六講散列函數(shù)認證協(xié)議身份鑒別

身份鑒別的一般方法2014年10月一、身份識別方案與實體認證身份識別的基本方法你是什么？指紋、視網(wǎng)膜你有什么？身份證、護照駕駛證、USBKey你知道什么？口令、PIN（個人身份識別號）

身份識別方案的安全目的即使Alice向Bob證實自己身份時的信息被竊聽者得到，竊聽者以后也無法假冒Alice進一步，甚至要求要防范Bob通過與Alice交互后，可能來假冒Alice最終，要設(shè)計“零知識”方案，使得Alice能通過電子方式證實她的身份，而沒有“泄漏”關(guān)于她身份識別信息（或部分信息）的知識。為什么引入“隨機挑戰(zhàn)”？每次傳輸?shù)男畔⒍疾话l(fā)生改變，可以被“重用”例如：UID+PASS網(wǎng)絡(luò)截獲UID+HASH（PASS）網(wǎng)絡(luò)截獲，攻擊者并不需要得到PASS，重用HASH（PASS）即可如果Bob僅發(fā)起挑戰(zhàn)，不應(yīng)答挑戰(zhàn)（例如典型的C/S模式，如果信任S一端），那么該協(xié)議是安全的。y由Bob以前產(chǎn)生（如果Bob不應(yīng)答，這個可能就該排除）y由Alice以前產(chǎn)生y由攻擊者Oscar產(chǎn)生y由Alice當(dāng)前產(chǎn)生如果Bob也應(yīng)答，那么該協(xié)議不能抵抗“并行會話攻擊”O(jiān)scar假冒Alice為什么引入“身份標(biāo)識”？Alice和Bob均可挑戰(zhàn)、應(yīng)答，仍能抵抗“并行會話攻擊”y由Bob以前產(chǎn)生[注意：Bob僅產(chǎn)生MACK(ID(Bob)||r)]y由Alice以前產(chǎn)生y由攻擊者Oscar產(chǎn)生y由Alice當(dāng)前產(chǎn)生主動攻擊和被動攻擊Oscar是主動的，如果一下條件之一成立：1.Oscar產(chǎn)生了一個新消息，并放入信道。2.Oscar改變信道中的消息。3.Oscar轉(zhuǎn)移信道中的消息，送給其他人，而不是指定的接受者。等價地，若沒有主動攻擊則Alice和Bob都在與意定的實體通信。Alice發(fā)送的每個消息都由Bob收到，反之亦然。沒有亂序的消息被收到誠實的參與方如果會話中的參與方（例如Alice或Bob）嚴格按照方案流程執(zhí)行，進行正確的計算，不向敵手(Oscar)泄漏任何信息，則被稱為是誠實的參與方。如果參與方不誠實，那么方案就完全被攻破了，因此通常假定參與方是誠實的。中間入侵攻擊者，此例中并非主動攻擊交互認證（雙向認證）安全交互認證的目標(biāo)：假定Alice和Bob是會話中的兩個參與方，他們都是誠實的。也假定敵手是被動的，那么Alice和Bob都將“接受”。如果敵手是主動的，則會話完成后，誠實的參與方都不會“接收”。敵手的目標(biāo)：進行主動攻擊后，使得誠實的參與方“接受”。主動攻擊的表現(xiàn)形式：敵手假冒Alice，希望讓Bob接受。敵手假冒Bob，希望讓Alice接受。敵手在Alice和Bob參與的會話中是主動的，希望讓Alice和Bob都接受。Osca先偽裝成Bob，然后偽裝成Alice體會：為什么有的是兩個隨機數(shù)，

有的是一個？公鑰環(huán)境下的挑戰(zhàn)——響應(yīng)方案三、密鑰分配和密鑰協(xié)商討論的問題：在一個包括n個用戶的不安全網(wǎng)絡(luò)中，如何建立秘密密鑰？幾個主要的場景：密鑰預(yù)分配方案（KPS）：TA以一種安全的方式為網(wǎng)絡(luò)中的每個用戶“提前”分發(fā)密鑰信息。網(wǎng)絡(luò)中的每一對用戶都能夠根據(jù)他們掌握的密鑰信息來確定一個密鑰，該密鑰只有他們二人知道。會話密鑰分配方案（SKDS）：當(dāng)網(wǎng)絡(luò)用戶請求會話密鑰時，一個在線的TA選擇會話密鑰并通過一個交互協(xié)議分發(fā)給他們（例如TA可能利用事先分發(fā)的秘密密鑰進行加密）。密鑰協(xié)商方案（KAS）：網(wǎng)絡(luò)用戶通過一個交互協(xié)議來建立會話密鑰?？梢曰趯ΨQ密碼或者公鑰密碼，通常不需要在線的TA（但TA可能事前參與預(yù)分配一些密鑰）。密鑰分配與密鑰協(xié)商的區(qū)別？密鑰分配機制中，一方（通常是TA）選擇一個或者多個密鑰并以加密的形式傳送給另外的一方或者多方。密鑰協(xié)商協(xié)議中，兩方（或者多方）通過在公共網(wǎng)絡(luò)上通信共同建立一個密鑰，密鑰值是由雙方共同提供的輸入和兩個用戶掌握的秘密信息的函數(shù)來確定的。與會話密鑰分配方案不同的是，該密鑰不從一方“傳送”給另一方。長期密鑰LL和會話密鑰的區(qū)別？長期密鑰LL生命周期長，重復(fù)使用預(yù)先計算并安全存儲的，或者說可以根據(jù)需要由安全存儲的秘密信息非交互地計算出來?？赡艿那闆r：對稱體制的秘密密鑰，由一對用戶共同擁有或者由一個用戶TA共有；非對稱體制中的個人的密鑰對。長期密鑰LL和會話密鑰的區(qū)別？會話密鑰KS生命周期短，僅在本次會話中有效會話密鑰通常是對稱體制的密鑰，用于對稱加密（傳輸加密）或者MAC計算長期密鑰LL通常用于協(xié)議中來傳輸加密的會話密鑰，例如在SKDS中可以用作“密鑰加密密鑰”；長期密鑰LL還可用于認證會話中發(fā)送的數(shù)據(jù)包（例如通過消息認證碼或者簽名方案等）綜述密鑰預(yù)分配方案KPS為實現(xiàn)分發(fā)秘密的長期密鑰LL提供了方法。此后，每對用戶根據(jù)需要使用SKDS或者KAS獲得會話密鑰KS，利用KS進行安全通信DIFFIE-HELLMAN密鑰預(yù)分配DIFFIE-HELLMAN密鑰預(yù)分配DIFFIE-HELLMAN密鑰預(yù)分配無條件安全無條件安全無條件安全無條件安全的密鑰預(yù)分配手工傳送Blom密鑰預(yù)分配方案抵抗單個用戶W的攻擊是無條件安全的W獲取aW,bW,在此二值不變的情況下，K*（U，V的共享密鑰）還是可以取任意值。兩個用戶合謀則可被攻破四個方程，三個未知數(shù)K個用戶無條件安全，K+1個用戶可攻破會話密鑰分配SKDSNS方案1978Kerberos1980~1990Bellare-Rogaway1995已知會話攻擊會話密鑰協(xié)商Diffie-HellmanSTSMTIDH信息流中間入侵攻擊認證密鑰協(xié)商方案在密鑰建立的同時，要認證參與者的身份，即滿足：方案是一個安全的交互識別方案，即在主動敵手實施任何攻擊流程后，沒有一個誠實的參與者會“接收”；如果不存在主動敵手，則雙方參與者計算出相同的新會話密鑰K。除此之外，一個被動敵手將計算不出關(guān)于K的任何信息。STS信息流

STS可抵抗中間入侵攻擊密鑰協(xié)商方案的三個層次的保證機制隱式密鑰認證如果U可以被確保除了V之外，沒有人能計算出K（特別地，敵手不能計算K），則我們說該方案提供了隱式密鑰認證。Bellare-Rogaway隱式密鑰確認如果U可以被確保V可以計算出K（假設(shè)V是按照規(guī)定執(zhí)行了該方案），并且除了V之外，沒有人能計算出K，則我們說該方案提供了隱式密鑰確認。STS顯式密鑰確認如果U可以被確保V已經(jīng)計算出K，并且除了V之外，沒有人能計算出K，則我們說該方案提供了顯式密鑰確認。Kerberos,Needham-Schroeder已知會話攻擊需要考慮不同的會話之間可能造成的影響。在這種攻擊模型中Oscar被允許要求其他會話S1，S2,…,St的會話密鑰展示給他,Oscar的目標(biāo)是得出其他會話S的密鑰（Oscar不是會話的參與者）。Oscar不需要S1，SS2,…,St計算完后才攻擊S，特別地，允許多個并行會話。STS對已知會話密鑰攻擊是安全的Oscar在用戶U與V之間觀察到會話S的信息bS,U和bS,V，但是不能獲得KS的某些信息。CDH難解STS是一個安全識別協(xié)議，因此Oscar不可能在他不參與的其他任意會話S’中活動，向一個“不接受”的用戶請求密鑰。Oscar不遵從STS的方案來參加會話S’，假設(shè)其同伴為W，Oscar在不知道as’,Oscar的情況下獲取列表T=S’中獲取T與已知會話攻擊的相同點Oscar不知道as’,Oscar，當(dāng)然他也不知道as’,W

,他知道隨機的bs’,Oscar和bs’,W

Oscar不能計算K，但可被告知K由此，我們可以認為會話S’和已知會話攻擊對于獲取K具有相同的作用STS對已知會話密鑰攻擊是安全的（續(xù)）但是，Oscar不需要參加任何會話，通過計算可以獲得類似三元組TsimSTS對已知會話密鑰攻擊是安全的（續(xù)二）T與Tsim是不可區(qū)分的，給定一個（b1,b2,b3)如何區(qū)分他到底是T還是Tsimb1是同樣選取的b2都是均勻隨機的b3的值是相同的因此我們認為，T與Tsim對于對于計算K的部分信息，在作