数字签名和密码协议.ppt

第七章 数字签名和密码协议,数字签名由公钥发展而来，为保证网络安全起着决定性的作用，在身份认证、数据完整性和不可否认性以及匿名性等方面有着重要的应用。 数字签名的基本概念 数字签名标准 认证协议 身份证明技术,数字签名,消息认证用以保护通信双方之间的数据交换不被第三方侵犯；但它并不保证双方自身的相互欺骗。假定A发送一个认证的信息给B，双方之间的争议可能有多种形式： B伪造一个不同的消息，但声称是从A收到的。 A可以否认发过该消息，B无法证明A确实发了该消息。 例如：EFT中改大金额；发送股票交易指令亏损后抵赖。,数字签名,传统签名的基本特点: 能与被签的文件在物理上不可分割 签名者不能否认自己的签名 签名不能被伪造 容易被验证 数字签名是传统签名的数字化,基本要求: 能与所签文件“绑定” 签名者不能否认自己的签名 签名不能被伪造 容易被自动验证,数字签名应具有的性质,必须能够验证作者及其签名的日期时间； 必须能够认证签名时刻的内容； 签名必须能够由第三方验证，以解决争议；,因此，数字签名功能包含了鉴别的功能,数字签名的设计要求,签名必须是依赖于被签名信息的一个位串模式； 签名必须使用某些对发送者是唯一的信息，以防止双方的伪造与否认； 必须相对容易生成该数字签名； 必须相对容易识别和验证该数字签名； 伪造该数字签名在计算复杂性意义上具有不可行性，既包括对一个已有的数字签名构造新的消息，也包括对一个给定消息伪造一个数字签名； 在存储器中保存一个数字签名副本是现实可行的。,数字签名分类,以方式分 直接数字签名direct digital signature 仲裁数字签名arbitrated digital signature 以安全性分 无条件安全的数字签名 计算上安全的数字签名 以可签名次数分 一次性的数字签名 多次性的数字签名,数字签名的产生方式,数字签名可用加密算法或特定的签名算法产生。 由加密算法产生的数字签名,M,E,K,D,M,K,EK(M),单钥加密：保密性和认证性,公钥加密,M,E,SKA,D,M,PKA,E SKA(M),公钥加密：认证性和签名,公钥加密：保密性、认证性和签名,由签名算法产生数字签名,明文M，密钥x 签名算法Sigx（M） 验证算法Verx（M）,签名算法的安全性在于从消息和签名推出密钥或伪造一个有同一签名的新消息在算法上是不可行。,数字签名的执行方式直接数字签名（DDS）,(1) AB: ESKaM 提供了鉴别与签名： 只有A具有SKa进行加密; 传输中没有被篡改； 需要某些格式信息/冗余度； 任何第三方可以用PKa 验证签名,(1) AB: EPKb ESKa(M) 提供了保密(PKb)、鉴别与签名(SKa)：,直接数字签名,(2) AB: M|ESKaH(M),提供鉴别及数字签名 - H(M) 受到密码算法的保护； - 只有 A 能够生成 ESKaH(M),(2) AB: EKM|ESKaH(M),提供保密性、鉴别和数字签名。,直接数字签名的缺点,验证模式依赖于发送方的保密密钥； 发送方要抵赖发送某一消息时，可能会声称其私有密钥丢失或被窃，从而他人伪造了他的签名。 通常需要采用与私有密钥安全性相关的行政管理控制手段来制止或至少是削弱这种情况，但威胁在某种程度上依然存在。 改进的方式例如可以要求被签名的信息包含一个时间戳（日期与时间），并要求将已暴露的密钥报告给一个授权中心。 X的某些私有密钥确实在时间T被窃取，敌方可以伪造X的签名及早于或等于时间T的时间戳。,数字签名的执行方式仲裁数字签名,引入仲裁者。 通常的做法是所有从发送方X到接收方Y的签名消息首先送到仲裁者A，A将消息及其签名进行一系列测试，以检查其来源和内容，然后将消息加上日期并与已被仲裁者验证通过的指示一起发给Y。 仲裁者在这一类签名模式中扮演敏感和关键的角色。 所有的参与者必须极大地相信这一仲裁机制工作正常。（trusted system）,仲裁数字签名技术,(a) 单密钥加密方式，仲裁者可以看见消息 (1) XA：M|EKxaIDx| H(M) (2) AY：EKayIDx| M | EKxaIDx| H(M) | T,X与A之间共享密钥Kxa，Y与A之间共享密钥Kay； X：准备消息M，计算其散列码H(M)，用X的标识符IDx 和散列值构成 签名，并将消息及签名经Kxa加密后发送给A； A：解密签名，用H(M)验证消息M，然后将IDx，M，签名，和时间戳 一起经Kay加密后发送给Y； Y：解密A发来的信息，并可将M和签名保存起来。,解决纠纷： Y：向A发送 EKayIDx| M | EKxaIDx| H(M) A：用Kay恢复IDx，M，和签名（ EKxaIDx| H(M)），然后用Kxa解密签 名并验证散列码,注意： 在这种模式下Y不能直接验证X的签名，Y认为A的消息正确，只 因为它来自A。因此，双方都需要高度相信A: X必须信任A没有暴露Kxa，并且没有生成错误的签名 EKxaIDx| H(M) Y必须信任A仅当散列值正确并且签名确实是X产生的情况下才 发送的 EKayIDx| M | EKxaIDx| H(M) | T 双方都必须信任A处理争议是公正的。 只要A遵循上述要求，则X相信没有人可以伪造其签名；Y相信X不 能否认其签名。,上述情况还隐含着A可以看到X给Y的所有信息，因而所有的窃听者 也能看到。,(b) 单密钥加密方式，仲裁者不可以看见消息 (1) XA： IDx | EKxyM|EKxaIDx| H(EKxyM) (2) AY：EKayIDx|EKxyM | EKxaIDx| H(EKxyM) | T,在这种情况下，X与Y之间共享密钥Kxy， X：将标识符IDx ,密文 EKxyM，以及对IDx和密文消息的散列码用 Kxa加密后形成签名发送给A。 A：解密签名，用散列码验证消息，这时A只能验证消息的密文而不 能读取其内容。然后A将来自X的所有信息加上时间戳并用Kay加 密后发送给Y。,(a)和(b)共同存在一个共性问题： A和发送方联手可以否认签名的信息； A和接收方联手可以伪造发送方的签名；,(c) 双密钥加密方式，仲裁者不可以看见消息 (1) XA： IDx | ESKxIDx | EPKy (ESKxM) (2) AY： ESKaIDx| EPKyESKxM | T,X：对消息M双重加密：首先用X的私有密钥SKx，然后用Y的公开 密钥PKy。形成一个签名的、保密的消息。然后将该信息以及 X的标识符一起用SRx签名后与IDx 一起发送给A。这种内部、 双重加密的消息对A以及对除Y以外的其它人都是安全的。 A：检查X的公开/私有密钥对是否仍然有效，是，则确认消息。并 将包含IDx、双重加密的消息和时间戳构成的 消息用KRa签名后 发送给Y。,本模式比上述两个模式具有以下好处： 1、在通信之前各方之间无须共享任何信息，从而避免了联手作弊； 2、即使SKx 暴露，只要SKa 未暴露，不会有错误标定日期的消息 被发送； 3、从X发送给Y的消息的内容对A和任何其他人是保密的。,数字签名算法,普通数字签名算法 RSA EIGamal DSS/DSA 不可否认的数字签名算法 群签名算法 盲签名算法,RSA签名方案,RSA签名,A的公钥私钥对PKa,SKa A对消息M签名: SA=ESKa(M) 问题: 速度慢 信息量大 第三方仲裁时必须暴露明文信息 漏洞: ESKa(xy)ESKa(x)ESKa(y) mod n 先做摘要: HM = hash(M) 再对HM签名SA=ESKa(HM) hash函数的无碰撞性保证了签名的有效性,签名与加密,签名提供真实性(authentication) 加密提供保密性(confidentiality) “签名+加密”提供“真实性+保密性” 两种实现方式: (AB) 先签名,后加密: EPKbM|SigA(M) 先加密,后签名: EPKb(M)|SigA(EPKb(M) 方式的问题: 发生争议时,B需要向仲裁者提供自己的私钥 安全漏洞: 攻击者E截获消息EPKb(M),把SigA(EPKb(M)换成SigE(EPKb(M),让B以为该消息来自E 保存信息多:除了M,SigA(EPKb(M), 还要保存EPKb(M) (PKb可能过期),原根(primitive root),Euler定理表明,对两个互素的整数a,n, a(n) 1 mod n 定义： 素数p的原根定义：如果a是素数p的原根，则数 a mod p, a2 mod p, , ap-1 mod p 是不同的并且包含1到p-1的整数的某种排列。,EIGamal签名方案,ElGamal于1985年提出,很大程度上为Diffe-Hellman密钥交换算法的推广和变形。 分为两种情形: p是大素数 q=p或者q是p-1的大素因子 DSS(数字签名标准)是后者的一种变形,该方案是特别为签名的目的而设计的。这个方案的改进已被美国NIST（国家标准和技术研究所）采纳作为数字签名标准。,离散对数,若a是素数p的一个原根,则对任意整数b, b0 mod p,存在唯一的整数i, 1i(p-1),使得: bai mod p i称为b以a为基模p的指数(离散对数),记作inda,p(b) 离散对数的计算: ygx mod p 已知g,x,p,计算y是容易的 已知y,g,p,计算x是困难的,数字签名标准,公布于1994年5月19日的联邦记录上，并于1994年12月1日采纳为标准DSS。DSS为EIGamal签名方案的改进。,DSS签名方案,DSS算法说明-算法参数,全局公开密钥分量 p ： 素数, 其中2L-1p2L,512L1024,且L为64的倍数:即比特长度在512到1024之间,长度增量为64比特 q： (p-1)的素因子, 其中2159q2160 g=h(p-1)/q mod p, 其中h是一整数,1h(p-1) 用户私有密钥 x 随机或伪随机整数, 其中0xq 用户公开密钥 y=gx mod p 用户每个报文的密数 k随机或伪随机整数, 其中0kq,DSS算法的签名与验证过程,签名 r=(gkmod p)mod q s=k-1(H(M)+xr) mod q 签名=(r,s) 验证 w=(s)-1 mod q u1=H(M )w mod q, u2=( r ) w mod q v=(gu1yu2)mod p mod q TEST: v=r 符号: M 要签名的消息 H(M)使用SHA-1生成的M的散列码 M ,r ,s 接收到的M,r,s版本,DSS签名和验证,DSS的特点,DSS的签名比验证快得多 DSS不能用于加密或者密钥分配 s-1 mod q要存在 s 0 mod q,如果发生,接收者可拒绝该签名. 要求重新构造该签名,实际上, s 0 mod q的概率非常小 若p为512位, q为160位,而DSS只需要两个160位,即320位,群签名方案,群中各个成员以群的名义匿名地签发消息.具备下列三个特性 只有群成员能代表所在的群签名 接收者能验证签名所在的群,但不知道签名者 需要时,可借助于群成员或者可信机构找到签名者 应用: 投标,盲签名,盲签名要求: 消息内容对签名者不可见 签名被接收者泄漏后,签名者无法追踪签名 应用: 电子货币,电子选举 盲签名过程: 消息盲变换签名接收者逆盲变换,身份鉴别（认证）协议,鉴别的基本概念 鉴别机制 鉴别与交换协议 典型鉴别实例,鉴别Authentication,The property that ensures that the identity of a subject or resource is the one claimed. Authenticity applies to entities such as users, processes, systems and information. 鉴别就是确认实体是它所声明的。 鉴别是最重要的安全服务之一。鉴别服务提供了关于某个实体身份的保证。（所有其它的安全服务都依赖于该服务） 鉴别可以对抗假冒攻击的危险,鉴别的需求和目的,问题的提出 身份欺诈 鉴别需求： 某一成员（声称者）提交一 个主体的身份并声称它是那个主体。 鉴别目的： 使别的成员（验证者）获得对声称者所声称的事实的信任。,身份鉴别,定义：证实客户的真实身份与其所声称的身份是否相符的过程。 依据： Something the user know (所知） 密码、口令等 Something the user possesses （拥有） 身份证、护照、密钥盘等 Something the user is (or How he behaves) 指纹、笔迹、声音、虹膜、DNA等,协议 PAP CHAP Kerberos X.509,鉴别协议,双方鉴别 (mutual authentication) 单向鉴别 (one-way authentication),双向鉴别协议,最常用的协议。该协议使得通信各方互相认证鉴别各自的身份，然后交换会话密钥。 基于鉴别的密钥交换核心问题有两个： 保密性 实时性 为了防止伪装和防止暴露会话密钥，会话密钥信息必须以保密形式通信，这就要求预先存在保密或公开密钥供实现加密使用。第二个问题也很重要，因为防止消息重放攻击。,鉴别的两种情形,鉴别用于一个特定的通信过程，即在此过程中需要提交实体的身份。 实体鉴别（身份鉴别）：某一实体确信与之打交道的实体正是所需要的实体。只是简单地鉴别实体本身的身份，不会和实体想要进行何种活动相联系。 数据原发鉴别：鉴定某个指定的数据是否来源于某个特定的实体。不是孤立地鉴别一个实体，也不是为了允许实体执行下一步的操作而鉴别它的身份，而是为了确定被鉴别的实体与一些特定数据项有着静态的不可分割的联系。,在实体鉴别中，身份由参与某次通信连接或会话的远程参与者提交。 这种服务在连接建立或在数据传送阶段的某些时刻提供使用, 使用这种服务可以确信(仅仅在使用时间内): 一个实体此时没有试图冒充别的实体, 或没有试图将先前的连接作非授权地重演。 在数据原发鉴别中，身份和数据项一起被提交，并且声称数据项来源于身份所代表的主体。这种服务对数据单元的重复或篡改不提供保护 。,实体鉴别系统的组成,一方是出示证件的人，称作示证者P(Prover)，又称声称者(Claimant)。 另一方为验证者V（Verifier),检验声称者提出的证件的正确性和合法性，决定是否满足要求。 第三方是可信赖者TP （Trusted third party) ，参与调解纠纷。 第四方是攻击者，可以窃听或伪装声称者骗取验证者的信任。,鉴别模型,A,TP,B,Attacker,实体鉴别与消息鉴别的差别,实体鉴别一般都是实时的，消息鉴别一般不提供时间性。 实体鉴别只证实实体的身份，消息鉴别除了消息的合法和完整外，还需要知道消息的含义。 数字签名是实现身份识别的有效途径。但在身份识别中消息的语义是基本固定的，一般不是“终生”的，签名是长期有效的。,对身份鉴别系统的要求,（1）验证者正确识别合法申请者的概率极大化。 （2）不具有可传递性（Transferability) （3）攻击者伪装成申请者欺骗验证者成功的概率要小到可以忽略的程度 （4）计算有效性 （5）通信有效性 （6）秘密参数能安全存储 *（7）交互识别 *（8）第三方的实时参与 *（9）第三方的可信赖性 *（10）可证明的安全性,实现身份鉴别的途径,三种途径之一或他们的组合 （1）所知（Knowledge）:密码、口令 （2）所有（Possesses):身份证、护照、信用卡、钥匙 （3）个人特征：指纹、笔迹、声纹、手型、血型、视网膜、虹膜、DNA以及个人动作方面的一些特征 （4）你做的事情（如手写签名，数字签名） 设计依据： 安全水平、系统通过率、用户可接受性、成本等,讨论议题,鉴别的基本概念 鉴别机制 鉴别与交换协议 典型鉴别实例,鉴别机制,非密码的鉴别机制 基于密码算法的鉴别 采用对称密码算法的机制 采用公开密码算法的机制 采用密码校验函数的机制 零知识证明协议,非密码的鉴别机制,A. 口令机制 B一次性口令机制 C基于地址的机制 D基于个人特征的机制 E个人鉴别令牌,采用对称密码的鉴别机制,基于对称密码算法的鉴别依靠一定协议下的数据加密处理。通信双方共享一个密钥（通常存储在硬件中），该密钥在询问应答协议中处理或加密信息交换。,A、重放,常见的消息重放 攻击形式有： 1、简单重放：攻击者简单复制一条消息，以后在重新发送它； 2、可被日志记录的复制品：攻击者可以在一个合法有效的时间窗内重放一个带时间戳的消息； 3、不能被检测到的复制品：这种情况可能出现，原因是原始信息已经被拦截，无法到达目的地，而只有重放的信息到达目的地。 4、反向重放，不做修改。向消息发送者重放。当采用传统对称加密方式时，这种攻击是可能的。因为消息发送者不能简单地识别发送的消息和收到的消息在内容上的区别。 1）针对同一验证者的重放：非重复值 2）针对不同验证者的重放：验证者的标识符,B非重复值的使用,非重复值的使用： 1）序列号：计数的策略：对付重放攻击的一种方法是在认证交换中使用一个序数来给每一个消息报文编号。仅当收到的消息序数顺序合法时才接受之。但这种方法的困难是要求双方必须保持上次消息的序号。 2）时间戳： A接受一个新消息仅当该消息包含一个时间戳，该时间戳在A看来，是足够接近A所知道的当前时间；这种方法要求不同参与者之间的时钟需要同步 3）验证者发送随机值（如询问）：不可预测、不重复,时间戳,在网络环境中，特别是在分布式网络环境中，时钟同步并不容易做到 一旦时钟同步失败 要么协议不能正常服务，影响可用性(availability)，造成拒绝服务(DOS) 要么放大时钟窗口，造成攻击的机会 时间窗大小的选择应根据消息的时效性来确定,询问/应答方式(Challenge/Response),A期望从B获得一个消息 首先发给B一个随机值(challenge) B收到这个值之后，对它作某种变换，并送回去 A收到B的response，希望包含这个随机值 在有的协议中，这个challenge也称为nonce 可能明文传输，也可能密文传输 这个条件可以是知道某个口令，也可能是其他的事情 变换例子：用密钥加密，说明B知道这个密钥; 简单运算，比如增一，说明B知道这个随机值 询问/应答方法不适应非连接性的应用，因为它要求在传输开始之前先有握手的额外开销，这就抵消了无连接通信的主要特点。,C、相互鉴别协议,在理论上，相互鉴别可通过组合两个单向鉴别交换协议来实现。然而，这种组合需要被仔细地考察，因为有可能这样的组合易受窃听、重放攻击。 另外，设计协议消息数比相应的单向交换协议的消息数的两倍少得多的相互鉴别交换协议是可能的。 因此，由于安全性和性能的原因，相互鉴别交换协议必须为此目的而特别地进行设计。,零知识证明技术,零知识证明技术可使信息的拥有者无需泄露任何信息就能够向验证者或任何第三方证明它拥有该信息。 在交互证明系统中，设P知道某一秘密，并向V证明自己掌握这一秘密，但又不向泄漏这一秘密，如果V除了知道P能证明某一事实外，不能得到其他任何信息，则称P实现了零知识证明，相应的证明过程称为零知识证明协议。,讨论议题,鉴别的基本概念 鉴别机制 鉴别与交换协议 典型鉴别实例,鉴别和交换协议,如果用于连接完整性服务的密钥被在线建立，那么事实证明将认证和密钥交换功能组合在一个协议中是重要的（鉴别和密钥交换协议）。 最常用的协议，该协议使得通信各方互相鉴别各自的身份，然后交换会话密钥。 基于鉴别的密钥交换核心问题有两个： 保密性 时效性,双向鉴别,传统加密方法 Needham/Schroeder Protocol 1978 Denning Protocol 1982 KEHN92 公钥加密方法 一个基于临时值握手协议：WOO92a 一个基于临时值握手协议：WOO92b,Needham/Schroeder Protocol 1978,传统加密方法,1、A KDC：IDA|IDB|N1 2、KDC A：EKaKs|IDB|N1|EKbKs|IDA 3、A B： EKbKs|IDA 4、B A： EKsN2 5、A B： EKsf(N2),保密密钥Ka和Kb分别是A和KDC、B和KDC之间共享的密钥。 本协议的目的就是要安全地分发一个会话密钥Ks给A和B。,A在第2步安全地得到了一个新的会话密钥，第3步只能由B解密、 并理解。第4步表明B已知道Ks了。第5步表明B相信A知道Ks并且 消息不是伪造的。 第4，5步目的是为了防止某种类型的重放攻击。特别是，如果敌方 能够在第3步捕获该消息，并重放之，这将在某种程度上干扰破坏B 方的运行操作。,Needham/Schroeder Protocol 1978,上述方法尽管有第4,5步的握手，但仍然有漏洞。,假定攻击方C已经掌握A和B之间通信的一个老的会话密钥。C可以在第3步冒充A利用老的会话密钥欺骗B。除非B记住所有以前使用的与A通信的会话密钥，否则B无法判断这是一个重放攻击。如果C可以中途阻止第4步的握手信息，则可以冒充A在第5步响应。从这一点起，C就可以向B发送伪造的消息而对B来说认为是用认证的会话密钥与A进行的正常通信。,Denning Protocol 1982 改进：,1、A KDC：IDA|IDB 2、KDC A：EKaKs|IDB|T|EKbKs|IDA|T 3、A B： EKbKs|IDA|T 4、B A： EKsN1 5、A B： EKsf(N1),| Clock - T | t1 + t2 其中： t1 是KDC时钟与本地时钟（A或B）之间差异的估计值； t2 是预期的网络延迟时间。,Denning Protocol 比 Needham/Schroeder Protocol在安全性方面增强了一步。然而，又提出新的问题：即必须依靠各时钟均可通过网络同步。,如果发送者的时钟比接收者的时钟要快，攻击者就可以从发送者窃听消息，并在以后当时间戳对接收者来说成为当前时重放给接收者。这种重放将会得到意想不到的后果。（称为抑制重放攻击）。,一种克服抑制重放攻击的方法是强制各方定期检查自己的时钟是否与KDC的时钟同步。,另一种避免同步开销的方法是采用临时数握手协议。,KEHN92,1、A B： IDA|Na 2、B KDC： IDB|Nb | EKbIDA | Na | Tb 3、KDC A： EKaIDB|Na |Ks| Tb | EKbIDA | Ks | Tb | Nb 4、A B： EKbIDA | Ks | Tb | EKs Nb ,公钥加密方法：,一个使用时间戳的方法是：,1、A AS：IDA|IDB 2、AS A：EKRasIDA |KUa | T | EKRasIDB |KUb | T 3、A B： EKRasIDA|KUa| T | EKRasIDB | KUb | T | EKUbEKRa Ks|T,一个基于临时值握手协议：WOO92a,1、A KDC：IDA|IDB 2、KDC A：EKRauthIDB |KUb 3、A B： EKUbNa |IDA 4、B KDC： IDB|IDA | EKUauthNa 5、KDC B： EKRauthIDA |KUa| EKUbEKRauth Na|Ks|IDB 6、B A： EKUaEKRauth Na |Ks | IDB|Nb 7、 A B： EKsNb,一个基于临时值握手协议：WOO92b,1、A KDC：IDA|IDB 2、KDC A：EKRauthIDB |KUb 3、A B： EKUbNa |IDA 4、B KDC： IDB|IDA | EKUauthNa 5、KDC B： EKRauthIDA |KUa| EKUbEKRauth Na|Ks|IDA|IDB 6、B A： EKUaEKRauth Na |Ks |IDA | IDB|Nb 7、 A B： EKsNb,单向鉴别 One-Way Authentication,E-mail,传统加密方法：,1、A KDC：IDA|IDB| N1 2、KDC A：EKaKs | IDB | N1 | EKb Ks | IDA 3、A B： EKb Ks | IDA | EKsM,公钥加密方法： 1、 A B： EKUbKs | EKsM,1、 A B： M | EKRaH(M),1、 A B： EKUb M | EKRaH(M),1、 A B： M | EKRaH(M) | EKRas T | IDA |KUa ,习题： 1. 选择适当的参数，对消息 进行RSA数字签名。 2.假设你知道大整数的分解，试设计一个协议，以零知识证明的方式证明你确实知道该整数的分解。,采用对称密码的鉴别机制,无可信第三方参与的鉴别 单向鉴别：使用该机制时，两实体中只有一方被鉴别。 双向鉴别：两通信实体使用此机制进行相互鉴别。 有可信第三方参与的鉴别,本部分使用以下记法,A:实体A的可区分标识符 B:实体B的可区分标识符 TP:可信第三方的可区分标识符 KXY:实体X和实体Y之间共享的秘密密钥,只用于对称密码技术 SX:与实体X有关的私有签名密钥,只用于非对称加密技术 NX:由实体X给出的顺序号 RX:由实体X给出的随机数 TX:由实体X原发的时变参数,它或者是时间标记TX,或者是顺序号RX NX: Y|Z:数据项Y和Z以Y在前Z在后顺序拼接的结果 eK(Z):用密钥K的对称加密算法对数据Z加密的结果 fK(Z):使用以密钥K和任意数据串Z作为输入的密码校验函数f所产生的密码校验值 CertX:由可信第三方签发给实体X的证书 TokenXY:实体X发给Y的权标,包含使用密码技术变换的信息 TVP:时变参数 SSX(Z):用私有签名密钥SX对数据Z进行私有签名变换所产生的签名.,无可信第三方参与的机制 单向鉴别,一次传送鉴别,A,B,（1）TokenAB,(2),（1）TokenAB=Text2|EKAB(TA|B|Text1) NA,（2）B解密，验证B、时间标记或顺序号的正确性,无可信第三方参与的机制 单向鉴别,两次传送鉴别,A,B,（1）RB|Text1,(3),（2）TokenAB=Text3|eKAB(RB|B|Text2),（3）B解密，验证B、 RB的正确性,（2）TokenAB,无可信第三方参与的机制 双向鉴别,两次传送鉴别,A,B,（1） TokenAB,(2),（4）B解密，验证B、 RB的正确性,（3）TokenBA,（1）TokenAB=Text2|eKAB(TA|B|Text1) NA,（3）TokenBA=Text4|eKAB(TB|A|Text3) NB,(4),无可信第三方参与的机制 双向鉴别,三次传送鉴别,A,B,（1）RB|Text1,(3),（2）TokenAB=Text3|eKAB(RA |RB|B|Text2),（3）B解密，验证B、 RB的正确性,（2）TokenAB,（4）TokenBA,（4）TokenBA=Text5|eKAB(RB |RA|Text4),(5),（5）A解密，验证B、 RB、 RA的正确性,涉及可信第三方的机制-双向鉴别,四次传送鉴别,A,B,（6）TokenBA,TP,（4）TokenAB,（2）TokenTA,（1）TVPA|B|Text1,(3),(7),(5),（2）TokenTA=Text4|eKAT(TVPA |KAB|B|Text3) | eKBT(TTP |KAB|A|Text2) NTP,（4）TokenAB=Text6| eKBT(TTP |KAB|A|Text2) eKAB(TA |B|Text5) NTP NA,（6）TokenBA=Text8| eKAB(TB |A|Text7) NB,涉及可信第三方的机制-双向鉴别,五次传送鉴别,A,B,（7）TokenBA,TP,（5）TokenAB,（3）TokenTA,（2）RA|RB|B|Text2,(4),(8),(6),（3）TokenTA=Text5|eKAT(RA |KAB|B|Text4) | eKBT(RB | KAB| A|Text3),（5）TokenAB=Text7| eKBT(RB | KAB| A|Text3) |eKAB(RA |RB|Text6),（7）TokenBA=Text9| eKAB(RB |RA|Text8),(1)RB|Text1,采用公开密码算法的机制,在该机制中，声称者要通过证明他知道某秘密签名密钥来证实身份。由使用他的秘密签名密钥签署某一消息来完成。消息可包含一个非重复值以抵抗重放攻击。 要求验证者有声称者的有效公钥 声称者有仅由自己知道和使用的秘密签名私钥。 单向鉴别：仅对实体中的一个进行鉴别。 双向鉴别：两个通信实体相互进行鉴别。,采用公开密码算法的机制 单向鉴别,一次传递机制,A,B,（1）CertA|TokenAB,（1）TokenAB=TA|B|Text2|SSA(TA|B|Text1) NA NA,(2),(2)B验证A的公开密钥，验证B的标识符号,采用公开密码算法的机制 单向鉴别,两次传递机制,A,B,（1）RB|Text1,(3),（3）B验证A的公开密钥，验证B的标识符号,（1）CertA|TokenAB,（2）TokenAB=RA|RB|B|Text3|SSA(RA|RB|B|Text2),采用公开密码算法的机制 双向鉴别（1）,A,B,(2),（2）B验证A的公开密钥，验证B的标识符号,（3）CertB|TokenBA,两次传递机制,（1）CertA|TokenAB,（1）