H()l66lPPT课件课件S选择一个随机大整数x，并计算: X=gxmod n；X=EKS(X) 然后，S将X发送给R;R选择一个随机大整数y，并向S发送: Y=gymod nR解密X，并获得: X= DKP(X) 然后，R计算: k=Xy mod nS计算: k= Yxmod n 实际上，k=gxy= k，于是S和R共享会话密钥k；S将消息M及H(k, M)一同发送给R；R收到M后计算H(k, M)，验证计算的Hash值是否与收到的H(k,M)一致。若一致，R确信

47、消息M的确来自发送者S，并接受该消息，否则，拒绝。6.5.1基于离散对数问题的可否认认证协议l67lPPT课件课件协议性能分析(1) 该协议是可否认的 因为经过Diffie-Hellman算法的运算，S和R已经拥有了相等的密钥k=k，并且Hash函数也可以公开得到，因此R完全可以模仿伪造某个消息M=M ，从而S可以否认M来自于S，于是R不能向第三方证明消息M来自于S，即使R和第三方是完全合作的关系。【投票中有用哦！】l68lPPT课件课件协议性能分析（2）消息来源性认证 从协议可以看出，即使攻击者得到协议前两步的所有信息，他也不能得到密钥k，因为其难度等于计算离散对数。对于大的素数，计算离散对

48、数被认为是不可行的。因此只有S和R可以确定这个密钥，其他用户不可能得到这个密钥，接收者R知道只有用户S才能用这个密钥生成密文，从而可以确定某个消息M来自于S。【身份赖不了，但是投票内容可以赖】l69lPPT课件课件协议性能分析（3）抵抗PIM攻击分析 假定INQ是一个在S和R之间的不安全信道上的敌对方，即中间人。在第步，消息用KS加密，这个密钥不被任何其他人所知。假设INQ从S那里截获了消息并冒充R与S协商会话密钥，如果他想进行中间人攻击，则INQ必须要冒充S来欺骗R，他选择一个整数并得到X，但他因为没有KS而不能得到X。如果他伪造一个X，R便不能正确解密得到X，因此，R和INQ将不能获得共享

49、密钥k，从而攻击失败。l70lPPT课件课件6.5.2 基于因子分解问题的可否认认证协议S随机选择aZN*，计算A=a2mod N，并将A发送给R;R发送i1,2, m给S;S计算ui=agi mod N，vi=H(ui)Int(Zi)，其中Int(zi)是hash函数执行的次数。然后发送(EPKR(ui), vi)给R。R解密EPKR(ui)得到消息，验证是否满足等式ui2=AGi mod N和vi=H(ui)Int(Zi)。如果满足，则接受；否则，拒绝。l71lPPT课件课件协议性能分析(1) 该协议是可否认的(2) 消息来源性认证(3) 可抵抗PIM攻击l72lPPT课件课件6.6 对认

50、证协议的典型攻击在认证协议的实际应用中，各种认证协议的设计背景差别很大，设计目的各异，即使在同一背景下具有相同目的的各种协议，其报文也不尽相同。因此，认证协议的设计是一项非常复杂的工作，要设计出简洁、高效而又能抵抗各种攻击的协议是很困难的。Dolev和Yao的工作具有深远的影响。迄今大部分有关认证协议的研究工作，都是遵循Dolev和Yao的基本思想。l73lPPT课件课件6.6 对认证协议的典型攻击Dolev和Yao认为攻击者具有如下能力：可以窃听所有经过网络的消息；可以阻止和截获所有经过网络的消息；可以存储所获得或自身创造的消息；可以根据存储的消息伪造消息，并发送该消息；可以作为合法的主体参