六讲散列函数认证协议身份鉴别

身份鉴别的一般方法2014年10月一、身份识别方案与实体认证身份识别的基本方法你是什么？指纹、视网膜你有什么？身份证、护照驾驶证、USBKey你知道什么？口令、PIN（个人身份识别号）

身份识别方案的安全目的即使Alice向Bob证实自己身份时的信息被窃听者得到，窃听者以后也无法假冒Alice进一步，甚至要求要防范Bob通过与Alice交互后，可能来假冒Alice最终，要设计“零知识”方案，使得Alice能通过电子方式证实她的身份，而没有“泄漏”关于她身份识别信息（或部分信息）的知识。为什么引入“随机挑战”？每次传输的信息都不发生改变，可以被“重用”例如：UID+PASS网络截获UID+HASH（PASS）网络截获，攻击者并不需要得到PASS，重用HASH（PASS）即可如果Bob仅发起挑战，不应答挑战（例如典型的C/S模式，如果信任S一端），那么该协议是安全的。y由Bob以前产生（如果Bob不应答，这个可能就该排除）y由Alice以前产生y由攻击者Oscar产生y由Alice当前产生如果Bob也应答，那么该协议不能抵抗“并行会话攻击”Oscar假冒Alice为什么引入“身份标识”？Alice和Bob均可挑战、应答，仍能抵抗“并行会话攻击”y由Bob以前产生[注意：Bob仅产生MACK(ID(Bob)||r)]y由Alice以前产生y由攻击者Oscar产生y由Alice当前产生主动攻击和被动攻击Oscar是主动的，如果一下条件之一成立：1.Oscar产生了一个新消息，并放入信道。2.Oscar改变信道中的消息。3.Oscar转移信道中的消息，送给其他人，而不是指定的接受者。等价地，若没有主动攻击则Alice和Bob都在与意定的实体通信。Alice发送的每个消息都由Bob收到，反之亦然。没有乱序的消息被收到诚实的参与方如果会话中的参与方（例如Alice或Bob）严格按照方案流程执行，进行正确的计算，不向敌手(Oscar)泄漏任何信息，则被称为是诚实的参与方。如果参与方不诚实，那么方案就完全被攻破了，因此通常假定参与方是诚实的。中间入侵攻击者，此例中并非主动攻击交互认证（双向认证）安全交互认证的目标：假定Alice和Bob是会话中的两个参与方，他们都是诚实的。也假定敌手是被动的，那么Alice和Bob都将“接受”。如果敌手是主动的，则会话完成后，诚实的参与方都不会“接收”。敌手的目标：进行主动攻击后，使得诚实的参与方“接受”。主动攻击的表现形式：敌手假冒Alice，希望让Bob接受。敌手假冒Bob，希望让Alice接受。敌手在Alice和Bob参与的会话中是主动的，希望让Alice和Bob都接受。Osca先伪装成Bob，然后伪装成Alice体会：为什么有的是两个随机数，

有的是一个？公钥环境下的挑战——响应方案三、密钥分配和密钥协商讨论的问题：在一个包括n个用户的不安全网络中，如何建立秘密密钥？几个主要的场景：密钥预分配方案（KPS）：TA以一种安全的方式为网络中的每个用户“提前”分发密钥信息。网络中的每一对用户都能够根据他们掌握的密钥信息来确定一个密钥，该密钥只有他们二人知道。会话密钥分配方案（SKDS）：当网络用户请求会话密钥时，一个在线的TA选择会话密钥并通过一个交互协议分发给他们（例如TA可能利用事先分发的秘密密钥进行加密）。密钥协商方案（KAS）：网络用户通过一个交互协议来建立会话密钥。可以基于对称密码或者公钥密码，通常不需要在线的TA（但TA可能事前参与预分配一些密钥）。密钥分配与密钥协商的区别？密钥分配机制中，一方（通常是TA）选择一个或者多个密钥并以加密的形式传送给另外的一方或者多方。密钥协商协议中，两方（或者多方）通过在公共网络上通信共同建立一个密钥，密钥值是由双方共同提供的输入和两个用户掌握的秘密信息的函数来确定的。与会话密钥分配方案不同的是，该密钥不从一方“传送”给另一方。长期密钥LL和会话密钥的区别？长期密钥LL生命周期长，重复使用预先计算并安全存储的，或者说可以根据需要由安全存储的秘密信息非交互地计算出来。可能的情况：对称体制的秘密密钥，由一对用户共同拥有或者由一个用户TA共有；非对称体制中的个人的密钥对。长期密钥LL和会话密钥的区别？会话密钥KS生命周期短，仅在本次会话中有效会话密钥通常是对称体制的密钥，用于对称加密（传输加密）或者MAC计算长期密钥LL通常用于协议中来传输加密的会话密钥，例如在SKDS中可以用作“密钥加密密钥”；长期密钥LL还可用于认证会话中发送的数据包（例如通过消息认证码或者签名方案等）综述密钥预分配方案KPS为实现分发秘密的长期密钥LL提供了方法。此后，每对用户根据需要使用SKDS或者KAS获得会话密钥KS，利用KS进行安全通信DIFFIE-HELLMAN密钥预分配DIFFIE-HELLMAN密钥预分配DIFFIE-HELLMAN密钥预分配无条件安全无条件安全无条件安全无条件安全的密钥预分配手工传送Blom密钥预分配方案抵抗单个用户W的攻击是无条件安全的W获取aW,bW,在此二值不变的情况下，K*（U，V的共享密钥）还是可以取任意值。两个用户合谋则可被攻破四个方程，三个未知数K个用户无条件安全，K+1个用户可攻破会话密钥分配SKDSNS方案1978Kerberos1980~1990Bellare-Rogaway1995已知会话攻击会话密钥协商Diffie-HellmanSTSMTIDH信息流中间入侵攻击认证密钥协商方案在密钥建立的同时，要认证参与者的身份，即满足：方案是一个安全的交互识别方案，即在主动敌手实施任何攻击流程后，没有一个诚实的参与者会“接收”；如果不存在主动敌手，则双方参与者计算出相同的新会话密钥K。除此之外，一个被动敌手将计算不出关于K的任何信息。STS信息流

STS可抵抗中间入侵攻击密钥协商方案的三个层次的保证机制隐式密钥认证如果U可以被确保除了V之外，没有人能计算出K（特别地，敌手不能计算K），则我们说该方案提供了隐式密钥认证。Bellare-Rogaway隐式密钥确认如果U可以被确保V可以计算出K（假设V是按照规定执行了该方案），并且除了V之外，没有人能计算出K，则我们说该方案提供了隐式密钥确认。STS显式密钥确认如果U可以被确保V已经计算出K，并且除了V之外，没有人能计算出K，则我们说该方案提供了显式密钥确认。Kerberos,Needham-Schroeder已知会话攻击需要考虑不同的会话之间可能造成的影响。在这种攻击模型中Oscar被允许要求其他会话S1，S2,…,St的会话密钥展示给他,Oscar的目标是得出其他会话S的密钥（Oscar不是会话的参与者）。Oscar不需要S1，SS2,…,St计算完后才攻击S，特别地，允许多个并行会话。STS对已知会话密钥攻击是安全的Oscar在用户U与V之间观察到会话S的信息bS,U和bS,V，但是不能获得KS的某些信息。CDH难解STS是一个安全识别协议，因此Oscar不可能在他不参与的其他任意会话S’中活动，向一个“不接受”的用户请求密钥。Oscar不遵从STS的方案来参加会话S’，假设其同伴为W，Oscar在不知道as’,Oscar的情况下获取列表T=S’中获取T与已知会话攻击的相同点Oscar不知道as’,Oscar，当然他也不知道as’,W

,他知道随机的bs’,Oscar和bs’,W

Oscar不能计算K，但可被告知K由此，我们可以认为会话S’和已知会话攻击对于获取K具有相同的作用STS对已知会话密钥攻击是安全的（续）但是，Oscar不需要参加任何会话，通过计算可以获得类似三元组TsimSTS对已知会话密钥攻击是安全的（续二）T与Tsim是不可区分的，给定一个（b1,b2,b3)如何区分他到底是T还是Tsimb1是同样选取的b2都是均匀随机的b3的值是相同的因此我们认为，T与Tsim对于对于计算K的部分信息，在作