互聯網協會-電子商務安全(二)

電子商務安全（二）安全支撐技術第四章加密技術第1節(jié)密碼學基本術語第2節(jié)分組密碼第3節(jié)非對稱密碼第4節(jié)簽名認證第1節(jié)密碼學基本術語1、密碼學2、密碼分析基本方法3、密碼體制4、密碼體制的安全功能5、理論安全與計算安全1、密碼學密碼學（Cryptology）：泛指研究保密通信的學科，包括設計和破譯兩個方面；密碼學包括密碼編碼學（Cryptography）和密碼分析學（Cryptanalysis）密碼編碼學：研究如何達到信息秘密性、鑒別性等的科學，研究密碼系統密碼分析學：研究如何破解密碼系統，或偽造信息使密碼系統誤以為真的科學

2、密碼分析基本方法密碼分析基本假設：破譯者所獲得的知識最大化，除密鑰外密碼系統相關因素均為已知唯密文攻擊：密碼分析者僅掌握若干密文，希望得到對應的明文已知明文攻擊：密碼分析者不僅掌握若干密文，還掌握那些密文所對應的明文，希望得到密鑰或根據密文得到明文等選擇明文攻擊：密碼分析者不僅可以獲得若干密文及相應的明文，而且明文可以選擇，對應的也有選擇密文攻擊3、密碼體制（1）密碼體制（密碼系統）是一個三方參與的通信模型：發(fā)送方、接收方和破譯者。典型密碼系統方框圖如下：加密器EncryptorE解密器DecryptorD破譯者明文密文加密密鑰解密密鑰發(fā)送方接收方公開信道3、密碼體制（2）分組密碼：將明文進行分成相同比特長度明文分組進行加密。相同明文分組在相同密鑰加密的情況下，密文必然性同。序列密碼：將明文、密文和密鑰看作三個序列流，通過明文流按比特與密鑰流進行異或運算得到密文流的加密方法。密鑰表現為一個偽隨機序列，一般需要通過一個控制密鑰控制某隨機數發(fā)生器實現。相同一段明文，在相同的密鑰流的作用下，其密文可能不同。3、密碼體制（3）對稱加密：加密密鑰只有合法的發(fā)送才知道，則該密碼系統稱為對稱密碼系統。加密密鑰和解秘密鑰可以很容易的相互得到，多數情況甚至相同；也稱單鑰密碼系統、傳統密碼系統等。（傳送加鎖箱子問題）非對稱密碼系統：（如何實現陌生人之間的保密通信，如何防抵賴（鑒別接收方））。加密密鑰公開、解秘密鑰不公開；由加密密鑰計算上無法得到解密密鑰，加解密過程易于實現；非對稱加密系統、雙鑰密碼系統。（意見箱和撞鎖模型）3、密碼體制（4）對稱加密的功能特點：對稱密碼系統功能：保護信息機密性、認證發(fā)送方身份和確保信息完整性認證發(fā)送方身份：接收方選擇隨機數+發(fā)送方加密成密文+接收方還原隨機數，因為只有發(fā)送方知道正確密鑰確保信息完整性：發(fā)送明文+密文即可對稱密碼系統弱點：密鑰傳輸、密鑰管理和無法達到不可否認（無法區(qū)別接收篡改和發(fā)方偽造）3、密碼體制（5）非對稱加密的功能和特點：非對稱密碼系統功能：保護信息機密性、簡化密鑰管理、可達到不可否認性（反序加密即可，解密密鑰的唯一性，也即數字簽名）

非對稱密碼系統弱點：加解密速度太慢，不到對稱式千分之一（DES和RSA）4、密碼體制的安全功能機密性：Secrecy、Privacy，防信息泄露鑒別性：Authenticity，信息來源合法性，防假冒完整性：Integrity，信息本身合法性，防篡改不可否認性：Nonrepudiation，防抵賴5、計算安全與理論安全理論安全：不管破譯者截獲多少密文并加以分析，其結果和直接猜明文沒有區(qū)別；理論上任何算法（一次一密除外，但它不實用）都是可破譯的計算安全：如果破譯所需的計算能力和時間是現實所不能實現的，則稱該密碼體制是安全的，或稱為計算上安全的；破譯一密碼所需要的計算時間和計算能力的總和，即破譯算法的時間復雜度和空間復雜度，稱為工作因子

第2節(jié)分組密碼1、擴散和擾亂2、Feistel密碼結構3、數據加密標準介紹4、高級數據加密標準介紹5、其它對稱加密算法介紹1、擴散和擾亂（1）擴散（Diffusion）：明文的統計結構被擴散消失到密文的長程統計特性，使得明文和密文之間的統計關系盡量復雜。做到這一點的方法是讓明文的每個數字影響許多密文數字的取值，也就是說每個密文數字被許多明文數字影響。在二進制分組密碼中，擴散可以通過重復使用對數據的某種置換，并對置換結果再應用某個函數的方式來達到，這樣做就使得原明文不同位置的多個比特影響到密文的一個比特。

1、擴散和擾亂（2）擾亂（Confusion）：使得密文的統計特性與密鑰的取值之間的關系盡量復雜。這是為了挫敗密碼分析者試圖發(fā)現密鑰的嘗試。進行擾亂后，即使攻擊者掌握了密文的某些統計特性，使用密鑰產生密文的方式是如此復雜以至于攻擊者難于從中推測出密鑰?？梢允褂靡粋€復雜的替代算法達到這個目的。

2、Feistel密碼結構（1）2、Feistel密碼結構（2）大部分常規(guī)密碼算法是Feistel密碼結構的具體實現，只不過是對下列參數和設計特點的選擇不同：1）

分組大小：分組越大安全性越高，但加解密速度越慢。64比特的分組大小是一個折中的選擇。2）

密鑰大?。好荑€長度越長則安全性越高，但加解密速度也越慢。64比特或更小現在已經認為不夠安全，128比特已經成為常用的長度。3）

循環(huán)次數：循環(huán)越多則越安全，但加解密速度越慢。DES采用16次循環(huán)。2、Feistel密碼結構（3）4）

子密鑰產生算法：這個算法越復雜，密碼分析越困難。5）

Round函數：復雜性越高則抗擊密碼分析的能力就越強。6）

快速的軟件實現。7）

易于硬件實現。8）

便于分析。2、Feistel密碼結構（4）Feistel的解密過程與其加密過程實質是相同的，解密的規(guī)則如下：以密文作為算法的輸入，但是以相反的次序使用子密鑰Ki，即第一輪使用Kn，最后一輪使用K1。這個特性正是常規(guī)加密算法又稱為對稱加密算法的原因。至于解密算法的正確性，請讀者自行驗證

3、數據加密標準介紹（1）1977年，美國正式公布美國數據加密標準——DES，并廣泛用于商用數據加密。算法完全公開，這在密碼學史上是一個創(chuàng)舉。

DES是一個典型的基于Feistel結構的密碼體制。DES輸入的是64bit明文分組，使用56bit的密鑰，循環(huán)的輪數是16，使用了8個S盒實現擾亂功能。具體算法描述見本系列叢書的《密碼學》。

1998年7月電子邊境基金會（EFF）使用一臺25萬美金的電腦在56小時內破解了56比特的DES。1999年1月RSA數據安全會議期間，電子邊境基金會用22小時15分鐘就宣告完成RSA公司發(fā)起的DES的第三次挑戰(zhàn)。

3、數據加密標準介紹（2）最有意義的分析技巧就是差分分析（在密碼學中，“分析”和“攻擊”這兩個術語的含義相同，以后不加區(qū)別）。差分分析（differentialcryptanalysis）由Biham和Shamir于1993年提出的選擇明文攻擊，可以攻擊很多分組密碼（包括DES）。差分分析涉及帶有某種特性的密文對和明文對比較，其中分析者尋找明文有某種差分的密文對。這些差分中的一些有較高的重現概率。差分分析用這些特征來計算可能密鑰的概率，最后定位最可能的密鑰。據說，這種攻擊很大程度依賴于S-盒的結構。然而，DES的S-盒被優(yōu)化可以抗擊差分分析。盡管差分攻擊比DES公布更遲，IBM公司DonCoppersmith在一份內部報告中說：“IBM設計小組早在1974年已經知道差分分析，所以設計S盒和換位變換時避開了它，這就是為什么DES能夠抵抗差分分析方法的原因。我們不希望外界掌握這一強有力的密碼分析方法，因此這些年來我們一直保持沉默”。4、高級數據加密標準介紹（1）1997年4月15日美國國家標準技術研究所（NIST）發(fā)起征集AES（AdvancedEncryptionStandards）算法的活動，并專門成立了AES工作組。

NIST終于在

2000年10月2日

公開選定Rijndael為AES所采用。2001年11月，NIST將AES定為FIPS1974、高級數據加密標準介紹（2）Rijndael采用的是代替/置換網絡，即SP結構。每一輪由三層組成，線性混合層：確保多輪之上的高度擴散；非線性層：由16個S-盒并置而成，起到混淆的作用；密鑰加層：子密鑰簡單的異或到中間狀態(tài)上。S-盒選取的是有限域中的乘法逆運算，它的差分均勻性和線性偏差都達到了最佳。Rijndael加解密算法中，每輪輪常數的不同消除了密鑰的對稱性，密鑰擴展的非線性消除了相同密鑰的可能性；加解密使用不同的變換，消除了在DES里出現的弱密鑰和半弱密鑰存在的可能性；總之，在Rijndael的加解密算法中，對密鑰的選擇沒有任何限制。

4、高級數據加密標準介紹（3）經過驗證，Rijndael加解密算法能有效地抵抗目前已知的攻擊方法的攻擊。如：部分差分攻擊、相關密鑰攻擊、插值攻擊（Interpolationattack）等。對于Rijndael，最有效的攻擊還是窮盡密鑰搜索攻擊。

4、高級數據加密標準介紹（4）依靠有限域/有限環(huán)的有關性質給加密解密提供了良好的理論基礎，使算法設計者可以既高強度地隱藏信息，又同時保證了算法可逆，又因為Rijndael算法在一些關鍵常數的選擇上非常巧妙，使得該算法可以在整數指令和邏輯指令的支持下高速完成加解密，在專用的硬件上，速率可高于1GB/s，從而得到了良好的效率。除了加解密功能外，Rijndael算法還可以實現如MAC、Hash、生成隨機數等功能；Rijndael算法可有效地應用于奔騰機、智能卡、ATM、HDTV、B－ISDN、聲音、衛(wèi)星通信等各個方面。

5、其它對稱加密算法介紹IDEA是InternationalDataEncryptionAlgorithm的縮寫，是1990年由瑞士聯邦技術學院X.J.Lai和Massey提出的建議標準算法，稱作PES（ProposedEncryptionStandard）。Lai和Massey在1992年進行了改進，強化了抗差分分析的能力，改稱為IDEA。它也是對64bit大小的數據塊加密的分組加密算法，密鑰長度為128位。

RC5是由RSA公司的首席科學家RonRivest于1994年設計，95年正式公開的一個很實用的加密算法。它是一種分組長（為2倍字長w位）、密鑰長（按字節(jié)數計）和迭代輪數都可變的分組迭代密碼。

第3節(jié)非對稱密碼1、Diffie-Hellman密鑰交換算法

2、RSA算法

3、ElGamal算法

4、橢圓曲線密碼算法ECC1、Diffie-Hellman密鑰交換算法（1）Diffie-Hellman密鑰交換算法允許兩個用戶可以安全地交換一個秘密信息，用于后續(xù)的通訊過程。其算法的安全性依賴于計算離散對數的難度。

1、Diffie-Hellman密鑰交換算法（2）Diffie-Hellman密鑰交換算法：雙方選擇素數p以及p的一個原根a用戶A選擇一個隨機數Xa<p，計算Ya=aXamodp用戶B選擇一個隨機數Xb<p，計算Yb=aXbmodp每一方保密X值，而將Y值交換給對方用戶A計算出K=YbXamodp用戶B計算出K=YaXbmodp雙方獲得一個共享密鑰(aXaXbmodp)2、RSA算法（1）

RSA算法1977年由RonRivest、AdiShamir和LenAdleman發(fā)明，1978年正式公布。RSA是分組加密算法，明文和密文在0~n-1之間，n是一個正整數，一般明文分組長度為k比特，則2k<n<=2k+1。RSA已經是當今應用最廣泛的公鑰密碼算法。

2、RSA算法（2）RSA算法描述如下：分組大小為k，2k<n<=2k+1；公開密鑰KU={e,n}，私有密鑰KR=d，其中n為兩個素數p和q的乘積，e與(p-1)(q-1)互素，ed＝1(mod(p-1)(q-1))；加密c=memodn；解密m=cdmodn。解密算法的正確性驗證如下：cd

=(me)d=med=m*mk(p-1)(q-1)=m*1(modn)=m(modn)2、RSA算法（3）RSA算法的安全性是基于加密函數ek(x)=xe(modn)是一個單向函數，陷門是分解n=pq，但是兩個大素數乘積的整數分解問題是否是NPC問題一直沒有得到數學上的證明。

3、ElGamal算法（1）

ElGamal算法既能用于數據加密也能用于數字簽名，其安全性依賴于計算有限域上離散對數這一難題。

3、ElGamal算法（2）密鑰對產生辦法：首先選擇一個素數p，兩個隨機數g和x，g,x<p，計算

y=gx(modp)，則其公鑰為y,g和p。私鑰是x。g和p可由一組用戶共享。ElGamal用于加密：被加密信息為M，首先選擇一個隨機數k，k與p-1互質，計算a=gk(modp)，b=(yk)M(modp)。(a,b)為密文，是明文的兩倍長。解密時計算M=b(ax)-1(modp)。4、橢圓曲線密碼算法ECC橢圓曲線密碼算法ECC基于在有限域的橢圓曲線上定義加法和乘法形成橢圓群，在此橢圓群上離散對數的求解將更加困難。ECC的優(yōu)點在于用少得多的比特大小取得和RSA相等的安全性。ECC由于密鑰短，速度快，可以用于智能卡等存儲和運算能力有限的設備上。國際上對ECC的興趣越來越大，其應用越來越廣泛。

第4節(jié)簽名認證1、HASH函數2、數字簽名3、消息認證4、認證碼5、電子現金1、HASH函數完整性校驗；數字指紋技術；計算指紋容易，反之很困難，不同信息指紋相同的概率極小。Hash是一種直接產生認證碼的方法Hash函數:h=H(x),要求:可作用于任何尺寸數據且均產生定長輸出H(x)能夠快速計算單向性:給定h，找到x使h=H(x)在計算上不可行WeakCollisionResistence(WCR):

給定x，找到yx使H(x)=H(y)在計算上不可行StrongCollisionResistence(SCR):找到yx使H(x)=H(y)在計算上不可行2、數字簽名手寫簽名的電子化實現，對一個不能偽造的數字簽名方案有下列要求：每個用戶能有效（容易）地在他選擇的文件上產生他自己的簽名；每個用戶能有效（容易）地驗證一給定的數字串是否是另一特定用戶在某特定文件上的簽名；沒人能在其他用戶沒簽名的文件上有效（容易）地產生他們地簽名。3、消息認證消息認證：消息認證問題的背景與消息加密方案的背景很相似，通信雙方也在一個不安全信道上傳送消息，如互聯網（internet），但現在的第三者不僅可能截取消息進行分析，而且可能偽造或篡改發(fā)送的消息，稱為入侵者。通信雙方希望交換消息而拒絕接受入侵者欺騙的協議。4、認證碼（1）消息完整性的另一個方法：保證消息沒有被篡改，且消息來源于假定的傳送器。鑒別的目標是：即使在能觀察到信道中的消息和可以將自己的消息引入到信道的主動攻擊者存在的情況下，也達到鑒別目的。有保密和非保密之區(qū)別。4、認證碼（2）一個鑒別是一個四元組（S,A,K,E）S為源狀態(tài)有限集合A為鑒別標記有限集合KE鑒別規(guī)則集合ek:S->A發(fā)送（s,a）5、電子現金一個電子貨幣系統主要由三個協議組成：提取協議：用戶從銀行提取貨幣的協議支付協議：用戶向商店付款的協議存款協議：用戶向嬰孩存款的協議不可追蹤性主要由盲數字簽名技術保證盲數字簽名技術：消息內容對簽名者不可見且簽名者不能追蹤簽名。第五章身份認證第1節(jié)身份認證概述第2節(jié)非密碼方式第3節(jié)采用對稱密碼第4節(jié)采用非稱密碼第5節(jié)Kerberos第1節(jié)身份認證概述1、身份認證概念2、身份認證分類3、身份認證組成4、身份認證要求5、身份認證實現途徑6、身份認證機制1、身份認證概念（1）定義：證實客戶的真實身份與其所聲稱的身份是否相符的過程。依據：Somethingtheuserknow(所知）密碼、口令等Somethingtheuserpossesses（擁有）身份證、護照、密鑰盤等Somethingtheuseris(orHowhebehaves)指紋、筆跡、聲音、虹膜、DNA等1、身份認證概念（2）消息認證與身份認證的差別：實體鑒別一般都是實時的，消息鑒別一般不提供時間性。實體鑒別只證實實體的身份，消息鑒別除了消息的合法和完整外，還需要知道消息的含義。數字簽字是實現身份識別的有效途徑。但在身份識別中消息的語義是基本固定的，一般不是“終生”的，簽字是長期有效的。1、身份認證概念（3）身份認證需求：

某一成員（聲稱者）提交一個主體的身份并聲稱它是那個主體。身份認證目的：

使別的成員（驗證者）獲得對聲稱者所聲稱的事實的信任2、身份認證分類（1）實體認證可以分為本地和遠程兩類。實體在本地環(huán)境的初始化認證（就是說，作為實體個人，和設備物理接觸，不和網絡中的其他設備通信）。連接遠程設備、實體和環(huán)境的實體認證。本地認證：需要用戶的進行明確的操作遠程認證：通常將本地認證結果傳送到遠程。（1）安全（2）易用2、身份認證分類（2）實體認證可以是單向的也可以是雙向的。

單向認證是指通信雙方中只有一方向另一方進行認證。

雙向認證是指通信雙方相互進行認證。3、身份認證組成（1）ATPB3、身份認證組成（2）一方是出示證件的人，稱作示證者P(Prover)，又稱聲稱者(Claimant)。另一方為驗證者V（Verifier),檢驗聲稱者提出的證件的正確性和合法性，決定是否滿足要求。第三方是可信賴者TP（Trustedthirdparty)，參與調解糾紛。第四方是攻擊者，可以竊聽或偽裝聲稱者騙取驗證者的信任。4、身份認證要求（1）驗證者正確識別合法申請者的概率極大化。（2）不具有可傳遞性（Transferability)（3）攻擊者偽裝成申請者欺騙驗證者成功的概率要小到可以忽略的程度（4）計算有效性（5）通信有效性（6）秘密參數能安全存儲*（7）交互識別*（8）第三方的實時參與*（9）第三方的可信賴性*（10）可證明的安全性5、身份認證實現途徑三種途徑之一或他們的組合（1）所知（Knowledge）:密碼、口令（2）所有（Possesses):身份證、護照、信用卡、鑰匙（3）個人特征：指紋、筆跡、聲紋、手型、血型、視網膜、虹膜、DNA以及個人動作方面的一些特征（4）你做的事情（如手寫簽名）設計依據：安全水平、系統通過率、用戶可接受性、成本等6、身份認證機制非密碼的鑒別機制基于密碼算法的鑒別采用對稱密碼算法的機制采用公開密碼算法的機制采用密碼校驗函數的機制零知識證明協議第2節(jié)非密碼方式1、口令機制2、一次性口令機制3、基于地址的機制4、基于個人特征的機制5、個人鑒別令牌1、口令機制（1）口令或通行字機制是最廣泛研究和使用的身份鑒別法。通常為長度為5~8的字符串。選擇原則：易記、難猜、抗分析能力強?？诹钕到y有許多脆弱點：外部泄露口令猜測線路竊聽危及驗證者重放1、口令機制（2）對付外部泄露的措施教育、培訓；嚴格組織管理辦法和執(zhí)行手續(xù)；口令定期改變；每個口令只與一個人有關；輸入的口令不再現在終端上；使用易記的口令，不要寫在紙上。1、口令機制（3）對付口令猜測的措施教育、培訓；嚴格限制非法登錄的次數；口令驗證中插入實時延遲；限制最小長度，至少6~8字節(jié)以上防止用戶特征相關口令，口令定期改變；及時更改預設口令；使用機器產生的口令。1、口令機制（4）對付線路竊聽的措施:使用保護口令機制(如單向函數)

qfididq比較是或不是pid聲稱者驗證者消息1、口令機制（5）對付線路竊聽的措施的缺陷：攻擊者很容易構造一張q與p對應的表，表中的p盡最大可能包含所期望的值。隨機串（Salt）是使這種攻擊變得困難的一種辦法。在口令后使用隨機數。只能保護在多臺計算機上使用相同口令或在同一計算機上使用同一口令的不同用戶。1、口令機制（6）改進方案：

qid

qid比較f是或不是聲稱者驗證者pid消息salt1、口令機制（7）基本的對付危及驗證者的措施：使用單向函數

pididq比較是或不是聲稱者驗證者pid消息fqsalt1、口令機制（8）對付竊聽及危及驗證者的措施聲稱者fqidgidr比較是或不是pidr驗證者消息saltsalt1、口令機制（9）對付重放攻擊的措施

ridnrvgfidqg比較是或不是p聲稱者驗證者消息qidnrvsalt2、一次性口令機制（1）一次性口令機制確保在每次認證中所使用的口令不同，以對付重放攻擊。確定口令的方法：

（1）兩端共同擁有一串隨機口令，在該串的某一位置保持同步；

（2）兩端共同使用一個隨機序列生成器，在該序列生成器的初態(tài)保持同步；

（3）使用時戳，兩端維持同步的時鐘。2、一次性口令機制（2）一次性口令機制的強度：（1）沒有器件而知道口令p，不能導致一個簡單的攻擊；（2）擁有器件而不知道口令p，不能導致一個簡單的攻擊；（3）除非攻擊者也能進行時間同步，否則重放不是一個簡單的攻擊；（4）知道q（例如通過瀏覽驗證者系統文件）而不知道設備安全值dsv，不能導致一個簡單的攻擊。2、一次性口令機制（3）SKEY驗證程序其安全性依賴于一個單向函數。為建立這樣的系統A輸入一隨機數R，計算機計算f（R）,f（f（R）），f（f（f（R））），…,共計算100次，計算得到的數為x1,x2,x3,…x100，A打印出這樣的表，隨身攜帶，計算機將x101存在A的名字旁邊。第一次登錄，鍵入x100，以后依次鍵入xi，計算機計算f(xi)，并將它與xi+1比較。3、基于地址的機制基于地址的機制假定聲稱者的可鑒別性是以呼叫的源地址為基礎的。在大多數的數據網絡中，呼叫地址的辨別都是可行的。在不能可靠地辨別地址時，可以用一個呼叫—回應設備來獲得呼叫的源地址。一個驗證者對每一個主體都保持一份合法呼叫地址的文件。這種機制最大的困難是在一個臨時的環(huán)境里維持一個連續(xù)的主機和網絡地址的聯系。地址的轉換頻繁、呼叫—轉發(fā)或重定向引起了一些主要問題?；诘刂返臋C制自身不能被作為鑒別機制，但可作為其它機制的有用補充。4、基于個人特征的機制生物特征識別技術主要有：

1）指紋識別；

2）聲音識別；

3）手跡識別；

4）視網膜掃描；

5）手形。

這些技術的使用對網絡安全協議不會有重要的影響。5、個人鑒別令牌物理特性用于支持認證“某人擁有某東西”，但通常要與一個口令或PIN結合使用。這種器件應具有存儲功能，通常有鍵盤、顯示器等界面部件，更復雜的能支持一次性口令，甚至可嵌入處理器和自己的網絡通信設備（如智能卡）。這種器件通常還利用其它密碼鑒別方法。第3節(jié)采用對稱密碼1、對稱密碼認證機制2、無可信第三方參與的單向認證3、無可信第三方參與的雙向認證4、涉及可信第三方的雙向認證1、對稱密碼認證機制（1）基于對稱密碼算法的鑒別依靠一定協議下的數據加密處理。通信雙方共享一個密鑰（通常存儲在硬件中），該密鑰在詢問—應答協議中處理或加密信息交換。1、對稱密碼認證機制（2）A:實體A的可區(qū)分標識符/B:實體B的可區(qū)分標識符TP:可信第三方的可區(qū)分標識符KXY:實體X和實體Y之間共享的秘密密鑰,只用于對稱密碼技術SX:與實體X有關的私有簽名密鑰,只用于非對稱加密技術NX:由實體X給出的順序號/RX:由實體X給出的隨機數TX:由實體X原發(fā)的時變參數,它或者是時間標記TX,或者是順序號RXNX:Y||Z:數據項Y和Z以Y在前Z在后順序拼接的結果eK(Z):用密鑰K的對稱加密算法對數據Z加密的結果fK(Z):使用以密鑰K和任意數據串Z作為輸入的密碼校驗函數f所產生的密碼校驗值CertX:由可信第三方簽發(fā)給實體X的證書TokenXY:實體X發(fā)給Y的權標,包含使用密碼技術變換的信息TVP:時變參數/SSX(Z):用私有簽名密鑰SX對數據Z進行私有簽名變換所產生的簽名.2、無可信第三方參與的單向認證（1）

一次傳送鑒別AB（1）TokenAB(2)（1）TokenAB=Text2||eKAB(TA||B||Text1)NA

（2）B解密，驗證B、時間標記或順序號的正確性2、無可信第三方參與的單向認證（2）

兩次傳送鑒別AB（1）RB||Text1(3)（2）TokenAB=Text3||eKAB(RB||B||Text2)（3）B解密，驗證B、RB的正確性（2）TokenAB3、無可信第三方參與的雙向認證（1）

兩次傳送鑒別AB（1）TokenAB(2)（4）B解密，驗證B、RB的正確性（3）TokenBA（1）TokenAB=Text2||eKAB(TA||B||Text1)NA

（3）TokenBA=Text4||eKAB(TB||A||Text3)NB

(4)3、無可信第三方參與的雙向認證（2）三次傳送鑒別AB（1）RB||Text1(3)（3）B解密，驗證B、RB的正確性（2）TokenAB（4）TokenBA(5)（5）A解密，驗證B、RB、

RA的正確性4、涉及可信第三方的雙向認證（1）四次傳送鑒別AB（6）TokenBATP（4）TokenAB（2）TokenTA（1）TVPA||B||Text1(3)(7)(5)（2）TokenTA=Text4||eKAT(TVPA||KAB||B||Text3)||eKBT(TTP||KAB||A||Text2)NTP

（4）TokenAB=Text6||eKBT(TTP||KAB||A||Text2)eKAB(TA||B||Text5)NTPNA（6）TokenBA=Text8||eKAB(TB||A||Text7)NB4、涉及可信第三方的雙向認證（2）五次傳送鑒別AB（7）TokenBATP（5）TokenAB（3）TokenTA（2）RA||RB||B||Text2(4)(8)(6)（3）TokenTA=Text5||eKAT(RA||KAB||B||Text4)||eKBT(RB

||KAB||A||Text3)（5）TokenAB=Text7||eKBT(RB

||KAB||A||Text3)||eKAB(RA||RB||Text6)（7）TokenBA=Text9||eKAB(RB||RA||Text8)(1)RB||Text1第4節(jié)采用非稱密碼1、采用公開密碼算法的機制2、采用公開密碼算法的單向鑒別3、采用公開密碼算法的雙向鑒別1、采用公開密碼算法的機制在該機制中，聲稱者要通過證明他知道某秘密簽名密鑰來證實身份。由使用他的秘密簽名密鑰簽署某一消息來完成。消息可包含一個非重復值以抵抗重放攻擊。要求驗證者有聲稱者的有效公鑰,聲稱者有僅由自己知道和使用的秘密簽名私鑰。單向認證：僅對實體中的一個進行認證。雙向認證：兩個通信實體相互進行認證。2、采用公開密碼算法的單向鑒別（1）一次傳遞機制AB（1）CertA||TokenAB（1）TokenAB=TA||B||Text2||SSA(TA||B||Text1)NANA

(2)(2)B驗證A的公開密鑰，驗證B的標識符號2、采用公開密碼算法的單向鑒別（2）兩次傳遞機制AB（1）RB||Text1(3)（3）B驗證A的公開密鑰，驗證B的標識符號（1）CertA||TokenAB（2）TokenAB=RA||RB||B||Text3||SSA(RA||RB||B||Text2)3、采用公開密碼算法的雙向鑒別（1）AB(2)（2）B驗證A的公開密鑰，驗證B的標識符號（3）CertB||TokenBA兩次傳遞機制（1）CertA||TokenAB（1）TokenAB=TA||B||Text2||SSA(TA||B||Text1)NANA

(4)（3）TokenBA=TB||A||Text4||SSB(TB||A||Text3)NBNB

（4）A驗證B的公開密鑰，驗證A的標識符號3、采用公開密碼算法的雙向鑒別（2）

三次傳遞機制AB（1）RB||Text1(3)（3）B驗證A的公開密鑰，驗證B的標識符號（2）CertA||TokenAB（2）TokenAB=RA||RB||B||Text3||SSA(RA||RB||B||Text2)（4）CertB||TokenBA（4）TokenBA=RB||RA||A||Text5||SSB(RB||RA||A||Text4)（5）A驗證B的公開密鑰，驗證A的標識符號(5)3、采用公開密碼算法的雙向鑒別（3）

兩次傳遞并行機制AB（1）CertA||RA||Text1(2)(4)（4）A和B驗證各自的隨機數（1）CertB||RB||Text2（1）TokenAB=RA||RB||B||Text4||SSA(RA||RB||B||Text3)（3）TokenBA（1）TokenBA=RB||RA||A||Text6||SSB(RB||RA||A||Text5)（2）A和B確保他們擁有另一實體的公開密鑰(2)(4)（3）TokenAB第5節(jié)Kerberos1、概述2、一般意義的認證對話3、SummaryofKerberosVersion4MessageExchanges4、Kerberos處理過程和模型5、功能特性6、局限性分析1、概述（1）80年代中期是MIT的Athena工程的產物版本前三個版本僅用于內部第四版得到了廣泛的應用第五版于1989年開始設計RFC1510,1993年確定標準KerberosKerberos歷史1、概述（2）在一個分布式的client/server體系機構中采用一個或多個Kerberos服務器提供一個鑒別服務。1、概述（3）安全。網絡竊聽者不能獲得必要信息以假冒其它用戶；Kerberos應足夠強壯以至于潛在的敵人無法找到它的弱點連接。可靠。Kerberos應高度可靠，并且應借助于一個分布式服務器體系結構，使得一個系統能夠備份另一個系統。透明。理想情況下，用戶除了要求輸入口令以外應感覺不到認證的發(fā)生?？缮炜s。系統應能夠支持大數量的客戶和服務器。2、一般意義的認證對話（1）一個簡單的認證對話2、一般意義的認證對話（2）更安全的認證對話.兩個主要問題.希望用戶輸入口令的次數最少.口令以明文傳送會被竊聽.解決辦法.ticketreusable.Ticket-grantingserver2、一般意義的認證對話（3）更安全的認證對話3、SummaryofKerberosVersion4MessageExchanges（1）3、SummaryofKerberosVersion4MessageExchanges（2）RationalefortheElementsoftheKerberosVersion4Protocol(a)AuthenticationServiceExchangeMessage(1) Client請求ticket-grantingticket IDC:告訴AS本Client端的用戶標志；

Idtgs:告訴AS用戶請求訪問TGS; TS1：讓AS驗證Client端的時鐘是與AS的時鐘同步的； Message(2) AS返回ticket-grantingticket

Ekc:基于用戶口令的加密，使得AS與Client可以驗證口令，并保護Message(2).

Kc,tgs：sessionkey的副本，由AS產生。Client可用于在TGS與Client之間信息的安全交換，而不必共用一個永久的key.

Idtgs:確認這個ticket是為TGS制作的。

TS2：告訴Client該ticket的有效期。

Lifetime2:告訴Client該ticket的有效期。

Tickettgs:Client用來訪問TGS的ticket。3、SummaryofKerberosVersion4MessageExchanges（3）Message(3) Client請求service-grantingticket

IDv:告訴TGS用戶要訪問服務器V；

Tickettgs:向TGS證實該用戶已被AS認證；

Authenticatorc：由Client生成，用于驗證Client；Me