《4认证协议4.pptVIP

引言 公钥密码技术的优势 直接定义数字签名 简化了密钥管理 在目前这种分布式通信环境中，基于公钥密码体制的协议就更加重要了。 公钥密码技术的问题 计算量大 速度慢 机器处理速度提高，但对于多客户端的服务器以及smart card 这样计算能力低的设备来说 负担很重 密钥要加长 增加了密钥操作的计算量 协议设计者要尽量最小化公钥操作的次数 协议设计时还要考虑需要更多的私钥操作还是更多的公钥操作. RSA及相关算法对公钥操作更有效，而基于离散对数的算法则相反。 公钥仍然需要管理 完整性 记号 实体认证协议 密钥传输协议 总结 单纯的加密方案不能提供完整性保护 接收者的身份信息应包含在相应的签名或加密中， 否则会被敌手利用成oracle. 最近研究的注意力都集中在密钥协商，而不是密钥传输以及提供前向安全性。 引言 密钥协商协议 双方（或多方）都对秘密导出函数提供输入，并计算出一 致的共享秘密，单方不能预测此共享秘密。 A、B形成会话密钥的两个阶段 利用随机输入rA 、rB、或长期公开/私有密钥联合生成共享秘密ZAB。 利用密钥导出函数，以ZAB或其它的输入为参数，生成会话密钥KAB 。 密钥控制 协议各方都可对密钥值施加影响，使得各方不用依赖单方生成密钥，单方也不能决定密钥。保证了密钥的随机性、新鲜性。 未知密钥共享攻击(unknown key-share attacks) 攻击者C可以是合法的协议参与者，他的目的是使某个主 体，如A，相信与C共享会话密钥K，而实际上A与B共享 了K 。 C不一定需要获得K 。 预防措施： 确保公钥证书持有者拥有对应的私钥。 增加密钥确认。 在密钥导出函数中增加双方的身份信息。 密钥协商协议分类 基于Diffie-Hellman密钥交换：灵活选择交换群；可提供前向秘密性。 基于单向函数的密钥交换：更少的计算量；保证密钥的随机性。 Diffie-Hellman密钥协商 不使用加密的站对站协议 引言 讨论基于对称密码或公钥密码的密钥建立与认证协议的缺陷 应满足的要求 口令不能过长 离线字典攻击无效 在线字典攻击无效 基于DH的EKE 改进的EKE 具有隐私保护的认证密钥交换协议 分类 可否认 通信匿名 用户匿名 会议密钥协议 引言 主要研究如何将已经介绍过的两方协议扩展到多方情形。 考虑的四个因素： 1. 应用类型：多少个参与者可以发送消息。 2. 群组大小和动态性：对于规模很大的群组使所有参与者之间进行交互进行密钥建立是不现实的并且必须考虑群组成员动态变化的情况。 3. 可测量性：随着群组大小的变化，协议的效率 4. 信任模型：哪些参与者在密钥的产生和认证过程中是可信任的。 安全目标的推广 定义 ：对于参与者 来说，他与参与者集合U共享的的会话密钥是好的当且仅当： 1）会话密钥是新鲜的。（新鲜性） 2）会话密钥只被参与者集合U掌握。（认证性） 当群组很大时，所有成员之间互相认证是不现实的。对于密钥分配方式，认证性由分配者提供。对于密钥协商协议一个成员通过对相邻几个成员的认证实现对整个群组的认证。 将两方协议扩展到群组协议是复杂的。例如安全性质－密钥确认。 密钥确认是指一个参与者可以确认其他参与者已经获得了相应的密钥。在两方协议当中这是很容易实现的。但是在群组协议中，为了实现每个用户都能确认群组中每个成员获得了相应的密钥需要同时进行广播，这样的代价太高。 Saeednia和Safavi-Naini提出每一个参与者必须能够确认所有成员共享了相同的密钥或者没有任意两个用户都不共享相同的密钥。主要是避免会话密钥由一部分用户产生时存在的安全问题。 静态和动态群组 群组会话密钥建立以后，有的情况下有成员动态变化的情况，显然重新运行协议建立新的会话密钥代价太高，不可行。 我们称成员个数固定的协议为静态群组协议，可以有动态变化的协议称为动态群组协议。一般动态的群组协议包括在成员加入或退出时密钥更新子协议。 我们说，一个安全的群组通信，至少要满足以下5个方面的安全性需求： (1) 群组安全。非群组成员无法得到群组通信密钥。 (2) 前向安全。一个成员离开群组后，他无法再得到新的密钥，从而保证其无法解密离开后的通信数据。为实现前向安全，在成员离开群组后，必须进行密钥的更新。 (3) 后向安全。新加入的成员无法得到先前的群密钥，从而保证其无法解密加入前的通信数据。为实现后向安全，在成员加入群组后，同样也需要进行密钥的更新。 (4) 抵抗合谋攻击。避免多个群组成员联合起来破解系统（或减少发生的概率）。 (5) 密钥独立。一个通信密钥的泄露，不会导致其它密钥的泄