通信网认证协议和认证算法

1第7章通信网认证协议和认证算法2本章内容概要阐述通信安全认证协议、网络安全认证协议和用于认证的典型算法3通信安全认证与网络安全认证的异同•两者共同点是，通信双方都要达到相互认证的目的，并认为通信双方相互之间是可信赖的，并能检测到伪装的黑客或阻止非授权的访问。•两者差别是主体不同，通信安全认证的主体是人员，人员以他们的名字区分，在OSI(开放系统互连)通信模型中，他们属高层；网络安全认证的主体是机器，机器以网络地址区分，在OSI(开放系统互连)通信模型中，它们属低层(第一层和第二层)。高层与低层的认证协议是不同的，因此，有必要对通信安全和网络安全认证分别作一番讨论。4本章目录7.1通信安全认证协议7.2网络安全认证协议7.3认证算法57.1通信安全认证协议7.1.1基于对称密钥的相互认证和密钥交换7.1.2能阻止重放攻击的相互认证和密钥交换7.1.3基于对称密钥和可信赖的第三方的通信安全认证7.1.4分布式认证安全服务7.1.5基于公开密钥的相互认证和密钥交换67.1通信安全认证协议•通信安全认证一般是通过把认证和密钥交换结合在一起的协议实现的。这种协议内容能够解决安全通信的基本要求：•如何相互认证？•如何交换密钥？•如何及时检测到假冒的对手？•如何发现攻击者已参与安全谈话？•大部分协议假设，仲裁者和每一个当事人均共享一个不同的密钥，并且在协议开始所有这些密钥都需要交换。7在认证和密钥交换协议中使用的符号A甲方的名字B乙方的名字使用仲裁者和甲方共享的密钥加密使用仲裁者和乙方共享的密钥加密I指数K一个随机的会话密钥L寿命时戳一个随机数，分别由甲方和乙方选择ARBRATBTAEBE87.1.1基于对称密钥的相互认证和密钥交换1．对称密钥管理协议对称密钥管理协议是由WideMouthFrog提出的。这个协议大概是最简单的对称密钥管理协议，属于仲裁协议，协议内容如表7-2所示，协议原理方框图见图7-1。9基于对称密钥的密钥交换仲裁者a)由身份A，解密消息(,B,K)b)产生时戳()b)由身份B，加密消息(,A,K)乙方接收随机会话密钥K甲方产生随机会话密钥K),,(,KBTEAAA),,(KATEBB传输消息1传输消息2ATATBT产生时戳接收时戳BTBT协议的目标是通过传输两个消息来实现的。众所周知，在两次消息传输期间，会话密钥K是一定要加密的。为什么第一个消息中A不加密？这是为了让仲裁者解密得到信息，B和K。因为只有仲裁者知道这些信息，才能将加密的消息发给乙方。第二个消息中，A需要加密，以让乙方知道跟谁进行秘密通信。在两次消息中增加不同时戳和是为了增加安全性。该协议的目标：把由甲方产生的随机会话密钥K传输给乙方。会话密钥K用于用户之间加密实际的消息。该协议最大的假设：甲方有足够的能力产生好的会话密钥。记住，随机数不是容易产生的。102．安全谈话协议安全谈话协议是由Yahalom提出的。这个协议与对称密钥管理协议相比，优点是，既能完成对称密钥传递，又能完成安全谈话。它也属于仲裁协议，协议内容如表7-3所示，协议原理方框图为图7-2。11安全谈话协议传输中会话密钥K是一定要加密①A和都不加密因为从协议开始,要检验是否有第三者插入.②B不加密这是为了让仲裁者解密得到信息A,和.因为只有仲裁者知道这些信息后,才能给甲方发送加密的消息.A需要加密,让仲裁者知道乙方跟谁进行秘密通信;和需要加密,是因为这两个随机数后面要作认证用,因此必须可靠.③要分成两个密钥加密这里仲裁者给乙方的秘密消息通过甲方转发,由于甲方不知道密钥，所以不能偷看或修改秘密消息.④分成两个密钥加密因为其中一个是为仲裁者转发的;另一个使用会话密钥加密随机数,表示甲方真正掌握共享密钥K.协议目标：既能完成会话密钥传递,又能完成安全谈话.由仲裁者产生随机的会话密钥K;同时甲方和乙方分别产生随机数,借助于传输会话密钥和随机数,这样甲方或乙方就可以分别检验自己发出的随机数与接收到的随机数是否相等.如果相等,则甲方或乙方各自相信与对方谈话;如果不等,则有第三个当事人插入。仲裁者a)产生随机会话密钥(K)b)由身份B，解密消息(A,,)c)由身份A，加密消息(B,K,,)d)由身份B，加密消息(A,K)乙方甲方传输消息3传输消息2ARARBR产生随机数接收随机数检验相等？产生随机数接收随机数检验相等？BR),,(,BABRRAEB),,,,(BAARRKBE),(KAEBARBR)(),,(BKBREKAEARA,传输消息1传输消息4ARARARBRBR127.1.2能阻止重放攻击的相互认证和密钥交换1．能阻止重放攻击的对称密钥管理和安全谈话协议这个协议是由RogerNeedham和MichaelSchroeder提出的。这个协议与对称密钥管理协议﹑安全谈话协议一样，都是使用对称密码系统和仲裁者。这个协议除了要考虑完成对称密钥传递和安全谈话外，重点还要考虑如何阻止重放攻击问题。协议内容如表7-4所示，协议原理方框图见图7-3。13能阻止重放攻击的对称密钥管理和安全谈话协议图7-3能阻止重放攻击的对称密钥管理和安全谈话协议原理方框图仲裁者a)产生随机会话密钥(K)b)由身份B，加密消息(K，A)c)由身份A，加密消息(，B,K,(K，A))乙方甲方传输消息1传输消息2AR产生随机数接收随机数检验是否相等？产生随机数接收随机数检验是否相等？BRARBE传输消息3ARBR传输消息5ARBA,,)),(,,,(AKEKBREBAA),(KAEB)(BKRE)1(BKRE传输消息4142．改进的对称密钥管理和安全谈话协议改进的对称密钥管理和安全谈话协议是由OtwayRees完成的，这个协议也使用对称秘钥系统。协议内容如表7-5所示，协议原理方框图见图7-4。15改进的对称密钥管理和安全谈话协议原理假设所有的随机数都匹配，并且指数不能向前改变，那么甲方和乙方现在能够相信相互之间的身份和用于通信的会话密钥。仲裁者a)产生随机会议密钥(K)b)由身份A，解密消息(,I,A,B)c)由身份B，解密消息(,I,A,B)d)由身份A，加密消息(,K)e)由身份B，加密消息(,K)传输消息3传输消息2ARARBR产生随机数接收随机数检验相等否？接收会话密钥K产生随机数接收随机数检验相等否？接收会话密钥KBRARBR传输消息1传输消息4),,,(,,,BAIREBAIAA),,,,(,,,BAIREBAIAA),,,(BAIREBB),(),,(,KREKREIBBAA),(,KREIAA乙方甲方167.1.3基于对称密钥和可信赖的第三方的通信安全认证1.Kerberos协议Kerberos协议是RogerNeedham和MichaelSchroeder的变种。在基本的第五版本的Kerberos协议中，甲方和乙方各自与仲裁者共享密钥，甲方要产生一个用于和乙方会话的会话密钥。协议内容如表7-6所示，协议原理方框图见图7-5。17Kerberos协议仲裁者a)产生随机会话密钥(K)b)产生时戳T和寿命Lc)由身份A,加密消息(T,L,K,B)d)由身份B,加密消息(T,L,K,A)乙方接收时戳T接收寿命L接收会话密钥K甲方接收时戳T接收寿命L接收会话密钥K传输消息2传输消息1传输消息3传输消息4),,,(),,(AKLTETAEBK),,,(),,,,(AKLTEBKLTEBABA,)1(TEK18注意的问题这个协议可以工作，但是它假设每个人的时钟和仲裁者的时钟是同步的。在实际中，由同步时钟产生的影响是存在的。192．能够抑制重放攻击的NeumanStubblebine协议不管系统失败还是被破坏，均可以导致时钟不同步。如果时钟失去同步，则可能存在一种反对这些协议的攻击。如果发射者的时戳是在接收者时钟的前面，攻击者能够截获来自发射者的信息，并当时戳成为接收机的站点的当前时刻时再重放它。这种攻击称为重放攻击,并且能够产生令人气愤的结果。这个协议企图计算抑制重放攻击。这个协议对于Yahalom协议是很好的增强，它是一个极好的协议。协议内容如表7-7所示，协议原理方框图见图7-6。20能够抑制重放攻击的NeumanStubblebine协议仲裁者a)产生随机会话密钥(K)b)由身份B,解密消息(A,，)c)由身份A，加密消息(B,,K,)d)由身份B,加密消息(A,K,)乙方接收会话密钥（K）产生随机数（）产生时戳（）接收（）和（）检验两者是否分别相等？甲方接收会话密钥（K）产生随机数（）接收随机数（）检验两个随机数是否相等？传输消息3传输消息1传输消息2传输消息4BBBBAARTKAETKRBE),,,(),,,,(ARA,),,(,,BABBTRAERB)(),,,(BKBBRETKAEBTARARBRBRBTARBTARBTBT21假设两个随机数和时戳匹配，甲方和乙方现在能够相信相互之间的身份和共享一个会话密钥。同步时钟是不需要的，因为时戳仅仅是相对于乙方的时钟；乙方仅仅是检验他自己产生的时戳。关于这个协议的优点是，甲方能够在一定检测时间限制范围内，把从仲裁者那里接收到的消息用于以后和乙方认证，假设甲方和乙方完成了上述协议﹑通信，并连接终端。甲方和乙方可以在没有依赖仲裁者情况下，使用以下三个措施重新认证。(1)甲方把在措施(3)中仲裁者发给他的消息和一个新的随机数发给乙方,即(2)乙方把另一个新的随机数和使用他们的会话密钥加密甲方的新随机数，发给甲方,即(3)甲方把使用他们的会话密钥加密的乙方新的随机数发给乙方,即新的随机数可以阻止重放攻击。227.1.4分布式认证安全服务分布式认证安全服务(distributedauthenticationsecurityservice,DASS)协议由数字设备公司（DEC）开发，也提供相互认证和密钥交换。不像前面的协议，DASS可以同时用于公开密钥和对称密钥密码系统。甲方和乙方各自都有秘密密钥。仲裁者掌握他们公开密钥的签署复制品。分布式认证安全服务协议的功能及特点如表7-8所示,其原理图如图7-7所示,协议内容如表7-9所示。23分布式认证安全服务协议仲裁者a)存储各用户的公开密钥b)由身份A,查得公开密钥()c)由身份B,查得公开密钥()(d)生成乙方和甲方数字证书乙方接收会话密钥(K)接收密钥寿命(L)接收时戳()接收密钥对()产生时戳()甲方产生会话密钥(K)产生密钥寿命(L)产生密钥对()产生时戳()接收时戳()传输消息2传输消息1B传输消息3),(BTKBS))((),,,(),(KESKALSTEBPAKKPKAK传输消息6)(BKTEPK传输消息4A),(ATKAS传输消息5ATBTATBTAKBKPK247.1.5基于公开密钥的相互认证和密钥交换1．简化的使用公开密钥的相互认证和密钥交换协议使用公开密钥的相互认证和密钥交换协议是由Denning-Sacco开发的。与分布式认证安全服务协议不同，它仅仅用于公开密钥密码系统。甲方和乙方各自都有秘密密钥。仲裁者保存每个人的公开密钥的数据库。协议内容如表7-10所示，协议的原理框图见图7-8。25简化的公开密钥认证和密钥交换①由甲方向仲裁者传输消息A,B②仲裁者向甲方提供甲方和乙方数字证书(即经仲裁者自己秘密密钥签名的甲方和乙方公开密钥)③甲方产生随机会话密钥和时戳,并使用自己的秘密密钥在这两个消息上签名;同时解读乙方数字证书获取乙方的公开密钥,并使用它加密经自己签过名的消息;最后,把它和两份证书发给乙方.④乙方收到后,一方面解读自己的证书以认证仲裁者的合法性,并使用自己的秘密密钥解密甲方的消息,获取甲方签过名的消息;另一方面解读甲方的数字证书获取甲方公开密钥,并使用它解读甲方签过名的消息,获取会话密钥K.与分布式认证安全服务协议不同,它仅仅用于公开密钥密码系统.甲方和乙方各自都有秘密密钥.仲裁者保存每个人的公开密钥的数据库仲裁者持有自身秘密密钥和各用户公开密钥a)存储各用户的公开密钥)b)由身份A,查得公开密钥()c)由身份B,查得公开密钥()(d)生成乙方和甲方数字证书)乙方持有自己的秘密密钥和仲裁