第3章信息认证技术导论.ppt

3.5 身份认证 2.基于对称密钥的单向身份认证 基于对称密钥的单向认证一般也采用以KDC为基础的方法。但是在电子邮件的应用中，无法要求发送方和接收方同时在线，因此在协议过程中不存在双方的交互。具体过程如下： [1] A→KDC:IDA||IDB||N1 [2] KDC→A:EKa(KS||IDB||N1||EKb(KS||IDA)) [3] A→B:EKb(IDA||KS)||EKs(M) A认证了B 3.5 身份认证 基于公钥的双向身份认证 （1）Denning-Sacco协议是一种使用时间戳机制的公钥分配和认证方法。假设通信双方分别为A和B，AS为认证服务器。 [1] A→AS:IDA||IDB [2] AS→A: EKSas(IDA||KPa||T)|| EKSas(IDB||KPb||T) (服务器为双方鉴定身份，不分配密钥) [3] A→B: EKSas(IDA||KPa||T)|| EKSas(IDB||KPb||T)|| EKPb(EKSa(KS||T)) （A将共享密钥发给B） 需要严格的时钟同步保证安全性 基于公钥的双向身份认证 （2）Woo-Lam协议 Woo-Lam协议使用随机数作为临时交互值来代替时间戳。 [1] A→KDC:IDA||IDB [2] KDC→A:EKSk(IDB||Kpb) (KDC将B的公钥给A) [3] A→B:EKPB (N1||IDA) （A向B介绍自己） [4] B→KDC:IDB||IDA||EKPK(N1) （B向KDC请求A的公钥和会话密钥） [5] KDC→B:EKSk(IDA||Kpa)||EKpb(EKsk(N1||KS||IDB)) [6] B→A:EKpa(EKsk(N1||KS||IDB)||N2) [7] A→B:EKs(N2) （使B确信A获得了正确的会话密钥） A的身份信息未与会话密钥绑定，第五步容易被偷梁换柱。 改进 [1] A→KDC:IDA||IDB [2] KDC→A:EKpk(IDB||Kpb) [3] A→B:EKpb(N1||IDA) [4] B→KDC:IDB||IDA||EKpk(N1) [5] KDC→B:EKsk(IDA||Kpa)||EKpb(EKsk(N1||KS||IDA||IDB)) [6] B→A:EKpa(EKsk(N1||KS||IDA||IDB)||N2) [7] A→B:EKs(N2) 3.5 身份认证 2.基于公钥的单向身份认证 使用公钥进行验证的步骤相对简洁，主要有如下几种使用方法： （1）A→B:EKPb(KS)||EKs(M) （保证机密性） （2）A→B:EKSa(H(M))||M （保证完整性和不可否认性） （3）A→B:EKPb(KS)||EKs(M||EKSa(H(M))) （前两者的结合） （4）A→B:EKPb(KS)||EKs(M||EKSa(H(M)))||EKSca(T||IDA||KPa) （证书权威机构对A公钥的签名） Diffie-Hellman密钥交换 1976年Diffie和Hellman发明了DH算法，该算法是一个公开密钥算法，其安全性源于在有限域上计算离散对数比计算指数更为困难。 DH算法用于密钥分配，但不能用于加密或解密。 DH算法已经申请美国和加拿大的专利，目前该专利已经到期。 DH算法容易受到中间人攻击。 Diffie-Hellman 密钥分配方案 两个通信主体Alice和Bob ，希望在公开信道上建立共享密钥 选择一个大素数n 一个生成元g Alice 选择一个秘密钥( private key) x n Bob选择一个秘密钥( private key )y n Alice and Bob分别公开 g x mod n, g y mod n 共享密钥的生成 计算共享密钥： KAB = (g x mod n ) y (which B can compute) = (g y mod n ) x (which A can compute) = g xy mod n KAB 可以用于对称加密密钥 Diffie-Hellman 密钥分配协议 一 两个主体每次可以选择新的秘密钥(私钥)，并计算及交换新的公钥 二 可以抵抗被动攻击，但不能抵抗主动攻击 三 为抵抗主动攻击，需要其它新的协议 四 每次可以给出新的密钥，也可以建立长期公钥 Diffie-Hellman 应用的问题 DIFFIE-HELLMAN协议的中间人攻击 * 2004年