第7章杂凑算法与消息认证.ppt

三、基于散列函数(HASH)的认证 认证协议 单向认证 (one-way authentication) 双方认证 (mutual authentication) 单向认证 E-mail 传统加密方法： 1、A ? KDC：IDA||IDB|| N1 2、KDC ? A：EKa[Ks || IDB || N1 || EKb [Ks || IDA]] 3、A ? B： EKb [Ks || IDA] || EKs[M] 公钥加密方法： 　　A ? B： EKUb[Ks ]|| EKs[M] A ? B： M || EKRa[H(M)] A ? B： EKUb [ M || EKRa[H(M)]] One-Way Authentication 双向认证协议 最常用的协议 该协议使得通信各方互相认证鉴别对方的身份，然后交换会话密钥 认证的成功取决于： 声称者与它的密钥间绑定的证实 声称者基于随机数的数字签名的证实 双向认证原理 传统加密方法 1、A ? KDC：IDA||IDB||N1 2、KDC ? A：EKa[Ks||IDB||N1||EKb[Ks||IDA]] 3、A ? B： EKb[Ks||IDA] 4、B ? A： EKs[N2] 5、A ? B： EKs[f(N2)] 本协议的目的就是要安全地分发一个会话密钥Ks给A和B Needham/Schroeder Protocol [1978] 安全漏洞…… 假定攻击方C已经掌握A和B之间通信的一个老的会话密钥。C可以在第3步冒充A利用老的会话密钥欺骗B。除非B记住所有以前使用的与A通信的会话密钥，否则B无法判断这是一个（旧密钥）重放攻击。如果C可以中途阻止第4步的握手信息，则可以冒充A在第5步响应。从这一点起，C就可以向B发送伪造的消息而对B来说认为是用认证的会话密钥与A进行的正常通信。 安全漏洞…… Denning Protocol [1982] 改进： 1、A ? KDC：IDA||IDB 2、KDC ? A：EKa[Ks||IDB||T||EKb[Ks||IDA||T]] 3、A ? B： EKb[Ks||IDA||T] 4、B ? A： EKs[N1] 5、A ? B： EKs[f(N1)] | Clock - T | ?t1 + ?t2 其中： ?t1 是KDC时钟与本地时钟（A或B）之间差异的估计值； ?t2 是预期的网络延迟时间。 新的问题…… 必须依靠各时钟均可通过网络同步 如果发送者的时钟比接收者的时钟要快，攻击者就可以从发送者窃听消息，并在以后当时间戳对接收者来说成为当前时重放给接收者（抑制重放攻击） 强制各方定期检查自己的时钟是否与KDC的时钟同步 采用“临时数”握手协议 解决办法 ？ KEHN92 1、A ? B： IDA||Na 2、B ? KDC： IDB||Nb || EKb[IDA || Na || Tb] 3、KDC ? A： EKa[IDB||Na ||Ks|| Tb ] || EKb[IDA || Ks || Tb] || Nb 4、A ? B： EKb[IDA || Ks || Tb] || EKs[ Nb ] 同时解决了抑制重放攻击和用旧密钥的重放攻击 公钥加密方法： 一个使用时间戳的方法是： 1、A ? AS：IDA||IDB 2、AS ? A：EKRas[IDA ||KUa || T ] || EKRas[IDB ||KUb || T ] 3、A ? B： EKRas[IDA||KUa|| T] || EKRas[IDB || KUb || T] || EKUb[EKRa [Ks||T]] 一个基于临时值握手协议：WOO92b 1、A ? KDC：IDA||IDB 2、KDC ? A：EKRauth[IDB ||KUb] 3、A ? B： EKUb[Na ||IDA] 4、B ? KDC： IDB||IDA || EKUauth[Na] 5、KDC ? B： EKRauth[IDA ||KUa]|| EKUb[EKRauth [Na||Ks|| ||IDA IDB]] 6、B ? A： EKUa[EKRauth[ Na ||Ks || ||IDA IDB]||Nb] 7、 A ? B： EKs[Nb] * Preimage：逆象，原象。Preimage resistance指单向性，不可逆性。 Collision resistance:抗碰撞性。 * 压缩函数F。 * 用新的口令的HASH值代替原先的口