数字签名与鉴别协议.pptVIP

第十章数字签名与鉴别协议10.1数字签名原理10.2鉴别协议10.3数字签名标准本章重点和复习要点本章重点和复习要点通信方A、B的主密钥如何进行安全分配；通信方A和B共享的对话密钥如何进行安全分配D-H中有无KDC？D-H是对称加密算法还是公开加密算法？K是对称加密密钥还是公开加密密钥？该方案有无鉴别通信双方的功能，所以容易遭受什么攻击？N-S算法有无KDC？它是一个对称加密算法还是公开加密算法？KS是对称加密密钥还是公开加密密钥？N-S的密钥分配和相互鉴别过程为什么说CA相对KDC来说不容易形成瓶颈？返回首页10.1数字签名原理当通信双方发生了下列情况时，数字签名技术必须能够解决引发的争端：?否认，发送方不承认自己发送过某一报文。?伪造，接收方自己伪造一份报文，并声称它来自发送方。?冒充，网络上的某个用户冒充另一个用户接收或发送报文。?篡改，接收方对收到的信息进行篡改。返回首页1.1-2数字签名原理和流程公开密钥算法对信息直接加密（作为数字签名）非常耗时，因此：首先生成一个代表你的报文的简短的、独特的报文摘要；其次用发送方的私钥加密这个摘要，作为发送方对该报文的数字签名。采用散列算法对原始报文进行运算，得到一个固定长度的数字串，称为报文摘要(MessageDigest)，保证了报文的不可更改性。发送方用目己的私有密钥对摘要进行加密来形成数字签名。这个数字签名将作为报文的附件和报文一起发送给接收方。数字签名流程：030201接收方首先对接收到的原始报文用同样的算法计算出新的报文摘要，再用发送方的公开密钥对报文附件的数字签名进行解密，比较两个报文摘要，如果值相同，接收方就能确认该数字签名是发送方的，否则就认为收到的报文是伪造的或者中途被篡改。2鉴别协议2.1报文鉴别一种方法是发送方用自己的私钥对报文签名，签名足以使任何人相信报文是可信的。另一种方法常规加密算法也提供了鉴别。但有两个问题，一是不容易进行常规密钥的分发，二是接收方没有办法使第三方相信该报文就是从发送方送来的，而不是接收方自己伪造的。返回首页2.2相互鉴别利用常规加密方法进行相互鉴别不得不从Needham—Schroeder协议谈起，它采用了常规加密体制和密钥分配中心KDC技术。尽管这个协议本身存在一定的安全漏洞，但是后来发展的很多鉴别协议都是在Needham—Schroeder协议的基础上扩展而成的。1）在该协议中，通信各方与KDC共享一个主密钥，它已通过其他安全渠道传送完成。2）KDC为通信的双方产生短期通信所需的会话密钥，并通过主密钥来保护这些密钥的分发。Needham—Schroeder协议步骤：（1）A?KDC:（IDa，IDb，Ra）。通信方A将由自己的名字IDa，通信方B的名字IDb和随机数Ra组成的报文传给KDC。KDC产生一随机会话密钥Ks，用Kb对Ks和通信方A名字加密。然后用Ka对通信方A的随机值、通信方B的名字、会话密钥Ks和已加密的报文进行加密，最后将它传送给通信方A。KDC?A:EKa(Ra,IDb,Ks,EKb(Ks,IDa))。01通信方A将报文解密并提取Ks。他确认Ra与他在第(1)步中发送给KDC的一样。然后他将KDC用Kb加密的报文转发给通信方B。A?B:EKb(Ks,IDa)。02通信方B对报文解密并提取Ks，然后产生另一随机数Rb。他使用Ks加密它并发送给通信方A。B?A:EKs(Rb)。通信方A用Ks将报文解密，产生Rb-1并用Ks对它加密，然后将报文发回给通信方B。A?B:EKs(Rb-1)。——会话密钥分配和双向认证通信方B用Ks对信息解密，并验证它是Rb-1。01尽管Needham—Schroeder协议已经考虑了重放02攻击，但是设计一个完美的没有漏洞的鉴别协议往03往是很困难的。04让我们考虑一下这种情况：如果一个对手已经获05得了一个旧的会话密钥，那么在第(3)步中就可冒充06通信方A向通信方B发送一个旧密钥的重放报文，而07此时通信方B无法确定这是一个报文的重放……Denning对Needham—schroeder协议进行了修改，防止这种情况下的重放攻击，其过程如下：（1）A?KDC:（IDa，IDb）。（2）KDC?A:EKa(T,IDb,Ks,EKb(T,Ks,IDa))。（3）A?B:EKb(T,Ks,IDa)。（4）B?A:EKs(Rb)。（5）A?B:EKs(Rb-1)。