第讲认证协议与密钥建立协议设计ppt课件.ppt

第4讲 认证协议与密钥建立协议设计 主讲人 xxxxxx2020年3月29日星期日 通信网安全理论与技术 课程 实践性 通信安全保障 协议安全设计 理论和技术基础 前导性 8 课程体系及主要内容 讲解内容 通信网安全现状 趋势与策略 第1讲通信网技术基础与安全体系 第2讲通信网安全基础理论与技术 密码学 攻击与防御技术 第3讲网络安全协议理论设计与分析认证协议以及密钥建立协议 第4讲特殊数字签名与阈下信道设计 第5讲零知识证明及其安全协议构造 第6讲安全协议分析与设计 第7讲典型的网络安全协议 IPSec协议 Kerberos协议 Radius AAA协议 第8 10讲通信网安全保障技术 第11讲无线网络安全性增强技术 WLAN为主 第12讲网络防火墙与入侵防御技术 第13讲网络安全实现方案设计与分析 第14讲 内容提要 认证基本概念身份认证密钥建立协议密钥协商协议密钥共享协议 内容提要 认证基本概念身份认证数据源认证密钥建立对认证协议的攻击认证协议记法约定协议参与者行为约定身份认证密钥建立协议密钥协商协议密钥共享协议 1 认证基本概念 我们日常很多活动 都需要预先确认活动参与者的身份 银行ATM取款寄收挂号信打电话相亲约会 接头 通信网中 其协议的参与双方 也需要取信对方 确信对方参与了协议运行须获取某种确凿的证据 1 认证基本概念 认证 一个实体向另一个实体证明某种声称的属性的过程C是一个主体 声称拥有进入S的系统或者使用S的服务的合法权利 S通过认证 确认C确实拥有这种权利 并且接收C的请求认证 Authentication 也即鉴别 是通信网中其它所有安全措施实施的基础认证至少涉及到两个独立的通信实体认证过程 认证协议 包含三个方面的含义 身份认证 主要验证消息发送者所声称身份的真实性数据源认证 主要验证消息中某个声称属性的真实性密钥建立认证 致力于产生一条安全信道 用于后继的安全通信会话 1 认证基本概念 身份认证 身份认证是一个通信过程身份认证的目的验证主体 实体A 和示证主体 实体B 之间建立真实的通信实体B声称的身份与实体A意定通信方一致简言之 身份认证是确认主体之间通信的真实性 或通信双方身份的真实性 1 认证基本概念 身份认证 身份认证类型 主机 主机类型 通信实体是分布式系统中被称为 节点 的计算机或平台用户 主机类型 用户通过登录系统中某台主机来访问该计算机系统 进程 主机类型 主机调用外部进程并给外部进程授予不同的接入权限成员 俱乐部类型 可把成员拥有俱乐部证书的证明看做是一般化的 用户 主机类型 1 认证基本概念 数据源认证 数据源认证 又称消息认证 与数据完整性密切相关早期人们认为 两者没有本质区别 这种观点是基于 使用被恶意修改过的信息和使用来源不明的消息具有相同的风险 与数据完整性的差别数据源认证 验证消息是否真实 是否新鲜数据完整性 验证消息在传输 存储过程中未被未授权方式修改 数据源认证vs 数据完整性数据源认证必然需要通信 数据完整性则不一定包含通信过程 例如存储数据的完整性数据源认证必然需要识别消息源 而数据完整性则不一定涉及该过程 例如无源识别的数据完整性技术最重要的 数据源认证必然需要确认消息的新鲜性 而数据完整性却无此必要 一组老的数据可能有完善的数据完整性 新鲜性 消息的发送和接收的时间间隔足够小 1 认证基本概念 数据源认证 数据源认证包含从某个声称的源 发送者 到接收者 验证者 的消息传输过程 该接收者在接收时会验证消息 其验证的目的有三 确认消息发送者的身份属性确认在原消息离开消息发送者之后的数据完整性确认消息传输的 新鲜性 1 认证基本概念 数据源认证 与身份认证的关系当实体声称的身份信息单独构成协议消息时 身份认证 确认实体声称身份的真实性 数据源认证 确认消息声称属性的真实性 1 认证基本概念 认证的密钥建立 认证的密钥建立 密钥交换 密钥协商与身份认证的关系身份认证的目的在于能在高层或者应用层上进行安全通信 安全通信信道的基础是密钥认证的密钥建立是身份认证的一个子任务与数据源认证的关系密钥建立素材是数据源认证的内容 1 认证基本概念 对认证协议的攻击 对认证协议的攻击虽认证协议采用了密码技术 但仍会成为攻击者攻击目标攻击目的 获得未经授权的利益攻击后果 较小 例如 Malice成功地欺骗某个主体对某个宣称属性做出错误判断 严重 例如 Malice获得机密信息或者密钥 1 认证基本概念 对认证协议的攻击 对认证协议攻击的内涵针对认证协议的设计缺陷 而不涉及破解协议底层的密码算法协议的设计缺陷 指某个主体断定自己和意定的通信方正常运行了协议 而意定的通信方却有不同的结论协议设计有缺陷 认证协议是不安全的 1 认证基本概念 认证协议记法约定 记法约定 协议消息的语法与语义Alice Bob Eve Malice 主体名称 简写为A B E M Alice Bob M Alice给Bob发送消息M M K 用密钥K加密消息M得到的密文 K KAB KAT KA 密码密钥 其中KXY表示主体X和Y共享的密钥 KX表示主体X的公钥 N Na 一次性随机数 Nx表示主体X的随机数 TX 主体X创建的时戳 SigA M 主体A对消息M的数字签名 1 认证基本概念 协议参与者行为约定 诚实主体协议成功终止以前 不能理解任何协议消息的语义不能识别 创建或者分解 M K 除非拥有正确密钥不能识别随机数据 除非自己创建的 或是协议运行完后的输出不主动记录协议消息 除非协议规定必须记录 或是协议运行完后的输出 1 认证基本概念 协议参与者行为约定 可以认为诚实主体是天真的 在理解协议消息方面很 愚笨 盲目 不能预见存在 聪明 的Malice通过把协议消息的各个部分按照错误的顺序 重新编排 以造成诚实主体错误地解释协议消息总之 诚实主体不进行协议攻击 不对任何例外进行预测 完全按照协议的规定执行 1 认证基本概念 协议参与者行为约定 攻击者能截获经过网络的任何消息能够冒充任何别的主体给其它主体发消息常以一个合法的网络使用者身份出现能够主动发起与任何其他用户的会话有机会成为任何主体发出信息的接收者知道诚实主体是 天真 的总之 攻击者想尽办法利用诚实主体的弱点进行协议攻击 1 认证基本概念 协议参与者行为约定 攻击者不能猜到从足够大的空间中选出的随机数没有正确的密钥 不能由给定的密文恢复出明文 也不能从给定的明文构造出正确的密文不能从公开信息导出私有部分 如与给定公钥匹配的私钥不能控制计算环境中的许多私有区域 如 访问离线主体的存储器 内容提要 认证基本概念身份认证基本功能主要实现方式基于口令基于单向函数的一次性口令基于智能卡基于生物特征双因素认证挑战 应答机制时间戳机制密钥建立协议密钥协商协议密钥共享协议 2 身份认证 基本功能 在通信网中 身份认证的功能在于 诚实主体Alice可成功地向对方Bob证实自己的身份Bob不能重复使用和Alice交换的身份识别信息来假冒Alice和第三方Carlos完成协议运行任何人都不能假冒Alice来和Bob完成协议运行 2 身份认证 主要实现方式 要对某主体进行身份认证 其方式有很多 主要有 利用主体所知道的内容 用户名 口令 密钥利用主体所拥有的事物 智能卡 令牌卡利用主体本身所具有的特征 指纹 虹膜 声音 签字等双因素认证 综合利用以上多种手段身份认证协议 双方通过一系列的 问 答 形式来确定对方的身份 类似 接头暗语 2 身份认证 基于口令 通过用户输入的用户名和口令来确立用户身份 最常见 最简单例如 电子邮箱 论坛等实现过程 用户Alice输入用户名和口令 系统在数据库中查找和Alice对应的口令是否和接收到的一致 如果一致 则接受用户所声称的身份Alice 否则拒绝安全性很脆弱 口令易泄漏 口令传输 传输不安全 2 身份认证 基于口令 改进型 将口令从明文存储变为哈希值存储利用salt字符串进一步修正口令的存储方案 口令文件存入口令与一个随机字符串salt级联后的哈希值 系统接收到用户输入的口令后 计算口令和salt级联的哈希值 与系统中存储的哈希值做匹配 如果匹配成功 则接受该用户 否则拒绝攻击者每攻击一个用户的口令 都不得不加入Salt值 大大增加了攻击的难度 攻击者可能会事先计算很多个口令的哈希值 若其中某个哈希值与口令文件的某项匹配 那么他就得到了一个口令 2 身份认证 基于单向函数的一次性口令 也是一种基于口令的认证技术 所不同的是它采用了单向函数需要在认证之前进行一系列的初始化该机制每个数只被使用一次 攻击者窃听消息并不能对其安全性构成任何威胁 同时 攻击者即便取得了系统保存数据si 1 也不能由si 1计算si 初始信息 秘密随机数种子s 单向函数h初始化 2 身份认证 基于智能卡 它是较安全可靠的认证手段之一智能卡一般分为存储卡和芯片卡存储卡只用于储存用户的秘密信息 比如用户的密码 密钥 个人化数据等 存储卡本身没有计算功能芯片卡一般都有一个内置的微处理器 并有相应的RAM和可擦写的EPROM 具有防篡改和防止非法读取的功能 芯片卡不仅可以存储秘密信息 还可以在上面利用秘密信息计算动态口令典型应用 手机SIM卡新一代的身份证门禁卡 2 身份认证 基于生物特征 主体的生物特征 如指纹 人脸 声音 虹膜等 几乎永远也不会被遗忘 丢失或偷盗 该方式得到了公安 司法部门的认可缺点 代价相对较高 相对低识别率 2 身份认证 双因素认证 鉴于上述几种方式都有自身的弱点 口令可能会被遗忘智能卡可能会被偷盗生物特征认证的实现代价高 识别率相对较低为了获得更高的安全性 综合运用多种认证方式 双因素认证典型应用 手机用户的SIM卡和PIN建设银行的USBKey双因素认证并不是认证的最终解决手段 它也有自己的缺陷 2 身份认证 挑战 应答机制 另一种最基本的认证方法 即Challenge Response其基本思想是 Alice若想确认Bob的身份 Alice首先向Bob发送一个信息 该信息被称为挑战 挑战通常为一次性随机数然后Bob反馈一个 新鲜的 信息 该信息被称为响应Alice收到响应后 查看响应是否包含挑战 2 身份认证 挑战 应答机制 它常需在Alice和Bob之间预先共享一密钥 用表示Kab 其整个步骤为 基本型 1 Alice Bob 随机数Na2 Bob Alice E M N a Kab3 Alice M N a Kab Kab N a Na 该机制中 Alice通过自己输入的消息的新鲜性来验证Bob通信的真实性该机制中 M是附加消息 可能是Bob自由选择的一条消息 也有可能是Alice和Bob今后的会话密钥如果M是会话密钥的话 则该机制还具有实现密钥建立的功能 2 身份认证 挑战 应答机制 带密钥的单向函数 加密操作 利用带密钥的单向函数 即带密钥单向函数的挑战 响应机制 假设用h 表示用密钥k对消息进行单向哈希运算 其步骤 1 Alice Bob Na2 Bob Alice Nb M hk Alice Nb N a 3 Alice M hk Alice Nb N a M 单方认证 1 Alice Bob Na2 Bob Alice Nb M1 hk Alice Nb N a 3 Alice M 1 hk Alice Nb Na M1 4 Alice Bob M2 hk Bob N b 5 Bob M 2 hk Bob Nb M2 如何进行双向认证 2 身份认证 挑战 应答机制 基于非对称密钥 前面的挑战 应答机制是基于对称密钥的 可改为基于非对称密钥的 1 Alice Bob Na2 Bob Alice M1 M N a SKb3 Alice M N a SKb PKb N a Na 问题 该认证是单向 还是双向 是谁要确认谁的身份 如何改造成双向认证 2 身份认证 挑战 应答机制 基于非对称密钥 1 Alice Bob Na2 Bob Alice Nb M1 M Nb N a SKb3 Alice M Nb N a SKb PKb N a Na 4 Alice Bob M2 M N b SKa5 Bob M N b SKa PKa N b Nb 2 身份认证 挑战 应答机制 标准化 ISO和IEC对简单的挑战 响应机制做了标准化 称之为 ISO两次传输单方认证协议 步骤如下 基本型 1 Alice Bob 随机数Na2 Bob Alice M N a Kab3 Alice M N a Kab Kab N a Na 标准化后 1 Alice Bob 随机数Na Text12 Bob Alice Text3 Na Alice Text2 Kab 增加 Text1 Text2 Text3和一个意定的通信对方的身份Alice Bob的意定通信对象 明确意定的认证主体的身份是协议设计的一条重要准则 2 身份认证 挑战 应答机制 标准化 同样 可以利用非对称密钥算法将上面协议修改成为 使用公钥的ISO两次传输单方认证协议 步骤如下 标准化 对称密钥算法 1 Alice Bob Na Text12 Bob Alice Text3 Na Alice Text2 Kab CertB是Bob的证书Alice收到消息之后 如果验证签名正确 那么协议继续进行 如果验证签名无效 那么协议停止执行 标准化 非对称密钥算法 1 Alice Bob Na Text12 Bob Alice CertB Na Nb Alice Text3 Na Nb Alice Text2 PKa 2 身份认证 挑战 应答机制 典型例子 基于挑战 应答的认证方式典型例子 RADIUS认证 通用的认证计费协议 应用范围很广 包括普通电话 上网业务计费 2 身份认证 时间戳机制 Alice利用加密操作把当前的时间合成到消息中假设用ta表示Alice的当前时间 协议如下若有效 则Bob认为这次通信确实是由Alice发起的 因只有Alice拥有和Bob共享的密钥 若无效 Bob终止协议的执行在安全协议设计中 常使用时戳和随机数 因它们都可以用于提供唯一性 及时性 检测重放攻击等 但各有优缺点 随机数 对随机性要求非常严格 一般的伪随机数发生器都不能满足要求时间戳 收发双方要进行时钟同步 时间戳机制 1 Alice Bob ta Bob Kab2 Bob 解密接收到消息 观察时戳是否有效 内容提要 认证基本概念身份认证密钥建立协议需求与动机主要功能组成基本协议应具有的技术特点大嘴青蛙协议NSSK协议密钥协商协议密钥共享协议 3 密钥建立协议 需求与动机 为了安全 通信双方 Alice和Bob 须用密钥对每一次单独的会话加密Alice和Bob如何来建立一个双方都知道的会话密钥 须专门设计密钥建立协议会话密钥 即临时秘密 被严格限制在一小段时间内使用 如一次单独的通信会话 其推出的动机 限制使用固定密钥的密文数量 以阻止攻击限制因意外泄露会话密钥而造成的相关保密数据的暴露数量避免长期存储大量不同的秘密密钥 在一个实体可能与大量其他实体通信的情况下 而仅在实际需要时建立密钥产生不同通信会话和应用的相互独立性 3 密钥建立协议 主要功能组成 密钥建立协议主要包含密钥协商协议 如何使一个参与方可以建立或获得一个秘密值 并将它安全地传给其他参与方密钥分发协议 两个 多个 参与方共同提供信息 推导出一个共享密钥 并且任何一方不能预先估计结果 3 密钥建立协议 主要功能组成 密钥建立协议需要一个可信服务器的参与 常称之为密钥服务器 KeyServer KS 密钥分发中心 KeyDistributionCenter KDC 等主要用于初始化系统设置和其他一些目的协议参与的双方都希望 能够确定是谁在和他进行密钥建立能够防止未经授权的其他人推导出建立的密钥密钥建立协议通常和认证协议联合使用 3 密钥建立协议 基本协议1 基于对称密钥算法 它的加密方法既可以是对称密钥算法 也可以是非对称密钥算法基本协议1 基于对称密钥算法的密钥建立协议例子 假设通信双方Alice和Bob每人和密钥分配中心 KDC 共享一个秘密密钥 协议执行前 由KDC秘密保存 Alice KDC Bob Alice呼叫KDC 请求建立一个与Bob通信的会话密钥 KDC Alice KDC产生一随机会话密钥 并对它的两个副本加密 一个用Alice的密钥加密 另一个用Bob的密钥加密 KDC发送这两个副本给AliceAlice对她的会话密钥的副本解密Alice Bob 将Bob的会话密钥副本送给BobBob对他的会话密钥的副本解密Alice和Bob用这个会话密钥安全地通信 对称密钥算法的密钥建立协议 缺点 安全性依赖于KDC的绝对安全性存在着单点失效问题 3 密钥建立协议 基本协议2 基于非对称密钥算法 基本协议2 对前面协议的改进基于非对称密钥体制进行会话密钥的建立用协商的会话密钥加密会话内容Alice与Bob的密钥建立过程如下 Alice从KDC得到Bob的公开密钥Alice产生随机会话密钥 用Bob的公开密钥加密它 然后将它传给BobBob用他的私钥解密Alice的信息他们两人用同一会话密钥对他们的通信进行加密 非对称密钥算法的密钥建立协议 缺点 不能抵御中间人攻击 需KDC对Alice和Bob的公钥签名 3 密钥建立协议 基本协议2 基于非对称密钥算法 对称密钥算法的密钥建立协议 非对称密钥算法的密钥建立协议 3 密钥建立协议 应具有的技术特点 虽然前面两个密钥建立协议非常简单 也不完善 存在很多缺点 但很多协议是基于它们发展而来 如 Yahalom协议 NSSK协议 Otway Rees协议它们应随具体的环境和目标而变 但都应具有如下特点 认证性 能提供一种或多种认证 包括身份认证 密钥认证 密钥确认等认证的相互性 可根据实际情况 一些可选择地提供单方身份认证 或双向认证密钥的新鲜性 应该使用新鲜的密钥 减少旧密钥被攻击者重复使用的可能性 3 密钥建立协议 应具有的技术特点 密钥生成 有时可由协议的一个参与方选择一个随机密钥值 但有时须多个或所有参与方参与密钥生成过程 使得任意一方不能单独控制或预知要生成的密钥值效率 其协议效率的高低体现如下 参与方需要交换的消息的数目交换的消息所占用的带宽每个参与方的计算量大小为减小在线计算复杂度 预计算的可能性大小是否需要证书 若涉及到非对称密钥机制 一般需证书 则须考虑证书的获取是否方便是否需要第三方 3 密钥建立协议 大嘴青蛙协议 实现 是最简单的对称密钥管理协议 使用了一个可信的密钥服务器KDCAlice和Bob分别和KDC共享一个秘密密钥 它只作密钥分配之用 它可称为密钥加密密钥KeyEncryptionKey会话密钥只通过两个报文就从Alice传送给Bob 其步骤如图 Alice KDC Alice TA Bob K KAKDC Bob TB Alice K KB Alice将时间标记TA连同Bob的名字和随机会话密钥K一起 用她和KDC共享的密钥对整个报文加密 她将加了密的报文和她的身份A一起发送给KDC KDC解密从Alice来的报文 然后将一个新的时间标记TB连同Alice的名字和随机会话密钥一起 用他与Bob共享的密钥对整个报文加密 并将它发送给Bob 该协议的重要假设 Alice完全有能力产生好的会话密钥 3 密钥建立协议 大嘴青蛙协议 攻击 它易遭受到重放攻击 攻击实施步骤如下 交互消息及步骤如下 Alice KDC Alice TA Bob K KAKDC Bob TB Alice K KBEve Bob KDC Bob TB Alice K KBKDC Eve Alice T B Bob K KAEve Alice KDC Alice T B Bob K KAKDC Eve Bob T B Alice K KBAlice Eve KDC Alice T B Bob K KAEve KDC Bob T B Alice K KB 3 密钥建立协议 大嘴青蛙协议 攻击 Alice KDC Alice TA Bob K KAKDC Bob TB Alice K KBEve Bob KDC Bob TB Alice K KB 攻击者Eve冒充Bob向KDC重放协议第二步的消息 KDC Eve Alice T B Bob K KA KDC收到Bob的消息后 其实真正的发送者是Eve 产生一个更新的时戳消息发送给Alice 但真正的接收者是Eve 3 密钥建立协议 大嘴青蛙协议 攻击 Eve Alice KDC Alice T B Bob K KA Eve记录他所收到的消息 冒充Alice继续向KDC重放他的记录 KDC Eve Bob T B Alice K KB KDC以为第5步是Alice发送来的消息 于是又产生一个更新的时戳发送给Bob 同样 真正的接收者也是Eve 现在 攻击者可以成功地重放第5步和第6步的消息 从而造成Alice和Bob之间的重认证 Alice Eve KDC Alice T B Bob K KA Alice向KDC发送一个初始消息 其实是发送给了Eve Eve KDC Bob T B Alice K KB Eve冒充KDC收到Alice发来的消息 重放它的记录 而Bob以为是KDC发来的 达到攻击目的 3 密钥建立协议 NSSK协议 实现 采用对称密钥算法 也需要KDC参与 交互消息及步骤如下 Alice KDC Alice Bob RA Alice将由她的名字Alice Bob的名字Bob和随机数RA组成的报文传给KDC KDC Alice RA Bob K K Alice KB KA KDC产生一随机会话密钥K 他用与Bob共享的秘密密钥对随机会话密钥K和Alice名字组成的报文加密 然后用他和Alice共享的秘密密钥对Alice的随机值RA Bob的名字 会话密钥K和已加密的报文进行加密 最后 将加密的报文传送给Alice 3 密钥建立协议 NSSK协议 实现 交互消息及步骤如下 Alice Bob K Alice KB Alice将报文解密并提取K 她确认RA与她在第 1 步中发送给KDC的一样 然后她将KDC用Bob的密钥加密的报文发送给Bob Bob Alice RB K Bob对报文解密并提取K 然后产生另一随机数RB 他用K加密它并将它发送给Alice Alice Bob R 1B K Alice用K将报文解密 产生R 1B并用K对它加密 然后将报文发回给Bob Bob用K对信息解密 并验证它是R 1B 3 密钥建立协议 NSSK协议 防范重放攻击 交互消息及步骤如下 Alice KDC Alice Bob RAKDC Alice RA Bob K K Alice KB KAAlice Bob K Alice KBBob Alice RB KAlice Bob R 1B KBob用K对信息解密 并验证它是R 1B 为了防止重放攻击 该协议使用了随机数RA RB R 1B在第2步中RA的出现使Alice确信KDC的报文是新鲜的 不是以前协议数据的重放第4步Alice成功地解密RB 并在第5步将R 1B送回给Bob 让Bob确信Alice的报文也不是早期协议数据的重放 3 密钥建立协议 NSSK协议 假冒攻击 若Alice和Bob不能妥善销毁旧密钥 则可能导致攻击者冒充成功 Alice KDC Alice Bob RAKDC Alice RA Bob K K Alice KB KAAlice Bob K Alice KB如何假冒Alice Eve Alice Bob K Alice KB Eve拦截第3步Alice向Bob发送的信息 并在以后的某一个时刻发送出去 而Bob和Alice还不警觉 Bob Eve Alice RB K Bob以为上一步的信息是Alice发给他的 于是他解密收到的信息并提取K 再产生一个随机数RB 并发送给Alice 其实这个信息根本就没有被Alice收到 而是发送给了攻击者Eve Eve Alice Bob R 1B K Eve利用上一步截取的报文 假冒Alice用K对该报文解密得到RB 并把R 1B发送给Bob Bob验证R 1B 他仍然以为该报文是由Alice发送出来的 由此攻击者达到了冒充攻击的目的 防止假冒攻击的措施 加入时间戳 改进协议 如 Kerberos协议 Neuman Stubblebine协议妥善保存协议中使用的密钥 例如 若KDC与Alice共享的密钥KA泄露 攻击者Mallory能够用它获得同Bob交谈的会话密钥 内容提要 认证基本概念身份认证密钥建立协议密钥协商协议Diffie Hellman协议密钥共享协议 4 密钥协商协议 上述协议在实现密钥建立功能时 其建立的密钥或由KDC生成 或由Alice Bob其中一方生成但有时 并不希望仅某一方掌控密钥生成 而希望 由两方共同生成一个密钥在密钥生成之前 双方都不知道将要生成的密钥是什么样子解决思路 密钥协商协议 4 密钥协商协议 Diffie Hellman协议 是目前使用最广泛的密钥协商协议 由Diffie和Hellman于1976年联合设计它能使通信双方在不安全的通信信道上传递公开信息 继而各自计算出共享密钥它的安全性 基于有限域中离散对数计算的困难性 4 密钥协商协议 Diffie Hellman协议 Diffie Hellman协议实现细节 不能防止中间人攻击 增添身份认证机制 如 工作站对工作站STS协议 内容提要 认证基本概念身份认证密钥建立协议密钥协商协议密钥共享协议需求与实现思路门限 Threshold 法Shamir t n 门限方案关于门限方案的问题 5 秘密共享协议 需求与实现思路 在现实生活中 一些任务需要两人或多人同时参加才能完成例如 开启银行金库 银行规定至少有两位出纳在场才能开启金库 以防止 保险库钥匙的意外丢失或损坏每位出纳可能出现的监守自盗行为为了防止某一个秘密消息的丢失 将它分成若干份 每一份被称为一个共享 share 或者影子 然后把这些影子分发给不同的用户 使得每个用户保存一个影子 只有特定的用户合在一起才能恢复出整个消息 实现思路 5 秘密共享协议 门限 Threshold 法 定义 将主密钥k按下列方式分成n个共享 Share k1 k2 kn 已知任意t个ki值易于算出k已知任意t 1个或更少个ki 则由于信息短缺而不能决定出k该方案称为门限 Threshold 法 t称为方案的门限值由于要重构密钥要求至少有t个共享 故暴露s s t 1 个共享不会危及密钥 且少于t个用户的组不可能共谋得到密钥 同时 若一个共享被丢失或毁坏 仍可恢复密钥 只要至少有t个有效的共享 这种方法为将密钥分给多人掌管提供了可能Shamir门限方案是常见的一种门限方案 5 秘密共享协议 Shamir t n 门限方案 5 秘密共享协议 Shamir t n 门限方案 5 秘密共享协议 Shamir t n 门限方案 5 秘密共享协议 Shamir t n 门限方案 5 秘密共享协议 Shamir t n 门限方案 例子1 如何构造Shamir 3 5 门限方案在5个用户间共享密钥k 11 其中素数p 191 密钥共享 随机选取a1 2 a2 7 而a0 11 由此得多项式为 h x 7x2 2x 11 mod19则由yi h xi 1 i 5 很容易得5个子密钥