互联网协会-电子商务安全(二)

电子商务安全（二）安全支撑技术第四章加密技术第1节密码学基本术语第2节分组密码第3节非对称密码第4节签名认证第1节密码学基本术语1、密码学2、密码分析基本方法3、密码体制4、密码体制的安全功能5、理论安全与计算安全1、密码学密码学（Cryptology）：泛指研究保密通信的学科，包括设计和破译两个方面；密码学包括密码编码学（Cryptography）和密码分析学（Cryptanalysis）密码编码学：研究如何达到信息秘密性、鉴别性等的科学，研究密码系统密码分析学：研究如何破解密码系统，或伪造信息使密码系统误以为真的科学

2、密码分析基本方法密码分析基本假设：破译者所获得的知识最大化，除密钥外密码系统相关因素均为已知唯密文攻击：密码分析者仅掌握若干密文，希望得到对应的明文已知明文攻击：密码分析者不仅掌握若干密文，还掌握那些密文所对应的明文，希望得到密钥或根据密文得到明文等选择明文攻击：密码分析者不仅可以获得若干密文及相应的明文，而且明文可以选择，对应的也有选择密文攻击3、密码体制（1）密码体制（密码系统）是一个三方参与的通信模型：发送方、接收方和破译者。典型密码系统方框图如下：加密器EncryptorE解密器DecryptorD破译者明文密文加密密钥解密密钥发送方接收方公开信道3、密码体制（2）分组密码：将明文进行分成相同比特长度明文分组进行加密。相同明文分组在相同密钥加密的情况下，密文必然性同。序列密码：将明文、密文和密钥看作三个序列流，通过明文流按比特与密钥流进行异或运算得到密文流的加密方法。密钥表现为一个伪随机序列，一般需要通过一个控制密钥控制某随机数发生器实现。相同一段明文，在相同的密钥流的作用下，其密文可能不同。3、密码体制（3）对称加密：加密密钥只有合法的发送才知道，则该密码系统称为对称密码系统。加密密钥和解秘密钥可以很容易的相互得到，多数情况甚至相同；也称单钥密码系统、传统密码系统等。（传送加锁箱子问题）非对称密码系统：（如何实现陌生人之间的保密通信，如何防抵赖（鉴别接收方））。加密密钥公开、解秘密钥不公开；由加密密钥计算上无法得到解密密钥，加解密过程易于实现；非对称加密系统、双钥密码系统。（意见箱和撞锁模型）3、密码体制（4）对称加密的功能特点：对称密码系统功能：保护信息机密性、认证发送方身份和确保信息完整性认证发送方身份：接收方选择随机数+发送方加密成密文+接收方还原随机数，因为只有发送方知道正确密钥确保信息完整性：发送明文+密文即可对称密码系统弱点：密钥传输、密钥管理和无法达到不可否认（无法区别接收篡改和发方伪造）3、密码体制（5）非对称加密的功能和特点：非对称密码系统功能：保护信息机密性、简化密钥管理、可达到不可否认性（反序加密即可，解密密钥的唯一性，也即数字签名）

非对称密码系统弱点：加解密速度太慢，不到对称式千分之一（DES和RSA）4、密码体制的安全功能机密性：Secrecy、Privacy，防信息泄露鉴别性：Authenticity，信息来源合法性，防假冒完整性：Integrity，信息本身合法性，防篡改不可否认性：Nonrepudiation，防抵赖5、计算安全与理论安全理论安全：不管破译者截获多少密文并加以分析，其结果和直接猜明文没有区别；理论上任何算法（一次一密除外，但它不实用）都是可破译的计算安全：如果破译所需的计算能力和时间是现实所不能实现的，则称该密码体制是安全的，或称为计算上安全的；破译一密码所需要的计算时间和计算能力的总和，即破译算法的时间复杂度和空间复杂度，称为工作因子

第2节分组密码1、扩散和扰乱2、Feistel密码结构3、数据加密标准介绍4、高级数据加密标准介绍5、其它对称加密算法介绍1、扩散和扰乱（1）扩散（Diffusion）：明文的统计结构被扩散消失到密文的长程统计特性，使得明文和密文之间的统计关系尽量复杂。做到这一点的方法是让明文的每个数字影响许多密文数字的取值，也就是说每个密文数字被许多明文数字影响。在二进制分组密码中，扩散可以通过重复使用对数据的某种置换，并对置换结果再应用某个函数的方式来达到，这样做就使得原明文不同位置的多个比特影响到密文的一个比特。

1、扩散和扰乱（2）扰乱（Confusion）：使得密文的统计特性与密钥的取值之间的关系尽量复杂。这是为了挫败密码分析者试图发现密钥的尝试。进行扰乱后，即使攻击者掌握了密文的某些统计特性，使用密钥产生密文的方式是如此复杂以至于攻击者难于从中推测出密钥。可以使用一个复杂的替代算法达到这个目的。

2、Feistel密码结构（1）2、Feistel密码结构（2）大部分常规密码算法是Feistel密码结构的具体实现，只不过是对下列参数和设计特点的选择不同：1）

分组大小：分组越大安全性越高，但加解密速度越慢。64比特的分组大小是一个折中的选择。2）

密钥大小：密钥长度越长则安全性越高，但加解密速度也越慢。64比特或更小现在已经认为不够安全，128比特已经成为常用的长度。3）

循环次数：循环越多则越安全，但加解密速度越慢。DES采用16次循环。2、Feistel密码结构（3）4）

子密钥产生算法：这个算法越复杂，密码分析越困难。5）

Round函数：复杂性越高则抗击密码分析的能力就越强。6）

快速的软件实现。7）

易于硬件实现。8）

便于分析。2、Feistel密码结构（4）Feistel的解密过程与其加密过程实质是相同的，解密的规则如下：以密文作为算法的输入，但是以相反的次序使用子密钥Ki，即第一轮使用Kn，最后一轮使用K1。这个特性正是常规加密算法又称为对称加密算法的原因。至于解密算法的正确性，请读者自行验证

3、数据加密标准介绍（1）1977年，美国正式公布美国数据加密标准——DES，并广泛用于商用数据加密。算法完全公开，这在密码学史上是一个创举。

DES是一个典型的基于Feistel结构的密码体制。DES输入的是64bit明文分组，使用56bit的密钥，循环的轮数是16，使用了8个S盒实现扰乱功能。具体算法描述见本系列丛书的《密码学》。

1998年7月电子边境基金会（EFF）使用一台25万美金的电脑在56小时内破解了56比特的DES。1999年1月RSA数据安全会议期间，电子边境基金会用22小时15分钟就宣告完成RSA公司发起的DES的第三次挑战。

3、数据加密标准介绍（2）最有意义的分析技巧就是差分分析（在密码学中，“分析”和“攻击”这两个术语的含义相同，以后不加区别）。差分分析（differentialcryptanalysis）由Biham和Shamir于1993年提出的选择明文攻击，可以攻击很多分组密码（包括DES）。差分分析涉及带有某种特性的密文对和明文对比较，其中分析者寻找明文有某种差分的密文对。这些差分中的一些有较高的重现概率。差分分析用这些特征来计算可能密钥的概率，最后定位最可能的密钥。据说，这种攻击很大程度依赖于S-盒的结构。然而，DES的S-盒被优化可以抗击差分分析。尽管差分攻击比DES公布更迟，IBM公司DonCoppersmith在一份内部报告中说：“IBM设计小组早在1974年已经知道差分分析，所以设计S盒和换位变换时避开了它，这就是为什么DES能够抵抗差分分析方法的原因。我们不希望外界掌握这一强有力的密码分析方法，因此这些年来我们一直保持沉默”。4、高级数据加密标准介绍（1）1997年4月15日美国国家标准技术研究所（NIST）发起征集AES（AdvancedEncryptionStandards）算法的活动，并专门成立了AES工作组。

NIST终于在

2000年10月2日

公开选定Rijndael为AES所采用。2001年11月，NIST将AES定为FIPS1974、高级数据加密标准介绍（2）Rijndael采用的是代替/置换网络，即SP结构。每一轮由三层组成，线性混合层：确保多轮之上的高度扩散；非线性层：由16个S-盒并置而成，起到混淆的作用；密钥加层：子密钥简单的异或到中间状态上。S-盒选取的是有限域中的乘法逆运算，它的差分均匀性和线性偏差都达到了最佳。Rijndael加解密算法中，每轮轮常数的不同消除了密钥的对称性，密钥扩展的非线性消除了相同密钥的可能性；加解密使用不同的变换，消除了在DES里出现的弱密钥和半弱密钥存在的可能性；总之，在Rijndael的加解密算法中，对密钥的选择没有任何限制。

4、高级数据加密标准介绍（3）经过验证，Rijndael加解密算法能有效地抵抗目前已知的攻击方法的攻击。如：部分差分攻击、相关密钥攻击、插值攻击（Interpolationattack）等。对于Rijndael，最有效的攻击还是穷尽密钥搜索攻击。

4、高级数据加密标准介绍（4）依靠有限域/有限环的有关性质给加密解密提供了良好的理论基础，使算法设计者可以既高强度地隐藏信息，又同时保证了算法可逆，又因为Rijndael算法在一些关键常数的选择上非常巧妙，使得该算法可以在整数指令和逻辑指令的支持下高速完成加解密，在专用的硬件上，速率可高于1GB/s，从而得到了良好的效率。除了加解密功能外，Rijndael算法还可以实现如MAC、Hash、生成随机数等功能；Rijndael算法可有效地应用于奔腾机、智能卡、ATM、HDTV、B－ISDN、声音、卫星通信等各个方面。

5、其它对称加密算法介绍IDEA是InternationalDataEncryptionAlgorithm的缩写，是1990年由瑞士联邦技术学院X.J.Lai和Massey提出的建议标准算法，称作PES（ProposedEncryptionStandard）。Lai和Massey在1992年进行了改进，强化了抗差分分析的能力，改称为IDEA。它也是对64bit大小的数据块加密的分组加密算法，密钥长度为128位。

RC5是由RSA公司的首席科学家RonRivest于1994年设计，95年正式公开的一个很实用的加密算法。它是一种分组长（为2倍字长w位）、密钥长（按字节数计）和迭代轮数都可变的分组迭代密码。

第3节非对称密码1、Diffie-Hellman密钥交换算法

2、RSA算法

3、ElGamal算法

4、椭圆曲线密码算法ECC1、Diffie-Hellman密钥交换算法（1）Diffie-Hellman密钥交换算法允许两个用户可以安全地交换一个秘密信息，用于后续的通讯过程。其算法的安全性依赖于计算离散对数的难度。

1、Diffie-Hellman密钥交换算法（2）Diffie-Hellman密钥交换算法：双方选择素数p以及p的一个原根a用户A选择一个随机数Xa<p，计算Ya=aXamodp用户B选择一个随机数Xb<p，计算Yb=aXbmodp每一方保密X值，而将Y值交换给对方用户A计算出K=YbXamodp用户B计算出K=YaXbmodp双方获得一个共享密钥(aXaXbmodp)2、RSA算法（1）

RSA算法1977年由RonRivest、AdiShamir和LenAdleman发明，1978年正式公布。RSA是分组加密算法，明文和密文在0~n-1之间，n是一个正整数，一般明文分组长度为k比特，则2k<n<=2k+1。RSA已经是当今应用最广泛的公钥密码算法。

2、RSA算法（2）RSA算法描述如下：分组大小为k，2k<n<=2k+1；公开密钥KU={e,n}，私有密钥KR=d，其中n为两个素数p和q的乘积，e与(p-1)(q-1)互素，ed＝1(mod(p-1)(q-1))；加密c=memodn；解密m=cdmodn。解密算法的正确性验证如下：cd

=(me)d=med=m*mk(p-1)(q-1)=m*1(modn)=m(modn)2、RSA算法（3）RSA算法的安全性是基于加密函数ek(x)=xe(modn)是一个单向函数，陷门是分解n=pq，但是两个大素数乘积的整数分解问题是否是NPC问题一直没有得到数学上的证明。

3、ElGamal算法（1）

ElGamal算法既能用于数据加密也能用于数字签名，其安全性依赖于计算有限域上离散对数这一难题。

3、ElGamal算法（2）密钥对产生办法：首先选择一个素数p，两个随机数g和x，g,x<p，计算

y=gx(modp)，则其公钥为y,g和p。私钥是x。g和p可由一组用户共享。ElGamal用于加密：被加密信息为M，首先选择一个随机数k，k与p-1互质，计算a=gk(modp)，b=(yk)M(modp)。(a,b)为密文，是明文的两倍长。解密时计算M=b(ax)-1(modp)。4、椭圆曲线密码算法ECC椭圆曲线密码算法ECC基于在有限域的椭圆曲线上定义加法和乘法形成椭圆群，在此椭圆群上离散对数的求解将更加困难。ECC的优点在于用少得多的比特大小取得和RSA相等的安全性。ECC由于密钥短，速度快，可以用于智能卡等存储和运算能力有限的设备上。国际上对ECC的兴趣越来越大，其应用越来越广泛。

第4节签名认证1、HASH函数2、数字签名3、消息认证4、认证码5、电子现金1、HASH函数完整性校验；数字指纹技术；计算指纹容易，反之很困难，不同信息指纹相同的概率极小。Hash是一种直接产生认证码的方法Hash函数:h=H(x),要求:可作用于任何尺寸数据且均产生定长输出H(x)能够快速计算单向性:给定h，找到x使h=H(x)在计算上不可行WeakCollisionResistence(WCR):

给定x，找到yx使H(x)=H(y)在计算上不可行StrongCollisionResistence(SCR):找到yx使H(x)=H(y)在计算上不可行2、数字签名手写签名的电子化实现，对一个不能伪造的数字签名方案有下列要求：每个用户能有效（容易）地在他选择的文件上产生他自己的签名；每个用户能有效（容易）地验证一给定的数字串是否是另一特定用户在某特定文件上的签名；没人能在其他用户没签名的文件上有效（容易）地产生他们地签名。3、消息认证消息认证：消息认证问题的背景与消息加密方案的背景很相似，通信双方也在一个不安全信道上传送消息，如互联网（internet），但现在的第三者不仅可能截取消息进行分析，而且可能伪造或篡改发送的消息，称为入侵者。通信双方希望交换消息而拒绝接受入侵者欺骗的协议。4、认证码（1）消息完整性的另一个方法：保证消息没有被篡改，且消息来源于假定的传送器。鉴别的目标是：即使在能观察到信道中的消息和可以将自己的消息引入到信道的主动攻击者存在的情况下，也达到鉴别目的。有保密和非保密之区别。4、认证码（2）一个鉴别是一个四元组（S,A,K,E）S为源状态有限集合A为鉴别标记有限集合KE鉴别规则集合ek:S->A发送（s,a）5、电子现金一个电子货币系统主要由三个协议组成：提取协议：用户从银行提取货币的协议支付协议：用户向商店付款的协议存款协议：用户向婴孩存款的协议不可追踪性主要由盲数字签名技术保证盲数字签名技术：消息内容对签名者不可见且签名者不能追踪签名。第五章身份认证第1节身份认证概述第2节非密码方式第3节采用对称密码第4节采用非称密码第5节Kerberos第1节身份认证概述1、身份认证概念2、身份认证分类3、身份认证组成4、身份认证要求5、身份认证实现途径6、身份认证机制1、身份认证概念（1）定义：证实客户的真实身份与其所声称的身份是否相符的过程。依据：Somethingtheuserknow(所知）密码、口令等Somethingtheuserpossesses（拥有）身份证、护照、密钥盘等Somethingtheuseris(orHowhebehaves)指纹、笔迹、声音、虹膜、DNA等1、身份认证概念（2）消息认证与身份认证的差别：实体鉴别一般都是实时的，消息鉴别一般不提供时间性。实体鉴别只证实实体的身份，消息鉴别除了消息的合法和完整外，还需要知道消息的含义。数字签字是实现身份识别的有效途径。但在身份识别中消息的语义是基本固定的，一般不是“终生”的，签字是长期有效的。1、身份认证概念（3）身份认证需求：

某一成员（声称者）提交一个主体的身份并声称它是那个主体。身份认证目的：

使别的成员（验证者）获得对声称者所声称的事实的信任2、身份认证分类（1）实体认证可以分为本地和远程两类。实体在本地环境的初始化认证（就是说，作为实体个人，和设备物理接触，不和网络中的其他设备通信）。连接远程设备、实体和环境的实体认证。本地认证：需要用户的进行明确的操作远程认证：通常将本地认证结果传送到远程。（1）安全（2）易用2、身份认证分类（2）实体认证可以是单向的也可以是双向的。

单向认证是指通信双方中只有一方向另一方进行认证。

双向认证是指通信双方相互进行认证。3、身份认证组成（1）ATPB3、身份认证组成（2）一方是出示证件的人，称作示证者P(Prover)，又称声称者(Claimant)。另一方为验证者V（Verifier),检验声称者提出的证件的正确性和合法性，决定是否满足要求。第三方是可信赖者TP（Trustedthirdparty)，参与调解纠纷。第四方是攻击者，可以窃听或伪装声称者骗取验证者的信任。4、身份认证要求（1）验证者正确识别合法申请者的概率极大化。（2）不具有可传递性（Transferability)（3）攻击者伪装成申请者欺骗验证者成功的概率要小到可以忽略的程度（4）计算有效性（5）通信有效性（6）秘密参数能安全存储*（7）交互识别*（8）第三方的实时参与*（9）第三方的可信赖性*（10）可证明的安全性5、身份认证实现途径三种途径之一或他们的组合（1）所知（Knowledge）:密码、口令（2）所有（Possesses):身份证、护照、信用卡、钥匙（3）个人特征：指纹、笔迹、声纹、手型、血型、视网膜、虹膜、DNA以及个人动作方面的一些特征（4）你做的事情（如手写签名）设计依据：安全水平、系统通过率、用户可接受性、成本等6、身份认证机制非密码的鉴别机制基于密码算法的鉴别采用对称密码算法的机制采用公开密码算法的机制采用密码校验函数的机制零知识证明协议第2节非密码方式1、口令机制2、一次性口令机制3、基于地址的机制4、基于个人特征的机制5、个人鉴别令牌1、口令机制（1）口令或通行字机制是最广泛研究和使用的身份鉴别法。通常为长度为5~8的字符串。选择原则：易记、难猜、抗分析能力强。口令系统有许多脆弱点：外部泄露口令猜测线路窃听危及验证者重放1、口令机制（2）对付外部泄露的措施教育、培训；严格组织管理办法和执行手续；口令定期改变；每个口令只与一个人有关；输入的口令不再现在终端上；使用易记的口令，不要写在纸上。1、口令机制（3）对付口令猜测的措施教育、培训；严格限制非法登录的次数；口令验证中插入实时延迟；限制最小长度，至少6~8字节以上防止用户特征相关口令，口令定期改变；及时更改预设口令；使用机器产生的口令。1、口令机制（4）对付线路窃听的措施:使用保护口令机制(如单向函数)

qfididq比较是或不是pid声称者验证者消息1、口令机制（5）对付线路窃听的措施的缺陷：攻击者很容易构造一张q与p对应的表，表中的p尽最大可能包含所期望的值。随机串（Salt）是使这种攻击变得困难的一种办法。在口令后使用随机数。只能保护在多台计算机上使用相同口令或在同一计算机上使用同一口令的不同用户。1、口令机制（6）改进方案：

qid

qid比较f是或不是声称者验证者pid消息salt1、口令机制（7）基本的对付危及验证者的措施：使用单向函数

pididq比较是或不是声称者验证者pid消息fqsalt1、口令机制（8）对付窃听及危及验证者的措施声称者fqidgidr比较是或不是pidr验证者消息saltsalt1、口令机制（9）对付重放攻击的措施

ridnrvgfidqg比较是或不是p声称者验证者消息qidnrvsalt2、一次性口令机制（1）一次性口令机制确保在每次认证中所使用的口令不同，以对付重放攻击。确定口令的方法：

（1）两端共同拥有一串随机口令，在该串的某一位置保持同步；

（2）两端共同使用一个随机序列生成器，在该序列生成器的初态保持同步；

（3）使用时戳，两端维持同步的时钟。2、一次性口令机制（2）一次性口令机制的强度：（1）没有器件而知道口令p，不能导致一个简单的攻击；（2）拥有器件而不知道口令p，不能导致一个简单的攻击；（3）除非攻击者也能进行时间同步，否则重放不是一个简单的攻击；（4）知道q（例如通过浏览验证者系统文件）而不知道设备安全值dsv，不能导致一个简单的攻击。2、一次性口令机制（3）SKEY验证程序其安全性依赖于一个单向函数。为建立这样的系统A输入一随机数R，计算机计算f（R）,f（f（R）），f（f（f（R））），…,共计算100次，计算得到的数为x1,x2,x3,…x100，A打印出这样的表，随身携带，计算机将x101存在A的名字旁边。第一次登录，键入x100，以后依次键入xi，计算机计算f(xi)，并将它与xi+1比较。3、基于地址的机制基于地址的机制假定声称者的可鉴别性是以呼叫的源地址为基础的。在大多数的数据网络中，呼叫地址的辨别都是可行的。在不能可靠地辨别地址时，可以用一个呼叫—回应设备来获得呼叫的源地址。一个验证者对每一个主体都保持一份合法呼叫地址的文件。这种机制最大的困难是在一个临时的环境里维持一个连续的主机和网络地址的联系。地址的转换频繁、呼叫—转发或重定向引起了一些主要问题。基于地址的机制自身不能被作为鉴别机制，但可作为其它机制的有用补充。4、基于个人特征的机制生物特征识别技术主要有：

1）指纹识别；

2）声音识别；

3）手迹识别；

4）视网膜扫描；

5）手形。

这些技术的使用对网络安全协议不会有重要的影响。5、个人鉴别令牌物理特性用于支持认证“某人拥有某东西”，但通常要与一个口令或PIN结合使用。这种器件应具有存储功能，通常有键盘、显示器等界面部件，更复杂的能支持一次性口令，甚至可嵌入处理器和自己的网络通信设备（如智能卡）。这种器件通常还利用其它密码鉴别方法。第3节采用对称密码1、对称密码认证机制2、无可信第三方参与的单向认证3、无可信第三方参与的双向认证4、涉及可信第三方的双向认证1、对称密码认证机制（1）基于对称密码算法的鉴别依靠一定协议下的数据加密处理。通信双方共享一个密钥（通常存储在硬件中），该密钥在询问—应答协议中处理或加密信息交换。1、对称密码认证机制（2）A:实体A的可区分标识符/B:实体B的可区分标识符TP:可信第三方的可区分标识符KXY:实体X和实体Y之间共享的秘密密钥,只用于对称密码技术SX:与实体X有关的私有签名密钥,只用于非对称加密技术NX:由实体X给出的顺序号/RX:由实体X给出的随机数TX:由实体X原发的时变参数,它或者是时间标记TX,或者是顺序号RXNX:Y||Z:数据项Y和Z以Y在前Z在后顺序拼接的结果eK(Z):用密钥K的对称加密算法对数据Z加密的结果fK(Z):使用以密钥K和任意数据串Z作为输入的密码校验函数f所产生的密码校验值CertX:由可信第三方签发给实体X的证书TokenXY:实体X发给Y的权标,包含使用密码技术变换的信息TVP:时变参数/SSX(Z):用私有签名密钥SX对数据Z进行私有签名变换所产生的签名.2、无可信第三方参与的单向认证（1）

一次传送鉴别AB（1）TokenAB(2)（1）TokenAB=Text2||eKAB(TA||B||Text1)NA

（2）B解密，验证B、时间标记或顺序号的正确性2、无可信第三方参与的单向认证（2）

两次传送鉴别AB（1）RB||Text1(3)（2）TokenAB=Text3||eKAB(RB||B||Text2)（3）B解密，验证B、RB的正确性（2）TokenAB3、无可信第三方参与的双向认证（1）

两次传送鉴别AB（1）TokenAB(2)（4）B解密，验证B、RB的正确性（3）TokenBA（1）TokenAB=Text2||eKAB(TA||B||Text1)NA

（3）TokenBA=Text4||eKAB(TB||A||Text3)NB

(4)3、无可信第三方参与的双向认证（2）三次传送鉴别AB（1）RB||Text1(3)（3）B解密，验证B、RB的正确性（2）TokenAB（4）TokenBA(5)（5）A解密，验证B、RB、

RA的正确性4、涉及可信第三方的双向认证（1）四次传送鉴别AB（6）TokenBATP（4）TokenAB（2）TokenTA（1）TVPA||B||Text1(3)(7)(5)（2）TokenTA=Text4||eKAT(TVPA||KAB||B||Text3)||eKBT(TTP||KAB||A||Text2)NTP

（4）TokenAB=Text6||eKBT(TTP||KAB||A||Text2)eKAB(TA||B||Text5)NTPNA（6）TokenBA=Text8||eKAB(TB||A||Text7)NB4、涉及可信第三方的双向认证（2）五次传送鉴别AB（7）TokenBATP（5）TokenAB（3）TokenTA（2）RA||RB||B||Text2(4)(8)(6)（3）TokenTA=Text5||eKAT(RA||KAB||B||Text4)||eKBT(RB

||KAB||A||Text3)（5）TokenAB=Text7||eKBT(RB

||KAB||A||Text3)||eKAB(RA||RB||Text6)（7）TokenBA=Text9||eKAB(RB||RA||Text8)(1)RB||Text1第4节采用非称密码1、采用公开密码算法的机制2、采用公开密码算法的单向鉴别3、采用公开密码算法的双向鉴别1、采用公开密码算法的机制在该机制中，声称者要通过证明他知道某秘密签名密钥来证实身份。由使用他的秘密签名密钥签署某一消息来完成。消息可包含一个非重复值以抵抗重放攻击。要求验证者有声称者的有效公钥,声称者有仅由自己知道和使用的秘密签名私钥。单向认证：仅对实体中的一个进行认证。双向认证：两个通信实体相互进行认证。2、采用公开密码算法的单向鉴别（1）一次传递机制AB（1）CertA||TokenAB（1）TokenAB=TA||B||Text2||SSA(TA||B||Text1)NANA

(2)(2)B验证A的公开密钥，验证B的标识符号2、采用公开密码算法的单向鉴别（2）两次传递机制AB（1）RB||Text1(3)（3）B验证A的公开密钥，验证B的标识符号（1）CertA||TokenAB（2）TokenAB=RA||RB||B||Text3||SSA(RA||RB||B||Text2)3、采用公开密码算法的双向鉴别（1）AB(2)（2）B验证A的公开密钥，验证B的标识符号（3）CertB||TokenBA两次传递机制（1）CertA||TokenAB（1）TokenAB=TA||B||Text2||SSA(TA||B||Text1)NANA

(4)（3）TokenBA=TB||A||Text4||SSB(TB||A||Text3)NBNB

（4）A验证B的公开密钥，验证A的标识符号3、采用公开密码算法的双向鉴别（2）

三次传递机制AB（1）RB||Text1(3)（3）B验证A的公开密钥，验证B的标识符号（2）CertA||TokenAB（2）TokenAB=RA||RB||B||Text3||SSA(RA||RB||B||Text2)（4）CertB||TokenBA（4）TokenBA=RB||RA||A||Text5||SSB(RB||RA||A||Text4)（5）A验证B的公开密钥，验证A的标识符号(5)3、采用公开密码算法的双向鉴别（3）

两次传递并行机制AB（1）CertA||RA||Text1(2)(4)（4）A和B验证各自的随机数（1）CertB||RB||Text2（1）TokenAB=RA||RB||B||Text4||SSA(RA||RB||B||Text3)（3）TokenBA（1）TokenBA=RB||RA||A||Text6||SSB(RB||RA||A||Text5)（2）A和B确保他们拥有另一实体的公开密钥(2)(4)（3）TokenAB第5节Kerberos1、概述2、一般意义的认证对话3、SummaryofKerberosVersion4MessageExchanges4、Kerberos处理过程和模型5、功能特性6、局限性分析1、概述（1）80年代中期是MIT的Athena工程的产物版本前三个版本仅用于内部第四版得到了广泛的应用第五版于1989年开始设计RFC1510,1993年确定标准KerberosKerberos历史1、概述（2）在一个分布式的client/server体系机构中采用一个或多个Kerberos服务器提供一个鉴别服务。1、概述（3）安全。网络窃听者不能获得必要信息以假冒其它用户；Kerberos应足够强壮以至于潜在的敌人无法找到它的弱点连接。可靠。Kerberos应高度可靠，并且应借助于一个分布式服务器体系结构，使得一个系统能够备份另一个系统。透明。理想情况下，用户除了要求输入口令以外应感觉不到认证的发生。可伸缩。系统应能够支持大数量的客户和服务器。2、一般意义的认证对话（1）一个简单的认证对话2、一般意义的认证对话（2）更安全的认证对话.两个主要问题.希望用户输入口令的次数最少.口令以明文传送会被窃听.解决办法.ticketreusable.Ticket-grantingserver2、一般意义的认证对话（3）更安全的认证对话3、SummaryofKerberosVersion4MessageExchanges（1）3、SummaryofKerberosVersion4MessageExchanges（2）RationalefortheElementsoftheKerberosVersion4Protocol(a)AuthenticationServiceExchangeMessage(1) Client请求ticket-grantingticket IDC:告诉AS本Client端的用户标志；

Idtgs:告诉AS用户请求访问TGS; TS1：让AS验证Client端的时钟是与AS的时钟同步的； Message(2) AS返回ticket-grantingticket

Ekc:基于用户口令的加密，使得AS与Client可以验证口令，并保护Message(2).

Kc,tgs：sessionkey的副本，由AS产生。Client可用于在TGS与Client之间信息的安全交换，而不必共用一个永久的key.

Idtgs:确认这个ticket是为TGS制作的。

TS2：告诉Client该ticket的有效期。

Lifetime2:告诉Client该ticket的有效期。

Tickettgs:Client用来访问TGS的ticket。3、SummaryofKerberosVersion4MessageExchanges（3）Message(3) Client请求service-grantingticket

IDv:告诉TGS用户要访问服务器V；

Tickettgs:向TGS证实该用户已被AS认证；

Authenticatorc：由Client生成，用于验证Client；Me