第十章数字签名与鉴别协议.pptVIP

第十章 数字签名与鉴别协议 10.1 数字签名原理 10.2 鉴别协议 10.3 数字签名标准 本章重点和复习要点 本章重点和复习要点 通信方A、B的主密钥如何进行安全分配；通信方A和B共享的对话密钥如何进行安全分配 D-H中有无KDC？D-H是对称加密算法还是公开加密算法？K是对称加密密钥还是公开加密密钥？该方案有无鉴别通信双方的功能，所以容易遭受什么攻击？ N-S算法有无KDC？它是一个对称加密算法还是公开加密算法？KS是对称加密密钥还是公开加密密钥？ N-S的密钥分配和相互鉴别过程 为什么说CA相对KDC来说不容易形成瓶颈？ 返回首页 10.1 数字签名原理 当通信双方发生了下列情况时，数字签名技 术必须能够解决引发的争端： ? 否认，发送方不承认自己发送过某一报文。 ? 伪造，接收方自己伪造一份报文，并声称它来自发送方。 ? 冒充，网络上的某个用户冒充另一个用户接收或发送报文。 ? 篡改，接收方对收到的信息进行篡改。 返回首页 10.1.1-2 数字签名原理和流程 公开密钥算法对信息直接加密（作为数字签 名）非常耗时，因此： 1）首先生成一个代表你的报文的简短的、独特的报文摘要； 2）其次用发送方的私钥加密这个摘要，作为发送方对该报文的数字签名。 数字签名流程： (1) 采用散列算法对原始报文进行运算，得到一个固定长度的数字串，称为报文摘要(Message Digest)，保证了报文的不可更改性。 (2) 发送方用目己的私有密钥对摘要进行加密来形成数字签名。 (3) 这个数字签名将作为报文的附件和报文一起发送给接收方。 (4) 接收方首先对接收到的原始报文用同样的算法计算出新的报文摘要， 再用发送方的公开密钥对报文附件的数字签名进行解密， 比较两个报文摘要，如果值相同，接收方就能确认该数字签名是发送方的，否则就认为收到的报文是伪造的或者中途被篡改。 10.2 鉴别协议 10.2.1 报文鉴别 1）一种方法是发送方用自己的私钥对报文签名，签名足以使任何人相信报文是可信的。 2）另一种方法常规加密算法也提供了鉴别。但有两个问题，一是不容易进行常规密钥的分发，二是接收方没有办法使第三方相信该报文就是从发送方送来的，而不是接收方自己伪造的。 返回首页 10.2.2 相互鉴别 利用常规加密方法进行相互鉴别不得不从 Needham—Schroeder协议谈起，它采用了常规 加密体制和密钥分配中心KDC技术。 尽管这个协议本身存在一定的安全漏洞，但 是后来发展的很多鉴别协议都是在Needham— Schroeder协议的基础上扩展而成的。 1）在该协议中，通信各方与KDC共享一个主密钥，它已通过其他安全渠道传送完成。 2）KDC为通信的双方产生短期通信所需的会话密钥，并通过主密钥来保护这些密钥的分发。 Needham—Schroeder协议步骤： （1）A?KDC:（IDa，IDb，Ra）。 通信方A将由自己的名字IDa，通信方B的名字 IDb和随机数Ra组成的报文传给KDC。 （2）KDC?A: EKa(Ra, IDb, Ks, EKb(Ks, IDa))。 KDC产生一随机会话密钥Ks ，用Kb对Ks和通信 方A名字加密。然后用Ka对通信方A的随机值、通 信方B的名字、会话密钥Ks和已加密的报文进行加 密，最后将它传送给通信方A。 （3）A?B: EKb(Ks, IDa)。 通信方A将报文解密并提取Ks。他确认Ra与他 在第(1)步中发送给KDC的一样。然后他将KDC 用Kb加密的报文转发给通信方B。 （4）B?A: EKs(Rb)。 通信方B对报文解密并提取Ks，然后产生另一随 机数Rb。他使用Ks加密它并发送给通信方A。 （5）A?B: EKs(Rb-1)。 通信方A用Ks将报文解密，产生Rb-1并用Ks对它 加密，然后将报文发回给通信方B。 （6）通信方B用Ks对信息解密，并验证它是Rb-1。 ——会话密钥分配和双向认证 尽管Needham—Schroeder协议已经考虑了重放 攻击，但是设计一个完美的没有漏洞的鉴别协议往 往是很困难的。 让我们考虑一下这种情况：如果一个对手已经获 得了一个旧的会话密钥，那么在第(3)步中就可冒充 通信方A向通信方B发送一个旧密钥的重放报文，而 此时通信方B无法确定这是一个报文的重放…… Denning对Needham—schroeder协议进行了修 改，防止这种情况下的重放攻击，其过程如下： （