认证第2讲鉴别协议.ppt

* 5.5鉴别和交换协议 如果用于连接完整性服务的密钥被在线建立，那么事实证明将认证和密钥交换功能组合在一个协议中是重要的（鉴别和密钥交换协议）。 最常用的协议，该协议使得通信各方互相鉴别各自的身份，然后交换会话密钥。 基于鉴别的密钥交换核心问题有两个： 保密性 时效性 * 5.5.1 双向鉴别 传统加密方法 Needham/Schroeder Protocol [1978] Denning Protocol [1982] KEHN92 公钥加密方法 一个基于临时值握手协议：WOO92a 一个基于临时值握手协议：WOO92b * 5.5.1 Needham/Schroeder Protocol [1978] * 5.5.1传统加密方法 1、A ? KDC：IDA||IDB||N1 2、KDC ? A：EKa[Ks||IDB||N1||EKb[Ks||IDA]] 3、A ? B： EKb[Ks||IDA] 4、B ? A： EKs[N2] 5、A ? B： EKs[f(N2)] 保密密钥Ka和Kb分别是A和KDC、B和KDC之间共享的密钥。 本协议的目的就是要安全地分发一个会话密钥Ks给A和B。 A在第2步安全地得到了一个新的会话密钥，第3步只能由B解密、 并理解。第4步表明B已知道Ks了。第5步表明B相信A知道Ks并且 消息不是伪造的。 第4，5步目的是为了防止某种类型的重放攻击。特别是，如果敌方 能够在第3步捕获该消息，并重放之，这将在某种程度上干扰破坏B 方的运行操作。 Needham/Schroeder Protocol [1978] * 5.5.1上述方法尽管有第4,5步的握手，但仍然有漏洞。 假定攻击方C已经掌握A和B之间通信的一个老的会话密钥。 C可以在第3步冒充A利用老的会话密钥欺骗B。除非B记住所有以前使用的与A通信的会话密钥，否则B无法判断这是一个重放攻击。如果C可以中途阻止第4步的握手信息，则可以冒充A在第5步响应。从这一点起，C就可以向B发送伪造的消息而对B来说认为是用认证的会话密钥与A进行的正常通信。 * 5.5.1 Denning Protocol [1982] 改进： 1、A ? KDC：IDA||IDB 2、KDC ? A：EKa[Ks||IDB||T||EKb[Ks||IDA||T]] 3、A ? B： EKb[Ks||IDA||T] 4、B ? A： EKs[N1] 5、A ? B： EKs[f(N1)] | Clock - T | ?t1 + ?t2 其中： ?t1 是KDC时钟与本地时钟（A或B）之间 差异的估计值； ?t2 是预期的网络延迟时间。 * 5.5.1 Denning Protocol 比 Needham/Schroeder Protocol在安全性方面增强了一步。然而，又提出新的问题：即必须依靠各时钟均可通过网络同步。 如果发送者的时钟比接收者的时钟要快，攻击者就可以从发送者窃听消息，并在以后当时间戳对接收者来说成为当前时重放给接收者。这种重放将会得到意想不到的后果。（称为抑制重放攻击）。 一种克服抑制重放攻击的方法是强制各方定期检查自己的时钟是否与KDC的时钟同步。 另一种避免同步开销的方法是采用临时数握手协议。 * 5.5.1 KEHN92 1、A ? B： IDA||Na 2、B ? KDC： IDB||Nb || EKb[IDA || Na || Tb] 3、KDC ? A： EKa[IDB||Na ||Ks|| Tb ] || EKb[IDA || Ks || Tb] || Nb 4、A ? B： EKb[IDA || Ks || Tb] || EKs[ Nb ] * 5. 5.1双向鉴别—对称密码 5. 5.2双向鉴别—公钥密码 5. 5.3单向鉴别—对称密码 5. 5.4单向鉴别—公钥密码 5.5 密码交换协议 * 5.5.2公钥加密方法： * 5.5.2公钥加密方法： 一个使用时间戳 的方法是： 1A ? AS：IDA||IDB 2AS ? A：EKRas[IDA ||KUa || T ] || EKRas[IDB ||KUb || T ] 3A ? B： EKRas[IDA||KUa|| T] || EKRas[IDB || KUb || T] || EKUb[EKRa [Ks||T]] A B TP （3） （2） （1） * 5.5.2一个基于临时值握手协议：WOO92a 1、A ? KDC：IDA||IDB 2、KDC ? A：EKRauth[IDB ||KUb] 3、A ? B：