安全協(xié)議與標準

1、安全協(xié)議與標準山東大學數(shù)學與系統(tǒng)科學學院提綱第一章協(xié)議概述1.1協(xié)議的定義1.2協(xié)議的類型仲裁協(xié)議裁決協(xié)議白動執(zhí)行協(xié)議密石馬協(xié)議(cryptographic protocol)1.3對密碼協(xié)議的攻擊第二章密鑰分配與密鑰協(xié)定2.1單密鑰加密體制的密鑰分配2.1.1密鑰分配的基本方法2.1.2密鑰的分層控制2.1.3會話密鑰的有效期2.1.4無中心的密鑰控制2.2公鑰加密體制的密鑰管理2.3幾個密鑰交換協(xié)議2.3.1 blom 方案2.3.2 diffie-hellman密鑰密鑰預分配方案2.3.3加密密鑰交換(eke)協(xié)議2.3.4 kerboros在線密鑰分配協(xié)議2.4 密鑰協(xié)定(key ag

2、reement protocols)diffie-hellman 密鑰交換協(xié)議端一端協(xié)議(sts protocol)mti密鑰協(xié)定協(xié)議girault密鑰協(xié)定協(xié)議2.5其他協(xié)議2.5.1秘密分割2.5.2秘密共享2.5.3秘密的同時交換2.5.4公平的拋幣協(xié)議2.5.5位承諾2.4.6不經(jīng)意傳輸?shù)谌聰?shù)字簽名與信息認證3.1數(shù)字簽名3.1.1數(shù)字簽名的基木概念3.1.2數(shù)字簽名的特性和功能3.1.3數(shù)字簽名的產(chǎn)生方式3.1.4數(shù)字簽名的執(zhí)行方式3.2鑒別3.2.1消息認證3.2.2身份識別3.2.3基于零知識證明的身份識別3.3雜湊技術和信息的完整性3.3.1雜湊函數(shù)簡介3.3.2雜湊算法3.3

3、.3消息的完整性和消息認證3.4幾個鑒別方案3.4.1 feige-fiat-shamir 鑒別方案3.4.2 schnorr鑒別協(xié)議3.4.3 kerberos3.5 needham-schroeder鑒別密鑰交換協(xié)議3.6 x.509證書及認證框架3.6.1 i正書3.6.2認證過程第四章密鑰的管理4.1密鑰管理概述4.1.1密鑰管理4.1.2密鑰類型4.1.2密鑰的分配4.1.4密鑰注入4.1.5密鑰存儲4.1.6密鑰更換和密鑰吊銷4.2密鑰的產(chǎn)生4.2.1通信雙力*密鑰的選擇4.2.2密鑰長度4.2.3產(chǎn)生密鑰4.2.4針對不同密鑰類型的產(chǎn)生方法4.3密鑰的托管4.3.1密鑰托管的功能

4、4.3.2密鑰托管加密系統(tǒng)的組成4.3.3部分密鑰托管技術4.3.4美國托管加密標準簡介第五章安全套接層協(xié)議(ssl3.0 protocol)5.1介紹5.2sslv3.0 協(xié)議5.3 記錄m record layer5.4 修改密碼規(guī)范協(xié)議 change cipher spec protocol5.5 報警協(xié)議 alert protocol5.6 握手協(xié)議 handshake protocol5.7 應用數(shù)據(jù)協(xié)議 application data protocol第六章信息安全標準6.1.1國際標準iso和iso/iec6.1.2金融安全標準（ansi和iso）6.1.3國際安全結構和框架6

5、.1.4美國聯(lián)邦政府標準（fips）6.1.5 internet 標準和 rfcs6.1.6公開密鑰密碼學標準6.2密碼機構和機能6.2.1政府機構6.2.2商業(yè)機構6.2.3專業(yè)組織6.2.4標準化組織6.3密碼管理政策6.3.1美國密碼出口法規(guī)6.3.2中國密碼管理條例6.3.3其他國家密碼出u政策第二章密鑰分配與密鑰協(xié)定2.1單密鑰加密體制的密鑰分配2.1.1密鑰分配的基本方法兩個用戶（主機、進程、應用程序在用單鑰密碼體制進行保密通信時， 首先必須有一個共享的秘密密鑰，而且為防止攻擊者得到密鑰，還必須時常更新密鑰。因此，密碼系統(tǒng)的強度也依賴于密鑰分配技術。兩個用戶a和b獲得共享密鑰的方法

6、有以下幾種：密鑰由a選取并通過物理手段 發(fā)送給b。 密鑰由第三方選取并通過物理手段發(fā)送給a和b。 如果a、b事先己有一密鑰，則其中一方選取新密鑰后，用己有的密鑰加密新密鑰并發(fā)送給另一方。 如果a和b與第三方c分別有一保密信道，則c為a、b選取密鑰后，分別在兩個保密信道上發(fā)送給a、b。前兩種方法稱為人工發(fā)送。在通信網(wǎng)中，若只有個別用戶想進行保密通信，密鑰的人工發(fā)送還是可行的。然而如果所有用戶都要求支持加密服務，則任意一對希望通信的用戶都必須有一共享密鑰。如果有n個用戶，則密鑰數(shù)冃為n(n-l)/2。因此當n很大時，密鑰分配的代價非常大，密鑰的人工發(fā)送是不可行的。對于第3種方法，攻擊者一旦獲得一個

7、密鑰就可獲取以后所有的密鑰;而且用這種方法對所有用戶分配初始密鑰時，代價仍然很大。第4種方法比較常用，其中的第三方通常是一個負責為用戶分配密鑰的密鑰分配中心。這時每一用戶必須和密鑰分配中心有一個共享密鑰，稱為主密鑰。通過主密鑰分配給一對用戶的密鑰稱為會話密鑰，用于這一對用戶之間的保密通信。通信完成后，會話密鑰即被銷毀。如上所述，如果用戶數(shù)為n,則會話密鑰數(shù)為n(n-l)/2。但主密鑰數(shù)卻只需n個，所以主密鑰可通過物理手段發(fā)送。例圖2 1是密鑰分配的一個實例。假定兩個用戶a、b分別與密鑰分配中心kdc( key distribution center)有一個共享的主密鑰ka和kb，a希望與b建立

8、一個共享的一次性會話密鑰，可通過以下幾步來完成：(1) a向kdc發(fā)出會話密鑰請求。表示請求的消息由兩個數(shù)據(jù)項組成， 第1項是a和b的身份，第2項是這次業(yè)務的惟一識別符n1，稱n1為一次性隨機數(shù)，可以是時戳、計數(shù)器或隨機數(shù)。每次請求所用的n1都應不同，且為防止假冒，應使敵手對n1難以猜測。因此用隨機數(shù)作為這個識別符最為合適。(2) kdc為a的請求發(fā)出應答。應答是由ka加密的消息，因此只有a才能成功地對這一消息解密，并且a可相信這一消息的確是由kdc發(fā)出的。消息中包括a希望得到的兩項內容：一次性會話密鑰ks;a在中發(fā)出的請求，包括一次性隨機數(shù)n1,目的是使a將收到的應答與發(fā)出的請求相比較，看是

9、否匹配。因此a能驗證自己發(fā)出的請求在被kdc收到之前，是否被他人篡改。而且a還能根據(jù)一次性隨機數(shù)相信自已收到的應答不是重放的過去的應答。此外，消息中還有b希望得到的兩項內容：一次性會活密鑰ks;a的身份(例如a的網(wǎng)絡地址)ida。這兩項由kb加密，將由a轉發(fā)給b，以建立a、b之間的連接并用于向b證明a的身份。(3) a存儲會話密鑰，并向b轉發(fā)ekbks|ida。因為轉發(fā)的是由kb加密后的密文，所以轉發(fā)過程不會被竊聽。b收到后，可得會話密鑰ks,并從ida可知另一方是a,而且還從ekb知道ks的確來自kdc。這一步完成后，會話密鑰就安全地分配給了 a、b。然而還能繼續(xù)以下兩步工作：(4) b用會

10、話密鑰ks加密另一個一次性隨機數(shù)n2,并將加密結果發(fā)送 給a。(5) a以f(n2)作為對b的應答，其中f是對n2進行某種變換(例如加 1)的函數(shù)，并將應答用會話密鑰加密后發(fā)送給b。這兩步可使b相信第(3)步收到的消息不是一個重放。注意：第步就已完成密鑰分配，第(4)、(5)兩步結合第(3)步執(zhí)行的是認證功能。2.1.2密鑰的分層控制網(wǎng)絡中如果用戶數(shù)目非常多而且分布的地域非常廣，一個kdc就無法承擔為用戶分配密鑰的重任。問題的解決方法是使用多個kdc的分層結構。例如，在每個小范闈(如一個lan或一個建筑物)內，都建立一個本地kdc。同一范圍的用戶在進行保密通信時，由本地kdc為他們分配密鑰。如

11、果兩個不同范圍的用戶想獲得共享密鑰，則可通過各自的木地kdc,而兩個本地kdc的溝通又需經(jīng)過一個全局kdc。這樣就建立了兩層kdc。類似地，根據(jù)網(wǎng)絡中用戶的數(shù)目及分布的地域，可建立3層或多層kdco分層結構可減少主密鑰的分布，因為大多數(shù)主密鑰是在本地kdc和本地用戶之間共享。再者，分層結構還可將虛假kdc的危害限制到一個局部區(qū)域。2.1.3會話密鑰的有效期會話密鑰更換得越頻繁，系統(tǒng)的安全性就越高。因為敵手即使獲得一個會話密鑰，也只能獲得很少的密文。但另一方妞，會話密鑰更換得太頻繁，又將延遲用戶之間的交換，同時還造成網(wǎng)絡負擔。所以在決定會話密鑰的有效期時，應權衡矛盾的兩個方面。對面向連接的協(xié)議，

12、在連接未建立前或斷開時，會話密鑰的有效期可以很長。而每次建立連接時，都應使用新的會話密鑰。如果邏輯連接的時間很長，則應定期更換會話密鑰。無連接協(xié)議(如面向業(yè)務的協(xié)議)，無法明確地決定更換密鑰的頻率。為安全起見，用戶每進行一次交換，都用新的會話密鑰。然而這又失去了無連接協(xié)議主要的優(yōu)勢，即對每個業(yè)務都有最少的費用和最短的延遲。比較好的方案是在某一固定周期內或對一定數(shù)目的業(yè)務使用同一會話密鑰。2.1.4無中心的密鑰控制用密鑰分配中心為用戶分配密鑰時，要求所冇用戶都信任kdc,同時還要求對kdc加以保護。如果密鑰的分配是無中心的，則不必宥以上兩個要求。如果每個用戶都能和自已想與之建立聯(lián)系的另一用戶安全

13、地進行通信，若網(wǎng)絡中有n個用戶，則需有n(n-l)/2個主密鑰。當n很大時，此方案無實用價值，但在整個網(wǎng)絡的局部范圍是非常有用的。無中心的密鑰分配時，兩個用戶a和b建立會話密鑰需經(jīng)以下3個步驟(圖2 2):(1) a向b發(fā)出建立會話密鑰的請求和一個一次性隨機數(shù)n1。(2) b用與a共享的主密鑰mkm對應答的消息加密，并發(fā)送給a。應 答的消息屮包括選取的會話密鑰ks、b的身份、f(nl)和另一個隨機數(shù)n2。(3) a使用新建立的會話密鑰ks對f(n2)加密后返回給b。2.2公鑰加密體制的密鑰管理前一節(jié)介紹了單密鑰密碼體制屮的密鑰分配問題。公鑰加密的一個主要用途是分配單密鑰密碼體制使用的密鑰。本節(jié)

14、主要介紹公鑰密碼體制所用的公開密鑰的分配。公鑰的分配有以下幾種方法。1. 公開發(fā)布公開發(fā)布指用戶將自己的公鑰發(fā)給每一其他用戶，或向某一團體廣播。例如pgp (pretty good privacy)屮采用了 rsa算法，它的很多用戶都是將自己的公鑰附加到消息上，然后發(fā)送到公幵(公共)區(qū)域，如因特網(wǎng)郵件列表。這種方法雖然簡單，但有一個非常大的缺點，即任何人都可偽造這種公開發(fā)布。如果某個用戶假裝是用戶a并以a的名義向另一用戶發(fā)送或廣播自己的公開鑰，則在a發(fā)現(xiàn)假冒者以前，這一假冒者可解讀所宥意欲發(fā)向a的加密消息，而且假冒者還能用偽造的密鑰獲得認證。2. 公用目錄表公用目錄表指一個公用的公鑰動態(tài)b錄表

15、，公用目錄表的建立、維護以及公鑰的分布由某個可信的實體或組織承擔，稱這個實體或組織為公用冃錄的管理員。與第1種分配方法相比，這種方法的安全性更高。該方案有以下一些組成部分：管理員為每個用戶都在目錄表中建立一個目錄，目錄中有兩個數(shù)據(jù)項：一是用戶名,二是用戶的公幵鑰。每一用戶都親自或以某種安全的認證通信在管理者那里為g己的公開鑰注冊。用戶如果由于自己的公開鑰用過的次數(shù)太多或由于與公開鑰相關的私人秘鑰已泄漏，則可隨時用新密鑰替換現(xiàn)有的密鑰。(4管理員定期公布或定期更新目錄表。例如，像電話號碼本一樣公布 目錄表或在發(fā)行量很大的報紙上公布目錄表的更新。(5用戶可通過電子手段訪問目錄表。此時，從管理員到用

16、戶必須有安全的認證通信。本方案的安全性雖然高于公開發(fā)布的安全性，但仍易受到攻擊。如果敵手成功地獲得管理員的私人密鑰，就可偽造一個公鑰目錄表，以后既可以假冒任一用戶乂可以監(jiān)聽發(fā)往任一用戶的消息。而且公用目錄表還易受到敵手的竄擾。3. 公鑰管理機構與公用0錄表類似，假定有一個公鑰管理機構來為用戶建立、維護動態(tài)的公鑰目錄，但同時對系統(tǒng)提岀以不要求，即：每個用戶都可靠地知道管理機構的公幵密鑰，而只有管理機構自己知道相應的私人密鑰。公開密鑰的分配步驟如下(見圖2 3):圖(1) 用戶a向公鑰管理機構發(fā)送一個帶時戳的消息。消息屮有獲取用戶 b的當前公鑰的請求。(2) 管理機構對a的請求作出應答。應答由一個

17、消息表示，該消息由管理機構用自己的私人密鑰skau加密，因此a能用管理機構的公開密鑰解密，并使a相信這個消息的確是來源子管理機構。應答的消息中包括以下幾項：b的公鑰pkb, a可用之對將發(fā)往b的消息加密。a的請求，用于a驗證收到的應答的確是對相應請求的應答，且還能驗證自己最初發(fā)出的請求在被管理機構收到以前是否被篡改。最初的時戳，以使a相信管理機構發(fā)來的消息不是一個舊消息，因此消息中的公開密鑰的確是b當前的公開密鑰。(3) a用b的公開密鑰對一個消息加密后發(fā)往b，這個消息有兩個數(shù)據(jù) 項：一是a的身份ida，二是一個一次性隨機數(shù)n1，用于惟一地標識這次業(yè)務。(4) b以相同方式從管理機構獲取a的公

18、開密鑰(與步驟(1)、(2)類似)。 此時，a和b都己安全地得到了對方的公開密鑰，所以可進行保密通信。然而，他們也許還希望通過以下兩步，以認證對方。(5) b用pka對一個消息加密后發(fā)往a，該消息的數(shù)據(jù)項有a的一次性 隨機數(shù)n1和b產(chǎn)生的一個一次性隨機數(shù)n2。因為只有b能解密的消息，所以a收到的消息中的n1可使其相信通信的另一方的確是b。(6) a用b的公開密鑰對n2加密后返回給b,可使b相信通信的另一方的確是a。以上過程共發(fā)送了 7個消息，其屮前4個消息用于獲取對方的公幵密鑰。用戶得到對方的公開密鑰后保存起來可供以后使用，這樣就 不必再發(fā)送前4個消息了。然而還必須定期地通過密鑰管理中心獲取通

19、信對方的公開密鑰，以免對方的公開密鑰更新后無法保證當前的通信。4. 公鑰證書上述公鑰管理機構分配公開密鑰時也有缺點，由于每一用戶要想和他人聯(lián)系都需求助于管理機構，所以管理機構有可能成為系統(tǒng)的瓶頸，而且由管理機構維護的公鑰冃錄表也易被敵手竄擾。分配公鑰的另一方法是公鑰證書，用戶通過公鑰證書來互相交換自己的公鑰而無須與公鑰管理機構聯(lián)系。公鑰證書由證書管理機構ca (certificate authority)為用戶建立，其中的數(shù)據(jù)項有與該用戶的私人密鑰相匹配的公開密鑰及用戶的身份和時戳等，所有的數(shù)據(jù)項經(jīng)ca用自己的私人密鑰簽字后就形成證書，即證書的形式為ca=eskcatjda,pka，其屮ida

20、是用戶a的身份，pka是a的公鑰，t是當前時戳，skca是ca的私人密鑰，ca即是為用戶a產(chǎn)生的證書。用戶可將自己的公開密鑰通過公鑰證書發(fā)給另一用戶，接收方可用ca的公鑰pkca對證書加以驗證，bp:dpkcaca=dpkcaeskcatjda,pka=(tjda,pka)因為只有用ca的公鑰才能解讀證書，接收方從而驗證了證書的確是由ca發(fā)放的，并且也獲得y發(fā)送方的身份ida和公開密鑰pka。時戳t為接收方保證了收到的證書的新鮮性，用以防止發(fā)送方或敵方重放一舊證書。因此時戳可被當作截止日期，證書如果過舊，則被吊銷。2.3幾個密鑰交換協(xié)議2.3.1 blom 方案設k在此我們假定有一個n個用戶的

21、網(wǎng)絡。假定密鑰從zp中選取，p是一個素數(shù)。(lkn?2)是一個整數(shù)，k是使得網(wǎng)絡中的任何k個用戶合伙方案仍是安全的最大，可信中心給每個用廣在一個安全的信道值。在blom方案中(也稱規(guī)模為k的blom方案)上發(fā)送zp屮的k+1個元素。每一用戶u和v將能計算一個密鑰 ku,v=kv,u0安全條件為：至多k個不同用戶的任何用戶集必須不能確定關 于ku,v的任何信息(此處的安全性指的是無條件安全性)。下面是k=l時 的blom方案。此時，可信中心給每個用戶在一個安全的信道上將發(fā)送zp 中的兩個元素。任何單個用戶w (不是u和v)不能確定關于ku,v的任何信息。協(xié)議如下：(1>公開一個素數(shù)p。每個

22、用戶u公開一個互不相同的素數(shù)ruezp。(2) 可信中心選擇三個隨機數(shù)a,b,cezp,形成多項式：f(x,y)=(a+b(x+y)+cxy)modp(3>對每一個用戶u,可信中心計算：gu(x)=f(x,ru)modp并將gu(x)在一個安全的信道上傳輸給u。注意，gu(x)是一個線形函數(shù)， 可寫為:gu(x)=au+bux，其中 all=(a+bru)modp，bu=(b+cru)modp。如果u和v想通信，則他們使用共享密鑰：ku,v=kv,u=f(ru,rv)=(a+b(ru+rv)+crurv)modp這里，u 計算 ku,v=f(ru,rv)=gu(rv), v 計算 kv,

23、u=f(rv,ru)=gv(ru)規(guī)模為1的blom方案可直接推廣為k (l<k<n?2)的blom方案。唯一需要改變的是第(2)步，可信中心使用的是一個如下形式的多項式:eeai=oj=okkijxiyjmodp，并且對所有的 i，j，aij=ajio 其中，aijezp (oijk)2.3.2 diffie-hellman密鑰密鑰預分配力*案diffie-hellman密鑰預分配方案是后面要介紹的diffie-hellman密鑰交換協(xié)議的一種修改。該方案在假定與離散對數(shù)問題相關的一個問題是難處理的情況下是計算上安全的。假定p是一個素數(shù)，a是模zp的本原元，p和a是公開的。idu

24、表示網(wǎng)絡中用戶u的某些識別信息，如姓名、e-mail地址、電話號碼或別的有關信息。每個用戶u有一個秘密指數(shù)all (0彡au彡p?2)和一個相應的公鑰bu= a allmodp?？尚胖行挠幸粋€簽名方案，該簽名方案的公幵驗證算法記為verta, 秘密簽名算法記為sigta。在簽名消息之前，先將消息用一個公開的hash函數(shù)雜湊，但為了敘述方便，在此略去。當一個用戶u入網(wǎng)時，可信中心需給他頒發(fā)一個證書(certificate)。 用戶u的證書為：c(u)=(idu,bu,sigta(idu,bu)?？尚胖行臒o需知道au的值。證書可存儲在一個公開的數(shù)據(jù)庫中，也可由用戶自己存儲。可信中心對證書的簽名允許

25、網(wǎng)絡中的任何人能驗證它所包含的信息。diffie-hellman密鑰預分配協(xié)議如下：(1) 公開一個素數(shù)p和一個本原元a ezp。(2) v使用自己的秘密值av及從u的證書中獲得的公開值bu,計算 *kv,u= a auavmodp=buavmodpo(3) u使用自己的秘密值au及從v的證書中獲得的公開值bv,計算ku,v= a auavmodp=bvaumodpaauav這樣，用戶u和v計算出了他們的共享密鑰k=ku,v=kv,u= a modp0即使線路上的竊聽者也不可能計算出這個值，因此，k是u和v獨立計算的秘密密鑰。下面討論diffie-hellman密鑰預分配方案的安全性?？尚胖行?/p>

26、對用戶的證書的簽名有效地阻止了敵手w改變別人的證書的任何信息，從而阻止了w的主動攻lit。diffie-hellman密鑰預分配力*案對一個被動的敵手也是安全的，當且僅當diffie-hellman問題是難處理的。diffie-hellman問題可等價地描述為：給定p、a、0和丫，p為一個素數(shù)，aezp是一個本原元。p , 丫 ezp，計算 p *log a y *modp(= y log a p modp)o2.3.3加密密鑰交換(eke)協(xié)議2.3.4 kerboros在線密鑰分配協(xié)議如果冋一個密鑰使用的周期長了以后，就可能存在偽造的危險。因此，人們更喜歡使用在線方法分配密鑰，也就是一對用

27、戶想通信時每次產(chǎn)生一個新的會話密鑰。如果使用在線密鑰分配，那么網(wǎng)絡中的每個用戶和可信中心共享一個密鑰而無需再存儲別的密鑰。會話密鑰將通過請求可信中心來傳送。確保 密鑰新鮮(keyfreshness)是可信屮心的職責。kerboros協(xié)議是基于一個私鑰密碼體制的流行的密鑰服務系統(tǒng)。在這個系統(tǒng)中，每個用戶u和可信中心共享一個秘密的des密鑰。在kerboros 協(xié)議(版本v)的最新版本中，傳送的所有消息都通過cbc模式進行加密。使用kerboros協(xié)議傳輸一個會話密鑰的過程可描述如下：(1) 用戶u為了和用戶v通信，u向可信中心要一個會話密鑰；(2) 可信中心隨機選擇一個會話密鑰k、一個時戳t和一

28、個生存期l;(3) 可信屮心計算ml=eku(k,idv,t,l)m2=ekv(k,iduxl)并將ml和m2發(fā)送給u;(4) u首先解密ml，獲得k、idv、t和l。然后計算m3=ek(idu,t),并將m3和可信屮心發(fā)送來的m2 起發(fā)送給v;(5) v首先解密m2，獲得k、idu、t和l。然后使用k解密m3獲得t和idu，并檢測t的兩個值和idu的兩個值是否以一樣。如果一樣，v計 算m4=ek(t+l),并將m4發(fā)送給u;(6) u使用k解密m4獲得t+1,并驗證解密結果是t+1。傳輸在協(xié)議中的信息可圖示為：eku(kjdvxl)ek(iduj)ekv(kjduxl)可信中心用戶u用戶vekv(kjduxl)具體解釋如下：在第步，可信中心產(chǎn)生k、t和l。在第(3)步，可信中心使用它與用戶u共享的密鑰ku加密k、t、l和idv形成ml;使用它與用戶v共享的密鑰kv加密k、t、l和idu形成m2。將這些加密消息發(fā)送給用戶u。u使用他的密鑰解密ml，獲得