当前位置:文档之家 › 网络安全教程第12章 密钥交换协议(II):

网络安全教程第12章 密钥交换协议(II):

  • 格式:ppt
  • 大小:547.00 KB
  • 文档页数:35

下载文档原格式

  / 35

合集下载

IPSec中密钥交换协议IKE的安全性分析与改进

IPSec中密钥交换协议IKE的安全性分析与改进
在 I E协 议第 一阶段 的交换 过程 中 , 主模式 来说 , K 对 双方 们是在互相通信 。攻击者不仅能 够截获通信双方 的消息 , 而且 需要 用六条消息来完成 IE S K A的建立 。攻 击者可以伪装 多个 能 够 任 意 删 除 、 改 甚 至 插 入 新 的 消 息 。 IE第 一 阶 段 用 修 K 假 的 I 地址 , P 调用 IE K 协议 , 目标主机 实施攻击 。 目标主机 对 DfeH l a 算法 生成密钥材料 S E I IE中用来验 证消 i em n i l K YD, K 为 了响应发起 者的请求会 计算和保 存 自己的 co e以便核对 ok , i 息 及保 护 消息机 密性 的 密钥材 料 都是 由它衍 生 出来 的 , 因此 下 一个消息 是不是有效 。如果 攻击者发 出很 多伪造 I地址 的 P DfeH l a 的安全性直接影l JK 交换过程的安全性。 i em n i l l IE  ̄l 消息 , 那么 目 标主机就需要计算很多个 co e这 样 目 ok , i 标主机就 DfeH l a 密 钥 交换 协 议不 能 抵抗 如 下 的 中 间人 攻 i em n i l 会被淹没在计算那些实际上无效的co e ok 中。 i 击, 假设其 中攻击者是 P :
计算机 时代 2 1 年 第 1 期 01 1
・ 7・ 2
IA MP 、 A H载荷 、 或多个 S SK 头 H S 一个 A载荷 以及 其他载 荷组 伪 造 的 co i来 攻击 I E协 议 。中间人 不能仅 利用 通信双方 o ke K 成 。新群 模式 用 于为 Dfe H l a 密 钥 交换 协商 一个 新 的 I 地址来计算 正确的 co e , 只能 利用穷举等其他攻 击方 ii em n f l P ok 值 而 i 群 。新群模式是在 IA MP S K 阶段 一交换的 S A的保护之 下进行 法 。这样 才能使 真正 的协商双 方迅速建立 IE S , K A 以达 到保 的。在第一条 消息 中, 方送 出一个 S 载荷 , 中包含 了新 护后续 IS cS 发起 A 其 P e A的 目的 。 群 的特征 ( 例如模 指数运算 的质数 和底数)如果 响应者能 够接 22 拒绝服务攻击的分析及改进 , .

基于双线性配对的密钥树口令认证组密钥交换协议

基于双线性配对的密钥树口令认证组密钥交换协议
( 北大 学 计算 中心 ,辽宁 沈 阳 100 ) 东 10 4

要:针对组密钥交换协议存在 的安全性及执行效率问题 ,提出 了基于双线性配对 的密钥树 口令认 证组密钥交
换协议 n A E 。协议中使用双线性配对 取代 了一般组密钥交换协议 中的幂指数运算,并为协议 的参 与方建立 了 PK ’
Ab t a t T mp o e t es c rt n l me t t n e c e c n g o p p s wo d a t e t ai n k y e c a g r t — sr c: oi r v e u ya di e na o f in yi r u as r -uh n c t e x h h i mp i i i o n ep o o. c l , ir r h c lg o p p swo d a t e tc t n k y e c a g r t c l sp o o e n a d n AKE’i i c o s a h e ac i a r u a s r — u n i ai e x h n e p oo o r p s d a d n me P h o wa , n wh h i t
t ia t. h e ui d e ce c n l s ftepoo o e e sta a e ego p P i p n s T esc ry a f in ya ay i o r tc lrv a ti C me th r u AKE e ui e ur — c tn i s h l h tn t sc r rq ie y t
Hi r r h c l r u a s  ̄r u‘ e t a e’ e e a c i a o p I s wo d a t n i t d k y g p o - ’ h 。 ‘ c ‘

密钥交换协议

密钥交换协议

密钥交换协议密钥交换协议是指在网络通信中,双方通过安全的方式交换密钥,以确保通信过程中的数据安全性和保密性。

在网络通信中,密钥的安全性是非常重要的,因为一旦密钥泄露,就会导致通信内容被窃取或篡改的风险。

因此,密钥交换协议在网络安全中扮演着至关重要的角色。

在密钥交换协议中,双方通常会通过一些加密算法来生成和交换密钥。

最常见的密钥交换协议包括Diffie-Hellman密钥交换协议、RSA密钥交换协议等。

这些协议通过数学算法来实现安全的密钥交换,确保通信双方能够在不泄露密钥的情况下完成密钥交换过程。

Diffie-Hellman密钥交换协议是一种非对称加密算法,它允许双方在不直接传输密钥的情况下协商出一个共享的密钥。

该协议的基本原理是利用数论中的离散对数问题,通过交换公钥和私钥来生成一个共享的密钥。

这样,即使通信过程中的公钥被窃取,黑客也无法通过公钥推导出私钥,从而保证了密钥交换的安全性。

RSA密钥交换协议则是一种基于公钥加密的协议,它利用了大素数分解的困难性来实现安全的密钥交换。

在RSA协议中,通信双方分别生成公钥和私钥,并通过公钥加密的方式来交换密钥。

由于大素数分解的困难性,黑客无法通过公钥推导出私钥,从而确保了密钥交换的安全性。

除了Diffie-Hellman和RSA协议外,还有许多其他的密钥交换协议,它们都在不同的场景下发挥着重要的作用。

例如,在SSL/TLS协议中,密钥交换是通过服务器的数字证书来实现的;在IPSec协议中,密钥交换则是通过预共享密钥或者IKE协商来实现的。

总的来说,密钥交换协议是网络通信中不可或缺的一部分,它通过各种加密算法和协议来确保通信过程中的数据安全性和保密性。

在实际应用中,我们需要根据具体的场景和需求选择合适的密钥交换协议,并严格遵循协议规范,以确保通信过程中的数据安全。

密钥交换协议的安全性直接关系到整个网络通信系统的安全性,因此我们应该高度重视密钥交换协议的设计和实现,以保障网络通信的安全。

密钥交换的概念

密钥交换的概念

密钥交换的概念密钥交换是指在通信双方利用公开信道交换信息以达成共享密钥的过程。

在网络通信中,加密信息的安全性依赖于密钥的保密性,而密钥交换算法和协议就是确保密钥安全地在通信双方之间交换的方法。

密钥交换算法主要分为两种类型:对称密钥交换算法和非对称密钥交换算法。

对称密钥交换算法(如Diffie-Hellman算法)使用相同的密钥用于加密和解密,通信双方必须在交换密钥之前已经共享一个密钥。

而非对称密钥交换算法(如RSA算法)使用不同的密钥用于加密和解密,通信双方可以通过公开密钥和私有密钥来进行安全的密钥交换。

对称密钥交换算法的一个典型例子是Diffie-Hellman算法。

该算法允许通信双方在没有事先共享密钥的情况下,通过公开交换各自的私有参数计算出共享密钥。

Diffie-Hellman算法的基本思想是利用数论中的离散对数问题。

通信双方分别选取私有参数,并通过公开信道交换各自的公有参数。

然后每个一方利用对方的公有参数和自己的私有参数计算出一致的共享密钥。

非对称密钥交换算法的一个典型例子是RSA算法。

该算法是由三位数学家Rivest、Shamir和Adleman于1978年提出的,它基于两个大素数的乘积难以分解的数论问题。

RSA算法通过生成一对密钥(公钥和私钥),其中公钥可以公开给任何人,而私钥必须保密。

通信双方可以使用对方的公钥进行加密,然后利用自己的私钥进行解密,从而实现安全的密钥交换。

除了Diffie-Hellman算法和RSA算法,还有其他许多密钥交换算法和协议。

例如,基于椭圆曲线密码学的椭圆曲线Diffie-Hellman(ECDH)算法和椭圆曲线数字签名算法(ECDSA)等。

这些算法和协议在保护密钥交换的过程中具有高安全性和高效性。

密钥交换的安全性也受到一些攻击和威胁的影响。

例如,中间人攻击是指在密钥交换过程中,攻击者截获通信双方的公开信息,并伪装成对方与另一方进行通信,从而获取密钥或窃取通信内容。

Diffie-Hellman密钥交换协议

Diffie-Hellman密钥交换协议

Diffie-Hellman MethodDiffie-Hellman:一种确保共享KEY安全穿越不安全网络的方法,它是OAKLEY 的一个组成部分。

Whitefield与Martin Hellman在1976年提出了一个奇妙的密钥交换协议,称为Diffie-Hellman密钥交换协议/算法(Diffie-Hellman Key Exchange/Agreement Algorithm)。

这个机制的巧妙在于需要安全通信的双方可以用这个方法确定对称密钥。

然后可以用这个密钥进行加密和解密。

但是注意,这个密钥交换协议/算法只能用于密钥的交换,而不能进行消息的加密和解密。

双方确定要用的密钥后,要使用其他对称密钥操作加密算法实际加密和解密消息。

缺点然而,该技术也存在许多不足:没有提供双方身份的任何信息。

它是计算密集性的,因此容易遭受阻塞性攻击,即对手请求大量的密钥。

受攻击者花费了相对多的计算资源来求解无用的幂系数而不是在做真正的工作。

没办法防止重演攻击。

容易遭受中间人的攻击。

第三方C在和A通信时扮演B;和B通信时扮演A。

A和B都与C协商了一个密钥,然后C就可以监听和传递通信量。

中间人的攻击按如下进行:B在给A的报文中发送他的公开密钥。

C截获并解析该报文。

C 将B的公开密钥保存下来并给A发送报文,该报文具有B的用户ID但使用C的公开密钥YC,仍按照好像是来自B的样子被发送出去。

A收到C的报文后,将YC和B的用户ID存储在一块。

类似地,C使用YC向B发送好像来自A的报文。

B基于私有密钥XB和YC计算秘密密钥K1。

A基于私有密钥XA和YC计算秘密密钥K2。

C使用私有密钥XC和YB计算K1,并使用XC和YA计算K2。

从现在开始,C就可以转发A发给B的报文或转发B发给A的报文,在途中根据需要修改它们的密文。

使得A和B都不知道他们在和C共享通信。

中间人攻击描述:(1)Alice 公开发送值a和p给Bob,攻击者Carol截获这些值,随即把自己产生的公开值发给Bob。

密钥交换协议 标准

密钥交换协议 标准

密钥交换协议标准密钥交换协议是一种通信协议,旨在使两个或多个参与方在不安全的网络中安全地协商一个共同的加密密钥。

它是保证数据保密性和完整性的一种重要方法,广泛应用于互联网、电子商务和支付等领域。

在密钥交换协议的过程中,参与方需要相互协商一个共同的密钥,以便后续的通信使用。

这个过程需要满足以下要求:1. 安全性:在不安全的网络中,密钥协商过程必须防止黑客攻击和窃听,确保密钥只能被参与方知道。

2. 可验证性:参与方需要确保对方身份的真实性,以及密钥是合法、没有被篡改的。

3. 合理性:密钥交换协议的计算代价应该是合理的,不过度消耗计算资源。

密钥交换协议的标准有很多种,常见的包括Diffie-Hellman密钥交换协议、RSA加密算法和ECC椭圆曲线加密算法等。

下面分别介绍一下这几种协议的基本原理和应用场景。

1. Diffie-Hellman密钥交换协议Diffie-Hellman密钥交换协议是一种非对称密钥协议,也是最早的密钥交换协议之一。

它的基本思想是,两个参与方通过公共通道(不安全的网络)协商一个密钥。

具体来说,协议的过程如下:1. 双方各自选择一个私有数字,并通过公共通道交换这些数字。

2. 双方根据对方发送的数字和自己的私有数字计算出一个共同的密钥。

Diffie-Hellman密钥交换协议的应用场景包括SSL加密通信、IPsec虚拟私有网络和SSH安全终端等。

2. RSA加密算法RSA加密算法也是一种非对称密钥协议,其基本原理是利用数学难题来实现加密和解密。

具体来说,RSA算法的过程如下:1. 双方各自生成一对公钥和私钥,其中私钥仅自己知道,公钥可以公开。

2. 双方通过公共通道交换公钥,然后使用对方的公钥对消息进行加密,并将加密后的消息发送给对方。

3. 对方使用自己的私钥对接收到的消息进行解密。

RSA加密算法的应用场景包括数字证书、数字签名和支付等。

3. ECC椭圆曲线加密算法ECC椭圆曲线加密算法是一种对称密钥协议,与Diffie-Hellman密钥交换协议类似,也是通过公共通道协商一个密钥。

密钥交换(密钥协商)算法及其原理

密钥交换(密钥协商)算法及其原理本⽂转载⾃1. 导语本系列的,咱们聊了“密钥交换的难点”以及“证书体系”的必要性。

今天这篇来介绍⼀下实战中使⽤的“密钥协商算法”。

2. 密钥交换/协商机制要达到啥⽬的?介绍了 SSL/TLS 的⾝份认证机制。

这个机制是为了防⽌攻击者通过【篡改】⽹络传输数据,来假冒⾝份,以达到“中间⼈攻击/MITM”的⽬的。

⽽今天要聊的“密钥协商机制”是:(在⾝份认证的前提下)如何规避【偷窥】的风险。

通俗地说,即使有攻击者在偷窥你与服务器的⽹络传输,客户端(client)依然可以利⽤“密钥协商机制”与服务器端(server)协商出⼀个⽤来加密应⽤层数据的密钥(也称“会话密钥”)。

3. 密钥交换/协商机制的⼏种类型俺总结了⼀下,⼤致有如下⼏种类型:依靠⾮对称加密算法原理:拿到公钥的⼀⽅先⽣成随机的会话密钥,然后利⽤公钥加密它;再把加密结果发给对⽅,对⽅⽤私钥解密;于是双⽅都得到了会话密钥。

举例:依靠专门的密钥交换算法原理:这个原理⽐较复杂,⼀两句话说不清楚,待会⼉聊到 DH 的那个章节会详谈。

举例:及其变种依靠通讯双⽅事先已经共享的“秘密”原理:既然双⽅已经有共享的秘密(这个“秘密”可能已经是⼀个密钥,也可能只是某个密码/password),只需要根据某种⽣成算法,就可以让双⽅产⽣相同的密钥(并且密钥长度可以任意指定)举例:和(可能很多同学没听过这俩玩意⼉。

别担⼼,本⽂后续部分有介绍)4. 基于 RSA 的密钥协商概述这⼤概是 SSL 最古⽼的密钥协商⽅式 — — 早期的 SSLv2 只⽀持⼀种密钥协商机制,就是它。

的时候,也是拿 RSA 来演⽰。

是⼀种【⾮】对称加密算法。

在本系列的背景知识介绍中,已经聊过这种算法的特点 — — 加密和解密⽤使⽤【不同的】密钥。

并且“⾮对称加密算法”既可以⽤来做“加密/解密”,还可以⽤来做“数字签名”。

密钥协商的步骤(下列步骤只阐述原理,具体的协议细节在下⼀篇讲)1. 客户端连上服务端2. 服务端发送 CA 证书给客户端3. 客户端验证该证书的可靠性4. 客户端从 CA 证书中取出公钥5. 客户端⽣成⼀个随机密钥 k,并⽤这个公钥加密得到 k’6. 客户端把 k’ 发送给服务端7. 服务端收到 k’ 后⽤⾃⼰的私钥解密得到 k8. 此时双⽅都得到了密钥 k,协商完成。

IKE协议的密钥交换流程

IKE协议的密钥交换流程IKE(Internet Key Exchange)协议是在IPSec(Internet Protocol Security)协议中用于实现安全通信的关键协议之一。

它负责在通信双方建立安全通道的过程中交换密钥。

本文将详细介绍IKE协议的密钥交换流程。

1. IKE协议概述IKE协议是基于公钥基础设施(PKI)的密钥协商协议,用于确保通信双方之间的数据传输的机密性、完整性和真实性。

它使用Diffie-Hellman密钥交换算法来生成共享密钥,并使用数字证书对身份进行认证。

2. IKE协议的两个阶段IKE协议的密钥交换流程分为两个阶段:建立安全关联(SA)和生成密钥材料。

在第一阶段中,通信双方将协商建立安全关联所需的参数,包括加密算法、HASH算法、Diffie-Hellman组等。

在第二阶段中,通过Diffie-Hellman密钥交换算法生成共享密钥,并使用数字证书对身份进行认证。

3. 第一阶段:建立安全关联在第一阶段中,通信双方进行一系列的协商和交换,以确保双方拥有相同的参数,并建立安全的通信环境。

(1) 提交协议(SA Proposal)通信双方向对方发送自己所支持的加密算法、HASH算法和Diffie-Hellman组等参数。

这些参数将用于后续的密钥交换和身份认证过程。

(2) Diffie-Hellman密钥交换通信双方使用Diffie-Hellman密钥交换算法生成临时的共享密钥。

该密钥将用于后续的身份认证和建立真正的安全通道。

(3) 身份认证通信双方使用数字证书对对方的身份进行认证。

每个通信方都向对方发送自己的数字证书,对方可以通过验证证书的合法性来确认对方的身份。

(4) 密钥确认通信双方使用生成的共享密钥对协商过程进行确认。

这是确保密钥交换没有被篡改的重要步骤。

4. 第二阶段:生成密钥材料在第一阶段完成后,通信双方已经建立了安全关联并进行了身份认证。

第二阶段的目标是生成用于加密和解密数据的密钥材料。

网络安全密钥交换

网络安全密钥交换在当今数字化时代,网络安全问题日益突出。

为了保护网络通信的安全性,确保数据不被非法获取和篡改,密钥交换成为了关键的环节。

本文将介绍网络安全密钥交换的概念、方法和应用,并探讨其在保护网络通信中的作用。

一、概念网络安全密钥交换是指在计算机网络中,实现安全通信所必需的密钥在通信双方之间进行交换的过程。

通过密钥交换,通信双方可以获取共享的密钥,用于加密和解密数据。

密钥交换的目标是确保密钥的安全性,防止密钥被攻击者获取或篡改。

二、方法网络安全密钥交换有多种方法,下面将介绍其中两种常用的方法。

1. 公钥密码体制公钥密码体制采用了非对称加密算法,其中包括一个公钥和一个私钥。

通信双方中的一方将自己的公钥发布给对方,对方使用该公钥进行加密,然后再使用自己的私钥进行解密。

公钥加密可以保证密钥的安全性,但由于非对称加密算法的计算复杂度较高,密钥交换速度较慢。

2. 密钥协商协议密钥协商协议是通信双方通过网络进行交互,生成共享密钥的一种方法。

其中最为广泛应用的协议是Diffie-Hellman密钥交换协议。

该协议允许两个通信方通过公开的非秘密信息生成一个共享的密钥,该密钥只有通信双方知道。

Diffie-Hellman协议的核心思想是离散对数问题,攻击者很难通过截获的通信信息计算出密钥。

三、应用网络安全密钥交换在网络通信中应用广泛,下面将介绍几种常见的应用场景。

1. 虚拟私有网络(VPN)VPN通过在公共网络上建立专用的加密隧道,实现远程办公、数据传输等功能。

在建立VPN连接时,密钥交换起着至关重要的作用,确保通信双方之间的数据传输是加密的、私密的。

2. 无线局域网(WLAN)在无线局域网中,密钥交换可用于保护无线信号的安全性。

通常采用的方法是使用预先共享密钥或动态生成密钥,确保无线通信双方之间的数据传输是安全的,防止被非法用户窃听或篡改。

3. 云计算云计算已成为当今互联网领域的热门技术,而云安全则是云计算的一个重要方面。

IKE协议IPsec密钥交换协议的解析

IKE协议IPsec密钥交换协议的解析IKE协议 IPsec 密钥交换协议的解析随着互联网的发展,网络安全问题日益突显。

在这个信息时代,保护网络数据的安全性变得至关重要。

而加密通信是实现网络数据安全传输的一种重要手段。

IKE协议(Internet Key Exchange)作为IPsec (Internet Protocol Security)中用于密钥交换的协议,起到了至关重要的作用。

本文将对IKE协议以及IPsec密钥交换协议进行详细解析。

一、IKE协议概述IKE协议作为一种网络协议,主要用于在IPsec安全传输中进行身份认证以及密钥交换。

它的设计目标是确保通信双方的身份可信且实现安全的密钥交换过程。

其所采用的密钥交换算法能够有效地保证被传输数据的安全性。

IKE协议是建立在UDP 500端口上的,并且具有两个主要的阶段:1. 第一阶段(Main Mode):在这个阶段中,双方首先通过互相验证来确保彼此的身份。

然后进行密钥交换,生成协商的安全参数,用于建立相应的安全关联。

2. 第二阶段(Quick Mode):在这个阶段中,双方进一步对建立的安全关联进行完善,并且约定一致的加密方式以及其他相关参数。

此外,还进行了相应的密钥刷新。

二、IPsec密钥交换协议概述IPsec是一种用于保护网络数据传输安全的协议套件,其主要包括AH(Authentication Header)和ESP(Encapsulating Security Payload)两个协议。

AH主要用于提供数据完整性验证和防篡改,而ESP用于提供数据的机密性和源认证。

而IPsec的密钥交换采用的就是IKE协议。

通过IPsec密钥交换协议的建立,双方能够根据预先约定的密钥材料来生成对称密钥,从而实现后续通信数据的加密和解密。

密钥交换的过程中,还会确保密钥的安全传输,防止被攻击者窃取或者篡改。

三、IKE的运行过程下面将详细介绍IKE协议的运行过程,以便更好地理解其在IPsec安全传输中的作用。

  1. 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
  2. 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
  3. 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。

设 SIG=(KGs, Sign, Vf) 是抗伪造的数字 签名方案, Π =(KGe,E,D) 是保密的对称加密 方案。 Diffie-Hellman协议的过程如图12-1所示, 其中(vkA,skA) 和(vkB,skB) 分别是A 和B 的签字 公钥和私钥,并且假定 A 和 B 事先已从可信任 的途径(如公钥基础设施中的数字证书)获 得了对方签字公钥( vkB 和vkA), f 是任何一 种散列函数。
A
随机生成 x;
B gx
随机生成 y; 计算出 g 和 Km←prf(0||g )
xy xy
gy, CA(B||vkB), Sign(skB, gx||gy), MAC(Km,CA(B||vkB))
计算出 g 和 Km←prf(0||g ); 验证 B 的数字签名和 MAC(Km,CA(B||vkB));
还有第二类匿名性质,即协议双方对任何 非参与方完全匿名。 这一要求在当代无线网络环境中是非常现 实的:通信双方不仅需要保密其传输的数据, 而且经常期望不向任何第三方暴露自己的身 份,以免暴露自己的行踪。 SIGMA协议略加修改就可以满足这一要求, 办法是对含身份标识的消息进行对称加密, 而加密密钥来自当前协议会话生成的随机数。
如果协议任何一方A(B) 按照协议的逻辑 判定对方的身份是B(A),则当前实际参与协 议的对方确实是B(A),这就是抗身份欺诈性 质。 如果协议任何一方A(B) 按照协议的逻辑 判定当前与之会话的对方是B(A),则对方也 必定判定当前与之会话的对方是A(B),这就 是协议的一致性。 除合法参与方之外,协议所生成的会话 密钥Ks对任何第三方(包括被动或主动攻击 者)都无法(用P.P.T.算法)有效推断出来, 这就是密钥保密性。
A A B, gx, σB
验证数字签名; 密钥交换 阶段 随机生成 y; 计算出 g ←(g ) ;
xy x y
B
随机生成 x;
σB←Sign(skB, gx);
σA←Sign(skA, gy)
gy, σA, E(gxy, 0||A||B)
验证数字签名; 计算出 g ←(g ) ; 解密并验证明文是 0||A||B;
12.3.1 主体协议
SIGMA协议也是一类基于判定性DiffieHellman问题难解性的密钥交换协议。 记号prf表示拟随机函数(在目前阶段读 者将其想象为散列函数即可), SIG=(KGs,Sign,Vf)是抗伪造的数字签名方案, MAC=(KGm, MAC, MVf)是抗伪造的消息认证码 方案,循环群G以g为公开的生成子,G上的判 定性Diffie-Hellman问题难解。 SIGMA协议过程如图12-2所示,其中 CA(A||vkA)和CA(B||vkB)表示A和B的公钥证 书。
图 12-2 中所示的 SIGMA 协议已经具有这一 特点 : B 先向 A 出示 自己的身 份(第 二条消 息),而A仅在认证了B的身份之后才向B表明 自己的身份(第三条消息)。 在实际应用中,这给了协议发起方 A 一个 机会,一旦对方不属于自己所信任的实体,A 将立刻终止协议而不向B暴露自己的身份。 这就是第一类匿名性质,即协议的参与方 之一总是在另一方的身份被完全认证之后才 出示自己的身份。 这一性质也称为后验身份认证性质。 图12-2中的SIGMA协议就使A具有对B的后 验身份认证性质。
xy y x
解密并验证明文是 1||B||A
E(gxy, 1||B||A) E(f(g xy), Mi), i=1, 2, 3,„
保密会话阶段
图12-1 Diffie-Hellman协议
12.3 SIGMA协议
12.3.1 主体协议 12.3.2 匿名的变体 12.3.3 完整的协议实例: SIGMA-R
12.2 Diffie-Hellman协议
设G是循环群,如Fp*(p是大素数),g是 其公开的生成子,G上的离散对数问题是指: x 任 给 U=g 求 指 x ; G 上 的 计 算 性 DiffieHellman 问题是指:任给 U=gx 和 V=gy 两个元素, 求gxy;G上的判定性Diffie-Hellman问题是指: x y ? xy 任给U=g 、V=g 和W三个元素,判定W =g 。 Diffie-Hellman协议的安全性要求G上的 判定性 Diffie-Hellman 问题难解,即不存在 P.P.T. 算法 A 能从任意的输入 U(=gx) 、 V(=gy) 和W以显著偏离1/2的概率判定W?=gxy。
xy xy
CA(A||vkA), Sign(skA, gy||gx), MAC(Km, CA(A||vkA)) 验证 A 的数字签名和 MAC(Km,CA(A||vkA));
图12-2 SIGMA协议
12.3.2 匿名的变体
SIGMA协议有能力ห้องสมุดไป่ตู้对一类特殊应用模式, 即协议参与方之一事先未必总能明确当前需 要与之对话的对方。 这时一个常见的需求是协议的某一方不 先行暴露自己,仅在确认对方具有可信任的 身份之后再向对方出示自己的身份。
第12章 密钥交换协议(II):2-方 协议
12.1 协议安全性的概念 12.2 Diffie-Hellman协议
12.3 SIGMA协议 12.4 SSL/TLS协议
12.5 VPN与IPSec协议
12.1 协议安全性的概念
带身份认证的密钥交换协议需要要同时完 成两类目标:第一,在线认证协议当前参与 方的身份,其中某些协议只追求一方认证另 一方的身份,称为“单向认证”,另一些协 议追求双方互相认证,称为“双向认证”; 第二,在协议双方之间生成一个密钥Ks, Ks 用于接下来对一切需要保密的数据进行对 称加密。精确地说,这类协议的安全目标包 括以下必须被同时满足的三点。
A
随机生成 x
B gx gy
随机生成 y;
CA(A||vkA), Sign(skA, gx||gy), MAC(Km, CA(A||vkA)) CA(B||vkB), Sign(skB, gy||gx), MAC(Km, CA(B||vkB))
图12-3 第一类匿名的SIGMA协议: B后验身份认证