1、南京邮电大学南京邮电大学 1南京邮电大学南京邮电大学 2南京邮电大学南京邮电大学 3 窃听窃听了解通信的内容了解通信的内容了解在后续的通信活动中冒充某一方所需的信息了解在后续的通信活动中冒充某一方所需的信息了解在后续的通信活动中向第三方冒充所需的信息了解在后续的通信活动中向第三方冒充所需的信息了解进行脱机的口令分析所需的信息了解进行脱机的口令分析所需的信息 冒充:冒充:端系统冒充端系统冒充/中继系统冒充(拦截)中继系统冒充(拦截)使对方相信他的冒充身份,并获得利益使对方相信他的冒充身份,并获得利益偷换通信内容(如修改报文内容、改变报文次序、重偷换通信内容(如修改报文内容、改变报文次序、重复报文
2、内容、或改变报文方向等)而不让双方察觉复报文内容、或改变报文方向等)而不让双方察觉南京邮电大学南京邮电大学 4 证实传输信息的真实性证实传输信息的真实性 证实存储数据的真实性证实存储数据的真实性 证实通信对方的真实性证实通信对方的真实性 证实通信动作的真实性证实通信动作的真实性 证实信息的时效性证实信息的时效性为通信行为的审计与仲裁提出依据为通信行为的审计与仲裁提出依据南京邮电大学南京邮电大学 5 保证所收到信息的真实性的过程保证所收到信息的真实性的过程 要求要求报文是由确认的发送方产生的报文是由确认的发送方产生的报文内容没有被修改过报文内容没有被修改过报文是按与发送时的相同顺序收到的报文是按
3、与发送时的相同顺序收到的南京邮电大学南京邮电大学 6 鉴别码鉴别码MAC 通过加密算法产生通过加密算法产生Ek(M)需要使用密钥,因此与需要使用密钥,因此与MIC不同不同 发送与接收双方需要使用同样的过程发送与接收双方需要使用同样的过程 相同的对称密钥相同的对称密钥 对方的公钥对方的公钥南京邮电大学南京邮电大学 7 ANSI标准的标准的MAC(X9.17)CBC方式的关联方法方式的关联方法 O1=Ek(X1),O2=Ek(X2 O1),O3=Ek(X3 O2),ON=Ek(XN ON-1)取取ON或或ON的前的前M比特作为比特作为M的的DAC DAC可有效地防止冒充攻击可有效地防止冒充攻击南京
4、邮电大学南京邮电大学 8 一种利用对称密钥一种利用对称密钥K和单向函数和单向函数H生成信息鉴生成信息鉴别码的方法别码的方法 可直接使用现有的单向函数可直接使用现有的单向函数 定义两个固定的填充串定义两个固定的填充串 ipad=0 x36重复重复B次次 opad=0 x5C重复重复B次次 B为信息的字节长度,为信息的字节长度,K是是HMAC使用的密钥,使用的密钥,而而K是经填充之后的密钥。是经填充之后的密钥。HMAC的计算公式为的计算公式为H(K opad|H(K ipad|M)南京邮电大学南京邮电大学 9 密钥密钥 共享的对称密钥共享的对称密钥 对方的公钥对方的公钥存在密钥管理问题存在密钥管理
5、问题 通行字通行字 事先预定事先预定 要考虑时效性和顺序性要考虑时效性和顺序性管理简单但安全性差管理简单但安全性差 网络地址网络地址 信任地址信任地址 信任地址和用户名信任地址和用户名存在欺骗问题存在欺骗问题南京邮电大学南京邮电大学 10 将时间值作为加密的将时间值作为加密的IVIV 对报文进行编号对报文进行编号 使用预先约定的一次性通行字表使用预先约定的一次性通行字表 先向接收方要一个标识,然后用这个标先向接收方要一个标识,然后用这个标识发一个报文识发一个报文 利用底层协议的顺序控制能力利用底层协议的顺序控制能力南京邮电大学南京邮电大学 11 识别识别明确并区分访问者的身份明确并区分访问者的
6、身份 验证验证对访问者声称的身份进行确认对访问者声称的身份进行确认 认证的基本方法认证的基本方法验证他知道什么,如口令验证他知道什么,如口令验证他拥有什么,如通行证或智能卡验证他拥有什么,如通行证或智能卡验证他的生物特征,如指纹或声音验证他的生物特征,如指纹或声音验证他的下意识动作的结果,如签名验证他的下意识动作的结果,如签名南京邮电大学南京邮电大学 12根据用户的知识来进行身份鉴别根据用户的知识来进行身份鉴别 口令攻击口令攻击联机尝试联机尝试脱机的字典攻击脱机的字典攻击 口令的保存口令的保存分散存放分散存放集中存放集中存放变形存放:变形存放:加密、加盐、散列加密、加盐、散列南京邮电大学南京邮
7、电大学 13南京邮电大学南京邮电大学 14 鉴别对方的真实性鉴别对方的真实性 A向向B表明身份表明身份(通常(通常B是是server,A是是client)如果系统如果系统A是安全的,则攻击者不能冒充是安全的,则攻击者不能冒充A 最简单的方式是最简单的方式是A向向B出示口令出示口令 重点防范重点防范“回放回放”攻击(攻击(replay)南京邮电大学南京邮电大学 15 A和和B双方共享密钥,通过加双方共享密钥,通过加/解密来确认解密来确认 随机数据随机数据R每次不同,因此不能回放每次不同,因此不能回放 A和和B双方安全性相关,一方被攻破,另一方也双方安全性相关,一方被攻破,另一方也不安全不安全 安
8、全改进安全改进 B发送发送Ek(R),由,由A解密,具有双向鉴别的效果解密,具有双向鉴别的效果 B发送发送Ek(时标时标),由,由A判断是否接受,判断是否接受,南京邮电大学南京邮电大学 16 Im A B R方方 选择一个随机数选择一个随机数R 用用A A的隐蔽密钥加密的隐蔽密钥加密 用用A A的公开密钥解密的公开密钥解密A方方 A和和B的安全无关的安全无关 可以哄骗可以哄骗A解密,解密,选择选择E EA A(X)(X)作为作为R R送给送给A A南京邮电大学南京邮电大学 17 A A在在B处预先存放处预先存放 A的用户名,整数的用户名,整数n,和,和hashn(password)当当A需要向
9、需要向B作身份认证时,作身份认证时,B返回返回n的当前值的当前值 A计算计算 x=hashn-1(password)并送给并送给B B将将x再散列一次,并与当前存储的散列值比较再散列一次,并与当前存储的散列值比较 若鉴别成功,则将若鉴别成功,则将x当作当前的散列值,且当作当前的散列值,且n的值的值减减1 若若n递减为递减为1,则重新设置口令,则重新设置口令 S/keyOTP(RFC 2289、2243、2444)南京邮电大学南京邮电大学 18 小数攻击小数攻击若攻击者能拦截若攻击者能拦截B B的信息,则他可向的信息,则他可向A A返回返回一个很小的一个很小的m值,这样就获得了从值,这样就获得了
10、从hashm(P)到到 hashn(P)的值,从而在一段时间内可冒充的值,从而在一段时间内可冒充A。竞争条件竞争条件攻击者发出认证请求后,等待并观察下一攻击者发出认证请求后,等待并观察下一个合法的认证请求,个合法的认证请求,利用利用A的返回值构造自的返回值构造自己的返回值。己的返回值。南京邮电大学南京邮电大学 19 对称密钥对称密钥 A和和B相互提出一个相互提出一个challenge 存在桥接攻击存在桥接攻击 非对称密钥非对称密钥 相互使用对方的公钥相互使用对方的公钥 公钥的真实性问题公钥的真实性问题 时标时标 数据的时效性问题数据的时效性问题南京邮电大学南京邮电大学 20 承担一个承担一个S
11、ite的密钥集中管理工作的密钥集中管理工作 减轻端系统的密钥保管负担减轻端系统的密钥保管负担 有利于用户的移动有利于用户的移动 容易构成安全的瓶颈容易构成安全的瓶颈 Single Sign-On的概念的概念 请求与请求与B B 通信通信A KA Ka(K(Kabab,B),KB),Kb(K(Kabab,A),A)KDC KDC B B K Kb(K(Kabab,A)A)南京邮电大学南京邮电大学 21AB KDC请求与请求与B通信,通信,N1Ka(N1,B,Kab),Kb(Kab,A)Kb(Kab,A),Kab(N2)Kab(N2-1,N3)Kab(N3-1)M1M2M3M4M5M3至至M5存在
12、回放攻击的可能存在回放攻击的可能南京邮电大学南京邮电大学 22AB KDC请求与请求与B通信通信Ka(N1,B,Kab),Kb(Kab,A,Nb)Kb(Kab,A,Nb),Kab(N2)Kab(N2-1,N3)Kab(N3-1)M1M2M3M4M5Kb(Nb)请求与请求与B通信通信,N1,Kb(Nb)M6M7南京邮电大学南京邮电大学 23 RFC2945-Tomas Wu,Stanford Univ.一种独立于应用系统的双向鉴别与会话密钥建一种独立于应用系统的双向鉴别与会话密钥建立机制立机制 基于用户标识和用户口令、离散对数系统和基于用户标识和用户口令、离散对数系统和Diffie-Hellma
13、n交换机制交换机制 不需使用可信的不需使用可信的KDC或或PKI 主机端保存用户口令的密文,客户端不需要保主机端保存用户口令的密文,客户端不需要保存用户口令。存用户口令。南京邮电大学南京邮电大学 24 SRP是面向比特计算的,而是面向比特计算的,而TCP/IP协议协议套是面向字节的,因此需要定义套是面向字节的,因此需要定义n字节长字节长的字符串的字符串S与整型数与整型数i之间的映射。之间的映射。i=Sn-1+256*Sn-2+2562*Sn-3+.+256(n-1)*S0 Sx是是S的第的第x个字节,且最高位在左边个字节,且最高位在左边 当进行逆转换时,当进行逆转换时,S0必须是非必须是非0,
14、所以填,所以填充是一个另外的独立过程,在转换时不考虑。充是一个另外的独立过程,在转换时不考虑。南京邮电大学南京邮电大学 25 主机以三元组的形式存放用户的口令主机以三元组的形式存放用户的口令,=random()x=SHA(|SHA(|:|)=v=gx mod N南京邮电大学南京邮电大学 26客户端客户端主机端主机端U=s=a=random()A=ga mod Nv=b=random()B=(v+gb)mod N如果如果B mod N0,客户端要立即终止认证过程;同样如果主,客户端要立即终止认证过程;同样如果主机发现机发现A mod N0,也要立即终止认证过程。,也要立即终止认证过程。南京邮电大
15、学南京邮电大学 27 对于对于p=x=SHA(s|SHA(U|:|p)v=gx mod N 客户端计算客户端计算S=(B-gx)(a+u*x)mod N;主;主机端计算机端计算S=(A*vu)b mod N。双方建立会话密钥双方建立会话密钥 K=SHA_Interleave(S)南京邮电大学南京邮电大学 28 首先去掉输入值的所有先导零,如果剩余的串长是奇数,则首先去掉输入值的所有先导零,如果剩余的串长是奇数,则再去掉第一个字节,得到字符串再去掉第一个字节,得到字符串T。将将T的奇数字节并置成的奇数字节并置成E串,将串,将T的偶数字节并置成的偶数字节并置成F串串E=T0|T2|T4|F=T1|
16、T3|T5|对对E和和F作正常的作正常的SHA1散列操作散列操作G=SHA(E)H=SHA(F)将将G和和H交错起来,便得到交错起来,便得到40字节(字节(320比特)长的最终结果比特)长的最终结果 result=G0|H0|G1|H1|.|G19|H19南京邮电大学南京邮电大学 29客户端客户端主机端主机端 M=H(H(N)H(g)|H(U)|s|A|B|K)H(A|M|K)主机方在作出响应之前要使用自己的主机方在作出响应之前要使用自己的 K来计算来计算 M,如果与客户端发来的不,如果与客户端发来的不匹配,则要终止认证过程,并向对方报错;如果匹配正确,则按要求返回匹配,则要终止认证过程,并向
17、对方报错;如果匹配正确,则按要求返回应答。客户端也要自己的应答。客户端也要自己的 K来验证主机方发来的来验证主机方发来的 M的正确性,出现错误则的正确性,出现错误则要向主机报告。要向主机报告。南京邮电大学南京邮电大学 30客户端客户端主机端主机端 M=H(H(N)H(g)|H(U)|s|A|B|K)H(A|M|K)U,As,B对源点的鉴别对源点的鉴别 非对称密钥方法非对称密钥方法 效率低效率低 基于公钥的逆向基于公钥的逆向CBC方法方法发送者将后一个报文的散列值用私钥加密作为前一个报文发送者将后一个报文的散列值用私钥加密作为前一个报文的摘录,依此类推形成逆向的摘录链的摘录,依此类推形成逆向的摘
18、录链非流式方法,效率高,但对网络可靠性要求也高非流式方法,效率高,但对网络可靠性要求也高 基于对源点的共享密钥验证方法基于对源点的共享密钥验证方法源点发送的每个报文带源点发送的每个报文带n n个不同密钥的摘录,接收者拥有个不同密钥的摘录,接收者拥有其中其中k k个密钥(个密钥(knkn),并根据自己所掌握的密钥验证报文),并根据自己所掌握的密钥验证报文的真实性的真实性如果部分接收者能够拥有全部密钥,则他们可能联合作弊如果部分接收者能够拥有全部密钥,则他们可能联合作弊南京邮电大学南京邮电大学 32南京邮电大学南京邮电大学 33 面向会话的分布式鉴别与安全服务平台面向会话的分布式鉴别与安全服务平台
19、可以在不安全的网络环境中为用户对远程可以在不安全的网络环境中为用户对远程服务器的访问提供自动的鉴别、数据安全性服务器的访问提供自动的鉴别、数据安全性和完整性服务,以及密钥管理服务和完整性服务,以及密钥管理服务 基于基于KDC和和Needham-Schroeder方法方法 支持用户的漫游支持用户的漫游 静态的主密钥与动态的会话密钥静态的主密钥与动态的会话密钥 V4和和V5南京邮电大学南京邮电大学 34 主体主体 principal 系统的用户系统的用户/应用进程应用进程 客体客体 client 网络中的主机,主体的宿主系统网络中的主机,主体的宿主系统 鉴别服务器鉴别服务器 AS 提供提供KDC服
20、务的系统服务的系统 会话会话 session 用户登录进网络(用户登录进网络(login,开始使用,开始使用KERBEROS服务)服务)到退出网络(到退出网络(logout)的这段时间)的这段时间 TGT ticket-granting ticket会话密钥的申请依据会话密钥的申请依据南京邮电大学南京邮电大学 35 用户为了访问网络资源,必须首先从用户为了访问网络资源,必须首先从KDC处获得处获得TGT和会话密钥和会话密钥Sa 口令的传送通常用散列函数保护口令的传送通常用散列函数保护(Ka)用户名,口令用户名,口令 AS_REQAS_REQ A A 请求请求TGTTGT 客户客户 KDCKDC
21、 AS_REPAS_REP Ka(Sa,TGT)令令TGT=KKDC(A,Sa)南京邮电大学南京邮电大学 36 每当用户要发起远程访问时,他必须首先向每当用户要发起远程访问时,他必须首先向KDC申请申请远程访问所用的会话密钥远程访问所用的会话密钥 使用时标作为使用时标作为NONCErlogin B TGS_REQ A 客户客户 KDCTGS_REP A要与要与B通信通信TGT,Sa(时标时标)Sa(B,Kab,Kb(A,Kab)南京邮电大学南京邮电大学 37 用户在开始正式的数据交换之前要进行相互的用户在开始正式的数据交换之前要进行相互的鉴别,同时发起方要将鉴别,同时发起方要将KDC产生的通知
22、单转发产生的通知单转发给响应方给响应方ABAP_REQ Kb(A,Kab),Kab(时标时标)AP_REP Kab(时标时标+1)南京邮电大学南京邮电大学 38TGS_REQ(AX,yY)KDC XATGS_REQ(AX,BY)BKDC YAP_REQAP_REPKay(Y,Kab,Kb(A,Kab)Sa(Y,Kay,Ky(A,Kay)南京邮电大学南京邮电大学 39 使用使用CBC加密方式的一个变形加密方式的一个变形PCBC(Plaintext Cipher Block Chaining)来)来实现数据的加密和完整性维护实现数据的加密和完整性维护 Cn+1=E(mn+1 cn mn)Mn=D(
23、Cn)Cn-1 Mn-1 当当ci被修改后,从被修改后,从mi到最后的所有报文均到最后的所有报文均受到影响受到影响检查明文之后并置的常量即可检查明文之后并置的常量即可不能发现错序问题不能发现错序问题南京邮电大学南京邮电大学 40 有限的代理有限的代理 Proxy ticket A将所有远程访问所需的通知书申请好,并送给将所有远程访问所需的通知书申请好,并送给B,由由B去具体代替去具体代替A执行远程访问;这时执行远程访问;这时A必须拥有一必须拥有一种可代理的种可代理的TGT,指明谁可以使用它,指明谁可以使用它 授权的委托授权的委托 Forwardable ticket A申请一个特殊的申请一个特
24、殊的TGT给给B,B可用它来代表可用它来代表A向向KDC申请访问资源所需的通知书。这种申请访问资源所需的通知书。这种TGT称为可称为可转让的,它允许改变其中的网络地址转让的,它允许改变其中的网络地址 可更新的通知书可更新的通知书 renewable ticket 要求用户定期向要求用户定期向KDC更新此通知书更新此通知书 事前的通知书事前的通知书 postdated ticket设置的起始时间不是现在设置的起始时间不是现在南京邮电大学南京邮电大学 41 V4采用直接信任法采用直接信任法 用户必须与被访问对象所在域的用户必须与被访问对象所在域的KDC进行进行鉴别交互鉴别交互 V5采用可靠路径法采
25、用可靠路径法 KDC之间允许存在信任关系,但必须记住之间允许存在信任关系,但必须记住在鉴别过程中所涉及的在鉴别过程中所涉及的KDC,以检查是否,以检查是否满足信任关系满足信任关系 双双TGT问题问题南京邮电大学南京邮电大学 42南京邮电大学南京邮电大学 43 一种基于鉴别的信息服务一种基于鉴别的信息服务用户用户A希望别人能够承认他的一段信息的内希望别人能够承认他的一段信息的内容(的真实性),但又不想立即就将内容公容(的真实性),但又不想立即就将内容公开出来进行证实,要直到未来的某个时刻。开出来进行证实,要直到未来的某个时刻。基本形式基本形式 A提出一个提出一个B未知的信息未知的信息 B希望希望
26、A提出的这个信息到它被公布之前不提出的这个信息到它被公布之前不能再被改变能再被改变 A和和B都不希望最后的判定要借助于第三方都不希望最后的判定要借助于第三方南京邮电大学南京邮电大学 44 A产生一个随机数产生一个随机数X,计算,计算 Y=H(X)并送给并送给B B猜测猜测X的奇偶性,并将结果告诉的奇偶性,并将结果告诉A A将将X送给送给B,双方可以确认结果,双方可以确认结果 A改变改变B的猜测怎么办?的猜测怎么办?基于基于RSA的方法的方法 双方约定猜奇数还是偶数双方约定猜奇数还是偶数 A产生一个奇数产生一个奇数m1和一个偶数和一个偶数m2,计算,计算EA(m1),EA(m2)并送给并送给B
27、B选择选择M=EA(m1),或,或M=EA(m2),计算,计算EB(EA(M)并送给并送给A A计算计算DA(EB(EA(M)=EB(M),并送给,并送给B B计算计算DB(EB(M)=M,并送给,并送给A南京邮电大学南京邮电大学 45 用于区分两个通信活动的先后次序,和确定某个用于区分两个通信活动的先后次序,和确定某个通信活动的发生时间通信活动的发生时间 基于中立的时标服务器基于中立的时标服务器T,保存用户,保存用户A的的数据加时数据加时标的散列值标的散列值 时标记录的保存应与产生者分离时标记录的保存应与产生者分离 链接协议链接协议 防止防止A与与T联合作弊来欺骗用户联合作弊来欺骗用户B T
28、n=Sk(n,A,Hn,tn,In-1,Hn-1,Tn-1,Ln)Ln=H(In-1,Hn-1,Tn-1,Ln-1)南京邮电大学南京邮电大学 46 电子货币电子货币 网络选举网络选举 PEM南京邮电大学南京邮电大学 47南京邮电大学南京邮电大学 48 Internet上一个著名的共享加密软件,可独立提供上一个著名的共享加密软件,可独立提供数据加密、数字签名、密钥管理等功能数据加密、数字签名、密钥管理等功能 PGP是在九十年代初,由美国软件工程师是在九十年代初,由美国软件工程师Philip R.Zimmermann开发的,并通过开发的,并通过USENET逐渐流传逐渐流传开来开来 IETF在安全领
29、域有一个专门的工作组负责进行在安全领域有一个专门的工作组负责进行PGP的标准化工作的标准化工作 它的传播和使用完全由使用者自行控制掌握它的传播和使用完全由使用者自行控制掌握,它,它通过数字签名所形成的信任链将彼此信任的用户通过数字签名所形成的信任链将彼此信任的用户关联起来关联起来南京邮电大学南京邮电大学 49 数字签名:数字签名:DSS/SHA或或RSA/SHA 数据加密:数据加密:CAST/IDEA/3key-DES/RSA 数据压缩:数据压缩:ZIP 数据编码:数据编码:Radix 64-convension 将三个将三个ASCII字符用字符用4个个6比特来表示,从而比特来表示,从而用用4
30、个个7比特字符传输。比特字符传输。南京邮电大学南京邮电大学 50(1)A使用使用MD5对信息对信息M产生信息摘录产生信息摘录D(2)A使用自己的隐蔽密钥使用自己的隐蔽密钥SKA对对D进行加密,得到签名进行加密,得到签名C(3)A对信息对信息M进行压缩得到进行压缩得到ZM(4)A获得获得B的公开密钥的公开密钥PKB(5)A随机产生一个随机产生一个IDEA的密钥的密钥K(6)A按按IDEA算法对算法对ZM使用使用K进行加密进行加密(7)A使用使用PKB对对K进行加密,并把结果放在信息的开头进行加密,并把结果放在信息的开头(8)A对结果作对结果作7比特的编码处理比特的编码处理(9)A把信息发送给把信
31、息发送给B南京邮电大学南京邮电大学 51(10)B把把7比特编码信息还原成比特编码信息还原成8比特编码比特编码(11)B使用自己的隐蔽密钥使用自己的隐蔽密钥SKB解出解出K(12)B使用使用K对加密信息进行解密,得到对加密信息进行解密,得到ZM(13)B对对ZM解压缩得到解压缩得到M和和C(14)B对对M计算信息摘录,得到计算信息摘录,得到D(15)B对对C使用使用A的公开密钥的公开密钥PKA进行解密得到进行解密得到D,并判定是否是并判定是否是A的签名。的签名。南京邮电大学南京邮电大学 52 总控总控 文件文件 正文格正文格 密钥密钥 解密解密 数字数字 数据数据 RSARSA 擦除擦除 式处
32、理式处理 管理管理 签名签名 压缩压缩 加密加密 自动分自动分页显示页显示 密钥密钥 密钥密钥 密钥密钥 密钥密钥 密钥密钥 密钥密钥 添加添加 检查检查 删除删除 编辑编辑 签名签名 维护维护 密钥密钥 密钥密钥 密钥文密钥文 生成生成 抽取抽取 件显示件显示南京邮电大学南京邮电大学 53 公钥和私钥分别保存在称为公钥和私钥分别保存在称为keyring的密的密钥文件中钥文件中 密钥文件为数据文件,必须使用专用命令密钥文件为数据文件,必须使用专用命令来查阅和使用来查阅和使用 采用加密的方式存放用户的隐蔽密钥,同采用加密的方式存放用户的隐蔽密钥,同时加密隐蔽密钥所需的密钥从用户的口令时加密隐蔽密
33、钥所需的密钥从用户的口令中导出中导出 公开密钥文件中的每个公钥都有一个可信公开密钥文件中的每个公钥都有一个可信度指示,信任度随着传递会降低度指示,信任度随着传递会降低南京邮电大学南京邮电大学 54 Make available or revoke the public keys through Public Key Server Exchange or revoke public keys with each other directly Introducing others public keys that you trusted with your digital signature trusted introducer meta-introducer南京邮电大学南京邮电大学 55 PGPkeys 密钥的存储管理密钥的存储管理 密钥的移入密钥的移入/移出移出/撤销撤销 与与KDC的交互的交互 PGPtools 加密和加密和/或签名或签名 解密和解密和/或验证或验证 wipe a file or freespace wipe a disk
