文档介绍：六、公开密钥密码应用基础
阳振坤
******@.
计算机科学技术研究所
.cn/cryptocourse/
密码算法与应用基础
1
信息安全引论
对称密钥密码
对称密钥密码应用基础
公开密钥密码
数字签名与hash函数
公开密钥密码应用基础
密钥管理
内容提要
2
公钥密码应用基础
认证协议
双向认证协议
单向认证协议

识别协议
引言
数学基础
零知识证明介绍
识别协议
3
双向认证介绍(1)

双向认证使通信双方确认对方的身份
密钥分发时使用过双向认证
用对称密码分发对称密钥(基于KDC)
Needham & Schroeder的建议
AKDC: (IDA||IDB||N1)
KDCA: EKa[Ks||N1||EKb(Ks,IDA)]
AB: EKb(Ks||IDA)
BA: EKs(N2)
AB: EKs(f(N2)) ., f(x)=x+1
该协议不能抵抗重放攻击
4
双向认证介绍(2)
用公钥密码分发对称密钥
每个用户知道授权机构的公钥
用户通过请求授权机构获得通信对方的公钥:
AAuth: (IDA,IDB,T1) (T1可以是时间戳或随机数)
AuthA: EKRauth(KUb,T1)
A和B获得了双方的公钥后的相互认证:
AB: EKUb(IDA,N1)
BA: EKUa(N1,N2)
AB: EKUb(N2)
5
双向认证介绍(3)
双向认证的核心: “保密性+时效性”
保密性
双方的身份证明信息: 抵抗假冒
双方的会话密钥: 保证后续通信的隐秘
需要预先存在共享密钥或知道对方的公钥
6
双向认证介绍(4)
时效性: 抵抗重放攻击
重放攻击例子:
简单重放
在有效时间内重放
不能检测的重放: 原始的消息没有到达
针对消息发送者的重放(对称加密) 
保障时效性的措施
使用序列号:
需初始值且要随机性维护同步(系统崩溃)
时间戳
请求/应答
7
双向认证介绍(5)
时间戳
通信双方时钟要同步
需要有协议保证时钟的同步
该协议必须有良好的容错性和安全性
任一方失去时钟同步,攻击就可能发生
时间窗口必须大于网络延时
不适合于有连接的环境
在Windows2000/Kerberos使用(登录时被同步)
请求/应答
能很好地抵抗重放攻击
适合于有连接的通信
不能用于无连接的通信(如email系统)

8
基于对称密码的双向认证(1)
需要可信任的KDC
KDC产生并安全地分发随机会话密钥
Needham & Schroeder的建议: 分发Ks到A和B
AKDC: (IDA||IDB||N1)
KDCA: EKa[Ks||N1||EKb(Ks,IDA)]
AB: EKb(Ks||IDA)
BA: EKs(N2)
AB: EKs(f(N2)) ., f(x)=x+1
攻击者获得一个旧Ks即可冒充A实施重放攻击

9
基于对称密码的双向认证(2)
Denning的改进: 增加时间戳
AKDC: (IDA||IDB||N1)
KDCA: EKa[Ks||N1||EKb(Ks,IDA,T)]
AB: EKb(Ks||IDA||T)
BA: EKs(N2)
AB: EKs(f(N2)) ., f(x)=x+1
|Clock-T|<t1+t2时,消息有效
t1:A/B与KDC时间差, t2: 估计的网络延时
若A/B时钟比KDC快,攻击者可截获KDC到A/B消息,并延迟到A/B的时间再发出(replay)
10