網(wǎng)絡安全理論與應用第六章

第六章

數(shù)字簽字與認證協(xié)議網(wǎng)絡安全理論與應用衛(wèi)文學信息科學與工程學院2003.3山東科技大學第一頁，共三十一頁。引言

數(shù)字簽名是由公鑰密碼發(fā)展而來的，它在網(wǎng)絡安全，包括身份認證、數(shù)據(jù)完整性、不可否認性以及匿名性等方面有著重要應用。第二頁，共三十一頁。6.1數(shù)字簽名★消息認證（Messageauthentication）用以保護雙方之間的數(shù)據(jù)交換不被第三方侵犯；但它并不保證雙方自身的相互欺騙。假定A發(fā)送一個認證的信息給B，雙方之間的爭議可能有多種形式：B偽造一個不同的消息，但聲稱是從A收到的。A可以否認發(fā)過該消息，B無法證明A確實發(fā)了該消息。

例如：EFT（電子資金傳輸）中改大金額；股票交易指令虧損后抵賴。第三頁，共三十一頁。數(shù)字簽名應具有的性質1、必須能夠驗證作者及其簽名的日期時間；2、必須能夠認證簽名時刻的內容；3、簽名必須能夠由第三方驗證，以解決爭議；因此，數(shù)字簽名功能包含了認證的功能。第四頁，共三十一頁。數(shù)字簽名的設計要求1、簽名必須使用某些對發(fā)送者是唯一的信息，以防止雙方的偽造與否認；2、必須相對容易生成該數(shù)字簽名；3、必須相對容易識別和驗證該數(shù)字簽名；4、偽造該數(shù)字簽名在計算復雜性意義上具有不可行性，既包括對一個已有的數(shù)字簽名構造新的消息，也包括對一個給定消息偽造一個數(shù)字簽名；第五頁，共三十一頁。兩類數(shù)字簽名函數(shù)1、直接數(shù)字簽名2、仲裁數(shù)字簽名第六頁，共三十一頁。直接數(shù)字簽名（DDS）(1)AB:ESKa[M]

提供了認證與簽名：只有A具有SKa進行加密;傳輸中無法被篡改；需要某些格式信息/冗余度；任何第三方可以用PKa驗證簽名MEMDSKAESKA(M)PKA源A目標B第七頁，共三十一頁。(1’)AB:EPKb[ESKa(M)]

提供了保密(PKb)、認證與簽名(SKa)：MEEDDMSKAESKA(M)PKBPKASKBESKA(M)EPKB(ESKA(M))第八頁，共三十一頁。直接數(shù)字簽名(2)AB:M||ESKa[H(M)]提供認證及數(shù)字簽名

--H(M)受到密碼算法的保護；

--只有A能夠生成ESKa[H(M)](2’)AB:EK[M||ESKa[H(M)]]提供保密性、認證和數(shù)字簽名。第九頁，共三十一頁。直接數(shù)字簽名的缺點◆驗證模式依賴于發(fā)送方的保密密鑰；發(fā)送方要抵賴發(fā)送某一消息時，可能會聲稱其私有密鑰丟失或被竊，從而他人偽造了他的簽名。通常需要采用與私有密鑰安全性相關的行政管理控制手段來制止或至少是削弱這種情況，但威脅在某種程度上依然存在。改進的方式例如可以要求被簽名的信息包含一個時間戳（日期與時間），并要求將已暴露的密鑰報告給一個授權中心。◆X的某些私有密鑰確實在時間T被竊取，敵方可以偽造X的簽名及早于或等于時間T的時間戳。第十頁，共三十一頁。仲裁數(shù)字簽名◆引入仲裁者。通常的做法是所有從發(fā)送方X到接收方Y的簽名消息首先送到仲裁者A，A將消息及其簽名進行一系列測試，以檢查其來源和內容，然后將消息加上日期并與已被仲裁者驗證通過的指示一起發(fā)給Y?！糁俨谜咴谶@一類簽名模式中扮演敏感和關鍵的角色。所有的參與者必須極大地相信這一仲裁機制工作正常。（trustedsystem）第十一頁，共三十一頁。仲裁數(shù)字簽名技術(a)單密鑰加密方式，仲裁者可以看見消息

(1)XA：M||EKxa[IDx||H(M)] (2)AY：EKay[IDx||M||EKxa[IDx||H(M)]||T]X與A之間共享密鑰Kxa，Y與A之間共享密鑰Kay；X：準備消息M，計算其散列碼H(M)，用X的標識符IDx

和散列值構成簽名，并將消息及簽名經(jīng)Kxa加密后發(fā)送給A；A：解密簽名，用H(M)驗證消息M，然后將IDx，M，簽名，和時間戳一起經(jīng)Kay加密后發(fā)送給Y；Y：解密A發(fā)來的信息，并可將M和簽名保存起來。解決糾紛：Y：向A發(fā)送EKay[IDx||M||EKxa[IDx||H(M)]]

A：用Kay恢復IDx，M，和簽名（EKxa[IDx||H(M)]），然后用Kxa

解密簽名并驗證散列碼第十二頁，共三十一頁。注意：在這種模式下Y不能直接驗證X的簽名，Y認為A的消息已認證，只因為它來自A。因此，雙方都需要高度相信A:X必須信任A沒有暴露Kxa，并且沒有生成錯誤的簽名

EKxa[IDx||H(M)]Y必須信任A僅當散列值正確并且簽名確實是X產(chǎn)生的情況下才發(fā)送的EKay[IDx||M||EKxa[IDx||H(M)]||T]

雙方都必須信任A處理爭議是公正的。只要A遵循上述要求，則X相信沒有人可以偽造其簽名；Y相信X不能否認其簽名。

上述情況還隱含著A可以看到X給Y的所有信息，因而所有的竊聽者也能看到。第十三頁，共三十一頁。(b)單密鑰加密方式，仲裁者不可以看見消息

(1)XA：IDx||EKxy[M]||EKxa[IDx||H(EKxy[M])] (2)AY：EKay[IDx||EKxy[M]||EKxa[IDx||H(EKxy[M])]||T]在這種情況下，X與Y之間共享密鑰Kxy，X：將標識符IDx,密文

EKxy[M]，以及對IDx和密文消息的散列碼用Kxa加密后形成簽名發(fā)送給A。A：解密簽名，用散列碼驗證消息，這時A只能驗證消息的密文而不能讀取其內容。然后A將來自X的所有信息加上時間戳并用Kay加密后發(fā)送給Y。(a)和(b)共同存在一個共性問題：

A和發(fā)送方聯(lián)手可以否認簽名的信息；

A和接收方聯(lián)手可以偽造發(fā)送方的簽名；第十四頁，共三十一頁。(c)雙密鑰加密方式，仲裁者不可以看見消息

(1)XA：IDx||ESKx[IDx||EPKy(ESKx[M])] (2)AY：ESKa[IDx||EPKy[ESKx[M]]||T]X：對消息M雙重加密：首先用X的私有密鑰SKx，然后用Y的公開密鑰PKy。形成一個簽名的、保密的消息。然后將該信息以及

X的標識符一起用SKx簽名后與IDx一起發(fā)送給A。這種內部、雙重加密的消息對A以及對除Y以外的其它人都是安全的。A：檢查X的公開/私有密鑰對是否仍然有效，是，則認證消息。并將包含IDx、雙重加密的消息和時間戳構成的

消息用SKa簽名后發(fā)送給Y。本模式比上述兩個模式具有以下好處：1、在通信之前各方之間無須共享任何信息，從而避免了聯(lián)手作弊；2、即使SKx暴露，只要SKa未暴露，不會有錯誤標定日期的消息被發(fā)送；3、從X發(fā)送給Y的消息的內容對A和任何其他人是保密的。第十五頁，共三十一頁。6.2認證協(xié)議

本節(jié)就網(wǎng)絡通信中一個基本問題的解決介紹認證協(xié)議的基本意義，這一基本問題陳述如下：A和B是網(wǎng)絡的兩個用戶，他們想通過網(wǎng)絡先建立安全的共享密鑰再進行保密通信。那么A(B)如何確信自己正在和B(A)通信而不是和C通信呢？這種通信方式為雙向通信，因此此時的認證稱為相互認證。類似地對于單向通信來說，認證稱為單向認證。

雙方認證(mutualauthentication)

單向認證(one-wayauthentication)第十六頁，共三十一頁。1、雙邊認證協(xié)議最常用的協(xié)議，該協(xié)議使得通信各方互相認證鑒別各自的身份，然后交換會話密鑰?；谡J證的密鑰交換核心問題有兩個：保密性時效性為了防止偽裝和防止暴露會話密鑰，基本認證與會話密碼信息必須以保密形式通信。這就要求預先存在保密或公開密鑰供實現(xiàn)加密使用。第二個問題也很重要，因為涉及防止消息重放攻擊。第十七頁，共三十一頁。消息重放：最壞情況下可能導致敵人暴露會話密鑰，或成功地冒充其他人；至少也可以干擾系統(tǒng)的正常運行，處理不好將導致系統(tǒng)癱瘓。常見的消息重放攻擊形式有：1、簡單重放：攻擊者簡單復制一條消息，以后在重新發(fā)送它；2、可被日志記錄的復制品：攻擊者可以在一個合法有效的時間窗內重放一個帶時間戳的消息；3、不能被檢測到的復制品：這種情況可能出現(xiàn)，原因是原始信息已經(jīng)被攔截，無法到達目的地，而只有重放的信息到達目的地。4、反向重放，不做修改。向消息發(fā)送者重放。當采用傳統(tǒng)對稱加密方式時，這種攻擊是可能的。因為消息發(fā)送者不能簡單地識別發(fā)送的消息和收到的消息在內容上的區(qū)別。對付重放攻擊的一種方法是在認證交換中使用一個序數(shù)來給每一個消息報文編號。僅當收到的消息序數(shù)順序合法時才接受之。但這種方法的困難是要求雙方必須保持上次消息的序號。第十八頁，共三十一頁。兩種更為一般的方法是：1、時間戳：A接受一個新消息僅當該消息包含一個時間戳，該時間戳在A看來，是足夠接近A所知道的當前時間；這種方法要求不同參與者之間的時鐘需要同步。2、盤問/應答方式。（Challenge/Response）A期望從B獲得一個新消息，首先發(fā)給B一個臨時值(challenge)，并要求后續(xù)從B收到的消息（response）包含正確的這個臨時值。時間戳方法似乎不能用于面向連接的應用，因為該技術固有的困難。(1)某些協(xié)議需要在各種處理器時鐘中維持同步。該協(xié)議必須既要容錯以對付網(wǎng)絡出錯，又要安全以對付重放攻擊。(2)由于某一方的時鐘機制故障可能導致臨時失去同步，這將增大攻擊成功的機會。(3)由于變化的和不可預見的網(wǎng)絡延遲的本性，不能期望分布式時鐘保持精確的同步。因此，任何基于時間戳的過程必須采用時間窗的方式來處理：一方面時間窗應足夠大以包容網(wǎng)絡延遲，另一方面時間窗應足夠小以最大限度地減小遭受攻擊的機會。第十九頁，共三十一頁。盤問/應答方法不適應非連接性的應用，因為它要求在傳輸開始之前先有握手的額外開銷，這就抵消了無連接通信的主要特點。對無連接的應用程序來說，利用某種安全的時間服務器實現(xiàn)時鐘同步可能是防止重放攻擊最好的方法。第二十頁，共三十一頁。單鑰加密體制下的身份認證1、AKDC：IDA||IDB||N12、KDCA：EKa[Ks||IDB||N1||EKb[Ks||IDA]]3、AB：EKb[Ks||IDA]4、BA：EKs[N2]5、AB：EKs[f(N2)]保密密鑰Ka和Kb分別是A和KDC、B和KDC之間共享的密鑰。本協(xié)議的目的就是要安全地分發(fā)一個會話密鑰Ks給A和B。A在第2步安全地得到了一個新的會話密鑰，第3步只能由B解密、并理解。第4步表明B已知道Ks了。第5步表明B相信A知道Ks并且消息不是偽造的。第4，5步目的是為了防止某種類型的重放攻擊。特別是，如果敵方能夠在第3步捕獲該消息，并重放之，如果沒有4、5步這將在某種程度上干擾破壞B方的運行操作。Needham/SchroederProtocol[1978]第二十一頁，共三十一頁。上述方法盡管有第4,5步的握手，但仍然有漏洞。假定攻擊方C已經(jīng)掌握A和B之間通信的一個老的會話密鑰。C可以在第3步冒充A利用老的會話密鑰欺騙B。除非B記住所有以前使用的與A通信的會話密鑰，否則B無法判斷這是一個重放攻擊。如果C可以中途阻止第4步的握手信息，則可以冒充A在第5步響應。從這一點起，C就可以向B發(fā)送偽造的消息而對B來說認為是用認證的會話密鑰與A進行的正常通信。

第二十二頁，共三十一頁。為克服以上弱點，可在第二步和第三步加上一時間戳：DenningProtocol[1982]改進：1、AKDC：IDA||IDB2、KDCA：EKa[Ks||IDB||T||EKb[Ks||IDA||T]]3、AB：EKb[Ks||IDA||T]4、BA：EKs[N1]5、AB：EKs[f(N1)]A、B可以通過以下方式檢查T的實時性：|Clock-T|<t1+t2

其中：t1

是KDC時鐘與本地時鐘（A或B）之間差異的估計值；

t2是預期的網(wǎng)絡延遲時間。第二十三頁，共三十一頁。DenningProtocol比Needham/SchroederProtocol在安全性方面增強了一步。然而，又提出新的問題：即必須依靠各時鐘均可通過網(wǎng)絡同步。

如果發(fā)送者的時鐘比接收者的時鐘要快，攻擊者就可以從發(fā)送者竊聽消息，并在以后當時間戳對接收者來說成為當前時重放給接收者。這種重放將會得到意想不到的后果。（稱為抑制重放攻擊）。

一種克服抑制重放攻擊的方法是強制各方定期檢查自己的時鐘是否與KDC的時鐘同步。

另一種避免同步開銷的方法是采用臨時數(shù)握手協(xié)議。第二十四頁，共三十一頁。KEHN921、AB：IDA||Na2、BKDC：IDB||Nb||EKb[IDA||Na||Tb]3、KDCA：EKa[IDB||Na||Ks||Tb]||EKb[IDA||Ks||Tb]||Nb4、AB：EKb[IDA||Ks||Tb]||EKs[Nb]臨時握手協(xié)議的具體含義如下：

⑴A將產(chǎn)生的一次性隨機數(shù)NA與自己的身份IDA一起以明文形式發(fā)往B，NA以后將與會話密鑰KS一起以加密形式返回給A，以保證A收到的會話密鑰的新鮮性。⑵B向KDC發(fā)出與A建立會話密鑰的請求，請求中包含B的身份，一次性隨機數(shù)NB、B建議的證書截止時間、以及…⑶KDC將B產(chǎn)生的NB連同由KDC與B共享的密鑰KB加密的IDA||KS||TB一起發(fā)給A，其中KS是KDC分配的會話密鑰，EKB[IDA||KS||TB]由A當作票據(jù)用于以后的認證。⑷A將票據(jù)EKB[IDA||KS||TB]連同由會話密鑰加密的一次性隨機數(shù)NB發(fā)往B，B由票據(jù)得到會話密鑰KS，并由KS得到NB，N`由會話密鑰加密的目的是B認證了自己收到的消息不是一個重放而的確來自于A。第二十五頁，共三十一頁。公鑰加密方法：第四章我們曾介紹過使用公鑰加密體制分配會話密鑰的方法，下面的協(xié)議也是用于同樣的目的：一個使用時間戳的方法是：1、AAS：IDA||IDB2、ASA：ESKas[IDA||PKa||T

]||ESKas[IDB||PKb||T

]3、AB：ESKas[IDA||PKa||T]||ESKas[IDB||PKb||T]||EPKb[ESKa[Ks||T]]第一步：A將自己的身份IDA與IDB發(fā)送給AS（認證服務器）第二步：AS發(fā)給A的兩個鏈接的數(shù)據(jù)項都是由自己的秘密鑰加密（簽字），分別作為發(fā)放給通信雙方的公鑰證書。第三步：A選取會話密鑰并經(jīng)自己的秘密鑰和B的公開鑰加密后連同兩個公鑰證書一起發(fā)往B。

這里時戳T用以防止重放攻擊，所以需要各方的時鐘保持同步。第二十六頁，共三十一頁。下面的協(xié)議使用一次性隨機數(shù)，因此不需要時鐘的同步：一個基于臨時值（隨機數(shù)）握手協(xié)議：1、AKDC：IDA||IDB2、KDCA：ESKau[IDB||PKb]3、AB：EPKb[Na||IDA]4、B

KDC：IDB||IDA||EPKau[Na]5、KDC

B：ESKau[IDA||PKa]||EPKb[ESKau[Na||Ks||IDB]]6、B

A：EPKa[ESKau[Na||Ks||IDB]||Nb]7、AB：EKs[Nb]第二十七頁，共三十一頁。一個基于臨時值握手協(xié)議：在5、6兩步出現(xiàn)NA的地方加上IDA以說明NA的確是由A產(chǎn)生的1、AKDC：IDA||IDB2、KDCA：ESKau[IDB||PKb]3、AB：EPKb[Na||IDA]4、B

KDC：IDB||IDA||EPKau[Na]5、KDC

B：ESKau[IDA||PKa]||EPKb[ESKau[Na||Ks||IDA||IDB]]6、B

A：EPKa[ESKau[Na||Ks

||IDA||IDB]||Nb]7、AB：EKs[Nb]第二十八頁，共三十一頁。2、單向認證協(xié)