鉴别和密钥分配协议优秀文档.ppt

单击此处编辑母版标题样式,单击此处编辑母版文本样式,第二级,第三级,第四级,第五级,*,*,第7章 鉴别和密钥分配协议,南京邮电大学信息安全系,网络信息安全教研组,11/5/2024,1,主要内容,7.1 鉴别协议,7.1.1 Needham-Schroeder双向鉴别协议,7.1.2 改进的Needham-Schroeder协议,7.1.3 单向鉴别协议,7.2 密钥分配协议,7.2.1 对称密钥的分配,7.2.2 公开密钥的分配,7.2.3 使用公开加密算法分配对称密钥,11/5/2024,2,鉴别和密钥分配的作用,鉴别能正确识别信息发送方身份，且对信息内容的任何修改都可被检测出来对加密明文的保密主要依赖于密钥的保密：,1）,密钥管理涉及密钥生成、分配、使用、存储、备份、恢复以及销毁,2）,如何分配已生成密钥是密码学领域的难点问题,11/5/2024,3,7.1 鉴别协议,鉴别：实体之间建立身份认证的过程，包括通信实体鉴别和通信内容鉴别鉴别易受重放攻击：攻击者发送一个目的主机已接收的包，来达到欺骗目的主机目的最坏情况下：冒充合法方；,其他情况下：扰乱正常操作11/5/2024,4,对付重放攻击的现时（Nonce）,鉴别消息中增加一项：现时（仅使用一次）：,1）随机数：不可猜测，性质最好，但不适合无连接应用。

2）时间戳：需要时钟同步，协议必须能容错3）序列号：每一方都要记住其它各方与其通信时的最后一个序列号，难以实现；还要求系统抗毁11/5/2024,5,7.1.1 Needham-Schroeder双向鉴别协议,双向鉴别：能够正确鉴别出通信对方的身份，同时可以交换会话密钥，用于保证信息的安全传输Needham-Schroeder协议实现双向鉴别和密钥分配：,采用对称加密体制和密钥分配中心KDC技术,后来,很多鉴别协议（如Kerberos）都基于N-S协议,11/5/2024,6,两层对称加密结构,密钥名称,共享关系,产生和分发方法,安全性质,主密钥,K,a,、K,b,通信方和,KDC共享,通过带外方法分发，保护会话密钥的传输,使用次数少,暴露机会少,会话密钥,K,s,通信双方之间共享,由,KDC产生(每次不同)，,用主密钥保护分发，,保护消息本身的传输,加密报文数量多，但只使用有限时间,需要使用一个可信任的密钥分配中心KDC,11/5/2024,7,N-S协议的双向鉴别和密钥分配过程,前三步完成会话密钥的分配,后两步又实现一次双向鉴别,11/5/2024,8,N-S协议的实现过程,步骤2：A安全获得新会话密钥K,s,，N,1,说明不是重放。

步骤3：消息只能被B解密，A证实对方是B，解密后报文中的ID,A,使得B证实对方是A步骤4说明B已知道K,s,，步骤5使B确信A也知道K,s,，现时f(N,2,)使B确信这是一条新的消息增加步骤4和5可防止攻击者截获步骤3中的报文并直接重放11/5/2024,9,较难实现的重放攻击,1）假设攻击者X已获得一个旧的会话密钥K,s,2）X假冒A重放步骤3的消息诱使B使用旧的会话密钥进行通信3）若X可截获步骤4中的握手消息，就可模仿步骤5中A的应答4）X可发送伪造的消息给B，而B以为这是A使用才分发的会话密钥加密发送过来的消息11/5/2024,10,7.1.2 改进的Needham-Schroeder协议,Denning对N-S协议进行改进，加入了一个时间戳,时间戳T使A和B确信该会话密钥K,s,刚刚产生,不能重放成功,但需要三者时钟同步，易遭受“禁止-重放攻击”,11/5/2024,11,一个可抗重放的鉴别协议,同时解决了重放攻击和“禁止-重放攻击”,使A拥有一个可向B进行后续认证的“证明书”,B自己的时钟，,并不需要时钟同步,11/5/2024,12,7.1.3 单向鉴别协议,一、使用对称加密算法,修改N-S协议就能用于电子邮件的单向鉴别（不能要求发送方A和接收方B同时）：,不能抗重放攻击，且加入时间戳的作用非常有限,。

11/5/2024,13,二、使用公开加密算法,1）保证消息的机密性,AB:E(PU,B,K,s,)|E(K,s,M),2）实现鉴别（数字签名）,AB:M|E(PR,A,H(M),3）同时实现鉴别和机密性,AB:E(PU,B,M|E(PR,A,H(M),4）提高加密效率还需使用数字信封,AB:E(PU,B,K,s,)|E(K,s,M|E(PR,A,H(M),并不能真正实现,PGP加密系统,11/5/2024,14,后两步又实现一次双向鉴别,前三步完成会话密钥的分配,N-S协议的双向鉴别和密钥分配过程,获取公开密钥的四种途径：,n个通信方的网络要保存n(n一1)/2个主密钥2）主密钥多，单个KDC易形成瓶颈，无法支持大型网络双向鉴别：能够正确鉴别出通信对方的身份，同时可以交换会话密钥，用于保证信息的安全传输AB:E(PUB,Ks)|E(Ks,M|E(PRA,H(M),采用对称加密体制和密钥分配中心KDC技术,分散式对称密钥分配方案,2）明文保密依赖于密钥保密，密钥保密更加困难n一1)个主密钥MKM,加密报文数量多，但只使用有限时间,前两种方法不适用于大量连接的现代通信,不能抗重放攻击，且加入时间戳的作用非常有限。

1）要使对称加密有效进行，通信双方必须共享一个密钥，这个密钥还要防止被他人获得；,作为可信第三方，CA需检验用户公钥的合法性7.2 密钥分配协议,1）加密算法公开且是国际标准，安全算法可依靠大量学术研究2）,明文保密依赖于密钥保密，密钥保密更加困难如何安全可靠、迅速高效地分配和管理密钥是密码学领域的重要研究课题11/5/2024,15,使用KDC进行密钥分配要求KDC是可信任的并且应该保护它免于被破坏获取公开密钥的四种途径：,利用数字证书分配公开密钥,Needham-Schroeder协议实现双向鉴别和密钥分配：,3）序列号：每一方都要记住其它各方与其通信时的最后一个序列号，难以实现；,2）明文保密依赖于密钥保密，密钥保密更加困难二、使用公开加密算法,分散式对称密钥分配方案,1）通信量大，需要较好的鉴别功能以鉴别KDC和通信方CA对通信双方进行认证，每个通信方都有CA公钥并通过CA获得其他任何通信方的公钥每一用户想与他人联系需求助CA，CA易成瓶颈最坏情况下：冒充合法方；,B自己的时钟，并不需要时钟同步,数字证书的作用：证明证书中列出的用户合法地拥有对应的公钥不同性质密钥的管理问题,1）要使对称加密有效进行，通信双方必须共享一个密钥，这个密钥还要防止被他人获得；,2）要使公开加密有效进行，通信各方必须发布其公开密钥，并防止其私钥被其他人获得。

密钥还需经常更换，以便攻击者知道密钥的情况下使得泄漏的数据量最小11/5/2024,16,密钥分配的四种方法,1）A选定密钥，通过物理方法安全传递给B2）可信任第三方C选定密钥，通过物理方法安全传递给A和B3）若A和B都有到第三方C的加密连接，C通过该连接将密钥传递给A和B密钥分配中心KDC，常用于对称密钥的分配4）若第三方C发布A和B的公钥，它们可用彼此的公钥来加密通信认证中心CA，常用于公开密钥的分配前两种方法不适用于大量连接的现代通信,11/5/2024,17,7.2.1 对称密钥的分配,一、集中式密钥分配方案,N-S协议,存在的问题：,1）通信量大，需要较好的鉴别功能以鉴别KDC和通信方2）主密钥多，单个KDC易形成瓶颈，无法支持大型网络解决方案：,1）多个KDC之间存在层次关系2）某个KDC既不会形成瓶颈，也不会单点失效11/5/2024,18,二、分散式密钥分配方案,使用KDC进行密钥分配要求KDC是可信任的并且应该保护它免于被破坏解决方案：,1）把单个KDC分散成几个KDC 会降低这种风险2）更进一步把KDC分散到所有通信方，即通信方同时也是KDC，自己保存同其他所有通信方的主密钥。

11/5/2024,19,分散式对称密钥分配方案,n个通信方的网络要保存n(n一1)/2个主密钥对于小型网络或大型网络的局部范围，该方案可行产生/保存,的密钥数,加密报文的数量,密码分析,(n一1),个主密钥,MK,M,很少,分析很困难，可以长时间使用,任意多个会话密钥,K,S,很多,只使用有限时间，所以不易被攻破，即使被攻破对系统危害也不大,11/5/2024,20,7.2.2 公开密钥的分配,获取公开密钥的四种途径,：,1）公开密钥的公开宣布,PGP用户可将自己公钥附加到消息上发送出去,公钥很容易被冒充2）公开可用目录,由可信任组织维护一个公开目录，为每个参与者维护一个目录项用户名，用户的公开密钥公钥很容易被冒充11/5/2024,21,利用CA和数字证书分配公开密钥,3）公开密钥管理机构,CA对通信双方进行认证，,每个通信方都有,CA,公钥并通过,CA,获得其他任何通信方的公钥,每一用户想与他人联系需求助,CA,，,CA,易成瓶颈4）公开密钥证书,CA事先为用户颁发数字证书，用户通信时只需下载并验证对方证书得到对方公钥，无需再联系CA11/5/2024,22,数字证书的概念,作为可信第三方，CA需检验用户公钥的合法性。

CA为每个用户发放数字证书（经CA私钥签名的包含公钥拥有者信息及其公钥的遵循X.509标准的文件）CA的签名使得攻击者不能伪造和篡改证书数字证书的作用：证明证书中列出的用户合法地拥有对应的公钥11/5/2024,23,利用数字证书分配公开密钥,11/5/2024,24,3）同时实现鉴别和机密性,3）若X可截获步骤4中的握手消息，就可模仿步骤5中A的应答AB:M|E(PRA,H(M),增加步骤4和5可防止攻击者截获步骤3中的报文并直接重放鉴别能正确识别信息发送方身份，且对信息内容的任何修改都可被检测出来CA对通信双方进行认证，每个通信方都有CA公钥并通过CA获得其他任何通信方的公钥每一用户想与他人联系需求助CA，CA易成瓶颈密钥还需经常更换，以便攻击者知道密钥的情况下使得泄漏的数据量最小Ks每次不同，破译一次Ks不影响其他次数据传递的安全,步骤3：消息只能被B解密，A证实对方是B，解密后报文中的IDA使得B证实对方是A只使用有限时间，所以不易被攻破，即使被攻破对系统危害也不大,使用KDC进行密钥分配要求KDC是可信任的并且应该保护它免于被破坏分析很困难，可以长时间使用,1）A选定密钥，通过物理方法安全传递给B。

数字证书的作用：证明证书中列出的用户合法地拥有对应的公钥其他情况下：扰乱正常操作AB:E(PUB,M|E(PRA,H(M),7.2.3 使用公开加密算法分配对称密钥,算法类型,用途,安全特点,所用技术,公开加密算法,加密要发送的消息本身,若明文长，则速度慢,加密对称密钥,安全分发,对称密钥,数字信封,(链式加密),对称加密算法,加密要发送的消息本身,只要密钥安全,消息也安全，,加密速度快,11/5/2024,25,使用公开加密算法分配对称密钥的原理,假定通信双方A和B已通过某种方法得到对方公钥,K,s,每次不同，,破译一次,K,s,不影响其他次数据传递的安全,Diffie-Hellman协议也是利用公开加密算法分配对称密钥,11/5/2024,26,。