密码学全套课件.ppt

身份认证协议 交互式证明 两方参与 示证者P(Prover)，知道某一秘密，使V相信自己掌握这一秘密； 验证者V(Verifier)，验证P 掌握秘密；每轮V向P 发出一询问，P 向 V 做应答。V 检查P是否每一轮都能正确应答。 * * 身份认证协议 询问－应答协议（Challenge-response) 证明者 A 向验证者 B 认证自己，A 和 B共享一个共同的秘密密钥 k，k 确定了一个加密算法 。 （1）B 随机选择一个口令x（ x 是一个64比特长的随机串），并将x 发送给A； （2）A 计算 （3）B 计算 * * 并将 y 发送给B； 并验证是否有 身份认证协议 * * Challenge-response B A 口令 x 口令协议的安全性是建立在 A 和 B 相互信任的基础上的。属于弱认证协议。 身份认证协议 时戳法 A 收到消息中包含时戳，且 A 看来这一时戳充分接近自己的当前时刻，A 才认为收到的消息是新的并接收。 要求各方时间同步。 * * 身份认证协议 序列号方法 对交换的每一条消息加上序列号，序列号正确才被接收。 要求每个用户分别记录与其他每一用户交互的序列号，增加用户负担，因而很少使用。 * * 身份认证协议 各种方法的比较 询问－应答不适合于无连接的应用过程 在传输前需要经过询问－应答这一额外的握手过程，与无连接应用过程的本质特性不符。 无连接应用最好使用安全时间服务器提供同步 * * 身份认证协议 各种方法的比较 时戳法不适用于面向连接的应用过程 要求不同的处理器之间时间同步，所用的协议必须是容错的以处理网络错误 协议中任何一方时钟出现错误失去同步，则敌手攻击的可能性增加 网络中存在延迟，不能期待保持精确同步，必须允许误差范围 * * 身份认证协议 通信双方建立共享密钥时可采用单钥加密体制和公钥加密体制 单钥加密体制 公钥加密体制 * * 身份认证协议 Needham－Schroeder协议 * * A B KDC 1. IDA|| IDB ||N1 身份认证协议 然而 Needham－Schroeder 协议易受到重放攻击： 假定敌手能获得旧会话密钥，则冒充A向B重放第3步的消息后，就可以欺骗B使用旧的会话密钥。敌手进一步截获第4步B发出的询问后，可假冒A作出第5步的应答。进而，敌手就可冒充A使用经认证过的会话密钥向B发送假消息。 * * 身份认证协议 Needham－Schroeder 改进协议（1） * * KDC A B 其中 T 为时间戳，用以向A、B双方保证 的实时性。 身份认证协议 要求各方时钟同步 如果发方时钟超前B方时钟，可能导致等待重放攻击。 * * |Clock－T|⊿t1+⊿t2 Clock:本地时钟 ⊿t1：本地时钟与KDC时钟误差估计值 ⊿t2 ：网络延迟时间 身份认证协议 Needham－Schroeder改进协议（2） * * KDC A B 该协议为 A、B 双方建立共享的会话密钥提供了一个安全有效的手段。 身份认证协议 如果 A 保留由协议得到的票据，就可以在有效期内可不通过KDC直接认证 * * A B B在第一步收到票据后，可以通过 检验票据是否过时，而 新产生的一次随机数 则向双方保证了没有重放攻击。 身份认证协议 Shnorr 身份认证协议 Shnorr 身份认证协议融合了ELGamal协议、Fiat-Shamir协议、和Chaum-Evertse-Van de Graff交互协议等协议的思想，是一种计算量、通信量均少，特别适合智能卡上用户身份识别的方案。 其安全性建立在计算离散对数问题的困难性上的。 * * 身份认证协议 Shnorr 身份认证协议需要一个可信中心 TA。 TA为协议选择下列参数： * * （1）p 及 q 是两个大素数，且 q|(p-1); （3）h 是一个输出为t为的单向函数，t为一个 安全参数; （4）公开密钥v和秘密密钥s，可用作签名。 p, q, h 及其公开钥都公开，每个用户自己选定个人秘密密钥s，其计算公开密钥v。其中 身份认证协议 每位用户必须到 TA 注册其公开密钥。 TA 验明用户身份后，对每位用户指定一识别名I。I中包括用户的姓名、性别、生日、职业、电话号码、指纹信息等识别信息。 TA 再对h(I,v)签名，以便将来验证只用。 在身份认证过程中，不需要 TA 介入。 * * 身份认证协议 证明者A向验证者B证明他身份（Schnorr 认证协议） * * A B 用 TA 的数字签名来验证 A 的公开密钥 3、e （3）B对盲文件签名。 （4）A取回B的签名结果，并用盲因子除之，得到B对原文件的签名。 显然