13章节 认证理论 （数字签名与认证协议）.pptVIP

第13章 认证理论 （数字签名与认证协议）;13.1基本概念;数字签名应满足的要求;数字签名应具有的性质;数字签名的设计要求;13.2两类数字签名函数;13.2.1直接数字签名（DDS）;13.2.1直接数字签名(cont.）;13.2.1直接数字签名的缺点;13.2.2仲裁数字签名;仲裁数字签名技术（1）;仲裁数字签名技术（1）;仲裁数字签名技术（2）;仲裁数字签名技术（2）;注意：;仲裁数字签名技术（3）;仲裁数字签名技术（3）;13.3 RSA签名方案;13.4 EIGamal签名方案;13.4 EIGamal签名方案;13.5 数字签名标准;13.5 DSA算法描述;13.5 DSA算法描述(Cont.);13.6其它签名技术简介;13.6其它签名技术简介（Cont.);13.7认证协议;双边认证协议;消息重放：最坏情况下可能导致向敌人暴露会话密钥，或成功地冒充 其他人；至少也可以干扰系统的正常运行，处理不好将导致系统瘫 痪。;两种更为一般的方法是： 1、时间戳：A接受一个新消息仅当该消息包含一个时间戳，该时间戳在A看来，是足够接近A所知道的当前时间；这种方法要求不同参与者之间的时钟需要同步。 2、挑战/应答方式。（Challenge/Response）A期望从B获得一个新消息，首先发给B一个临时值(challenge)，并要求后续从B收到的消息（response）包含正确的这个临时值。;时间戳方法似乎不能用于面向连接的应用，因为该技术固有的困难： (1) 某些协议需要在各种处理器时钟中维持同步。该协议必须既要容错以对付网络出错，又要安全以对付重放攻击。 (2) 由于某一方的时钟机制故障可能导致临时失去同步，这将增大攻击成功的机会。 (3) 由于变化的和不可预见的网络延迟的本性，不能期望分布式时钟保持精确的同步。因此，任何基于时间戳的过程必须采用时间窗的方式来处理：一方面时间窗应足够大以包容网络延迟，另一方面时间窗应足够小以最大限度地减小遭受攻击的机会。;挑战问/应答方法不适应非连接性的应用，因为它要求在传输开始之前先有握手的额外开销，这就抵消了无连接通信的主要特点。 安全的时间服务器用以实现时钟同步可能是最好的方法。[LAM92b];传统加密方法;上述方法尽管有第4,5步的握手，但仍然有漏洞。;Denning Protocol [1982] 改进（加入时间戳）???;Denning Protocol 比 Needham/Schroeder Protocol在安全性方面增强了 一步。然而，又提出新的问题：即必须依靠各时钟均可通过网络同 步。;NEUM93a;公钥加密方法：;一个基于临时值握手协议：WOO92a;一个基于临时值握手协议：WOO92b;One-Way Authentication;传统加密方法：