网络安全教程 教学课件 田园 第10章 身份认证协议.pptVIP

第10章 身份认证协议 ;10.1 概念 ; 实际应用最广泛的身份认证协议多数都是Fiat-Shamir型身份认证协议，这类协议SI=（KG, P, V）用P.P.T.算法K、P和确定性算法V以及复杂性参数k定义。 KG是密钥生成算法，以k为输入并输出公钥—私钥偶（pk, sk）；P是身份证实算法，V是身份验证算法，P以私钥—公钥偶为输入参数，V则仅以公钥pk为输入参数。 P、V都是有状态的过程，状态分别是P、V的私有信息，各自的初始状态分别为P、V的输入参数。P、V每接收一条消息Min后进行计算并发送一条新消息Mout，这一行为分别表达为（σP, Mout）←P（σP, Min）和（σV, Mout）← V（σV, Min）。 ; 总假设由P发起协议的第一条消息，V在最后的步骤中不发送消息而是输出一个判定元素d，d=1表示接受P的身份（协议成功）、d=0表示拒绝P的身份（协议失败）。 所有算法都满足一致性关系。 实际应用中的Fiat-Shamir型身份认证协议都具有三消息形式，以上描述的协议过程可以用如图10.1所示内容来表达。 针对身份认证协议存在三类攻击：被动攻击、主动攻击和并发攻击。;图10-1 Fiat-Shamir型身份证认证协议的普遍结构;图10-2 对Fiat-Shamir型身份认证协议的攻击模型;10.2 协议实例 ;10.2.1 Schnorr协议;图10-3 Schnorr身份认证协议; 当P需要向V证实自身的身份，即向V证明自己确实持有公钥y所对应的私钥x，P生成随机数K，计算r←gK并向V发送r；V生成并向P发送随机数h；P在接收到h后计算出整数s←（K+hx）mod q并向V发送s；V在接收到s后验证r=gsyh是否成立，若成立则接受对方确实是P，否则判定对方是冒充者。;10.2.2 Feige-Fiat-Shamir协议;图10-4 Feige-Fiat-Shamir正则身份认证协议; 当P需要向V证实自身的身份，即向V证明自己确实持有公钥y所对应的私钥x，P生成一组k个随机数ri←$ZN，计算vi←ri2 mod N并向V发送vi, i=1,…,k；V生成并向P发送k位随机数h；P在接收到h后计算出一组k个整数zi←rimod N，其中ei是h的第i位（因此实际上zi=ri或xri mod N ），i=1,…,k 并向V发送z1…zk；V在接收到z1，…， zk后验证mod N 是否对每个i=1,…,k 都成立，若全部成立则接受对方确实是P，否则表明对方是冒充者。;10.3* 与数字签名方案的关系：Fiat-Shamir变换 ; 为精确表达Fiat-Shamir变换，在此先将Schnorr协议和Feige-Fiat-Shamir协议这类身份认证协议统一为一类普遍形式，这就是正则身份认证协议。正则身份认证协议ID=（KG, P, V, C）是一类高效的三消息身份鉴别协议，包括一组P.P.T.算法KG和P、确定性算法V以及复杂性参数k的函数C，KG是密钥生成算法，以k为输入并输出公钥/私钥偶（pk, sk）；P是身份证实算法，V是身份验证算法；P以私钥/公钥偶为初始输入，V以公钥pk为初始输入；C表示协议第二步所生成的随机串的长度。协议的会话过程如图10-5所示，所有算法都满足一致性关系：对任意的 k 恒有 P[(pk,sk)←KG(k);(Cmt,St)←P(pk,sk);Ch←${0,1}C(k);Rsp←P(Ch,St): V(pk, Cmt||Ch||Rsp)=1]=1;图10-5 正则身份认证协议; 设s(k)是值为非负整数的k的函数，H:{0,1}+→{0,1}C(k) 是一个随机散列函数。正则身份认证协议ID与s(k)和H相关的Fiat-Shanir变换是一个数字签名方案Ξ=(KG, Sig, Vf)，其中公钥/私钥偶的生成算法KG与ID的对应算法KG完全相同，签名算法和验证算法分别定义如下。;签名算法SigH(sk,M) R←{0,1}s(k); (Cmt, St)←P(pk,sk); h←H(R||Cmt||M); Rsp←P(h,St); return(R||Cmt||Rsp); 验证算法VfH(pk,M,σ) parse σ as R||Cmt||M; h←H(R||Cmt||M); return(V(pk, Cmt||h||Rsp)); ; 例10-1 G是q阶循环群，q是k位素数，g是G的生成子；H:{0,1}+→Zq是随机散列函数，q、g、G和H公开。 Schnorr协议（见图10-3）的Fiat-Shamir变换所导出的数字签名方案的组成算法如下。 公钥/私