当前位置:文档之家 › 现代密码学-第7章密码协议-20091217

现代密码学-第7章密码协议-20091217

  • 格式:ppt
  • 大小:468.00 KB
  • 文档页数:46

下载文档原格式

  / 46

合集下载

现代密码学之密码协议.

现代密码学之密码协议.

比特承诺
利用基于单向函数的比特承诺方案如下:



Alice和 Bob共同选定一个单向函数,如Hash函数 Alice生成两个随机数和承诺比特串,计算单向函 数值并将结果(哈希值)和其中一个随机数发送 给Bob。 当Alice向Bob出示消息时,她把承诺比特串与另 一个随机数一起发送给Bob。 Bob计算hash值,并与第②步收到的值做比较以检 验消息的有效性。
国家级精品课程
现代密码学
灾备技术国家工程实验室 北京邮电大学信息安全中心
上一讲内容回顾
有特殊性质的签名方案
盲签名 群签名与环签名 多重签名 聚合签名 代理签名 不可否认签名 一次签名 失败即停签名 „„
《现代密码学章主要内容
密码协议概念 比特承诺 公平抛币协议 安全多方计算 电子货币 电子选举 匿名协议
4
本章主要内容
密码协议概念 比特承诺 公平抛币协议 安全多方计算 电子货币 电子选举 匿名协议
5
密码协议概念
协议是一系列步骤,它包括两方或多方, 设计它的目的是要完成一项任务。一般包含 了三个方面的含义:
⑴ 协议需要二个或二个以上的主体参与。 ⑵ 参与者按照一定的次序交替地执行一系列的步 骤,在前一步尚未完成之前,后面的步骤不能被执 行。 ⑶ 参与者必须能够协同地完成某项任务,或达成某 种意向。
a 勒让德符号 p 1和
a q 1 ,若满足则计算
x 2 a(mod n) 的四个根:x1 , n x1 , x2 , n x2 ,其中 n x1 x 2 x ,x 2 。然后Alice随机猜测Bob选取的是 1 2 中的哪一个,并把猜测结果0或1发送给Bob(事先规 定大的用1表示,小的用0表示).

现代密码学知识点整理:.

现代密码学知识点整理:.

第一章 基本概念1. 密钥体制组成部分:明文空间,密文空间,密钥空间,加密算法,解密算法 2、一个好密钥体制至少应满足的两个条件:(1)已知明文和加密密钥计算密文容易;在已知密文和解密密钥计算明文容易; (2)在不知解密密钥的情况下,不可能由密文c 推知明文 3、密码分析者攻击密码体制的主要方法: (1)穷举攻击 (解决方法:增大密钥量)(2)统计分析攻击(解决方法:使明文的统计特性与密文的统计特性不一样) (3)解密变换攻击(解决方法:选用足够复杂的加密算法) 4、四种常见攻击(1)唯密文攻击:仅知道一些密文(2)已知明文攻击:知道一些密文和相应的明文(3)选择明文攻击:密码分析者可以选择一些明文并得到相应的密文 (4)选择密文攻击:密码分析者可以选择一些密文,并得到相应的明文【注:①以上攻击都建立在已知算法的基础之上;②以上攻击器攻击强度依次增加;③密码体制的安全性取决于选用的密钥的安全性】第二章 古典密码(一)单表古典密码1、定义:明文字母对应的密文字母在密文中保持不变2、基本加密运算设q 是一个正整数,}1),gcd(|{};1,...,2,1,0{*=∈=-=q k Z k Z q Z q q q(1)加法密码 ①加密算法:κκ∈∈===k X m Z Z Y X q q ;,;对任意,密文为:q k m m E c k m od )()(+== ②密钥量:q (2)乘法密码 ①加密算法:κκ∈∈===k X m Z Z Y X q q ;,;*对任意,密文为:q km m E c k m od )(== ②解密算法:q c k c D m k mod )(1-==③密钥量:)(q ϕ (3)仿射密码 ①加密算法:κκ∈=∈∈∈===),(;},,|),{(;21*2121k k k X m Z k Z k k k Z Y X q q q 对任意;密文q m k k m E c k m od )()(21+==②解密算法:q k c k c D m k mod )()(112-==-③密钥量:)(q q ϕ (4)置换密码 ①加密算法:κσκ∈=∈==k X m Z Z Y X q q ;,;对任意上的全体置换的集合为,密文)()(m m E c k σ==②密钥量:!q③仿射密码是置换密码的特例 3.几种典型的单表古典密码体制 (1)Caeser 体制:密钥k=3 (2)标准字头密码体制: 4.单表古典密码的统计分析(1)26个英文字母出现的频率如下:频率 约为0.120.06到0.09之间 约为0.04 约0.015到0.028之间 小于0.01 字母et,a,o,i.n,s,h,rd,lc,u,m,w,f,g ,y,p,bv,k,j,x,q,z【注:出现频率最高的双字母:th ;出现频率最高的三字母:the 】 (二)多表古典密码1.定义:明文中不同位置的同一明文字母在密文中对应的密文字母不同2.基本加密运算 (1)简单加法密码 ①加密算法:κκ∈=∈====),...,(,),...,(,,11n n n nq n q n n k k k X m m m Z Z Y X 对任意设,密文:),...,()(11n n k k m k m m E c ++==②密钥量:nq (2)简单乘法密码 ①密钥量:n q )(ϕ 1.简单仿射密码①密钥量:n n q q )(ϕ2.简单置换密码 ①密钥量:nq )!( (3)换位密码 ①密钥量:!n(4)广义置换密码①密钥量:)!(nq(5)广义仿射密码 ①密钥量:n n r q3.几种典型的多表古典密码体制 (1)Playfair 体制: ①密钥为一个5X5的矩阵②加密步骤:a.在适当位置闯入一些特定字母,譬如q,使得明文字母串的长度为偶数,并且将明文字母串按两个字母一组进行分组,每组中的两个字母不同。

杨波, 《现代密码学(第2版)》07

杨波, 《现代密码学(第2版)》07

由加密算法产生数字签字又分为外部保密方式 加密算法产生数字签字又分为外部保密方式 产生数字签字又分为 内部保密方式,外部保密方式是指数字签字是直 和内部保密方式,外部保密方式是指数字签字是直 接对需要签字的消息生成而不是对已加密的消息生 否则称为内部保密方式. 成,否则称为内部保密方式. 外部保密方式便于解决争议,因为第3方在处 外部保密方式便于解决争议,因为第 方在处 理争议时,需得到明文消息及其签字. 理争议时,需得到明文消息及其签字.但如果采用 内部保密方式, 内部保密方式,第3方必须得到消息的解密密钥后 方必须得到消息的解密密钥后 才能得到明文消息.如果采用外部保密方式, 才能得到明文消息.如果采用外部保密方式,接收 方就可将明文消息及其数字签字存储下来以备以后 万一出现争议时使用. 万一出现争议时使用.
由此可见,数字签字具有认证功能. 由此可见,数字签字具有认证功能.为实现上 条性质, 要求: 述3条性质,数字签字应满足以下要求: 条性质 数字签字应满足以下要求 ① 签字的产生必须使用发方独有的一些信息以防 伪造和否认. 伪造和否认. 签字的产生应较为容易. ② 签字的产生应较为容易. 签字的识别和验证应较为容易. ③ 签字的识别和验证应较为容易. ④ 对已知的数字签字构造一新的消息或对已知的 消息构造一假冒的数字签字在计算上都是不可行的. 消息构造一假冒的数字签字在计算上都是不可行的.
因此, 因此,在收发双方未建立起完全的信任关系且存在 利害冲突的情况下,单纯的消息认证就显得不够. 利害冲突的情况下,单纯的消息认证就显得不够. 数字签字技术则可有效解决这一问题. 数字签字技术则可有效解决这一问题. 类似于手书签字,数字签字应具有以下性质: 类似于手书签字,数字签字应具有以下性质: 应具有以下性质 能够验证签字产生者的身份, ① 能够验证签字产生者的身份,以及产生签字的 日期和时间. 日期和时间. 能用于证实被签消息的内容. ② 能用于证实被签消息的内容. 数字签字可由第三方验证, ③ 数字签字可由第三方验证,从而能够解决通信 双方的争议. 双方的争议.

现代密码学(密钥)概述

现代密码学(密钥)概述

1)流密码
流密码(Stream Cipher)也称序列密码,是对称密码算 法的一种。流密码具有实现简单、便于硬件实施、加解密处 理速度快、没有或只有有限的错误传播等特点,因此在实际 应用中,特别是专用或机密机构中保持着优势,典型的应用 领域包括无线通信、外交通信。
密钥k
密钥流 产生器
异或运算
明文m
弱密钥
弱密钥:由密钥 k 确定的加密函数与解密函数相同 ,即 。
DES的弱密钥: 密函数相同。
如果各轮产生的子密钥一样,则加密函数与解
DES
k
(•)
DES
1 k
(•)
DES至少有4个弱密钥 :
➢ 0101010101010101
➢ 1f1f1f1f0e0e0e0e
➢ e0e0e0e0f1f1f1f1
( 56 位) 置换选(择48 2
k1
位)
循环左移
循环左移
C i( 28 位)
D i( 28 位)
( 56 位)
置换选择
2
ki
( 48 位)
置换选择1(PC-1)和置换选择2(PC-2)
总结-DES示意图
DES的安全性分析
DES的安全性完全依赖于密钥,与算法本身没有 关系。 主要研究内容:
➢ 密钥的互补性; ➢ 弱密钥与半弱密钥; ➢ 密文-明文相关性; ➢ 密文-密钥相关性; ➢ S-盒的设计; ➢ 密钥搜索。
2
15 11 8
3
10 6
12 5
9
0
7
14 2
13 1
10 6
12 11 9
5
3
8
13 6
2
11 15 12 9

现代密码学

现代密码学

摘要数字签名是现代密码学的主要研究课题之一,它是实现认证的重要工具,保证了数据的可靠性。

数字签名在金融、商业、军事等领域,尤其是在电子支票、电子邮件、电子贸易、电子购物、数据交换、电子出版以及知识产权保护等方面有着重要作用。

近些年来随着对数字签名的不断深入研究,产生了许多特殊的数字签名,例如盲签名、群签名、代理签名、多重签名、前向安全签名。

正是由于特殊数字签名具有的独特功能和实际用途,在一些特殊行业有广泛应用,特别是在数据完整性检验、身份证明、身份鉴别和防否认等方面功能独特。

关键词:盲签名1 盲签名的研究现状盲签名是一种特殊的数字签名,其特殊性体现在签名者并不知道签署的内容,即便签名者知道了签名与消息对,也无法将它们联系起来。

因此,盲签名技术应用广泛,尤其是电子投票和电子货币系统等。

盲签名的概念首先被David Chaum提出来,Chaum给出了一个基于RSA的盲签名方案,此后人们分别基于因子分解问题、离散对数问题、二次剩余问题等提出各种盲签名方案。

1992年,Okamoto基于Schnorr签名体制提出了第一个基于离散对数问题的盲签名方案[2]。

1994年,Camenisch等提出了基于离散对数的两个离散方案。

第一个方案是由DSA变形得出,第二个方案建立在Nyberg-Ruep pel签名体制之上。

1996年,Fan等基于二次剩余方根的难解性提出了一个盲签名方案,之后两年,Fan又提出一个部分盲签名方案,可以减少电子现金系统的计算量。

同年再次提出可以增强计算效率的一个盲签名方案。

2000年,姚亦峰等以Harn和Xu提出的十八种安全广义ElGamal型数字签名方案为基础,利用二元仿射变换,通过分析得到其中十二种方案是强盲签名方案。

2001年,Ch-ien 等根据RSA公钥密码系统提出一个部分盲签名方案,它能减少数据库的大小以及避免电子现金的重复花费。

2002年,黄少寅等基于Schnorr体制提出了一个必须经过多人同时盲签名才可生效的新方案,可以方便应用在电子现金需银行多个部门同时进行盲签名才可生效的情形中。

现代密码学第七讲:公钥密码学2(必修)

现代密码学第七讲:公钥密码学2(必修)

1公钥密码(二)《现代密码学》第七章上节内容回顾公钥密码体制的提出及分类公钥密码体制的基本概念单向陷门函数的概念设计公钥加密算法--背包密码体制3本节主要内容RSA算法及其分析ElGmal算法椭圆曲线密码体制其它公钥密码算法4RSA 算法是1978年由R.Rivest, A.Shamir 和L.Adleman 提出的一种用数论构造的、也是迄今为止理论上最为成熟完善的公钥密码体制,该体制已得到广泛的应用。

它既可用于加密、又可用于数字签字。

RSA算法的安全性基于数论中大整数分解的困难性。

R L Rivest, A Shamir, L Adleman, "On Digital Signatures and Public Key Cryptosystems", Communications of the ACM, vol 21 no 2,pp120-126, Feb 1978RSA算法51. 密钥的产生①选两个安全的大素数p 和q 。

②计算n=p ×q ,φ(n)=(p-1)(q-1),其中φ(n)是n 的欧拉函数值。

③选一整数e ,满足1<e<φ(n),且gcd(φ(n),e)=1。

④计算d ,满足d ·e ≡1 mod φ(n),即d 是e 在模φ(n)下的乘法逆元,因e 与φ(n)互素,由模运算可知,它的乘法逆元一定存在。

⑤以{e,n}为公开钥,{d,n}为秘密钥。

RSA算法62. 加密加密时首先将明文比特串分组,使得每个分组对应的十进制数小于n ,即分组长度小于log 2n 。

然后对每个明文分组m ,作加密运算:c ≡m e mod nRSA算法73. 解密对密文分组的解密运算为:m ≡c d mod n 证明RSA 算法中解密过程的正确性.证明:m 与n 互素,由加密过程知c ≡m e mod n ,所以c d mod n ≡m ed mod n ≡m k φ(n)+1mod n 则由Euler 定理得m φ(n)≡1 mod n,m k φ(n)≡1 mod n,m k φ(n)+1≡m mod n 即c d mod n ≡m 。

现代密码学原理与协议

现代密码学原理与协议现代密码学原理与协议模板一、引言本协议旨在确定双方之间的信息安全和隐私保护原则,以确保数据的机密性和完整性。

本协议依据现代密码学原理设计,旨在提供高度保密的通信和数据传输方式。

二、协议概述本协议所涉及的密码学原理包括对称加密、公钥加密、散列函数、数字签名等。

三、安全通信1.双方将使用基于对称加密算法的加密手段,在通信过程中保证数据的机密性。

2.双方应密钥交换协议(如Diffie-Hellman协议)进行安全密钥的交换,以确保通信过程中密钥的机密性。

3.双方可以使用公钥加密算法进行密钥协商,以加强通信的安全性。

四、数据传输保护1.双方将使用加密的数据传输协议(如TLS/SSL),以确保数据在传输过程中的机密性和完整性。

2.双方将对数据进行数字签名,并采用消息认证码(MAC)确保数据完整性。

五、密钥管理1.双方将定期更换会话密钥,以降低密码被破解的风险。

2.对于非对称加密算法,双方将设计有效的密钥管理机制,确保私钥的安全性。

3.双方将使用密码学安全的随机数生成器生成密钥和初始化向量。

六、安全性审计1.双方将定期进行安全性审计,包括对协议的实现和网络基础设施的评估。

2.双方将修复可能存在的安全漏洞,并提供安全更新,以确保系统的安全性。

七、争议解决双方同意,任何与本协议相关的争议应通过友好协商解决。

如果协商不成,双方可以寻求法律途径解决争议。

八、协议的解释和修改1.本协议的解释和修改应经双方书面同意。

2.双方同意,协议的修改将在双方达成一致后生效。

九、协议的终止1.任一方可在提前通知对方后终止本协议。

2.本协议终止后,双方应立即停止使用协议中约定的任何加密算法和密钥。

以上是本协议的主要内容,双方应遵守协议约定,并确保数据传输和通信过程中的安全性。

如果双方需要修改协议内容,应经过充分协商达成一致。

现代密码学


的密文c进行变换,得到的明文是明文空间中的某
个元素,即
m′=h(c)
一般m′≠m。如果m′=m,则分析成功。
图1.5 保密通信系统模型
为了保护信息的保密性,抗击密码分析,保密系统 应当满足下述要求:
① 系统即使达不到理论上是不可破的,即 pr{m′=m}=0,也应当为实际上不可破的。就是说, 从截获的密文或某些已知的明文密文对,要决定密 钥或任意明文在计算上是不可行的。
恶意软件指病毒、蠕虫等恶意程序,可分为两类, 如图1.2所示,一类需要主程序,另一类不需要。 前者是某个程序中的一段,不能独立于实际的应用 程序或系统程序;后者是能被操作系统调度和运行 的独立程序。
图1.2 恶意程序分类
对恶意软件也可根据其能否自我复制来进行分类。 不能自我复制的一般是程序段,这种程序段在主程 序被调用执行时就可激活。能够自我复制的或者是 程序段(病毒)或者是独立的程序(蠕虫、细菌 等),当这种程序段或独立的程序被执行时,可能 复制一个或多个自己的副本,以后这些副本可在这 一系统或其他系统中被激活。以上仅是大致分类, 因为逻辑炸弹或特洛伊木马可能是病毒或蠕虫的一 部分。
本节主要讨论人为威胁,也就是对信息的人为攻击。 这些攻击手段都是通过寻找系统的弱点,以便达到 破坏、欺骗、窃取数据等目的,造成经济上和政治 上不可估量的损失。人为攻击可分为被动攻击和主 动攻击,如图1.1所示。
图1.1 攻击类型分类
1.被动攻击
被动攻击即窃听,是对系统的保密性进行攻击,如 搭线窃听、对文件或程序的非法拷贝等,以获取他 人的信息。被动攻击又分为两类,一类是获取消息 的内容,很容易理解;第二类是进行业务流分析, 假如我们通过某种手段,比如加密,使得敌手从截 获的消息无法得到消息的真实内容,然而敌手却有 可能获得消息的格式、确定通信双方的位置和身份 以及通信的次数和消息的长度,这些信息可能对通 信双方来说是敏感的。

现代密码学第七讲:公钥密码学1

密钥管理:在有多个用户的网络中,任何两 密钥管理 个用户之间都需要有共享的秘密钥,当网络 中的用户n很大时,需要管理的密钥数目是n (n-1)/2 无签名功能 当主体A收到主体B的电子文挡 (电子数据)时,无法向第三方证明此电子 文档确实来源于B。
公钥加密体制的原理
邮箱的例子 任何人可以向邮箱投举报信 用户(审计人员)才能打开邮箱,读信的内容
28
背包密码体制
加密运算
对明文分组X=(x1x2…xn)的加密为 c=f(x)=B·X≡t·A·X mod k
解密运算
首先由s≡t-1 c mod k,求出s作为超递增背包向量 A的容积,再解背包问题即得x=(x1x2…xn). 因为t-1 c mod k≡t-1tAX mod k≡AX mod k,而由 k>∑ai,知AX<k,所以t-1c mod k=AX,是惟一的.
11
公钥密码体制的发展历史
1976年 Diffie和Hellman 在《密码学的新方向》中首次公开提 出了非对称密码算法的思想,但是没有实现加密方案,只给出 没有实现加密方案, 没有实现加密方案 一个密钥协商协议; 一个密钥协商协议; 1978年 Rivest,Shamir和Adleman提出应用广泛的RSA算法; 1984年 Shamir提出基于身份的密码体制,没有实现加密体制, ,没有实现加密体制, 只给出一个基于身份的数字签名算法 2001年 Boneh,Franklin和Cocks分别独立提出基于身份的加密 算法 2003年 Al-Riyami提出的无证书的密码体制
15
公钥加密算法的特点
无噪信道 道
公钥加密体制框图
16
公钥加密算法的特点
加解密算法需满足要求: 加解密算法需满足要求:

现代密码学第7章


2021/3/6
11
由加密算法产生数字签字
公钥加密
M
E
只有A才能用SKA加密, 可使B相信消息来自A,不 提供保密性
D
M
SKA ES KA [M]
PKA
提供保密性和认证性
M
E
E
D
D
M
SKA ESKA[M] PKB EPKB[ESKA[M]]SKB ESKA[M]PKA
2021/3/6
12
由加密算法产生数字签字
对已知的消息构造一假冒的数字签字在 计算上都是不可行的
2021/3/6
9
数字签字的产生方式ቤተ መጻሕፍቲ ባይዱ
由加密算法产生数字签字 由签字算法产生数字签字
2021/3/6
10
由加密算法产生数字签字
单钥加密
M
E
D
M
K
K
EK[M]
向B保证收到的消息确实来自A
B恢复M后,可相信B未被窜改,否则B将
得到无意义的比特序列
5
数字签字的基本概念
2021/3/6
6
消息认证码的不足
可以保护通信双方以防止第3者攻击,不 能保护通信双方中一方防止另一方的欺 骗和伪造。
B伪造一个消息并使用于A共享的密钥产生该 消息的认证码,然后生成该消息来自于A
B有可能伪造A发来的消息,所以A就可以对 自己发过的消息予以否认
2021/3/6
7
数字签字应具有的性质
能够验证签字产生者的身份,以及产生 签字的日期和时间
能用于证实被签消息的内容 数字签字可由第三方验证,从而能够解
决通信双方的争议
2021/3/6
8
数字签字应满足的要求
  1. 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
  2. 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
  3. 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
有效性 公平性 完整性
5
7.1
密码协议概述
密码协议(安全协议) 具有安全功能的协议——安全协议 安全协议的设计必须采用密码技术——密码协议 具体意义:密码协议是建立在密码体制基础上的 一种交互通信的协议,它运行在计算机通信网或 分布式系统中,借助于密码算法来达到安全功能 密码技术:随机数生成,加密/解密算法,Hash运算, 密码技术 数字签名等 安全功能:密钥建立,密钥分配,消息鉴别,身份 安全功能 认证 应用系统:电子选举,电子拍卖,公平电子交易等. 应用系统
协议7.1 简单口令身份认证协议 协议7.2 动态口令身份认证协议 协议7.3 基于口令的智能卡认证协议
双向口令身份认证协议
协议7.4 基于Hash函数的双向口令身份认证协议 协议7.5 基于对称密码的双向认证协议 协议7.6 基于非对称密码的双向认证协议
11
第7章
7.1 7.2 7.3 7.4 7.5
20
7.3
密钥认证协议
基于非对称密码技术的密钥认证协议 Diffie-Hellman密钥交换协议 密钥交换协议(DH-KEP) 密钥交换协议
协议步骤 公开参数:大素数 p的本原根 公开参数:大素数p, 的本原根 的本原根a 共享密钥:K 共享密钥: 合理性证明
K = YBX A mod p = (a X B mod p ) X A mod p = a X B X A mod p = (a X A ) X B mod p = (a X A mod p ) X B mod p = YAX B mod p.
密码协议
密码协议概述 实体认证协议 密钥认证协议 比特承诺协议 零知识证明与身份识别协议
12
7.3
密钥认证协议
密钥认证协议:对通信主体A和B及建立的密钥K进 行认证 只有A,B(或可信第三方TTP)能够知道K A和B确认对方知道K A和B确认K是最新建立的
13
7.3
密钥认证协议
K
K
会话密钥K 会话密钥
15
7.3
密钥认证协议
基于对称密码技术的密钥认证协议 Needham-Schroeder 协议
重放攻击 假定攻击方C已经掌握A和B之间一个旧的会话密钥, 且可以中途阻止第(4)步的执行
(1) A → KDC: IDA || IDB || N1 (2) KDC → A: EK A [ Ks || IDB || N1 || EKB [ K S || IDA ]] (3) A → B: EKB [ K S ' || IDA ] (4) B → A: EKS [ N 2 ] (5) A → B: EKS ' [ f ( N 2 )]
彭代渊 信息科学与技术学院 dypeng@ 2009年12月 年 月
2
第7章
7.1 7.2 7.3 7.4 7.5
密码协议
密码协议概述 实体认证协议 密钥认证协议 比特承诺协议 零知识证明与身份识别协议
3
7.1
密码协议概述
协议(Protocol) 基本概念 两个或两个以上的参与者为完成某项特定任务 而采取的一系列步骤. 三层含义
17
7.3
协议步骤
密钥认证协议
基于对称密码技术的密钥认证协议 Denning改进协议:运用时间戳 改进协议: 改进协议 运用时间戳T
抑制重放攻击
如果发送者的时钟比接收者的时钟要快,攻击者就 可以从发送者窃听消息,并在以后当时间戳对接收 者来说成为当前时重放给接收者.
克服抑制重放攻击的方法 强制各方定期检查自己的时钟是否与KDC的时钟同
26
7.3
密钥认证协议
对协议的攻击类型 交错攻击(Interleaving attack) 交错攻击 把前面一次或多次(或者并行)执行协议的信息有 选择地组合在一起所实施的攻击. 选择挑战攻击( 选择挑战攻击(Chosen-text attack) ) 在挑战应答协议中对手巧妙地选择挑战消息,试图 得到所需的信息. 反射攻击( 反射攻击(Reflection attack) ) 正在执行的协议中,一方把对方发送过来的消息再 发回给对方
16
7.3
协议步骤
密钥认证协议
基于对称密码技术的密钥认证协议 Denning改进协议:运用时间戳 改进协议: 改进协议 运用时间戳T
(1) A → KDC: IDA || IDB (2) KDC → A: EK A [ K s || IDB || T || EKB [ K S || T ]] (3) A → B: EKB [ K S || IDA || T ] (4) B → A: EKS [ N 2 ] (5) A → B: EKS [ f ( N 2 )]
该协议可抵抗前两个协议可能遭受的攻击
19
7.3
密钥认证协议
基于非对称密码技术的密钥认证协议 Diffie-Hellman密钥交换协议 密钥交换协议(DH-KEP) 密钥交换协议
协议步骤 公开参数:大素数 p的本原根 公开参数:大素数p, 的本原根 的本原根a 共享密钥:K 共享密钥:
用户 A 随机选择 X A < p 计算 YA = a X A mod p 计算 K = YBX A mod p 用户 B 随机选择 X B < p 计算 YB = a X B mod p 计算 K = Y AX B mod p
27
第7章
7.1 7.2 7.3 7.4 7.5
密码协议
密码协议概述 实体认证协议 密钥认证协议 比特承诺协议 零知识证明与身份识别协议
28
7.4
比特承诺协议 比特承诺协议
股票预测大师问题 股票预测大师经常在讲座中给股民推荐股票,可股民 按照大师推荐买股票却常常赚不了钱,然而预测大师 却生意红火.为什么?因为预测大师没有对股民给出 一个明确的承诺 明确的承诺,尤其在股民选择股票买进时间和卖 明确的承诺 出时间上.往往在股民亏本后与预测大师论理时,预 测大师总可以用偷换预测的前提和条件(时间)来 "说服" 股民相信大师预测的正确性
22
7.3
密钥认证协议
基于非对称密码技术的密钥认证协议 Diffie-Hellman密钥交换协议 密钥交换协议(DH-KEP) 密钥交换协议
中间人攻击
A XA < p YA = a X A modp
YA YZ
Z XZ < p YZ = a X z modp
YZ YB
B XB < p YB = a X B modp
K AZ = YZX A modp
K AZ = YAX Z modp K BZ = YBX Z modp
K ZB = YZX B modp
23
7.3
密钥认证协议
基于非对称密码技术的密钥认证协议 加密的密钥交换协议(EKE)(协议 协议7.11) 加密的密钥交换协议 协议 Kerberos 协议 (协议 协议7.12) 协议
协议是有序的过程,每一步必须依次执行 协议至少需要两个参与者 通过执行协议必须能够完成某项任务
4
7.1
协议(Protocol) 特点
密码协议概述
协议的参与方必须了解协议,明确协议执行的所 有步骤 协议的参与方都承诺按协议步骤执行协议 协议必须清楚,完整,对每种可能的情况必须规 定明确,具体的动作
基本要求
安全性基础 攻击者只能得到a, p , YA , YB,要想求出K ,必 须先求出XA或XB ,这是离散对数问题
21
7.3
密钥认证协议
基于非对称密码技术的密钥认证协议 Diffie-Hellman密钥交换协议 密钥交换协议(DH-KEP) 密钥交换协议 例子:设p=97,a=5 (1) A选择XA=36,计算YA=aXA=536=50 mod 97, 将YA发送给B. Y B. (2) B选择XB=58,计算YB=aXB=558=44 mod 97, 将YB发送给B. (3) A计算共享密钥K=(YB)XA=4436=75 mod 97. (4) B计算共享密钥K=(YA)XB=5058=75 mod 97.
6
7.1
密码协议概述
密码协议分类—按协议执行的轮数分 2轮协议 3轮协议,……, n轮协议 密码协议分类—按协议功能分 身份认证协议 密钥分配协议 密钥协商协议 秘密共享协议 不经意传输协议,……
7
7.1
密码协议概述
密码协议分类—按协议应用目标分 选举协议 拍卖协议 支付协议,…… 密码协议分类—按协议的交互性分 交互协议 非交互协议 密码协议分类—按协议第三方性质分 仲裁协议 裁决协议 自动执行协议
14
7.3
密钥认证协议
基于对称密码技术的密钥认证协议 Needham-Schroeder 协议 密钥分配中心KDC (key distribution center)安全 密钥分配中心 安全 地分发一个会话密钥K 给用户A和 . 地分发一个会话密钥 s给用户 和B.
协议步骤
(1) A → KDC: IDA || IDB || N1 (2) KDC → A: EK A [ Ks || IDB || N1 || EKB [ K S || IDA ]] (3) A → B: EKB [ K S || IDA ] (4) B → A: EKS [ N 2 ] (5) A → B: EKS [ f ( N 2 )]
10
7.2
实体认证协议
身份认证协议:验证用户知道什么(如口令等), 验证用户拥有什么(如IC卡等)或验证用户具有什 么特征(如指纹,掌纹,虹膜,DNA等) 身口令认证协议( PAP,Password Authentication Protocol):通过验证用户口令来进行身份认证 单向口令身份认证协议
29
7.4
比特承诺协议 比特承诺协议
安全比特承诺协议的直观描述 A 把比特b放入一个箱子,用一把只有用A自己的钥 匙才能开启的锁锁上这个箱子,然后把这个箱子交给 B;当时机成熟时,A把比特b和打开箱子的钥匙交给 B,B通过打开箱子可以验证比特b 的内容没有改动, 因为箱子在B的控制之下.