网络安全教程第12章-密钥交换协议(II):课件.ppt
- 【下载声明】
1. 本站全部试题类文档,若标题没写含答案,则无答案;标题注明含答案的文档,主观题也可能无答案。请谨慎下单,一旦售出,不予退换。
2. 本站全部PPT文档均不含视频和音频,PPT中出现的音频或视频标识(或文字)仅表示流程,实际无音频或视频文件。请谨慎下单,一旦售出,不予退换。
3. 本页资料《网络安全教程第12章-密钥交换协议(II):课件.ppt》由用户(三亚风情)主动上传,其收益全归该用户。163文库仅提供信息存储空间,仅对该用户上传内容的表现方式做保护处理,对上传内容本身不做任何修改或编辑。 若此文所含内容侵犯了您的版权或隐私,请立即通知163文库(点击联系客服),我们立即给予删除!
4. 请根据预览情况,自愿下载本文。本站不保证下载资源的准确性、安全性和完整性, 同时也不承担用户因使用这些下载资源对自己和他人造成任何形式的伤害或损失。
5. 本站所有资源如无特殊说明,都需要本地电脑安装OFFICE2007及以上版本和PDF阅读器,压缩文件请下载最新的WinRAR软件解压。
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- 网络安全 教程 12 密钥 交换 协议 II 课件
- 资源描述:
-
1、12.1 12.1 协议安全性的概念协议安全性的概念12.2 Diffie-Hellman12.2 Diffie-Hellman协议协议12.3 SIGMA12.3 SIGMA协议协议12.4 SSL/TLS12.4 SSL/TLS协议协议12.5 VPN12.5 VPN与与IPSecIPSec协议协议 带身份认证的密钥交换协议需要要同时完带身份认证的密钥交换协议需要要同时完成两类目标:第一,在线认证协议当前参与成两类目标:第一,在线认证协议当前参与方的身份,其中某些协议只追求一方认证另方的身份,其中某些协议只追求一方认证另一方的身份,称为一方的身份,称为“单向认证单向认证”,另一些协,另一些
2、协议追求双方互相认证,称为议追求双方互相认证,称为“双向认证双向认证”; 第二,在协议双方之间生成一个密钥第二,在协议双方之间生成一个密钥K Ks s,K Ks s用于接下来对一切需要保密的数据进行对用于接下来对一切需要保密的数据进行对称加密。精确地说,这类协议的安全目标包称加密。精确地说,这类协议的安全目标包括以下必须被同时满足的三点。括以下必须被同时满足的三点。 如果协议任何一方如果协议任何一方A(B) A(B) 按照协议的逻辑按照协议的逻辑判定对方的身份是判定对方的身份是B(A)B(A),则当前实际参与协,则当前实际参与协议的对方确实是议的对方确实是B(A)B(A),这就是抗身份欺诈性,
3、这就是抗身份欺诈性质。质。 如果协议任何一方如果协议任何一方A(B) A(B) 按照协议的逻辑按照协议的逻辑判定当前与之会话的对方是判定当前与之会话的对方是B(A)B(A),则对方也,则对方也必定判定当前与之会话的对方是必定判定当前与之会话的对方是A(B)A(B),这就,这就是协议的一致性。是协议的一致性。 除合法参与方之外,协议所生成的会话除合法参与方之外,协议所生成的会话密钥密钥K Ks s对任何第三方(包括被动或主动攻击对任何第三方(包括被动或主动攻击者)都无法(用者)都无法(用P.P.T.P.P.T.算法)有效推断出来,算法)有效推断出来,这就是密钥保密性。这就是密钥保密性。 设设G
4、G是循环群,如是循环群,如F Fp p* *(p p是大素数),是大素数),g g是是其公开的生成子,其公开的生成子,G G上的离散对数问题是指:上的离散对数问题是指:任给任给U U= =g gx x求指求指x x;G G上的计算性上的计算性Diffie-Diffie-HellmanHellman问题是指:任给问题是指:任给U U= =g gx x和和V V= =g gy y两个元素,两个元素,求求g gxyxy;G G上的判定性上的判定性Diffie-HellmanDiffie-Hellman问题是指:问题是指:任给任给U U= =g gx x、V V= =g gy y和和W W三个元素,判
5、定三个元素,判定W W?= =g gxyxy。 Diffie-HellmanDiffie-Hellman协议的安全性要求协议的安全性要求G G上的上的判定性判定性Diffie-HellmanDiffie-Hellman问题难解,即不存在问题难解,即不存在P.P.T.P.P.T.算法算法A A能从任意的输入能从任意的输入U U(=(=g gx x) )、V V(=(=g gy y) )和和W W以显著偏离以显著偏离1/21/2的概率判定的概率判定W W?= =g gxyxy。 设设SIG=(KGSIG=(KGs s, Sign, Vf), Sign, Vf)是抗伪造的数字是抗伪造的数字签名方案,
6、签名方案,=(KG=(KGe e,E,D),E,D)是保密的对称加密是保密的对称加密方案。方案。 Diffie-HellmanDiffie-Hellman协议的过程如图协议的过程如图12-112-1所示,所示,其中其中( (vkvkA A, ,skskA A) )和和( (vkvkB B, ,skskB B) )分别是分别是A A和和B B的签字的签字公钥和私钥,并且假定公钥和私钥,并且假定A A和和B B事先已从可信任事先已从可信任的途径(如公钥基础设施中的数字证书)获的途径(如公钥基础设施中的数字证书)获得了对方签字公钥(得了对方签字公钥(vkvkB B和和vkvkA A),),f f是任
7、何一是任何一种散列函数。种散列函数。 A B A 随机生成x; B, gx, B BSign(skB, gx); 验证数字签名; 密钥交换 随机生成y; 阶段 计算出 gxy(gx)y; ASign(skA, gy) gy, A, E(gxy, 0|A|B) 验证数字签名; 计算出gxy(gy)x; 解密并验证明文是0|A|B; 解密并验证明文是1|B|A E(gxy, 1|B|A) E(f(gxy), Mi), i=1, 2, 3, 保密会话阶段 12.3.1 主体协议主体协议12.3.2 匿名的变体匿名的变体12.3.3 完整的协议实例:完整的协议实例:SIGMA-R 12.3.1 主体协
8、议主体协议 SIGMA SIGMA协议也是一类基于判定性协议也是一类基于判定性Diffie-Diffie-HellmanHellman问题难解性的密钥交换协议。问题难解性的密钥交换协议。 记号记号prfprf表示拟随机函数(在目前阶段读表示拟随机函数(在目前阶段读者将其想象为散列函数即可),者将其想象为散列函数即可),SIG=(KGs,Sign,Vf)SIG=(KGs,Sign,Vf)是抗伪造的数字签名方案,是抗伪造的数字签名方案,MAC=(KGm, MAC, MVf)MAC=(KGm, MAC, MVf)是抗伪造的消息认证码是抗伪造的消息认证码方案,循环群方案,循环群G G以以g g为公开的
9、生成子,为公开的生成子,G G上的判上的判定性定性Diffie-HellmanDiffie-Hellman问题难解。问题难解。 SIGMASIGMA协议过程如图协议过程如图12-212-2所示,其中所示,其中CA(A|CA(A|vkvkA)A)和和CA(B|CA(B|vkvkB)B)表示表示A A和和B B的公钥证的公钥证书。书。 A B 随机生成 x; gx 随机生成y; 计算出gxy和 Kmprf(0|gxy) gy, CA(B|vkB), Sign(skB, gx|gy), MAC(Km,CA(B|vkB) 计算出gxy和 Kmprf(0|gxy); 验证 B 的数字签名和 MAC(Km
10、,CA(B|vkB); CA(A|vkA), Sign(skA, gy|gx), MAC(Km, CA(A|vkA) 验证A的数字签名和 MAC(Km,CA(A|vkA); 12.3.2 匿名的变体匿名的变体 SIGMA SIGMA协议有能力针对一类特殊应用模式,协议有能力针对一类特殊应用模式,即协议参与方之一事先未必总能明确当前需即协议参与方之一事先未必总能明确当前需要与之对话的对方。要与之对话的对方。 这时一个常见的需求是协议的某一方不这时一个常见的需求是协议的某一方不先行暴露自己,仅在确认对方具有可信任的先行暴露自己,仅在确认对方具有可信任的身份之后再向对方出示自己的身份。身份之后再向对
11、方出示自己的身份。 图图12-212-2中所示的中所示的SIGMASIGMA协议已经具有这一协议已经具有这一特点:特点:B B先向先向A A出示自己的身份(第二条消出示自己的身份(第二条消息),而息),而A A仅在认证了仅在认证了B B的身份之后才向的身份之后才向B B表明表明自己的身份(第三条消息)。自己的身份(第三条消息)。 在实际应用中,这给了协议发起方在实际应用中,这给了协议发起方A A一个一个机会,一旦对方不属于自己所信任的实体,机会,一旦对方不属于自己所信任的实体,A A将立刻终止协议而不向将立刻终止协议而不向B B暴露自己的身份。暴露自己的身份。 这就是第一类匿名性质,即协议的参
12、与方这就是第一类匿名性质,即协议的参与方之一总是在另一方的身份被完全认证之后才之一总是在另一方的身份被完全认证之后才出示自己的身份。出示自己的身份。 这一性质也称为后验身份认证性质。这一性质也称为后验身份认证性质。 图图12-212-2中的中的SIGMASIGMA协议就使协议就使A A具有对具有对B B的后的后验身份认证性质。验身份认证性质。 A B 随机生成x gx 随机生成y; gy CA(A|vkA), Sign(skA, gx|gy), MAC(Km, CA(A|vkA) CA(B|vkB), Sign(skB, gy|gx), MAC(Km, CA(B|vkB) 还有第二类匿名性质,
13、即协议双方对任何还有第二类匿名性质,即协议双方对任何非参与方完全匿名。非参与方完全匿名。 这一要求在当代无线网络环境中是非常现这一要求在当代无线网络环境中是非常现实的:通信双方不仅需要保密其传输的数据,实的:通信双方不仅需要保密其传输的数据,而且经常期望不向任何第三方暴露自己的身而且经常期望不向任何第三方暴露自己的身份,以免暴露自己的行踪。份,以免暴露自己的行踪。 SIGMASIGMA协议略加修改就可以满足这一要求,协议略加修改就可以满足这一要求,办法是对含身份标识的消息进行对称加密,办法是对含身份标识的消息进行对称加密,而加密密钥来自当前协议会话生成的随机数。而加密密钥来自当前协议会话生成的
展开阅读全文