第4讲《认证协议与密钥建立协议设计》课件

大家好大家好 第第第第4 4讲讲讲讲:认证协议与密钥建立协议设计认证协议与密钥建立协议设计认证协议与密钥建立协议设计认证协议与密钥建立协议设计主讲人：主讲人：xxxxxxxxxxxx12 12 七月七月 2024 2024通信网安全理论与技术通信网安全理论与技术课程课程实践性通信安全保障协议安全设计理论和技术基础前导性8.课程体系及主要内容讲解内容 通信网安全现状、趋势与策略通信网安全现状、趋势与策略第第第第1 1讲讲讲讲 通信网技术基础与安全体系通信网技术基础与安全体系第第第第2 2讲讲讲讲 通信网安全基础理论与技术通信网安全基础理论与技术(密码学、攻击与防御技术密码学、攻击与防御技术)第第第第3 3讲讲讲讲 网络安全协议理论设计与分析网络安全协议理论设计与分析 认证协议以及密钥建立协议认证协议以及密钥建立协议第第第第4 4讲讲讲讲 特殊数字签名与阈下信道设计特殊数字签名与阈下信道设计第第第第5 5讲讲讲讲 零知识证明及其安全协议构造零知识证明及其安全协议构造第第第第6 6讲讲讲讲 安全协议分析与设计安全协议分析与设计第第第第7 7讲讲讲讲 典型的网络安全协议典型的网络安全协议(IPSec(IPSec协议、协议、KerberosKerberos协议、协议、Radius/AAARadius/AAA协协议议)第第第第8 81010讲讲讲讲 通信网安全保障技术通信网安全保障技术第第第第1111讲讲讲讲 无线网络安全性增强技术无线网络安全性增强技术(WLAN(WLAN为主为主)第第第第1212讲讲讲讲 网络防火墙与入侵防御技术网络防火墙与入侵防御技术第第第第1313讲讲讲讲 网络安全实现方案设计与分析网络安全实现方案设计与分析第第第第1414讲讲讲讲内容提要1.1.认证基本概念认证基本概念2.2.身份认证身份认证3.3.密钥建立协议密钥建立协议4.4.密钥协商协议密钥协商协议5.5.密钥共享协议密钥共享协议内容提要1.1.认证基本概念认证基本概念 身份认证身份认证 数据源认证数据源认证 密钥建立密钥建立 对认证协议的攻击对认证协议的攻击 认证协议记法约定认证协议记法约定 协议参与者行为约定协议参与者行为约定2.2.身份认证身份认证3.3.密钥建立协议密钥建立协议4.4.密钥协商协议密钥协商协议5.5.密钥共享协议密钥共享协议1.认证基本概念 我们日常很多活动，都需要预先确认活动参与者的身份：我们日常很多活动，都需要预先确认活动参与者的身份：银行银行ATMATM取款取款 寄收挂号信寄收挂号信 打电话打电话 相亲约会、接头相亲约会、接头 通信网中，其协议的参与双方，也需要取信对方，确信对方参与了通信网中，其协议的参与双方，也需要取信对方，确信对方参与了协议运行协议运行 须获取某种确凿的证据须获取某种确凿的证据1.认证基本概念 认证认证：一个实体向另一个实体一个实体向另一个实体证明证明某种声称的属性的过程某种声称的属性的过程 C C是一个主体，声称拥有进入是一个主体，声称拥有进入S S的系统或者使用的系统或者使用S S的服务的合法权利，的服务的合法权利，S S通通通通过认证过认证过认证过认证，确认，确认C C确实拥有这种权利，并且接收确实拥有这种权利，并且接收C C的请求的请求 认证认证(Authentication)(Authentication)，也即鉴别，是通信网中其它所有安全措施实施的基础，也即鉴别，是通信网中其它所有安全措施实施的基础 认证至少涉及到两个独立的通信实体认证至少涉及到两个独立的通信实体 认证过程认证过程 =认证协议，认证协议，包含三个方面的含义：包含三个方面的含义：身份认证：身份认证：主要主要验证消息发送者验证消息发送者所声称身份所声称身份所声称身份所声称身份的真实性的真实性 数据源认证：数据源认证：主要主要验证消息中验证消息中某个声称属性某个声称属性某个声称属性某个声称属性的真实性的真实性 密钥建立认证：密钥建立认证：致力于产生一条致力于产生一条安全信道安全信道安全信道安全信道，用于后继的安全通信会话，用于后继的安全通信会话1.认证基本概念身份认证 身份认证身份认证是一个通信过程是一个通信过程 身份认证身份认证的目的的目的 验证主体（实体验证主体（实体A A）和示证主体（实体）和示证主体（实体B B）之间建立真实的通信）之间建立真实的通信 实体实体B B声称的身份与实体声称的身份与实体A A意定通信方一致意定通信方一致 简言之，简言之，身份认证身份认证是是确认主体之间通信确认主体之间通信的真实性，或的真实性，或通信双方身份通信双方身份的真实性的真实性1.认证基本概念身份认证 身份认证类型：身份认证类型：主机主机-主机类型：主机类型：通信实体是分布式系统中被称为通信实体是分布式系统中被称为“节点节点”的计算机或平台的计算机或平台 用户用户-主机类型：主机类型：用户通过登录系统中某台主机来访问该计用户通过登录系统中某台主机来访问该计算机系统。算机系统。进程进程-主机类型：主机类型：主机调用外部进程并给外部进程授予不同主机调用外部进程并给外部进程授予不同的接入权限的接入权限 成员成员-俱乐部类型：俱乐部类型：可把成员拥有俱乐部证书的证明看做是可把成员拥有俱乐部证书的证明看做是一般化的一般化的“用户用户-主机类型主机类型”1.认证基本概念数据源认证 数据源认证，又称消息认证，数据源认证，又称消息认证，数据源认证，又称消息认证，数据源认证，又称消息认证，与与数据完整性数据完整性密切相关密切相关 早期人们认为：两者没有本质区别。这种观点是基于：使用早期人们认为：两者没有本质区别。这种观点是基于：使用被恶被恶意修改意修改过的信息和使用过的信息和使用来源不明来源不明的消息具有相同的风险。的消息具有相同的风险。与与数据完整性数据完整性的的差别差别 数据源认证：数据源认证：验证消息是否真实、是否新鲜验证消息是否真实、是否新鲜 数据完整性：验证消息在传输、存储过程中数据完整性：验证消息在传输、存储过程中未被未授权方式修改未被未授权方式修改 数据源认证数据源认证 vs.vs.数据完整性数据完整性数据源认证必然需要通信，数据完整性则不一定包含通信过程，例如存储数据的完整性数据源认证必然需要识别消息源，而数据完整性则不一定涉及该过程，例如无源识别的数据完整性技术最重要的，数据源认证必然需要确认消息的新鲜性，而数据完整性却无此必要：一组老的数据可能有完善的数据完整性新鲜性：消息的新鲜性：消息的新鲜性：消息的新鲜性：消息的发送和接收发送和接收发送和接收发送和接收的时间间隔的时间间隔的时间间隔的时间间隔足够小足够小足够小足够小1.认证基本概念数据源认证 数据源认证数据源认证数据源认证数据源认证包含从某个声称的源（发送者）到接收者（验证者）的包含从某个声称的源（发送者）到接收者（验证者）的消息传输过程消息传输过程，该接收者在接收时会验证消息，其验证的目的有三：，该接收者在接收时会验证消息，其验证的目的有三：1.1.确认消息发送者的身份属性确认消息发送者的身份属性2.2.确认在原消息离开消息发送者之后的确认在原消息离开消息发送者之后的数据完整性数据完整性3.3.确认消息传输的确认消息传输的“新鲜性新鲜性”1.认证基本概念数据源认证 与与身份认证身份认证的关系的关系 当实体声称的身份信息单独构成协议消息时，身份当实体声称的身份信息单独构成协议消息时，身份认证（确认实体声称认证（确认实体声称身份的真实性身份的真实性）数据源认证数据源认证（确认消息声称（确认消息声称属性的真实性属性的真实性）1.认证基本概念认证的密钥建立 认证的密钥建立认证的密钥建立/密钥交换密钥交换/密钥协商密钥协商 与与身份认证身份认证的关系的关系 身份认证的目的在于能在高层或者应用层上进行安全通身份认证的目的在于能在高层或者应用层上进行安全通信，信，安全通信信道的基础是密钥安全通信信道的基础是密钥 认证的密钥建立是身份认证的一个子任务认证的密钥建立是身份认证的一个子任务 与与数据源认证数据源认证的关系的关系 密钥建立素材是数据源认证的内容密钥建立素材是数据源认证的内容 1.认证基本概念对认证协议的攻击 对认证协议的攻击对认证协议的攻击 虽认证协议采用了密码技术，但仍会成为攻击者攻击目标虽认证协议采用了密码技术，但仍会成为攻击者攻击目标 攻击目的：获得未经授权的利益攻击目的：获得未经授权的利益 攻击后果攻击后果 较小较小例如：例如：MaliceMalice成功地欺骗某个主体对某个宣称属性做出成功地欺骗某个主体对某个宣称属性做出 错误判断错误判断 严重严重例如：例如：MaliceMalice获得机密信息或者密钥获得机密信息或者密钥 1.认证基本概念对认证协议的攻击 对认证协议攻击的内涵对认证协议攻击的内涵 针对认证协议的针对认证协议的设计缺陷，设计缺陷，而不涉及破解协议而不涉及破解协议底层的底层的密码算法密码算法 协议的设计缺陷：指某个主体协议的设计缺陷：指某个主体断定断定自己和意定的通信自己和意定的通信方正常运行了协议，而意定的通信方却有不同的结论方正常运行了协议，而意定的通信方却有不同的结论 协议设计有缺陷协议设计有缺陷 认证协议是不安全的认证协议是不安全的1.认证基本概念认证协议记法约定 记法约定：协议消息的语法与语义记法约定：协议消息的语法与语义 Alice,Bob,Eve,Malice,Alice,Bob,Eve,Malice,：主体名称，简写为：主体名称，简写为A A,B B,E E,MM,；Alice Alice Bob:Bob:MM：AliceAlice给给BobBob发送消息发送消息MM；MM K K：用密钥：用密钥K K加密消息加密消息MM得到的密文；得到的密文；K K,K KABAB,K KATAT,K KA A,：密码密钥：密码密钥,其中其中K KXYXY表示主体表示主体X X和和Y Y共享的密钥共享的密钥,K KX X表示主体表示主体X X的公钥；的公钥；N N,N Na a,：一次性随机数，：一次性随机数，N Nx x表示主体表示主体X X的随机数；的随机数；T TX X：主体：主体X X创建的时戳；创建的时戳；SigSigA A(MM)：主体：主体A A对消息对消息MM的数字签名。的数字签名。1.认证基本概念协议参与者行为约定 诚实主体诚实主体诚实主体诚实主体 协议成功终止以前，不能理解任何协议消息的语义协议成功终止以前，不能理解任何协议消息的语义 不能识别、创建或者分解不能识别、创建或者分解 MM K K，除非拥有正确密钥，除非拥有正确密钥 不能识别随机数据，除非自己创建的，或是协议运不能识别随机数据，除非自己创建的，或是协议运行完后的输出行完后的输出 不主动记录协议消息，除非协议规定必须记录，或不主动记录协议消息，除非协议规定必须记录，或是协议运行完后的输出是协议运行完后的输出1.认证基本概念协议参与者行为约定 可以认为诚实主体是可以认为诚实主体是天真的天真的：在理解协议消息方面很在理解协议消息方面很“愚愚笨笨”、盲目，不能预见存在、盲目，不能预见存在“聪明聪明”的的MaliceMalice通过把协议通过把协议消息的各个部分按照错误的顺序消息的各个部分按照错误的顺序“重新编排重新编排”，以造成诚，以造成诚实主体错误地解释协议消息实主体错误地解释协议消息 总之，诚实主体不进行协议攻击，不对任何例外进行预测，完总之，诚实主体不进行协议攻击，不对任何例外进行预测，完全按照协议的规定执行全按照协议的规定执行1.认证基本概念协议参与者行为约定 攻击者攻击者攻击者攻击者 能截获经过网络的任何消息能截获经过网络的任何消息 能够冒充任何别的主体给其它主体发消息能够冒充任何别的主体给其它主体发消息 常以常以一个合法的网络使用者身份一个合法的网络使用者身份出现出现 能够主动发起与任何其他用户的会话能够主动发起与任何其他用户的会话 有机会成为任何主体发出信息的接收者有机会成为任何主体发出信息的接收者 知道诚实主体是知道诚实主体是“天真天真”的的 总之，攻击者想尽办法利用诚实主体的弱点进行协议攻击总之，攻击者想尽办法利用诚实主体的弱点进行协议攻击1.认证基本概念协议参与者行为约定 攻击者攻击者攻击者攻击者 不能不能不能不能猜到从足够大的空间中选出的随机数猜到从足够大的空间中选出的随机数 没没没没有有有有正正确确的的密密钥钥，不不不不能能能能由由给给定定的的密密文文恢恢复复出出明明文文，也不能也不能也不能也不能从给定的明文构造出正确的密文从给定的明文构造出正确的密文 不不不不能能能能从从公公开开信信息息导导出出私私有有部部分分，如如与与给给定定公公钥钥匹匹配的私钥配的私钥 不不不不能能能能控控制制计计算算环环境境中中的的许许多多私私有有区区域域，如如：访访问问离线主体的存储器离线主体的存储器内容提要1.1.认证基本概念认证基本概念2.2.身份认证身份认证 基本功能基本功能 主要实现方式主要实现方式 基于口令基于口令 基于单向函数的一次性口令基于单向函数的一次性口令 基于智能卡基于智能卡 基于生物特征基于生物特征 双因素认证双因素认证 挑战挑战挑战挑战-应答机制应答机制应答机制应答机制 时间戳机制时间戳机制3.3.密钥建立协议密钥建立协议4.4.密钥协商协议密钥协商协议5.5.密钥共享协议密钥共享协议2.身份认证 基本功能 在通信网中，身份认证的功能在于：在通信网中，身份认证的功能在于：诚实主体诚实主体AliceAlice可成功地向对方可成功地向对方BobBob证实自己的身份证实自己的身份 BobBob不能重复使用不能重复使用和和AliceAlice交换的身份识别信息来交换的身份识别信息来假假冒冒AliceAlice和第三方和第三方CarlosCarlos完成协议运行完成协议运行 任何人都不能假冒任何人都不能假冒AliceAlice来和来和BobBob完成协议运行完成协议运行 2.身份认证 主要实现方式 要对某主体进行身份认证，其方式有很多，主要有：要对某主体进行身份认证，其方式有很多，主要有：利用主体利用主体所知道的内容：所知道的内容：所知道的内容：所知道的内容：用户名用户名-口令、密钥口令、密钥 利用主体利用主体所拥有的事物：所拥有的事物：所拥有的事物：所拥有的事物：智能卡、令牌卡智能卡、令牌卡 利用主体本身利用主体本身所具有的特征：所具有的特征：所具有的特征：所具有的特征：指纹、虹膜、声音、签字等指纹、虹膜、声音、签字等 双因素认证：综合利用以上多种手段双因素认证：综合利用以上多种手段 身份认证协议：双方通过一系列的身份认证协议：双方通过一系列的“问问问问-答答答答”形式形式形式形式来确定对方的来确定对方的身份，身份，类似：接头暗语类似：接头暗语 2.身份认证 基于口令 通过用户输入的用户名和口令来确立用户身份，最常见、最简单通过用户输入的用户名和口令来确立用户身份，最常见、最简单 例如：电子邮箱、论坛等例如：电子邮箱、论坛等 实现过程：实现过程：实现过程：实现过程：用户用户AliceAlice输入用户名和口令，系统在数据库中查找和输入用户名和口令，系统在数据库中查找和AliceAlice对应的口令是否和接收到的一致。如果一致，则接受用户所声对应的口令是否和接收到的一致。如果一致，则接受用户所声称的身份称的身份AliceAlice，否则拒绝，否则拒绝 安全性很脆弱：口令易泄漏、口令传输安全性很脆弱：口令易泄漏、口令传输/传输不安全传输不安全2.身份认证 基于口令 改进型：改进型：将口令从明文存储变为哈希值存储将口令从明文存储变为哈希值存储 利用利用saltsalt字符串进一步修正口令的存储方案字符串进一步修正口令的存储方案 口令文件存入口令与一个随机字符串口令文件存入口令与一个随机字符串 saltsalt级联后的哈希值。系统接级联后的哈希值。系统接收到用户输入的口令后，计算口令和收到用户输入的口令后，计算口令和saltsalt级联的哈希值，与系统中存级联的哈希值，与系统中存储的哈希值做匹配。如果匹配成功，则接受该用户，否则拒绝储的哈希值做匹配。如果匹配成功，则接受该用户，否则拒绝 攻击者每攻击一个用户的口令，都不得不加入攻击者每攻击一个用户的口令，都不得不加入SaltSalt值，大大增加了攻值，大大增加了攻击的难度击的难度 攻击者可能会事先计算很多个口令的哈希值，若其中某个哈希值与攻击者可能会事先计算很多个口令的哈希值，若其中某个哈希值与口令文件的某项匹配，那么他就得到了一个口令口令文件的某项匹配，那么他就得到了一个口令 2.身份认证 基于单向函数的一次性口令 也是一种基于口令的认证技术，所不同的是它采用了单向函数也是一种基于口令的认证技术，所不同的是它采用了单向函数 需要在认证之前进行一系列的初始化需要在认证之前进行一系列的初始化 该机制每个数只被使用一次，攻击者窃听消息并不能对其安全性构成任何该机制每个数只被使用一次，攻击者窃听消息并不能对其安全性构成任何威胁。同时，攻击者即便取得了系统保存数据威胁。同时，攻击者即便取得了系统保存数据s si+1i+1，也不能由，也不能由s si+1i+1计算计算s si i初始信息：秘密随机数种子s，单向函数h初始化：表格：保存s1,s2,.,sn-1保存sn2.身份认证 基于智能卡 它是较安全可靠的认证手段之一它是较安全可靠的认证手段之一 智能卡一般分为存储卡和芯片卡智能卡一般分为存储卡和芯片卡 存储卡存储卡只用于储存用户的秘密信息，比如用户的密码，密钥，个只用于储存用户的秘密信息，比如用户的密码，密钥，个人化数据等，存储卡本身没有计算功能人化数据等，存储卡本身没有计算功能 芯片卡芯片卡一般都有一个内置的微处理器，并有相应的一般都有一个内置的微处理器，并有相应的RAMRAM和可擦写和可擦写的的EPROMEPROM，具有防篡改和防止非法读取的功能。芯片卡不仅可以，具有防篡改和防止非法读取的功能。芯片卡不仅可以存储秘密信息，还可以在上面利用秘密信息计算动态口令存储秘密信息，还可以在上面利用秘密信息计算动态口令 典型应用：典型应用：手机手机SIMSIM卡卡 新一代的身份证新一代的身份证 门禁卡门禁卡 2.身份认证 基于生物特征 主体的生物特征主体的生物特征(如指纹、人脸、声音、虹膜等如指纹、人脸、声音、虹膜等)几乎几乎永远也不会被遗忘、丢失或偷盗，该方式得到了公安、永远也不会被遗忘、丢失或偷盗，该方式得到了公安、司法部门的认可司法部门的认可 缺点：代价相对较高、相对低识别率缺点：代价相对较高、相对低识别率2.身份认证 双因素认证 鉴于上述几种方式都有自身的弱点：鉴于上述几种方式都有自身的弱点：口令可能会被遗忘口令可能会被遗忘 智能卡可能会被偷盗智能卡可能会被偷盗 生物特征认证的实现代价高、识别率相对较低生物特征认证的实现代价高、识别率相对较低 为了获得更高的安全性，综合运用多种认证方式为了获得更高的安全性，综合运用多种认证方式双因素认证双因素认证双因素认证双因素认证 典型应用：典型应用：手机用户的手机用户的SIMSIM卡和卡和PIN PIN 建设银行的建设银行的USB Key USB Key 双因素认证并不是认证的最终解决手段，它也有自己的缺陷双因素认证并不是认证的最终解决手段，它也有自己的缺陷 2.身份认证 挑战-应答机制 另一种另一种最基本最基本的认证方法，即的认证方法，即Challenge/ResponseChallenge/Response 其基本思想是：其基本思想是：AliceAlice若想确认若想确认BobBob的身份，的身份，AliceAlice首先向首先向BobBob发送一个信息，该信息发送一个信息，该信息被称为被称为挑战挑战挑战挑战，挑战通常为，挑战通常为一次性随机数一次性随机数一次性随机数一次性随机数 然后然后BobBob反馈一个反馈一个“新鲜的新鲜的新鲜的新鲜的”信息，该信息被称为信息，该信息被称为响应响应响应响应 AliceAlice收到响应后，查看收到响应后，查看响应是否包含挑战响应是否包含挑战响应是否包含挑战响应是否包含挑战2.身份认证 挑战-应答机制 它常需在它常需在AliceAlice和和BobBob之间预先共享一密钥，用表示之间预先共享一密钥，用表示K Kabab，其整个步，其整个步骤为：骤为：基本型：基本型：1.Alice Bob：随机数Na2.Bob Alice：E M,Na Kab3.Alice:M,NaKab Kab,Na=Na?该机制中，该机制中，AliceAlice通过自己输入的通过自己输入的消息的新鲜性消息的新鲜性消息的新鲜性消息的新鲜性来验证来验证BobBob通信的通信的真实性真实性 该机制中，该机制中，MM是附加消息，可能是是附加消息，可能是BobBob自由选择的一条消息，也有自由选择的一条消息，也有可能是可能是AliceAlice和和BobBob今后的会话密钥今后的会话密钥如果M是会话密钥的话，则该机制还具有实现密钥建立的功能 2.身份认证挑战挑战-应答机制应答机制:带密钥的单向函数带密钥的单向函数 加密操作加密操作利用带密钥的单向函数利用带密钥的单向函数，即，即带密钥单向函数的挑战带密钥单向函数的挑战带密钥单向函数的挑战带密钥单向函数的挑战-响应响应响应响应机制机制机制机制 假设用h()表示用密钥k对消息进行单向哈希运算，其步骤：1.Alice Bob：Na2.Bob Alice：Nb，MhkAlice,Nb,Na3.Alice:M=hkAlice,Nb,Na=M?单单方方认认证证 1.Alice Bob：Na2.Bob Alice：Nb，M1hkAlice,Nb,Na3.Alice:M1=hkAlice,Nb,Na=M1?4.Alice Bob：M2=hkBob,Nb5.Bob:M2=hkBob,Nb=M2?如如何何进进行行双双向向认认证证？2.身份认证挑战挑战-应答机制：应答机制：基于非对称密钥基于非对称密钥 前面的挑战前面的挑战-应答机制是基于对称密钥的，可改为基于非对称密钥的应答机制是基于对称密钥的，可改为基于非对称密钥的1.Alice Bob：Na2.Bob Alice：M1=M,Na SKb3.Alice:M,Na SKb PKb，Na=Na?问题：问题：1.1.该认证是单向，还是双向？该认证是单向，还是双向？2.2.是谁要确认谁的身份？是谁要确认谁的身份？3.3.如何改造成双向认证？如何改造成双向认证？2.身份认证挑战挑战-应答机制：应答机制：基于非对称密钥基于非对称密钥1.Alice Bob：Na2.Bob Alice：Nb,M1=M,Nb,Na SKb3.Alice :M,Nb,Na SKb PKb，Na=Na?4.Alice Bob:M2=M,Nb SKa5.Bob:M,Nb SKaPKa,Nb=Nb?2.身份认证挑战-应答机制：标准化 ISOISO和和IECIEC对简单的挑战对简单的挑战-响应机制做了标准化，称之为响应机制做了标准化，称之为“ISOISO两次传两次传两次传两次传输单方认证协议输单方认证协议输单方认证协议输单方认证协议”，步骤如下：，步骤如下：基本型：基本型：1.Alice Bob：随机数Na2.Bob Alice：M,Na Kab3.Alice:M,Na Kab Kab,Na=Na?标准化后：标准化后：1.Alice Bob：随机数Na，Text12.Bob Alice：Text3，Na，Alice,Text2 Kab 增加：增加：Text1Text1、Text2Text2、Text3Text3和一个意定的通信对方的身份和一个意定的通信对方的身份Alice(BobAlice(Bob的的意定通信对象意定通信对象)明确意定的认证主体的身份明确意定的认证主体的身份明确意定的认证主体的身份明确意定的认证主体的身份是协议设计的一条重要准则是协议设计的一条重要准则是协议设计的一条重要准则是协议设计的一条重要准则 2.身份认证挑战-应答机制：标准化 同样，可以利用非对称密钥算法将上面协议修改成为同样，可以利用非对称密钥算法将上面协议修改成为“使用公钥的使用公钥的ISOISO两次传输单方认证协议两次传输单方认证协议”，步骤如下：，步骤如下：标准化标准化(对称密钥算法对称密钥算法)：1.Alice Bob：Na，Text12.Bob Alice：Text3，Na，Alice,Text2 Kab CertBCertB是是BobBob的证书的证书 AliceAlice收到消息之后，如果验证签名正确，那么协议继续进行，如果验收到消息之后，如果验证签名正确，那么协议继续进行，如果验证签名无效，那么协议停止执行证签名无效，那么协议停止执行 标准化标准化(非对称密钥算法非对称密钥算法)：1.Alice Bob：Na，Text12.Bob Alice：CertB,Na,Nb,Alice,Text3,Na,Nb,Alice,Text2 PKa 2.身份认证挑战-应答机制:典型例子 基于挑战基于挑战/应答的认证方式典型例子：应答的认证方式典型例子：RADIUSRADIUS认证认证 通用的认证计费协议，应用范围很广，包括普通电话、上网业务计通用的认证计费协议，应用范围很广，包括普通电话、上网业务计费费 2.身份认证时间戳机制 AliceAlice利用加密操作把当前的时间合成到消息中利用加密操作把当前的时间合成到消息中 假设用假设用t ta a表示表示AliceAlice的当前时间，协议如下的当前时间，协议如下 若有效，则若有效，则BobBob认为这次通信确实是由认为这次通信确实是由AliceAlice发起的，因只有发起的，因只有AliceAlice拥拥有和有和BobBob共享的密钥；若无效，共享的密钥；若无效，BobBob终止协议的执行终止协议的执行 在安全协议设计中，常使用在安全协议设计中，常使用时戳时戳和和随机数随机数，因它们都可以用于提供，因它们都可以用于提供唯一性、及时性、检测重放攻击等。但各有优缺点：唯一性、及时性、检测重放攻击等。但各有优缺点：随机数：对随机性要求非常严格，一般的伪随机数发生器都不能随机数：对随机性要求非常严格，一般的伪随机数发生器都不能满足要求满足要求 时间戳：收发双方要进行时钟同步时间戳：收发双方要进行时钟同步 时间戳机制时间戳机制：1.Alice Bob：ta,Bob Kab2.Bob：解密接收到消息，观察时戳是否有效解密接收到消息，观察时戳是否有效 内容提要1.1.认证基本概念认证基本概念2.2.身份认证身份认证3.3.密钥建立协议密钥建立协议 需求与动机需求与动机 主要功能组成主要功能组成 基本协议基本协议 应具有的技术特点应具有的技术特点 大嘴青蛙协议大嘴青蛙协议 NSSKNSSK协议协议4.4.密钥协商协议密钥协商协议5.5.密钥共享协议密钥共享协议3.密钥建立协议需求与动机 为了安全，通信双方为了安全，通信双方(Alice(Alice和和Bob)Bob)须用密钥对每一次单独的会话加密须用密钥对每一次单独的会话加密 AliceAlice和和和和BobBob如何来建立一个双方都知道的如何来建立一个双方都知道的如何来建立一个双方都知道的如何来建立一个双方都知道的会话密钥会话密钥会话密钥会话密钥？须专门设计须专门设计密钥建立协议密钥建立协议密钥建立协议密钥建立协议 会话密钥，会话密钥，会话密钥，会话密钥，即即临时秘密临时秘密临时秘密临时秘密，被严格限制在一小段时间内使用，如一次，被严格限制在一小段时间内使用，如一次单独的通信会话，其推出的动机：单独的通信会话，其推出的动机：限制使用固定密钥的密文数量，以阻止攻击限制使用固定密钥的密文数量，以阻止攻击 限制因意外泄露会话密钥而造成的相关保密数据的暴露数量限制因意外泄露会话密钥而造成的相关保密数据的暴露数量 避免长期存储大量不同的秘密密钥避免长期存储大量不同的秘密密钥(在一个实体可能与大量其他实在一个实体可能与大量其他实体通信的情况下体通信的情况下)，而仅在实际需要时建立密钥，而仅在实际需要时建立密钥 产生不同通信会话和应用的相互独立性产生不同通信会话和应用的相互独立性3.密钥建立协议主要功能组成 密钥建立协议主要包含密钥建立协议主要包含 密钥协商协议：密钥协商协议：密钥协商协议：密钥协商协议：如何使一个参与方可以建立或获得一个秘密值，如何使一个参与方可以建立或获得一个秘密值，并将它安全地传给其他参与方并将它安全地传给其他参与方 密钥分发协议：密钥分发协议：密钥分发协议：密钥分发协议：两个两个(多个多个)参与方共同提供信息，推导出一个共享参与方共同提供信息，推导出一个共享密钥，并且任何一方不能预先估计结果密钥，并且任何一方不能预先估计结果3.密钥建立协议主要功能组成 密钥建立协议需要一个密钥建立协议需要一个可信服务器可信服务器可信服务器可信服务器的参与，常称之为密钥服务器的参与，常称之为密钥服务器（Key ServerKey Server，KSKS）、密钥分发中心（）、密钥分发中心（Key Distribution CenterKey Distribution Center，KDCKDC）等）等 主要用于初始化系统设置和其他一些目的主要用于初始化系统设置和其他一些目的 协议参与的双方都希望：协议参与的双方都希望：能够确定是谁在和他进行密钥建立能够确定是谁在和他进行密钥建立 能够防止未经授权的其他人推导出建立的密钥能够防止未经授权的其他人推导出建立的密钥 密钥建立协议通常和认证协议联合使用密钥建立协议通常和认证协议联合使用3.密钥建立协议基本协议基本协议1(1(基于对称密钥算法基于对称密钥算法)它的加密方法既可以是对称密钥算法，也可以是非对称密钥算法它的加密方法既可以是对称密钥算法，也可以是非对称密钥算法 基本协议基本协议1 1：基于对称密钥算法的密钥建立协议例子，假设通信双方基于对称密钥算法的密钥建立协议例子，假设通信双方AliceAlice和和BobBob每人和密钥分配中心（每人和密钥分配中心（KDCKDC）共享一个秘密密钥）共享一个秘密密钥(协议执行前，由协议执行前，由KDCKDC秘密保存秘密保存 )1.AliceKDC：Bob/*Alice呼叫KDC，请求建立一个与Bob通信的会话密钥*/2.KDCAlice：KDC产生一随机会随机会话密钥话密钥，并对它的两个副本加密(一个用Alice的密钥加密，另一个用Bob的密钥加密)，KDC发送这两个副本给Alice3.Alice对她的会话密钥的副本解密4.Alice Bob：将Bob的会话密钥副本送给Bob5.Bob对他的会话密钥的副本解密6.Alice和Bob用这个会话密钥安全地通信对称密钥算法的密钥建立协议 l缺点：1.安全性依赖于安全性依赖于KDC的绝对安全性的绝对安全性2.存在着单点失效问题存在着单点失效问题3.密钥建立协议基本协议基本协议2(2(基于非对称密钥算法基于非对称密钥算法)基本协议基本协议2 2：对前面协议的改进对前面协议的改进 基于非对称密钥体制进行会话密钥的建立基于非对称密钥体制进行会话密钥的建立 用协商的会话密钥加密会话内容用协商的会话密钥加密会话内容 AliceAlice与与BobBob的密钥建立过程如下的密钥建立过程如下 ：1.1.AliceAlice从从KDCKDC得到得到BobBob的公开密钥的公开密钥2.2.AliceAlice产生随机会话密钥，用产生随机会话密钥，用BobBob的公开密钥加密它，然后将它传的公开密钥加密它，然后将它传给给BobBob3.3.BobBob用他的私钥解密用他的私钥解密AliceAlice的信息的信息4.4.他们两人用同一会话密钥对他们他们两人用同一会话密钥对他们的通信进行加密的通信进行加密非对称密钥算法的密钥建立协议 l缺点：1.不能抵御中间人攻击不能抵御中间人攻击 需需KDC对对Alice和和Bob的公钥签名的公钥签名3.密钥建立协议基本协议基本协议2(2(基于非对称密钥算法基于非对称密钥算法)对称密钥算法的密钥建立协议 非对称密钥算法的密钥建立协议 3.密钥建立协议应具有的技术特点 虽然前面两个密钥建立协议非常简单，也不完善，存在很多缺点，虽然前面两个密钥建立协议非常简单，也不完善，存在很多缺点，但很多协议是基于它们发展而来，如：但很多协议是基于它们发展而来，如：YahalomYahalom协议、协议、NSSKNSSK协议、协议、Otway-ReesOtway-Rees协议协议 它们应随具体的环境和目标而变，但都应具有如下特点：它们应随具体的环境和目标而变，但都应具有如下特点：认证性：认证性：认证性：认证性：能提供一种或多种认证，包括身份认证、密钥认证、密能提供一种或多种认证，包括身份认证、密钥认证、密钥确认等钥确认等 认证的相互性：认证的相互性：认证的相互性：认证的相互性：可根据实际情况，一些可选择地提供单方身份认可根据实际情况，一些可选择地提供单方身份认证，或双向认证证，或双向认证 密钥的新鲜性：密钥的新鲜性：密钥的新鲜性：密钥的新鲜性：应该使用新鲜的密钥，减少旧密钥被攻击者重复应该使用新鲜的密钥，减少旧密钥被攻击者重复使用的可能性使用的可能性3.密钥建立协议应具有的技术特点 密钥生成：密钥生成：密钥生成：密钥生成：有时可由协议的一个参与方选择一个随机密钥值；但有时可由协议的一个参与方选择一个随机密钥值；但有时须多个或所有参与方参与密钥生成过程，使得任意一方不能有时须多个或所有参与方参与密钥生成过程，使得任意一方不能单独控制或预知要生成的密钥值单独控制或预知要生成的密钥值 效率：效率：效率：效率：其协议效率的高低体现如下：其协议效率的高低体现如下：参与方需要交换的参与方需要交换的消息的数目消息的数目 交换的消息交换的消息所占用的带宽所占用的带宽 每个参与方的每个参与方的计算量大小计算量大小 为减小在线计算复杂度，为减小在线计算复杂度，预计算的可能性大小预计算的可能性大小 是否需要证书：是否需要证书：是否需要证书：是否需要证书：若涉及到非对称密钥机制，一般需证书，则须考若涉及到非对称密钥机制，一般需证书，则须考虑证书的获取是否方便虑证书的获取是否方便 是否需要第三方：是否需要第三方：是否需要第三方：是否需要第三方：3.密钥建立协议大嘴青蛙协议：实现 是最简单的对称密钥管理协议，使用了一个可信的密钥服务器是最简单的对称密钥管理协议，使用了一个可信的密钥服务器KDC KDC AliceAlice和和BobBob分别和分别和KDCKDC共享一个秘密密钥，它只作密钥分配之用，共享一个秘密密钥，它只作密钥分配之用，它可称为密钥加密密钥它可称为密钥加密密钥Key Encryption KeyKey Encryption Key 会话密钥只通过两个报文就从会话密钥只通过两个报文就从AliceAlice传送给传送给BobBob，其步骤如图：，其步骤如图：1.1.Alice KDCAlice KDC：AliceAlice，TTA A,BobBob,K,K KAKA 2.2.KDC BobKDC Bob：TTB B,AliceAlice,K,K KBKBAlice将时间标记TA连同Bob的名字和随机会话密钥K一起，用她和KDC共享的密钥对整个报文加密。她将加了密的报文和她的身份A一起发送给KDC KDC解密从Alice来的报文。然后将一个新的时间标记TB连同Alice的名字和随机会话密钥一起，用他与Bob共享的密钥对整个报文加密，并将它发送给Bob l该协议的重要假设：该协议的重要假设：1.Alice完全有能力产生好的会话密钥完全有能力产生好的会话密钥3.密钥建立协议大嘴青蛙协议：攻击 它易遭受到它易遭受到重放攻击重放攻击重放攻击重放攻击，攻击实施步骤如下：，攻击实施步骤如下：交互消息及步骤如下：交互消息及步骤如下：1.1.Alice KDCAlice KDC：AliceAlice，TTA A,Bob,K,Bob,K KAKA 2.2.KDC BobKDC Bob：T TB B,Alice,K,Alice,K KBKB3.3.EveEve（BobBob）KDCKDC：BobBob，TTB B,Alice,K,Alice,K KBKB4.4.KDC EveKDC Eve（AliceAlice）：）：）：）：T TB B,Bob,K,Bob,K KAKA5.5.EveEve（AliceAlice）KDC:AliceKDC:Alice，TTB B,Bob,K,Bob,KKAKA6.6.KDC EveKDC Eve（BobBob）：）：）：）：TTB B,Alice,K,Alice,KKBKB 7.7.Alice EveAlice Eve（KDCKDC）：）：）：）：AliceAlice，TTB B,Bob,K,Bob,K KAKA 8.8.EveEve（KDCKDC）BobBob：TTB B,Alice,K,Alice,K KBKB3.密钥建立协议大嘴青蛙协议：攻击1.1.Alice KDCAlice KDC：AliceAlice，TTA A,Bob,K,Bob,K KAKA 2.2.KDC BobKDC Bob：T TB B,Alice,K,Alice,K KBKB3.3.EveEve（BobBob）KDCKDC：BobBob，TTB B,Alice,K,Alice,K KBKB/*/*攻击者攻击者EveEve冒充冒充BobBob向向KDCKDC重放协议第二步的消息重放协议第二步的消息*/4.4.KDC EveKDC Eve（AliceAlice）：）：T TB B,Bob,K,Bob,K KAKA/*KDC/*KDC收到收到BobBob的消息后（其实真正的发送者是的消息后（其实真正的发送者是EveEve），），产生一个更新的时戳消息发送给产生一个更新的时戳消息发送给AliceAlice，但真正，但真正的接收者是的接收者是Eve*/Eve*/EveEveA AB BKDCKDC3.密钥建立协议大嘴青蛙协议：攻击5.5.EveEve（AliceAlice）KDC:AliceKDC:Alice，TTB B,Bob,K,Bob,KKAKA/*/*EveEve记录他所收到的消息，冒充记录他所收到的消息，冒充AliceAlice继续向继续向KDCKDC重放重放他的记录他的记录*/6.6.KDC EveKDC Eve（BobBob）：）：TTB B,Alice,K,Alice,KKBKB /*KDC/*KDC以为第以为第5 5步是步是AliceAlice发送来的消息，于是又产生一发送来的消息，于是又产生一个更新的时戳发送给个更新的时戳发送给BobBob，同样，真正的接收者也，同样，真正的接收者也是是Eve Eve*/*/*现在，攻击者可以成功地重放第现在，攻击者可以成功地重放第5 5步和第步和第6 6步的消息，步的消息，从而造成从而造成AliceAlice和和BobBob之间的重认证之间的重认证*/7.7.Alice EveAlice Eve（KDCKDC）：）：AliceAlice，TTB B,Bob,K,Bob,K KAKA /*Alice/*Alice向向KDCKDC发送一个初始消息，其实是发送给了发送一个初始消息，其实是发送给了EveEve*/8.8.EveEve（KDCKDC）BobBob：TTB B,Alice,K,Alice,K KBKB/*Eve/*Eve冒充冒充KDCKDC收到收到AliceAlice发来的消息，重放它的记录，发来的消息，重放它的记录，而而BobBob以为是以为是KDCKDC发来的发来的，达到攻击目的，达到攻击目的*/EveEveA AB BKDCKDC3.密钥建立协议NSSK协议：实现 采用对称密钥算法，也需要采用对称密钥算法，也需要KDCKDC参与参与 A AB BKDCKDC交互消息及步骤如下：交互消息及步骤如下：1.1.Alice KDCAlice KDC：AliceAlice，BobBob，R RA A /*Alice/*Alice将由她的名字将由她的名字AliceAlice，BobBob的名字的名字BobBob和随机数和随机数R RA A组组成的报文传给成的报文传给KDC*/KDC*/2.2.KDC AliceKDC Alice：R RA A,Bob,K,K,Alice,Bob,K,K,Alice KB KB KAKA/*KDC/*KDC产生一随机会话密钥产生一随机会话密钥K K。他用与。他用与BobBob共享的秘密密共享的秘密密钥对随机会话密钥钥对随机会话密钥K K和和AliceAlice名字组成的报文加密。名字组成的报文加密。然后用他和然后用他和AliceAlice共享的秘密密钥对共享的秘密密钥对AliceAlice的随机值的随机值R RA A 、BobBob的名字、会话密钥的名字、会话密钥K K和已加密的报文进行和已加密的报文进行加密，最后，将加密的报文传送给加密，最后，将加密的报文传送给Alice*/Alice*/3.密钥建立协议NSSK协议：实现 A AB BKDCKDC交互消息及步骤如下：交互消息及步骤如下：3.3.Alice BobAlice Bob：K,Alice K,Alice KB KB/*Alice/*Alice将报文解密并提取将报文解密并提取K K。她确认。她确认RARA与她在第（与她在第（1 1）步）步中发送给中发送给KDCKDC的一样。然后她将的一样。然后她将KDCKDC用用BobBob的密钥的密钥加密的报文发送给加密的报文发送给Bob*/Bob*/4.4.Bob AliceBob Alice：R RB B K K/*Bob/*Bob对报文解密并提取对报文解密并提取K K，然后产生另一随机数，然后产生另一随机数R RB B。他。他用用K K加密它并将它发送给加密它并将它发送给Alice*/Alice*/5.5.Alice Bob:RAlice Bob:R-1-1B B K K/*Alice/*Alice用用K K将报文解密，产生将报文解密，产生R R-1-1B B并用并用K K对它加密，然后对它加密，然后将报文发回给将报文发回给Bob*/Bob*/6.6.BobBob用用K K对信息解密，并验证它是对信息解密，并验证它是R R-1-1B B3.密钥建立协议NSSK协议：防范重放攻击A AB BKDCKDC交互消息及步骤如下：交互消息及步骤如下：1.1.Alice KDCAlice KDC：AliceAlice，BobBob，R RA A 2.2.KDC AliceKDC Alice：R RA A,Bob,K,K,Alice,Bob,K,K,Alice KB KB KAKA3.3.Alice BobAlice Bob：K,Alice K,Alice KB KB 4.4.Bob AliceBob Alice：R RB B K K5.5.Alice Bob:RAlice Bob:R-1-1B B K K6.6.BobBob用用K K对信息解密，并验证它是对信息解密，并验证它是R R-1-1B B 为了为了防止重放攻击防止重放攻击防止重放攻击防止重放攻击，该协议使用了随机数，该协议使用了随机数R RA A、R RB B、R R-1-1B B 在第在第2 2步中步中R RA A的出现使的出现使AliceAlice确信确信KDCKDC的报文是新鲜的，不的报文是新鲜的，不是以前协议数据的重放是以前协议数据的重放 第第4 4步步AliceAlice成功地解密成功地解密R RB B，并在第，并在第5 5步将步将R R-1-1B B送回给送回给BobBob，让让BobBob确信确信AliceAlice的报文也不是早期协议数据的重放的报文也不是早期协议数据的重放3.密钥建立协议NSSK协议：假冒攻击 若若AliceAlice和和BobBob不能妥善销毁旧密钥，则可能导致攻击者冒充成功不能妥善销毁旧密钥，则可能导致攻击者冒充成功 1.1.Alice KDCAlice KDC：AliceAlice，BobBob，R RA A 2.2.KDC AliceKDC Alice：R RA A,Bob,K,K,Alice,Bob,K,K,Alice KB KB KAKA3.3.Alice BobAlice Bob：K,Alice K,Alice KB KB 如何假冒如何假冒AliceAlice？a)a)Eve(Alice)BobEve(Alice)Bob：K,AliceK,AliceKBKB/*Eve/*Eve拦截第拦截第3 3步步AliceAlice向向BobBob发送的信息，并在以后的某一个时发送的信息，并在以后的某一个时刻发送出去，而刻发送出去，而BobBob和和AliceAlice还不警觉还不警觉*/*/b)b)Bob Eve(Alice)Bob Eve(Alice)：R RB B K K/*Bob/*Bob以为上一步的信息是以为上一步的信息是AliceAlice发给他的，于是他解密收到的发给他的，于是他解密收到的信息并提取信息并提取K K，再产生一个随机数，再产生一个随机数R RB B，并发送给，并发送给AliceAlice(其实这个信息根本就没有被其实这个信息根本就没有被AliceAlice收到，而是发送给了收到，而是发送给了攻击者攻击者Eve)*/Eve)*/c)c)Eve(Alice)BobEve(Alice)Bob：RR-1-1B B K K/*Eve/*Eve利用上一步截取的报文，假冒利用上一步截取的报文，假冒AliceAlice用用K K对该报文解密得对该报文解密得到到R RB B，并把，并把R R-1-1B B发送给发送给Bob*/Bob*/d)d)BobBob验证验证R R-1-1B B，他仍然以为该报文是由，他仍然以为该报文是由AliceAlice发送出来的，发送出来的，由此攻击者达到了冒充攻击的目的由此攻击者达到了冒充攻击的目的A AB BKDCKDCEveEvea)a)b)b)b)b)c)c)c)c)防止假冒攻击防止假冒攻击防止假冒攻击防止假冒攻击的措施：的措施：1.1.加入时间戳加入时间戳改进协议，如：改进协议，如：KerberosKerberos协议、协议、协议、协议、Neuman-StubblebineNeuman-Stubblebine协议协议协议协议2.2.妥善保存协议中使用的密钥，例如：妥善保存协议中使用的密钥，例如：若若KDCKDC与与AliceAlice共享的密钥共享的密钥K KA A泄露，攻击者泄露，攻击者MalloryMallory能够用它获得同能够用它获得同BobBob交谈的会话密钥交谈的会话密钥内容提要1.1.认证基本概念认证基本概念2.2.身份认证身份认证3.3.密钥建立协议密钥建立协议4.4.密钥协商协议密钥协商协议 Diffie-HellmanDiffie-Hellman协议协议5.5.密钥共享协议密钥共享协议4.密钥协商协议 上述协议在实现密钥建立功能时，其建立的密钥或由上述协议在实现密钥建立功能时，其建立的密钥或由KDCKDC生成，生成，或由或由Alice/BobAlice/Bob其中一方生成其中一方生成 但有时，并不希望仅某一方掌控密钥生成，而希望：但有时，并不希望仅某一方掌控密钥生成，而希望：由两方共同生成一个密钥由两方共同生成一个密钥 在密钥生成之前，双方都不知道将要生成的密钥是什么样子在密钥生成之前，双方都不知道将要生成的密钥是什么样子 解决思路：密钥协商协议解决思路：密钥协商协议 4.密钥协商协议Diffie-Hellman协议 是目前使用最广泛的密钥协商协议，由是目前使用最广泛的密钥协商协议，由DiffieDiffie和和HellmanHellman于于19761976年年联合设计联合设计 它能使通信双方在不安全的通信信道上传递公开信息，继而各自它能使通信双方在不安全的通信信道上传递公开信息，继而各自计算出共享密钥计算出共享密钥 它的安全性：它的安全性：基于有限域中离散对数计算基于有限域中离散对数计算的困难性的困难性 4.密钥协商协议Diffie-Hellman协议 Diffie-HellmanDiff