认证理论数字签名与认证协议.ppt-淘文阁

资源描述

《认证理论数字签名与认证协议.ppt》由会员分享，可在线阅读，更多相关《认证理论数字签名与认证协议.ppt（41页珍藏版）》请在taowenge.com淘文阁网|工程机械CAD图纸|机械工程制图|CAD装配图下载|SolidWorks_CaTia_CAD_UG_PROE_设计图分享下载上搜索。

1、第13章认证理论（数字签名与认证协议）13.1基本概念基本概念z数字签名是认证的重要工具数字签名是认证的重要工具z为什么需要数字签名：为什么需要数字签名：y报文认证用以保护双方之间的数据交换不被第三方报文认证用以保护双方之间的数据交换不被第三方侵犯；但它并不保证双方自身的相互欺骗。假定侵犯；但它并不保证双方自身的相互欺骗。假定A发送一个认证的信息给发送一个认证的信息给B，双方之间的争议可能有双方之间的争议可能有多种形式：多种形式：xB伪造一个不同的消息，但声称是从伪造一个不同的消息，但声称是从A收到的。收到的。xA可以否认发过该消息，可以否认发过该消息，B无法证明无法证明A确实发了该消息。

2、确实发了该消息。数字签名应满足的要求数字签名应满足的要求z收方能确认或证实发方的签字，但收方能确认或证实发方的签字，但不能伪造不能伪造；z发方发出签名后的消息，就发方发出签名后的消息，就不能否认不能否认所签消息；所签消息；z收方对已收到的消息收方对已收到的消息不能否认不能否认；z第三者可以确认收发双方之间的消息传送，但第三者可以确认收发双方之间的消息传送，但不能伪造不能伪造这一过程这一过程数字签名应具有的性质数字签名应具有的性质z必须能够验证签名者及其签名的日期时间；必须能够验证签名者及其签名的日期时间；z必须能够认证被签名消息的内容；必须能够认证被签名消息的内容；z签名必须能够由第三方验证，

3、以解决争议；签名必须能够由第三方验证，以解决争议；注注：数字签名功能包含了认证的功能。：数字签名功能包含了认证的功能。数字签名的设计要求数字签名的设计要求z签名必须是依赖于被签名信息的比特模式；签名必须是依赖于被签名信息的比特模式；z签名必须使用某些对发送者是唯一的信息，以签名必须使用某些对发送者是唯一的信息，以防止双方的伪造与否认；防止双方的伪造与否认；z必须相对容易生成该数字签名；必须相对容易生成该数字签名；z必须相对容易识别和验证该数字签名；必须相对容易识别和验证该数字签名；z伪造该数字签名在计算复杂性意义上具有不可伪造该数字签名在计算复杂性意义上具有不可行性，既包括对一个已有的数字签名

4、构造新的行性，既包括对一个已有的数字签名构造新的消息，也包括对一个给定消息伪造一个数字签消息，也包括对一个给定消息伪造一个数字签名；名；z在存储器中保存一个数字签名备份是现实可行在存储器中保存一个数字签名备份是现实可行的。的。13.2两类数字签名函数两类数字签名函数z直接数字签名直接数字签名y仅涉及通信双方仅涉及通信双方y有效性依赖发方密钥的安全性有效性依赖发方密钥的安全性z仲裁数字签名仲裁数字签名y使用第三方认证使用第三方认证13.2.1直接数字签名（直接数字签名（DDS）(1)AB:EKRaM提供了认证与签名：提供了认证与签名：只有只有A具有具有KRa进行加密进行加密;传输中无法被篡改；传

5、输中无法被篡改；需要某些格式信息需要某些格式信息/冗余度；冗余度；任何第三方可以用任何第三方可以用KUa 验证签名验证签名(1)AB:EKUb EKRa(M)提供了保密提供了保密(KUb)、认证与签名认证与签名(KRa)：13.2.1直接数字签名直接数字签名(cont.）(2)AB:M|EKRaH(M)提供认证及数字签名提供认证及数字签名 -H(M)受到密码算法的保护；受到密码算法的保护；-只有只有 A 能够生成能够生成 EKRaH(M)(2)AB:EKM|EKRaH(M)提供保密性、认证和数字签名。提供保密性、认证和数字签名。13.2.1直接数字签名的缺点直接数字签名的缺点z验证模式依赖于发

6、送方的保密密钥；验证模式依赖于发送方的保密密钥；y发送方要抵赖发送某一消息时，可能会声称其私有密钥丢失发送方要抵赖发送某一消息时，可能会声称其私有密钥丢失或被窃，从而他人伪造了他的签名。或被窃，从而他人伪造了他的签名。y通常需要采用与私有密钥安全性相关的通常需要采用与私有密钥安全性相关的行政管理控制手段行政管理控制手段来来制止或至少是削弱这种情况，但威胁在某种程度上依然存在。制止或至少是削弱这种情况，但威胁在某种程度上依然存在。y改进的方式例如可以要求被签名的信息包含一个改进的方式例如可以要求被签名的信息包含一个时间戳时间戳（日（日期与时间），并要求将已暴露的密钥报告给一个授权中心。期与时间）

7、，并要求将已暴露的密钥报告给一个授权中心。z如如X的私有密钥确实在时间的私有密钥确实在时间T被窃取，敌方可以被窃取，敌方可以伪造伪造X的签名并附上早于或等于时间的签名并附上早于或等于时间T的时间戳。的时间戳。13.2.2仲裁数字签名仲裁数字签名z引入仲裁者。引入仲裁者。y通常的做法是所有从发送方通常的做法是所有从发送方X到接收方到接收方Y的的签名消息首先送到仲裁者签名消息首先送到仲裁者A，A将消息及其签将消息及其签名进行一系列测试，以检查其来源和内容，名进行一系列测试，以检查其来源和内容，然后将消息加上日期并与已被仲裁者验证通然后将消息加上日期并与已被仲裁者验证通过的指示一起发给过的指示一起发

8、给Y。z仲裁者在这一类签名模式中扮演敏感和关键的仲裁者在这一类签名模式中扮演敏感和关键的角色。角色。y所有的参与者必须极大地相信这一仲裁机制工作正常。所有的参与者必须极大地相信这一仲裁机制工作正常。（trusted system）仲裁数字签名技术（仲裁数字签名技术（1）z单密钥加密方式，仲裁者可以看见消息单密钥加密方式，仲裁者可以看见消息(1)XA：M|EKxaIDx|H(M)(2)AY：EKayIDx|M|EKxaIDx|H(M)|TX与与A之间共享密钥之间共享密钥Kxa，Y与与A之间共享密钥之间共享密钥KayX：准备消息准备消息M，计算其计算其Hash值值H(M)，用用X的标的标识符识符I

9、Dx 和和Hash值构成签名，并将消息及签名值构成签名，并将消息及签名经经Kxa加密后发送给加密后发送给A；仲裁数字签名技术（仲裁数字签名技术（1）A：解密签名，用解密签名，用H(M)验证消息验证消息M，然后将然后将IDx，M，签名，和时间戳一起经签名，和时间戳一起经Kay加密后发送加密后发送给给Y；Y：解密解密A发来的信息，并可将发来的信息，并可将M和签名和签名保存起来。保存起来。解决纠纷：解决纠纷：Y：向向A发送发送 EKayIDx|M|EKxaIDx|H(M)A：用用Kay恢复恢复IDx，M，和签名（和签名（EKxaIDx|H(M)），），然后用然后用Kxa解密签名并验证解密签名并验证H

11、时A只能只能验证消息的密文而不能读取其内容。然后验证消息的密文而不能读取其内容。然后A将将来自来自X的所有信息加上时间戳并用的所有信息加上时间戳并用Kay加密后发加密后发送给送给Y。注意：注意：z(1)和和(2)存在一个共性问题：存在一个共性问题：yA和发送方联手可以否认签名的信息；和发送方联手可以否认签名的信息；yA和接收方联手可以伪造发送方的签名；和接收方联手可以伪造发送方的签名；z在这种模式下在这种模式下Y不能直接验证不能直接验证X的签名，的签名，Y认为认为A的消的消息已认证，只因为它来自息已认证，只因为它来自A。因此，双方都需要高度因此，双方都需要高度相信相信A:X必须信任必须信任A没

12、有暴露没有暴露Kxa，并且没有生成错误并且没有生成错误的签名的签名EKxaIDx|H(M)。Y必须信任必须信任A仅当散列值仅当散列值正确并且签名确实是正确并且签名确实是X产生的情况下才发送的产生的情况下才发送的 EKayIDx|M|EKxaIDx|H(M)|T。双方双方都必须信任都必须信任A处理争议是公正的。只要处理争议是公正的。只要A遵循上述要求，遵循上述要求，则则X相信没有人可以伪造其签名；相信没有人可以伪造其签名；Y相信相信X不能否认其不能否认其签名。签名。上述情况还隐含着上述情况还隐含着A可以看到可以看到X给给Y的所有信息，的所有信息，因而所有的窃听者也能看到。因而所有的窃听者也能看到

13、。仲裁数字签名技术（仲裁数字签名技术（3）z双密钥加密方式，仲裁者不可以看见消息双密钥加密方式，仲裁者不可以看见消息(1)XA：IDx|EKRxIDx|EKUy(EKRxM)(2)AY：EKRaIDx|EKUyEKRxM|T X：对消息对消息M双重加密：首先用双重加密：首先用X的私有密钥的私有密钥KRx，然后用然后用Y的公开密钥的公开密钥KUy。形成一个签形成一个签名的、保密的消息。然后将该信息以及名的、保密的消息。然后将该信息以及X的标的标识符一起用识符一起用KRx签名后与签名后与IDx 一起发送给一起发送给A。这种内部、双重加密的消息对这种内部、双重加密的消息对A以及对除以及对除Y以外以外

14、的其它人都是安全的。的其它人都是安全的。仲裁数字签名技术（仲裁数字签名技术（3）A：检查检查X的公开的公开/私有密钥对是否仍然有效，如私有密钥对是否仍然有效，如果是，则认证消息。并将包含果是，则认证消息。并将包含IDx、双重加密的双重加密的消息和时间戳构成的消息用消息和时间戳构成的消息用KRa签名后发送给签名后发送给Yz本模式比上述两个模式具有以下好处：本模式比上述两个模式具有以下好处：1、在通信之前各方之间无须共享任何信息，从、在通信之前各方之间无须共享任何信息，从而避免了联手作弊；而避免了联手作弊；2、即使、即使KRx 暴露，只要暴露，只要KRa 未暴露，不会有错未暴露，不会有错误标定日期

15、的消息被发送；误标定日期的消息被发送；3、从、从X发送给发送给Y的消息的内容对的消息的内容对A和任何其他人和任何其他人是保密的。是保密的。13.3 RSA签名方案签名方案z1.密钥的生成（同加密系统）密钥的生成（同加密系统）公钥公钥Pk=e,n;私钥私钥Sk=d,n。z2.签名过程签名过程(用用d,n)明文：明文：Mn 密文：密文：S=Md(mod n).z3.验证过程验证过程(用用e,n)给定给定M，S，Ver（M，S）为真，当且仅当，为真，当且仅当，M=Se（mod n)13.4 EIGamal签名方案签名方案该方案是特别为签名的目的而设计的。该方案是特别为签名的目的而设计的。1985年

16、提出，很大程度上为年提出，很大程度上为Diffie-Hellman密钥交换算法的推广和变形。这个方案的改进密钥交换算法的推广和变形。这个方案的改进已被美国已被美国NIST（国家标准和技术研究所）采纳国家标准和技术研究所）采纳作为作为数字签名标准数字签名标准。方案的安全性依赖于求离。方案的安全性依赖于求离散对数的困难性。散对数的困难性。13.4 EIGamal签名方案签名方案z签名方案签名方案*公钥：公钥：p:素数，素数，gp（p,g可由一组用户共享）可由一组用户共享）y=gx(mod p)*私钥：私钥：xp*签名签名：k:随机选取，与随机选取，与p-1互素，互素，a（签名）签名）=g k mo

17、d pb（签名）满足签名）满足 M=(xa+kb)mod(p-1)(即有：即有：b=(M-xa)k-1 mod(p-1)*验证：如果验证：如果 ya ab(mod p)=gM(mod p)，则签名有效。则签名有效。13.5 数字签名标准数字签名标准 DSS（Digital Signature Standard)签签名标准是名标准是1991年年8月由美国月由美国NIST公布，公布，1994年年5月月19日的正式公布，并于日的正式公布，并于1994年年12月月1日采纳为美国联帮信息处理标准。日采纳为美国联帮信息处理标准。DSS为为EIGamal和和Schnorr签名方案的改进，其签名方案的改进，其

18、使用的算法记为使用的算法记为DSA（Digital Signature Algorithm)。此算法由此算法由D.W.Kravitz设计。设计。DSS使用了使用了SHA，安全性是基于求离散对数安全性是基于求离散对数的困难性。的困难性。13.5 DSA算法描述算法描述z全局公钥（全局公钥（p，q，g）yp为为5121024bit的大素数，的大素数，yq是（是（q1）的素因子，为的素因子，为160比特的素数，比特的素数，yg:=h(p-1)/q mod p,且且1h1z用户私钥用户私钥x：x为为0 xq内的随机数内的随机数z用户公钥用户公钥y：y=gx mod p13.5 DSA算法描述算法描述(

19、Cont.)z用户每个消息用的秘密随机数用户每个消息用的秘密随机数k：0kq;z签名过程：对报文签名过程：对报文M，签名为（签名为（r，s）yr=(gk mod p)mod qys=(k-1(H(M)+xr)mod qz验证：验证：yw s-1 mod q ya=(H(M)w)mod q b=rw mod qyv=(ga yb)mod p)mod qzVer（M，r，s）真真 iff v=r13.6其它签名技术简介其它签名技术简介z不可否认签名不可否认签名yChaum和和Van Antwerprn 1989年提出年提出y该签名的特征是：验证签名者必须与签名者合作。该签名的特征是：验证签名者必须

20、与签名者合作。验证签名是通过询问验证签名是通过询问-应答协议来完成。这个应答协议来完成。这个协议可防止签名者协议可防止签名者Bob否认他以前做的签名否认他以前做的签名y一个不可否认的签名方案有三个部分组成：一个不可否认的签名方案有三个部分组成：签名算法、验证协议、否认协议签名算法、验证协议、否认协议签名算法、验证协议、否认协议签名算法、验证协议、否认协议y不可否认的签名的本质是无签名者合作不能验证签不可否认的签名的本质是无签名者合作不能验证签名，从而防止复制和散布其签名文件的可能，适应名，从而防止复制和散布其签名文件的可能，适应于电子出版系统知识产权的保护。于电子出版系统知识产权的保护。13.

21、6其它签名技术简介（其它签名技术简介（Cont.)z盲签名盲签名yChaum在在1983年提出。年提出。y需要某人对文件签名，但又不想签名者知道文件内需要某人对文件签名，但又不想签名者知道文件内容，称为盲签名。容，称为盲签名。y适应于电子选举、数字货币协议中。适应于电子选举、数字货币协议中。z群签名群签名y群签名是群体密码学中的课题，群签名是群体密码学中的课题，1991由由Chaum和和van Heyst提出。提出。y特点：特点：1 只有群体成员才能代表群体签名；只有群体成员才能代表群体签名；2 可用可用公钥验证签名，但不知是谁签的名；公钥验证签名，但不知是谁签的名；3 争议发生时争议发生时可

22、由群体成员或可信第三方确认签名者。可由群体成员或可信第三方确认签名者。13.7认证协议认证协议z双方认证双方认证(mutual authentication)z单向认证单向认证(one-way authentication)双边认证协议双边认证协议z最常用的协议，该协议使得通信各方互相认证最常用的协议，该协议使得通信各方互相认证鉴别各自的身份，然后交换会话密钥。鉴别各自的身份，然后交换会话密钥。z基于认证的密钥交换核心问题有两个：基于认证的密钥交换核心问题有两个：y保密性保密性y时效性时效性为了防止伪装和防止暴露会话密钥，基本认证与会话密为了防止伪装和防止暴露会话密钥，基本认证与会话密码信息必

23、须以保密形式通信。这就要求预先存在保密或码信息必须以保密形式通信。这就要求预先存在保密或公开密钥供实现加密使用。第二个问题也很重要，因为公开密钥供实现加密使用。第二个问题也很重要，因为涉及防止消息重放攻击。涉及防止消息重放攻击。消息重放消息重放：最坏情况下可能导致向敌人暴露会话密钥，或成功地冒充：最坏情况下可能导致向敌人暴露会话密钥，或成功地冒充其他人；至少也可以干扰系统的正常运行，处理不好将导致系统瘫其他人；至少也可以干扰系统的正常运行，处理不好将导致系统瘫痪。痪。常见的消息重放常见的消息重放攻击形式有：攻击形式有：1、简单重放：攻击者简单复制一条消息，以后在重新发送它；、简单重放：攻击者

24、简单复制一条消息，以后在重新发送它；2、可被日志记录的重放：攻击者可以在一个合法有效的时间、可被日志记录的重放：攻击者可以在一个合法有效的时间窗内重放一个带时间戳的消息；窗内重放一个带时间戳的消息；3、不能被检测到的重放：这种情况可能出现，原因是原始信、不能被检测到的重放：这种情况可能出现，原因是原始信息已经被拦截，无法到达目的地，而只有重放的信息到达目息已经被拦截，无法到达目的地，而只有重放的信息到达目的地。的地。4、反向重放，不做修改。向消息发送者重放。当采用传统对称、反向重放，不做修改。向消息发送者重放。当采用传统对称加密方式时，这种攻击是可能的。因为消息发送者不能简单加密方式时

25、，这种攻击是可能的。因为消息发送者不能简单地识别发送的消息和收到的消息在内容上的区别。地识别发送的消息和收到的消息在内容上的区别。对付重放攻击的一种方法是在认证交换中使用一个对付重放攻击的一种方法是在认证交换中使用一个序列号序列号来给每一来给每一个消息报文编号。仅当收到的消息序数顺序合法时才接受之。但个消息报文编号。仅当收到的消息序数顺序合法时才接受之。但这种方法的困难是要求双方必须保持上次消息的序号。这种方法的困难是要求双方必须保持上次消息的序号。两种更为一般的方法是：两种更为一般的方法是：1、时间戳：、时间戳：A接受一个新消息仅当该消息包含一个接受一个新消息仅当该消息包含一个时间戳，该时

26、间戳在时间戳，该时间戳在A看来，是足够接近看来，是足够接近A所知道所知道的当前时间；这种方法要求不同参与者之间的时钟的当前时间；这种方法要求不同参与者之间的时钟需要同步。需要同步。2、挑战、挑战/应答方式。（应答方式。（Challenge/Response）A期望期望从从B获得一个新消息，首先发给获得一个新消息，首先发给B一个临时值一个临时值(challenge)，并要求后续从并要求后续从B收到的消息收到的消息（response）包含正确的这个临时值。包含正确的这个临时值。时间戳方法时间戳方法似乎不能用于面向连接的应用，因为该技术固有似乎不能用于面向连接的应用，因为该技术固有的困难：的困难：(

27、1)某些协议需要在各种处理器时钟中维持同步。该协议某些协议需要在各种处理器时钟中维持同步。该协议必须既要容错以对付网络出错，又要安全以对付重放攻击。必须既要容错以对付网络出错，又要安全以对付重放攻击。(2)由于某一方的时钟机制故障可能导致临时失去同步，由于某一方的时钟机制故障可能导致临时失去同步，这将增大攻击成功的机会。这将增大攻击成功的机会。(3)由于变化的和不可预见的网络延迟的本性，不能期望由于变化的和不可预见的网络延迟的本性，不能期望分布式时钟保持精确的同步。因此，任何基于时间戳的过程分布式时钟保持精确的同步。因此，任何基于时间戳的过程必须采用时间窗的方式来处理：一方面时间窗应足够大以包

28、必须采用时间窗的方式来处理：一方面时间窗应足够大以包容网络延迟，另一方面时间窗应足够小以最大限度地减小遭容网络延迟，另一方面时间窗应足够小以最大限度地减小遭受攻击的机会。受攻击的机会。挑战问挑战问/应答方法应答方法不适应非连接性的应用，因为它不适应非连接性的应用，因为它要求在传输开始之前先有握手的额外开销，这就要求在传输开始之前先有握手的额外开销，这就抵消了无连接通信的主要特点。抵消了无连接通信的主要特点。安全的时间服务器用以实现时钟同步可能是最好安全的时间服务器用以实现时钟同步可能是最好的方法。的方法。LAM92b传统加密方法传统加密方法1、A KDC：IDA|IDB|N12、KDC A：E

29、KaKs|IDB|N1|EKbKs|IDA3、A B：EKbKs|IDA4、B A：EKsN25、A B：EKsf(N2)保密密钥保密密钥Ka和和Kb分别是分别是A和和KDC、B和和KDC之间共享的密钥。之间共享的密钥。本协议的目的就是要安全地分发一个会话密钥本协议的目的就是要安全地分发一个会话密钥Ks给给A和和B。A在第在第2步安全地得到了一个新的会话密钥，第步安全地得到了一个新的会话密钥，第3步只能由步只能由B解密、解密、并理解。第并理解。第4步表明步表明B已知道已知道Ks了。第了。第5步表明步表明B相信相信A知道知道Ks并且并且消息不是伪造的。消息不是伪造的。第第4，5步目的是为了防止某

30、种类型的重放攻击。特别是，如果敌方步目的是为了防止某种类型的重放攻击。特别是，如果敌方能够在第能够在第3步捕获该消息，并重放之，这将在某种程度上干扰破坏步捕获该消息，并重放之，这将在某种程度上干扰破坏B方的运行操作。方的运行操作。Needham/Schroeder Protocol 1978上述方法尽管有第上述方法尽管有第4,5步的握手，但仍然有漏洞。步的握手，但仍然有漏洞。假定攻击方假定攻击方C已经掌握已经掌握A和和B之间之间通信的一个老的会话密钥。通信的一个老的会话密钥。C可以在第可以在第3步冒充步冒充A利用老的会话密钥欺骗利用老的会话密钥欺骗B。除非除非B记记住所有住所有以前使用的与以前

31、使用的与A通信的会话密钥，否则通信的会话密钥，否则B无法判断这是一个重放无法判断这是一个重放攻击。如果攻击。如果C可以中途截获第可以中途截获第4步的握手信息，则可以冒充步的握手信息，则可以冒充A在在第第5步响应。从这一点起，步响应。从这一点起，C就可以向就可以向B发送伪造的消息而对发送伪造的消息而对B来来说认为是用认证的会话密钥与说认为是用认证的会话密钥与A进行的正常通信。进行的正常通信。Denning Protocol 1982 改进（加入时间戳）：改进（加入时间戳）：1、A KDC：IDA|IDB2、KDC A：EKaKs|IDB|T|EKbKs|IDA|T3、A B：EKbKs|IDA|

32、T4、B A：EKsN15、A B：EKsf(N1)|Clock-T|t1+t2 其中：其中：t1 是是KDC时钟与本地时钟（时钟与本地时钟（A或或B）之间差异的估计值；之间差异的估计值；t2 是预期的网络延迟时间。是预期的网络延迟时间。Denning Protocol 比比 Needham/Schroeder Protocol在安全性方面增强了在安全性方面增强了一步。然而，又提出新的问题：即必须依靠各时钟均可通过网络同一步。然而，又提出新的问题：即必须依靠各时钟均可通过网络同步。步。如果发送者的时钟比接收者的时钟要快，攻击者就可以从发送者窃听如果发送者的时钟比接收者的时钟要快，攻击者就可以从

33、发送者窃听消息，并在以后当时间戳对接收者来说成为当前时重放给接收者。这消息，并在以后当时间戳对接收者来说成为当前时重放给接收者。这种重放将会得到意想不到的后果。（称为抑制重放攻击）。种重放将会得到意想不到的后果。（称为抑制重放攻击）。Gong92一种克服抑制重放攻击的方法是强制各方定期检查自己的时钟是否与一种克服抑制重放攻击的方法是强制各方定期检查自己的时钟是否与KDC的时钟同步。的时钟同步。另一种避免同步开销的方法是采用临时数握手协议。另一种避免同步开销的方法是采用临时数握手协议。NEUM93a1、A B：IDA|Na2、B KDC：IDB|Nb|EKbIDA|Na|Tb3、KDC A：EK

34、aIDB|Na|Ks|Tb|EKbIDA|Ks|Tb|Nb4、A B：EKbIDA|Ks|Tb|EKs Nb 公钥加密方法：公钥加密方法：一个使用时间戳的方法是：一个使用时间戳的方法是：1、A AS：IDA|IDB2、AS A：EKRasIDA|KUa|T|EKRasIDB|KUb|T 3、A B：EKRasIDA|KUa|T|EKRasIDB|KUb|T|EKUbEKRa Ks|T注意：注意：AS向向A发送的消息相当于发送的消息相当于“证书证书”。一个基于临时值握手协议：一个基于临时值握手协议：WOO92a1、A KDC：IDA|IDB2、KDC A：EKRauthIDB|KUb 3、A B

35、：EKUbNa|IDA4、B KDC：IDB|IDA|EKUauthNa 5、KDC B：EKRauthIDA|KUa|EKUbEKRauth Na|Ks|IDB6、B A：EKUaEKRauth Na|Ks|IDB|Nb7、A B：EKsNb 一个基于临时值握手协议：一个基于临时值握手协议：WOO92b1、A KDC：IDA|IDB2、KDC A：EKRauthIDB|KUb 3、A B：EKUbNa|IDA4、B KDC：IDB|IDA|EKUauthNa 5、KDC B：EKRauthIDA|KUa|EKUbEKRauth Na|Ks|IDA|IDB6、B A：EKUaEKRauth N

36、a|Ks|IDA|IDB|Nb7、A B：EKsNb One-Way AuthenticationzE-maily信封明文信封明文y消息密文消息密文y收发双方不同时在线收发双方不同时在线y要求具有认证要求具有认证传统加密方法：传统加密方法：1、A KDC：IDA|IDB|N12、KDC A：EKaKs|IDB|N1|EKb Ks|IDA 3、A B：EKb Ks|IDA|EKsM若干公钥加密方法：若干公钥加密方法：1、A B：EKUbKs|EKsM 保密性保密性2、A B：M|EKRaH(M)真实性真实性3、A B：EKUb M|EKRaH(M)防止假冒防止假冒4、A B：M|EKRaH(M)|EKRas T|IDA|KUa 证书证书

展开阅读全文