網(wǎng)絡(luò)安全理論與應(yīng)用第六章

第六章

數(shù)字簽字與認(rèn)證協(xié)議網(wǎng)絡(luò)安全理論與應(yīng)用衛(wèi)文學(xué)信息科學(xué)與工程學(xué)院2003.3山東科技大學(xué)引言

數(shù)字簽名是由公鑰密碼發(fā)展而來的，它在網(wǎng)絡(luò)安全，包括身份認(rèn)證、數(shù)據(jù)完整性、不可否認(rèn)性以及匿名性等方面有著重要應(yīng)用。6.1數(shù)字簽名★消息認(rèn)證（Messageauthentication）用以保護(hù)雙方之間的數(shù)據(jù)交換不被第三方侵犯；但它并不保證雙方自身的相互欺騙。假定A發(fā)送一個認(rèn)證的信息給B，雙方之間的爭議可能有多種形式：B偽造一個不同的消息，但聲稱是從A收到的。A可以否認(rèn)發(fā)過該消息，B無法證明A確實(shí)發(fā)了該消息。

例如：EFT（電子資金傳輸）中改大金額；股票交易指令虧損后抵賴。數(shù)字簽名應(yīng)具有的性質(zhì)1、必須能夠驗(yàn)證作者及其簽名的日期時間；2、必須能夠認(rèn)證簽名時刻的內(nèi)容；3、簽名必須能夠由第三方驗(yàn)證，以解決爭議；因此，數(shù)字簽名功能包含了認(rèn)證的功能。數(shù)字簽名的設(shè)計(jì)要求1、簽名必須使用某些對發(fā)送者是唯一的信息，以防止雙方的偽造與否認(rèn)；2、必須相對容易生成該數(shù)字簽名；3、必須相對容易識別和驗(yàn)證該數(shù)字簽名；4、偽造該數(shù)字簽名在計(jì)算復(fù)雜性意義上具有不可行性，既包括對一個已有的數(shù)字簽名構(gòu)造新的消息，也包括對一個給定消息偽造一個數(shù)字簽名；兩類數(shù)字簽名函數(shù)1、直接數(shù)字簽名2、仲裁數(shù)字簽名直接數(shù)字簽名（DDS）(1)AB:ESKa[M]

提供了認(rèn)證與簽名：只有A具有SKa進(jìn)行加密;傳輸中無法被篡改；需要某些格式信息/冗余度；任何第三方可以用PKa驗(yàn)證簽名MEMDSKAESKA(M)PKA源A目標(biāo)B(1’)AB:EPKb[ESKa(M)]

提供了保密(PKb)、認(rèn)證與簽名(SKa)：MEEDDMSKAESKA(M)PKBPKASKBESKA(M)EPKB(ESKA(M))直接數(shù)字簽名(2)AB:M||ESKa[H(M)]提供認(rèn)證及數(shù)字簽名

--H(M)受到密碼算法的保護(hù)；

--只有A能夠生成ESKa[H(M)](2’)AB:EK[M||ESKa[H(M)]]提供保密性、認(rèn)證和數(shù)字簽名。直接數(shù)字簽名的缺點(diǎn)◆驗(yàn)證模式依賴于發(fā)送方的保密密鑰；發(fā)送方要抵賴發(fā)送某一消息時，可能會聲稱其私有密鑰丟失或被竊，從而他人偽造了他的簽名。通常需要采用與私有密鑰安全性相關(guān)的行政管理控制手段來制止或至少是削弱這種情況，但威脅在某種程度上依然存在。改進(jìn)的方式例如可以要求被簽名的信息包含一個時間戳（日期與時間），并要求將已暴露的密鑰報(bào)告給一個授權(quán)中心?！鬤的某些私有密鑰確實(shí)在時間T被竊取，敵方可以偽造X的簽名及早于或等于時間T的時間戳。仲裁數(shù)字字簽名◆引入仲裁裁者。通常的做做法是所所有從發(fā)發(fā)送方X到接收收方Y(jié)的簽名名消息息首先先送到到仲裁裁者A，A將消息息及其其簽名名進(jìn)行行一系系列測測試，，以檢檢查其其來源源和內(nèi)內(nèi)容，，然后后將消消息加加上日日期并并與已已被仲仲裁者者驗(yàn)證證通過過的指指示一一起發(fā)發(fā)給Y?！糁俨谜哒咴谶@這一類類簽名名模式式中扮扮演敏敏感和和關(guān)鍵鍵的角角色。。所有的的參與與者必必須極極大地地相信信這一一仲裁裁機(jī)制制工作作正常常。（（trustedsystem）仲裁數(shù)字簽簽名技術(shù)(a)單密鑰加密密方式，仲仲裁者可以以看見消息息(1)XA：M||EKxa[IDx||H(M)](2)AY：EKay[IDx||M||EKxa[IDx||H(M)]||T]X與A之間共享密密鑰Kxa，Y與A之間間共共享享密密鑰鑰Kay；X：準(zhǔn)備備消消息息M，計(jì)計(jì)算算其其散散列列碼碼H(M)，用用X的標(biāo)標(biāo)識識符符IDx和散散列列值構(gòu)構(gòu)成成簽簽名名，，并并將將消消息息及及簽簽名名經(jīng)經(jīng)Kxa加密密后后發(fā)發(fā)送送給給A；A：解解密密簽簽名名，，用用H(M)驗(yàn)證證消消息息M，然然后后將將IDx，M，簽簽名名，，和和時間間戳戳一一起起經(jīng)經(jīng)Kay加密后發(fā)送給給Y；Y：解密A發(fā)來的信息，，并可將M和簽名保存起起來。解決糾紛：Y：向A發(fā)送EKay[IDx||M||EKxa[IDx||H(M)]]A：用Kay恢復(fù)IDx，M，和簽名（EKxa[IDx||H(M)]），然后用Kxa解密簽名并驗(yàn)驗(yàn)證散列碼注意：在這種模式下下Y不能直接驗(yàn)證證X的簽名，Y認(rèn)為A的消息已認(rèn)證，只因?yàn)樗鼇碜訟。因此，雙方方都需要高度度相信A:X必須信任A沒有暴露Kxa，并且沒有生生成錯誤的簽簽名EKxa[IDx||H(M)]Y必須信任A僅當(dāng)散列值正正確并且簽名名確實(shí)是X產(chǎn)生的情況下才發(fā)送的的EKay[IDx||M||EKxa[IDx||H(M)]||T]雙方都必須信信任A處理爭議是公公正的。只要A遵循上述要求求，則X相信沒有人可可以偽造其簽簽名；Y相信X不能否認(rèn)其簽簽名。上述情況還隱隱含著A可以看到X給Y的所有信息，，因而所有的的竊聽者也能能看到。(b)單密鑰加密方方式，仲裁者者不可以看見見消息(1)XA：IDx||EKxy[M]||EKxa[IDx||H(EKxy[M])](2)AY：EKay[IDx||EKxy[M]||EKxa[IDx||H(EKxy[M])]||T]在這種情況下下，X與Y之間共共享密密鑰Kxy，X：將標(biāo)標(biāo)識符符IDx,密文EKxy[M]，以及及對IDx和密文文消息息的散散列碼用Kxa加密后后形成成簽名名發(fā)送給給A。A：解密密簽名名，用用散列列碼驗(yàn)驗(yàn)證消消息，，這時時A只能驗(yàn)證消消息的密文文而不能讀取取其內(nèi)容。。然后A將來自X的所有信息息加上時間間戳并用Kay加密后發(fā)送送給Y。(a)和(b)共同存在一一個共性問問題：A和發(fā)送方聯(lián)聯(lián)手可以否否認(rèn)簽名的的信息；A和接收方聯(lián)聯(lián)手可以偽偽造發(fā)送方方的簽名；(c)雙密鑰加密密方式，仲仲裁者不可可以看見消消息(1)XA：IDx||ESKx[IDx||EPKy(ESKx[M])](2)AY：ESKa[IDx||EPKy[ESKx[M]]||T]X：對消息M雙重加密密：首先先用X的私有密密鑰SKx，然后用用Y的公開密鑰PKy。形成一一個簽名名的、保保密的消消息。然然后將將該信息息以及X的標(biāo)識符符一起用用SKx簽名后與與IDx一起發(fā)送送給A。這種內(nèi)內(nèi)部、雙重加密密的消息息對A以及對除Y以外的其它人人都是安全的的。A：檢查X的公開/私有密鑰對是是否仍然有效效，是，則認(rèn)認(rèn)證消息。并并將包含IDx、雙重加密的的消息和時間間戳構(gòu)成的消息用SKa簽名后發(fā)送給Y。本模式比上述述兩個模式具具有以下好處處：1、在通信之前前各方之間無無須共享任何何信息，從而而避免了聯(lián)手手作弊；2、即使SKx暴露，只要SKa未暴露，不會會有錯誤標(biāo)定定日期的消息息被發(fā)送；3、從X發(fā)送給Y的消息的內(nèi)容容對A和任何其他人人是保密的。。6.2認(rèn)證協(xié)議本節(jié)就網(wǎng)絡(luò)通通信中一個基基本問題的解解決介紹認(rèn)證證協(xié)議的基本本意義，這一一基本問題陳陳述如下：A和B是網(wǎng)絡(luò)的兩個個用戶，他們們想通過網(wǎng)絡(luò)絡(luò)先建立安全全的共享密鑰鑰再進(jìn)行保密密通信。那么么A(B)如何確信自己己正在和B(A)通信而不是和和C通信呢？這種通信方式式為雙向通信信，因此此時時的認(rèn)證稱為為相互認(rèn)證。。類似地對于于單向通信來來說，認(rèn)證稱稱為單向認(rèn)證證。雙方認(rèn)證(mutualauthentication)單向認(rèn)證(one-wayauthentication)1、雙邊認(rèn)證協(xié)協(xié)議最常用的協(xié)協(xié)議，該協(xié)協(xié)議使得通通信各方互互相認(rèn)證鑒鑒別各自的的身份，然然后交換會會話密鑰。?；谡J(rèn)證的的密鑰交換換核心問題題有兩個：：保密性時效性為了防止偽偽裝和防止止暴露會話話密鑰，基基本認(rèn)證與與會話密碼碼信息必須須以保密形形式通信。。這就要求求預(yù)先存在在保密或公公開密鑰供供實(shí)現(xiàn)加密密使用。第二個問題題也很重要要，因?yàn)樯嫔婕胺乐瓜⒅胤殴ス?。消息重放：：最壞情況況下可能導(dǎo)導(dǎo)致敵人暴暴露會話密密鑰，或成成功地冒充充其他人；；至少也可可以干擾系系統(tǒng)的正常常運(yùn)行，處處理不好將將導(dǎo)致系統(tǒng)統(tǒng)癱瘓。常見的消息息重放攻攻擊形式有有：1、簡單重放放：攻擊者者簡單復(fù)制制一條消息息，以后在在重新發(fā)送送它；2、可被日志志記錄的復(fù)復(fù)制品：攻攻擊者可以以在一個合合法有效的的時間窗內(nèi)重放一一個帶時間間戳的消息息；3、不能被檢檢測到的復(fù)復(fù)制品：這這種情況可可能出現(xiàn)，，原因是原原始信息已經(jīng)被攔攔截，無法法到達(dá)目的的地，而只只有重放的的信息到達(dá)達(dá)目的地。4、反向重放放，不做修修改。向消消息發(fā)送者者重放。當(dāng)當(dāng)采用傳統(tǒng)統(tǒng)對稱加密方式時時，這種攻攻擊是可能能的。因?yàn)闉橄l(fā)送送者不能簡簡單地識別發(fā)送送的消息和和收到的消消息在內(nèi)容容上的區(qū)別別。對付重放攻攻擊的一種種方法是在在認(rèn)證交換換中使用一一個序數(shù)來來給每一個消息報(bào)文文編號。僅僅當(dāng)收到的的消息序數(shù)數(shù)順序合法法時才接受受之。但這種方法的的困難是要要求雙方必必須保持上上次消息的的序號。兩種更為一一般的方法法是：1、時間戳：：A接受一個新新消息僅當(dāng)當(dāng)該消息包包含一個時時間戳，該該時間戳在在A看來，是足足夠接近A所知道的當(dāng)當(dāng)前時間；；這種方法法要求不同同參與者之之間的時鐘鐘需要同步步。2、盤問/應(yīng)答方式。。（Challenge/Response）A期望從B獲得一個新新消息，首首先發(fā)給B一個臨時值值(challenge)，并要求后后續(xù)從B收到的消息息（response）包含正確確的這個臨臨時值。時間戳方法法似乎不能能用于面向向連接的應(yīng)應(yīng)用，因?yàn)闉樵摷夹g(shù)固固有的困難難。(1)某些協(xié)議需需要在各種種處理器時時鐘中維持持同步。該該協(xié)議必須須既要容錯錯以對付網(wǎng)網(wǎng)絡(luò)出錯，，又要安全全以對付重重放攻擊。。(2)由于某一方方的時鐘機(jī)機(jī)制故障可可能導(dǎo)致臨臨時失去同同步，這將將增大攻擊擊成功的機(jī)機(jī)會。(3)由于變化的的和不可預(yù)預(yù)見的網(wǎng)絡(luò)絡(luò)延遲的本本性，不能能期望分布布式時鐘保保持精確的的同步。因因此，任何何基于時間間戳的過程程必須采用用時間窗的的方式來處處理：一方方面時間窗窗應(yīng)足夠大大以包容網(wǎng)網(wǎng)絡(luò)延遲，，另一方面面時間窗應(yīng)應(yīng)足夠小以以最大限度度地減小遭遭受攻擊的的機(jī)會。盤問/應(yīng)答方法不不適應(yīng)非連連接性的應(yīng)應(yīng)用，因?yàn)闉樗笤谠趥鬏旈_始始之前先有有握手的額額外開銷，，這就抵消消了無連接接通信的主主要特點(diǎn)。。對無連接的的應(yīng)用程序序來說，利利用某種安安全的時間間服務(wù)器實(shí)實(shí)現(xiàn)時鐘同同步可能是是防止重放放攻擊最好好的方法。。單鑰加密體體制下的身身份認(rèn)證1、AKDC：IDA||IDB||N12、KDCA：EKa[Ks||IDB||N1||EKb[Ks||IDA]]3、AB：EKb[Ks||IDA]4、BA：EKs[N2]5、AB：EKs[f(N2)]保密密鑰Ka和Kb分別是A和KDC、B和KDC之間共享的的密鑰。本協(xié)議的目目的就是要要安全地分分發(fā)一個會會話密鑰Ks給A和B。A在第2步安全地得得到了一個個新的會話話密鑰，第第3步只能由B解密、并理解。第第4步表明B已知知道道Ks了。。第第5步表表明明B相信信A知道道Ks并且且消息息不不是是偽偽造造的的。。第4，5步目目的的是是為為了了防防止止某某種種類類型型的的重重放放攻攻擊擊。。特特別別是是，，如如果果敵敵方方能能夠夠在在第第3步捕捕獲獲該該消消息息，，并并重重放放之之，，如如果果沒沒有有4、5步這這將將在在某某種種程程度度上上干干擾擾破破壞壞B方的的運(yùn)運(yùn)行行操操作作。。Needham/SchroederProtocol[1978]上述述方方法法盡盡管管有有第第4,5步的的握握手手，，但但仍仍然然有有漏漏洞洞。。假定定攻攻擊擊方方C已經(jīng)經(jīng)掌掌握握A和B之間間通通信信的的一一個個老老的的會會話話密密鑰鑰。。C可以以在在第第3步步冒冒充充A利用用老老的的會會話話密密鑰鑰欺欺騙騙B。除除非非B記住住所所有有以前前使使用用的的與與A通信信的的會會話話密密鑰鑰，，否否則則B無法法判判斷斷這這是是一一個個重重放放攻擊擊。。如果C可以中途途阻止第第4步的握手手信息，，則可以以冒充A在第5步響應(yīng)。。從這一一點(diǎn)起，，C就可以向向B發(fā)送偽造造的消息息而對B來說認(rèn)為是是用認(rèn)證證的會話話密鑰與與A進(jìn)行的正正常通信信。為克服以以上弱點(diǎn)點(diǎn)，可在在第二步步和第三三步加上上一時間間戳：DenningProtocol[1982]改進(jìn)：1、AKDC：IDA||IDB2、KDCA：EKa[Ks||IDB||T||EKb[Ks||IDA||T]]3、AB：EKb[Ks||IDA||T]4、BA：EKs[N1]5、AB：EKs[f(N1)]A、B可以通過過以下方方式檢查查T的實(shí)時性性：|Clock-T|<t1+t2其中：t1是KDC時鐘與本本地時鐘鐘（A或B）之間差異異的估計(jì)計(jì)值；t2是預(yù)期的的網(wǎng)絡(luò)延延遲時間間。DenningProtocol比Needham/SchroederProtocol在安全性性方面增增強(qiáng)了一一步。然然而，又又提出新新的問題題：即必必須依靠靠各時鐘鐘均可通通過網(wǎng)絡(luò)絡(luò)同步。。如果發(fā)送送者的時時鐘比接接收者的的時鐘要要快，攻攻擊者就就可以從從發(fā)送者者竊聽消消息，并并在以后后當(dāng)時間間戳對接接收者來來說成為為當(dāng)前時時重放給給接收者者。這種種重放將將會得到到意想不不到的后后果。（（稱為抑抑制重放放攻擊））。一種克服服抑制重重放攻擊擊的方法法是強(qiáng)制制各方定定期檢查查自己的的時鐘是是否與KDC的時鐘同同步。另一種避避免同步步開銷的的方法是是采用臨臨時數(shù)握握手協(xié)議議。KEHN921、AB：IDA||Na2、BKDC：IDB||Nb||EKb[IDA||Na||Tb]3、KDCA：EKa[IDB||Na||Ks||Tb]||EKb[IDA||Ks||Tb]||Nb4、AB：EKb[IDA||Ks||Tb]||EKs[Nb]臨時握握手協(xié)協(xié)議的的具體體含義義如下下：⑴A將產(chǎn)生生的一一次性性隨機(jī)機(jī)數(shù)NA與自己己的身身份IDA一起以以明文文形式式發(fā)往往B，NA以后將將與會會話密密鑰KS一起以以加密密形式式返回回給A，以保證A收到的會話話密鑰的新新鮮性。⑵B向KDC發(fā)出與A建立會話密密鑰的請求求，請求中中包含B的身份，一一次性隨機(jī)機(jī)數(shù)NB、B建議的證書書截止時間間、以及…⑶KDC將B產(chǎn)生的NB連同由KDC與B共享的密鑰鑰KB加密的IDA||KS||TB一起發(fā)給A，其中KS是KDC分配的會話話密鑰，EKB[IDA||KS||TB]由A當(dāng)作票據(jù)用用于以后的的認(rèn)證。⑷A將票據(jù)EKB[IDA||KS||TB]連同由會話話密鑰加密密的一次性性隨機(jī)數(shù)NB發(fā)往B，B由票據(jù)得到到會話密鑰鑰KS，并由KS得到NB，N`由會話密鑰鑰加密的目目的是B認(rèn)證了自己己收到的消消息不是一一個重放而而的確來自自于A。公鑰加密方方法：第四四章我們曾曾介紹過使使用公鑰加加密體制分分配會話密鑰的的方法，下下面的協(xié)議議也是用于于同樣的目目的：一個使用時時間戳的方方法是：1、AAS：IDA||IDB2、ASA：ESKas[IDA||PKa||T]||ESKas[IDB||PKb||T]3、AB：ESKas[IDA||PKa||T]||ESKas[IDB||PKb||T]||EPKb[ESKa[Ks||T]]第一步：A將自己的身份份IDA與IDB發(fā)送給AS（認(rèn)證服務(wù)器器）第二步：AS發(fā)給A的兩個鏈接的的數(shù)據(jù)項(xiàng)都是是由自己的秘秘密鑰加密（（簽字）），，分別作為發(fā)發(fā)放給通信雙雙方的公鑰證證書。第三步：A選取會話密鑰鑰并經(jīng)自己的的秘密鑰和B的公開鑰加密密后連同兩個個公鑰證書一一起發(fā)往B。這里時戳T用以防止重放放攻擊，所以以需要各方的的時鐘保持同同步。下面的協(xié)議使使用一次性隨隨機(jī)數(shù)，因此此不需要時鐘鐘的同步：一個基于臨時時值（隨機(jī)數(shù)數(shù)）握手協(xié)議議：1、AKDC：IDA||IDB2、KDCA：ESKau[IDB||PKb]3、AB：EPKb[Na||IDA]4、BKDC：IDB||IDA||EPKau[Na]5、KDCB：ESKau[IDA||PKa]||EPKb[ESKau[Na||Ks||IDB]]6、BA：EPKa[ESKau[Na||Ks||IDB]||Nb]7、AB：EKs[Nb]一個基于臨時時值握手協(xié)議議：在5、6兩步出現(xiàn)NA的地方加上IDA以說明NA的