互聯(lián)網(wǎng)協(xié)會-電子商務(wù)安全(二)

電子商務(wù)安全（二）安全支撐技術(shù)第四章加密技術(shù)第1節(jié)密碼學(xué)基本術(shù)語第2節(jié)分組密碼第3節(jié)非對稱密碼第4節(jié)簽名認(rèn)證第1節(jié)密碼學(xué)基本術(shù)語1、密碼學(xué)2、密碼分析基本方法3、密碼體制4、密碼體制的安全功能5、理論安全與計算安全1、密碼學(xué)密碼學(xué)（Cryptology）：泛指研究保密通信的學(xué)科，包括設(shè)計和破譯兩個方面；密碼學(xué)包括密碼編碼學(xué)（Cryptography）和密碼分析學(xué)（Cryptanalysis）密碼編碼學(xué)：研究如何達(dá)到信息秘密性、鑒別性等的科學(xué)，研究密碼系統(tǒng)密碼分析學(xué)：研究如何破解密碼系統(tǒng)，或偽造信息使密碼系統(tǒng)誤以為真的科學(xué)

2、密碼分析基本方法密碼分析基本假設(shè)：破譯者所獲得的知識最大化，除密鑰外密碼系統(tǒng)相關(guān)因素均為已知唯密文攻擊：密碼分析者僅掌握若干密文，希望得到對應(yīng)的明文已知明文攻擊：密碼分析者不僅掌握若干密文，還掌握那些密文所對應(yīng)的明文，希望得到密鑰或根據(jù)密文得到明文等選擇明文攻擊：密碼分析者不僅可以獲得若干密文及相應(yīng)的明文，而且明文可以選擇，對應(yīng)的也有選擇密文攻擊3、密碼體制（1）密碼體制（密碼系統(tǒng)）是一個三方參與的通信模型：發(fā)送方、接收方和破譯者。典型密碼系統(tǒng)方框圖如下：加密器EncryptorE解密器DecryptorD破譯者明文密文加密密鑰解密密鑰發(fā)送方接收方公開信道3、密碼體制（2）分組密碼：將明文進(jìn)行分成相同比特長度明文分組進(jìn)行加密。相同明文分組在相同密鑰加密的情況下，密文必然性同。序列密碼：將明文、密文和密鑰看作三個序列流，通過明文流按比特與密鑰流進(jìn)行異或運算得到密文流的加密方法。密鑰表現(xiàn)為一個偽隨機(jī)序列，一般需要通過一個控制密鑰控制某隨機(jī)數(shù)發(fā)生器實現(xiàn)。相同一段明文，在相同的密鑰流的作用下，其密文可能不同。3、密碼體制（3）對稱加密：加密密鑰只有合法的發(fā)送才知道，則該密碼系統(tǒng)稱為對稱密碼系統(tǒng)。加密密鑰和解秘密鑰可以很容易的相互得到，多數(shù)情況甚至相同；也稱單鑰密碼系統(tǒng)、傳統(tǒng)密碼系統(tǒng)等。（傳送加鎖箱子問題）非對稱密碼系統(tǒng)：（如何實現(xiàn)陌生人之間的保密通信，如何防抵賴（鑒別接收方））。加密密鑰公開、解秘密鑰不公開；由加密密鑰計算上無法得到解密密鑰，加解密過程易于實現(xiàn)；非對稱加密系統(tǒng)、雙鑰密碼系統(tǒng)。（意見箱和撞鎖模型）3、密碼體制（4）對稱加密的功能特點：對稱密碼系統(tǒng)功能：保護(hù)信息機(jī)密性、認(rèn)證發(fā)送方身份和確保信息完整性認(rèn)證發(fā)送方身份：接收方選擇隨機(jī)數(shù)+發(fā)送方加密成密文+接收方還原隨機(jī)數(shù)，因為只有發(fā)送方知道正確密鑰確保信息完整性：發(fā)送明文+密文即可對稱密碼系統(tǒng)弱點：密鑰傳輸、密鑰管理和無法達(dá)到不可否認(rèn)（無法區(qū)別接收篡改和發(fā)方偽造）3、密碼體制（5）非對稱加密的功能和特點：非對稱密碼系統(tǒng)功能：保護(hù)信息機(jī)密性、簡化密鑰管理、可達(dá)到不可否認(rèn)性（反序加密即可，解密密鑰的唯一性，也即數(shù)字簽名）

非對稱密碼系統(tǒng)弱點：加解密速度太慢，不到對稱式千分之一（DES和RSA）4、密碼體制的安全功能機(jī)密性：Secrecy、Privacy，防信息泄露鑒別性：Authenticity，信息來源合法性，防假冒完整性：Integrity，信息本身合法性，防篡改不可否認(rèn)性：Nonrepudiation，防抵賴5、計算安全與理論安全理論安全：不管破譯者截獲多少密文并加以分析，其結(jié)果和直接猜明文沒有區(qū)別；理論上任何算法（一次一密除外，但它不實用）都是可破譯的計算安全：如果破譯所需的計算能力和時間是現(xiàn)實所不能實現(xiàn)的，則稱該密碼體制是安全的，或稱為計算上安全的；破譯一密碼所需要的計算時間和計算能力的總和，即破譯算法的時間復(fù)雜度和空間復(fù)雜度，稱為工作因子

第2節(jié)分組密碼1、擴(kuò)散和擾亂2、Feistel密碼結(jié)構(gòu)3、數(shù)據(jù)加密標(biāo)準(zhǔn)介紹4、高級數(shù)據(jù)加密標(biāo)準(zhǔn)介紹5、其它對稱加密算法介紹1、擴(kuò)散和擾亂（1）擴(kuò)散（Diffusion）：明文的統(tǒng)計結(jié)構(gòu)被擴(kuò)散消失到密文的長程統(tǒng)計特性，使得明文和密文之間的統(tǒng)計關(guān)系盡量復(fù)雜。做到這一點的方法是讓明文的每個數(shù)字影響許多密文數(shù)字的取值，也就是說每個密文數(shù)字被許多明文數(shù)字影響。在二進(jìn)制分組密碼中，擴(kuò)散可以通過重復(fù)使用對數(shù)據(jù)的某種置換，并對置換結(jié)果再應(yīng)用某個函數(shù)的方式來達(dá)到，這樣做就使得原明文不同位置的多個比特影響到密文的一個比特。

1、擴(kuò)散和擾亂（2）擾亂（Confusion）：使得密文的統(tǒng)計特性與密鑰的取值之間的關(guān)系盡量復(fù)雜。這是為了挫敗密碼分析者試圖發(fā)現(xiàn)密鑰的嘗試。進(jìn)行擾亂后，即使攻擊者掌握了密文的某些統(tǒng)計特性，使用密鑰產(chǎn)生密文的方式是如此復(fù)雜以至于攻擊者難于從中推測出密鑰。可以使用一個復(fù)雜的替代算法達(dá)到這個目的。

2、Feistel密碼結(jié)構(gòu)（1）2、Feistel密碼結(jié)構(gòu)（2）大部分常規(guī)密碼算法是Feistel密碼結(jié)構(gòu)的具體實現(xiàn)，只不過是對下列參數(shù)和設(shè)計特點的選擇不同：1）

分組大?。悍纸M越大安全性越高，但加解密速度越慢。64比特的分組大小是一個折中的選擇。2）

密鑰大?。好荑€長度越長則安全性越高，但加解密速度也越慢。64比特或更小現(xiàn)在已經(jīng)認(rèn)為不夠安全，128比特已經(jīng)成為常用的長度。3）

循環(huán)次數(shù)：循環(huán)越多則越安全，但加解密速度越慢。DES采用16次循環(huán)。2、Feistel密碼結(jié)構(gòu)（3）4）

子密鑰產(chǎn)生算法：這個算法越復(fù)雜，密碼分析越困難。5）

Round函數(shù)：復(fù)雜性越高則抗擊密碼分析的能力就越強(qiáng)。6）

快速的軟件實現(xiàn)。7）

易于硬件實現(xiàn)。8）

便于分析。2、Feistel密碼結(jié)構(gòu)（4）Feistel的解密過程與其加密過程實質(zhì)是相同的，解密的規(guī)則如下：以密文作為算法的輸入，但是以相反的次序使用子密鑰Ki，即第一輪使用Kn，最后一輪使用K1。這個特性正是常規(guī)加密算法又稱為對稱加密算法的原因。至于解密算法的正確性，請讀者自行驗證

3、數(shù)據(jù)加密標(biāo)準(zhǔn)介紹（1）1977年，美國正式公布美國數(shù)據(jù)加密標(biāo)準(zhǔn)——DES，并廣泛用于商用數(shù)據(jù)加密。算法完全公開，這在密碼學(xué)史上是一個創(chuàng)舉。

DES是一個典型的基于Feistel結(jié)構(gòu)的密碼體制。DES輸入的是64bit明文分組，使用56bit的密鑰，循環(huán)的輪數(shù)是16，使用了8個S盒實現(xiàn)擾亂功能。具體算法描述見本系列叢書的《密碼學(xué)》。

1998年7月電子邊境基金會（EFF）使用一臺25萬美金的電腦在56小時內(nèi)破解了56比特的DES。1999年1月RSA數(shù)據(jù)安全會議期間，電子邊境基金會用22小時15分鐘就宣告完成RSA公司發(fā)起的DES的第三次挑戰(zhàn)。

3、數(shù)據(jù)加密標(biāo)準(zhǔn)介紹（2）最有意義的分析技巧就是差分分析（在密碼學(xué)中，“分析”和“攻擊”這兩個術(shù)語的含義相同，以后不加區(qū)別）。差分分析（differentialcryptanalysis）由Biham和Shamir于1993年提出的選擇明文攻擊，可以攻擊很多分組密碼（包括DES）。差分分析涉及帶有某種特性的密文對和明文對比較，其中分析者尋找明文有某種差分的密文對。這些差分中的一些有較高的重現(xiàn)概率。差分分析用這些特征來計算可能密鑰的概率，最后定位最可能的密鑰。據(jù)說，這種攻擊很大程度依賴于S-盒的結(jié)構(gòu)。然而，DES的S-盒被優(yōu)化可以抗擊差分分析。盡管差分攻擊比DES公布更遲，IBM公司DonCoppersmith在一份內(nèi)部報告中說：“IBM設(shè)計小組早在1974年已經(jīng)知道差分分析，所以設(shè)計S盒和換位變換時避開了它，這就是為什么DES能夠抵抗差分分析方法的原因。我們不希望外界掌握這一強(qiáng)有力的密碼分析方法，因此這些年來我們一直保持沉默”。4、高級數(shù)據(jù)加密標(biāo)準(zhǔn)介紹（1）1997年4月15日美國國家標(biāo)準(zhǔn)技術(shù)研究所（NIST）發(fā)起征集AES（AdvancedEncryptionStandards）算法的活動，并專門成立了AES工作組。

NIST終于在

2000年10月2日

公開選定Rijndael為AES所采用。2001年11月，NIST將AES定為FIPS1974、高級數(shù)據(jù)加密標(biāo)準(zhǔn)介紹（2）Rijndael采用的是代替/置換網(wǎng)絡(luò)，即SP結(jié)構(gòu)。每一輪由三層組成，線性混合層：確保多輪之上的高度擴(kuò)散；非線性層：由16個S-盒并置而成，起到混淆的作用；密鑰加層：子密鑰簡單的異或到中間狀態(tài)上。S-盒選取的是有限域中的乘法逆運算，它的差分均勻性和線性偏差都達(dá)到了最佳。Rijndael加解密算法中，每輪輪常數(shù)的不同消除了密鑰的對稱性，密鑰擴(kuò)展的非線性消除了相同密鑰的可能性；加解密使用不同的變換，消除了在DES里出現(xiàn)的弱密鑰和半弱密鑰存在的可能性；總之，在Rijndael的加解密算法中，對密鑰的選擇沒有任何限制。

4、高級數(shù)據(jù)加密標(biāo)準(zhǔn)介紹（3）經(jīng)過驗證，Rijndael加解密算法能有效地抵抗目前已知的攻擊方法的攻擊。如：部分差分攻擊、相關(guān)密鑰攻擊、插值攻擊（Interpolationattack）等。對于Rijndael，最有效的攻擊還是窮盡密鑰搜索攻擊。

4、高級數(shù)據(jù)加密標(biāo)準(zhǔn)介紹（4）依靠有限域/有限環(huán)的有關(guān)性質(zhì)給加密解密提供了良好的理論基礎(chǔ)，使算法設(shè)計者可以既高強(qiáng)度地隱藏信息，又同時保證了算法可逆，又因為Rijndael算法在一些關(guān)鍵常數(shù)的選擇上非常巧妙，使得該算法可以在整數(shù)指令和邏輯指令的支持下高速完成加解密，在專用的硬件上，速率可高于1GB/s，從而得到了良好的效率。除了加解密功能外，Rijndael算法還可以實現(xiàn)如MAC、Hash、生成隨機(jī)數(shù)等功能；Rijndael算法可有效地應(yīng)用于奔騰機(jī)、智能卡、ATM、HDTV、B－ISDN、聲音、衛(wèi)星通信等各個方面。

5、其它對稱加密算法介紹IDEA是InternationalDataEncryptionAlgorithm的縮寫，是1990年由瑞士聯(lián)邦技術(shù)學(xué)院X.J.Lai和Massey提出的建議標(biāo)準(zhǔn)算法，稱作PES（ProposedEncryptionStandard）。Lai和Massey在1992年進(jìn)行了改進(jìn)，強(qiáng)化了抗差分分析的能力，改稱為IDEA。它也是對64bit大小的數(shù)據(jù)塊加密的分組加密算法，密鑰長度為128位。

RC5是由RSA公司的首席科學(xué)家RonRivest于1994年設(shè)計，95年正式公開的一個很實用的加密算法。它是一種分組長（為2倍字長w位）、密鑰長（按字節(jié)數(shù)計）和迭代輪數(shù)都可變的分組迭代密碼。

第3節(jié)非對稱密碼1、Diffie-Hellman密鑰交換算法

2、RSA算法

3、ElGamal算法

4、橢圓曲線密碼算法ECC1、Diffie-Hellman密鑰交換算法（1）Diffie-Hellman密鑰交換算法允許兩個用戶可以安全地交換一個秘密信息，用于后續(xù)的通訊過程。其算法的安全性依賴于計算離散對數(shù)的難度。

1、Diffie-Hellman密鑰交換算法（2）Diffie-Hellman密鑰交換算法：雙方選擇素數(shù)p以及p的一個原根a用戶A選擇一個隨機(jī)數(shù)Xa<p，計算Ya=aXamodp用戶B選擇一個隨機(jī)數(shù)Xb<p，計算Yb=aXbmodp每一方保密X值，而將Y值交換給對方用戶A計算出K=YbXamodp用戶B計算出K=YaXbmodp雙方獲得一個共享密鑰(aXaXbmodp)2、RSA算法（1）

RSA算法1977年由RonRivest、AdiShamir和LenAdleman發(fā)明，1978年正式公布。RSA是分組加密算法，明文和密文在0~n-1之間，n是一個正整數(shù)，一般明文分組長度為k比特，則2k<n<=2k+1。RSA已經(jīng)是當(dāng)今應(yīng)用最廣泛的公鑰密碼算法。

2、RSA算法（2）RSA算法描述如下：分組大小為k，2k<n<=2k+1；公開密鑰KU={e,n}，私有密鑰KR=d，其中n為兩個素數(shù)p和q的乘積，e與(p-1)(q-1)互素，ed＝1(mod(p-1)(q-1))；加密c=memodn；解密m=cdmodn。解密算法的正確性驗證如下：cd

=(me)d=med=m*mk(p-1)(q-1)=m*1(modn)=m(modn)2、RSA算法（3）RSA算法的安全性是基于加密函數(shù)ek(x)=xe(modn)是一個單向函數(shù)，陷門是分解n=pq，但是兩個大素數(shù)乘積的整數(shù)分解問題是否是NPC問題一直沒有得到數(shù)學(xué)上的證明。

3、ElGamal算法（1）

ElGamal算法既能用于數(shù)據(jù)加密也能用于數(shù)字簽名，其安全性依賴于計算有限域上離散對數(shù)這一難題。

3、ElGamal算法（2）密鑰對產(chǎn)生辦法：首先選擇一個素數(shù)p，兩個隨機(jī)數(shù)g和x，g,x<p，計算

y=gx(modp)，則其公鑰為y,g和p。私鑰是x。g和p可由一組用戶共享。ElGamal用于加密：被加密信息為M，首先選擇一個隨機(jī)數(shù)k，k與p-1互質(zhì)，計算a=gk(modp)，b=(yk)M(modp)。(a,b)為密文，是明文的兩倍長。解密時計算M=b(ax)-1(modp)。4、橢圓曲線密碼算法ECC橢圓曲線密碼算法ECC基于在有限域的橢圓曲線上定義加法和乘法形成橢圓群，在此橢圓群上離散對數(shù)的求解將更加困難。ECC的優(yōu)點在于用少得多的比特大小取得和RSA相等的安全性。ECC由于密鑰短，速度快，可以用于智能卡等存儲和運算能力有限的設(shè)備上。國際上對ECC的興趣越來越大，其應(yīng)用越來越廣泛。

第4節(jié)簽名認(rèn)證1、HASH函數(shù)2、數(shù)字簽名3、消息認(rèn)證4、認(rèn)證碼5、電子現(xiàn)金1、HASH函數(shù)完整性校驗；數(shù)字指紋技術(shù)；計算指紋容易，反之很困難，不同信息指紋相同的概率極小。Hash是一種直接產(chǎn)生認(rèn)證碼的方法Hash函數(shù):h=H(x),要求:可作用于任何尺寸數(shù)據(jù)且均產(chǎn)生定長輸出H(x)能夠快速計算單向性:給定h，找到x使h=H(x)在計算上不可行WeakCollisionResistence(WCR):

給定x，找到y(tǒng)x使H(x)=H(y)在計算上不可行StrongCollisionResistence(SCR):找到y(tǒng)x使H(x)=H(y)在計算上不可行2、數(shù)字簽名手寫簽名的電子化實現(xiàn)，對一個不能偽造的數(shù)字簽名方案有下列要求：每個用戶能有效（容易）地在他選擇的文件上產(chǎn)生他自己的簽名；每個用戶能有效（容易）地驗證一給定的數(shù)字串是否是另一特定用戶在某特定文件上的簽名；沒人能在其他用戶沒簽名的文件上有效（容易）地產(chǎn)生他們地簽名。3、消息認(rèn)證消息認(rèn)證：消息認(rèn)證問題的背景與消息加密方案的背景很相似，通信雙方也在一個不安全信道上傳送消息，如互聯(lián)網(wǎng)（internet），但現(xiàn)在的第三者不僅可能截取消息進(jìn)行分析，而且可能偽造或篡改發(fā)送的消息，稱為入侵者。通信雙方希望交換消息而拒絕接受入侵者欺騙的協(xié)議。4、認(rèn)證碼（1）消息完整性的另一個方法：保證消息沒有被篡改，且消息來源于假定的傳送器。鑒別的目標(biāo)是：即使在能觀察到信道中的消息和可以將自己的消息引入到信道的主動攻擊者存在的情況下，也達(dá)到鑒別目的。有保密和非保密之區(qū)別。4、認(rèn)證碼（2）一個鑒別是一個四元組（S,A,K,E）S為源狀態(tài)有限集合A為鑒別標(biāo)記有限集合KE鑒別規(guī)則集合ek:S->A發(fā)送（s,a）5、電子現(xiàn)金一個電子貨幣系統(tǒng)主要由三個協(xié)議組成：提取協(xié)議：用戶從銀行提取貨幣的協(xié)議支付協(xié)議：用戶向商店付款的協(xié)議存款協(xié)議：用戶向嬰孩存款的協(xié)議不可追蹤性主要由盲數(shù)字簽名技術(shù)保證盲數(shù)字簽名技術(shù)：消息內(nèi)容對簽名者不可見且簽名者不能追蹤簽名。第五章身份認(rèn)證第1節(jié)身份認(rèn)證概述第2節(jié)非密碼方式第3節(jié)采用對稱密碼第4節(jié)采用非稱密碼第5節(jié)Kerberos第1節(jié)身份認(rèn)證概述1、身份認(rèn)證概念2、身份認(rèn)證分類3、身份認(rèn)證組成4、身份認(rèn)證要求5、身份認(rèn)證實現(xiàn)途徑6、身份認(rèn)證機(jī)制1、身份認(rèn)證概念（1）定義：證實客戶的真實身份與其所聲稱的身份是否相符的過程。依據(jù)：Somethingtheuserknow(所知）密碼、口令等Somethingtheuserpossesses（擁有）身份證、護(hù)照、密鑰盤等Somethingtheuseris(orHowhebehaves)指紋、筆跡、聲音、虹膜、DNA等1、身份認(rèn)證概念（2）消息認(rèn)證與身份認(rèn)證的差別：實體鑒別一般都是實時的，消息鑒別一般不提供時間性。實體鑒別只證實實體的身份，消息鑒別除了消息的合法和完整外，還需要知道消息的含義。數(shù)字簽字是實現(xiàn)身份識別的有效途徑。但在身份識別中消息的語義是基本固定的，一般不是“終生”的，簽字是長期有效的。1、身份認(rèn)證概念（3）身份認(rèn)證需求：

某一成員（聲稱者）提交一個主體的身份并聲稱它是那個主體。身份認(rèn)證目的：

使別的成員（驗證者）獲得對聲稱者所聲稱的事實的信任2、身份認(rèn)證分類（1）實體認(rèn)證可以分為本地和遠(yuǎn)程兩類。實體在本地環(huán)境的初始化認(rèn)證（就是說，作為實體個人，和設(shè)備物理接觸，不和網(wǎng)絡(luò)中的其他設(shè)備通信）。連接遠(yuǎn)程設(shè)備、實體和環(huán)境的實體認(rèn)證。本地認(rèn)證：需要用戶的進(jìn)行明確的操作遠(yuǎn)程認(rèn)證：通常將本地認(rèn)證結(jié)果傳送到遠(yuǎn)程。（1）安全（2）易用2、身份認(rèn)證分類（2）實體認(rèn)證可以是單向的也可以是雙向的。

單向認(rèn)證是指通信雙方中只有一方向另一方進(jìn)行認(rèn)證。

雙向認(rèn)證是指通信雙方相互進(jìn)行認(rèn)證。3、身份認(rèn)證組成（1）ATPB3、身份認(rèn)證組成（2）一方是出示證件的人，稱作示證者P(Prover)，又稱聲稱者(Claimant)。另一方為驗證者V（Verifier),檢驗聲稱者提出的證件的正確性和合法性，決定是否滿足要求。第三方是可信賴者TP（Trustedthirdparty)，參與調(diào)解糾紛。第四方是攻擊者，可以竊聽或偽裝聲稱者騙取驗證者的信任。4、身份認(rèn)證要求（1）驗證者正確識別合法申請者的概率極大化。（2）不具有可傳遞性（Transferability)（3）攻擊者偽裝成申請者欺騙驗證者成功的概率要小到可以忽略的程度（4）計算有效性（5）通信有效性（6）秘密參數(shù)能安全存儲*（7）交互識別*（8）第三方的實時參與*（9）第三方的可信賴性*（10）可證明的安全性5、身份認(rèn)證實現(xiàn)途徑三種途徑之一或他們的組合（1）所知（Knowledge）:密碼、口令（2）所有（Possesses):身份證、護(hù)照、信用卡、鑰匙（3）個人特征：指紋、筆跡、聲紋、手型、血型、視網(wǎng)膜、虹膜、DNA以及個人動作方面的一些特征（4）你做的事情（如手寫簽名）設(shè)計依據(jù)：安全水平、系統(tǒng)通過率、用戶可接受性、成本等6、身份認(rèn)證機(jī)制非密碼的鑒別機(jī)制基于密碼算法的鑒別采用對稱密碼算法的機(jī)制采用公開密碼算法的機(jī)制采用密碼校驗函數(shù)的機(jī)制零知識證明協(xié)議第2節(jié)非密碼方式1、口令機(jī)制2、一次性口令機(jī)制3、基于地址的機(jī)制4、基于個人特征的機(jī)制5、個人鑒別令牌1、口令機(jī)制（1）口令或通行字機(jī)制是最廣泛研究和使用的身份鑒別法。通常為長度為5~8的字符串。選擇原則：易記、難猜、抗分析能力強(qiáng)。口令系統(tǒng)有許多脆弱點：外部泄露口令猜測線路竊聽危及驗證者重放1、口令機(jī)制（2）對付外部泄露的措施教育、培訓(xùn)；嚴(yán)格組織管理辦法和執(zhí)行手續(xù)；口令定期改變；每個口令只與一個人有關(guān)；輸入的口令不再現(xiàn)在終端上；使用易記的口令，不要寫在紙上。1、口令機(jī)制（3）對付口令猜測的措施教育、培訓(xùn)；嚴(yán)格限制非法登錄的次數(shù)；口令驗證中插入實時延遲；限制最小長度，至少6~8字節(jié)以上防止用戶特征相關(guān)口令，口令定期改變；及時更改預(yù)設(shè)口令；使用機(jī)器產(chǎn)生的口令。1、口令機(jī)制（4）對付線路竊聽的措施:使用保護(hù)口令機(jī)制(如單向函數(shù))

qfididq比較是或不是pid聲稱者驗證者消息1、口令機(jī)制（5）對付線路竊聽的措施的缺陷：攻擊者很容易構(gòu)造一張q與p對應(yīng)的表，表中的p盡最大可能包含所期望的值。隨機(jī)串（Salt）是使這種攻擊變得困難的一種辦法。在口令后使用隨機(jī)數(shù)。只能保護(hù)在多臺計算機(jī)上使用相同口令或在同一計算機(jī)上使用同一口令的不同用戶。1、口令機(jī)制（6）改進(jìn)方案：

qid

qid比較f是或不是聲稱者驗證者pid消息salt1、口令機(jī)制（7）基本的對付危及驗證者的措施：使用單向函數(shù)

pididq比較是或不是聲稱者驗證者pid消息fqsalt1、口令機(jī)制（8）對付竊聽及危及驗證者的措施聲稱者fqidgidr比較是或不是pidr驗證者消息saltsalt1、口令機(jī)制（9）對付重放攻擊的措施

ridnrvgfidqg比較是或不是p聲稱者驗證者消息qidnrvsalt2、一次性口令機(jī)制（1）一次性口令機(jī)制確保在每次認(rèn)證中所使用的口令不同，以對付重放攻擊。確定口令的方法：

（1）兩端共同擁有一串隨機(jī)口令，在該串的某一位置保持同步；

（2）兩端共同使用一個隨機(jī)序列生成器，在該序列生成器的初態(tài)保持同步；

（3）使用時戳，兩端維持同步的時鐘。2、一次性口令機(jī)制（2）一次性口令機(jī)制的強(qiáng)度：（1）沒有器件而知道口令p，不能導(dǎo)致一個簡單的攻擊；（2）擁有器件而不知道口令p，不能導(dǎo)致一個簡單的攻擊；（3）除非攻擊者也能進(jìn)行時間同步，否則重放不是一個簡單的攻擊；（4）知道q（例如通過瀏覽驗證者系統(tǒng)文件）而不知道設(shè)備安全值dsv，不能導(dǎo)致一個簡單的攻擊。2、一次性口令機(jī)制（3）SKEY驗證程序其安全性依賴于一個單向函數(shù)。為建立這樣的系統(tǒng)A輸入一隨機(jī)數(shù)R，計算機(jī)計算f（R）,f（f（R）），f（f（f（R））），…,共計算100次，計算得到的數(shù)為x1,x2,x3,…x100，A打印出這樣的表，隨身攜帶，計算機(jī)將x101存在A的名字旁邊。第一次登錄，鍵入x100，以后依次鍵入xi，計算機(jī)計算f(xi)，并將它與xi+1比較。3、基于地址的機(jī)制基于地址的機(jī)制假定聲稱者的可鑒別性是以呼叫的源地址為基礎(chǔ)的。在大多數(shù)的數(shù)據(jù)網(wǎng)絡(luò)中，呼叫地址的辨別都是可行的。在不能可靠地辨別地址時，可以用一個呼叫—回應(yīng)設(shè)備來獲得呼叫的源地址。一個驗證者對每一個主體都保持一份合法呼叫地址的文件。這種機(jī)制最大的困難是在一個臨時的環(huán)境里維持一個連續(xù)的主機(jī)和網(wǎng)絡(luò)地址的聯(lián)系。地址的轉(zhuǎn)換頻繁、呼叫—轉(zhuǎn)發(fā)或重定向引起了一些主要問題。基于地址的機(jī)制自身不能被作為鑒別機(jī)制，但可作為其它機(jī)制的有用補(bǔ)充。4、基于個人特征的機(jī)制生物特征識別技術(shù)主要有：

1）指紋識別；

2）聲音識別；

3）手跡識別；

4）視網(wǎng)膜掃描；

5）手形。

這些技術(shù)的使用對網(wǎng)絡(luò)安全協(xié)議不會有重要的影響。5、個人鑒別令牌物理特性用于支持認(rèn)證“某人擁有某東西”，但通常要與一個口令或PIN結(jié)合使用。這種器件應(yīng)具有存儲功能，通常有鍵盤、顯示器等界面部件，更復(fù)雜的能支持一次性口令，甚至可嵌入處理器和自己的網(wǎng)絡(luò)通信設(shè)備（如智能卡）。這種器件通常還利用其它密碼鑒別方法。第3節(jié)采用對稱密碼1、對稱密碼認(rèn)證機(jī)制2、無可信第三方參與的單向認(rèn)證3、無可信第三方參與的雙向認(rèn)證4、涉及可信第三方的雙向認(rèn)證1、對稱密碼認(rèn)證機(jī)制（1）基于對稱密碼算法的鑒別依靠一定協(xié)議下的數(shù)據(jù)加密處理。通信雙方共享一個密鑰（通常存儲在硬件中），該密鑰在詢問—應(yīng)答協(xié)議中處理或加密信息交換。1、對稱密碼認(rèn)證機(jī)制（2）A:實體A的可區(qū)分標(biāo)識符/B:實體B的可區(qū)分標(biāo)識符TP:可信第三方的可區(qū)分標(biāo)識符KXY:實體X和實體Y之間共享的秘密密鑰,只用于對稱密碼技術(shù)SX:與實體X有關(guān)的私有簽名密鑰,只用于非對稱加密技術(shù)NX:由實體X給出的順序號/RX:由實體X給出的隨機(jī)數(shù)TX:由實體X原發(fā)的時變參數(shù),它或者是時間標(biāo)記TX,或者是順序號RXNX:Y||Z:數(shù)據(jù)項Y和Z以Y在前Z在后順序拼接的結(jié)果eK(Z):用密鑰K的對稱加密算法對數(shù)據(jù)Z加密的結(jié)果fK(Z):使用以密鑰K和任意數(shù)據(jù)串Z作為輸入的密碼校驗函數(shù)f所產(chǎn)生的密碼校驗值CertX:由可信第三方簽發(fā)給實體X的證書TokenXY:實體X發(fā)給Y的權(quán)標(biāo),包含使用密碼技術(shù)變換的信息TVP:時變參數(shù)/SSX(Z):用私有簽名密鑰SX對數(shù)據(jù)Z進(jìn)行私有簽名變換所產(chǎn)生的簽名.2、無可信第三方參與的單向認(rèn)證（1）

一次傳送鑒別AB（1）TokenAB(2)（1）TokenAB=Text2||eKAB(TA||B||Text1)NA

（2）B解密，驗證B、時間標(biāo)記或順序號的正確性2、無可信第三方參與的單向認(rèn)證（2）

兩次傳送鑒別AB（1）RB||Text1(3)（2）TokenAB=Text3||eKAB(RB||B||Text2)（3）B解密，驗證B、RB的正確性（2）TokenAB3、無可信第三方參與的雙向認(rèn)證（1）

兩次傳送鑒別AB（1）TokenAB(2)（4）B解密，驗證B、RB的正確性（3）TokenBA（1）TokenAB=Text2||eKAB(TA||B||Text1)NA

（3）TokenBA=Text4||eKAB(TB||A||Text3)NB

(4)3、無可信第三方參與的雙向認(rèn)證（2）三次傳送鑒別AB（1）RB||Text1(3)（3）B解密，驗證B、RB的正確性（2）TokenAB（4）TokenBA(5)（5）A解密，驗證B、RB、

RA的正確性4、涉及可信第三方的雙向認(rèn)證（1）四次傳送鑒別AB（6）TokenBATP（4）TokenAB（2）TokenTA（1）TVPA||B||Text1(3)(7)(5)（2）TokenTA=Text4||eKAT(TVPA||KAB||B||Text3)||eKBT(TTP||KAB||A||Text2)NTP

（4）TokenAB=Text6||eKBT(TTP||KAB||A||Text2)eKAB(TA||B||Text5)NTPNA（6）TokenBA=Text8||eKAB(TB||A||Text7)NB4、涉及可信第三方的雙向認(rèn)證（2）五次傳送鑒別AB（7）TokenBATP（5）TokenAB（3）TokenTA（2）RA||RB||B||Text2(4)(8)(6)（3）TokenTA=Text5||eKAT(RA||KAB||B||Text4)||eKBT(RB

||KAB||A||Text3)（5）TokenAB=Text7||eKBT(RB

||KAB||A||Text3)||eKAB(RA||RB||Text6)（7）TokenBA=Text9||eKAB(RB||RA||Text8)(1)RB||Text1第4節(jié)采用非稱密碼1、采用公開密碼算法的機(jī)制2、采用公開密碼算法的單向鑒別3、采用公開密碼算法的雙向鑒別1、采用公開密碼算法的機(jī)制在該機(jī)制中，聲稱者要通過證明他知道某秘密簽名密鑰來證實身份。由使用他的秘密簽名密鑰簽署某一消息來完成。消息可包含一個非重復(fù)值以抵抗重放攻擊。要求驗證者有聲稱者的有效公鑰,聲稱者有僅由自己知道和使用的秘密簽名私鑰。單向認(rèn)證：僅對實體中的一個進(jìn)行認(rèn)證。雙向認(rèn)證：兩個通信實體相互進(jìn)行認(rèn)證。2、采用公開密碼算法的單向鑒別（1）一次傳遞機(jī)制AB（1）CertA||TokenAB（1）TokenAB=TA||B||Text2||SSA(TA||B||Text1)NANA

(2)(2)B驗證A的公開密鑰，驗證B的標(biāo)識符號2、采用公開密碼算法的單向鑒別（2）兩次傳遞機(jī)制AB（1）RB||Text1(3)（3）B驗證A的公開密鑰，驗證B的標(biāo)識符號（1）CertA||TokenAB（2）TokenAB=RA||RB||B||Text3||SSA(RA||RB||B||Text2)3、采用公開密碼算法的雙向鑒別（1）AB(2)（2）B驗證A的公開密鑰，驗證B的標(biāo)識符號（3）CertB||TokenBA兩次傳遞機(jī)制（1）CertA||TokenAB（1）TokenAB=TA||B||Text2||SSA(TA||B||Text1)NANA

(4)（3）TokenBA=TB||A||Text4||SSB(TB||A||Text3)NBNB

（4）A驗證B的公開密鑰，驗證A的標(biāo)識符號3、采用公開密碼算法的雙向鑒別（2）

三次傳遞機(jī)制AB（1）RB||Text1(3)（3）B驗證A的公開密鑰，驗證B的標(biāo)識符號（2）CertA||TokenAB（2）TokenAB=RA||RB||B||Text3||SSA(RA||RB||B||Text2)（4）CertB||TokenBA（4）TokenBA=RB||RA||A||Text5||SSB(RB||RA||A||Text4)（5）A驗證B的公開密鑰，驗證A的標(biāo)識符號(5)3、采用公開密碼算法的雙向鑒別（3）

兩次傳遞并行機(jī)制AB（1）CertA||RA||Text1(2)(4)（4）A和B驗證各自的隨機(jī)數(shù)（1）CertB||RB||Text2（1）TokenAB=RA||RB||B||Text4||SSA(RA||RB||B||Text3)（3）TokenBA（1）TokenBA=RB||RA||A||Text6||SSB(RB||RA||A||Text5)（2）A和B確保他們擁有另一實體的公開密鑰(2)(4)（3）TokenAB第5節(jié)Kerberos1、概述2、一般意義的認(rèn)證對話3、SummaryofKerberosVersion4MessageExchanges4、Kerberos處理過程和模型5、功能特性6、局限性分析1、概述（1）80年代中期是MIT的Athena工程的產(chǎn)物版本前三個版本僅用于內(nèi)部第四版得到了廣泛的應(yīng)用第五版于1989年開始設(shè)計RFC1510,1993年確定標(biāo)準(zhǔn)KerberosKerberos歷史1、概述（2）在一個分布式的client/server體系機(jī)構(gòu)中采用一個或多個Kerberos服務(wù)器提供一個鑒別服務(wù)。1、概述（3）安全。網(wǎng)絡(luò)竊聽者不能獲得必要信息以假冒其它用戶；Kerberos應(yīng)足夠強(qiáng)壯以至于潛在的敵人無法找到它的弱點連接。可靠。Kerberos應(yīng)高度可靠，并且應(yīng)借助于一個分布式服務(wù)器體系結(jié)構(gòu)，使得一個系統(tǒng)能夠備份另一個系統(tǒng)。透明。理想情況下，用戶除了要求輸入口令以外應(yīng)感覺不到認(rèn)證的發(fā)生。可伸縮。系統(tǒng)應(yīng)能夠支持大數(shù)量的客戶和服務(wù)器。2、一般意義的認(rèn)證對話（1）一個簡單的認(rèn)證對話2、一般意義的認(rèn)證對話（2）更安全的認(rèn)證對話.兩個主要問題.希望用戶輸入口令的次數(shù)最少.口令以明文傳送會被竊聽.解決辦法.ticketreusable.Ticket-grantingserver2、一般意義的認(rèn)證對話（3）更安全的認(rèn)證對話3、SummaryofKerberosVersion4MessageExchanges（1）3、SummaryofKerberosVersion4MessageExchanges（2）RationalefortheElementsoftheKerberosVersion4Protocol(a)AuthenticationServiceExchangeMessage(1) Client請求ticket-grantingticket IDC:告訴AS本Client端的用戶標(biāo)志；

Idtgs:告訴AS用戶請求訪問TGS; TS1：讓AS驗證Client端的時鐘是與AS的時鐘同步的； Message(2) AS返回ticket-grantingticket

Ekc:基于用戶口令的加密，使得AS與Client可以驗證口令，并保護(hù)Message(2).

Kc,tgs：sessionkey的副本，由AS產(chǎn)生。Client可用于在TGS與Client之間信息的安全交換，而不必共用一個永久的key.

Idtgs:確認(rèn)這個ticket是為TGS制作的。

TS2：告訴Client該ticket的有效期。

Lifetime2:告訴Client該ticket的有效期。

Tickettgs:Client用來訪問TGS的ticket。3、SummaryofKerberosVersion4MessageExchanges（3）Message(3) Client請求service-grantingticket

IDv:告訴TGS用戶要訪問服務(wù)器V；

Tickettgs:向TGS證實該用戶已被AS認(rèn)證；

Authenticatorc：由Client生成，用于驗證Client；Me